Cyberattacken NotPetya orsakade förluster på 240 miljoner euro för Maersk, Facebooks dataläcka hotade mer än 50 miljoner användares integritet, nätbanker har råkat ut för störningar och internetanvändare har drabbats av utpressning. Nyheterna om cyberbrott duggar tätt, även om det finns ett mycket stort mörkertal. Mårten Mickos på HackerOne är övertygad om att vi kommer att få se ännu fler sådana nyheter i framtiden. Och menar att vi nog har det värsta framför oss.
Cyberattacker kommer att bli ännu allvarligare. Men vi ser också en början på lösningar och motåtgärder.
Mårten Mickos är mer insatt i saken än de flesta. Han är idag CEO för Silicon Valley-baserade HackerOne och har ett imponerande CV med MySQL, Sun Microsystems, Eucalyptus Systems och Hewlett-Packard bland sina tidigare uppdragsgivare. Attackerna som uppmärksammats i medierna ger en vink om cyberhotens skrämmande spännvidd. Förmodligen kan vi enligt Mårten Mickos inte ens föreställa oss alla hotfulla scenarier som är möjliga.
”Det finns mängder av olika cyberrisker och det är omöjligt att bedöma vilka som är värst. Det är hemskt att få sina kreditkorts- eller bankuppgifter stulna. Men det skulle vara ännu värre om informationssystemen som behövs för viktiga samhällsfunktioner gick ner. För att inte tala om ifall strömförsörjningen eller sjukvården slogs ut. Kanske finns det ännu värre scenarier med väldigt kostsamma följder”.
Mårten Mickos tror att en cyberattack i värsta fall skulle kunna undergräva allmänhetens förtroende för samhället och det skulle kunna leda till kaos och samhällskollaps. Men trots den dystra prognosen påpekar han att "värsta-scenarierna" inte är ofrånkomliga. Mycket beror på vår förmåga att försvara oss och agera proaktivt.
”Som tur är har samhället och olika aktörer redan insett de här riskerna och vidtagit åtgärder. De organisationer som ligger längst fram på området tar med cybersäkerhetsaspekter i sin riskhantering. Många förstår att det finns ett värde i att dela information och samarbeta för att stärka sitt försvar. Man inser också fördelarna med oberoende sårbarhetsrapporter. Nu är det bara en fråga om hur snabbt – eller långsamt – skutan kan vändas”.
Och vändningsmanövern kräver en hel del insatser på skutan – eller snarare skutorna. Eftersom människor ofta är den svagaste länken när det gäller cybersäkerheten räcker det inte med medvetenhet och åtgärder på organisationsnivå. Det behövs bara en slarvig användare för att öppna dörren för bedragarna. Men Mårten Mickos betonar att säkerhetsproblemen är så utbredda och allvarliga att alla bör känna till dem.
”Alla kan minska risken för cyberattacker genom större försiktighet och bättre disciplin vid datoranvändningen. Säkerhetskopiera. Öppna inga bilagor och klicka inte på länkar i mejlen”, säger Mårten Mickos, som tycker att det är värt att påminna även om det mest grundläggande.
Ta hjälp av hackare
Vad kan man då göra för att motverka cyberhoten? Ett perfekt skydd mot cyberhot skulle förstås vara det optimala menar Mårten Mickos, men tillägger snabbt att man måste vara realistisk. Cyberförsvar handlar enligt honom inte om att hitta en lösning som stoppar alla attacker, utan om att minimera riskerna.
”Vi ska vara på det klara med att det inte går att få ner cyberriskerna till noll. Därför ska vi fokusera på att minimera risken snarare än att eliminera den. Det ger utmärkta resultat och acceptabla kostnader”.
Riskreduktion är också målet för Mårtens företag HackerOne, som har ett nätverk med runt 250 000 etiska hackare, eller ”white hats” som de brukar kallas. Det rör sig om hackare som använder sin talang för att bidra till cybersäkerhet och förtroende. I många fall får de en belöning – en så kallad bounty – när de hittar säkerhetsluckor i systemet eller applikationen de attackerar. Det är ett sätt för företag och organisationer att upptäcka sårbarheter proaktivt med hjälp av metoder som påminner om cyberbrottslingarnas.
”Risken för dataintrång minskar när företaget upptäcker en bugg och kan åtgärda den. Man har sett att det här är det effektivaste och billigaste sättet att identifiera säkerhetsluckor”.
Ett nätverk med etiska hackare kan generera hundratals sårbarhetsrapporter varje dag genom så kallade Bug Bounty-program. Därför måste man också göra en bedömning av hur viktiga och brådskande de olika säkerhetsluckorna är.
”Det är ett arbete som ställer höga krav på resurser och kompetens. Få företag kan hantera det internt. Men för den här typen av uppgifter är det oftast bäst att vända sig till en specialiserad partner som kan analysera och hantera problemen”, säger Mårten Mickos.
Alla har inte vaknat
Hur ser situationen då ut? Enligt en färsk undersökning i Finland har var femte organisation drabbats av utpressningsprogram under de senaste två åren, och var tredje av andra typer av skadlig programvara. Bara 13 procent av organisationerna informerar allmänheten om cyberattacker eller deras konsekvenser. Upp till 70 procent ser det som troligt att de kommer att attackeras någon gång under det närmaste året. Mårten Mickos menar att det ibland finns en paradox på säkerhetsområdet.
”I Finland, till exempel, har vi världens bästa säkerhetskompetens, men samtidigt finns en utbredd förnekelse av problemet”.
Mårten Mickos tycker att alla organisationer bör prioritera cybersäkerheten högt. Det betyder att det måste finnas ett tydligt säkerhetsfokus i applikationsutvecklingen, att åtgärder för att förbättra datasäkerheten ska göras fortlöpande och att organisationer måste vara beredda på möjliga attacker och andra hot. Han förklarar att moderna aktörer också förstår vikten av transparens. Genom att dela information och lyssna på experterna går det att minska cyberrisken kraftigt.
Även om cyberhoten kan kännas skrämmande, påpekar Mårten Mickos att riskscenariot inte är värre på cyberområdet än på många andra områden.
”Först och främst måste vi sätta oss in i och acceptera fakta. Sedan ska vi vidta åtgärder för att minska riskerna. Men vi får inte förvänta oss fullständig säkerhet. Det handlar om en medveten och systematisk riskhantering”, sammanfattar han.