– Vi trengte hjelp fra seniorkonsulenter som var litt grå i håret. Noen med solid sikkerhetskompetanse og bred erfaring. Det fant vi hos Sicra, starter Børge Filseth, IT-direktør i Orkla Food Ingredients (OFI).

Med røtter i Norge har OFI vokst til å bli en ledende global leverandør av matingredienser. Konsernet har 60 datterselskaper og produserer i 22 land i Europa og USA. Visjonen er å være den ledende leverandøren av smakfulle ingredienser og innovative matløsninger som gjør det mulig for kundene å være markedsledende på sine områder. På OFIs kundeliste finner vi alt fra små, lokale håndverksbakere til industrielle matprodusenter med virksomhet i flere land.

Verdikjedene i matvareindustrien kan være lange og uoversiktlige, samtidig som man ikke kan gå på kompromiss med matvaresikkerheten. I tillegg blir det digitale trusselbildet stadig mer komplekst.

– Får vi et cyberangrep som forstyrrer eller stopper produksjonen i ett eller flere av våre selskaper, kan konsekvensene bli svært alvorlige for konsernet, både økonomisk og operasjonelt. Vi må håndtere mange typer cybertrusler fra ulike aktører. I tillegg til tradisjonelle cyberkriminelle gjør den geopolitiske situasjonen og kunstig intelligens trusselbildet enda mer utfordrende, sier Filseth.

“Discovery" uten pekefinger

Historisk har strategien i OFI vært å håndtere IT-funksjoner og -sikkerhetsarbeid lokalt. Etter flere oppkjøp og global ekspansjon ønsket OFI å standardisere og sentralisere både IT-funksjoner og sikkerhetstjenester. Ikke minst som følge av et stadig mer alvorlig trusselbilde.

– Tidligere var cybersikkerheten prisgitt kompetansen til de lokale ressursene. Vi har selskaper i blant annet Baltikum, Polen, Romania, Portugal, Hellas, Nederland, Tyskland, Storbritannia og USA. Vi greier ikke å ha verdensmestere i IT-sikkerhet på alle de stedene, sier Filseth.

Første skritt på veien mot sterkere og standardisert IT-sikkerhet var å kartlegge tilstanden ved alle lokasjonene. OFI engasjerte sikkerhetsspesialistene i Sicra med et omfattende oppdrag: å avdekke cybersikkerhetstilstanden i hele konsernet. Sammen måtte OFI og Sicra utvikle en ny metodikk før de reiste ut til kontorer og fabrikker for å gjøre tekniske dypdykk. Metodikken ble utarbeidet i tett samarbeid mellom Sicras konsulenter og OFIs CISO (Chief Information Security Officer).

Målet var å bruke én dag på hvert sted og lage en tilstandsrapport på det tekniske fundamentet:

1. Kontroll av brannmurer og nettverksdesign.

2. Backup-rutiner og gjenoppretting.

3. Identitetsstyring og tilgangskontroll.

4. Patching og oppdatering av systemer.

– Til “discovery-reisen” trengte vi en gråhåret sikkerhetsekspert. Vi trengte en med solid kompetanse samt lang og bred erfaring fra cybersikkerhetsområdet. En senior møter de lokale IT-ressursene på deres eget faglige nivå. Da får man respekt, folk åpner seg opp og de føler at de får hjelp i stedet for å bli avkledd, sier Filseth.

Fra reaktiv brannslukking til proaktiv sikkerhetsstyring

En del av “discovery-reisen” var å lage en liste med forslag til og prioritering av tiltak. Gjennom oppfølging av rapporter, kategorisering av avvik og målrettede tiltak, alt fra enkle utstyrsutskiftninger til større infrastrukturendringer, har OFI tettet mange sikkerhetshull og redusert sin digitale risiko betydelig. Filseth understreker imidlertid at sikkerhetsarbeidet langt fra er over.

– Trusselbildet endrer seg hele tiden, så vi må jobbe på videre, sier han og legger til:

– Tidligere dreide sikkerhetsarbeidet seg mer om å slukke branner og tette hull. Med Sicras hjelp og ressurser er vi i ferd med å gå fra reaktiv brannslukking til proaktiv styring. Nå har vi fått på plass et felles sikkerhetsrammeverk, prosesser, opplæring og monitorering.

Filseth trekker frem verdien av å ha Sicra som sin IT-sikkerhetspartner.

– IT-sikkerhet er et utrolig stort og komplekst område. Det er veldig mange produkter og løsninger med ulike sikkerhetspakker og -tjenester. Man må kunne litt om lisensiering, litt om produkter, litt om arkitektur, om tilganger og identiteter. Derfor trenger jeg eksterne rådgivere som kan komme inn og dele sin kunnskap, sier Filseth.

En solid sikkerhetsplattform og økt bevissthet rundt cybersikkerhet i hele OFI-konsernet bidrar til at OFI kan fortsette å gjøre det de er mest kjent for: å levere ingredienser av høy kvalitet til bakerier, iskremprodusenter og plantebaserte matvareprodusenter over hele verden.

– Det har fungert veldig bra med Sicra. Det er en veldig stor fordel at du kommer direkte til fagpersonene, noe du ofte ikke gjør når du går til et større konsulentselskap, slutter Filseth.