It-säkerhetsexperten: ”Staten behöver ta ansvar för säkra digitala id”

Visst är det bekvämt att lägga en digital version av körkortet i den digitala plånboken och synka det med telefonen. Men det är som att överlåta passhantering till resebolagen menar it-säkerhetsexperten Jakob Ehrensvärd.

För drygt sju år sedan tilldelades makarna Jakob och Stina Ehrensvärd stora Polhemspriset för sin YubiKey, stickan för säker inloggning. Sedan dess har de bland annat varit med och säkrat kritisk infrastruktur i Ukraina mitt under brinnande krig och börsnoterat sitt bolag Yubico.

“Mjuka säkerhetslösningar, som sms och mobila appar, har blivit allt enklare att hacka, medan hårdvara, som bankdosor och smartcards, är för krångliga att använda. Det här har vi velat lösa. Utmaningen har varit hur man får en och samma inloggningspryl att funka för alla tjänster i hela världen, rakt av, utan att behöva ladda ner någonting”, berättade Stina Ehrensvärd i en intervju med Ingenjören 2016 i samband nomineringen till Polhemspriset.

Idag omsätter Yubico drygt 1,8 miljarder kronor, har över 400 anställda och 30 procent av Fortune 500-bolagen (USA:s största bolag baserat på omsättning) som kunder.

Jakob Ehrensvärd syns betydligt mindre frekvent i mediala sammanhang än Stina, men beskrivs ofta som hjärnan bakom Yubicos teknik. Han säger att den ökade omfattningen av it-hot och större databrott sedan Yubico grundades 2007 är påtaglig.

– I dag händer det dagligen. Jag förvånas över att folk inte reagerar mer och allvarligare på det, säger han.

Slutar inte röka självmant

Attacken mot Tietoevry blev ett av de mer uppmärksammade i början av året, men även Sophiahemmet i Stockholm och Bjuvs kommun sällar sig till listan som nyligen utsatts för angrepp.

– Man måste fråga sig hur allvarligt det måste bli. Folk slutar oftast inte röka självmant, om man hostar lite på morgonen brukar inte räcka.

Men frågan om ansvar tycker Jakob Ehrensvärd faller mellan stolarna.

– Är det it-chefen på bolaget, staten, säkerhetstjänsten i respektive land, någon digitaliseringsmyndighet eller Polisens ansvar? frågar han sig och fortsätter:

– Jag kan tycka att organisationer som är duktiga på sådant här som Must, Säpo och FRA skulle få ökat mandat att hjälpa att ställa krav på samhället, eller att man måste inrätta en ny myndighet. Nuvarande polisiära funktioner räcker inte till.

Sverige i komfortzon

I en rapport från ITU hamnar Sverige en bra bit ner i listan över Global Cybersecurity index 2020 bland Europas länder.

Jakob Ehrensvärd säger att hans uppfattning är att Sverige var “ganska ledande” inom it-säkerhet under 90- och början av 00-talet, en beskrivning som han inte tycker är aktuell i dag.

– Jag tror att vi har glidit in i komfortzonen, det tycker jag är olyckligt, säger han och fortsätter:

– Mycket av Sveriges identifiering- och autentiseringsinfrastruktur bygger på BankID som har kända brister. Hur förhindrar man att någon laddar ner en annan persons BankID? En identitet blir aldrig starkare än sättet att utfärda den.

I dagsläget är det många samhällsfunktioner som bygger på BankID. Att starta företag eller byta ägare till en bil är bara två exempel på saker som går att göra med BankID.

– Det är lite obehagligt om man är för fokuserad på bekvämlighet och för lite på säkerhet.

Nyckeln som ska motverka phishing

Han säger att runt 90 procent av alla it-attacker beror på stulna identiteter, vilket exempelvis kan ske genom så kallade phishingattacker, nätfiske, där användaren på olika sätt luras till att dela sina användaruppgifter.

Många företag använder tvåfaktorsautentisering, ofta sexsiffriga koder som matas in som komplement till användarnamn och lösenord, för stärkt säkerhet. Jakob Ehrensvärd menar att det är bättre än inget men fortfarande inte tillräckligt starkt. Återigen handlar det om att användaren själv sätter upp identifieringen.

– Vad är det som förhindrar någon att sätta upp någon annans identitet? frågar han sig retoriskt.

Och det är just den fysiska aspekten som är central för Yubicos egna lösning Yubikey. Det är en säkerhetssticka som Jakob Ehrensvärd jämför med ett par nycklar eller ett pass och som ska motverka phishing.

– En YubiKey kan du inte fisha, det är ett långt kryptografiskt bevis som måste vara ansluten till datorn eller telefonen i realtid, säger han och fortsätter:

– I YubiKeyn ligger dina kryptonycklar. Om någon läser av serienumret på din Yubikey eller hittar din pinkod är det noll lycka om du inte fysiskt har Yubikeyn. Det är det som är grejen. Det är ingen statisk kod som kommer upp, det är bara den som sitter på den motsvarande nyckeln som kan skapa beviset och det är bara giltigt en gång, säger han och gör jämförelsen med smarta kort.

Kan spionera i åratal

När Jakob Ehrensvärd hör orden ingenjör och it-säkerhet tänker han direkt på personal som har tillgång till företagshemligheter, ritningar, programvara eller liknande.

– Någon kan använda ditt användarnamn och lösenord i år för att spionera och läcka uppgifter utan att man märker det. Men om någon stjäl din nyckel upptäcker du ofta det och kan byta.

Han understryker samtidigt att säker inloggning inte får vara krångligt och återkommer ofta till parallellen med ett pass, som bara används när det verkligen behövs.

– En YubiKey skulle kunna vara en digital motsvarighet till ett pass. En elektronisk webbanpassad identitet som du kan ge till anställda och konsulter men som är stark, säger han.

När ett pass ska förnyas eller har tappats bort måste man gå till en fysisk plats och legitimera sig för att få ett nytt.

– I och med att processen är stark blir identiteten också stark. Om autentiseringsprocessen är svag blir legitimationen som kommer ur det också svag eftersom det öppnar för bedrägerier.

Staten måste ta ansvar

För att Sverige ska komma ur komfortzonen behöver staten säkra digitala identiteter som kan användas till bank- och myndighetstjänster, menar Jakob Ehrensvärd.

Han betonar att det inte borde vara samma förfarande att betala några kronor i en parkeringsapp som för att starta ett företag, vilket idag är fallet med signering i BankID. Han tycker även att BankID borde vara statligt.

– De flesta människorna har inte passet i väskan utan tar fram det när det behövs. Om du är en vanlig person använder du din YubiKey för att logga in en gång på din dator, sparar och loggar därefter in precis som idag. Men så fort du ska göra något seriöst använder du YubiKeyn varje gång, som banktransaktioner med belopp som överstiger någon gräns eller logga in på en myndighetstjänst. Om du bara ska titta på ditt saldo på bankkontot, gör det enkelt, fingeravtryck på telefonen, ser han framför sig när han blickar tio år fram i tiden.

Framtidsspaningen “Nej nej nej”

Jakob Ehrensvärd berättar att en av de saker han håller koll på framöver är digitala identiteter hos leverantörer som Google, Apple, Microsoft och Amazon.

– Folk använder sin telefon som någon slags identifikation och lagring. Det låter bekvämt att lägga en digital version av körkortet i den digitala plånboken och synka det med telefonen men det blir väldigt olyckligt. Det är som att överlåta passhantering till resebolagen. Nej nej nej, det får vi inte göra. Staten måste ta ansvar för våra digitala identiteter och jag måste kunna vara fri som medborgare vare sig jag är Google- eller Applekund. Det här ska staten inte backa ifrån, säger han.

– Det finns EU-initiativ att det här ska vara en statligt backad tjänst. Vi får se hur det går, men jag tycker att det skulle vara en skrämmande utveckling om staten ger upp och våra identiteter ägs och kontrolleras av de stora it-företagen i framtiden. Jag tycker att man med lagstiftning inte skulle tillåta it-företagen att ta de här frågorna även om de kan.