Stravito: “Cyloq gav oss djupare säkerhetsinsikter än tidigare granskningar”

Sundbybergs Stad är en växande kommun i Stockholm, och i takt med att verksamheten digitaliseras ökar också kraven på säkerheten. För att ligga steget före både dagens och morgondagens cyberhot har kommunen valt att satsa på löpande penetrationstester, veckovisa sårbarhetsskanningar och skarp omvärldsbevakning i ett nära samarbete med Cyloq.  

En långsiktig partner som förstår IT-miljön

Innan samarbetet med Cyloq var säkerhetsarbetet mer sporadiskt. Tester och skanningar gjordes då och då, men utan en tydlig kontinuitet. Det ville Klas ändra på.

Sundbyberg Stad gjorde då en direktupphandling där flera leverantörer fick chansen, och där var det Cyloq som tog hem avtalet om ett fyraårigt samarbete kring penetrationstester och sårbarhetsskanning.

"Vi ville ha ett flerårigt avtal som tillät oss att jobba löpande, baserat på aktuella hot och behov. Därför tillämpar vi olika metoder och olika förutsättningar varje gång." berättar Klas Strömberg, IT-säkerhetsstrateg på Sundbybergs Stad.

En stor fördel med det fleråriga kontraktet är att Cyloq nu verkligen kan Sundbyberg Stads IT-miljö. Klas berättar att de har en löpande dialog med testarna på Cyloq, vilket gör att de kan snabbt kan anpassa upplägget efter vad som är viktigt i stunden. Cyloq kan komma med förslag baserat på rådande omvärldsbevakning och Sundbyberg Stad kan föreslå tester utifrån sina behov.

"De har lärt känna vår miljö och kommer med förslag anpassade efter verkliga hotbilder. Det är en enorm styrka."

Smidig process och tydliga rapporter

Man kan inte kolla på allt hela tiden, utan man måste välja små delar varje gång att fokusera på, så det gäller att välja med eftertanke. Sundbyberg Stad brukar tillsammans med Cyloq diskutera ett område eller ett tänkbart scenario att testa.

“Vi gör ofta en tvåstegsraket. Då gör vi först en bred kartläggning, sedan en gemensam avstämning och bestämmer vad som ska djupdykas i.”

Efter varje test får Sundbyberg Stad en detaljerad rapport. "Rapporterna är välgjorda och konkreta. Det ger oss goda förutsättningar att lösa och täppa till de eventuella sårbarheter som hittas. De har alltid en muntlig genomgång där de förklarar lite närmare, men det mesta framgår tydligt i rapporten. Den är enkel att ta till sig och använda i det dagliga, proaktiva IT-säkerhetsarbetet,” säger Klas.  

De flesta åtgärder fixas av Sundbyberg Stads egna tekniker, men ibland tar man stöd från Cyloq vid behov. Idag kör kommunen 2–3 penetrationstester per år, och dessutom veckovisa sårbarhetsskanningar för att hålla ständig koll på läget.

Färre risker och sårbarheter i miljön

Målet med de kontinuerliga testerna var att reducera riskerna och hitta sårbarheterna innan någon annan gjorde det. Och det är precis vad de har levererat.

"Vi har färre risker och sårbarheter i miljön idag, vilket var syftet. Cyloq hjälper oss att snabbt identifiera brister och täppa till dem innan de blir problem," säger Klas.

Men effekten har inte stannat vid systemen. Rapporterna har hjälpt till att driva dialogen och öka medvetenheten hos de interna IT-teknikerna, vilket bidragit till att ge Sundbyberg Stad en skarpare, mer proaktiv säkerhetskultur.

“Ibland är det nödvändigt att man får externa ögon på direktiv, så man inte sitter och blir hemmablinda.”

Cyloq levererar, Sundbyberg Stad rekommenderar

Klas lyfter fram en av de största fördelarna med att jobba med en mindre aktör, nämligen närheten och snabbheten. "Om det dyker upp något får vi återkoppling direkt. Cyloq är snabba, rappa och extremt lätta att ha att göra med."

Och på frågan om han skulle rekommendera Cyloq till andra organisationer är svaret självklart.

"Absolut. De är kompetenta, har bred erfarenhet och ett starkt eget driv. De vill verkligen leverera bra tjänster till sina kunder. Kundnärheten de erbjuder sticker ut rejält jämfört med tidigare leverantörer."

‍

VX Fiber är ett internationellt företag som levererar bredbandtjänster till företag och kommuner som äger fibernät. Med 80 anställda och ett växande nätverk har IT-säkerhet blivit en central fråga för verksamheten. "Säkerhetsarbetet har blivit så viktigt att vi rapporterar det löpande till styrelsen," säger Tim Cambrant, Chief Security Officer på VX fiber.

En extern partner blev en nödvändighet

Innan samarbetet med Cyloq sköttes säkerhetsarbetet av en intern grupp med ambitionen att göra rätt, men de saknade extern verifiering. "Vi insåg att investerare och kunder förväntade sig en oberoende granskning av vår säkerhet," berättar Tim.

Ansvaret växte i takt med att VX Fiber expanderade. "Ju fler kunder vi levererar till, desto mer samhällskritisk blir vår verksamhet. Säkerhetsfrågorna kommer upp i säljsamtal, och vi behöver kunna bevisa att vi har en robust säkerhetsstruktur," säger Tim. Trots intern kompetens stod företaget inför en avgörande insikt; hur noggrant de än granskade sig själva, krävdes en extern part för att säkerställa att inget missades.

"Vi ville verkligen veta var vi stod och få en extern validering av vårt arbete.”

När de började leta efter en partner ville de ha någon som var flexibel, snabbfotad och lyhörd. Där stack Cyloq ut bland mängden.  

“De stack ut bland de stora jättarna. De var lätta att komma i kontakt med, små men anpassningsbara. De visade att de var redo att göra jobbet istället för att bara försöka sälja in ett stort paket.” Efter ett första möte, föll valet på att anlita Cyloq för att genomföra ett penetrationstest.

Penetrationstester har blivit policy

Tim berättar att de var osäkra på om Cyloq ens skulle kunna hitta något under de två veckor som de har på sig att göra ett penetrationstest.  

“Vi hade folk på plats som var redo att svara på frågor eller hjälpa Cyloq i arbetet. Vi trodde att de skulle behöva hjälp och vägledning, men de jobbade självständigt. Och efter 2 veckor levererade de en tydlig rapport.”

Tim beskriver processen som smidig och effektiv. "Vi beskriver vad vi vill att de ska fokusera på och ger dem åtkomst till relevanta system. Sen kör de igång – helt självgående. De hör av sig om det skulle vara något kritiskt. De erbjuder sig att vara tillgängliga för förklaring eller hjälpa till att åtgärda saker och ting.”

När de fick rapporten i händerna berättar Tim att de blev förvånade över hur mycket de hittade.  

“Vi vill ju att de ska hitta saker, men man har ju också gott självförtroende. Vi tänkte att de inte skulle lyckas med detta på så kort tid. De gör ett gediget arbete och känslan är att de lägger ner mer timmar än de fakturerar.”

VX Fiber nu gjort tre  penetrationstester och har som policy att göra det minst 1 gång per år. De testar olika delar av verksamheten, och när allt är testat, gör de det igen. "Det är ett kontinuerligt arbete. När ett område har testats börjar vi om på ett annat."

Tydliga resultat och stärkt säkerhetskultur

Samarbetet har gett tydliga resultat. "Den största förbättringen är att vi nu har en klar bild av vår sårbarhetsprofil. Cyloq har gett oss ett 'stamp of approval' på vårt säkerhetsarbete, vilket har stärkt vår legitimitet gentemot både kunder och investerare," säger Tim.  

En annan viktig effekt är den förändrade säkerhetskulturen inom företaget. "Vi har ett ungt team med utvecklare, och samarbetet med Cyloq har skapat ödmjukhet och ökad respekt för informationssäkerhet. De har verkligen sett värdet av att ha en extern granskare," förklarar Tim.  

“Det räcker inte med att vi har ett team av experter inhouse, vi blir hemmablinda. Samarbetet har bevisat att hur noga vi än tror att vi har varit, så kommer vi alltid ha missat saker. Det har ökat medvetenheten om att ingen är perfekt, även de mest erfarna kan missa kritiska detaljer och att vi alltid behöver ha någon annan som tittar på det här och granskar vad vi gör. "

Råd till företag som vill stärka sin säkerhet

För företag som vill stärka sin säkerhet rekommenderar VX Fiber att börja med en grundlig inventering. "Vad vill vi skydda? Kunduppgifter är ofta det viktigaste. Sedan bör man snabbt gå vidare till att granska användarbehörigheter och lagringsrutiner. Många småföretag gör det för enkelt för sig, och det som läcker ut är ofta ett dokument som någon sparat på fel ställe," förklarar Tim.

Tims andra råd är att ta hjälp utifrån om man inte har resurser nog att lägga ner tid på det. “Alla företag kan inte investera i ett stort säkerhetsteam, men även om man sköter sin egen IT bör man ha en extern granskare som kan identifiera och täppa till säkerhetsluckor.”

Rekommendation? Eh, ja!

På frågan om VX Fiber skulle rekommendera Cyloq till andra blev svaret ett tydligt ja. "Framför allt för att de är lätta att ha att göra med, effektiva, flexibla och kunniga. De levererar värde och gör säkerhetsarbetet enklare för oss," säger Tim.

“Vi ser ingen anledning att byta från Cyloq, eller ens komplettera med en annan aktör. Hittills har vi inte gett dem något som de inte har lyckats med.”

‍

Marginalen Bank erbjuder en bred portfölj av finansiella tjänster. Men som en mindre aktör på en hårt reglerad marknad ställer det också extra höga krav på säkerheten.

"Vi är ett finansbolag med flertal produkter, vilket i sig innebär unika utmaningar," säger Yngve Swanström, säkerhetschef på Marginalen Bank.

Ett långsiktigt samarbete från dag ett

Marginalen Bank är en svensk bank med en bred portfölj av finansiella tjänster, där säkerhet är en grundläggande del av verksamheten. Marginalen Bank har samarbetat med Cyloq ända sedan Cyloq grundades 2022.

Innan samarbetet med Cyloq jobbade Marginalen Bank med olika leverantörer. Det var då de först kom i kontakt med Andreas och Sam och imponerades av deras kompetens. När de senare grundade Cyloq var det en självklarhet för Marginalen Bank att följa med.

"Vi anlitar Cyloq både för penetrationstester och utbildningar, och det tänker vi fortsätta med."

Marginalen Bank har en tydlig policy. Säkerheten är av högsta vikt och den ska testas, gång på gång. Därför gör de flera penetrationstester varje år för att se till att alla system håller tätt, hela tiden. Men det var inte bara teknisk kompetens och noggrannhet de sökte hos en partner.

"Utöver de resultat de levererar uppskattar vi även Cyloqs flexibilitet och förmåga att anpassa sig efter oss."

Processen är smärtfri från start till mål

Varje nytt test startar med ett tydligt scopingmöte där Cyloq, säkerhetsavdelningen och nyckelpersoner från projekten går igenom målen och förutsättningarna. Tack vare det långvariga samarbetet har Cyloq tillgång till mycket av det som krävs för att snabbt kunna sätta igång.  

"De är självgående från start. De vet vad som förväntas av dem och vad vi vill ha. All cred till dem."

Cyloq får tillgång till relevanta konton och system, och därefter genomförs testen snabbt och effektivt. När jobbet är klart levereras en skarp slutrapport med deras input och konkreta förslag på åtgärder.

"Vi fixar åtgärderna själva, men Cyloq finns alltid där som bollplank om vi behöver bolla något. De är en bra partner på det sättet också."

Utöver testerna utbildar Cyloq även utvecklarna på Marginalen Bank i säker utveckling.

"Utbildningarna är mycket uppskattade. De är praktiska och tydliga. Vi ska köra en till snart."

Marginalen Bank genomför idag omkring tio penetrationstester per år, tillsammans med löpande säkerhetsutbildningar. Yngve berättar att de planerar att fortsätta på samma spår, och dessutom addera en Red Teaming-övning längre fram.  

Rekommendation? Självklart!

Trots att de har jobbat tillsammans i flera år upplever Yngve att de fortsätter att leverera högklassiga rapporter.  

"Cyloq levererar över förväntan, varje gång. Framför allt är de så noggranna och snabba. Och de är lätta att arbeta med. Det är ett partnerskap som är helt smärtfritt."

Marginalen Bank har ett agilt arbetssätt som innebär snabba ändringar och korta ledtider, och Cyloq är lyhörda och bra på att anpassa sig efter deras behov. Och på frågan om Yngve rekommenderar Cyloq, är svaret ett självklart ja.

"Vi kan varmt rekommendera Cyloq. De är lätta att jobba med, levererar alltid kvalitet och är extremt lyhörda för kundens behov."

‍