– Säkerhet är A och O för Frenda, för det är vad våra kunder förväntar sig av oss. Vi hanterar patientdata, jag tycker att det är bland den mest känsliga informationen som finns.
Nu är det många som pratar om cyber- och IT-säkerhet. Adam beskriver att Frenda tycker mer om att prata om informationssäkerhet. – Det är det bredare begreppet, där man kollar på vad människor gör med information och om hur man skyddar den. IT-säkerhet är de tekniska åtgärderna man sedan sätter in.
Insikten om att säkerhet är viktigt är djupt rotad i den svenska tandvårdskåren. Inte minst för att det är väldigt känslig information som hanteras varje dag. – Vi vill vara den säkraste parten på den svenska dentalmarknaden. Det gör vi inte bara för att det är ”good practice”, det finns många krav som kommer från lagstiftningen. Frenda är byggt av tandläkare för tandläkare, och tandläkare tycker att det är viktigt med säkerhet.
Bland de tusen kliniker som använder Frenda så finns det många som har gjort valet utifrån säkerhetsaspekten. – Jag tycker att fler borde göra det. Inte minst bör man se över hur sina befintliga leverantörer ser på informationssäkerhet. Om majoriteten av ens känsliga information ligger i ett och samma system är det viktigt att man har järnkoll på det systemet. Frenda berättar gärna vad vi gör säkerhetsmässigt.
En första signal som är värdefull att leta efter i val av nya leverantörer är certifieringen ISO 27001. Det är den internationella standarden för ledningssystem för informationssäkerhet. – Standarden innebär att man behöver gå igenom hela sin organisation från topp till botten, från höger till vänster och utifrån och in för att se på all information man behandlar. För att sedan se över risker och åtgärder så att informationen är säker. Det bästa med standarden är att den också ställer krav på ständig förbättring!
När Frenda var först i Sverige med en molntjänst för tandvården fanns det dem som skakade på huvudet och inte förstod värdet. Idag har det blivit en hygienfaktor på marknaden. – Våra kunder kan ställa väldigt höga säkerhetskrav på oss, dessutom ställer vi samma höga krav på alla våra leverantörer.
Vägen till en certifiering går via en extern granskning av en oberoende part som intygar att informationssäkerhetsarbetet håller en god nivå. – Samtidigt är det viktigt att titta på vad certifikatet omfattar, så att säkerhetsarbetet är relevant för det man vill skydda. Vårt ISO 27001-certifikat ser till att vi har skydd för all användardata, all affärsdata och all patientdata som vi får från våra kunder.
”Informationsbehandling är grundläggande för Frendas framgång, och skyddet och säkerheten för den informationen är en prioritet på styrelsenivå.”Utdrag ur Frendas informationssäkerhetspolicy
”Informationsbehandling är grundläggande för Frendas framgång, och skyddet och säkerheten för den informationen är en prioritet på styrelsenivå.”
Vurmandet för informationssäkerhet har varit en kärna i bolaget sedan dag ett, därför är det också en av de första sakerna som ny personal får i sin introduktion. Det följer sedan med i vardagen med interaktiva internutbildningar och återkommande säkerhetstester. – När vi gör riskanalyser för vår operativa verksamhet bjuder vi alltid in alla avdelningar. Det handlar mycket om att ställa frågan ”Ser ni någon risk?” och göra det i hela organisationen. Delaktigheten gör det roligare och gör att fler vågar flagga för de risker som finns. Kärnan är helt enkelt att fler förstår vad vi gör och varför vi gör det.
Är det farligare nu är tidigare?
– Jag skulle absolut säga att det är farligare, men samtidigt är systemen säkrare. Det är de som är omedvetna med sina system som tar den största risken.
Även om begreppet ”Ransomware” saknas i de senaste årens nyordslistor så har det hittat in i det allmänna medvetandet. – I grund och botten handlar det om att någon låser din information och kräver pengar för att du ska få tillbaka den. Det är ju inte som att du har avtal med den som har låst din information, så det är alltid osäkert om du får tillbaka den eller om den har sparats någon annan stans.
I många av attacker är det ofta äldre system som blir utslagna. Den viktigaste säkerhetsrutinen en organisation kan införa är att ständigt hålla sina system uppdaterade, säkerhetsuppdateringar släpps för att täppa till kända sårbarheter. – Det kommer fler och fler verktyg på marknaden för alla dem som vill något illa. Med de verktygen och automatisk genomsökning av system som har sårbarheter så blir det lättare för dem att utnyttja sårbarheterna.
Den som vill hålla en hög nivå av säkerhet behöver vara noga med att alltid ha de senaste versionerna installerade av sina system. I Frenda sker uppdateringarna automatiskt och det är inte möjligt att använda en äldre version.
Det har aldrig hänt att Frenda har påverkats av ett angrepp, samtidigt är en viktig del av informationssäkerhetsarbetet att planera för det. – Vi planerar alltid för intrång. Hur ser vi till att skadan blir så liten som möjligt om det skulle ske? Till exempel segmentering av information eller att vi krypterar all data. Både i kommunikation och lagring. Använder man Frenda så har man alltid backup på sin information. Vi tar väldigt täta backuper i tid, som alltid finns på flera geografiska platser och vi sparar dessutom backuper som inte går att nå från internet.
Utöver att ha en god uppdateringshygien och säkra backuper är det viktigt att tänka på den mänskliga faktorn. – Det vanligaste är när någon har klickat på en olämplig länk eller installerat ett program som inte är hämtad från leverantörens officiella hemsida.
I grunden är det en bra sak att vi lägger mer tid på att prata om informationssäkerhet. – Fler och fler blir medvetna, om grundnivån blir högre så är hela säkerhetsnivån högre.
Artiklar
10 december 2024
27 augusti 2024
22 juli 2024