»Ni kan inte skydda er«

Trots kodlås, vakter, luftslussar och fingeravtrycksskanning har även den mest stensäkra anläggningen alltid en svag punkt. Vi pratade med en säkerhetskonsult som får betalt för att agera som en inbrottstjuv.

»Jag jobbar på IT-säkerhetsföretaget Sentor. Historiskt sett har jag ägnat mig mycket åt penetrationstester, där man försöker hitta sårbarheter i ett företags nätverk. Våra mognare kunder, de som redan har koll på IT-riskerna, efterfrågar ibland ett fysiskt penetrationstest, eller en ›social engineering-attack‹. IT-säkerhet är svårt att förklara, det här är mer handfast. Vi ska lura oss in, infiltrera verksamheten, agera som skurkar.

Ett typiskt uppdrag kan vara att försöka ta oss in i ett mötesrum där man skulle kunna placera avlyssningsutrustning. Andra företag har data utspridd i olika serverhallar, då kan det hända att vi får i uppdrag att testa deras leverantör. Det kan också handla om att koppla in utrustning i deras apparatur eller försöka placera ut bombattrapper.

Under det första mötet säger kunden ofta: ›Ni får göra vad ni vill.‹ Då brukar vi säga att vi helst vill ha regler. Annars skulle vi kunna klä ut oss till väktare eller förstöra låsen med termit – en blandning av aluminiumpulver och järnoxid som när man tänder på blir runt 3 000 grader varm. Det finns recept en googling bort och en verklig angripare skulle absolut kunna använda något sådant, men vi undviker helst det på grund av brandrisken.

När vi har kommit överens om reglerna får vi dokument som är signerade av flera människor högt upp i företagets hierarki. Om vi skulle bli tagna kan vi sträcka upp händerna och visa pappren. Att vi faktiskt har tillstånd gör nog att vi vågar ta lite större risker. Sen är det väl lättare i Sverige också där folk inte skjuter först och frågar sen.


Tack för att du läser Filter

Skapa ett gratiskonto eller för att fortsätta läsa.

 

Sugen på en prenumeration? Teckna här!

Artikeln publicerades i Filter #62 (23 maj 2018) och är skriven av .