Klockan är fem, Charles Skoglund stänger locket på laptopen för att stoppa ner den i väskan och skynda hemåt. Sambon måste iväg och någon måste rasta hunden. Telefonen ringer, det är personalen på Avanzas helpdesk.

”Är det okej om vi stannar kvar och spelar Counterstrike efter jobbet?”

Riskbedömning. Counterstrike betyder att Steam-klienten ska köras på datorerna, Steam kommunicerar utåt mot centrala servrar. Släpper vi ut den kommunikationen? Steam har haft sårbarheter tidigare. Vilka är det som ska spela? Behöver vi licenser för sånt där? Det här måste vara mer uppstyrt.

Charles hatar att säga nej. Att ta risker är förstås en del av bankens affär men de måste för det första vara kalkylerade och för det andra ha tydliga fördelar. Counterstrike saknar tyvärr båda.

– Jag kände mig så tråkig efteråt. Jag har gjort många år som supporttekniker och har självklart varit på LAN i mina dagar. Det var enkelt att se mig själv ur deras perspektiv.

Under julfesten lovade han att hjälpa dem att styra upp ett ordentligt LAN vid ett senare tillfälle.

”ISO 27000 och så vidare är säkert bra för de som saknar egen erfarenhet”

Charles Skoglund är 35 år och tillhör den nya generationens it-säkerhetschefer, de första som har vuxit upp med it och dess säkerhetsproblem. Sedan åtminstone 10-15 år tillbaka har det förstås funnits många i säkerhetsbranschen som har vuxit upp med säkerhet men det är först nu de är tillräckligt gamla för att bli erbjudna chefspositioner.

Porträtt Charles Skoglund

Han rodnar tydligt på frågan om hur säkerhetsintresset började. Rodnaden, det sneda leendet och den oavslutade meningen ”det var på högstadiet, det var andra tider då” säger det mesta.

– Det var aldrig något allvarligt förstås men nyfikenheten var definitivt lärorik. Den föder fantasin och vässar det kritiska tänkandet.

Fantasi och framförallt kritiskt tänkande är något som annars förknippas med högre utbildning. Inte i Charles fall, vägen var betydligt brokigare än så.

Positioner som säljare, teknisk säljare och supporttekniker på 90-talsfenomenet Lap Power betades av snabbt efter en halvt avslutad teaterutbildning på Calle Flygare och en tid som tvättmedelsförsäljare.

Charles gör en snabb reflektion över teaterutbildningens två oväntade bieffekter: förmågan att vara säljande samt färdigheter i social engineering. Jag bestämmer mig för att inte bottna den andra bieffekten.

It-bubblan har ännu inte spruckit och säkerhet är fortfarande en hobby när Charles får sin första kontakt med finansbranschen. Drift och administration av system på det som i dag är Swedbank. En del av tiden spenderas som skiftarbetande, något som underlättas av vad Charles kallar ”BBS-dygnsrytmen” men oundvikligen påverkar det sociala umgänget.

När Boo.coms spektakulära konkurs markerade början på slutet av it-bubblan i maj 2001 stannade Charles ytterligare ett år på banken och gick sedan vidare och blev driftare på Stockholmsbörsen. Säkerhet lades härmed på hyllan, även som hobby. Det såg inte ut som att det skulle bli något annat än just det.

Tiden på börsen blev lika kort som på banken, omkring ett och ett halvt år. Osäker på varför men hoppar på en utbildning i datavetenskap på Stockholms universitet, den engagerar inte tillräckligt och i stället påbörjas en utbildning i psykologi. Insikten om att det inte heller passar smyger sig på förstärkt av de ekonomiska besvär som studentlivet erbjuder.

– Jag fick av olika anledningar kontakt med ett spelföretag, 24hPoker (senare Entraction), som behövde någon som tog ansvar för deras drift. Den första uppgiften var att flytta hela spelmiljön till Estland för att kunna få en riktigt spellicens.

Det märks att Charles högg på idén om att ge sig in i något som var för svårt, något som ingen annan på firman kunde. Miljön flyttades inte bara utomlands en gång utan ytterligare en gång efter det. Produktionsmiljön gjordes redundant, alternativa driftmiljöer sattes upp och, framförallt, säkerhetsproblem behövde hanteras. Charles fick fixa allt och av hans ansiktsuttryck när han berättar det att döma så älskade han det.

Som driftare finns det två anledningar till att ägna tid åt säkerhet: det finns externa parter som ställer säkerhetskrav, till exempel de som ger ut spellicenser och det finns externa parter som utnyttjar faktumet att du inte har ägnat tid åt säkerhet, till exempel de som fuskar i spelen, försöker stjäla kunders pengar eller tvätta redan stulna pengar.

– Dels fick jag hantera säkerhetskraven från spelorganen och PCI, dels fick jag hantera de reella säkerhetsproblemen. Det blev dessutom en del arbete med forensics och några turer som expertvittne i rättegångar under den tiden. När man är med från början och under sådan tillväxt är det lätt att bli gammelman, vad som än händer i bolaget rörande it så är man inblandad.

”jag hade aldrig vågat ha ansvar för it-säkerheten annars”

Arbetet fokuserades mer och mer mot säkerhet och det implicita säkerhetsansvaret blev till slut explicit. Med tiden blev dock den informella rollen som gammelman besvärande och efter lite velande enligt normalförfarande gick Charles över och blev konsult hos Bitsec. Under tiden på Entraction hade Charles anlitat konsulter från Bitsec för säkerhetstester och utredningar. Övergångar mellan kund och konsult är i bland frowned upon men cirkeln kom senare att slutas eftersom en av Charles kunder som konsult på Bitsec var Avanza Bank.

– Det tog lång tid för mig att bestämma mig för att gå tillbaka till en fast anställning trots fyra år som konsult på Bitsec. Avanza var förstås favoritkunden men VD:n fick inte sin vilja igenom förrän vid det fjärde försöket då jag sade ja.

Internetbanken Avanza har funnits i 14 år, har omkring 280 anställda, 300 000 kunder och är samlat på ett kontor. När intervjun görs har Charles avverkat lite mer än det första halvåret som it-säkerhetschef på banken.

Använder du dig av något kravramverk för att styra säkerhetsarbetet?

– Nej, jag har väl inte mycket till övers för ramverk så där. Tidigare på Entraction tog vi betalt med kort vilket innebar att vi lydde under PCI DSS. Några sådana krav har vi inte nu.

Det behöver ju inte föreligga externa krav, det är vanligt att följa ramverk ändå, jag tänker på ett populärt från ISO exempelvis.

– ISO 27000 och så vidare är säkert bra för de som saknar egen erfarenhet men de har oavsett problemet att de aldrig är heltäckande och att det är otydligt vad som är viktigast, vad som ska prioriteras. Allt är viktigast. De kan nog ge en falsk trygghet om man inte vet vad man gör. Givetvis är det också en fråga om storleken på företaget.

Vad säger din erfarenhet då?

– Jag har varit med och hanterat många incidenter i mina dagar och det handlar nästan alltid om att ändpunkter – servrar, klienter, infrastruktur – inte har härdats. Det saknas patchar, de har funktionalitet aktiv i onödan, de har svaga lösenord, är felaktigt konfigurerade, och så vidare. Härdning av ändpunkter är steg ett.

”Jag tror att det är mer viktigt med löpande utbildning än i ’klassrum’.”

Det är ju förstås där intrången verkligen sker i slutändan så det är ju rimligt. Det låter som att det finns ett steg två?

– Noggrann segmentering av nätverket, det är en grej som hänger kvar från Bitsec. Varje dator ska bara ha åtkomst till precis de tjänster de behöver. Vissa tjänster behöver alla åtkomst till, mail och file shares till exempel. Vissa behöver åtkomst till internet också, jag understryker vissa där. Tyvärr är det svårt att erbjuda en arbetsplats i dag där man inte har åtkomst till internet, man kan ha separata datorer förstås men det blir för dyrt. Nu för tiden finns det dock bättre möjligheter till virtualisering.

Betyder det här att du är ständigt osams med personalen som har hand om nätverket?

– Haha, nä det är jag inte. Givetvis måste man övertyga om att det är något som är värt besväret, det måste man ha respekt för.

Efter ordningen på nätverket då?

– Övervakning, men det är svårt i ett mindre företag. Det krävs stora resurser för att sätta upp en grupp som sköter övervakningen. Som mindre spelare får man vara smartare.

Är inte övervakning något som passar för outsourcing på samma sätt som småbutiker i ett centrum delar på bevakningspersonal?

– Jo defintivt och det har jag varit med om hos kunder. Problemet är att det är så svårt att få ut värde ur tjänsten om man inte redan har väldigt bra kontroll på sin miljö. Du måste alltid anstränga dig för att rensa upp miljön först så att den går att övervaka, annars kommer de inte att ha en chans att hitta de 5 händelser av 1 000 000 som kanske är intressanta.

Outsourcing i övrigt ur ett säkerhetsperspektiv?

– Absolut inte, jag skulle aldrig våga outsourca våra data.

Vad är det som gör att du tycker så?

– Det blir alltid en fråga om vad som står i avtalet vid outsourcing. Jag skulle uppleva det som onödigt distraherande. Givetvis blir det billigare, det beror helt på vad man har för miljö och behov. Om jag har anledning att oroa mig för säkerhet skulle jag aldrig outsourca.

Hur viktigt är det med omvärldsbevakning?

– Jag tycker att det finns stor nytta i threat intelligence, särskilt i vissa vertikaler. Förut när jag jobbade i spelbranschen fanns det flera samarbeten som gick ut på att dela med sig av information; adresser och konton som används av bedragare och sånt. I dag representerar jag Avanza i Svenska bankföreningens grupp som samarbetar i säkerhetsfrågor. Det finns mycket bra att hämta i sådana samarbeten.

Som vadå?

– Hot som är riktade mot banker, ofta banktrojaner och phishingkampanjer, och erfarenheter om hur man motarbetar dem.

Mer allmänna, öppna rapporter från företag som Verizon och så vidare då?

– De är bra för att öka medvetenheten generellt och emellanåt kan de bekräfta misstankar man har, men jag ser inte jättestor nytta utöver det. Rapporterna verifierar oftast det vi redan vet, dessutom är de reklam i stor utsträckning.

Du föredrar underrättelser på operativ nivå?

– Jag tror det, listor på IP-adresser som används av bedragare, kortnummer som är stulna men inte spärrade, kontonummer som tillhör money mules, signaturer för banktrojaner och sånt. Det är något man kan agera på för att skydda sig.

Avanza Bank skylt

Riskanalyser?

– Både ja och nej, jag ger input på andras för att ge it-säkerhetsperspektivet. Det är ett bra sätt att sprida uppfattningen om vilka risker som finns, man kommer överens om vad de innebär för verksamheten.

Du verkar väldigt handgriplig i hur du ser på säkerhet; vissa saker fungerar, fokusera på dem i första hand. Du hänvisar till att du har gjort massor av säkerhetstester, att du har varit med om många intrång, du har sett många osäkra system. Du verkar mer erfarenhetsstyrd än metodstyrd, skulle du hålla med om det?

– Definitivt, jag hade aldrig vågat ha ansvar för it-säkerheten annars, om jag inte hade erfarenheterna i ryggen.

Är det något du tror att man kan dela med sig av, hur ser du på utbildning? Viktigt, men inte lika viktigt som att härda och segmentera?

– Haha, ja något sånt. Jag tror att det är mer viktigt med löpande utbildning än i ”klassrum”. Exempelvis, en tidigare kund hade fått in ett gäng phishingmail som ett par anställda trillade dit på. Jag tog ett screenshot av mailet och bröt ner det i delar och pekade på vad som gjorde att man kunde avgöra att det var ett bedrägeri. Vi skickade ut det till alla anställda.

Det blir mer verkligt för dem och lättare att ta till sig?

– Precis så tänker jag mig. I övrigt har vi det förspänt på Avanza, ledningen är väldigt it-stark och många av de som var med från början är fortfarande kvar, det är högt i tak och alla är oerhört intelligenta och vill varandra, kunderna och företaget väl. Mycket goda förutsättningar för att nå fram med utbildning. Det är en fantastisk kultur.

Faktumet att helpdesken ringde, inte till sin chef, utan till it-säkerhetschefen för att fråga om Counterstrike är kanske ett tecken på det.


På väg tillbaka till kontoret efter det andra intervjutillfället tänker jag, precis som efter det första: vi hade kunnat diskutera de här frågorna i ett par timmar till. Charles är lätt att tycka om, han har en nästan överdriven ödmjukhet (vissa av hans ställningstaganden ovan krävde en del lockande) men det är uppenbart att han står på en stadig grund.

Som bransch går vi en ljusare framtid till mötes i och med att den nya generationens it-säkerhetschefer träder fram. Det är ett steg närmare den mognad som många andra yrkesgrupper redan har. Alla chefer på McDonald’s har flippat burgare, alla domare har arbetat som tingsnotarie.