Säkerhet har länge varit ett centralt problem inom it och teknik. Många av de grundläggande tekniker vi tar för givna, inklusive internet, utvecklades av forskare och akademiker utan någon djupare tanke på säkerheten, men undan för undan har säkerhet byggts in i de olika system som driver den digitala världen. Nya säkerhetshot upptäcks och täpps i en evig kamp med hackare på ena sidan och utvecklare och säkerhetsforskare på den andra.
2024 står inför dörren, med både nya och gamla hot att se upp med för alla som använder dator, mobil, smarta hem-produkter, onlinetjänster och allt annat digitalt.
Nya hot kommer både utifrån och inifrån
Elisabeth Ohlson
Åsa Schwarz är it-säkerhetskonsult på Knowit, årets säkerhetsprofil 2017, krönikör och författare. Hennes senaste roman, Ransomtime, skrev hon ihop med Lena Karlin och handlar om samhällets beroende av digital tid. Hon säger att den stora trenden inför 2024 är att programvarorna som hackare använder för att kommunicera med offer och genomföra phishing-attacker blir allt mer sofistikerade och svårare att genomskåda.
För användare gäller det därför att vara mer vaksam än någonsin.
– Det blir allt mer sofistikerade affärsmodeller för cyberkriminella, som lätt kan hyra ransomware som en tjänst utan att de behöver ha nämnvärd teknisk kompetens. Samtidigt kan de anpassa sina angrepp med hjälp av artificiell intelligens. Här gäller det att verkligen alltid ställa sig frågan varför man får ett meddelande, vare sig det är via mejl, i sociala media eller på mobilen, säger Åsa Schwarz.
Säkerhetskonsulten Karl Emil Nikka, som även driver podcasten Bli säker-podden och utsågs till årets säkerhetsprofil 2021, ser en annan sida av it-säkerhet som ett större problem:
– Den största försämringen gällande dataskydd och personlig integritet är den som vi orsakar oss själva. För det första har vi EU:s nya massövervakningsförslag Chat Control 2.0 som ser ut att bli verklighet trots kritiken från säkerhetsexpertisen, Integritetsskyddsmyndigheten, Journalistförbundet, Tidningsutgivarna och många därtill. För det andra fortsätter vi att köpa allt fler datainsamlande prylar, för att inte tala om datainsamlande bilar. Ju mer data som samlas in, desto mer data kan läcka, och trenden går i helt fel riktning.
För datoranvändare specifikt säger Karl Emil Nikka att ett växande problem är så kallade polymorfiska skadeprogram. Det är skadeprogram som döljer sig för vanliga antivirusprogram genom att ändra sin kod, oftast med hjälp av kryptering där nyckeln ändras varje gång de kopieras och/eller med jämna mellanrum medan de körs. Eftersom traditionella antivirusprogram utgår från listor över kända skadeprogram och känner igen dessa utifrån deras kodsignaturer kommer de inte hitta de polymorfiska skadeprogrammen som hela tiden har nya kodsignaturer.
Det innebär att vikten av ett riktigt bra aktivt antivirusprogram har ökat. Dessa använder idag så kallade heuristiska algoritmer (heuristik är grekiska och betyder ungefär tumregler). Det handlar om att leta efter mönster som är typiska för skadeprogram men inte för vanliga program med goda avsikter, exempelvis till synes onödig kod. Heuristiska antivirusprogram kan upptäcka och stoppa nya, tidigare oupptäckta hot, även om de så klart inte är garanterade att hitta allt.
Det växande hotet från AI
Precis som AI har lett till panik inom skolvärlden, när elever plötsligt kan få hela uppsatser skrivna på nolltid av Chat GPT och andra språkmodeller, har tekniken anammats snabbt av hackare, internetbedragare och utvecklare av skadeprogram. Även säkerhetsforskare och utvecklare av antivirusprogram har tagit den till sig, med resultatet att ett nytt slagfält har öppnats där utvecklingen går i rasande fart.
Du har säkert hört talas om deep fakes, bilder som ser ut att vara foton av en (oftast känd) person men som i själva verket är manipulerade av AI för att placera den personens ansikte på en helt annan person i ett foto. Det här har mest varit ett problem för politiker och kändisar, med potentiella risker för demokratin och hela samhället, men samma tekniker har även börjat användas av kriminella i attacker mot vanliga medborgare.
Det kan till exempel handla om utpressning, där falska bilder på någon i komprometterande situationer skickas till offret, som sedan pressas på pengar under hot att bilderna delas med familj, vänner och arbetsgivare.
Kriminella har även hittat ett perfekt användningsområde för en liknande typ av AI: Syntetiska röstmodeller som tränas att låta som en viss person. AI-modellerna som används för detta har blivit skrämmande träffsäkra och kräver otroligt lite ljud. Det kan räcka med att någon har spelats in när de pratar på ett evenemang i en video delad på Youtube för att ta fram en röst som kan lura även närstående.
Det här är redan ett växande problem i USA och andra engelskspråkiga länder där tekniken var först, men har även börjat dyka upp i Sverige, säger Åsa Schwarz.
– Ja, det förekommer redan i Sverige. I ett första steg är det lättare att automatisera en dialog med hjälp av AI, även om det inte är någon som du känner. Det här går att göra i stor skala med små medel och kommer öka drastiskt. Men sedan kan de bli mer sofistikerade och målgruppsanpassade med röster som du känner igen, en nära anhörig, en chef eller liknande. Generellt ska du aldrig betala ut pengar eller lämna ut viktig information som lösenord under ett samtal. Tänk tvåfaktorsautentisering även här och du kan till exempel motringa eller få meddelande på annat sätt för att vara säker på att det är rätt person. Det viktigaste är att tänka kritiskt om det är något som frångår det normala.
Karl Emil Nikka instämmer och säger att det bara är en tidsfråga innan problemet är lika stort här som i USA.
– De generativa AI-verktygen som inledningsvis enbart fungerade på världsspråken börjar successivt lära sig mindre språk såsom svenska. Vi måste därför finna oss i att vi inte längre kan lita på något vi ser eller hör. Vi måste alltid kontrollera källan. Vem är det som ringer? Vem är det som skickar ett meddelande? Vem är det som publicerar något på sociala medier?
En annan ny risk som har uppstått på grund av framväxten av AI-chattbotar som Chat GPT och Bing är risken att oavsiktligt dela personuppgifter och annan känslig information – både med företagen som driver AI-bottarna och med internet i stort. Många stora företag har begränsat eller helt stoppat sina anställda att använda den här typen av tjänster, bland annat Apple, Amazon, Verizon och flera storbanker.
Samsung införde ett förbud efter att en anställd hade använt Chat GPT för att få hjälp att hitta buggar i kod och för att sammanfatta mötesanteckningar. Googles Bard har av misstag (påstår Google) läckt användares chattar med AI:n i sökresultat på google.com. Det är med andra ord bäst att i dagsläget se AI-chattbottar som öppna för omvärlden, och att aldrig dela något med en AI som du inte vill att andra ska kunna läsa.
EU svänger om integritetsskydd
Säkerhet handlar inte bara om hack, skydd mot skadeprogram och phishing-attacker. En annan sida är den personliga integriteten och skydd av personuppgifter som kan användas dels för id-kapning, utpressning och mobbning, dels av företag och myndigheter för att spåra och profilera dig.
EU har under några år legat i bräschen för utökat integritetsskydd och press på företag att hantera personuppgifter säkert, med införandet av GDPR och höga böter för företag som brutit mot reglerna. Men nu har vinden tyvärr vänt och EU gör en u-sväng.
– Fram tills nu har EU arbetat med att stärka vårt personuppgiftsskydd. Om massövervakningsförslaget Chat Control 2.0 går igenom börjar EU istället kräva att våra tjänsteleverantörer övervakar oss i ännu större utsträckning. Här hemma i Sverige har myndighetsövervakningen därtill ökat i många år. Vi behöver bara backa tillbaka till 2008 för att till och med FRA:s generaldirektör skulle beskriva övervakning av svenskars samtal och meddelanden som ”en vidrig tanke”. FRA:s generaldirektör ifrågasatte då hur vi kunde tro att ”en demokratiskt vald riksdag skulle vilja sitt folk så illa”. På dessa 15 år har sådan övervakning gått till att bli accepterad, och under 2024 verkar vi vilja göra den ännu mer långtgående utan att ha konsekvenserna i åtanke, säger Karl Emil Nikka.
På frågan om vilka nya integritetshot privatpersoner ska börja oroa sig för inför 2024 har Åsa Schwarz tråkiga besked:
– Tyvärr att utpressningsprogram börjat utveckla sig mot att även tanka ner känslig information, inte bara kryptera den. En annan sak man bör tänka på är att sociala media som till exempel Snapchat har kartor som många ungdomar väljer. Jag tycker det är dags att ta en dialog med sina barn om effekterna av att alltid kunna bli spårad och att låsa ner till närmaste vänner och familj.
Ljusglimtar finns också
Trots nya hot från avancerade skadeprogram och AI-förstärkta cyberbrottslingar är allt inte nattsvart på säkerhetshimlen. Bank-ID-bedrägerier, som i många år var ett stort problem, är numera inte alls lika vanliga. Det är tack vare qr-koderna du måste läsa av med appen för att använda mobilt Bank-ID.
– Bankernas införande av dynamiska qr-koder har verkligen stärkt skyddet och försvårat för bedragarna. Nu tvingas bedragarna be sina offer rota fram den gamla bankdosan och generera koder från den, säger Karl Emil Nikka.
Ett annat område där det börjar ljusna är lösenord och kontosäkerhet. En majoritet av alla onlinetjänster erbjuder idag tvåfaktorautentisering eller tvåstegsverifiering, ofta med så kallade totp-koder som kan genereras av särskilda autentiseringsappar eller lösenordshanterare. Nästa steg i utvecklingen är nycklar (passkeys på engelska), och Karl Emil Nikka är väldigt positiv:
– Passkeys är den första tekniken som faktiskt har chans att ersätta lösenord i bred utsträckning, inte minst med tanke på att Apple, Google och Microsoft har enats om att bygga in stöd för tekniken i deras respektive operativsystem. Apple är redan klara. Google är på god väg och Microsoft har precis börjat. Under 2023 började de första webbplatserna acceptera inloggning med passkey (inte bara se passkey som en kompletterande inloggningsfaktor). Under 2024 och 2025 kommer vi att se passkey-inloggning blomma ut på riktigt.