Frende Forsikring har hatt stor vekst som forsikringsselskap siden starten i 2007, og har nå over 300 ansatte, med en IT-avdeling som teller 50 ansatte. Frende Forsikring lager og drifter sine egne forsikringsløsninger, blant annet for å ha kontroll med brukeropplevelsen og flatene kundene skal bruke.
– Forsikringssystemer er komplekse greier, og krever utallige integrasjoner for å fungere optimalt. Vi selger liv- og skadeprodukter, og trenger derfor mange ulike støttesystemer, sier Kristian Kastet, CISO (Chief Information Security Officer) i Frende Forsikring.
Hvordan fant dere Netsecurity, hvordan startet samarbeidet?
Kastet forteller at Frende Forsikring helt siden starten i 2007 har hatt et prinsipp om at alle nye løsninger skal gjennomgå en sikkerhetstest. I tidligere samarbeid med sikkerhetspartnere ble løsningene optimalisert etter rapporter fra testing som fortalte hva som ikke fungerte.
– Vi hadde flere ulike samarbeidspartnere på IT-sikkerhet innom, men i 2016/2017 begynte vi å se etter en ny partner på penetrasjonstesting. Vi var ute i markedet, hadde samtaler og intervjuer med aktører i Bergensområdet, hvor hovedkvarteret vårt ligger. Videre sjekket vi med kolleger og andre virksomheter som hadde hjelp til penetrasjonstesting. Vi inviterte Netsecurity innom, og de bekreftet det gode inntrykket vi hadde fått av dem fra andre som hadde jobbet med dem. Vi bestemte oss for å kjøre på, så vi innledet samarbeidet, og i starten av 2017 gjennomførte de en del penetrasjonstester på systemene våre.
Frende Forsikring forstod raskt at Netsecurity er en profesjonell aktør.
– Vi opplevde Netsecuritys representater som tillitvekkende, det var tydelig at de hadde mye erfaring og kunnskap. I tillegg til å svare på det vi ba dem om å sjekke, ga de oss utfyllende informasjon om andre områder de så at vi burde teste. De har vært direkte og tydelige, og vi har hatt en god, åpen dialog hele veien, så siden den gangen har samarbeidet fortsatt. Vi er like fornøyde nå som den gangen.
Hva slags utfordring kom dere til Netsecurity med?
– Noe av det første vi gjorde, var å arrangere en workshop med Netsecurity for utviklerne våre, hvor vi ønsket å øke bevisstheten rundt sårbarheter i egen kode og egne applikasjoner. Trusselbildet for oss som forsikringsselskap er nok mer utydelig enn for andre aktører i finansbransjen. Samtidig som vi ikke regner oss som de mest attraktive målene for de digitale truslene, vet vi at man ikke kan utelukke noe som helst. Det er aktører der ute som er interessert i det vi driver med.
– Som en konsekvens av det er vi opptatt av å sikre systemene våre, drive brukeropplæring og bygge sikkerhetsløsninger rundt ansatte. Vi sitter på sensitive kundeopplysninger, og tar selvsagt det ansvaret på det største alvor, også når det kommer til systemene for å holde disse opplysningene trygge. Her fikk vi hjelp fra Netsecurity, god rådgivning rundt hvilke sikkerhetsprodukter som var relevante for oss.
Hvilke andre metoder er utprøvd for å løse dette?
– Vi har leid inn folk fra andre firmaer tidligere, men over tid flytter kompetansen på seg. De begynner å jobbe i andre bransjer enn konsulentbransjen og da kan vi ikke lengre leie dem inn, sier Kastet, og tilføyer:
– Lokal tilknytning er viktig for oss i valget av partner på sikkerhet. Mange aktører er interessert i å ivareta vår sikkerhet, men for oss er det helt avgjørende at vi kan snakke med disse menneskene, hilse på dem, bli kjent med dem, og ha mulighet til å forholde oss til dem i hverdagen. Vi åpner opp dørene inn til de dypeste hemmelighetene i firmaet, så en viss nærhet og dialog må være på plass.
For Frende Forsikring har det vært viktig å sitte igjen med et sluttresultat som kan brukes til noe:
– Innsikt og oversikt er avgjørende: Hva er gjort, hvilken metodikk er brukt, hva er utelatt fra rapportene vi får, hvilke anbefalinger kommer for videre arbeid? Her har Netsecurity levert på alle punkter.
Hvilke konkrete verktøy har dere fått fra samarbeidet med Netsecurity?
– En av de første tingene vi gjorde da vi begynte å penetrasjonsteste, var å be Netsecurity ta en gjennomgang av hvordan nettverket vårt er skrudd sammen, hvordan separasjonen mellom ulike deler av nettverket fungerer. Vi ønsket ikke en black box-test, og hadde som utgangspunkt at det er mulig å komme seg inn og få tak i en brukerkonto i Frende.
– Vi vet at det er umulig å helgardere seg, ingen systemer kan garantere det. Avtalen var at hvis Netsecurity kom over sensitive opplysninger, skulle de stoppe og gi beskjed til meg. Vi lot dem jobbe, og det tok ikke mer enn ti minutter før de kom og sa “vi må ta en prat”. Det de hadde gjort, var å avdekke at vi hadde noen utfordringer rundt utformingen av passordpolicyene våre.
Kastet forteller at passordproblematikk allerede var kjent som en utfordring i Frende Forsikring, og forklarer:
– Vi visste at vi hadde utfordringer med passord, og selv om vi hadde policyen klar, hadde vi ikke innført den i praksis for brukernavn og passord. Ved å sende Netsecurity inn for å teste dette, fikk vi et dokumentert resultat, svart på hvitt av hvordan ståa var. Netsecurity anbefalte at vi forholdt oss til de nye anbefalingene fra Microsoft og NIST (National Institute of Standards and Technology), samt den britiske ekvivalenten til NIST. Dette er forskningsbaserte retningslinjer som vi ble anbefalt å integrere i applikasjonene våre. Vi fikk også hjelp til å gjennomføre dette og planlegge implementering flere steder i systemene våre.
Ved hjelp av et konkret resultat i rapporten fra Netsecurity ble det lettere å se hvordan utfordringen kunne håndteres:
– Rapporten fra Netsecurity ga oss mange pekepinner på hvordan vi kunne forbedre IT-praksisen vår. Egne ansatte er en av de største reelle sikkerhetstruslene for de fleste virksomheter, rett og slett fordi det er menneskelig å gjøre feil. Med en tydelig rapport over dokumenterte svakheter ble det lettere å fange oppmerksomheten til både ansatte og andre samarbeidspartnere. Vi har vært opptatt av å øke forståelsen for den evigvarende utfordringen IT-sikkerhet er, og har hatt fokus på brukeropplæring. Med 300 ansatte er sjansene gode for at en hacker lykkes, rent statistisk er det umulig å unngå det.
Hvordan har samarbeidet med Netsecurity vært?
– Vi har utfordret Netsecurity en del, kommet med rare ønsker om ting vi ønsket oss løsninger for. Vi er pålagt å øve på beredskapsplaner, og fordi vi så at det var manglende forståelse internt for hvordan vi takler et hackerangrep, gikk vi til Netsecurity og ba dem om å gi oss noen øvelser som kunne øke forståelsen og kunnskapen rundt dette.
– Vi ba dem om å kjøre et opplegg internt, for å få en ordentlig gjennomgang av hvordan et sånt angrep vil arte seg. Dette løste de forbilledlig og kreativt: De lagde et fysisk spill med terninger som vi kjørte internt, sammen med dem. Det var utrolig nyttig, en solid øyeåpner for mange ansatte når det gjelder kompleksiteten i en del av de IT-utfordringene vi ikke ser med det blotte øye i hverdagen.
Selv om mange er klar over at hackere og cyberkriminalitet er en reell trussel for de fleste virksomheter, er det ikke alle som har en plan for hvordan ansatte skal reagere når de oppdager et angrep. Kastet forteller at dette var noe de fikk hjelp til:
– For de fleste av oss er første tanke når vi oppdager en inntrenger i nettverket at vi må kaste dem ut, få dem vekk. Problemet er at ingen på det tidspunktet vet hvor inntrengerne er, ingen kjenner omfanget av angrepet. Det skaper usikkerhet og kompleksitet, og vi lærte at det jo er nettopp det som må håndteres i en sånn situasjon. Netsecurity har verktøy og kunnskap til å takle dette, så nå som vi virkelig forstår hvor kompleks en slik situasjon og riktig håndtering av den er, setter vi enda mer pris på å ha Netsecurity med på laget.
– Flere ganger har vi stått fast i noe, og gått til Netsecurity med det, sagt at her har vi støtt på noe vi ikke kan nok om, kan dere bistå her? Vi har alltid fått god hjelp, og har brukt dem til rådgivning i situasjoner der vi ikke har hatt konkrete tekniske løsninger tilgjengelig.
Hvilke konkrete resultater eller forbedringer har samarbeidet gitt?
– Vi har brukt Netsecurity til å kurse utviklerne våre, og har sett en stor økning i bevisstheten rundt IT-sikkerhet. Selv om vi har mange utviklere med lang fartstid som er klare over viktigheten av IT-sikkerhet, har vi også en del yngre utviklere som ikke har rukket å bli like godt kjent med dette fagområdet. Vi ønsket å få dem opp på et visst kompetansenivå, og her har Netsecurity vært til stor hjelp.
– Rapportene og penetrasjonstestene har vi også brukt internt, blant annet til å optimalisere passordpolicyen vår. Endringer er ikke alltid like populært, men når vi har konkrete resultater å vise til, er det kraftig ammunisjon.
Alt i alt er Frende Forsikring svært fornøyd med Netsecurity som sikkerhetspartner, og Kastet oppsummerer samarbeidet på følgende måte:
– Det er behagelig å jobbe med Netsecurity, jeg opplever at vi får respons og tilbakemeldinger kjapt, de er alltid profesjonelle og kommer med gode faglige innspill. Dersom jeg har en tanke om noe vi bør gjøre på den ene eller andre måten, kommer de gjerne med innspill der de løfter det jeg har foreslått, og viser hvordan forslaget kan bli enda bedre. Vi har alltid fått hjelp når det har vært behov for det, og selv om vi ikke har hatt behov for å trykke på den store røde knappen hittil, er vi trygge på at Netsecurity er der hvis det skulle bli behov for dem.