Hon är, tillsammans med Jan Karlsson, grundare av Secure State, ett Norrköpingsföretag som bildades 2005. Deras kunder är allt från Försvarsmakten, flera kommuner och landsting till Kriminalvården, FMV och Läkemedelsverket.
– Vi arbetade med informationssäkerhetsfrågor i väldigt olika branscher, både inom sjukvård och inom försvar. När vi startade var det i betydligt mindre skala, men fokus låg på offentliga verksamheter där det finns väldigt mycket regelverk och mycket sekretessreglerade uppgifter att hantera, berättar Ulrika Nilsson.
Nu har de tio anställda i Norrköping och ett nyöppnat kontor i Stockholm. De kan utreda säkerheten i både större och mindre organisationer och de har även kapacitet att göra IT-forensisk efterforskning. Företaget expanderar och söker personal både till Stockholm och Norrköping.
– Vi behöver en ökad närvaro i Stockholm, men det är inte nödvändigt att ha vårt huvudkontoret där. Det finns många statliga verk på andra orter, inte minst i den här regionen, och kunderna uppskattar närheten. Många kunder häromkring blir till och med lite förvånade över att vi med vår specialistkompetens finns i Norrköping! säger Jan Karlsson.
Informationssäkerhet handlar om att inte glömma bort den mänskliga faktorn – olika processer och rutiner – efter att de tekniska skydden är installerade.
Spionage och dataintrång ser lite annorlunda ut nu för tiden. Och det förändrar sig hela tiden.
– Nu för tiden är organiserad cyberkriminalitet och statsunderstödda intrångsförsök eller överbelastningsattacker vardagsmat. Den idealiserade bilden av en fjunig hackare som på skoj gör intrång är historia. Att bara lita på tekniska lösningar som antivirusprogram och brandväggar är inget som Ulrika Nilsson rekommenderar:
– Det spelar ingen roll om man har ett jättestort lås på dörren, om fönstren står öppna. Man måste vara medveten om riskerna som den egna verksamheten ställs inför, förstå hur de uppstår och hur man kan begränsa sannolikheten för att de inträffar och konsekvenser när de inträffar. Organisationer behöver förbereda sig för att kunna fortsätta verksamheten vid en incident säger hon.
Angreppsmetoderna är mycket sofistikerade och upptäcks ofta inte förrän långt efteråt, berättar Ulrika Nilsson. Det bakomliggande syftet kan vara ekonomisk brottslighet, industrispionage eller nationell underrättelseinhämtning.
Marknadschefen Peter Gyarmati berättar om förslagna sätt att ta sig in i ett nätverk.
– Det finns exempel på hur man monterat in en trådlös router med ett namn som liknar företagets, inne i doftsprejburken på företagets toalett. Förr eller senare är det någon som ansluter till fel trådlösa nätverk och det blir första steget till ett intrång.
Så kallat ”social engineering” har blivit vanligare på senare tid.
– I takt med att de tekniska skydden blir bättre fokuserar man i stället på att bearbeta människorna bakom tangentborden. Ett exempel är att via sociala nätverk närma sig en person som ingår i den organisation man planerar en attack emot. Ett annat vanligt scenario är att skräddarsy skadlig kod i e-postbilagor för att lura enskilda individer.
Vad gör ni åt det?
– Vi hjälper organisationer att analysera informationssäkerhetskrav för den egna verksamheten så att skyddet för organisationen läggs på rätt saker och på rätt nivå. Vi genomför informationsklassning och riskanalyser. Vi håller även utbildningar för att höja säkerhetsmedvetandet och gör granskningar och revisioner åt organisationer för att hjälpa dem att identifiera brister och förbättringsåtgärder. Vi gör också IT-revisioner för att kontrollera att outsourcad verksamhet följer krav i avtal.