SaaS-tjänster ökar Sectras resiliens
Medicinteknikbolaget Sectra upplever en ökning av cyberangrepp, från både statsstödda och privata aktörer. För att öka resiliensen, säkerheten och kostnadseffektiviteten byter företaget ut allt fler on prem-resurser till SaaS-tjänster. Därutöver har Sectra stängt av hela sin office-miljö och tillhörande tjänster för enheter som inte har onboardats.
– Vi på Sectra har två huvudsakliga delar. Den ena delen är att vi levererar digitalisering till röntgen och patologi i ungefär 60 länder idag. Sedan har vi också en del där vi jobbar med försvaret och säker kommunikation, med både fasta linor och bärbara enheter samt lite andra tjänster för att hjälpa försvaret och Nato med säkerhet. Det gör att vi är ganska utsatta generellt för hot.
– Även hot från statsstödda aktörer har ökat i och med Nato-anslutningen. En av huvudanledningarna till vår flytt från att vara beroende av on prem-resurser till att flytta mer till SaaS-tjänster är att nå en ökad resiliens. Vi får också mer disaster recovery-möjligheter att lättare och snabbare komma tillbaka, eller helt undvika att någonting stannar om vi får ett angrepp eller ett intrång, säger Per Andersnäs, CIO på Sectra AB.
Nu kör ni en hybrid miljö, men vill alltmer till molnet?
– Vi kommer nog alltid vilja ha en hybridmiljö av kostnadsskäl men vi vill bygga om så vi snabbt kan ställa om till att ha bara cloud om det behövs. För vi är så pass stora idag och har så pass mycket kritisk verksamhet. Det gäller både våra skyldigheter att stötta och drifta sjukhusens verksamhet som kan handla om liv ibland, såväl som våra kritiska produkter och tjänsteleveranser till försvaret och EU. Så vi måste känna oss trygga över att våra kritiska tjänster kan fungera trots intrång, eller att vi åtminstone snabbt kan komma i gång igen.
Finns det fler anledningar till att ni måste köra en hybrid miljö?
– Vi är ett globalt bolag idag, vi kostar mer och mer. Om åskan går och det blir strömavbrott så ska inte vi stanna hela världen. Vi har också geomässiga krav på oss med väldigt mycket regulatoriska ramverk, både från försvaret och från healthcare-sektorn med patientdata och så vidare. Det kommer mer och mer från eu-nivå som gör att vi måste lagra patientdata lokalt, men också persondata generellt kring våra anställda.
– Med rätt sorts tjänster kan man lagra dem lokalt i länderna. I anslutning till det får man 24/7-bevakning på ett ganska kostnadseffektivt sätt med en SaaS-tjänst. Då slipper vi ha jour och vara beroende av folk i Sverige som ska väckas upp och hantera tjänster. Det är en stor skillnad när man har så pass många tidszoner att jobba över helt enkelt.
I övrigt på säkerhetsområdet, håller ni på med några andra projekt förutom molnflytten?
– Vi märker att de som angriper oss försöker gå fler nya vägar. Vi har sedan länge haft ett bra skydd i och med att vi jobbar med cybersäkerhet själva, och då går hotaktörerna på mer utanför bolaget helt enkelt. Det kan vara exempelvis privat mejlkontakt eller privata enheter. Sedan ett tag tillbaka har vi därför stängt av hela vår officemiljö och tjänster för icke onboardade enheter, så man kan inte komma åt dem. Man måste ha en Sectra-enhet med rätt sorts certifikat och rätt sorts inlogg för att komma åt våra tjänster. Det är en väldigt viktig bit för oss för att känna oss trygga, för de senaste angreppen vi har upplevt har varit via väldigt udda vägar som vi måste täppa till.
Nu kan ni täppa till varenda liten individ på något sätt?
– Ja. Kommer man åt någon sorts identitet via phishing till exempel, vilket förr eller senare kommer lyckas, så kan de inte sitta på en annan dator och logga in med de inloggningsuppgifter man har kommit över, utan då är det helt tilltäppt egentligen.
Om vi ser 18 månader framåt, hur har ni förändrat på de här bitarna vi just diskuterat?
– Tillbaka till resiliens och disaster recovery. Det handlar inte bara om att komma tillbaka efter ett angrepp, utan man måste hela tiden anta att vi är angripna och anta att vi har folk som är nära att komma in eller har gjort ett intrång. Då handlar det dels om att ha krisberedskap och att öva på att komma tillbaka. Men för mig i min roll är det viktigt att vi om 18–24 månader har en situation där vi har resiliens och redundans på tjänster, men också redundans på kunskap hos vår personal. Så att våra core-tjänster som behövs för kritisk verksamhet inte ens stannar, utan att man med ett intrång lyckas stanna icke-kritiska tjänster och lyckas vara lite besvärlig för oss och gör att vi måste ladda tillbaka backuper. Men ingenting av vår kritiska produktion mot våra kunder ska egentligen stanna. Det är vårt mål. På ganska exakt den tidsaspekten.
Precis just 18 månader?
– 24 månader tror jag att vi behöver ha som tidsspann på vissa tjänster. För det är mycket processer internt, förändring och kostnader som ska gå igenom och förberedas. Mycket förändringsverksamhet, vi är just nu i en generell transformationsfas på Sectra som tynger oss ganska mycket, och det är att vi går över från att ha levererat on-prem till kunderna till att ha en public cloud-leverans. Det gör också att vi på intern it måste anpassa oss till verksamheten och vad de har för tid, effektivitet och krav på sig i produktionen helt enkelt.
Läs mer om ämnet: