Stockholm Waterfront 25-26 november 2019

Mikko Hypponen om aktivister och andra hot

När Mikko Hypponen, forskningschef på det finska säkerhetsföretaget F-Secure, började i antivirusbranschen för snart 20 år sedan var hotbilden enkel: den bestod framför allt av tonåringar som satte ihop skadlig kod på sin fritid ”för att det är kul”. I dag ser han tre stora grupperingar av angripare – kriminella, aktivister och stater. Och för att kunna skydda sig på angrepp på bästa sätt bör man ha koll på vilken sorts hot man kan bli utsatt för; den lokala pizzerian lär aldrig bli föremål för främmande staters intresse.

– De kriminella är utan tvekan flest, och de är på sätt och vis också lättast att handskas med, sade han när han framträdde på Internetdagarna på tisdagsmorgonen. De är helt enkelt ute efter pengar, och bryr sig inte särskilt mycket om vem de träffar.

Aktivisterna får mycket uppmärksamhet, det märktes till exempel här i Sverige i början av oktober när flera myndighetswebbplatser tidvis låg nere. Hypponen nämner detta som ett exempel på en allvarlig attack men vill samtidigt tona ner riskerna med den sortens angrepp.

– Webbplatser är inte vad jag kallar kritisk infrastruktur. Om någon skulle ta ner regeringen.se i dag och lyckas hålla den stängd året ut är det ändå inte många som skulle märka något.

– Ett undantag är kanske Internetbankerna. De är sina webbplatser och det finns inga realistiska alternativ för att uträtta bankärenden, åtminstone inte här i de nordiska länderna. Om ett par banker skulle ligga nere under längre tid skulle det få stora konsekvenser.

Och så är det de statliga angreppen, då, som Hypponen liknar vid James Bond: obegränsade resurser, sofistikerade vapen och fokuserade på speciella mål. Och dessutom effektiva – om James Bond verkligen vill döda dig kommer han också att lyckas, menar Hypponen, och tar också upp ett speciellt exempel på statsstödd skadlig programkod, nämligen Stuxnet som för ett par år sedan skickades iväg med specialuppgiften att slå ut delar av Irans kärnvapenproduktion.

– Vi i säkerhetsbranschen missade Stuxnet och några andra liknande attacker helt. Och inte bara en gång heller utan under flera år. Det skäms jag för, säger han.

– Stuxnet har blivit ett uppvaknande för datavetenskapen, precis som den första atombomben blev det för atomfysikerna. Det går inte längre att blunda för att det vi gör kan missbrukas.