Den som får besöka FRAs anläggning på Lovön väster om Stockholm får vackert lämna all radiokommunicerande utrustning hos vakten i entrén. Den tidigare topphemliga anläggningen, som till exempel inte fick ritas ut på kartor, är idag inte fullt så hemlig – alla vet ju var FRA ligger – men det är ändå smått förvånande att FRA denna sommar under en vecka väljer att bjuda in gymnasieungdomar för en sommarkurs i it-säkerhet.
De unga kursdeltagarna, femton personer till antalet, varav en tjej, har valts ut från It-gymnasiet i Kista, norr om Stockholm. ”Det är inte vilka gymnasieungdomar som helst förstås” säger John Ahlmark, som arbetar vid generaldirektörens stab på FRA. ”Man måste ha en del förkunskaper för att kunna delta i kursen, och dessa ungdomar är redan relativt duktiga på datorer, internet och liknande”.
Hur klarar dessa ungdomar att lämna ifrån sig mobilen under hela dagar i en veckas tid?
– Vissa kallar det mobildetox, svarar John Ahlmark med ett flin, och tillägger att han själv tycker det är ganska skönt att slippa mobilen under arbetsdagarna.
Denna sommar har FRA alltså valt att lyfta en aning på förlåten och släppa in it-intresserade skolungdomar för att utbilda dem i it-säkerhet under en veckas tid. FRA har ju viss kompetens på området, om man så säger. Syftet med utbildningen är att ge ungdomarna en smak av vad it-säkerhet innebär och väcka ett intresse för ämnet som förhoppningsvis leder till att fler vill söka sig en karriär inom it-säkerhet.
– Det råder stor brist på kompetens inom it-säkerhet. Det gäller både offentlig sektor och i näringslivet, och i hela världen. Vi vill dra vårt strå till stacken för att få upp intresset för it-säkerhet som yrke och möjlig karriärväg. Vi på FRA har ju massor av kunskap att bidra med. Det finns hur mycket jobb som helst inom det här området, säger John Ahlmark.
Med säkerhetskontrollen avklarad möter vi upp säkerhetsexperterna Johan och Anton, som tagit på sig rollen som lärare under utbildningsveckan. Vi får av säkerhetsskäl inte publicera deras efternamn. Både Johan och Anton arbetar till vardags bland annat med att utföra säkerhetsrevisioner, inklusive penetrationstester, åt vissa andra svenska myndigheter, ett uppdrag som FRA tilldelats under senare år.
Ämnet för dagen är riktade nätfiske-attacker (spear phishing) och eleverna sitter i ett klassrum med borden i ett stort U med öppningen mot katedern och ett par projektordukar. Alla har varsin dator som sitter ihopkopplade i ett isolerat nätverk. Nätverket har förstås varken kopplingar inåt inom FRA eller utåt mot internet. Johan inleder presentationen med en historisk genomgång från nigeriabrev till dagens sofistikerade bedrägerier med länkar i e-postmeddelanden som installerar skadlig kod.
Eleverna är definitivt kunniga och insatta, och ställer ofta bra frågor. Efter den inledande genomgången visar lärarna hur skadlig kod exekveras på en dator efter att mottagaren av ett nätfiske-mejl klickar på en länk. Den fiktiva användaren har en textfil med lösenord på skrivbordet i sin dator och förövaren lyckas ladda ned filen. Hur skulle ni förhindra detta, frågar läraren Johan, och sedan får eleverna gå ihop tre och tre i en gruppövning och ta fram förslag på hur man borde skydda sig mot denna typ av attacker.
Hugo och Tom är två av eleverna som deltar på kursen; bägge går på tekniklinjen i Kista och kan tänka sig en framtid inom it-säkerhet. Även om de får offra en vecka av sommarlovet tycker de FRAs sommarkurs är jättebra. ”Det är coolt att se hur det verkligen fungerar. Här kan vi testa olika saker och lära sig hur hackers tänker och hur man skyddar sig” säger Hugo. Ingen av dem tycker att det är särskilt svårt att lösa uppgifterna. ”Man har ju stött på vissa av de här saker förut; jag är väldigt intresserad av it-säkerhet” säger Tom, ”Men det är en helt annan grej att få testa i verkligheten hur olika verktyg funkar, hur man ska tänka”.
Även Ville och Gustav, två andra av eleverna, är hittills mycket nöjda med sommarkursen, och även de har några förslag på hur man skulle kunna skydda sig mot angreppet i uppgiften. På frågan om de även håller på med programmering, ett annat yrke med goda framtidsutsikter, svarar de att de hellre skulle vilja syssla med it-säkerhet.
Håller ni på med programmering också, det är ju också ett bra jobb?
– Vi håller på mycket med programmering i skolan, och lite på fritiden också. Programmering är intressant, men det verkar vara ett ganska tråkigt jobb, säger Ville.
Bägge håller dock med om att det är viktigt att förstå kod, och programmering är något bägge inser är en viktig komponent för att kunna bli en bra it-säkerhetsexpert. Både Ville och Gustav verkar ha en bild av en utvecklare som sitter i ett rum och knackar kod hela dagarn.
– Man går till jobbet och sen sitter man där och kodar; det verkar inte så kul. Jobbar man med it-säkerhet har man ett mer rörligt jobb; man är på olika ställen och hjälper olika företag, träffar nya människor. Sen är det spännande att ställas inför nya problem nästan varje dag, säger Gustav som verkar inställd på att jobba med it-säkerhet.
Efter lektionens slut går eleverna och lärarna på lunch och John Ahlmark ledsagar TechWorld ut genom vakten och erbjuder skjuts tillbaka till Brommaplan.
– Vi väldigt nöjda med hur bra det här gått; eleverna är otroligt duktiga och intresserade, jag är ganska imponerad. Samtidigt är det ett misslyckande att vi inte lockade hit fler tjejer, säger John Ahlmark under bilfärden tillbaka. ”Vår ambition är att få en 50/50-fördelning, men det gick ju inte så bra denna gång, det ska erkännas. Vi får anstränga oss hårdare nästa gång.
Vad tror du det beror på att tjejer inte är lika intresserade av IT?
– Det är en svår fråga, jag vet faktiskt inte, men det är definitivt en sak vi måste ta tag i. Den tjej som är med oss i år är grymt intresserad och duktig, så jag hoppas verkligen att vi kan locka fler tjejer nästa gång. Vi behöver verkligen alla talanger vi kan få tag på, både för vår egen del och i hela branschen. Vi får fundera.
Läs också:
I höst får Försvarsmakten sina första cybersoldater – här är deras uppgifter
Så placerar sig Sverige bland världens mest cybersäkra länder