Efterordet till De sju nycklarna

Nedan är efterordet till hackerthrillern De sju nycklarna. De tio punkterna för ett säkrare digitalt samhälle är mer aktuella än någonsin inför Almedalen och valet. Punkterna är framtagna under dialog med kollegor, vänner och kontakter i sociala media.

Efterord

Med den här berättelsen vill jag visa hur sårbart vårt samhälle egentligen är. Tyvärr finns det mycket enklare sätt att angripa vår infrastruktur än via nycklarna till internet. De finns i verkligheten men säkerhetsmekanismerna och tekniken runt nycklarna är dock något tillrättalagda för att berättelsen ska bli bra.

Sanningen är att Sverige är ett mycket framgångsrikt land när det kommer till att digitalisera den offentliga sektorn och har, efter Silicon Valley, flest antal startups i världen. Men få pratar om vad det här innebär ur ett säkerhetsperspektiv och hur vi måste förändra vårt arbetssätt, vår utbildning och organisation för att hänga med i utvecklingen. Dessutom utsätts vi för omfattande propagandakampanjer från främmande makt. Speciellt i valtider.

Nu har vi ägnat några hundra sidor åt problemet med internets säkerhet. Men vad ska vi då göra åt säkerhetsproblematiken? Nedan är tio punkter som jag är övertygad om skulle göra vårt land lite säkrare, tryggare och robustare:

1. Våra politiker måste ta sin personliga cybersäkerhet på allvar

Vi har i USA sett hur dålig säkerhet kan påverka val. Låt det inte bli så i Sverige. Varje enskild politiker är ansvarig för att se till att de är tillräckligt kunniga och har en tillräckligt säker dator och telefon. Besitter man inte själv kompetensen, kan man ta hjälp. Den personen i partiet som har sämst säkerhet kommer sätta nivån för hela partiet eftersom mejl och dokument delas av många.

2. Vi borde lära oss digital säkerhet redan i grundskolan

I dag är nästan hela vårt digitala liv upphängt runt vårt mejlkonto som är kopplat till nästan alla tjänster vi använder. Ibland är lösenor- det detsamma som när vi startade kontot tio år tidigare. Vi spenderar en stor del av vårt liv på nätet och i sociala nätverk. Vi betalar våra räkningar, vår skatt och får vår lön via nätet. Redan i grundskolan borde vi därför lära oss hur vi skapar ett säkert lösenord, att man inte ska klicka på vad som helst och att folk inte alltid är de som de utger sig för att vara.

3. Vi måste stoppa den snabba ökningen av it-bedrägerier

Mellan Q1 2015 och Q1 2016 dubblerades antalet it-bedrägerier och de står nu för 2 % av Sveriges BNP. Satsa pengar på att höja medvetenheten hos medborgarna och utbilda fler poliser i att utreda it- brott. Det är lönsamt för landet.

4. Vi måste öka medvetenheten om hur propaganda fungerar

Vi befinner oss mitt i en propagandastorm där främmande makt försöker påverka vår valutgång. Professionella bloggfabriker spyr ut desinformation och artiklar sprids i sociala medier. Alla som röstar bör få information och kunskap om mekanismerna bakom desinformation och propaganda. Med fördel skulle även detta vara en del av den digitala säkerhetsutbildningen i skolan.

5. Vi måste aktivt säkra kompetens inom cybersäkerhet

Vi står inför en skenande kompetensbrist inom cybersäkerhet. Antalet experter ökar inte i samma takt som efterfrågan (+10–15 % om året). I förlängningen är detta ett av Sveriges största säkerhetsproblem. För få organisationer tar kostnaden eller har möjlighet att lära upp en person som kommer direkt från universitetet till att bli en cybersäkerhetsexpert. Vi måste lösa detta på nationell nivå.

6. Våra myndigheter och kommuner måste följas upp

Det finns ingen effektiv central uppföljning av cybersäkerhet i dag. Våra kommuner och landsting visar i en rad olika rapporter brister inom området. Det borde finnas en tydlig uppföljning och mätning av säkerheten, konsekvenser vid allvarliga brister och möjlighet till stöd för att åtgärda dem.

7. Vi måste ha en central och kraftfull incidenthantering

Utvecklingen av produkter, system och tjänster ökar exponentiellt samtidigt som beroenden mellan dem blir alltmer komplexa. Hur bra vi än blir på säkerhet, kommer det med jämna mellanrum att ske allvarliga incidenter. Och därför behöver vi även bli riktigt bra på att hantera dessa incidenter och på så sätt minska effekterna av dem markant. För att höja effektivitet och kompetens borde all inci- denthantering ligga på ett ställe i stället för, som i dag, på flera olika myndigheter med olika mandat. Det ger också en bra grogrund för att utbilda en ny generation av experter.

8. Vi måste ha en vettig avvägning mellan säkerhet och integritet

Det har varit en lång diskussion om datalagringsdirektiv kontra personlig integritet. Diskussionen har varit alldeles för svartvit. Först ska vi inte lagra någonting, sedan när folk börjar skrika terrorism ska vi logga allt. Personligen tycker jag att polisen vid allvarliga brott ska ha möjlighet att koppla en ip-adress till en fysisk person. Samtidigt ska varje lagring av personuppgifter vara välmotiverad. Den nya EU- lagstiftningen, GDPR, gör att personlig integritet är i särklass det område som organisationer kommer att investera mest pengar i närtid. Det är bra och det kommer även höja vårt samhälles robusthet generellt.

9. Produktbolagen måste ta ansvar för säkerheten i sina produkter

Tillverkarna av produkter som är uppkopplade mot nätet måste hållas ansvariga för säkerheten i sina produkter. Det är inte bara deras kunder som blir drabbade av den dåliga säkerheten, utan hela samhället kan utsättas för till exempel DDoS-attacker när processorkraften i de hackade produkterna används. Om vi har till exempel el-säker- hetsmärkningar (CE), varför har vi då inte it-säkerhetsmärkningar?

10. Vi behöver framtidssäkra vår infrastruktur

Vår nästa stora etiska och tekniska utmaning är artificiell intelligens som precis tagit ett stort utvecklingssteg framåt i och med något som kallas maskininlärning. Du kan numera lära upp datorer med hjälp av frågor och svar. Artificiell intelligens är inte längre science fiction utan på väg med stormsteg in i vår vardag, vilket innebär nya frågeställningar. Vem ska till exempel den självkörande bilen välja att köra på om den inte hinner bromsa, barnvagnen på trottoaren eller det gamla paret som går över gatan? Hur kan vi på ett optimalt och säkert sätt utnyttja våra vägar med självbärande bilar som kan köra med bara någon decimeters avstånd till varandra? Vad innebär detta för kommunala färdsätt?”

Annonser

Läs CENTR – novell om makten över internet

Centr slutligt omslagNu kan du läsa min spänningsnovell CENTR som handlar om makten över internet. Innehållet  är skönlitterärt men inspireras av en av de viktigaste frågorna i internets historia som just nu är aktuellare än någonsin.

USA har gått med på att släppa kontrollen över ICANN som hanterar adressregistret över alla toppdomäner. Adressregistret gör med andra ord att internettrafiken t ex styrs till rätt land. För att USA ska släppa kontrollen har de ställt vissa krav som måste uppfyllas före september i år. Frågan är vad som händer om det inte blir så?

Jag har skrivit novellen under våren på uppdrag av .SE för att skickas till medlemmarna i Centr, den Europeiska organisationen för toppdomäner, inför en konferens som gick av stapeln den 1-3 juni 2015 på Sheraton hotell i Stockholm.

Jag äger rättigheterna och du får sprida novellen hur mycket du vill under förutsättning att den behålls intakt.

Klicka HÄR för att tanka ner den i pdf-format.

Trevlig läsaning!

/Åsa

Vilken start ger du dina barn på nätet?

Krönika Det är inget fel att lägga ut information om dig själv, bara du vet vad du gör. Säkerhetskonsulten och författaren Åsa Schwarz manar till eftertanke.

Människor demonstrerar i masker. Snowdens avslöjanden rullas ut över världen. Databaserna om oss växer i jättarnas megacenter. Facebook. Twitter. Amazon. Underrättelsetjänster lyssnar in och lyssnar av.

Vi bloggar festbilder från semestern, berättar om häftiga fallskärmshopp och facebookar bilder på barn med spagetti runt munnen. Men har vi tänkt på vad de kan användas till i framtiden? År 2024 kanske ett försäkringsbolag inte vill ha kunder med riskbeteende och arbetsgivare backar när de ser bilder från sena festnätter. Det finns oanade möjligheter när myndigheter och bolag börjar samköra uppgifter. Vem fuskar med skatten, har fel åsikter eller vänner?

Men viktigast av allt, ska inte dina barn själva få bestämma över hur de upplevs på nätet som vuxna? Är det verkligen vår sak att avgöra?

Det är skillnad mellan att vara privat och personlig. Det är inget fel att lägga ut information om dig själv, bara du vet vad du gör. Det är bara du som kan bestämma var gränsen för din integritet går. Men det är inte ditt beslut att lägga ut information om andra. Tänk på dina barn. Vilka kommentarer och bilder kommer de att uppskatta som vuxna?

Du måste vara beredd på att allt du postar även kommer att kunna läsas om tio år. Inget på sociala media är att betrakta som privat. Ofta är sekretessinställningar falsk säkerhet. Glöm det här med skyddade grupper. Tänk på sociala media som webbsidor.

Problemet är att det inte bara är upp till var och än, utan även ens släktingar, vänner och ovänner. Det är bara att se på hemska videor där ungdomar blir förnedrade som laddas upp och skickas runt.

Instagram och Facebook har 13-årsgräns. Det tycker jag är bra. Vi som föräldrar måste ta vårt ansvar och diskutera de här frågorna med våra barn för att de sedan ska vara beredda på vad som kan hända. Vi måste se till att de får en bra start på sin digitala framtid. Och det är ännu viktigare att vi berättar för dem hur de ska behandla andra på nätet så att alla får samma möjlighet.

/Åsa Schwarz, säkerhetskonsult på Knowit.

Fört publicerad: 2014-02-19, i  Computer Sweden