Här är larmcentralen som stoppar cyberattacker

2018-04-30 06:00  

Här analyserar de 10 000 tänkbara it-attacker varje dag. Ny Teknik har besökt det digitala vaktbolaget NTT Securitys säkerhetscentral utanför Göteborg, och hittat en svensk modell för it-säkerhet som gått på export världen över.

De tjocka tegelväggarna i den gamla textilfabriken i Krokslätt ger lite extra trygghet på köpet. Här i Mölndal, ett stenkast från Göteborgs kommungräns har japanska NTT Security en av sina säkerhetscentraler, väl gömd bakom skottsäkert glas och tjocka skyddsdörrar.

Väl inne ser det mest ut som ett vanligt öppet kontorslandskap, fast skrivborden har betydligt fler skärmar. NTT Securitys realtidsanalytiker, för dagen uniformt iförda svarta pikétröjor med företagets logotyp, har sex stycken framför sig för att kunna följa en strid ström av potentiella it-angrepp mot bolagets kunder.

– Här jobbar de hands on. Det är de som sitter här inne som faktiskt är med och upptäcker alla it-hoten du läser om i tidningen, säger Fredrik Westerdahl som är chef för avdelningen när han visar runt i lokalerna.

Läs mer: Inför valåret: Tredubbling av it-attacker mot svenska myndigheter

Lokalen är vad som på branschspråk kallas för en soc, ett security operation center. Vissa storbolag har en sådan funktion internt, men många köper in dem som en tjänst från företag som NTT Security.

Stena-koncernen får hjälp med it-säkerheten

Bolagets kundlista är mestadels hemlig och består i regel av mycket stora företag och myndigheter. Två organisationer som går med på att namnges och som vaktas från centralen i Göteborg är Stena-koncernen och den norska livsmedelsgruppen Bama.

Det dagliga arbetet på soc:en består till stor del av att övervaka den typen bolags it-miljöer i jakt på avvikelser som kan tyda på pågående eller kommande cyberangrepp. En arbetsuppgift som kallas threat detection.

– Jag brukar säga att det handlar om att ständigt söka efter nålar i höstackar. Det finns en enorm mängd data i alla it-system där ute och förhoppningsvis har organisationerna investerat i säkerhetsprogram som genererar loggar från dem, säger Fredrik Westerdahl.

Läs mer: Här är tekniken som kan förutspå en cyberattack

De loggarna ligger till grund för mycket av arbetet. Varje dag samlas åtskilliga terabyte av data in, miljontals små noteringar i loggfilerna. Merparten granskas och sållas automatiskt bort, men runt 10 000 händelser landar ändå i knät på analytikerna i Mölndal och deras kolleger på NTT:s andra nordiska center i norska Arendal.

Själva jobbet är ett slags detektivarbete. Att försöka para samman olika misstänkta punkter i loggarna. Konstig nätverkstrafik, märkliga användarbeteenden, misstänkta dataflöden.

Larmcentralen överakar dygnet runt

Den övervälvande majoriteten avskrivs förstås snabbt av analytikerna. På plats i Krokslätt sitter ett handfull personer och jobbar aktivt med att övervaka flödet, realtidsanalytiker som NTT kallar dem.

Det är ett krävande jobb, skrivborden är bemannade dygnet runt. Därför turas de om att gå på skift vissa veckor, och andra veckor jobba kontorstid med att finjustera analysverktygen eller hoppa in för att ge en hjälpande hand när något händer.

Läs mer: Fem sätt hackare kan attackera med hjälp av artificiell intelligens

För att passa in är rätt sinnelag viktigare än en formell utbildning. Fredrik Westerdahl säger att det gäller att gilla it-säkerhet, att ha en stark analytisk förmåga och ett inre lugn för att klara av de hektiska situationerna.

– Analys är någonstans mellan teknik och konst. Du behöver ha en fantasi, man måste kunna få en känsla för att något är konstigt. Det kanske låter flummigt, men det bygger på kunskap, säger han.

Antagningsprocessen är gedigen med skriftliga tester och muntliga prov. Sedan väntar runt tre månaders internutbildning innan de nyanställda får börja gå in och sitta egna, oövervakade skift som realtidsanalytiker.

10 000 it-händelser analyseras varje dag

När en it-incident väl är bekräftad ska åtgärderna komma snabbt. I regel har bolaget som drabbats en rapport på bordet inom en halvtimme. Där framgår vad som NTT misstänker har skett och vilka åtgärder som rekommenderas.

De uppemot 10 000 händelserna som landar i analytikernas knän varje dag kan i regel kokas ned till mellan 10 och 50 faktiskt incidenter, även om det kan variera kraftigt.

Läs mer: Experten: Vi bäddar för olycka med artificiell intelligens

NTT är en global jätte med fäste i Japan. Underavdelningen NTT Security bildades för två år sedan, för att sammanföra alla bolagets säkerhetsavdelningar världen över. Den svenska delen tillkom 2010, när NTT förvärvade Secode. Ett nordiskt bolag med säkerhetscenter i Sverige och Norge.

Det är Secodes teknik som ligger till grund för den threat detection som NTT numera använder globalt. På kontoret i Mölndal sitter fortfarande fyra av Secodes grundare kvar, Fredrik Westerdahl är en av dem som varit med i den arton år långa resan.

Nordiska Secode köptes upp av NTT

I början av resan var tanken på att outsourca övervakningen av it-systemen något nytt. Fredrik Westerdahl och hans kolleger försökte övertyga kunder och investerare genom att likna sig vid ett vaktbolag: du anställer inte egna väktare, du hyr in dem från Securitas.

– Vi skulle erövra världen, och sa att vi var ett digitalt vaktbolag. För att göra ett statement sa vi i affärsplanen att vi skulle köpa Securitas, ett miljardbolag, inom fem år eller något sådant, säger Fredrik Westerdahl och skrattar.

Riktigt så väl gick det inte. Men Secodes teknik lever i allra högsta grad vidare.

Läs mer: Hackare har tagit över röntgenmaskiner världen över

Efter ett par år slogs bolaget ihop med ett norskt säkerhetsbolag, och 2010 blev de uppköpta av det jättelika japanska telekombolaget NTT. Secode blev så småningom NTT Security, men de internutvecklade metoderna och mjukvaran för ”threat detection” lever vidare och har gått på export till NTT:s andra digitala larmcentraler världen över.

– Jag känner mig lite som McDonald’s när jag reser runt, vi kommer med vårt franchisekoncept som andra som får driva enligt ramarna vi ritat upp. Inte bara tekniken utan ett helhetsperspektiv på hur man tänker med platta hierakier och sådant. Den skandinaviska modellen kan man säga, säger Fredrik Westerdahl.

NTT Security

Omsättning i Sverige: 151 miljoner (2016).

Anställda i Sverige: 62 (2016).

Startades: 2016.

NTT Security är en del av den japanska telekomjätten NTT Group som bildades 2016. Den nordiska grenen av företaget är sprungen ur it-säkerhetsföretaget Secode som NTT köpte upp 2010.

Simon Campanello

Kommentarer

Välkommen att säga din mening på Ny Teknik.

Principen för våra regler är enkel: visa respekt för de personer vi skriver om och andra läsare som kommenterar artiklarna. Alla kommentarer modereras efter publiceringen av Ny Teknik eller av oss anlitad personal.

Här är reglerna för kommentarerna på NyTeknik

  Kommentarer

Dagens viktigaste nyheter

Aktuellt inom

Debatt