Många riktigt stora organisationer, myndigheter och företag har byggt upp it-säkerhetsverksamheter vars uppgift är att skydda den egna it-infrastrukturen och nätverket från attacker och andra typer av störningar. Dessa interna grupper inom it-organisationen som operativt skyddar verksamheten kallas cert, computer emergency response team. I namnet ligger att teamet ska övervaka nätverket och it-systemet, upptäcka attacker och hot, och operativt agera för att stoppa fientlig aktivitet.
Polismyndigheten i Sverige är inget undantag utan arbetar sedan 2013 med att operativt skydda Polisens it-funktion, men också med att samverka med andra organisationer, utbyta information och hjälpa till där det behövs. Polismyndighetens cert, förkortat pm-cert, ligger inhyst i det stora polishuset på Kungsholmen i Stockholm och vi tappar snabbt orienteringen när verksamhetens gruppchef Roger Lund leder oss genom korridorerna till pm-certs avdelning där vi möter upp teamledaren Johan Nilsson.
Den som framför sig ser ett bergrum med dämpad belysning och enorma skärmar har sett för många actionfilmer. Pm-cert ser ut som vilket kontor som helst. Det ”allra heligaste” är ett rum där operatörerna arbetar dygnet runt med att skydda Polisens it, och dit får vi inte tillträde. Det råder även fotoförbud i hela det kvarter som utgör Polismyndighetens huvudsäte.
Uppdelade i flera olika grupper
På pm-cert arbetar totalt 16 personer uppdelade i olika grupper med sina olika funktioner. Framförallt är teamet uppdelat i en soc, security operations center, och cert-funktionen. Det finns även en grupp på två personer som enbart arbetar med logganalys. Soc:en, med sina fem medarbetare, sitter i det främsta ledet i den operativa verksamheten och arbetar med detektion, analys och vad Roger Lund betecknar som ”threat hunting”.
Till detta har Polisen ett otal sensorer och honungsfällor runt om i nätverket som fångar upp datatrafik. Hur många och var är förstås hemligt.
Cert-funktionen tar vid efter soc:en och utför mer avancerade analyser och fattar beslut om åtgärder. Vilka dessa åtgärder är beror förstås på situationen, och pm-cert måste räkna med allt mellan triviala störningar och riktigt avancerade attacker. Enligt Roger Lund är nätfiske-attacker den vanligaste typen av hot som pm-cert detekterar, och den allt övergripande funktionen för pm-cert är att se till att Polisens it-system är tillgängligt.
Även informationssäkerheten är förstås extremt viktig – data från Polisens it-system, till exempel om pågående utredningar, får under inga omständigheter läcka ut. Men Roger Lund pekar också på att den typen av läckage knappast förekommer; när läckor sker handlar det mer om mänskliga läckor, ibland med inslag av hot mot enskilda poliser.
Pm-cert utför även egna övningar där de testar sin egen funktion och förmåga. pm-cert har ett ”red team” som försöker hacka systemet, och ett ”blue team” som försvarar det. Grupperna byter medlemmar sinsemellan så att alla kan dra lärdom av bägge sidors speciella utmaningar.
Polismyndighetens cert kom på tal och började byggas upp under 2013. Då fattades beslut om att polisens klienter och andra delar av it-systemet skulle kopplas upp mot internet. Innan dess var hela Polisens it fysiskt oåtkomligt, det man brukar kalla ”air gap”. När olika system fick åtkomst till nätet, och nätet därmed förstås fick åtkomst till polisens it-system, uppstod behovet av polismyndighetens cert.
Minst sagt komplex it-miljö
Polisen har en uppsjö olika typer av system i sitt nätverk och i sin verksamhet, betydligt fler än de flesta andra organisationer eller vad de flesta nog föreställer sig. Här finns naturligtvis vanliga klienter, servrar och nätverksutrustning, men Polisen hanterar även system som kommunikationssystemet Rakel, diverse it-utrustning som finns i fordon, helikoptrar, båtar och numer även drönare. Även olika typer av spaningsutrustning kan höra hit. Det är med andra ord en minst sagt komplex it-miljö pm-cert är satta att skydda.
– Vi testar alla it-system polisen använder. Inget går i drift utan att vi har testat det och vi pen-testar alla system, inklusive de applikationer vi använder. Vi utvecklar de mesta inom organisationen och allt driftas inom organisationen. Det gäller till exempel även apparna på våra Ios-enheter som används i fält som körs i speciella sandlådor på operativsystemet, säger Johan Nilsson.
Resultatet av pm-certs verksamhet stannar inte nödvändigtvis inom organisationen – det beror på vad man upptäcker. Det händer att pm-cert detekterar aktivitet som delas med cert-funktionerna på Säpo, Försvarsmakten och även till cert-se på MSB, Myndigheten för samhällsskydd och beredskap. Givetvis gäller även det omvända. Pm-cert bistår även it-brottsutredningar inom myndigheten – ”vi tycker det är en krydda att hjälpa till att lösa brott, även om det inte är vår huvudsakliga uppgift” säger Roger Lund.
De som arbetar på pm-cert är inte poliser i den bemärkelsen att de genomgått en polisutbildning; pm-cert är en civil grupp bestående av bland annat mycket kompetenta hackare och forensiker. Enligt Roger Lund är det inte vem som helst som kommer i fråga, men även pm-cert har åtminstone tidigare drabbats av den allmänna kompetensbristen inom it-säkerhetsbranschen som många andra organisationer. Alla på pm-cert har dock marknadsmässiga löner, så det är inte där skon klämmer. Det finns också ett visst mått av idealism och inte minst att verksamheten och arbetsuppgiften är tämligen unik.
– Personalen här lever it och vet knappt när de slutar jobba om dagarna; det är en livsstil. De riktiga teknikfreaksen sitter med pen-tester, medan själva cert:en är mer komplex, säger Roger Lund.
– Om du ska börja hos oss kommer vi testa din kompetens som hacker. Du får börja med att pen-testa och visa vad du kan, och det är med pen-tester ”nybörjarna” får inleda sin bana hos oss. Det här handlar om kvalificerad hacking, och vad som står i ditt cv är inte intressant. Det har hänt att vi diskuterat en eventuell anställning med folk som kommer från konsult-hållet med mycket fina cv:n, men som visat sig helt oanvändbara för vår verksamhet, säger Roger Lund.
Sverige är ett litet land
– Nuförtiden har vi inga större problem att rekrytera bra folk; det handlar mycket om kontakter, att en som jobbar här känner en annan duktig person som kan vara en bra kandidat. Men du måste ändå genomgå våra tester, hur rekommenderad eller kompis du än är med någon som redan jobbar här. Och folk kommer och går – det händer att någon slutar, går till en annan myndighet eller tar jobb som konsult ett tag, men kommer tillbaka hit igen. Sverige är ett litet land, säger Roger Lund.
Det är också relativt vanligt att personer inom Polisen söker sig till pm-certs logganalysfunktion som internsökande. Om de har en polisutbildning kan det vara en fördel, men det finns också möjligheter att gå en internutbildning i brottsutredning för att bättre kunna bistå brottsutredningar. Speciellt gäller detta de personer som arbetar med logganalys, som är den mest svårrekryterade typen av medarbetare inom pm-cert. Logganalys kräver ett speciellt sinnelag; det är ett svårt jobb som också är viktigt vid just it-brottsutredningar.
Trots den höga kompetensen inom organisationen och dygnet-runt-bevakningen kan pm-cert inte garantera att det inte finns potentiell fientlig verksamhet i nätverket eller mot Polisens exponerade tjänster, men enligt Roger Lund är det inte mycket de upptäckt i efterhand som kan ha slunkit igenom, och regelrätta intrång har aldrig hänt.
– Det kan teoretisk ligga någon skadlig kod ”dormant” sen åratal, men i samma ögonblick den försöker ”prata hem” kommer vi att upptäcka den, säger Roger Lund.
Pm-cert utökar kontinuerligt sin verksamhet och kommer öka personalstyrkan framöver. Även kompetensen, som redan är mycket hög, ska bli ännu bättre. Det behövs ju mer samhället digitaliseras, och Polismyndigheten med den.
– Vi ska bli bäst, säger Roger Lund kaxigt. Vi ska bli bättre än FRA.
Fotnot: Roger Lund och Johan Nilsson har begärt att inte synas på bild.
Läs också:
Regeringen: Polisen ska få hacka mobiler och placera ut trojaner
Nu går polisdrönare från projekt till verklighet – ”en gamechanger”
