Krigen i Europa har betydet ekstra opmærksomhed på robustheden af cyberforsvaret

Tobias Hald om cyberforsvar og bilag 5

På konferencen Cybersikkerhed i den finansielle sektor den 21. & 22. september holder Tobias Abildgaard Hald, der er Product Owner for IT sikkerhedsstyring i Jyske Bank et indlæg om den praktiske gennemførelse af kravet i bekendtgørelsens bilag 5.

Inden konferencen kan du læse et interview med Tobias.

Hvad er din baggrund og professionelle erfaring med cybersikkerhed? og hvordan arbejder du med cybersikkerhed til daglig?

Uddannelsesmæssigt er jeg, som så mange andre i branchen, fra en tid, hvor cybersikkerhed ikke har fyldt i uddannelsesinstitutionerne. Jeg har studeret Fysik & Astronomi og siden taget en HD1 og 2 i Regnskab og Økonomistyring. Jeg har ca. 10 års erfaring med it-sikkerhed og cybersikkerhed og er certificeret CISA (Certified Information System Auditor) og Cybersikkerhedsauditor.

Min baggrund er i første omgang fra GRC (Governance, Risk and Compliance) siden af cybersikkerhed, da jeg via konsulentverdenen (KPMG og EY) blev introduceret for it-revision og behovet for at kunne stole på sikre it-systemer til understøttelse af regnskaber.

Det bragte mig for ca. 5 år siden videre til Jyske Bank, hvor jeg til dagligt arbejder som Product Owner for et GRC-team på fem personer, hvor vi forsøger at sætte rammerne for it-sikkerhed i Jyske Bank-koncernen, og understøtte og uddanne organisationen i at holde sig indenfor de rammer. Mere operationelt, så organiserer vi også it-beredskabet, hvor vi forsøger at forberede os på skrækscenarier som for eksempel en cyberhændelse. GRC-teamet er en del af hele it-sikkerhedsteamet, som er samlet under vores CISO Duong Anders Le.

Hvilke udfordringer og muligheder ser du som de største inden for cybersikkerhed i den finansielle sektor lige nu?

Fra mit perspektiv, der jo er farvet af, at jeg beskæftiger mig meget med GRC og økonomi, så ser jeg det som en stor udfordring, at teknologi og it-udvikling mere og mere peger mod anvendelse af kollaboration værktøjer, cloudløsninger, Machine-learning og Fail-fast løsninger. Der er ønsker om fleksibilitet og hastighed på IT-siden ift. at være konkurrencedygtige i en branche under pres på både den almindelige finansielle bankforretning og på teknologiudvikling overfor meget større tech-virksomheder.

Dét, sammenholdt med det faktum, at de fleste virksomheder i den finansielle sektor i Danmark anvender mainframe systemer med mange år på bagen og tilmed har konsolideret udvikling og infrastruktur på kryds og tværs, gør, at vi cybersikkerhedsmæssigt har en kæmpe udfordring med at sikre de nye løsninger i et tempo og på en måde, så branchen kan realisere de gevinster, der er. Vi kan både fejle ved at være for langsomme og tøvende, men vi kan også risikere at godkende anvendelse af teknologier i for hurtig en grad, netop fordi vi er presset.

De muligheder, som jeg ser inden for cybersikkerhed i den finansielle sektor, er lige nu de mange talenter, som bliver uddannet og udviklet inden for cybersikkerhed. Jeg har aldrig mødt så mange unge, der er interesseret i, eller uddannet inden for faget, som jeg har gjort det sidste års tid. Skal vi som branche ruste os til fremtiden, med udfordringerne beskrevet ovenfor, så skal vi understøtte og videreudvikle talenterne. Og netop her vil jeg mene, at vi som branche har en attraktiv profil ift. cybersikkerheds-interesseret. At få lov at lave red-team test med en bank står nok højt på mange unge cybertalenters ønskeseddel!

Hvad holder dig vågen om natten i forhold til cybersikkerhed i den finansielle sektor?

Jeg har heldigvis et godt sove-hjerte, så selvom bekymringerne kan være mange, så er der ikke én specifik ting, som holder mig vågen. Det der omvendt kan holde mig vågen, er egen videreuddannelse i cybersikkerhed. Feltet er så stort, at en ikke-specialist som mig, har behov for at orientere og forstå et væld af forskellige teknologier og udfordringer på daglig basis!

Hvordan ser fremtiden ud for cybersikkerhed? Vil der komme andre udfordringer og muligheder i fremtiden?

Haha, det er sådan et spørgsmål, som jeg altid frygter. Med stor sandsynlighed, så kan svaret tages frem igen om blot to eller tre år, og få mig til at se noget ubegavet ud!

Men hvis jeg alligevel skal forsøge mig: Ja, selvfølgelig vil muligheder og udfordringer udvikle sig med tiden i et fag, der er så afhængig af teknologi, som vores. Klassisk eksempel er jo almindelig accepterede krypteringsstandarder, som kan blive udfordret af kvantecomputere. Det er vores ansvar at være orienteret og forberedte på denne udvikling ustandseligt. Deri ligger også vores muligheder, da en god cybersikkerhed er et grundlag for overlevelse for moderne virksomheder, og der derfor er sikret ressource/funding til fortsat at sikre vores virksomheder. Det er vores opgave at anvende de ressourcer fremadskuende og aktivt.  

Det leder mig også til at tro, at der bliver et endnu større behov for specialister inden for cybersikkerhedssektoren, som kan gennemskue lige dén teknologi, der bliver anvendt i de enkelte virksomheder.

Hvordan har de sidste års kriser med pandemi og krig i Europa påvirket dit arbejde i sektoren?

Personligt har jeg ikke været påvirket mere end den almindelige dansker ift. pandemien. Selvfølgelig har der været ekstra fokus på sikre remote-løsninger, men der har været tale om skalering og ikke nytænkning.

Krigen i Europa har betydet ekstra opmærksomhed på robustheden af cyberforsvaret, men her er der heller ikke tale om nye ukendte udfordringer. Det er kendte aktører, som nu har øget aktivitet og sandsynlighed for gennemførsel af cyberangreb.  Personligt er det skræmmende at være vidner til, hvad mennesker kan finde på at gøre ved hinanden på baggrund af så udvandede motiver, og det er en konstant genopfriskning af, at man aldrig kan læne sig tilbage og sige: ’Alt er trygt og godt – hvad skal vi med (cyber)sikkerhed?’

Hvad taler du om på cybersikkerhed i den finansielle sektor og hvad håber du, deltagerne får ud af det?

Jeg skal tale om ’Den praktiske gennemførelse af kravet i bekendtgørelsens bilag 5’, hvor jeg vil gennemgå Jyske Banks erfaringer med implementering af kravene i ledelsesbekendtgørelsen med fokus på den praktiske implementering i organisationen og opbygning af den grundsten af samspillet imellem forretningsprocesser, systemer og rettigheder, som skal drive sikkerhedsstyrings- og risikostyringsprocesser.

Jeg håber, at deltagerne vil få en indsigt i én måde at tackle kravene i LBEK Bilag 5 på og kan drage nytte af mine egne ‘læringsoplevelser’ i den proces. Vi er som sagt en branche med mange indbyrdes afhængigheder, så selvom der er konkurrence i sektoren, så er der indenfor cybersikkerhedsfaget en fælles forståelse af, at sammen er vi stærkere, så jeg sætter stor pris på muligheden for at dele min viden med deltagerne.

Vil du gerne høre mere om hvordan Jyske Bank arbejder med at bringe sammenspil imellem forretningsprocesser?

På konferencen Cybersikkerhed i den finansielle sektor den 21. & 22. september holder Tobias Abildgaard Hald et indlæg om Jyske Banks setup i forhold til rettigheder i sikkerhedsstyrings- og risikostyringsprocesser. Læs mere om konferencen her og tilmeld dig her.