”Ett företag ska ha ändamålsenliga processer för hur det hanterar sina it-system. Företaget ska dokumentera processerna och beskriva de förhållanden som är av betydelse för att det ska kunna hantera it-systemen på ett kontrollerat sätt”, läser jag och tittar upp på en framåtlutad, långsamt nickande och snett leende Mark. Han ställer ner kaffekoppen.

Det där kravet är inte att leka med.

– Nä, vi banker kommer att ha ett ansenligt dokumentationsarbete framför oss. Jag känner till väldigt få banker som är särskilt processorienterade och ännu färre som har dem dokumenterade. 9001-certifieringar är vanliga inom industrin men jag tror inte att vidare många banker är där.

Den 1 juni i år trädde nya regler från Finansinspektionen i kraft: Finansinspektionens föreskrifter och allmänna råd om informationssäkerhet, it-verksamhet och insättningssystem (FFFS 2014:5). Populärt kallad ”it-föreskriften”. Citatet ovan är från 3 kap. 4 § om processer.

Mark Hejja är CSO på Nordnet Bank och har varit på banken i sju år. Mark samordnar och leder säkerhetsarbetet i banken. I praktiken handlar det om att se till att operativa risker som rör säkerhet identifieras och hanteras på bästa sätt.

…vi är inte särskilt intresserade av 1 + 1 = 2, vi vill hitta de fall där 1 + 1 = 78

Vad är viktigast för att bli framgångsrik som säkerhetschef i dag?

– Det är att klara av att balansera affärsnytta mot risktagande. Tiden då säkerhetschefen ställer säkerhetskrav blint är förbi. Det är i interaktionen med omvärlden affärsnyttan finns. Där finns också riskerna. Det gäller att kunna balansera dem. Jag har faktiskt funder…

…det där låter bekant.

– Haha, jag antar att det är vad du menar med affärsmässig säkerhet. For the record så hade jag den uppfattningen innan jag läste om Springflod. Hur som helst, jag har funderat på vilka egenskaper som är nyttiga för att kunna se och förhålla sig till något så abstrakt som risker. Jag tror att situational awareness är nyttigt, förmågan att se hur mindre egenskaper eller små skeenden kan påverka ett förlopp i det stora hela. Det är något som söks hos trafikledare och liknande. Det och kommunikationsförmåga förstås. Mitt jobb handlar nästan alltid om att övertyga någon annan om att hantera en, eller att prioritera vissa, risker. Jag äger inte alla risker bara för att jag är säkerhetschef.

Mark Hejja

De här andra personerna, affärsområdeschefer och så som verkligen drar in pengar till bolaget, hur ser de på dig egentligen?

– Jobbig delvis, men jag tror de uppskattar att vi har en konstruktiv dialog. Jag har som princip att aldrig svara nej utan att i så fall alltid komma med ett, förhoppningsvis, kreativt motförslag i stället. Jag lägger ner mycket tid på att försöka förstå affärs- och produktsidan för att hitta bra sätt att navigera runt risker.

Du har ju jobbat på andra ställen också. Är det speciellt att prata om säkerhetsrisker just på en bank?

– Finansbranschen har lång erfarenhet av att omsätta risker till finansiella värden. Det gör att det ligger närmare till hands att väga och prioritera även säkerhetsrisker. Jag har alltid känt att det underlättar jämfört med när jag har jobbat i andra branscher som konsult. Vi är också väldigt vana vid extern reglering, i synnerhet när viss verksamhet finns utomlands. Reglerna i Sverige förändras ju som sagt, svenska föreskrifter har varit generella men blir mer och mer detaljerade vilket har varit vanligt i andra länder en tid. Tyvärr är reglerna i olika länder sällan samstämmiga så det kan bli en del pussel.

Vi bedömde exempelvis risken för strejk för en tid sedan, svaren var över hela kartan…

Okej, vi stannar med riskerna ett tag så går vi tillbaka till regleringen sen. Vad tycker bankers ”vanliga” riskanalytiker om operativa risker egentligen?

– Många av de som kommer från den ekonomiska risksidan tycker ofta att det är stökigt och rörigt. Det saknas en matematisk elegans som går att räkna på. Det blir ofta subjektivt och till stor del en erfarenhets- och bedömningsfråga.

Jag kan tänka mig det. Om en utsätter sig för en kreditrisk genom att låna ut pengar så är det tydligt vad worst-case är och vilka ränteintäkter som kan förloras över tid.

– Visst, det finns modeller för att räkna ut kreditrisker och det är oftast möjligt att basera beräkningen på historiska data. Inom informationssäkerhet finns sällan sådana. Tekniken och hoten förändras för snabbt för att kunna samla historik till att bygga prediktiva modeller.

Vad är nyckeln till att analysera våra stökiga, operativa risker då?

– Det finns ju ingen perfekt metod, det råder helt enkelt stor osäkerhet. Det finns dock flera viktiga saker att tänka på. Jag är till exempel noga med att värderingen av risker ska ha en tydlig verklighetskoppling så att de är lättare att relatera till och bedöma. Konsekvensbedömningar till exempel: vi använder en sexgradig skala som löper från förluster på 100 000 kr till 1 miljard. Sannolikhet uttrycker vi som antal händelser per år, från tolv gånger per år till en gång per hundra år…

…hur många gånger per år har världens mest etablerade krypteringsbibliotek en sårbarhet som är trivial att utnyttja och kan användas för att läsa ut den privata nyckeln rakt ut från en oautentiserad nätverkskoppling?

– Haha! Ja du och vad är den ekonomiska konsekvensen? Jag ser fram emot att läsa en analys av vad Heartbleed faktiskt kostade onlinevärlden…

Förlåt, fortsätt.

– Jo, de måste ha en koppling till verkligheten, om du och jag har svårt att ta ställning till ”medelhög” konsekvens och ”hög” sannolikhet så kan du bara gissa hur verksamheten reagerar. En annan sak, blanda aldrig ihop sannolikhet och konsekvens genom att multiplicera dem till något ”riskvärde” (Mark gör citationstecken med händerna). Jag antar att det görs för att kunna sortera risker i ordning men det finns ingen anledning, behandla det som två separata aspekter bara.

Så varför ska de inte multipliceras?

– När du inte har linjära skalor för sannolikhet och konsekvens så går de inte att multiplicera för att ge ett riskvärde. Kan du likställa en risk för 12 incidenter per år till ett värde av 100 000 kr vardera med en incident vart hundrade år till ett värde av 1 miljard kr? Självklart inte.

Hur görs prioriteringen mellan risker då?

– Det är inte så svårt, enklast är att jämföra risker två och två och där igenom sortera dem. Se det som en form av bubble sort. Det svåra steget är att bedöma sannolikheten och konsekvensen per enskild risk, inte att sedan väga dem mot varandra.

När vi pratade på mail tidigare sade du att du föredrog workshopformatet vid riskanalyser. Är det inte stor variation på bedömningarna när det är olika personer med olika bakgrund? Hur kommer du fram till vad som är mest rätt?

– Jag ger inte mycket för demokratiska bedömningar eller vad det ska kallas. Jag råkade ut för en konsult en gång som lät alla rösta och sedan valde något form av medelvärde. Hela tiden. Han visar ingen respekt för att olika personer har olika kompetenser. Vi bedömde exempelvis risken för strejk för en tid sedan, svaren var över hela kartan men jag bestämde mig för att gå på personalavdelningens bedömning. De vet rimligen bäst.

Något annat om riskanalys innan vi studsar tillbaka till extern reglering?

– Ja, sluta fokusera på orsaken till ett riskutfall, försök hantera verkan i stället.

Vänta, vad menar du nu?

– En och samma konsekvens kan komma av flera olika anledningar, alla av olika orsaker med olika sannolikheter. Inom informationssäkerhet så blir det mycket färre variabler att ta hänsyn till i analysen om du fokuserar på att hantera verkan av en händelse. Det är inte säkert att du ens kommer att kunna identifiera alla potentiella orsaker.

…blanda aldrig ihop sannolikhet och konsekvens genom att multiplicera dem

Har du snott min grundpelare? Säkerhetsbrister och intrång ska inte göras mindre sannolika; de ska göras mindre meningsfulla. Jag har i och för sig själv snott den från Dan Geer…

– Jaha, nä men i så fall håller jag med er båda, det låter som vad jag menar! Vad är skillnaden om du glömmer din laptop i en taxi eller om den blir stulen vid ett inbrott? Lösningen är oavsett att kryptera hårddisken.

Vi stannar lite till vid risker. Vi pratade om prioritering och att det är lättare att jämföra risker två och två för att sortera dem. Några strategier för att hantera mängden av risker som identifieras, riskbilden?

– Största misstaget många gör är att de angriper ett säkerhetsproblem i taget och sedan försöker eliminera risken helt. Därefter går de vidare på nästa. De har sällan en strategi för helheten. Genom att minska konsekvensen i flera, mindre steg per risk och sprida dina insatser över flera risker får du snabbare till en mer homogen riskbild. Även om du startar från ett rörigt utgångsläge.

Interaktioner mellan risker tycker jag är intressant, två ungefär lika stora risker är förstås värre än bara den ena. Men, det är ju inte så enkelt tyvärr. Kommentarer?

– Risker kan inte bara staplas, i riskbilden är vi inte särskilt intresserade av 1 + 1 = 2, vi vill hitta de fall där 1 + 1 = 78. Ta exemplet med en tjänst som är exponerad mot internet. Det behöver inte vara en stor risk men kombinerar du den med att använda svaga lösenord så har du plötsligt en mycket hög risk på grund av interaktionen mellan dem. Samtidigt kan du ha två liknande säkerhetsbrister i ett system men ändå behöver det inte betyda att konsekvensen eller sannolikheten blir dubbelt så hög.

Jag går och hämtar en till kaffe innan vi pratar om Finansinspektionen igen. Svart?

Situational awareness, som Mark pratar om, börjar kännas naturligt i sammanhanget. Riskhantering, inte bara riskanalys, kräver också skicklighet. Inte bara metod.

It-föreskriften från Finansinspektionen kom, som föreskrifter sällan gör, inte ensam. Parallellt kom också Finansinspektionens föreskrifter och allmänna råd om hantering av operativa risker (FFFS 2014:4) eller ”föreskriften om operativa risker”. Redan den 1 april 2014 började dessutom den om styrning, riskhantering och kontroll i kreditinstitut (FFFS 2014:1) att gälla. Mer känd som ”SRK-föreskriften”.

Finansinspektionen har grundat bestämmelserna i alla tre på delar av Europeiska bankmyndighetens (Ebas) regelverk GL 44 från 2011. Fram tills nu har GL 44 setts som allmänna råd (”bör-krav” för er som är kravorienterade) för banker. Men, vissa av reglerna byter alltså nu skepnad till föreskrifter och blir tvingande.

Alla tre föreskrifter presenterades på Finansinspektionens seminarium FI-forum den 20 maj i år. I inledningen gjorde Christer Furustedt, chef för banktillsyn, den fantastiska liknelsen att god riskhantering ska fungera som kroppens nervsystem: företaget ska kunna känna att risken ökar.

De nya reglerna ingår i en trend som för bankerna mot mer detaljerade regler. På internationell nivå och i andra länder har detta varit läget sedan flera år. Svenska banker har dock länge haft en mer generell reglering att förhålla sig till.

Eftersom bestämmelserna kommer från en tillsynsmyndighet, som naturligtvis vill göra sitt eget tillsynsarbete enklare, så rör det sig i hög grad om krav på att dokumentera policies, ansvar och processer. Det gäller även den mer specifika it-föreskriften.

Nordnet Bank skylt

Varsågod, med mjölk, utan socker. Du, hur påverkar de nya föreskrifterna er som mindre nischbank?

– Tack. Jaa, de påverkar oss egentligen lika mycket som större banker i förhållande till vår storlek. Det finns en risk att de formaliserade kraven gör att mycket mer vikt behöver läggas på att bocka av krav i stället för att fokusera på riskhantering. En större bank kan sprida ut arbetet på många personer i sin förvaltningsorganisation. Vi måste jobba smartare för att uppnå samma resultat utan att öka vår administration.

Mer arbete men inte högre effekt?

– Vi har arbetat länge med operativ riskhantering från botten upp och involverat verksamheten i det. Det borde inte innebära så stor skillnad på vår förmåga att identifiera och hantera risker. Men visst kommer det att ge vissa positiva uppsidor. Det innebär mer struktur i arbetet och det kommer minska riskerna för att någonting missas. Den största fördelen ser jag nog i att alla i branschen kommer att arbeta på liknande sätt. Det finns ingen möjlighet att ta genvägar och få en edge den vägen.

Tror du att det är vanligt med genvägar?

– Inte hos bankerna själva, det tror jag inte. Däremot tror jag att kvaliteten kan variera hos de som säljer tjänster till banker. Med de nya föreskrifterna måste vi föra vidare krav som ställs på oss till de uppdragstagare som är nödvändiga verksamheten. För hosting, molntjänster och tjänsteleverantörer i allmänhet kan reglerna ha rejäl påverkan.

Det svåra steget är att bedöma sannolikheten och konsekvensen per enskild risk, inte att sedan väga dem mot varandra.

Jag tror att jag räknade till att varannan bestämmelse i it-föreskriften handlade om att dokumentera eller särskilt fastställa något. Vad tror du om regleringar i framtiden?

– Det är uppenbart att det kommer mer. Framför allt kommer det mycket inom data protection för alla företag som hanterar personuppgifter. Det tror jag faktiskt är bra.

Finns det fler branscher som skulle må bra av hårdare reglering tror du?

– Visst finns det branscher där det skulle behövas en skärpning. Det är ganska störande att se många it-tjänstebolag på nätet förlora stora mängder personuppgifter. Jag blir förbannad varje gång jag träffar på en webbtjänst där lösenordspåminnelsen skickar ut det lösenord jag en gång själv satte. Det är inte raketforskning att använda lösenordshashar.


Ni som har följt bloggen under en längre tid, innan jag började skriva under Springflod, vet att jag har, tycker jag, en sund skepsis till riskhantering. I teorin är riskhantering precis vad som behövs. Praktiken lämnar tyvärr mycket att önska.

Inom informationssäkerhet träffar du flera som säger ”säkerhet är riskhantering”. Mark är nog den första jag har träffat som har en utvecklad syn på riskhantering. Mark har tänkt på det här. Han följer inte bara manualer från ISO eller MSB.

Visst finns det seriösa riskanalytiker. Jag tillbringade något år på en mailinglista tillhörande Society of Information Risk Analysts (SIRA). Men, vissa av medlemmarna är extremister. De går bananas om någon visar minsta tvivel. Jag önskar att jag överdrev.

I andra änden finns till exempel Ralph Langner, känd för sina analyser av Stuxnet, som i fjol skrev Bound to Fail: Why Cyber Security Risk Cannot Be ”Managed” Away. Langner är måttligt populär inom SIRA och har för egen del förstås inte mycket till övers för dem.

Mark är dock den första som jag har träffat, som är verksam som säkerhetschef, som säger att säkerhet är riskhantering och har en sofistikerad inställning till det.

Riskhantering kanske inte är så ofräscht ändå.