Säkerheten är absolut affärskritisk och transaktionerna övervakas minut för minut, dygnet runt, årets alla dagar.– När man, som vi, hanterar pengar så får man vara beredd på att vara utsatt för alla cyberhot som finns, säger Tobias Axelsson, CSO för Worldpay Sweden. Nu är han inte ensam om att hantera hoten, på plats på kontoret i Växjö finns ett drygt 20-tal kollegor som arbetar med utveckling av betalningssystemen och att förebygga alla säkerhetsluckor som skulle kunna uppstå.
Samarbete med Europol, MI5 & CIA
Alla säkerhetschefer inom Worldpay har regelbundna möten för att stämma av säkerhetsläget, dela erfarenheter och uppdatera varandra på vad som händer inom området. Skulle det behövas finns dessutom kraftfullare resurser än så att ta till.
Gruppen har nära samarbete med såväl brittiska underrättelsetjänsten MI5 som Europol och den amerikanska underrättelsetjänsten CIA. De hjälper bland annat till med gärningsmannaprofiler. Det är värdefullt för oss i utpressningssituationer, då de kan bidra med förståelse för hur troligt det är att gärningsmännen fullföljer sina hot.
När Worldpay internationellt mottar hot är det viktigt att kunna reda ut vilka som är värda att lägga extra energi på. Förutom gärningsmannaprofileringen har organisationens säkerhetstekniker lärt sig känna skillnad på tomma hot och sådana som kan utgöra större hot.
Bland annat undersöker vi om de har gjort research om just oss som organisation. Då är det i regel allvarligare, eftersom de satsat mer resurser än de som bara gör massutskick. Vid utpressningssituationer har vi också utvecklat ett sätt att värdera den begärda summan i förhållande till hotet. Det ger också en bild av hur professionella och erfarna de är.
Kundperspektivet påverkar möjligheten till uppdatering
Generellt lägger Worldpay ned mycket utvecklingstid på att söka svagheter i programvarorna. Ibland går det inte att lappa och laga eller bygga bort svagheterna längre, då måste programvaran bytas ut. Något som inte är så enkelt eller självklart, då Worldpay som betalningsförmedlare är mycket hårt styrt av säkerhetsstandards och certifieringar.
Dessutom måste vi ta hänsyn till kundperspektivet, påpekar Tobias Axelsson. Vi kanske inte kan byta ut en programvara om slutkunden, i det här fallet kanske en pokerspelare, använder en gammal plattform som inte är kompatibel. Då säger våra kunder helt enkelt nej, för de vet att pokerspelaren kanske går till någon annan och ingen i branschen vill förlora affärer.
Samtidigt är säkerheten en av Worldpay Swedens största konkurrensfördelar.
Vi lägger så stora resurser på säkerheten, säkert tio gånger mer än ett genomsnittligt företag, och har ett så bra track record så kunderna litar på oss. Men det gör också att vi helt enkelt inte får släppa uppmärksamheten. Det kan räcka med ett enda intrång för att förtroendet för oss som leverantör ska vara förstört och sådant tar åratal att reparera.
I ett sådant läge gäller det också att bevaka transaktionerna dygnet runt. Försök till bedrägerier eller intrång måste upptäckas i ett tidigt skede. Just den bevakningen har Worldpay Sweden valt att lägga ut till Växjögrannen Combitechs SOC, Security Operations Center.
Tid över för en av de viktigaste säkerhetsfrågorna
En konsekvens av att lägga ut dygnet runt-bevakningen är att det blir tid över i den egna organisationen, något som inte minst Tobias Axelsson själv uppskattar.
Det gör att jag får mer tid att ägna mig åt de roligaste delarna av jobbet, nämligen personalrelaterade frågor. Många organisationer förbiser att det är en av de viktigaste säkerhetsfrågorna.
Stressade människor begår misstag, konstaterar Tobias Axelsson. Det kan handla om att släppa på rutinerna, ge ut någon mindre del information via telefon, plugga in ett upphittat usb-minne eller i värsta fall att medvetet göra något som skadar företaget.
Worldpay Group har här kommit mycket långt på global nivå, genom att förbättra arbetsmiljön och aktivt utbilda cheferna i att upptäcka och motverka stress i ett tidigt skede.
Nöjda medarbetare är helt enkelt en mindre säkerhetsrisk. Därför är det bättre att jag lägger mer tid på det och låter andra sköta den löpande övervakningen, sammanfattar Tobias Axelsson.