Montel er en norsk leverandør av innsikt og informasjon til de europeiske energimarkedene. Selskapet selger abonnement på nyheter, data og analyser, sanntidspriser i markedet og værprognosetjenester til over 1600 større bedrifter i mer enn 30 land.
Administrerende direktør Tom Nyblin har vært i selskapet siden 1994. I 2021 startet de en prosess for å tiltrekke seg vekstkapital. Det medførte en omfattende revisjonsprosess (due dilligence).
– Vi hadde vokst til 100 ansatte og 100 millioner i omsetning og sto ved et veiskille. Vi behøvde kapital og en partner som kunne hjelpe oss ta tak i de mange spennende mulighetene i energimarkedet knyttet til dekarbonisering og samfunnets grønne skifte, sier Nyblin.
Så raskt at sikkerheten ikke var god nok
Et av områdene som behøvde særlig gransking var IT-sikkerheten.
– Vi fikk IT-tjenestene levert av et velrennommert nordisk børsnotert selskap og de hadde ansvar for sikkerhet og infrastruktur. De betrygget oss med at vi var den kunden hos de som var best sikret. Denne tryggheten var viktig for oss da vi sitter på store mengder sensitive data, sier Nyblin.
Likevel ble det i revisjonsprosessen bestemt å ta en ekstra kikk på selve IT-sikkerheten. Sicra ble anbefalt og fikk oppdraget med å kikke ekstra godt under panseret.
– Sicra avslørte raskt at sikkerheten var langt fra tilfredsstillende. På en skala fra 0 til 10 så var vi på 4. Det er ikke godt nok, særlig i en tid der trusselbildet er raskt blitt veldig mye verre, sier Nyblin.
Maskiner og systemer var ikke oppdaterte
Det ble innledningen på en hektisk periode som varte i 3-4 måneder. Her ble hele infrastrukturen kartlagt og Sicra gjennomførte først utbedringene for å fjerne de mange sårbarhetene, og jobbet deretter med å innføre bedre sikkerhetstiltak rundt infrastrukturen.
– Sicra startet analyser av all trafikk inn og ut av våre systemer. Vi så at det var mye trafikk inne i systemet som vi ikke kunne identifisere, men som heldigvis viste seg å ikke være noe skummelt. Deretter fant de noen store sikkerhetshull.
Blant de verste utfordringene var maskiner og systemer som ikke hadde blitt oppdatert på en lang stund. Det var også uventet for Nyblin at ingen sjekket trafikken ut av systemene.
– Sicra anbefalte oss blant annet å investere i en ny brannmur fra Palo Alto, sier han.
Bygger mer robuste og sikre tjenester
Arbeidet medførte at Montel kvittet seg med mye gammel teknisk gjeld og valgte å reprogrammere og bygge systemer på nytt. Prosessen beskrives som kostbar og tidkrevende, men også viktig.
– Vi kan skalere veldig mye bedre nå og har fått mer moderne systemer som støtter veksten.
Arbeidet med å sikre infrastrukturen gjorde at mye arbeid med å utvikle nye tjenester ble satt på vent. Det er Nyblin glad for i dag
– Det er bedre å være «safe than sorry». Jeg tror ikke vi har mistet så mye. Infrastrukturen og tjenestene vi bygger nå er mer robuste og sikrere.
Han ser det som en styrke at Sicra utelukkende leverer seniorkompetanse med lang erfaring.
– Sicra har vært veldig gode, presise og har et høyt kunnskapsnivå. De har hjulpet oss ta sjumilssteg med sikkerhetsarbeidet og rustet oss til å ta langt bedre valg.
At Sicra har noe høyere timepriser enn sammenlignbare aktører tar han med ro.
– Det er godt med en leverandør som utelukkende tilbyr bare flinke folk. Vi vet at den beste kompetansen blir billigst over tid, fordi gode konsulenter bruker færre timer på å løse oppgaven.
Energimarkedene er mer utsatt
Etter at den innledende fasen var gjennomført, brøt krigen i Ukraina ut. At energi da ble storpolitikk forverret sikkerhetsbildet betraktelig.
– I praksis så er vi jo i krig og særlig energimarkedene i Europa er under hardt press. Vi har fortsatt det gode samarbeidet med Sicra gjennom hele denne perioden. De har vært en viktig ressurs for å holde oss på et godt sikkerhetsnivå, sier Nyblin.
Arbeidet i de påfølgende fasene har vært særlig knyttet til compliance, innføringen av bedre sikkerhetsrutiner, og så har det vært jobbet med sikkerhetskultur fra eier til styre, ledelsen og gjennom hele organisasjonen.
– Sicra har jobbet tett sammen med vårt dyktige team i IT-avdelingen. Vi har blant annet fått på plass mer innkjøpskompetanse slik at vi tar bedre valg. Dermed kan også vårt interne team vie mer av tiden sin til strategisk viktigere oppgaver enn forvaltning og drift, sier han.
Ansetter egen CISO
Siden nye eiere kom inn i selskapet har Montel tredoblet omsetningen og mer enn doblet antall ansatte. Det har også skapt nye behov i organisasjonen.
– Vi har fått på plass en egen leder for IT-sikkerhet (CISO) med direkte rapporteringslinje til meg, og vi ansetter også flere dedikerte sikkerhetseksperter i IT-avdelingen.
I løpet av disse to årene har Nyblin gått fra å være bevisst på sikkerhet til å ta et personlig ansvar for at selskapet er godt nok beskyttet. Sicra er fortsatt med på reisen som rådgiver og tilrettelegger av sikkerhet som bidrar til å skape nye muligheter i Montel-konsernet.
– Sikkerhet er et styreansvar. Det er noe jeg som leder prioriterer høyt og det er gøy å jobbe med når vi lykkes, avslutter Nyblin.