IT-säkerhet – viktigare än någonsin
I takt med digitaliseringens utveckling blir IT-säkerhet allt viktigare för varje framgångsrikt företag. Och med nya direktivet som kommer vid årsskiftet har behovet av robust säkerhet blivit ännu mer aktuellt. Genom att integrera säkerhetskrav tidigt i sin utvecklingsprocess minimerar man risken för allvarliga brister och potentiella incidenter efter lansering av sin digitala tjänst eller produkt, ett tillvägagångssätt som inte bara skyddar företagets data utan också dess ekonomi och rykte.
QESTIT har sedan 2006 jobbat med att hjälpa sina kunder att kvalitetssäkra sin mjukvara, vilket till stor del handlar om att ställa rätt krav vid utveckling av systemet, så att produkten uppfyller det användarna förväntar sig när den lanseras. Företaget erbjuder också tjänster inom säkerhet med tyngd på penetrationstester. Man kan likna det vid simulerade cyber-attacker för att testa kundernas IT-säkerhet. Och med ett nytt direktiv, NIS2, som träder i kraft vid årsskiftet och som innebär att företag kan bli bötfällda för undermålig IT-säkerhet, blir deras arbete ännu viktigare.
– Vi har stor kompetens inom test och kvalitetsutveckling och 2019 såg vi en möjlighet att expandera vår verksamhet, dels med ett nytt kontor i Malmö, dels med ett nytt affärsområde. På Malmökontoret är säkerhetstester av IT-system och processer i fokus, berättar Fredrik Abrahamsson, som är företagets VD och har 20 års erfarenhet av branschen.
Förebyggande säkerhetsarbete lönar sig
Identitetsstölder, där hackare stjäl och missbrukar personliga uppgifter som kreditkorts- och personnummer, blir alltmer frekventa. På samma sätt ökar också ransomware-attacker, där cyberkriminella krypterar eller stänger ner företagssystem för att sedan kräva lösensummor. Båda typerna av IT-brott har blivit vanligare och utgör växande hot mot säkerheten.
På QESTIT arbetar man med förebyggande säkerhet för att identifiera och hjälpa verksamheter att åtgärda säkerhetsbrister innan de utnyttjas av obehöriga genom att bland annat utföra penetrationstester.
– Vi agerar som etiska hackare, det vill säga med en vänlig inställning. Vår expertis är att identifiera sårbarheter och potentiella hot innan någon annan gör det, säger Patrik Jezierski, som är cyberssäkerhetskonsult och var med och startade kontoret i Malmö.
Att proaktivt integrera säkerhet i utvecklingsprocessen är bevisat mycket effektivt och QESTIT uppmanar sina kunder att testa sina system i ett så tidigt skede som möjligt, exempelvis via hotmodelleringar eller penetrationstester.
– Vi ser gång på gång att de som har haft ett säkerhetstänk redan i ett tidigt skede oftast är de projekt som vi hittar minst brister i, säger Patrik.
Högre krav på IT-säkerhet
Vid köp av en IT-produkt, exempelvis en SaaS-lösning som är ett färdigt system, utformar man oftast en kravspecifikation med önskade funktioner och egenskaper för systemet. När man sammanställer sin kravspecifikation är det viktigt att även krav rörande säkerheten är inkluderade, något som QESTIT också hjälper sina kunder med.
– Har man inte specificerat krav på säkerhet innan inköp så är det svårt att komma med en sådan efteråt. Vi stöttar våra kunder med kunskap kring dessa delar när de upphandlar produkter, säger Mattias Döj, som även han är cybersäkerhetskonsult och var med och startade upp kontoret i Malmö.
Vid årsskiftet implementeras det nya NIS2-direktivet, som ställer högre krav på säkerhetsåtgärder inom kritisk infrastruktur. Direktivet omfattar alla organisationer som är involverade i samhällsviktiga tjänster, oavsett om de är offentliga eller privata. Och förändringen understryker behovet av att vara proaktiv snarare än reaktiv när det gäller IT-säkerhet.
– Blir man attackerad ska man ha god säkerhetshygien. Har man inte det riskerar man som bolag att få höga bötesbelopp och kan behöva betala upp till 4–5 % av den globala omsättningen, berättar Mattias.
QESTIT blev 2022 uppköpta av ett franskt/schweiziskt företag, vilket har resulterat i att man har fått en språngbräda mot Europamarknaden med uppdrag och kunder i bland annat Schweiz och Tyskland.
– Baksidan är ju att vår tillväxt sker i takt med en växande hotbild. Men vårt mål är inte att bara ingripa vid incidenter utan att hjälpa till att aktivt förhindra dem, säger Fredrik avslutningsvis.
Genom att integrera IT-säkerhet från starten i sin utveckling säkrar företag inte bara sin digitala framtid utan gör också en viktig investering för att skydda sin verksamhet mot de osäkerheter som digitaliseringen medför.
Intervju: Wilhelm Walaker