Cybersäkerhetsanalytiker – Färjerederiet/CERT, Stockholm

Cybersäkerhetsanalytiker i Stockholm hos Trafikverkets/Färjerederiets CERT. Fokus: detection engineering & threat intelligence. Krav, meriter och ansökan.

Ny tjänst: Färjerederiet söker Cybersäkerhetsanalytiker – bidra till ett säkrare Sverige i Stockholm – det här söker arbetsgivaren

I jobbannonsen “Färjerederiet söker Cybersäkerhetsanalytiker – bidra till ett säkrare Sverige i Stockholm” söker Trafikverket flera cybersäkerhetsanalytiker till Trafikverkets Cybersäkerhetsförsvar CERT. Rollen beskrivs som arbete i en rikstäckande och komplex IT-miljö med avancerad hotbild och högt tempo, kopplat till Sveriges totalförsvar.

Tjänsten är placerad i Stockholm enligt rubriken. Annonsen anger även att det finns möjlighet att arbeta på distans upp till två dagar i veckan. Arbetet sker i huvudsak dagtid, resor förekommer och beredskap ingår.

Ansvar och arbetsuppgifter

Enligt annonsen söker Trafikverket cybersäkerhetsanalytiker med tyngdpunkt inom något av följande områden:

Detection Engineering
Threat Intelligence (hot och sårbarheter)

Oavsett inriktning är uppdraget att höja förmågan att upptäcka, förstå och möta kvalificerade angrepp i CERT-miljön, i nära samverkan med verksamhet, teknik och hotbild.

Detection Engineering

Stärka förmågan att upptäcka, analysera och hantera digitala säkerhetsincidenter.
Leda och samordna analysarbetet vid större händelser.
Identifiera mönster och avvikelser samt förstå normalt beteende i nätverk, system och användaraktiviteter.
Ha förståelse för hela attacklivscykeln.

Threat Intelligence (hot och sårbarheter)

Följa och analysera det föränderliga hotlandskapet och hur olika aktörer agerar.
Analysera trender, sammanställa rapporter och dela insikter internt.
Delta i forum tillsammans med kollegor och externa partners för att dela kunskap och erfarenheter.

Kravprofil: kompetens och erfarenhet

Annonsen beskriver både formella krav och meriter som är särskilt relevanta för cybersäkerhetsjobb i Sverige, där incidenthantering, detektion och hotanalys ofta efterfrågas.

Krav

Universitets-/högskoleutbildning eller annan eftergymnasial utbildning inom IT, alternativt annan utbildning i kombination med erfarenhet som bedöms likvärdig.
Flera års relevant erfarenhet av att förebygga, upptäcka, analysera och hantera incidenter och/eller att bevaka och analysera hotlandskapet för att identifiera risker och trender.
Flera års relevant erfarenhet inom IT-säkerhet.
Goda kunskaper i svenska och engelska (tal och skrift).
Körkort för personbil.

Meriterande

Erfarenhet inom cybersäkerhet från exempelvis CSIRT, CERT eller SOC-verksamhet.
Aktuell erfarenhet av SIEM-plattformar.
Erfarenhet av framtagande och anpassning av detektionsregler.
Aktuell erfarenhet inom Threat Intelligence och förståelse för hotaktörers tekniker, taktiker och metoder.
Erfarenhet av IDS/IPS såsom Zeek, Suricata, Snort eller liknande.
God kännedom om operativsystemens säkerhetsmekanismer i Windows och/eller Linux.
Aktuell erfarenhet av scripting/programmering såsom PowerShell, bash, Python eller liknande.
Erfarenhet av EDR/XDR-lösningar.

Annonsen betonar också personliga förmågor som analytisk förmåga, struktur, dokumentation, proaktivt helhetstänk samt trygg och tydlig kommunikation i samarbete med många parter.

Vilken typ av säkerhetsroll är det?

Det här är en tydlig cybersäkerhets- och IT-säkerhetsroll med operativ tyngdpunkt i CERT/CSIRT-liknande arbete. Fokus ligger på detektion, incidenthantering och hot- och sårbarhetsanalys (Threat Intelligence), vilket ligger nära etablerade SOC/CERT-förmågor.

Annonsen anger också att tjänsten är placerad i säkerhetsklass och att säkerhetsprövning krävs enligt säkerhetsskyddslagen (2018:585). Det signalerar koppling till säkerhetsskydd och arbete i en miljö med krav på prövning och pålitlighet, särskilt i en kontext som beskrivs som en del av Sveriges totalförsvar.

Det här bör kandidater lyfta i ansökan

Utifrån annonsens krav och arbetssätt kan kandidater vinna på att konkretisera erfarenhet och resultat inom följande:

Incidenthantering: exempel på hur du förebyggt, upptäckt, analyserat och hanterat incidenter – gärna med lärdomar och förbättringsåtgärder.
Detection engineering: arbete med detektionslogik, use cases, detektionsregler och hur du höjt träffsäkerhet samt minskat falsklarm.
Hot- och sårbarhetsarbete: hur du bevakat hotlandskap, analyserat trender och omsatt hotinformation till praktiska rekommendationer.
Tekniknära kompetens: SIEM, IDS/IPS, EDR/XDR samt säkerhetsmekanismer i Windows/Linux (om du har det).
Scripting/automation: exempel på PowerShell, bash, Python eller liknande som effektiviserat analys, triage eller datainsamling.
Samverkan och kommunikation: hur du arbetar prestigelöst i team och samordnar arbete vid större händelser, inklusive dokumentation och kunskapsdelning.

Eftersom tjänsten omfattar beredskap och resor samt sker i säkerhetsklass kan det även vara relevant att tydligt beskriva förutsättningar för beredskapsarbete och erfarenhet från verksamheter med höga krav på säkerhet och rutiner.

Så söker du tjänsten

Ansökan sker enligt annonsens instruktioner i Trafikverkets process. De frågor som besvaras i ansökan används som underlag för det första urvalet. Om inget annat anges ska CV bifogas, och Trafikverket uppger att personligt brev inte längre efterfrågas eftersom det inte ingår i urvalsunderlaget.

Webbaserade tester används som en del i urvalet. Sista ansökningsdag framgår inte av den text som återges i annonsunderlaget här. Annonsen uppmanar också sökande att följa ärendet via “Min karriärsida” och att bevaka utskick via e-post.

Sammanfattningsvis är detta en operativ cybersäkerhetsanalytikerroll i Stockholm med inriktning mot Detection Engineering och/eller Threat Intelligence i Trafikverkets CERT-miljö, där incidentförmåga, hotförståelse och teknisk analys kombineras med samverkan och säkerhetsskyddskrav.