»Ni kan inte skydda er«

Trots kodlås, vakter, luftslussar och fingeravtrycksskanning har även den mest stensäkra anläggningen alltid en svag punkt. Vi pratade med en säkerhetskonsult som får betalt för att agera som en inbrottstjuv.

»Jag jobbar på IT-säkerhetsföretaget Sentor. Historiskt sett har jag ägnat mig mycket åt penetrationstester, där man försöker hitta sårbarheter i ett företags nätverk. Våra mognare kunder, de som redan har koll på IT-riskerna, efterfrågar ibland ett fysiskt penetrationstest, eller en ›social engineering-attack‹. IT-säkerhet är svårt att förklara, det här är mer handfast. Vi ska lura oss in, infiltrera verksamheten, agera som skurkar.

Ett typiskt uppdrag kan vara att försöka ta oss in i ett mötesrum där man skulle kunna placera avlyssningsutrustning. Andra företag har data utspridd i olika serverhallar, då kan det hända att vi får i uppdrag att testa deras leverantör. Det kan också handla om att koppla in utrustning i deras apparatur eller försöka placera ut bombattrapper.

Under det första mötet säger kunden ofta: ›Ni får göra vad ni vill.‹ Då brukar vi säga att vi helst vill ha regler. Annars skulle vi kunna klä ut oss till väktare eller förstöra låsen med termit – en blandning av aluminiumpulver och järnoxid som när man tänder på blir runt 3 000 grader varm. Det finns recept en googling bort och en verklig angripare skulle absolut kunna använda något sådant, men vi undviker helst det på grund av brandrisken.

Annons

När vi har kommit överens om reglerna får vi dokument som är signerade av flera människor högt upp i företagets hierarki. Om vi skulle bli tagna kan vi sträcka upp händerna och visa pappren. Att vi faktiskt har tillstånd gör nog att vi vågar ta lite större risker. Sen är det väl lättare i Sverige också där folk inte skjuter först och frågar sen.

De roligaste uppdragen handlar om anläggningar som anser sig ha hög säkerhet. För ett tag sedan jobbade vi med en kund som var väldigt stolt över sin anläggning. De hade hundpatruller dygnet runt och för att komma in behövde man passera en grind, tre stängsel med kodlås, en reception med fyra vakter, en luftsluss med kod, passerkort, fingeravtryck, irisskanner, flygplatsskanner … ja, du förstår. Innanför allt det här fanns ett antal låsta rum. I varje rum fanns ett valv, i valvet fanns burar, och i burarna fanns serverrack. Vårt uppdrag var att ta oss in i ett specifikt sådant rack.

Då handlar det om att identifiera svagheten. Man börjar med att kartlägga verksamheten, ofta på LinkedIn, och får tag på lite mejladresser, så man vet hur de är formaterade. Man skickar ett mejl till någon i organisationen med en dum fråga och får tillbaka ett svar med lite loggor och en standardiserad mejlsignatur. Om man ska utge sig för att vara någon annan behöver man ta reda på vad chefen och de närmsta kollegorna heter. Och så får man ringa Skatteverket och kolla: Är jag gift? Har jag barn? Vad heter de? Bor jag tillsammans med dem?

»Varför ska man hoppa över staketet, spränga hål i väggen och slåss med hundpatrullerna för att komma åt servern?«


Vi beklagar, men du har gått in i väggen. Dessbättre är det bara en betalvägg.

Merparten av vårt material är öppet bara för våra prenumeranter (som gör det möjligt för oss att existera). Nu hoppas vi på dig också!

Som prenumerant får du:

  • Sveriges mest prisbelönta magasin i brevlådan varannan månad.
  • Fri tillgång till alla nummer digitalt samt färska artiklar som bara publiceras på hemsidan.
  • Fri bindningstid.

Dessutom får du rabatt i vår webbshop och inbjudningar till releasekvällar samt förhandsvisningar av både film och teater.

Klart jag ska bli prenumerant!

Fakturaprenumerant?

Klicka här för att aktivera ditt konto

För dig som redan är prenumerant är det bara att logga in och botanisera i vårt digitala arkiv.

Glömt lösenord?