Jan Olsson är poliskommissarien på NOA som nyligen utsetts till Årets Säkerhetsprofil. Verifiera träffar honom på konferensen Trygg och Säker 2022 i Stockholm för ett samtal om det senaste inom cyberbrott och vad som får honom att hålla över hundra föredrag om året om IT-säkerhet.
Cyberbrott. Till vardags är Jan Olsson verksamhetschef för SC3 på Polisens nationella operativa avdelning (NOA). SC3 står för Swedish cybercrime center, eller på svenska Nationellt IT-brottscentrum. Han är en av de mest erfarna och kunniga poliser Sverige har inom området komplexa cyberbrott. De som har sett SVT-programmen Samhällskollaps och Hackad känner igen honom som en av experterna som kommenterar de intrångsförsök med mera som sker i programmet av en grupp anlitade hackare under kontrollerade former. När Verifiera träffar honom har han just suttit i en panel för att diskutera ämnet “Betala eller bli nedstängd – Hur skyddar vi oss mot ransomware och cyberattacker?”
Du håller massor med föredrag om året om cyberbrott, och blev nyligen belönad för allt ditt slit med titeln Årets Säkerhetsprofil. Hur gör man för att belönas med den titeln?
“Det blir man i mitt fall genom att föreläsa. Förra veckan höll jag min 102 föreläsning för i år. Jag är ute och proklamerar som en domedagsprofet om den osäkerhet företagen har i sina organisationer och måste rätta till för att inte bli brottsoffer.”
“Det gör jag för att vi inom polisen inte klarar av inflödet av anmälningar om IT-brott. Det är IT-säkerhet det handlar om. Man måste bygga bort möjligheterna att bli ett brottsoffer så mycket som möjligt och det gör man tyvärr inte idag. Därför har jag fått den här utmärkelsen, för att jag är ute och skriker på gatorna om det här.”
Kan jag kalla dig en folkbildare som brinner för att bekämpa cyberbrott?
“Javisst. Så mycket jag bara orkar. Vi kan aldrig utreda bort de här brotten, men vi kan förhindra att de sker och där kommer mina föredrag in i bilden.”
Hur blir man en polis som folkbildar om IT-säkerhet?
“1988 gick jag in på KTH och läste fysik, och där väcktes mitt intresse. Sen såg jag att man kunde bli polis så då bytte jag bana i skolan. Jag tog med mig teknik- och IT-intresset därifrån. Sen ser jag hela tiden konsekvenserna av IT-brotten och hur de lider av dessa de som drabbas av dem.”
Hur många av alla de IT-angrepp som sker mot svenska företag varje dag tror du upptäcks och hur många glider förbi obemärkta?
“Det är någon procent som anmäls. Drygt hälften upptäcks nog. Men du vet inte alltid vad det är du upptäckt. Det är kanske bara din dator som plötsligt blir trög och långsam, men du vet inte varför. Det kan vara så att du har ett intrång där de är inne i din dator och stjäl datakraft. Det sker i miljontals datorer och servrar världen över utan att ägaren upptäcker detta. Eller så kanske de minar bitcoins. Det vill säga att de använder din dator för att skapa virtuella valutor (kryptovalutor, reds anm).”
“Jag brukar säga att har man inte redan blivit angripen så är det bara en tidsfråga innan det sker.”
Varför är det många företag som angrips och utsätts för detta som inte polisanmäler det inträffade? Vad tror du?
“Tittar man på de större ransomvarevirusen som används för att utpressa större företag så handlar det om flera olika skäl. Ett kan vara att de tror att det skadar deras varumärke när de haft ett intrång. Då kan de tro att kunderna blir oroliga och kanske går någon annanstans istället. Dessutom säger en del att det inte ens går att ringa polisen om det här då telefonkön är två timmar lång för att göra en anmälan. Och det är rätt. Vi har ett dåligt system för anmälningar.”
“Sedan säger de också att polisen inte kan göra något. Men där har de fel. Svensk polis är med i de tillslag som sker. Hälften av alla tillslag som skett i Europa de två senaste åren har svensk polis varit med i. Vi har gripit de som låg bakom den stora attacken mot Coop. Det tillslaget skedde samordnat i fyra olika länder. Så visst är vi med, men vi kan definitivt inte ta alla case som uppstår, eftersom de inte anmäls. Och när de inte anmäls får vi ingen ytterligare personal.”
Kan man säga att er kompetens är bra, men ni behöver vara flera?
“Ja, tiofalt eller hundrafalt fler.”
Och för att ni ska bli fler måste företag och organisationer anmäla så att den här skuggsiffran kommer fram i ljuset?
“Exakt. Kan jag påvisa att så här många svenska företag är egentligen attackerade, så här mycket pengar förlorar de, så här mycket lider de av cyberangreppen, då kommer vi i nästa steg få mer resurser för att bekämpa detta. Alltså jobba både motverkande och utredande, för det är två olika saker och vi måste arbeta med båda spåren.”
Om du till sist ska ge dina bästa råd till företag och kommuner om det här med cyberbrott. Hur lyder dessa och hur ska de tänka och resonera?
“Man ska naturligtvis planera för vad som kan ske. I nästa steg ska de titta på hur de kan förebygga detta som de har planerat för kan ske. Vad gör vi när det väl sker? Vem ska vi ringa? Har vi byggt upp kanaler för det? Eller har vi den kunskapen redan anställd hos oss någonstans i organisationen som kan ta hand om detta? Har vi inte det ska man knyta till sig en extern tredje part som till exempel en IT-säkerhetskonsult som man ringer.”
“Det andra som är centralt är att man ska se till så att personalen är medveten om att inte klicka på länkar och bifogade filer och liknande samt ha bra lösenord. Det här ska man ha nanoutbildningar i, alltså små, korta hela tiden pågående utbildningar istället för en stor utbildning en gång om året.”
“Låt mig ge ett sista exempel. Alla i företaget, alltså även de som inte alls jobbar med IT, ska alltid vara varsamma om någon följer med in genom snurran på kontoret och säger att han ska jobba lite med skrivaren. Då får man inte nöja sig med detta, utan ska alltid fråga vem han är och vem det är hos oss som har beställt det här jobbet. Det är nämligen ett sätt för en IT-brottsling att lura sig in i ett företag, för att därefter stoppa in ett USB-minne i skrivaren och så pang så är de inne i företagets nätverk och då är företaget i fråga rökt på nolltid.”
Andreas Henriksson
andreas.henriksson@verifiera.se
