Paulina Waltila är med och löser klimatkrisen på sitt eget sätt. Hennes jobb är att skydda Statkraft mot cyberattacker och hjälpa företaget att säkra viktiga tillgångar och produktion av förnybar energi.

Med en hackare i teamet

"Jag är en supernörd", säger den 32-årige IT-säkerhetsarkitekten Lead på Statkraft.

Det är inte alla som får betalt för att hacka, och Paulina riskerar inte heller att bli arresterad för sitt "illvilliga" hackande. I stället för att kräva lösensumma för hackade datafiler eller radera eller ladda ner viktig, skyddad information från servrarna försöker hon avslöja svagheter i Statkrafts datasäkerhet och skriva rapporter som ger underlag för att vidta ytterligare åtgärder.

Syftet är att göra det möjligt för företaget att täppa till eventuella säkerhetsluckor, hålla sig uppdaterad om hotmetoder och kunna stå emot verkliga, skadliga cyberattacker.

För hoten är många och varierande. Under 2020 registrerade den nationella säkerhetsmyndigheten (NSM) tre gånger så många allvarliga cyberincidenter i Norge som under 2019. Attacker via e-post är fortfarande ett av de största hoten mot företag, men attacker via sms och sociala medier ökar också.

Säkerhetsarkitektur

Tänk på den termen för ett ögonblick. Enligt Paulina Waltila handlar säkerhetsarkitektur om att skydda människor, datacenter, kraftverk, viktig infrastruktur, e-postkonton och annat med hjälp av olika säkerhetsmekanismer.

Även om uppgiften är krävande och komplicerad handlar den ofta om en sak:

– Vi måste alltid ligga minst ett steg före de som planerar en cyberattack, säger hon.

En metod som Paulina och teamet använder för att ligga steget före är att "lura" sina egna anställda.

– Vi får faktiskt hacka våra chefer, säger hon med ett blygt leende. – Så de kan inte vara arga på oss heller. Vi rapporterar till dem att "x antal personer fastnade i fällan, medan x antal personer rapporterade händelsen".

"Det är coolt att vi får lov att vara lite försåtliga också!"

Paulina och säkerhetsteamet skickar regelbundet phishing-e-postmeddelanden. De kan också ringa anställda och berätta konstiga historier för att lura in dem i fällor, så kallad social ingenjörskonst.

– Det känns obehagligt, för man vill ju inte lura någon. Men det är bättre att vi lurar människor än att vi låter någon med ont uppsåt göra det, säger hon och tillägger att alla som de försöker lura anonymiseras i sina anmälningar. Och även om det är lite av en chock för människor att upptäcka att de har blivit lurade, uppskattar de den läxa det lär dem.

• Social ingenjörskonst, ibland även kallad social manipulation, är att lura någon att ge upp åtkomstuppgifter eller annan konfidentiell information. Social ingenjörskonst är förmodligen den mest använda metoden för att hacka och få information.

Stor tillväxt inom datasäkerhet

I Statkraft har en relativt liten grupp som en gång "jobbade med säkerhet" nu blivit en stor specialistavdelning med flera arbetsgrupper. Paulina Waltila leder ett av teamen. Och avdelningen blir större och större, vilket innebär ännu fler personer att arbeta med.

– Samarbete är viktigt för att skydda sig. Människor, system, anläggningar – allt måste fungera som en slags orkester för att ge bästa möjliga resultat.

Hon påpekar att cybersäkerhet har hamnat i fokus inom många områden. Uppfattningen om cybersäkerhet håller på att förändras. Det tas på större allvar än tidigare. Det här specialiseringsområdet är en viktig del av IT-avdelningen, något som Pauline tycker måste lyftas högre upp på agendan i alla styrelserum.

– Det har varit spännande att se hur min avdelning har vuxit på bara ett par år. Kontinuerlig utveckling är ett viktigt fokusområde för Statkraft. Du gör inte bara ditt jobb och går hem. Alla brinner för sitt arbete."

Paulina har även andra platser där hon hittar energi och motivation; När hon inte hackar och testar, lurar företaget och de anställda och lär alla om cybersäkerhet ägnar hon sig åt luftakrobatik – en "vuxenhobby" som hon började med för några år sedan.

– I mitt yrke sitter man mycket av sin tid böjd över en dator, med rundad rygg och spända axlar. Så jag har stor nytta av tung träning som involverar händer, fötter och knän. Jag glömmer allt annat. När jag hänger upp och ner i ett rep med bara mitt knä och snurrar runt och gör akrobatik i luften, har jag inte tid att lösa världens problem. Sen klarnar det i huvudet och jag mår jättebra efteråt!" säger hon och skrattar, men sedan blir hon allvarlig igen:

– Vi sysslar inte med cybersäkerhet bara för att skydda Statkraft. Vi värnar också om det arbete som görs för att hitta klimatlösningar och utveckla en renare värld. Det tycker jag är ganska coolt."