Policyer och riktlinjer räcker inte för att kunna stå emot dagens cyberhot – som förändras varje timme. Därför måste säkerhet och riskhantering finnas överallt i företag och organisationer enligt Peo Humla, vd för cybersäkerhetsföretaget Redigo. ”Mitt mantra är att cybersäkerhet måste vara integrerat i hela verksamheten”, säger han.

Intervjun publicerades ursprungligen i Magasin SIS nummer 2, 2024 som du kan läsa här.

Tolv års handlingar oläsliga efter ransomwareattacken. Miljontals elektroniska dörrlås kan låsas upp av hackare. Vita huset varnar för cyberattacker mot VA-anläggningar. Tre rubriker från branschtidningen Computer Sweden en typisk vecka i maj ger en vink om hur akuta hoten om cyberattacker har blivit.

Mitt i detta pågående digitala krig befinner sig Peo Humla, en före detta major i Försvarsmakten och hängiven entreprenör som nu leder cybersäkerhetsföretaget Redigo. Och han vill inte vara på någon annan plats.

– Det här är min vardag. Om man blir luttrad och avtrubbad av alla rubriker och incidenter så ska man inte vara kvar i den här verksamheten. Då har man tappat passionen – och passion är helt centralt om man vill lyckas i denna ständigt föränderliga verklighet, säger han.

Sin egen passion hittar Peo Humla i att jobba för, som han uttrycker det ”att skydda organisationers och företags mest viktiga och värdefulla tillgångar”.

– Det är det jag har jobbat med i hela mitt yrkesliv, oavsett om det handlat om människor, IT-system, patent eller till och med kritiska processer.

Innan Redigo var Peo Humla ansvarig för cybersäkerhet på teknikkonsultföretaget HiQ, dit han blev handplockad från sitt eget säkerhetsbolag Everdon som köptes av KPMG. Dessförinnan hade han jobbat med underrättelse- och säkerhetsverksamhet inom flera myndigheter och försvarsindustrin.

Kombinationen med att förstå hotbilder och risker och säkerhet har följt honom under hela karriären. Tack vare den militära bakgrunden kom han in på fallskärmshoppning, något som blev hans stora intresse under många år. Bland annat verkade han som ordförande i Svenska fallskärmsförbundet.

– Fallskärmshoppning är en kombination av det brutala och det vackra. Men man får inte glömma att det är en extrem idrott som ställer höga krav på utövarna, processerna och organisationen. Därför handlar fallskärmshoppning väldigt mycket om riskhantering, om att nöta utbildning och procedurer som gör hoppningen så säker som möjligt.

Samma förhållningssätt till riskhantering har han tagit med sig till sitt yrkesjag, där han just nu är uppfylld av att utveckla ett scale-up bolag som ska hjälpa företag, organisationer och samhälle att ta upp kampen mot cyberbrottsligheten men även att säkerställa att företagens alltmer uppkopplade produkter och tjänster kan säljas på globala marknader.   

Redigos kunder finns bland annat inom fordonsbranschen, finanssektorn, flygindustrin och den samhällsviktiga verksamheten. Uppdragen kan handla om att hjälpa klientföretagen att uppnå kraven som kommit på senare år i regler och lagar inom cybersäkerhet, bland annat EU:s NIS2-direktiv.

– Vi jobbar både strategiskt och operativt och har olika specialister för varje område: systemarkitekter, säkerhetstestare och sådana som är inriktade på risk och regulatorisk efterlevnad.

Cyberhoten i en alltmer uppkopplad värld blir allt fler och allt svårare att identifiera. Receptet är att verkligen göra jobbet från grunden för att skydda sig mot företagsspionage och manipulation av data, en resa där många företag och organisationer har en lång bit kvar, enligt Peo Humla.

– Säkerhet måste vara helt integrerat i hela verksamheten. Det ska inte vara som i majoriteten av organisationer: att verksamheten finns på en plats och säkerhetsfolket på en annan. Då får de ägna sig åt att granska och kontrollera, alltså agera reaktivt.

Motsatsen är enligt honom ”mogna ledningsgrupper” som förstår att hoten förändras varje timme dygnet runt.

– Det är väldigt mycket psykologi i det här. Vi märker direkt om vi kliver in i en företagsledning och någon där har varit med om en incident. Då startar diskussionen på ruta tio direkt och vi kan hantera riskerna på ett modernt och proaktivt vis.

Peo Humla ser standarderna inom ISO:s 27000-serie som en bra utgångspunkt för att närma sig informationssäkerhet på ett systematiskt sätt.

– Men många organisationer når inte ända fram. De stannar vid riktlinjer och policyer i 27000-serien men missar det viktigaste, nämligen att införa de tekniska kontrollerna ISO 27002, säger han och uppmuntrar även organisationer att kombinera ISO-standarderna med den amerikanska öppna standarden NIST cybersecurity framework.

Men det viktigaste när det gäller cybersäkerhet är nog ändå envishet, enligt honom. Att inte ge upp och definiera en tydlig säkerhetsmålsättning.

– Vi måste outtröttligt jobba för det goda. De destruktiva krafterna ska inte lyckas. Det är min passion.