Pelagia er en av verdens ledende produsenter av pelagisk fisk med fokus på å bruke hele fisken i forskjellige produkter, med virksomhet i fem land og mer en 1500 ansatte. Det er helt essensielt for driften å ha fokus på sikkerhet, og CIO Frode Vatne er nådeløs:
– Når det gjelder sikkerhet stoler jeg ikke på noen, inkludert meg selv. Som alle andre ansatte må jeg som øverste leder for teknologi be om tilganger til ulike programmer og systemer. Ingen hos oss har tilgang til alt, heller ikke Advania.
Advania har hatt ansvaret for IT-sikkerheten hos Pelagia siden 2014. Det er et krevende oppdrag.
– Jeg stiller vanvittig høye krav til leverandøren, dersom Advania ikke hadde gjort en god jobb, hadde vi sluttet å bruke dem. Jeg er totalt avhengig av at Advania forstår hvordan jeg tenker og at de kan håndtere det som oppstår. Derfor håndplukker jeg konsulenter og prosjektledere, de er dyktige og vet hva de skal levere.
Tester sikkerheten hele tiden
Hvert år inviterer Frode Vatne og Pelagia inn et dyktig IT-miljø i Norge for å teste sikkerheten. De blir plassert på en lokasjon, får en jobb-PC, brukernavn og passord, og klar beskjed: Installer det dere trenger og bruk de neste månedene på å bryte dere inn hos oss.
– Det er like spennende hvert år både for oss og Advania når den rapporten presenteres. Det er alltid noen funn, og hvis ikke, må IT-miljøet bruke lenger tid på å finne noe. Det dukker alltid opp noe. Og da er det å sette inn tiltak, på samme måte som vi evaluerer og setter inn tiltak gjennom året. Det er en rivende utvikling og det som var godt nok i 2022 er ikke godt nok i 2023. Advania presenterer nye tiltak hver eneste måned, sier Vatne.
Så ofte som hver tredje eller fjerde dag kommer det meldinger om hendelser fra overvåkningssystemet; SOC-en. Vatne selv sitter ikke og følger med, selv om SOC-en er «en viktig del av livet».
– Jeg lar meg ikke stresse av antallet hendelser. Ansvaret er mitt; når ting ikke funker er det mitt ansvar, men det er ikke min jobb å få det til å funke. Jeg regner med at de som er ansatt til å følge med og håndtere hendelsene, gjør det, og at de informerer meg når det er nødvendig. Det må jeg ha full tillit til.
– Den største faren kommer innenfra
Det Vatne imidlertid ikke har tillit til, er seg selv og alle som jobber eller leverer tjenester, når det gjelder sikkerhet. Hver måned har alle ansatte opplæring i sikkerhetstiltak, som for eksempel hvordan man skal avsløre forsøk på phishing. Arbeidsstokken er godt informert, likevel vet Vatne at det ikke er nok.
– Den største faren er våre egne ansatte og leverandører av IT tjenester, som slipper inn tredjepartsaktører. Idet man åpner opp for en tredjepart, åpner man samtidig opp for denne partens nettverk av kunder og leverandører. Det skal ikke mer til enn at noen er litt uforsiktige, derfor må vi jobbe mye med rutiner og holdninger. Det er for eksempel ikke lov å bruke USB-stick eller privat utstyr i forbindelse med jobb. I tillegg har vi ansatte fra mange land som bruker vårt nettverk til å kontakte familien i hjemlandet. Vi nekter ikke våre ansatte kontakten med familien, men det stiller svært høye krav til sikkerhetsløsningene.
For Vatne er det ikke et spørsmål OM noen kommer til å bryte seg inn, spørsmålet er hva som skjer NÅR de bryter seg inn.
– Det som er viktig da, er at de ikke får tilgang til informasjon. Det er det vi jobber med hele tiden. Vi er totalt avhengige av å ha kontroll på infrastrukturen vår, at kontornettverket er sikkert og at produksjonsnettverket er sikkert. Det er blitt bra. Men det er aldri godt nok.
CIO Frode Vatnes tre leveregler når det gjelder IT-sikkerhet:
1. Det som er godt nok i dag er ikke godt nok i morgen.
2. Du skal aldri ha tillit til noen, inkludert deg selv.
3. Angrep kommer innenfra.
Foto: Frode Sandal, Hike Kommunikasjon
Denne artikkelen ble først publisert i et bilag til Dagens Næringsliv, utgitt av Nasjonal Sikkerhetsmyndighet i februar 2023.
