För två år sedan var det bara ett fåtal av Avanzas kunder som loggade in på banken med mobilen. Idag är det lika vanligt som att använda pc – och den mobila användingen ökar stadigt. Kunderna kan glädja sig åt ökad tillgänglighet och flexibilitet, men det uppstår också nya risker.

– Människor är mer exponerade för hot. Visserligen har bank-id bidragit till en smidigare och säkrare inloggning, men det har uppstått andra risker i och med mobiliteten, säger Avanzas cio Peter Strömberg.

Dels till synes självklara saker, som att folk förlorar mobiler som innehåller känslig information, och att de – trots alla varningar – fortsätter att klicka på skadliga länkar.

– Sådana angrepp är svåra för oss att rå på. Det är alltid någon som kommer på nya sätt att lura människor, säger Peter Strömberg.

Men digitaliseringen och mobiliteten, med integrationer i molnet och ett allt snabbare utvecklingstempo, medför också risker på ett djupare plan. Hela det agila, digitala paradigmet kräver motsvarande säkerhetstänk.

– Förr gjorde vi, precis som många andra, penetrations- och sårbarhetstester ett par gånger om året. Men nu, när vi releasar i princip hela tiden, kör vi sårbarhetsskanning dygnet runt, berättar Peter Strömberg.

– Vi har flyttat sårbarhetsanalysen längre in i utvecklings- och releaseprocessen så att vi kan åtgärda brister och sårbarheter innan de når ut i produktion och till våra kunder.

För att kunna hålla jämna steg med utvecklingen har man satsat hårt på automatisering.

– Vi har investerat i tekniska lösningar för övervakning, skanning, behörighetshantering och kravställning. Det betyder inte att vi är skyddade mot alla tänkbara hot, men det gör det hela mer hanterligt och proaktivt.

Läs också: Ambassadörer och processer – så it-säkrar han snabbväxande Mysafety

Som cio har Peter Strömberg det yttersta ansvaret för it- och informationssäkerhet på Avanza. Vid hans sida i frågan finns en informationssäkerhetschef, ciso, som rapporterar till ledningen via en affärsområdeschef, samt en it-säkerhetschef som rapporterar till honom själv vad gäller it-säkerhetstekniska, operativa, taktiska och strategiska initiativ.

Förutom att lyfta frågorna i styrelsen och ledningen arbetar Peter Strömberg aktivt med att föra in säkerhetstänket i företagets ”dna”, inte minst på utvecklingsavdelningen.

– Här tycker jag att vi har nått ganska långt. Många av utvecklarna jobbar med de här frågorna på eget initiativ och startar egna diskussionsforum kring säkerhet inom olika tekniker. Det är superhäftigt, för det innebär ju verkligen att vi lyckats integrera tänket.

På Avanza finns en ny säkerhetsgrupp som träffas varannan vecka med representanter från hela verksamheten. It-säkerhetschefen driver ett liknande forum med teknikfokus.

Ett enormt viktigt arbete, som involverar både it- och informationssäkerhet, handlar om informationsklassning.

– Dessutom jobbar vi med löpande genomlysning av våra it-processer med hjälp av särskilda riskpiloter. De fångar upp riskerna, sedan har vi kvartalsmöten där vi konsoliderar, analyserar och koordinerar dem.

Läs också: Äntligen dags för det smarta kylskåpet? Nu ska Electrolux koppla upp allt

Det kan låta självklart för en onlinebank att sätta säkerheten främst, men även här gäller det att tänka till och väga orden rätt för att få gehör. Peter Strömberg undviker skrämselpropaganda i dialogen med ledningen. Istället försöker han tala om säkerhet i positiva termer – och visa vad god it-säkerhet kan göra för Avanzas kunder varje dag.

– Ofta väljer jag tillgänglighetsperspektivet. Digital tillgänglighet är ju det vi lever på som onlinebank. Om kunderna inte kan komma åt våra tjänster finns vi inte och det gäller oavsett om vi skulle gå ned på grund av dataintrång, teknikhaveri eller mänskligt slarv.

Många sårbarheter kokar som bekant ner till ”den mänskliga faktorn”. Även här kan ny teknik vara till hjälp i säkerhetsarbetet.

– När jag sitter med våra dataanalys-experter och analyserar kundernas beteende för att se hur våra tjänster fungerar drar vi också slutsatser ur it-säkerhetsperspektiv.

Preventivt säkerhetsarbete är viktigt. Det gäller att vara på tårna och blicka framåt.

– Vi tittar, läser och tillskansar oss kunskap för att försöka förstå vad saker innebär för oss och våra kunder, berättar Peter Strömberg.

I banksektorn finns flera forum där man diskuterar it- och informationssäkerhet. Dessutom har Avanza kontakt med Myndigheten för samhällsskydd och beredskap.

– Vår bästa chans att hänga med är att dra nytta av den samlade kompetensen och plocka det bästa ur standarder och ramverk, som ISO 27000, riktlinjerna från European Banking Association och SANS 20.


Den 14 november talar Peter Strömberg på vårt event Cloud Confessions, GDPR Edition. Platsen är Scandic Continental vid Stockholms centralstation och du möter också cio:erna från Tele2, German Aerospace Center och Advokatfirman Vinge. Se alla talare här.


Peter Strömbergs 5 säkerhetstips

1. Välj dina ord. När vi talar om säkerhet som kundupplevelse, kvalitet och tillgänglighet – en viktig del av vårt erbjudande till kunderna – blir budskapet lättare att ta till sig.

2. Jobba med operativ risk – hela tiden. Dokumentera, koordinera och balansera risker och aktiviteter i ett GRC-verktyg som passar er.

3. Prata om risk i enkla termer. Krångla inte till det, ställ frågan som ”vad är du mest orolig för i exempelvis den tekniska plattformen?”

4. Konkretisera värdet av information på en skala, exempelvis 0–3, och använd den vid klassning av tillgänglighet, riktighet och sekretess.

5. Kämpa. Det kan vara omständligt, men genom att förenkla får du energi att fortsätta förbättra!