Stor intervju med Svenska Spels ciso: ”Vi måste ständigt ligga steget före”

Efter tiden på Ericsson började Sharon arbeta mer i mindre bolag och startupmiljöer, för att komma närmare utvecklingssidan och specifika branscher.

Sharon berättar att hon även jobbade en period inom underhållning och media innan hon i augusti 2022 tog klivet över till Svenska Spel där hon idag har rollen som chief information security officer.

– Min bakgrund ligger främst inom it och operations, men de senaste sju–åtta åren har jag fokuserat mer på informationssäkerhet. Det började när GDPR infördes och jag hade ansvar för det arbetet i det företag jag då jobbade på. Det väckte verkligen mitt intresse för området. När jag såg möjligheten till en ren ciso-roll hos Svenska Spel kändes det helt rätt, säger Sharon Larsson och fortsätter.

– Det har varit en intensiv period med mycket förändring, inte minst inom informations- och cybersäkerhet. Teknikutvecklingen går fort med molntjänster, AI och nya risker, så det är ett väldigt dynamiskt område.

Så ser en vanlig dag ut för Svenska Spels ciso

Sharon Larsson beskriver sig själv som en ”hands-on” ciso. Något som både hjälper henne förstå verksamheten och tekniken de arbetar med dagligen och således ger henne de bästa förutsättningarna i den dagliga verksamheten.

– Det händer mycket just nu med olika transformationer och implementeringar. Jag ser ofta min roll som en översättare mellan krav och verksamhetsnytta. Till exempel: hur kan vi uppfylla säkerhetskrav på ett sätt som fungerar för affären och inte skapar onödiga hinder?

En vanlig dag för Sharon består av möten med många olika delar av organisationen, allt från affärssidan, exempelvis Sport & Casino, till teknikavdelningen. Det kan handla om säkerhetsaspekter vid lansering av nya produkter, datalagring, åtkomst eller riskanalyser.

– Jag är också involverad i våra leverantörsbedömningar. Alla nya leverantörer hos oss måste genomgå en säkerhetsgranskning.

– Utöver det arbetar jag mycket med medvetenhet och utbildning. Vi försöker hålla säkerhet levande året runt, men särskilt nu under cybersäkerhetsmånaden satsar vi lite extra på att göra det både roligt och engagerande för våra medarbetare. Vi gör detta till exempel genom tävlingar, quiz och vårt ”phishing-simulatorspel” där kollegor får utmana varandra.

Cyberhotlandskapet är både ett komplext och ett snabbt föränderligt område. Nyckeln i rollen som ciso är att hålla sig konstant uppdaterad.

– Mycket handlar om nätverk och kunskapsutbyte. Jag är aktiv i flera professionella nätverk och deltar ofta i konferenser. Vi har också samarbeten med externa säkerhetspartners som förser oss med hotinformation.

– Dessutom försöker jag varje vecka avsätta lite tid, oftast på fredagsmorgnar, till att gå igenom nyhetsflöden, rapporter och uppdateringar. Ibland använder jag till och med ChatGPT för att få en snabb överblick över nya trender och risker. Det gäller att filtrera all information och se vad som faktiskt är relevant för oss.

“När nya regelverk kommer försöker vi…”

Sharon Larsson deltog nyligen på en konferens som säkerhetsbolaget Orange Cyberdefense arrangerade. Där pratade hon om hur man på Svenska Spel arbetar med att omsätta regler och krav till praktisk handling. Sharon berättar hur det arbetet går till för Techtidningen.

– Mitt anförande på konferensen handlade mycket om AI Act och nya regelverk. Svenska Spel verkar i en starkt reglerad bransch, även om vi inte är en bank. Vi hanterar stora mängder transaktioner och lyder under många EU-krav, svenska lagar, och standarder, bland annat spellagen, ISO 27001 och World Lottery Association.

– När nya regelverk kommer försöker vi se vad vi redan uppfyller och var vi behöver justera. Med AI Act till exempel har vi redan etablerade processer för riskbedömning och leverantörsgranskning. Det handlar snarare om att justera än att bygga något helt nytt. Målet är att följa reglerna utan att tynga ner verksamheten.

På samma konferens pratade du även om vikten av säkerhetskultur och den mänskliga faktorn. Vad kan du berätta om det?

– Det är ett ämne jag verkligen brinner för. Säkerhetskultur handlar om att alla medarbetare förstår sitt ansvar för att skydda organisationen. Säkerhet är inte bara it-avdelningens uppgift, det är allas ansvar. När man har en stark säkerhetskultur på plats är det mycket lättare att anpassa sig till nya hot. Då räcker det ofta att uppdatera budskapet snarare än att starta från noll.

– Vi jobbar också med mikroutbildningar och gamification. Vårt ”Phish a Friend”-initiativ låter anställda skapa egna phishingmejl och försöka lura kollegor för att sedan diskutera vad som hände. Det gör att man lär sig tänka som angriparen, och blir bättre på att känna igen riktiga försök.

Så använder Svenska Spel AI

Som så många andra organisationer arbetar även Svenska Spel med AI inom organisationen, något de var tidiga med att implementera enligt Sharon Larsson.

– När ChatGPT 4 lanserades förstod vi snabbt att medarbetarna var nyfikna, och att det fanns stor innovationspotential. I stället för att förbjuda AI började vi med att ge tydliga riktlinjer: använd det gärna, men aldrig för företags- eller kundinformation i publika verktyg.

– Sedan införde vi policyer och investerade i säkra företagslicenser, så att medarbetare kunde använda AI på ett kontrollerat sätt. AI markerades också som en strategisk nyckelfaktor i vår företagsstrategi – ett verktyg för innovation, effektivitet och bättre kundupplevelser.

I dag använder nästan alla på Svenska Spel någon form av AI-verktyg, framför allt ChatGPT och Copilot berättar Sharon Larsson. De flesta använder det för idéarbete, sammanfattningar eller för att öka produktiviteten.

– Våra utvecklare använder även Github Copilot, men där behandlar vi AI:n som en ”junior utvecklare”. Allt måste granskas och kvalitetssäkras innan det tas in i kodbasen. Det viktiga budskapet till alla är: använd AI, men gör det ansvarsfullt och verifiera alltid resultatet.

Hur påverkar AI Act ert arbete med AI?

– Vi har gått igenom de AI-lösningar vi använder och klassificerat dem efter risknivå enligt AI Act. Eftersom vi inte utvecklar egna AI-produkter mot kund utan främst använder andras lösningar, handlar det mest om att säkerställa att de används på rätt sätt och inte omfattas av förbjudna riskkategorier.

Framtidens hotbild

En av de stora utmaningarna i att möta hoten för aktörer som svenska spel är att hotbilden förändras nästintill hela tiden.

– Vi måste ständigt ligga steget före. DDoS-attacker, intrångsförsök, phishing – allt det där är vardag. Men som statligt ägt bolag behöver vi också ta hänsyn till geopolitiska risker. Vi är ingen myndighet, men vi kan ändå betraktas som en symbol för Sverige och därmed som ett möjligt mål. Vi fortsätter att följa utvecklingen noggrant.

Hur ser du på framtidens hotbild?

– Svårt att säga exakt, men jag tror att hoten kommer att öka i komplexitet. Generativ AI gör det enklare för angripare att skapa trovärdiga och personliga attacker i stor skala. ”Cybercrime-as-a-service” gör det också enklare för fler att utföra avancerade attacker utan djup teknisk kunskap.

– Vi måste alltid ha rätt medan angriparna behöver bara lyckas en gång. Det är en utmaning.

Samtidigt växer det fram nya hot i takt med att teknik som kvantdatorer är på ingång, som i framtiden kommer kunna bryta kryptering snabbare exempelvis. Det känns avlägset, men det kan komma snabbare än man tror.

– Det positiva är att de ökade hoten gör att cybersäkerhet får mer uppmärksamhet i styrelserum och ledningar vilket leder till större investeringar och ökat fokus.