Inför ett uppdrag om att testa ett företags eller en organisations sårbarheter ges ofta tillåtelse att testa vissa IP-adresser eller webbapplikationer. Det kan också vara så att etiska hackers till exempel försöker ta sig in på ett företag med kopierade passerkort. Under en ”red team”-övning – då sårbarheten testas ­– fick Jonas Mattsson tag på lösenordet till en av säkerhetsavdelningens datorer på en flygplats. Genom datorn fick han tillgång till alla säkerhetskameror och kunde både öppna och stänga vilka dörrar och gater som han ville.

På frågan var det oftast finns brister i IT-systemen svarar han:

– Jag skulle säga att det ofta är att man inte har stenkoll på var man är utsatt. Särskilt stora företag. De kan ha nätverk på tusentals datorer och ingen riktig koll på vad de har. Det räcker att det finns en sårbar komponent, så kan du ta dig vidare därifrån. Det, och att dåliga lösenord fortfarande är ganska vanligt.

Han säger till GP att han förvånansvärt ofta kan få med sig väldigt mycket information när sårbarheter testas.

– Uppdragsgivarna kan vara allt ifrån banker och flygplatser till webbshoppar eller mobilappar. Jag tror att många företag har förstått att detta är något de måste jobba med, säger Jonas Mattsson.