Namn: Olle Westrin
Jobbar: IT-säkerhetsrådgivare på Dell Secureworks Japan
Utbildning: Civilingenjör i datateknik, examen 2014
Bor: Tokyo, Japan
Vad gör du på ditt jobb?
- Mitt jobb hos Secureworks är att hacka saker, som till exempel hemsidor och nätverk. Då Secureworks är ett stort globalt IT-säkerhetsföretag får vi uppdrag av många stora företag och organisationer som vill att vi hackar in oss på deras system för att upptäcka säkerhetshål samt för att testa om deras säkerhetsteam kan upptäcka oss. Huvudkontoret är i USA, men jag arbetar på kontoret i Tokyo, Japan, sedan ungefär ett halvår tillbaka.Hur ser en vanlig arbetsvecka ut?
- Jag jobbar i ett team på elva personer där vi har lite olika roller. Normalt delar jag min tid mellan ett längre Red Team test och flera mindre tester. I ett Red Team så simulerar vi attacker mot kunden där vi försöker ta över alla deras system utan att bli upptäckta. Min roll i teamet är att attackera över internet för att få ett första fotfäste i kundens system. Vanligtvis får jag toppdomänen som enda information och uppgiften är att hitta en väg in samt att skapa en bild av företagets attackyta. Kanske finns det en underdomän, med något system som har glömts bort, som jag kan ta mig in via, svagt lösenord som går att gissa, etc.
- Mycket i arbetet går ut på att göra research kring företaget för att hitta vägar in. Andra i teamet skriver phishingmail och söker på internet om information som vi kan använda oss av under hela testet. Många gånger kan man hitta olika API-nycklar till kundens system på t.ex. Github. Vi gör även fysiska tester där vi uppsöker kundens kontor och försöker lura oss in. När vi väl har fått det första fästet så tar vi oss igenom deras nätverk för att nå slutmålet, vilket oftast är att ta användardata och kontroll över deras system.
Utöver de längre Red Team testerna så testar jag vanligtvis en hemsida per vecka och det jag letar efter är sårbarheter för att kunna rapportera dessa till kunden. När vi är klara med alla säkerhetstester skriver vi en slutrapport. I den beskriver vi vilka sårbarheter som vi har hittat och ger råd om hur kunden kan göra för att förbättra sin säkerhet. Har vi gjort ett fysiskt besök kan vi till exempel skriva i rapporten att kunden inte borde ha låtit oss gå in genom dörren utan ett riktigt passerkort eller att de borde köpa andra typer av kort som är svåra att klona.
Vad är det bästa med ditt jobb?
- De längre testerna är mycket roliga. Då är vi ofta mycket fria, har inga restriktioner utan kan genomföra i stort sett vilken attack vi vill och kopiera all data från kundens nätverk. Men vi måste också vara innovativa. I samband med att sista avsnittet av Game of Thrones gick så skickade vi till exempel ett phishingmail med koppling till det för att få kundens medarbetare att klicka på en länk för att höja sannolikheten att någon klickar. Mitt jobb är väldigt utmanande men samtidigt väldigt roligt.Vilka är utmaningarna med ditt jobb?
- De största utmaningarna är de tekniska. Vill man lära sig hacka ska man vara beredd på att lära sig mycket nytt, det finns alltid system som man inte har kunskap om. Stundtals är det också stressigt, särskilt när man har flera tester igång samtidigt och jobbar mot flera organisationer. För egen del är även språket en stor utmaning då all arbets- och kundkommunikation är på japanska. Men jag lär mig mycket av kollegor och kunder så det blir bättre och bättre. Grunderna lärde jag mig på gymnasiet och under exjobbet som jag valde att göra i Japan som utbytesstudent.
Förutom japanskan är det också en utmaning att lära sig nya programmeringsspråk. Kan man ett har man visserligen lätt för att lära sig nya eftersom det finns mycket gemensamt mellan dom, men det finns många språk samt många ramverk.
Hur såg din väg in i arbetslivet ut?
- Efter att jag tog examen år 2014 fick jag jobb som IT-säkerhetskonsult på Cybercom i Linköping. Där jobbade jag som IT-säkerhetskonsult med arbetsuppgifter som härdning av servrar, alltså att se till att man har gjort rätt inställningar ur ett säkerhetsperspektiv, och mjukvaruutveckling. Efter ett tag fick jag göra ett säkerhetstest av en hemsida. Jag visste redan under utbildningen på LiU att det var det jag ville syssla med. Jag la ner mycket tid kring det, både på kurserna och även på fritiden, så det var riktigt kul när jag fick göra ett på riktigt.
Sedan fick jag jobb som säkerhetstestare på NTT Security och jobbade både på deras kontor i Stockholm och en period på kontoret i Göteborg. På NTT Security började jag att arbeta med endast säkerhetstester. Efter att ha arbetat där ett tag blev jag kontaktad av Secureworks Japan. De hade hittat mig på LinkedIn och var intresserade av att anställa mig. Först fick jag göra flera av deras tester för de ville kolla om jag var tillräckligt duktig. Jag fick t.ex. hacka mig in i ett system dom hade satt upp och skriva rapport på det. Och nu är jag här!
Hur är det att jobba i Japan?
- Den största skillnaden mellan att jobba i Japan mot att jobba i Sverige är krav från kunderna som ser annorlunda ut här. Vi behöver specificera noggrannare exakt vad vi gör och se till att kunden har god kännedom och insikt i vårt schema. Vi har därför behövt ändra i program vi använder för att uppnå kraven som kunderna ställer på ett sätt som jag inte behövde göra i Sverige. Annars skiljer det sig inte så mycket. Själva testerna i sig är lika, tekniken är ju densamma. Men nu jobbar jag mot fler större företag än vad jag gjorde i Sverige, det är också en skillnad. System man testar är utspridda över världen och de större företagen har i regel mer egna policys för hur säkerhetstester ska gå till.Varför valde du just din utbildning?
- Jag visste att jag ville lära mig mer om datorer och utbildningen i Datateknik på LiU verkade ha en bra blandning mellan programmering och kunskaper om hårdvara.
Och det stämde, vi fick verkligen lära oss mycket om båda och när man väl sökte jobb kunde man välja inom båda inriktningarna. Jag lärde mig hur datorer fungerar från den minsta beståndsdelen och upp till att programmera i högnivåspråk. Utbildningen är väldigt väl planerad för att uppnå just detta, sådant är svårt att bedöma innan man väl har börjat studera men det gör stor skillnad. Jag kan varmt rekommendera utbildningen, för utan kunskaperna och den examen som jag fick hade jag inte haft det jobbet samt de möjligheter som jag har idag.
Att det blev Linköping berodde också på att LiU är känt för hög kvalitet på sina utbildningar och att det är ett innovativt universitet. Jag hade också hört bra om universitetet från andra som var nöjda och som rekommenderade det. Sen så var det skönt att allt kring utbildningen var samlat på ett campus. Det var också nära hemifrån, men det var inte avgörande för mig.
Hur var första tiden på utbildningen?
- Nollningsperioden och introduktionen var mycket rolig. En skillnad från grundskola och gymnasiet var att alla hade samma intressen och jag lärde känna många nya personer snabbt, vilket var skönt. Alla kom från olika delar av landet, det är en spridning som jag inte alls hade varit med om innan. Jag fick mycket stöd från faddrarna för att få en bra start, det var en otroligt härlig tid.Vad var det bästa med utbildningen?
- Allt man lärde sig. Kunskapen. Utbildningen var hela tiden intressant och jag kunde ha pluggat ännu mer. Det var också roligt med alla event och tävlingar runt omkring studierna, det kändes som att det alltid hände något. Jag var även fadder ett år för att ta hand om nya studenter. Annars var jag inte den som engagerade mig jättemycket. Istället var jag mest med kompisar då vi pluggade och gick på olika events. Vi var mycket i datorsalarna men bokade även grupprum där vi satt och räknade eller programmerade ihop. Jag fick många bra kompisar som jag fortfarande har kontakt med, även om vi nu är utspridda över hela världen.Vad är ditt tips till andra som vill läsa Datateknik?
- I början märkte jag att det var några som var nervösa och trodde att man inte hade tillräckliga förkunskaper. Även att andra skulle kunna mer än dom själva, men det behöver man inte vara rädd för! I min klass var det så att alla kunde matte i början men en del kunde även programmera. Jag tillhörde dem som inte kunde så mycket programmering från början. Man behöver inte kunna det för utbildningen. Man lär sig under tiden och utbildningen är formad efter att eleverna inte kan programmera alls i början. Visst, första veckan kan en del mer, men ge det några veckor så har det ändrats.
- Om man vill lära sig mer om datorer och arbeta inom IT i framtiden är Civilingenjör i Datateknik en väldigt bra utbildning. Utöver kunskapen och att ha roligt så blir man attraktiv på arbetsmarknaden samt öppnar möjligheter för att få ett bra arbete i framtiden så att man kan arbeta med det man vill.