.FILE

Stockholm Waterfront 23-24 november 2020

Urbana sanningar och myter om Internetsäkerhet

Jag har precis säkrat innehållet i en dokumentärfilm om Internetsäkerhet som snart ska tablå-läggas. Jag skrev själv ihop idén till filmen för snart tre år sen och jag slås av insikten att något stort måste till för att sanningar och myter om Internetsäkerhet kommer upp till dagens ljus. Många är vi som är helt beroende av Internet för att våra privata och professionella liv ska fungera. Samtidigt pågår en förskjutning av säkerhetsfrågorna mot en skrämmande dimension. Ett universum där stater och mäktiga företag ”äger” din person. Innan jag utvecklar resonemanget, där jag påvisar att jag inte är en konspirationsteoretiker, tar jag några korta tillbakablickar.

Promenad bland hackers, vandaler och andra nyfikna pojkar

Traditionellt talar vi om den ”mytiska” hackaren (om du är hackerintresserad kika in på insecure.org) med superkrafter som enkelt tar sig in i vilket system som helst, bara den har åtkomst till en ”lina”. Sinnebilden för alla hjältar är väl paketerad i Lisbeth Salander från Stieg Larssons Milleniumtrilogi. Hon är rebellen som sätter sig emot ”the untouchables” och förses med en hjältegloria där alla brottsliga gärningar helt hamnar i skuggan av gärningen, med stort ”G”. IT-säkerhetshistorien är kort och kommer sig ur faktumet att nätverken och systemen som ska interagera med varandra över nätverken bygger på principen om olika grader av öppenhet. Internet är helt baserat på öppna protokoll där alla kan se varandra. Full transparens som har gjort Internet till det fenomen som det faktiskt är.

På det här öppna nätverket har nyfikna medborgare testat gränserna vid upprepade tillfällen. Från enkla experiment för att testa gränserna har vi upplevt fenomen som phreaking, virus, spam, maskar, trojaner, modemkapningar, web defacements, phishing, pharming, man-in-the-middle, botnät och en hel ocean av andra former av påhitt för att luras och tjäna pengar.

Säkerhetsteknik, budskap och ansvarsfrågan

Jag antar att det är få som inte har hört budskapet att hålla sitt system uppdaterat, ha en påslagen brandvägg, ha ett uppdaterat antivirusprogram och på alla sätt och vis vara vaksam på det man gör. Redan i det budskapet framgår det att du som användare är den som äger ansvaret för din säkerhet. När jag har deltagit i många olika säkerhetskonferenser världen över har företrädare för branschen ofta ondgjort sig över användarna: ”Fanns det inga användare skulle vi inte ha några säkerhetsproblem”, har varit en vanlig fras. Det kan låta lite roligt och spetsfundigt, men det här är grunden till en lathet där man hellre kapitaliserar på gammal ”säkerhetsteknik” än gör något bättre för mig, dig och alla andra användare. Med resonemanget ovan är det vi som äger ansvaret för säkerheten, samtidigt som det är vi som är orsaken till den dåliga säkerheten. Jag köper inte det.

I den värld som jag vill sträva mot köper jag system och åtkomst till nätet av några parter. Den som har utvecklat mitt system vill jag se ta ett större ansvar än att bara slarvigt slänga över ansvarsfrågan på mig. Det är inte rimligt att en allvarlig brist i leverantörens webbläsare som leder till förluster för mig som person härleds till mitt egna ansvar. Här behöver hela branschen komma till en insikt och uppvaknande. Extra kritiskt åtagande och ansvarsförbindelse anser jag att alla som levererar säkerhetsteknik som brandväggar, antivirus, antispyware och liknande teknik behöver göra. Det duger inte att lova 100 % bekymmersfritt surfande och sen blunda för 100 % problem som ställs till för mig under det surfandet. Jag vet att mycket spännande händer, men det går för långsamt.

Visst är det komplexa frågor vi talar om, men hela vår kritiska samhällsinfrastruktur har tydliga beroenden till de komplexa frågorna. Då är det rimligt att kräva lite mer. IT-barnet har nu vuxit upp och befinner sig i medelåldern. Då kan man faktiskt ta lite mera ansvar!

Internetbankerna är ofta föredömen

I hela den här ”soppan” finns det många paradoxer. En tydlig sådan rör bankernas närvaro på nätet. Banker är traditionellt styrda företag med flerhundraåriga anor. Banker förknippas sällan med nytänkande, utan beskylls ofta för att vara konservativa. När det gäller säkerhetstänkandet är det tvärtom. Internetbankerna står inför utmaningen att leverera säkra tjänster för sina användare och göra det utifrån antagandet att deras datorer är ”ägda” av någon annan än de själva. Identifieringen av rätt person är vital och transaktionerna som utförs måste göras i någon form av säker kanal.

I dagsläget pågår en utveckling mot användningen av mobiltelefonen som en extra kanal och kortläsare med egna skärmar för auktorisation av transaktioner utanför datorn. Ett annat potentiellt utvecklingsområde skulle kunna vara ”Internernetbank på en sticka”. I det scenariot kvitterar kunden ut ett USB-minne på samma sätt som en legitimation. I den stickan finns en virtuell dator med en ultrasäker webbläsare och en krypterad kommunikationskanal mellan webbläsaren och bankens system. Därefter kan användarens e-legitimation användas via mobil eller annan kanal för att legitimera personen och underteckna transaktioner.

Här anser jag att bankerna gör många rätt. De riskvärderar läget så som det är för närvarande och släpper hela tiden förbättrade lösningar som höjer ribban. Istället för att diskutera i termer av absolut säkerhet lever de i verkligheten och levererar tillräcklig säkerhet för tillfället. Något som många borde dra lärdomar av.

Säkerhetsfrågor på väg åt fel håll

Jag inledde det här inlägget med påståendet att säkerhetsfrågorna förskjuts åt fel håll. Med det menar jag de statliga insatser och regleringar som pågår. FRA-lagen och datalagringsdirektivet är två tydliga exempel på hur myndigheter får en skrämmande god bild över oss. Oavsett hur gott syftet är anser jag att majoriteten av våra politiker helt saknar kompetens och/eller intresse för IT-frågorna. Givetvis finns det ett fåtal riktiga eldsjälar som brinner för frågorna, men de får för litet utrymme i förhållande till viktigheten. Räknar vi bort den minoriteten återstår en liten elit som godtyckligt kan göra datautvinning för nationens bästa. Här är vi inne i en farozon. Lägg därtill andra länders ohämmade informationsinsamlande insatser och bilden mörknar ytterligare.

Medielobbyn har lyckats ”prångla” ut IPRED-lagen som gör att de har rätten att agera polis och jaga livet ur pirater (jag, du och våra barn). De skyr inga medel att ta till stora verbala kanonen och kräva både det ena och det andra av oss, fast inom ramen för en civilrättslig process där all bevisbörda ligger på dem. Samma lobby skissar nu vidare på än mer djupgående integritetskränkande initiativ under ACTA. När de styrande tar tillvara en stark lobbys intressen och missar att tillvarata sitt och sina medborgares intressen är vi på väg in i en bizarr dimension.

Vad kan jag göra?

Det finns en hel del som just du och jag kan göra som individer. Är vi tillräckligt många som gör något blir det till slut en förändring:

  1. Skicka ett mejl till din riksdagsman/kvinna och den politiker som företräder dig på hemmaplan. Be om bättring i fråga om skydd för den personliga integriteten och en förklaring om hur de ser på skydd av Internet som en del av samhällets kritiska infrastruktur.
  2. Bilda en aktionsgrupp på något bra socialt medium och ragga upp så många deltagare som möjligt. Följ upp ditt tidigare mejl med information om hur många som tycker som du.
  3. Acceptera inte slarviga slutanvändaravtal från teknikleverantörer. Luta dig gärna mot X antal tusen andra i din aktionsgrupp så att du inte skriker utan att höras. Kräv ett större åtagande när det gäller säkerhet/integritet i din dator och din nätupplevelse.

Eller gör ingenting och förstå att andra krafter ”äger” din digitala person och din röst.

Skriv upp dig på intresselistan!

Genom intresselistan får du info först av alla när höstens fullspäckade program finns tillgängligt, helt utan förbindelse.

Jag samtycker till att ta emot nyhetsbrev och har tagit del av integritetspolicyn

Skriv upp dig på intresselistan!

Genom intresselistan får du info först av alla när höstens fullspäckade program finns tillgängligt, helt utan förbindelse.

Jag samtycker till att ta emot nyhetsbrev och har tagit del av integritetspolicyn