Medarbetarporträtt
Ioana Rodhe
Det krävs djup kunskap och passion inom IT-säkerhet, en vilja att hänga med i teknikutvecklingen samt en förmåga att behålla lugnet även vid allvarliga incidenter. Detta beskriver de säkerhetsanalytiker som monitorerar datatrafik i nätverk hos några av Sveriges mest samhällskritiska verksamheter.
Kanske minns någon hur den ryske dataexperten Boris i James Bond-filmen Goldeneye från 1995 i panik sliter ur sina datorkopplingar för att hans gömställe inte ska kunna spåras över internet. Visserligen misslyckas han och hans geografiska plats avslöjas.
Men vi behöver inte gå till filmens värld för att hitta fall där det kan bli aktuellt att rycka kablar för att förhindra ett dataintrång. Till skillnad mot filmens värld – ska det i verkligheten vara ett väl avvägt beslut.
På Sectras SOC – Security Operation Center – säkerställer personalen vad som händer i kundernas system inom kritisk infrastruktur genom kontinuerlig nätverk- och loggmonitorering. Och det är inte vilka system som helst, det handlar om kunder med några av de absolut mest samhällsviktiga systemen för processindustrin, samt el- och vattenförsörjning.
– Det som är viktigt för kunden är att deras system alltid är igång. Ett avbrott kan ge allvarliga konsekvenser, både för verksamheten som förlorar inkomst men också för samhället i stort som till exempel är beroende av elproduktion för att fungera, säger Ioana Rodhe, SOC-manager på Sectra.
Men för att undvika ett produktionsstopp – kan det uppstå situationer som det ibland skildras i filmer, att kablar behöver ryckas för att stoppa ett cyberangrepp?
– Ja, absolut. Vi har kunder som är beredda att rycka kablar för att begränsa att ett angrepp sprider sig i hela verksamheten från en drabbad del av nätverket, säger Rodhe.
Enligt Ioana Rodhe handlar det i dessa fall om att Sectras säkerhetsanalytiker tillsammans med bolagets kunder måste vara väl förberedda på vad som kan hända.
– Det handlar om proaktiv säkerhet och att alltid vara förberedd på att en cyberattack kommer hända, inte om det kommer hända. För kunden är det också viktigt att förstå hur systemen är kopplade och hur de ska agera vid ett angrepp. Det måste man fundera på innan det händer för att behålla lugnet i stundens hetta, säger Rodhe.
Rodhe berättar mer detaljerat om Sectras arbete med att monitorera kundernas system och att detta sker från Sectras egna Security Operations Center.
– Det är ett säkrat rum varifrån kundernas system monitoreras via flera skärmar, där syftet är att vid ett tidigt skede kunna upptäcka misstänksam aktivitet i kundernas nätverk, säger Rodhe.
Till SOC:en är det bara säkerhetsgranskad och godkänd personal som har tillträde. Enligt Rohde är detta inget konstigt, eftersom Sectra i många fall arbetar med sekretessbelagd information. Dessutom har personalen vanliga kontorsrum där de också kan arbeta vid behov. Vid sidan av det finns även ett så kallat ”war room”.
– Vårt war room används när vi arbetar med större case, penetrationstestning eller incidenter som enbart påverkar en kund. Om vi har en incident på ett ställe måste ändå alla andra kunder fortsättas att monitoreras som vanligt i SOC:en. Det är viktigt att alltid kunna bibehålla den verksamheten samtidigt som en eller flera kunder kräver mer fokus, säger Rodhe.
Omvärldsläget påverkar
Många av de system som Sectra övervakar för sina kunder är så kallade OT-system, (Operational Technology). Konkret handlar det ofta om så kallade SCADA-system (Supervisory Control And Data Acquisition). Systemen beskrivs ibland som processnära styrsystem och används i stor utsträckning för att hantera kritisk infrastruktur som är grunden till ett fungerande och säkert samhälle: vattenförsörjning, elförsörjning och liknande.
När ni går till det ni benämner som ”war room”, vad kan det vara för incident som har skett då?
– Det kan vara att vi observerar händelser i kundens nät som inte bör vara där. OT-systemen är kopplade till varandra och de är ofta även kopplade till kundens egna kontorsnät. Systemen kan också vara kopplade till internet för att ge åtkomst till underleverantörer som behöver komma åt systemen på distans. Digitaliseringen har gjort att de här systemen numera är ihopkopplade med varandra och omvärlden, säger Rodhe.
Men det är inte bara incidenter som upptäcks när kundernas system monitoreras.
– Det går att se när kunden själv installerar nya enheter, förändrar, bygger ut eller stänger ned något i nätverken. Om dessa förändringar i systemen kan öppna upp för sårbarheter så upptäcker våra säkerhetsanalytiker detta och meddelar kunden, så kunden kan åtgärda sina system innan något händer, säger Rodhe.
Intervjun med Rodhe sker i början 2022. Det är dagar då det råder oro mellan olika militära stormakter såväl globalt, som i Europa.
Är det något som påverkar arbetet i Sectras SOC?
– Vi arbetar kontinuerligt med omvärldsbevakning och under tider som dessa är vi extra vaksamma på vissa typer av hot och risker. Vi arbetar ständigt med threat intel, som innebär att vi utifrån omvärldsbevakning gör bedömningar och riskanalyser om det finns något hot som kan påverka våra kunders nät, säger Rodhe.
Dessutom bedriver bolaget så kallad threat hunting.
– Det innebär att på uppdrag av kunden gå igenom deras loggar, även om det inte kommit något larm, och söka efter välkända eller specifika hot. Vi går även tillbaka och tittar på sparade loggar, för att se om någon vid ett tidigare tillfälle försökt komma in på nätverket, säger Rodhe.
Vad krävs det för egenskaper för att bli en bra säkerhetsanalytiker?
– Först och främst att du är intresserad av säkerhet. Det krävs ett genuint IT-intresse och en strävan att ständigt vilja utvecklas, samt att du är nyfiken och vill förstå hur saker fungerar, hur de är uppbyggda och hur de tas isär. Man behöver vara analytisk, noggrann, ha ett öga för detaljer men samtidigt kunna se helheten, säger Rodhe.
Sedan lyfter Rodhe upp ytterligare en egenskap. Det krävs ett lugn.
– Vi bedriver en viktig verksamhet, vi bevakar kritiska system för samhället. Men det är grundläggande att vi alltid håller oss lugna och arbetar metodiskt genom varje händelse och inte får panik, säger Rodhe.
Vad skulle du säga är viktigt för den som vill ha en ledande befattning inom denna typ av verksamhet?
Just Ioana Rodhe har studerat datavetenskap, hon har även doktorerat och forskat inom säkerhet.
– Man behöver kunna bygga en grupp som arbetar tillsammans. Även jag behöver förstå tekniken för att kunna vara med och se till att vi verkligen håller oss uppdaterade. Vi säljer ju kompetens. Verktygen kan alla köpa eller ladda ned, men kompetensen är vår främsta resurs – i den här branschen är kompetens en färskvara som ständigt behöver förnyas. Det är förstås en utmaning men samtidigt det som gör detta jobbet så himla kul, avslutar Ioana Rodhe.