Vill du jobba med informationspåverkan, spionage eller kanske Cyber Forensics? Säkerhetsbranschen exploderar av möjligheter

Skrivet av Annie Ekman

Redan 2009 skrev Hanna Linderstål, VD för Earhart Business Protection Agency, sin affärsplan. Men då ville ingen lyssna på påverkansoperationer, digitala fotspår och spionage. Istället sade man ”gu’ vad tråkigt, vi vill prata nyutveckling och kommunikationsrisker” berättar Hanna. 2017 startade hon Earhart och de senaste årens politiska och tekniska utveckling har gett bolaget ett rejält uppsving. I samtalet med Hanna är det tydligt att hon brinner för området, tycker att teknik är extremt roligt och älskar att dela med sig av sin kunskap. ”Mitt mål är att öppna ögonen på andra för det här området och få dem att engagera sig, att få IT-folk att tänka säkerhet – för det behövs!” säger hon.

Kombinerad kompetens ledde vägen

Hannas kompetens är tvärvetenskaplig. Hon är statsvetare i botten men har sedan jobbat med både kommunikation och sociala medier. Dessutom är hon programmerare och kan därför förstå och arbeta med alla tre benen samtidigt. ”Jag insåg att vi jobbar helt fel i Sverige om vi ska kunna möta dagens hot”, säger Hanna. Nu är hon med och ändrar landskapet i hur man tänker och jobbar för att motverka virtuell informationspåverkan och andra hot. Efter att ha gjort militärtjänstgöring inom Försvaret gick hon till VM-data 1998 och var med om att utveckla det första e-postgirot. I samband med det började hon skriva riskanalyser och på den vägen har det fortsatt. Hennes företag är uppbyggt utifrån behovet av dynamisk spetskompetens, för att kunna möta dagens säkerhetsrisker.

Earhart – ett nätverk av specialister i helikopterperspektiv

”Jag har under lång tid byggt upp ett nätverk av internationella specialister som vi använder i våra uppdrag”. Jag brukar säga att vi är ett gäng nördar som får göra det vi tycker är roligt, skrattar hon. Hon säger att kunden idag vill ha en partner som både förstår omvärldsläget, informationspåverkan idag och risker och hot framöver, någon som kan helheten. Därför är hennes nätverk och de skräddarsydda teamen av specialister inom social engineering, cyber forensics, AI och mycket mer en nödvändighet, samtidigt som kundens helhet alltid är i centrum. I teamet finns både utredare med erfarenhet från polisen, analytiker inom risk- och sårbarhet, forskare och säkerhetsexperter och som bas i verksamheten ligger spetskompetens inom informationssäkerhet, utredningar, totalförsvar, beredskap, cyber, riskanalys och informationspåverkan.

Informationstörst och ökad medvetenhet

Förra året höll Hanna ungefär 100 utbildningar runtom i Sverige och intresset ökar ständigt. Hon föreläser runt om i Sverige och utomlands för att höja förståelsen och insikten om risker och vad du som individ och organisation behöver vara medveten om, för att ta strategiskt rätt beslut. Dessutom är hon ordförande i Psyopförbundet som på uppdrag av MSB (Myndigheten för samhällsskydd och beredskap) leder utvecklingsprojekt kring psykologiska operationer. Hon är också med i Rådet för psykologiskt försvar, ett samtalsråd med beslutsfattare och sakkunniga för att diskutera vad informationspåverkan är och hur hotbilden mot Sveriges demokrati ser ut.

Var kommer hoten ifrån?

Den verkliga digitaliseringen, genom hela verksamhetsprocessen, står för dörren. Den ger många möjligheter till bekvämlighet och effektivitet, men minst lika många säkerhetsrisker i nya former. Den kräver ett nytt, dynamiskt säkerhetstänkande, något som vi är långt ifrån, säger Hanna. Hoten, som försvaret och regeringen har identifierat, bedöms komma främst från politisk-, virtuell- och informationsmakt och olika cyberhot. Samtidigt agerar vi på hot på samma sätt som tidigare, med traditionellt försvar, menar Hanna.

Säkerhetsfrågor har blivit ett av de viktigaste utvecklingsområdena inom IT och Hanna menar att medvetenheten om säkerhet, oavsett om det gäller en samhällskritisk verksamhet, militär eller civil organisation, är obefintlig, ”Vi svenskar är generellt ganska naiva” skrattar Hanna. Intresset ökar dock stadigt från alla typer av organisationer. Insikten om riskerna att utsättas för hot genom cyberhot eller informationspåverkan gäller alla typer av organisationer och telefonen ringer alltmer på Earhart.

Olika tekniska och sociala risker och hot

Informationspåverkan och…
Informationspåverkan, desinformation och falska nyheter har blivit en del av vårt kommunikations- och informationslandskap, berättar Hanna. Sociala medier gör möjligheterna oändliga och att kunna påverka en opinion kan förändra världens maktstruktur, det har vi redan sett. Så kallad astrosurfing, alltså att skapa en falsk opinion, kan inte bara förskjuta den politiska världskartan, utan också skapa helt nya opinioner. ”Tänk dig en politiker eller en ledning som ser detta och reagerar med ett Oj! Vi måste fokusera på det här. Men i själva verket är det bara virtuellt brus”. I sociala medier utnyttjar vi det. Genom virtuella kanaler är det lättare att få med någon om de känner att de har många med sig, precis som det är lättare att tysta någon om de känner att de har hela världen emot sig” säger Hanna.

…digitala fotspår
Hanna berättar att för varje kund sätter de ihop ett skräddarsytt team av specialister, beroende på kundens behov. Teamet börjar oftast med att göra sig en bild över företagets säkerhetsnivå och hur medvetna medarbetarna är över sin egen roll i säkerheten och sina digitala spår, en så kallad online investigation. Genom att följa de digitala spåren från företaget och deras anställda, enbart utifrån öppna källor, dvs källor du kan hitta på nätet, kan de identifiera företagets säkerhetskultur.

”Några gånger har vi kört igång ett bildspel medan deltagarna gick och satte sig. Bilder på personer i företaget kom upp, hemma och på jobbet, bilder med skyddsobjekt i bakgrunden, någon i badrummet i morgonrock m.m. Vissa blir upprörda, men faktum är att allt fanns på nätet. Ingen hacking behövdes.”

Det här är ett väldigt bra sätt att få människor att förstå sin egen roll i säkerheten menar Hanna och säger att ”det måste göra lite ont!” för att man ska ta till sig hoten. Ofta tänker medarbetarna inte på att de har på sig sin Apple Watch på resan för samtal med en eventuellt ny företagspartner till exempel. För företaget eller organisationen menar hon att det första är att förbättra internkommunikationen kring verksamheten, säkerhet och hot. Hanna tar upp kommunikatörer och journalister som två grupper som är extra utsatta för denna typ av hot.

Social Engineering
Att kunna påverka människor är svårare och innebär nya säkerhetsrisker. En sådan är det vi kallar Social engineering. Hur får jag någon att lämna ifrån sig hemlig information, alldeles frivilligt egentligen? Grunden är både tragisk och beräknande. Vi människor har tack och lov en grundläggande vilja att hjälpa till och att ha tillit. Att, som Hanna säger, ’social enginera sig in’ hos någon är därför inte så svårt. Hon beskriver ett riskanalysfall där en myndighet hade outsourceat sin IT-avdelning, som Earhart valde att ta med i riskanalysen. Två duktiga social engineeringkonsulter ringde upp IT-supporten och berättade att de skulle logga in på en lånedator men inte hade lösenordet. De ’spoofade’ sitt telefonnummer så att det såg ut som att de ringde från företaget och efter ett mycket trevligt samtal fick de inte bara ut lösenordet för datorn, utan även lösenordet till hela ekonomisystemet. ”Det är ganska lätt att prata sig in om man är tillräckligt trevlig och desperat och i panik” konstaterar Hanna. Det flesta vill ju hjälpa till. Vårt mänskliga beteende gör oss sårbara för informationspåverkan.

Från virus till spionage
Lyckas jag få en person att klicka på en länk och göra sådant som de normalt inte skulle göra så har jag ändrat på personens beteende. I värsta fall kan klicket innebära att din identitet blir stulen eller att någon till och med försöker utpressa dig med monterade misskrediterande porrbilder ”Det är inte bra, det ger dålig stämning” konstaterar Hanna torrt. Vi kommer tillbaka till olika typer av attacker och fallet ovan klassar Hanna som en virtuell attack.

 ”Jag vill skilja på cyberrisk och virtuell risk” säger Hanna. Cyberhot är den perfekta kriminaliteten, menar hon. Den innefattar cyberattacker, hackingattacker, ransomware till exempel och kan göras hemifrån TV-soffan, med minimal risk att åka dit. Virtuella risker däremot är mer av en påverkansoperation, vars mål är att påverka genom offret eller påverka offret direkt. Hanna betonar ändå att man måste jobba med dem parallellt ”…de sitter ju ihop, för informationspåverkan sker på den digitala utrustningen. Dessutom görs det på samma arenor och ofta med samma aktörer. De flesta riktigt duktiga trollen är både hackers och jobbar med påverkansoperationer”.

Idag är vi uppkopplade en stor del av dygnet genom till exempel Twitter, facebook, Instagram, Snapchat och TikTok. Vi kan nå ut till många människor snabbt och har uppenbarligen ett inneboende behov av att synas och visa vad vi gör. Detta gör oss sårbara och påverkbara och det är lätt att samla in data från hundratusentals personer på kort tid berättar Hanna. De virtuella hoten är värre än cyberhoten säger hon. I värsta fall kan din identitet stjälas i virtuella kanaler, någon nyttjar ditt missöde för att sprida desinformation. Hoten kan komma från både illvilliga människor som vill skada andra likväl som från främmande makt. Avlyssning och infiltrering, genom sociala medier eller programvaran är vardagsmat idag. Hon tar upp TikTok som exempel, ägt av Kina som är världsbäst på spionage och samlar information om alla användare. Hotet kan också innebära varumärkesstöld från någon som söker makt över andra varumärken. Därmed är vi i gränslandet mellan virtuella hot och informationspåverkan eller till och med PR poängterar hon.

En traditionell bransch i stark förändring

Utvecklingen har gått ruskigt snabbt, men säkerhetsbranschen i Sverige är väldigt traditionell än så länge, menar Hanna. Vi är riktigt duktiga på IT-säkerhet såsom virusskydd och brandväggar och vi har många duktiga och proaktiva IT-säkerhetschefer menar hon. Hon ser å andra sidan glädjande att allt fler företag söker en CISO (Chief Information Security Officer), vilket hon tolkar som en ökad medvetenhet om att säkerhet och information går hand i hand. Men det vanligaste är fortfarande att ett företag är specialiserat antingen på riskanalys och krisövning eller t.ex. bevakning eller IT-säkerhet, liksom egna öar utan större samarbete.

Kompetensbrist och möjligheter

I och med digitaliseringen, globaliseringen och det politiskt oroliga läget har säkerhetsfrågor blivit ett av de viktigaste utvecklingsområdena inom IT. Att som nation hänga med, i både den tekniska utvecklingen och säkerhetsutvecklingen, kommer att vara avgörande menar Hanna. Hon nämner Finland som har gjort come back genom en nationell AI-strategi efter att tidigare legat efter och idag ligger på en topplacering, medan Sverige halkar efter enligt Peter Zemsky, professor vid den franska handelshögskolan Insead (Sverigesradio.se). Det behövs mer kompetens och insikt för att hantera och driva säkerhetsutvecklingen ”och det vill jag ändra på!” säger Hanna.

Som summering konstaterar Hanna att det saknas kompetens inom säkerhetsbranschen. Störst brist finns inom de kombinerade kompetenserna och hon betonar vikten av att fungera som kundens partner i säkerhetsfrågor och framtida hot. Ett annat kompetensspår är riktigt vassa specialister, till exempel i matematik eller AI. Branschen exploderar, möjligheterna är många och bredden av intresseområden är stor. Kanske är cyber forensics något för dig, eller social engineering, riskanalys eller projektledning eller trivs du allmänt i gränslandet mellan teknik och beteendevetenskap? Kan säkerhetsbranschen vara din framtidsbransch också?

Av Annie Ekman

Annie Ekman
Föregående

Frilansande konsult – Så styr du över din egen utveckling
Nästa

IT byter roll och IT-ekosystemet förändras – hänger du med?