Så jobbar Säkerhetspolisen med cybersäkerhet
Händelserna runt Transportstyrelsen och den nya totalförsvarsplaneringen har gett otroligt stort fokus på säkerhetsskydd i samhället. Jag har träffat Johanna som är chef för en av Säkerhetspolisens mest spännande grupper, gruppen för informationssäkerhet och bevissäkring i IT-miljö. Hon ansvarar för den tekniska verksamheten inom säkerhetsskydd, som är ett av Säkerhetspolisen verksamhetsområden.
❤ Stöd Kryptera.se via Patreon >
Alla aktörer som omfattas av säkerhetsskyddslagstiftningen, exempelvis om man har system som hanterar hemliga uppgifter eller har verksamhet för betydelse för rikets säkerhet, kan bli föremål för granskning av det team av IT-säkerhetsspecialister som Johanna är chef över. Uppdragen kan komma in som förfrågningar eller så utförs de som en del av en tillsyn där flera specialister från Säkerhetspolisen tillsammans granskar ifrån olika säkerhetsperspektiv, exempelvis fysiskt skydd eller registerkontroll av personal. ”En fullgod IT-säkerhet är beroende av att ett systematiskt säkerhetsarbete genomförs” säger Johanna, ”om säkerheten brister i någon av de andra delarna kan det i värsta fall innebära att de tekniska säkerhetsfunktionerna kan kringgås”.
Johanna berättar att en säkerhetsgranskning inleds med att man diskuterar uppdraget med aktören vars system ska granskas. Det är viktigt att det finns en analys av var den mest skyddsvärda informationen eller funktionerna finns. I vissa fall riktas granskningen emot ett särskilt system eller applikation, men det är även vanligt att IT-säkerhetsspecialisterna utför breda tester på hela organisationers IT-miljö för att få en inblick i hur säkerhetsarbetet ser ut som helhet.
Penetrationstest kan ingå, och Johanna berättar att de har stor framgång när det gäller penetrering av IT-system. ”Granskningsgruppen agerar som en kvalificerad angripare skulle gjort. De verktyg som används är oftast publikt tillgängliga, men ibland använder vi egenutvecklade verktyg. Att skaffa sig full kontroll över en myndighets infrastruktur brukar oftast bara vara en tidsfråga och exploits används väldigt sällan. Det räcker att utnyttja mänskliga misstag och felkonfigurationer.”
Syftet med gruppens verksamhet är förebyggande IT-säkerhet, och att penetrera ett IT-system är endast en del av uppgiften. För att få ett bra resultat behöver gruppen titta på helheten då uppgiften är att hjälpa aktören att bli bättre och inte identifiera individuella brister eller hänga ut någon enskild. Gruppen utför även mer specifika applikationstester likväl som att ge stöd och råd till myndigheter och företag vid exempelvis dataintrång. Kryptoforcering kan också förekomma när det behövs.
Verksamheten som de bedriver regleras i säkerhetsskyddslagstiftningen. ”Regleringen är enbart ett ramverk” säger Johanna, ”de måste tillämpas på ett kompetensdrivet sätt. Att köpa en dyr brandvägg löser inte hela problemet, den måste konfigureras och administreras rätt.”
Det är utmanande att reglera it-säkerhet” fortsätter hon, ”mycket går inte att reglera i föreskrifter eftersom teknikutvecklingen gör att området hela tiden är i rörelse. Dessutom är it-säkerhetsarkitektur ett system av åtgärder och avvägningar som får bäst resultat genom ett systematiskt och kvalitativt säkerhetsarbete. Det kan vara svårt att reglera, så vår manuella granskning är därför otroligt viktig”.
De som jobbar med Johanna är IT-forensiker, penetrationstestare, seniora rådgivare och specialister på säkerhet inom cyberområdet. Anställda på Säkerhetspolisen kan lägga en hel del tid på verksamhetsutveckling och egen kompetensutveckling såsom labbande och gå kurser. ”Den personliga kompetensen hos medarbetarna är vår viktigaste förmåga, så det känns viktigt att ge gruppen möjligheter att ha en fortsatt hög utvecklingstakt. Utbyte genom samverkan och de praktiska erfarenheterna av att arbeta mot samhällets högsta skyddsvärden ger oss också insikter och erfarenheter som är svåra att få på något annat sätt” förklarar hon.
De som jobbar med IT-forensik i gruppen jobbar nära de andra verksamhetsområdena på Säkerhetspolisen, exempelvis kontraspionage, författningsskydd och terrorism. Det innebär att de stödjer i både underrättelseärenden och utredningar. Forensikerna måste vara väldigt operativa eftersom de deltar i husrannsakningar som vanligtvis resulterar i digitala beslag vars innehåll därefter ska tas fram. ”Svårigheterna för en forensiker rent tekniskt är att lyckas ta sig in i olika system, extrahera och processa stora datamängder som sedan ska pusslas ihop” förklarar hon.
Det händer nya saker varje dag och många gånger är det forensiska arbetet kopplat till händelser som får stora nyhetsrubriker. Just inom IT-forensiken så sker även en hel del intressant utveckling såsom IoT, drönare och bilar. Därför är det lika viktigt att forensikerna får utrymme för egen utveckling, labbar och att specialisera sig inom vissa delar av IT-forensik och dyka djupare inom dessa områden.
Vi har en väldigt spännande och högkvalitativ verksamhet, men vi ska fortsätta att utvecklas. Säkerhetsskyddsenheten kommer genomföra ett utvecklingsarbete av it-säkerhetsområdet de kommande åren, vilket kommer att ge oss både nya mål och metoder. Det är riktigt kul att få vara en del av en verksamhet som faktiskt gör skillnad.
Johanna är ett fingerat namn och heter egentligen något annat.
Just nu söker Säkerhetspolisen personal till följande två tjänster: