Så tog Orthex Group ett helhetsgrepp om it-säkerheten

Orthex Group består sedan 2011 av tre sammanslagna bolag, ett i Finland och två i Småland, och är en av Nordens ledande tillverkare av hushållsprodukter. Den omtalade Gnosjöandan finns med som en naturlig del av företagskulturen, då ett av de tre bolagen har sina rötter i bygden.

Koncernen har gemensamma funktioner för marknadsföring, försäljning och it. Och när den befintliga antiviruslicensen löpte ut ville Orthex Group ta chansen att hitta en annan lösning. Ambitionen var att ta säkerhetsarbetet några steg längre.

– Antalet cyberhot ökar i världen. Vi har också vuxit som koncern och är sedan två år tillbaka börsnoterade på Helsingforsbörsen. Det gör att vi har högre krav på oss, samtidigt som vi blir mer sårbara om vi skulle attackeras. Med tre fabriker som snurrar dygnet runt skulle påverkan bli mycket stor väldigt snabbt. Därför behövde vi utveckla vårt säkerhetsarbete, säger it-chefen Peter Ottosson.

Orthex Group lät göra en förstudie, som både granskade vad den befintliga plattformen hade att erbjuda och vad som i övrigt fanns på marknaden. Valet föll på Microsoft 365 E5 med dess säkerhetsfunktioner, då det innebar en bra helhetslösning, som dessutom passade väl ihop med verksamhetens befintliga operativsystem.

Plattform med fler möjligheter

Från början var tanken att endast plocka ut och installera Microsoft Defender for Endpoint. Atea anlitades för ändamålet, men lät under processens gång Orthex Group förstå att det fanns betydligt mer att hämta i E5-sviten och att de kunde få ut mer av sin investering.

Insatsen för att rulla ut även andra komponenter i systemet, som Microsoft Defender for Identity och Azure AD Password Protection, var relativt liten, dessutom med minimal påverkan på användarna. Samtidigt var vinsterna stora, då det stärkte säkerheten ytterligare.

Orthex Group bestämde sig för att följa rådet och gick i slutändan ”all in” i en lösning som kombinerar Microsoft 365 E3 med Microsoft E5 Security. Därmed rullades hela Microsoft 365 Defender-portalen ut, vilket innebar en betydligt bättre lösning än koncernen ursprungligen tänkt sig.

För att använda en liknelse: Det ursprungliga målet var att bygga en bil med fyra hjul och fyra dörrar. Men utan att investera särskilt mycket mer tid eller pengar fick verksamheten en uppgraderad lösning med backkamera, surroundstereo, självparkering och läderklädsel.

– Vi har åstadkommit mycket på relativt kort tid. Frågan är, hur lyckades vi med det? säger Peter Ottosson och besvarar själv den retoriska frågan:

– När vi startade var min avsikt att jag bara skulle vara med lite grann i början och att mina tekniker därefter skulle köra vidare med Atea-konsulterna. Men jag tycker att området är så pass viktigt och intressant att det slutade med att jag har varit delaktig i hela processen. Min medverkan har gjort att vi har kunnat ta snabba beslut och komma vidare, ofta redan vid sittande möte.

Samlar alla säkerhetssignaler på en plats

Peter Ottosson är både it-ansvarig för hela koncernen och fabrikschef i Gnosjö. Han ser de dubbla rollerna som en fördel, då han kan ta med sin förståelse för verksamheten och driften in i it-arbetet.

Som it-chef jobbar han i huvudsak övergripande med styrning och utveckling. Den dagliga it-driften sköts av ett trehövdat team i Tingsryd och det stärkta säkerhetsarbetet har också effektiviserat deras jobb.

Microsoft 365 Defender samlar alla säkerhetssignaler från samtliga system på en plats. Så om något händer behöver it-teamet inte jaga runt på tio olika ställen för att hitta och åtgärda problemet.

Säkerhetslösningen kommer dessutom med egna rekommendationer om vad som bör granskas och åtgärdas, vilket har skapat en större bredd i säkerhetsarbetet.

Peter Ottosson beskriver det som att Orthex Group har gått från ett traditionellt virusskydd med brandväggar till systemhjälp med riskbedömningar ända ner på användarnivå.

– Vi har en mycket bättre överblick i dag än vad vi hade tidigare och användarna har inte påverkats negativt av all den säkerhet som vi har implementerat. Tvärtom har det viktiga i vårt säkerhetsarbete varit att få en så stor användarvänlighet som möjligt, samtidigt som vi stärker skyddet, säger Peter Ottosson.

Att plattformen har förenklat arbetet innebär inte att it-avdelningen jobbar mindre i dag än förut. Däremot blir insatserna betydligt mer produktiva.

– Ett mer intensivt säkerhetsarbete skapar också till viss del mer jobb. Samtidigt får vi ju väldigt mycket mer gjort. Vi hade inte åstadkommit tillnärmelsevis lika mycket om vi hade jobbat lika många timmar på det gamla sättet, säger Peter Ottosson.

Viktigt att få med medarbetarna

Ett konkret förändring för verksamheten är att alla medarbetare numera har ett likvärdigt skydd på sina datorer och mobiler. De loggar också in med multifaktorautentisering.

Förr hade många användare högre it-behörigheter än de egentligen borde ha, bara för att de ibland behövde tillgång till vissa system. I dag jobbat it-teamet mer behovsanpassat.

Vid behov kan en tidsbegränsad förhöjd behörighet aktiveras genom Azure AD Privileged Identity Management (PIM), som sedan skalas bort från kontot när den på förhand definierade tidsramen löper ut.

För att få med personalen på banan satsar Orthex Group på årliga utbildningar och regelbunden intern information. Cheferna diskuterar också ofta it-säkerhet med sina närmaste medarbetare, så att alla förstår att det är viktigt och att de kan bidra.

– Vi har jobbat hårt med att öka förståelsen och medvetenheten hos medarbetarna, för det går bara att skydda sig till en viss nivå med tekniska lösningar. Användarnas beteende är ju en avgörande bit, säger Peter Ottosson.

Omfattande granskning av säkerheten

Under arbetets gång har Orthex Group vänt på många stenar och synat säkerhetsarbetet i detalj. Peter Ottosson konstaterar att det tänkta bytet av antivirusprogram därmed växte till något betydligt mer omfattande.

– Ju mer vi har grävt, desto mer har vi hittat och desto mer har vi lärt oss. Det är svårt att gå in på allt i detalj. Jag är heller inte helt säker på att jag bör göra det. Men vi har hittat många områden att förbättra och har i dag en betydligt bättre helhetsbild.

Den stärkta kontrollen är en av de främsta fördelarna med att samla all säkerhet under ett paraply. Det talas ibland om att man inte ska samla alla sina ägg i samma korg, inte minst när det gäller säkerhet, men även där går det att använda en talande liknelse:

När du ska köra hem dina ägg från affären har du dem knappast lösa i bilen: ett i handskfacket, ett på golvet under gaspedalen, ett i baksätet och ett under motorhuven. Nej, du har dem i en kartong. Där har du full koll på var de befinner sig – och där ligger de skyddade från omgivningen och varandra. På kartongen finns också all nödvändig information: ursprung, bäst före-datum med mera. Det finns ingen risk att något av äggen glöms bort eller går förlorat.

På samma sätt kan man resonera om säkerhet. En helhetslösning, som samlar alla säkerhetssignaler, ger dig full inblick i alla system – och om ett ägg skulle börja ruttna märker du det direkt.

Ett starkt driv att utvecklas

Peter Ottosson är nöjd med vad Orthex Group har åstadkommit, men det betyder inte att han och kollegorna nu slår sig till ro. Det finns en hunger efter mer och en nyfikenhet på nya tekniska lösningar. De tittar redan på hur de kan stärka säkerheten ytterligare och skydda sig mot framtida hot.

Kanske är det just Gnosjöandan som lyser igenom?

– Jag jobbar ju i huvudsak i Gnosjö och är bosatt i Värnamo, bara några mil därifrån. Så självklart har jag mycket Gnosjöanda i mig och det har kanske påverkat viljan att fortsätta framåt. I hela bygden finns det en väldigt stark drivkraft att utvecklas, säger Peter Ottosson och tillägger:

– It-säkerhet är inte en fråga som du lyfter en gång och sedan är det bra. Det är ett kontinuerligt arbete. Utvecklingen i världen är ju oroande. Den senaste tiden har Sverige också varit extra utsatt av cyber- och DDoS-attacker, vilket ökar risken för alla. Så du får aldrig känna dig för trygg, utan måste alltid ha ett driv att vilja bli bättre.

**************************

Text: Johan Bentzel
Foto: Jonas Ljungdahl

**************************