Hur Pureservice skyddar din data mot attacker

För företag som levererar molnbaserad programvara är säkerhet en viktig prioritet. Som servicedeskleverantör har vi mycket känslig information från våra kunder. Det är vårt ansvar att hantera dem på ett säkert sätt.

Det råder ingen tvekan om att hotbilden utvecklas. Var tredje kommun har utsatts för en dataattack och det finns goda skäl att vara på sin vakt mot både kommersiella och statliga organisationer.

"Vi är knappast ensamma om att ha många användare inom offentlig sektor. När vi ser hur den offentliga sektorn i Ukraina drabbades av en dataintrång inser vi hur viktigt vårt säkerhetsarbete är. I näringslivet är det också många som är rädda för ransomware eller att hamna på fel sida om GDPR-lagstiftningen.

Så hur kan vi som arbetar i den digitala frontlinjen se till att våra användare alltid kan känna sig trygga?

Datasäkerheten tas om hand under hela utvecklingsprocessen

- Våra kunder lägger in en hel del känslig information i vårt system. Vi har byggt roller och system för att klara testet den dag det inte står helt rätt till", säger Jørn Erik Hornseth, CISO på Pureservice.

Pureservice har utvecklats baserat på Secure Software Development Lifecycle (SSDL). Det innebär att för varje steg i utvecklingsprocessen prioriteras säkerhet och testning. Vi följer också OWASP:s topp 10-riktlinjer för att skydda oss mot de vanligaste hoten.

Varje år låter vi en av Norges ledande datasäkerhetsorganisationer utföra ett omfattande penetrationstest för att upptäcka eventuella svagheter i systemet.

Naturligtvis är all data krypterad vid både lagring och transport, och alla kunder har sin data i en egen separat databas utan kopplingar till någon annans.

Tjänsten övervakas kontinuerligt (utan att vi kan läsa din data) och ett CSIRT (Computer Security Incident Response Team) hanterar alla säkerhetsincidenter så fort vi upptäcker dem.

- "Det görs ständigt försök att bryta sig in när man kör ett system som Pureservice, men det är oftast kommersiella aktörer som skjuter med hagelgevär, och lyckligtvis är de lätta att stoppa", säger Jørn Erik.

Om du är intresserad av att läsa mer i detalj om de åtgärder vi vidtar rekommenderar vi att du tar en titt på vår Trust-sida. Här hittar du svar på en högre nivå, avsedda för CTO:er, CISO:er och andra med mycket kunskap om datasäkerhet.

Skydd mot mänskliga fel: Procedurer och anställda

- Hackare är inte nödvändigtvis de smartaste människorna i världen, men de är listiga. "Det handlar lika mycket om att lura människor att lämna ut information som det handlar om teknisk hackning av sårbarheter i själva lösningen", säger Jørn Erik.

Det innebär att en av våra viktigaste datasäkerhetsåtgärder är de rutiner som våra medarbetare följer, samt en grundlig säkerhetsprocess och utbildning varje gång vi anställer nya medarbetare. Vi följer bland annat principerna och bästa praxis i ISO27001 i allt vi gör.

- Statliga aktörer är professionella och listiga och kan ägna sex månader åt att få in en liten fot i dörren. När vi anställer och pratar om säkerhet betonar vi det hela tiden: Misstänk det värsta i världen och var extremt vaksam", säger Jørn Erik.

Det är dock ett faktum att när viktiga system går ner beror det ofta inte på en avsiktlig attack. Lika vanligt är det att de egna medarbetarna gör ett misstag, som ändå leder till kostsamma tillgänglighetsbrister. Detta är också något vi arbetar hårt för att undvika.

Men om en incident skulle inträffa, oavsett om den orsakas av medarbetare eller illvilliga aktörer, har vi tydliga beredskapsplaner för att reda ut situationen så snabbt som möjligt. Lyckligtvis har vi inte upplevt några större incidenter ännu, men om vi gör det är vi redo.

Om du har några andra frågor om säkerhetsåtgärder som du inte kan hitta svar på här eller på vår Trust-sida, tveka inte att kontakta oss. Vi tycker att öppenhet är viktigt (så länge det inte sker på bekostnad av säkerheten) och svarar gärna på de flesta av dina frågor.