IT-säkerhet har varit ett populärt och omdebatterat ämne under de senaste åren, inte minst efter GDPR:s intåg. För att reda ut hur de ökade säkerhetskraven påverkar företag idag och i framtiden har vi ställt några frågor till Anders Klintelius, CTO på Stratsys.
1. Vad gör en CTO (Cheif Technical Officer) på ett IT-bolag?
– Som CTO har jag ett övergripande ansvar för utvecklingen av våra produkter. Jag säkerställer att vi kan leverera en teknisk plattform med globalt skalbara tjänster som älskas av våra användare, förklarar Anders. Det är även min uppgift att se till att vi implementerar de senaste säkerhetsstandarderna – och att rätt säkerhetsnivå genomsyrar hela organisationen. Säkerhetstänket appliceras både i våra egna processer internt och tekniskt i våra produkter, så att våra kunder alltid kan känna sig trygga med att vi hanterar deras information.
2. Hur ser kraven på säkerhet för molntjänster ut idag kontra för 5 år sen?
– Idag börjar våra kunder bli mer mogna att föra diskussionen kring säkerhet, menar Anders. Frågorna som ställs är allt mer avancerade än vad de var för fem år sen, då många idag bedriver ett aktivt informationssäkerhetsarbete. Tidigare låg leverantörens fokus främst på den tekniska säkerheten i applikationerna och driftsmiljön. Idag är det minst lika viktigt att säkerställa att man kan leva upp till internationella säkerhetsstandarder, så som ISO 27001/2/18.– När vi utvecklar våra produkter i Stratsys plattform jobbar vi med manuella säkerhetsgranskningar, men på senare tid har vi även automatiserat en del av säkerhetsarbetet. Vi scannar till exempel all kod som checkas in för att hitta sårbarheter – och när applikationer byggs gör vi automatiska säkerhetsscanningar på applikationsnivå med Detectify. Utöver detta har vi även automatiska scanningar av driftmiljön för att upptäcka säkerhetsbrister i infrastrukturen, berättar Anders vidare.
– Ett flertal av våra kunder gör idag även egna säkerhetsgranskningar, inklusive penetrationstester av Stratsys plattform. En central del av informationssäkerheten handlar om säker inloggning och behörighetsminimering, vilket idag är mer eller mindre standard.
– Med centraliserad inloggning får man även möjlighet att koppla på nya smarta AI-tjänster, för att till exempel kunna upptäcka om en användares konto har blivit hackat och automatiskt genomföra åtgärder för att minimera risk för informationsläckage.
– Men säkerhet handlar om mer än bara teknik eller organisation. Tekniken måste samverka med organisationen för att arbetet ska bli framgångsrikt. För att uppnå hög säkerhet i ett system krävs också att leverantör och kund har en gemensam diskussion för att sätta upp en säker lösning. Med det sagt involverar informationssäkerhetsarbetet inte bara IT-avdelningen utan ofta hela organisationen.
3. Vad ser du för utmaningar när det kommer till kraven på ökad säkerhet?
– De största utmaningarna just nu rör Cloud Act och GDPR – lagarna talar emot varandra och är därför svåra att förhålla sig till. När det kommer till machine learning och artificiell intelligens håller de på att vända upp och ner på hela säkerhetsarbetet. Teknologin kan användas för att ta dataskydd till en helt ny nivå, menar Anders. Men även av illasinnade som vill spionera och stjäla information.De som investerar mest i den senaste teknologin är de stora amerikanska jättarna, vilket blir problematiskt då många organisationer inte vill lägga ut säkerhetsklassad information där på grund av Cloud Act.
4. Om du får välja EN – vilken trend kan IT-bolag inte ignorera de närmaste åren?
– Ignorerar du säkerhet så kommer du inte finnas kvar inom några år, vill Anders understryka. Man ser också en transformering av traditionella applikationer till smarta tjänster. Smarta tjänster som baserat på den information som applikationen känner till kan ge användaren intelligenta insikter och förslag – istället för att bara vara ett inmatningsgränssnitt och visning av information.