VX Fiber: “Nu har vi en ‘stamp of approval’ på vårt säkerhetsarbete”

Sundbybergs Stad är en växande kommun i Stockholm, och i takt med att verksamheten digitaliseras ökar också kraven på säkerheten. För att ligga steget före både dagens och morgondagens cyberhot har kommunen valt att satsa på löpande penetrationstester, veckovisa sårbarhetsskanningar och skarp omvärldsbevakning i ett nära samarbete med Cyloq.  

En långsiktig partner som förstår IT-miljön

Innan samarbetet med Cyloq var säkerhetsarbetet mer sporadiskt. Tester och skanningar gjordes då och då, men utan en tydlig kontinuitet. Det ville Klas ändra på.

Sundbyberg Stad gjorde då en direktupphandling där flera leverantörer fick chansen, och där var det Cyloq som tog hem avtalet om ett fyraårigt samarbete kring penetrationstester och sårbarhetsskanning.

"Vi ville ha ett flerårigt avtal som tillät oss att jobba löpande, baserat på aktuella hot och behov. Därför tillämpar vi olika metoder och olika förutsättningar varje gång." berättar Klas Strömberg, IT-säkerhetsstrateg på Sundbybergs Stad.

En stor fördel med det fleråriga kontraktet är att Cyloq nu verkligen kan Sundbyberg Stads IT-miljö. Klas berättar att de har en löpande dialog med testarna på Cyloq, vilket gör att de kan snabbt kan anpassa upplägget efter vad som är viktigt i stunden. Cyloq kan komma med förslag baserat på rådande omvärldsbevakning och Sundbyberg Stad kan föreslå tester utifrån sina behov.

"De har lärt känna vår miljö och kommer med förslag anpassade efter verkliga hotbilder. Det är en enorm styrka."

Smidig process och tydliga rapporter

Man kan inte kolla på allt hela tiden, utan man måste välja små delar varje gång att fokusera på, så det gäller att välja med eftertanke. Sundbyberg Stad brukar tillsammans med Cyloq diskutera ett område eller ett tänkbart scenario att testa.

“Vi gör ofta en tvåstegsraket. Då gör vi först en bred kartläggning, sedan en gemensam avstämning och bestämmer vad som ska djupdykas i.”

Efter varje test får Sundbyberg Stad en detaljerad rapport. "Rapporterna är välgjorda och konkreta. Det ger oss goda förutsättningar att lösa och täppa till de eventuella sårbarheter som hittas. De har alltid en muntlig genomgång där de förklarar lite närmare, men det mesta framgår tydligt i rapporten. Den är enkel att ta till sig och använda i det dagliga, proaktiva IT-säkerhetsarbetet,” säger Klas.  

De flesta åtgärder fixas av Sundbyberg Stads egna tekniker, men ibland tar man stöd från Cyloq vid behov. Idag kör kommunen 2–3 penetrationstester per år, och dessutom veckovisa sårbarhetsskanningar för att hålla ständig koll på läget.

Färre risker och sårbarheter i miljön

Målet med de kontinuerliga testerna var att reducera riskerna och hitta sårbarheterna innan någon annan gjorde det. Och det är precis vad de har levererat.

"Vi har färre risker och sårbarheter i miljön idag, vilket var syftet. Cyloq hjälper oss att snabbt identifiera brister och täppa till dem innan de blir problem," säger Klas.

Men effekten har inte stannat vid systemen. Rapporterna har hjälpt till att driva dialogen och öka medvetenheten hos de interna IT-teknikerna, vilket bidragit till att ge Sundbyberg Stad en skarpare, mer proaktiv säkerhetskultur.

“Ibland är det nödvändigt att man får externa ögon på direktiv, så man inte sitter och blir hemmablinda.”

Cyloq levererar, Sundbyberg Stad rekommenderar

Klas lyfter fram en av de största fördelarna med att jobba med en mindre aktör, nämligen närheten och snabbheten. "Om det dyker upp något får vi återkoppling direkt. Cyloq är snabba, rappa och extremt lätta att ha att göra med."

Och på frågan om han skulle rekommendera Cyloq till andra organisationer är svaret självklart.

"Absolut. De är kompetenta, har bred erfarenhet och ett starkt eget driv. De vill verkligen leverera bra tjänster till sina kunder. Kundnärheten de erbjuder sticker ut rejält jämfört med tidigare leverantörer."

‍

Stravito är en AI-driven insiktsplattform som hjälper globala företag att centralisera och organisera marknads- och konsumentdata för att fatta bättre datadrivna beslut. "Vi är ett AI-bolag med höga krav på säkerhet och som SaaS-leverantör är det viktigt att vi får det bekräftat externt," säger Marcus Södervall, Head of Trust på Stravito.

Stor skillnad jämfört med tidigare penetrationstest

Stravito började samarbeta med Cyloq sommaren 2023 när de behövde göra ett penetrationstest efter önskemål från kund.

“Vi hade hållit oss borta från traditionella penetrationstester eftersom vi tidigare inte sett något riktigt värde i det vi fått tillbaka. I stället har vi drivit ett bug bounty-program som ett kontinuerligt penetrationstest. När en kund efterfrågade ett traditionellt test tog vi kontakt med Cyloq och tänkte att vi provar.”  

Marcus berättade att de inte hade så stora förväntningar, men det visade sig att Cyloq hittade en hel del som var användbart.

“Vi blev positivt överraskade. De hittade en hel del som inte hade kommit fram i tidigare penetrationstest eller vårt bug bounty program. Så vi var väldigt nöjda med resultatet penetrationstestet gav!”

Hela processen var smidig och effektiv. Cyloq jobbade under en bestämd tidsperiod, sedan gav de en rapport till Stravito som innehöll förslag på hur de kunde åtgärda problemen själva, vilket de också gjorde.  

“Det hela gick väldigt snabbt och smidigt och kommunikationen har fungerat bra. Alla på Cyloq är extremt lätta att ha att göra med. Vi fick ett professionellt bemötande och väldigt bra resultat från penetrationstestet. Kompetensen vi upplevde och slutresultatet på testet skilde sig mycket från de penetrationstest vi gjort tidigare.”

Ville testa hela företaget - gjorde Red teaming

Efter det lyckade penetrationstestet bestämde sig Stravito för att göra en Red teaming-övning. Red teaming är en omfattande övning som innebär att man attackerar företaget på en bredare front.  

"Vi sa till Cyloq vad som absolut inte fick hamna i fel händer, och sa till dem att försöka komma åt det, på alla sätt ni kan."  

Precis som under penetrationstestet, upplevde Marcus att kommunikationen var tydlig och Cyloq visade snabbt att de förstod både målet och omfattningen av testet. Under själva arbetet höll de en bra dialog och levererade avslutningsvis en tydlig rapport som både bekräftade vad som fungerade bra och pekade ut vad som kunde förbättras.

"Det var mer omfattande och tog längre tid än ett vanligt test, men väldigt värdefullt. Både för oss i säkerhetsteamet och för hela organisationen."

"Alla borde utsätta sig för en planerad attack"

Efter testerna genomfördes flera förändringar direkt.

"Vi har redan genomfört ett gäng förbättringar baserat på det Cyloq identifierade. Det här är ett samarbete som har lett till att vi är bättre rustade idag."

Men värdet de fått ligger inte bara i det tekniska. Red team-övningen hade en tydlig effekt på hela organisationen. Även om Stravito redan innan övningen hade säkerhet på högsta nivå, har testerna bidragit till att ytterligare höja säkerhetsmedvetenheten bland anställda.  

"Red team-övningen höjde medvetenheten rejält. Anställda förstår nu fullt ut hur attacker faktiskt kan ske, och vad man själv behöver tänka på. Om man inte har gjort en red team-övning så bör man göra en. Alla skulle ha nytta av att utsätta sig för en attack, där man får se hur det utspelar sig och hur man reagerar."

En viktig lärdom som Marcus delar med sig av är att den mest troliga vägen in är genom anställda.  

“Så skulle en attack kunna komma, att man ger sig på en anställd. Man måste stötta dem och ge dem tillgång till verktyg som gör det enkelt att hålla god cyberhygien.”

En partner Stravito kommer anlita igen

Med två mycket lyckade tester i bagaget kommer Stravito fortsätta att jobba med Cyloq.  

"Vi kommer fortsätta att göra tester med dem. Vi kommer även ta hjälp av dem att bryta ner AI-funktioner på vår plattform och troligen anlita dem för att hålla en säkerhetsutbildning för våra utvecklare.”

Cyloq har inte bara levererat resultat, de har dessutom bidragit till att höja ribban för säkerhet ytterligare i hela organisationen, och detta gör att de får en solklar rekommendation från Marcus.

“Självklart skulle vi rekommendera Cyloq. De är rakt på sak, de är kompetenta och lätta att ha att göra med. Det är enkelt att arbeta med dem och de levererar bra resultat.”

‍

Marginalen Bank erbjuder en bred portfölj av finansiella tjänster. Men som en mindre aktör på en hårt reglerad marknad ställer det också extra höga krav på säkerheten.

"Vi är ett finansbolag med flertal produkter, vilket i sig innebär unika utmaningar," säger Yngve Swanström, säkerhetschef på Marginalen Bank.

Ett långsiktigt samarbete från dag ett

Marginalen Bank är en svensk bank med en bred portfölj av finansiella tjänster, där säkerhet är en grundläggande del av verksamheten. Marginalen Bank har samarbetat med Cyloq ända sedan Cyloq grundades 2022.

Innan samarbetet med Cyloq jobbade Marginalen Bank med olika leverantörer. Det var då de först kom i kontakt med Andreas och Sam och imponerades av deras kompetens. När de senare grundade Cyloq var det en självklarhet för Marginalen Bank att följa med.

"Vi anlitar Cyloq både för penetrationstester och utbildningar, och det tänker vi fortsätta med."

Marginalen Bank har en tydlig policy. Säkerheten är av högsta vikt och den ska testas, gång på gång. Därför gör de flera penetrationstester varje år för att se till att alla system håller tätt, hela tiden. Men det var inte bara teknisk kompetens och noggrannhet de sökte hos en partner.

"Utöver de resultat de levererar uppskattar vi även Cyloqs flexibilitet och förmåga att anpassa sig efter oss."

Processen är smärtfri från start till mål

Varje nytt test startar med ett tydligt scopingmöte där Cyloq, säkerhetsavdelningen och nyckelpersoner från projekten går igenom målen och förutsättningarna. Tack vare det långvariga samarbetet har Cyloq tillgång till mycket av det som krävs för att snabbt kunna sätta igång.  

"De är självgående från start. De vet vad som förväntas av dem och vad vi vill ha. All cred till dem."

Cyloq får tillgång till relevanta konton och system, och därefter genomförs testen snabbt och effektivt. När jobbet är klart levereras en skarp slutrapport med deras input och konkreta förslag på åtgärder.

"Vi fixar åtgärderna själva, men Cyloq finns alltid där som bollplank om vi behöver bolla något. De är en bra partner på det sättet också."

Utöver testerna utbildar Cyloq även utvecklarna på Marginalen Bank i säker utveckling.

"Utbildningarna är mycket uppskattade. De är praktiska och tydliga. Vi ska köra en till snart."

Marginalen Bank genomför idag omkring tio penetrationstester per år, tillsammans med löpande säkerhetsutbildningar. Yngve berättar att de planerar att fortsätta på samma spår, och dessutom addera en Red Teaming-övning längre fram.  

Rekommendation? Självklart!

Trots att de har jobbat tillsammans i flera år upplever Yngve att de fortsätter att leverera högklassiga rapporter.  

"Cyloq levererar över förväntan, varje gång. Framför allt är de så noggranna och snabba. Och de är lätta att arbeta med. Det är ett partnerskap som är helt smärtfritt."

Marginalen Bank har ett agilt arbetssätt som innebär snabba ändringar och korta ledtider, och Cyloq är lyhörda och bra på att anpassa sig efter deras behov. Och på frågan om Yngve rekommenderar Cyloq, är svaret ett självklart ja.

"Vi kan varmt rekommendera Cyloq. De är lätta att jobba med, levererar alltid kvalitet och är extremt lyhörda för kundens behov."

‍