Så skyddar du dig 2020

– Det finns inte något online eller offline längre. Bluetooth, wi-fi och platsinformation är numera vardag och inget aktivt val vi gör. Och vi önskar oss inte att ha det på något annat sätt, utan vi vill kunna koppla upp oss hur som helst, när som helst till vad som helst, vilket till och med är en aning beroendeframkallande, säger Anne-Marie Eklund Löwinder under Internetdagarna.

Anne-Marie Eklund Löwinder är säkerhetschef på Internetstiftelsen och en av sju, väl utvalda, personer i världen, som bär nyckeln till internet och kan göra en omstart i händelse av en attack.

– Magin i nya prylar är för stark för att våga ifrågasätta, alla andra kör och då hakar vi på, eftersom de flesta hatar att vara annorlunda. Vad som håller på att hända nu är att vår vattenkokare, spis och kylskåp, eller rättare sagt egentligen allt som drivs med el, blir uppkopplat. Det leder i sig till stora risker.

– Enheterna är byggda med väldigt lite säkerhet, om ens någon. Det är billiga komponenter med korta ledtider och små marginaler som leverantörerna vill tjäna så mycket pengar som det går på. Här måste användare börja ställa krav, exempelvis vore en form av CE-märkning bra. Om mitt kylskåp har en livslängd på fem år men leverantörer slutar uppdatera programvaran efter tre år, ska jag slänga ut mitt kylskåp då? Det här är saker som konsumentorganisationer måste ta tag i så snart som möjligt.

Förvirrande omvärld

IoT är bara en av många angreppsytor. Anne-Marie Eklund Löwinder visar upp en karta över 2018:s olika typer av attackytor, såsom appar, öppna webben, dark web, kontakter vi inte visste att vi hade, sajter vi besöker, och så vidare. Den varierande kartan lämnar oss förvirrade och ovetandes över var vi har hoten.

Samtidigt blir de statsstödda attackerna allt fler och där kommer hoten, enligt både Försvarsmakten och Säpo, främst från Iran som letar dissidenter, Kina som letar efter industrihemligheter och Ryssland som är överallt.

– 2018 var ett säkerhetsår fyllt av katastrofer. Ett exempel är de 100 000 hackade routrarna som byggde på en fem år gammal bugg. Det mest upprörande där var att det hade funnits en patch tillgänglig i två år. Om folk varit mer noggranna hade de uppdaterat routern någon gång under de två åren och sluppit problemen. Men fortfarande rider hackarna på sårbarheten. Hur många av er har uppdaterat er router senaste kvartalet? Om inte, gör det. Vi kommer se mer liknande megaläckor.

Kostar 600 miljarder dollar

Och hackerindustrin går allt bättre. Enligt Mcafee var den globala kostnaden 2018 för hackerattacker cirka 600 miljarder dollar, vilket är 0,8 procent av vår globala BNP. 2014 låg siffran på 450 miljarder, så ökningen är kraftig. Vad beror det då på? Jo, det är lönsamt.

– Tänk dig själv, vilken affärsidé! Du har erbjudanden som ingen kan motstå, du skickar ut ransomware, krypterar eller kidnappar information och ber om en lösensumma som ingen kan tacka nej till. Det är små investeringar därför att oftast använder du någon annans system och utrustning för att göra hacken. Det är liten risk att åka dit och pengarna är skattefria. Det är därför de kan ha kundtjänst på olika språk som exempelvis hjälper dig med att fixa bitcoin.

– Och det är mycket lättare än att hacka individer än att utnyttja tekniska sårbarheter. Människor har en naturlig vilja att hjälpa till och lita på andra. 99 procent av hacken kräver en mänsklig interaktion för att de ska fungera, såsom att någon klickar på en länk eller öppnar en fil. Det här betyder inte nödvändigtvis att vi hela tiden ska vara rädda för att klicka på länkar, utan att leverantörer måste bli bättre på att hjälpa oss att urskilja vad som är vad. Vi måste ha verktyg som blir bättre på att stoppa den här typen av beteenden.

Hackade pacemakers

Det allra vanligaste syftet att hacka personer är att tjäna pengar, eller få tillgång till information som kan omsättas i pengar, och det är kanske tur att så är fallet än så länge. Forskare har nämligen hittat sårbarheter i den trådlösa kommunikationen mellan pacemakers och sjukhus. Denna sårbarhet gjorde att man kunde inaktivera pacemakern på distans medan den sitter i en patient. Då fick 500 000 pacemakers återkallas och användarna fick ta sig till en viss plats för att uppgradera programvaran.

– I återkallelsen stod det att svagheten i enheterna skulle kunna missbrukas för att tömma batterierna eller byta stimuleringsfrekvens hos patienten vilket kan resultera i yrsel, svimning eller till och med död. Det är såklart bra att det uppdagades, men visst kunde man ha kollat upp detta innan de satt inuti patienterna. Du ska inte ta något förgivet. Du måste kunna lita på folk men kontrollera först att allt är okej. 

En annan käpphäst för Anne-Marie är att vi bör sluta med lösenord, eller i alla fall regelbundna byten av dem. Bland de tio vanligaste lösenorden i hackade databaser återfinns 123456 och password, 2018 tog sig lösenordet Donald in på topp 30 och 2017 i samband med att den senaste filmen lanserades, var Starwars ett av de vanligaste hackade lösenorden.

– Det vore bättre om du har minst 15 tecken i lösenordet, men du behöver aldrig mer byta. Du behöver bara byta om det blivit röjt, om du tror det blivit röjt eller om du råkat dela med dig av det. Med ett så långt lösenord löper ni väldigt liten risk att hamna i dessa databaser. Om du har svårt att komma ihåg så skriv ned det på ett papper eller dylikt och var noggrann med var du har det, du lägger ju inte 100 000 kronor framme på ett bord heller.

– Och om ni fortfarande håller på med frekventa lösenordsbyten i era organisationer så gå hem och väck debatt. Att göra det är kontraproduktivt och här finns massvis med information, forskningsrapporter och rekommendationer som visar detta.

Alla är en måltavla

Sista säkerhetstipset handlar om våra mobiler och den aldrig sinande strömmen av appar. I september i år innehöll 172 appar i Play Store skadlig kod, vilket är en siffra som kanske inte låter speciellt hög. Men mer uppseendeväckande är att dessa appar sammanlagt hade 335 miljoner installationer.

– Alla appar får uppdateringar när de är populära, men när intresset hos befolkningen sjunker så minskar även utvecklarnas intresse av att underhålla dem. Då har man plötsligt en massa appar man inte använt på ett halvår men som har sårbarheter. Så städa din telefon och ta bort alla appar du inte använt på ett tag.

– Det är mänskligt att fela, men vi måste göra riskbedömningar. Förtroende är bra men kontroll är bättre. Lita inte på mejlet från Skatteverket utan kolla först att det är okej. Lita inte på sms:et som kommer och lita inte på den trevliga telefonrösten som vill ha ditt lösenord.

– Det bästa sättet att se till att internet blir säkrare är att inse att det inte går, man kan bara göra sitt bästa. Tro inte att du inte är en måltavla, det är du. Och ställ högre krav på dem som säljer produkter och tjänster till oss, de måste hjälpa till.