Datasäkerhetsexpert: Vastaamoläckan har varit en väckarklocka för många

Enligt Jani Kirmanen, utvecklingschef på cybersäkerhetsföretaget Silverskin, försöker en hackare vanligtvis först söka tekniska kryphål. – Om det inte lyckas, och hen verkligen vill åt företagets information, närmar hen sig personalen. Bild: Niklas Tallqvist

Enligt Jani Kirmanen, utvecklingschef vid cybersäkerhetsföretaget Silverskin, är det få företag som har datasäkerheten i skick.

Att pressa enskilda utsatta personer på pengar med hjälp av deras egna patientjournaler är lågt, verkligt lågt.

Så resonerar många så kallade etiska hackare och proffshackare som försöker hjälpa polisen att lösa Vastaamo-fallet, där tiotusentals patientjournaler stals från ett psykoterapicenter och nu används för utpressning.

– Utpressning, som att pressa ett företag på pengar med hjälp av information om företaget, är fel. Men att utpressa utsatta individer med deras patientjournaler upplevs som ännu mer moraliskt förkastligt, säger Jani Kirmanen, utvecklingschef och en av grundarna till cybersäkerhetsföretaget Silverskin.

Kirmanen uppger att datasäkerhetskretsarna i Finland är små, och att debatten på gemensamma forum gått het.

– Det skamlösa i brottet har fått känslorna att koka hos många hackare. Personer som annars är konkurrenter samarbetar och gör gratis spårningsarbete. Att få fast förövaren ses som belöning nog.

Skadeglädje gentemot ledningen

Kirmanen uppger däremot att det finns en del skadeglädje gentemot företaget Vastaamo och dess ledning, som känt till svagheterna men inte åtgärdat dem.

– Dem tror jag inga frivilliga hackare vill hjälpa. Det är fel att peka på kodaren om dataintrång sker. Bristen sitter i ledningen som inte förstått hur viktig datasäkerheten är, gett otillräckliga resurser eller en otydlig arbetsbeskrivning. Många ser datasäkerhet mest som en utgift, men dataintrång kostar också.

Andra företag har knappast råd med gliringar, anser han.

– Få företag har datasäkerheten i skick. Den senaste veckans talrika förfrågningar till oss visar att Vastaamo varit en väckarklocka för många, både företag och konsumenter.

Kirmanen beskriver den europeiska dataskyddsförordningen GDPR som ett försök att skapa spelregler i en allt mer digitaliserad värld.

– Men den var för byråkratisk för att slå igenom. Vastaamo-läckan har konkretiserat vad det kan handla om. Jag tror att många förstått varför det är viktigt hur personuppgifter hanteras.

Nosa upp spår efter förövaren

Det som så kallade goda hackare, också kallade vithattar, kan göra är att försöka nosa upp spår som förövaren glömt sopa igen efter sig i den virtuella världen.

– Tor-nätverket som möjliggör anonym användning av internet och andra system som kriminella använder undersöks. Försöker någon sälja information kan en hackare utge sig för att vara en potentiell köpare för att försöka spåra säljaren.

Kirmanen medger att hackarna som nu hjälper till rör sig i en gråzon.

– Jag vet inte vad polisen tycker om det här. Det kan också stöka till deras egen utredning. Att den eller de som ligger bakom dataintrånget på Vastaamo ännu inte åkt fast tyder på att hen inte är nybörjare eller att hen fått hjälp av någon annan.

Läs också: Polisen tacksam över hjälp – men för många inblandade kan sabotera arbetet

Ökad risk för intrång under coronan

Att många företag tagit ett digitalt kliv under coronapandemin, kanske tidigare än de hade tänkt, ökar risken för dataintrång.

– Framför allt företag som nyligen inlett sin digitalisering är i riskzonen. De saknar erfarenhet, säger Kirmanen.

Därmed inte sagt att längre hunna klarar det bättre.

Silverskins analyser visar ofta att företag kan ha digitala tjänster eller sidor som de glömt bort. Då är sidorna inte heller uppdaterade och kan bli kryphål in i systemet.

– Datasäkerhet borde prioriteras då nya digitala lösningar tas fram. Men det är ofta andra saker, som hur applikationen kan integreras med företagets andra tjänster, som prioriteras. Stark identifikation är en faktor i datasäkerheten och ett klart säkrare system för inloggning, men det sänker användarvänligheten och människan är lat.

Att fler jobbar på distans, kanske på sin privata dator, kan medföra en risk om säkerhetssystemen är sämre än på jobbets dator.

– I vårt nätverksamhälle kan alla vara en inkörsport till känsliga uppgifter om sig själv eller sammanhang där man rör sig i jobbet eller på fritiden.

Silverskin är ett finländskt cybersäkerhetsföretag med kontor i Helsingfors och Singapore.

Företaget ägs till 25 procent av försvarsteknologiföretaget Patria.

Till verksamheten hör att på beställning hacka exempelvis företag och testa deras datasäkerhet för att upptäcka eventuella svagheter innan kriminella gör det.

Attackerna är autentiska och omfattar företagens digitala system, fysiska miljöer som kontor samt personal.

Silverskin har ett 20-tal anställda, medelåldern är kring 28 år.

Företaget grundades 2009.

Källa: Silverskin

Silverskin ägs till 25 procent av försvarsteknologiföretaget Patria. Jani Kirmanen upplever att man inom försvarsindustrin kommit längst inom datasäkerhetstänkandet.

– De här företagen vet att någon så småningom kommer att försöka bryta sig in i deras system.

Beställ Veckans kulturplock!

Ett plock från Kulturen varje fredag i din e-post.

Axxell tänker som morgondagens jordbrukare – satsar på samarbete

Mer läsning