Paulina Waltila bidrar til å løse klimakrisen på sin egen måte. Hun jobber med å beskytte Statkraft mot dataangrep og gjøre selskapet i stand til å sikre viktige verdier og produksjon av fornybar energi.

Med en hacker på laget

– Jeg er en kjempenerd, sier 32-åringen, som er sikkerhetsarkitekt i Statkraft og har den engelske stillingstittelen IT Security Architecture Lead.

Ikke alle får lønn for å drive med hacking. Paulina Waltila risikerer heller ikke straff for sin "ondsinnede" hacking. I stedet for å kreve løsepenger for hackede datafiler eller å slette eller laste ned viktig, beskyttet informasjon fra serverne, prøver hun å avdekke svakheter i Statkrafts datasikring og lager rapporter som gir grunnlag for tiltak.

Hensikten er å gi selskapet muligheten til å tette eventuelle sikkerhetshull, holde seg oppdatert om trusselmetoder og klare å stå imot virkelige, ondsinnede dataangrep.

For truslene er mange og varierte. I 2020 noterte Nasjonal Sikkerhetsmyndighet (NSM) tre ganger så mange alvorlige cyberhendelser som året før i Norge, og det har bare økt på siden den gang. "Cyberangrep har blitt hverdagskost," konstaterer NSM på sine nettsider.

Angrep via epost er fremdeles blant de største truslene for bedrifter, men i økende grad kommer også angrep via SMS og sosiale medier.

Sikkerhetsarkitektur

Smak på ordet. Ifølge Paulina Waltila handler sikkerhetsarkitektur om å beskytte mennesker, datasentre, kraftverk, viktig infrastruktur, epostkontoer og annet gjennom ulike sikringsmekanismer.

Selv om jobben er krevende og komplisert, koker oppgaven ofte ned til én sak:

– Vi må hele tiden være minst ett steg foran dem som planlegger et dataangrep, fastslår hun.

En metode Paulina og teamet bruker for å være i forkant, er å «lure» egne ansatte.

– Vi får faktisk lov til å hacke sjefene våre, sier hun og smiler lurt. – Og da kan de ikke være sinte på oss heller. Vi gir dem en rapport om at "x antall personer har gått i fella, mens x antall personer har rapportert hendelsen".

– Det er kult at vi får lov til å gjøre litt utspekulerte ting også!

Jevnt og trutt sender Paulina og sikkerhetsteamet ut phishing-eposter. De kan også finne på å ringe ansatte og fortelle rare historier for å lokke dem i feller, såkalt social engineering.

– Det føles ubehagelig, for man har jo ikke lyst til å lure noen. Men det er bedre at vi lurer folk enn at noen med onde hensikter gjør det, sier hun og legger til at alle de forsøker å lure, blir anonymisert. Og selv om det er litt av et sjokk for folk å oppdage at de er blitt lurt, setter de pris på lærdommen det gir.

• Social engineering, kalt sosial manipulering på norsk, er å lure noen til å gi fra seg tilgangslegitimasjon eller annen konfidensiell informasjon. Sosial manipulering er trolig den mest brukte metoden for hacking og innhenting av informasjon.

Stor vekst innenfor datasikkerhet

I Statkraft har en relativt liten gruppe "som holdt på med sikkerhet", blitt til en stor fagavdeling med flere arbeidsgrupper. Paulina Waltila leder et av teamene. Og avdelingen blir stadig større, noe som betyr enda flere å samarbeide med.

– Samarbeid er viktig for å beskytte. Mennesker, systemer, anlegg – alt må fungere som et slags orkester for å gi best mulig resultat.

På mange områder blir det satset på datasikkerhet, påpeker hun. Oppfatningen om datasikkerhet er i endring, det blir tatt mer på alvor enn tidligere. Fagområdet er en viktig del av IT-avdelingen, og den sannheten må løftes opp i alle styrerom, mener hun.

– Det har vært spennende å se hvordan min avdeling har vokst på bare et par år. Kontinuerlig utvikling står i fokus for Statkraft. Du gjør ikke bare jobben din og går hjem. Alle har en lidenskap for det de jobber med.

Egen energi og motivasjon henter Paulina Waltila også fra annet hold. Når hun ikke hacker og tester og lurer selskapet og ansatte og lærer alle om datasikkerhet, driver hun med luftakrobatikk – en "voksenhobby" hun startet med for noen år siden.

– I mitt yrke sitter man mye bøyd over PC-en med krum rygg og høye skuldre. Da er det bra med tung trening der jeg får kontakt med hender, føtter og knær. Jeg glemmer hele verden. Når jeg henger opp ned fra en ring bare ved hjelp av kneet mitt og spinner rundt og gjør figurer i luften, har jeg ikke tid til å løse verdensproblemer. Da tømmes hodet, og jeg føler meg fantastisk etterpå! sier hun og ler. Men blir alvorlig igjen:

– Vi driver ikke med cybersikkerhet bare for å beskytte Statkraft. Vi beskytter også arbeidet for klimaløsninger og utviklingen av en renere verden. Det er ganske kult, synes jeg.