Paulina Waltila löser klimatkrisen på sitt eget sätt. Hon arbetar med att skydda Statkraft mot cyberattacker och säkrar på så sätt viktiga tillgångar och produktionen av förnybar energi.

Med en hackare i laget

"Jag är en nörd", säger 32-åringen, som är IT-säkerhetsarkitekt på Statkraft och har den engelska titeln IT Security Architecture Lead.

Det är inte alla som får betalt för att hacka. Paulina Waltila riskerar inte heller straff för sitt "illvilliga" hackande. I stället för att kräva en lösensumma för stulna datafiler arbetar hon med att avslöja svagheter i Statkrafts datasäkerhet och skapa rapporter som ger underlag för åtgärder.

Syftet är att att täppa till eventuella säkerhetsrisker, hålla företaget uppdaterade om nya hot, och rusta Statkraft för riktiga, skadliga datorattacker.

Hoten är många och varierande. Under 2020 noterade norska Säkerhetsverket (NSM) tre gånger så många allvarliga cyberincidenter som året innan, och det har bara ökat sedan dess. "Cyberattacker har blivit vardagsmat", skriver NSM på sin hemsida.

Attacker via e-post är fortfarande bland de största hoten för företag, men allt fler attacker via SMS och sociala medier förekommer.

Säkerhetsarkitektur

Smaka på ordet. Enligt Paulina Waltila handlar säkerhetsarkitektur om att skydda människor, datacenter, kraftverk, kritisk infrastruktur, e-postkonton och mycket mer genom olika säkerhetsmekanismer.

Även om jobbet är krävande och komplicerat kan man sammanfatta uppgiften:

– Vi måste alltid ligga minst ett steg före dem som planerar en cyberattack, säger hon.

En metod som Paulina och teamet använder är att "lura" sina egna anställda.

– Vi får faktiskt hacka våra chefer – säger hon och ler lurigt – utan att de får bli arga på oss. Vi ger dem en rapport om att "x antal personer har fallit i fällan, medan x antal personer har rapporterat händelsen".

– Det är coolt att vi får göra lite kluriga saker också!

Paulina och säkerhetsteamet skickar ut phishing-e-postmeddelanden med jämna mellanrum. De kan också ringa anställda och berätta konstiga historier för att lura in dem i fällor, så kallad social ingenjörskonst.

– Det känns obehagligt, för man vill inte lura någon. Men det är bättre att vi lurar folk än att någon med ont uppsåt gör det, säger hon och tillägger att alla de försöker lura är anonymiserade. Även om det är lite av en chock för människor att upptäcka att de har blivit lurade, uppskattar de lärdomarna som kommer av det.

• Social ingenjörskonst är att lura någon att överlämna åtkomstuppgifter eller annan konfidentiell information. Social ingenjörskonst är förmodligen den vanligaste metoden för att hacka och få information.

Stark tillväxt inom datasäkerhet

På Statkraft har en relativt liten grupp "som arbetade med säkerhet" blivit en stor specialistavdelning med flera arbetsgrupper. Paulina Waltila leder ett av teamen och avdelningen blir större och större, vilket innebär ännu fler personer att samarbeta med.

– Det är viktigt att värna samarbetet. Människor, system, anläggningar – allt måste fungera som en slags orkester för att ge bästa möjliga resultat.

Inom många områden är det fokus på datasäkerhet, påpekar hon. Uppfattningen om datasäkerhet har förändrats, nu tas den på större allvar än tidigare. Ämnesområdet är en viktig del av IT-avdelningen, och det är ett nytt förhållningssätt som måste lyftas i alla styrelserum, menar hon.

– Det har varit spännande att se hur min avdelning vuxit på bara ett par år. Kontinuerlig utveckling står i fokus för Statkraft. Du gör inte bara ditt jobb och går hem – alla har en passion för detta.

Paulina Waltila hämtar även energi och motivation från andra källor. När hon inte hackar företaget och lurar sina kollegor så utövar hon luftakrobatik – en hobby som hon började med för några år sedan.

– I mitt yrke sitter man ofta böjd över datorn med krökt rygg och höga axlar. Då är det bra att köra tung träning där jag får kontakt med händer, fötter och knän. Jag glömmer hela världen. När jag hänger upp och ner i en ring med bara knät och snurrar runt och gör figurer i luften har jag inte tid att lösa världsproblem. Sen klarnar huvudet och jag mår fantastiskt efteråt, säger hon och skrattar. Men blir allvarlig igen.

– Vi sysslar inte med cybersäkerhet bara för att skydda Statkraft. Vi värnar också arbetet med klimatlösningar och utvecklingen av en renare värld. Det är ganska coolt, tycker jag.