Marginalen Bank: "Cyloq levererar över förväntan – varje gång"

Sundbybergs Stad är en växande kommun i Stockholm, och i takt med att verksamheten digitaliseras ökar också kraven på säkerheten. För att ligga steget före både dagens och morgondagens cyberhot har kommunen valt att satsa på löpande penetrationstester, veckovisa sårbarhetsskanningar och skarp omvärldsbevakning i ett nära samarbete med Cyloq.  

En långsiktig partner som förstår IT-miljön

Innan samarbetet med Cyloq var säkerhetsarbetet mer sporadiskt. Tester och skanningar gjordes då och då, men utan en tydlig kontinuitet. Det ville Klas ändra på.

Sundbyberg Stad gjorde då en direktupphandling där flera leverantörer fick chansen, och där var det Cyloq som tog hem avtalet om ett fyraårigt samarbete kring penetrationstester och sårbarhetsskanning.

"Vi ville ha ett flerårigt avtal som tillät oss att jobba löpande, baserat på aktuella hot och behov. Därför tillämpar vi olika metoder och olika förutsättningar varje gång." berättar Klas Strömberg, IT-säkerhetsstrateg på Sundbybergs Stad.

En stor fördel med det fleråriga kontraktet är att Cyloq nu verkligen kan Sundbyberg Stads IT-miljö. Klas berättar att de har en löpande dialog med testarna på Cyloq, vilket gör att de kan snabbt kan anpassa upplägget efter vad som är viktigt i stunden. Cyloq kan komma med förslag baserat på rådande omvärldsbevakning och Sundbyberg Stad kan föreslå tester utifrån sina behov.

"De har lärt känna vår miljö och kommer med förslag anpassade efter verkliga hotbilder. Det är en enorm styrka."

Smidig process och tydliga rapporter

Man kan inte kolla på allt hela tiden, utan man måste välja små delar varje gång att fokusera på, så det gäller att välja med eftertanke. Sundbyberg Stad brukar tillsammans med Cyloq diskutera ett område eller ett tänkbart scenario att testa.

“Vi gör ofta en tvåstegsraket. Då gör vi först en bred kartläggning, sedan en gemensam avstämning och bestämmer vad som ska djupdykas i.”

Efter varje test får Sundbyberg Stad en detaljerad rapport. "Rapporterna är välgjorda och konkreta. Det ger oss goda förutsättningar att lösa och täppa till de eventuella sårbarheter som hittas. De har alltid en muntlig genomgång där de förklarar lite närmare, men det mesta framgår tydligt i rapporten. Den är enkel att ta till sig och använda i det dagliga, proaktiva IT-säkerhetsarbetet,” säger Klas.  

De flesta åtgärder fixas av Sundbyberg Stads egna tekniker, men ibland tar man stöd från Cyloq vid behov. Idag kör kommunen 2–3 penetrationstester per år, och dessutom veckovisa sårbarhetsskanningar för att hålla ständig koll på läget.

Färre risker och sårbarheter i miljön

Målet med de kontinuerliga testerna var att reducera riskerna och hitta sårbarheterna innan någon annan gjorde det. Och det är precis vad de har levererat.

"Vi har färre risker och sårbarheter i miljön idag, vilket var syftet. Cyloq hjälper oss att snabbt identifiera brister och täppa till dem innan de blir problem," säger Klas.

Men effekten har inte stannat vid systemen. Rapporterna har hjälpt till att driva dialogen och öka medvetenheten hos de interna IT-teknikerna, vilket bidragit till att ge Sundbyberg Stad en skarpare, mer proaktiv säkerhetskultur.

“Ibland är det nödvändigt att man får externa ögon på direktiv, så man inte sitter och blir hemmablinda.”

Cyloq levererar, Sundbyberg Stad rekommenderar

Klas lyfter fram en av de största fördelarna med att jobba med en mindre aktör, nämligen närheten och snabbheten. "Om det dyker upp något får vi återkoppling direkt. Cyloq är snabba, rappa och extremt lätta att ha att göra med."

Och på frågan om han skulle rekommendera Cyloq till andra organisationer är svaret självklart.

"Absolut. De är kompetenta, har bred erfarenhet och ett starkt eget driv. De vill verkligen leverera bra tjänster till sina kunder. Kundnärheten de erbjuder sticker ut rejält jämfört med tidigare leverantörer."

‍

VX Fiber är ett internationellt företag som levererar bredbandtjänster till företag och kommuner som äger fibernät. Med 80 anställda och ett växande nätverk har IT-säkerhet blivit en central fråga för verksamheten. "Säkerhetsarbetet har blivit så viktigt att vi rapporterar det löpande till styrelsen," säger Tim Cambrant, Chief Security Officer på VX fiber.

En extern partner blev en nödvändighet

Innan samarbetet med Cyloq sköttes säkerhetsarbetet av en intern grupp med ambitionen att göra rätt, men de saknade extern verifiering. "Vi insåg att investerare och kunder förväntade sig en oberoende granskning av vår säkerhet," berättar Tim.

Ansvaret växte i takt med att VX Fiber expanderade. "Ju fler kunder vi levererar till, desto mer samhällskritisk blir vår verksamhet. Säkerhetsfrågorna kommer upp i säljsamtal, och vi behöver kunna bevisa att vi har en robust säkerhetsstruktur," säger Tim. Trots intern kompetens stod företaget inför en avgörande insikt; hur noggrant de än granskade sig själva, krävdes en extern part för att säkerställa att inget missades.

"Vi ville verkligen veta var vi stod och få en extern validering av vårt arbete.”

När de började leta efter en partner ville de ha någon som var flexibel, snabbfotad och lyhörd. Där stack Cyloq ut bland mängden.  

“De stack ut bland de stora jättarna. De var lätta att komma i kontakt med, små men anpassningsbara. De visade att de var redo att göra jobbet istället för att bara försöka sälja in ett stort paket.” Efter ett första möte, föll valet på att anlita Cyloq för att genomföra ett penetrationstest.

Penetrationstester har blivit policy

Tim berättar att de var osäkra på om Cyloq ens skulle kunna hitta något under de två veckor som de har på sig att göra ett penetrationstest.  

“Vi hade folk på plats som var redo att svara på frågor eller hjälpa Cyloq i arbetet. Vi trodde att de skulle behöva hjälp och vägledning, men de jobbade självständigt. Och efter 2 veckor levererade de en tydlig rapport.”

Tim beskriver processen som smidig och effektiv. "Vi beskriver vad vi vill att de ska fokusera på och ger dem åtkomst till relevanta system. Sen kör de igång – helt självgående. De hör av sig om det skulle vara något kritiskt. De erbjuder sig att vara tillgängliga för förklaring eller hjälpa till att åtgärda saker och ting.”

När de fick rapporten i händerna berättar Tim att de blev förvånade över hur mycket de hittade.  

“Vi vill ju att de ska hitta saker, men man har ju också gott självförtroende. Vi tänkte att de inte skulle lyckas med detta på så kort tid. De gör ett gediget arbete och känslan är att de lägger ner mer timmar än de fakturerar.”

VX Fiber nu gjort tre  penetrationstester och har som policy att göra det minst 1 gång per år. De testar olika delar av verksamheten, och när allt är testat, gör de det igen. "Det är ett kontinuerligt arbete. När ett område har testats börjar vi om på ett annat."

Tydliga resultat och stärkt säkerhetskultur

Samarbetet har gett tydliga resultat. "Den största förbättringen är att vi nu har en klar bild av vår sårbarhetsprofil. Cyloq har gett oss ett 'stamp of approval' på vårt säkerhetsarbete, vilket har stärkt vår legitimitet gentemot både kunder och investerare," säger Tim.  

En annan viktig effekt är den förändrade säkerhetskulturen inom företaget. "Vi har ett ungt team med utvecklare, och samarbetet med Cyloq har skapat ödmjukhet och ökad respekt för informationssäkerhet. De har verkligen sett värdet av att ha en extern granskare," förklarar Tim.  

“Det räcker inte med att vi har ett team av experter inhouse, vi blir hemmablinda. Samarbetet har bevisat att hur noga vi än tror att vi har varit, så kommer vi alltid ha missat saker. Det har ökat medvetenheten om att ingen är perfekt, även de mest erfarna kan missa kritiska detaljer och att vi alltid behöver ha någon annan som tittar på det här och granskar vad vi gör. "

Råd till företag som vill stärka sin säkerhet

För företag som vill stärka sin säkerhet rekommenderar VX Fiber att börja med en grundlig inventering. "Vad vill vi skydda? Kunduppgifter är ofta det viktigaste. Sedan bör man snabbt gå vidare till att granska användarbehörigheter och lagringsrutiner. Många småföretag gör det för enkelt för sig, och det som läcker ut är ofta ett dokument som någon sparat på fel ställe," förklarar Tim.

Tims andra råd är att ta hjälp utifrån om man inte har resurser nog att lägga ner tid på det. “Alla företag kan inte investera i ett stort säkerhetsteam, men även om man sköter sin egen IT bör man ha en extern granskare som kan identifiera och täppa till säkerhetsluckor.”

Rekommendation? Eh, ja!

På frågan om VX Fiber skulle rekommendera Cyloq till andra blev svaret ett tydligt ja. "Framför allt för att de är lätta att ha att göra med, effektiva, flexibla och kunniga. De levererar värde och gör säkerhetsarbetet enklare för oss," säger Tim.

“Vi ser ingen anledning att byta från Cyloq, eller ens komplettera med en annan aktör. Hittills har vi inte gett dem något som de inte har lyckats med.”

‍

Stravito är en AI-driven insiktsplattform som hjälper globala företag att centralisera och organisera marknads- och konsumentdata för att fatta bättre datadrivna beslut. "Vi är ett AI-bolag med höga krav på säkerhet och som SaaS-leverantör är det viktigt att vi får det bekräftat externt," säger Marcus Södervall, Head of Trust på Stravito.

Stor skillnad jämfört med tidigare penetrationstest

Stravito började samarbeta med Cyloq sommaren 2023 när de behövde göra ett penetrationstest efter önskemål från kund.

“Vi hade hållit oss borta från traditionella penetrationstester eftersom vi tidigare inte sett något riktigt värde i det vi fått tillbaka. I stället har vi drivit ett bug bounty-program som ett kontinuerligt penetrationstest. När en kund efterfrågade ett traditionellt test tog vi kontakt med Cyloq och tänkte att vi provar.”  

Marcus berättade att de inte hade så stora förväntningar, men det visade sig att Cyloq hittade en hel del som var användbart.

“Vi blev positivt överraskade. De hittade en hel del som inte hade kommit fram i tidigare penetrationstest eller vårt bug bounty program. Så vi var väldigt nöjda med resultatet penetrationstestet gav!”

Hela processen var smidig och effektiv. Cyloq jobbade under en bestämd tidsperiod, sedan gav de en rapport till Stravito som innehöll förslag på hur de kunde åtgärda problemen själva, vilket de också gjorde.  

“Det hela gick väldigt snabbt och smidigt och kommunikationen har fungerat bra. Alla på Cyloq är extremt lätta att ha att göra med. Vi fick ett professionellt bemötande och väldigt bra resultat från penetrationstestet. Kompetensen vi upplevde och slutresultatet på testet skilde sig mycket från de penetrationstest vi gjort tidigare.”

Ville testa hela företaget - gjorde Red teaming

Efter det lyckade penetrationstestet bestämde sig Stravito för att göra en Red teaming-övning. Red teaming är en omfattande övning som innebär att man attackerar företaget på en bredare front.  

"Vi sa till Cyloq vad som absolut inte fick hamna i fel händer, och sa till dem att försöka komma åt det, på alla sätt ni kan."  

Precis som under penetrationstestet, upplevde Marcus att kommunikationen var tydlig och Cyloq visade snabbt att de förstod både målet och omfattningen av testet. Under själva arbetet höll de en bra dialog och levererade avslutningsvis en tydlig rapport som både bekräftade vad som fungerade bra och pekade ut vad som kunde förbättras.

"Det var mer omfattande och tog längre tid än ett vanligt test, men väldigt värdefullt. Både för oss i säkerhetsteamet och för hela organisationen."

"Alla borde utsätta sig för en planerad attack"

Efter testerna genomfördes flera förändringar direkt.

"Vi har redan genomfört ett gäng förbättringar baserat på det Cyloq identifierade. Det här är ett samarbete som har lett till att vi är bättre rustade idag."

Men värdet de fått ligger inte bara i det tekniska. Red team-övningen hade en tydlig effekt på hela organisationen. Även om Stravito redan innan övningen hade säkerhet på högsta nivå, har testerna bidragit till att ytterligare höja säkerhetsmedvetenheten bland anställda.  

"Red team-övningen höjde medvetenheten rejält. Anställda förstår nu fullt ut hur attacker faktiskt kan ske, och vad man själv behöver tänka på. Om man inte har gjort en red team-övning så bör man göra en. Alla skulle ha nytta av att utsätta sig för en attack, där man får se hur det utspelar sig och hur man reagerar."

En viktig lärdom som Marcus delar med sig av är att den mest troliga vägen in är genom anställda.  

“Så skulle en attack kunna komma, att man ger sig på en anställd. Man måste stötta dem och ge dem tillgång till verktyg som gör det enkelt att hålla god cyberhygien.”

En partner Stravito kommer anlita igen

Med två mycket lyckade tester i bagaget kommer Stravito fortsätta att jobba med Cyloq.  

"Vi kommer fortsätta att göra tester med dem. Vi kommer även ta hjälp av dem att bryta ner AI-funktioner på vår plattform och troligen anlita dem för att hålla en säkerhetsutbildning för våra utvecklare.”

Cyloq har inte bara levererat resultat, de har dessutom bidragit till att höja ribban för säkerhet ytterligare i hela organisationen, och detta gör att de får en solklar rekommendation från Marcus.

“Självklart skulle vi rekommendera Cyloq. De är rakt på sak, de är kompetenta och lätta att ha att göra med. Det är enkelt att arbeta med dem och de levererar bra resultat.”

‍