Polhemspriset till Yubico – hackarnas värsta fiende

Jakob och Stina Ehrensvärd, grundare av it-säkerhetsföretaget Yubico, får årets Polhemspris av Sveriges Ingenjörer. Deras YubiKey för säker inloggning används av USA:s största techbolag, ”ett antal” presidenter och hjälper Ukraina att säkra livsviktig infrastruktur.

Yubico grundades av paret Jakob och Stina Ehrensvärd 2007. Två år senare lyckades de ta sin idé från köksbordet i villan i Täby till Silicon Valley.  

Fröet till deras uppfinning YubiKey såddes när Stina 2005 skaffade internetbank. Hon insåg snabbt att inloggningen med lösenord och kortläsare inte var säker och ringde bankens kundtjänst.

– Jag berättade att en vän sagt till mig sagt att det skulle ta honom mindre än ett dygn att skriva kod som kunde hacka mitt konto. Banken svarade att jag skulle prata med min vän och be honom att låta bli, säger Stina och skrattar.

Vännen hon pratade om var Jakob Ehrensvärd, Stinas egen man och pappa till deras tre barn. Jakob är elektronik- och dataingenjör som jobbat med it-säkerhet i många år. Bland annat hade han varit med och utformat säkerhetssystemet till Forsmarks kärnkraftverk.

Stina är industridesigner med ett brinnande intresse för innovation. Från samtalet med banken såg hon ett problem som saknade en bra lösning. Hackerattackerna mot banker och företag ökade snabbt. 80 procent av dem berodde på stulna identiteter. Och de lösningar som fanns var för dåliga eller för krångliga för att kunna användas av gemene man.

Diskussionerna om säker inloggning fortsatte hemma vid köksbordet. Stina ställde fråga efter fråga till Jakob. Vad var svagheterna med de inloggningssystem som finns? Hur fungerade smartcards, den säkra men krångliga lösningen? Svaren ledde arbetet framåt och till slut hade Jakob och Stina Ehrensvärd en konkret idé.

Pitchade för en journalist i rulltrappan

Ett par år senare fanns den första prototypen till deras YubiKey – en fysisk säkerhetsnyckel som sätts i ett USB-uttag. Enheten genererar krypterade engångskoder som skickas mellan YubiKey och den tjänst där du loggar in på, exempelvis en bank. Det gör att inloggningen blir säker och skyddad mot nätfiske och andra säkerhetshot.

Det brukar heta att en bra idé säljer sig själv men det visade sig inte alls stämma. De svenska bankerna visade inget större intresse.

– Min egen bank bad oss komma tillbaka när vi hade testat den på 50 000 andra kunder. Det här var en tuff period, inte minst ekonomiskt, berättar Stina Ehrensvärd.

Vändningen kom när hon fick en inbjudan till världens största internetkonferens i USA. Hon klev in genom dörrarna med en YubiKey och sitt visitkort i en liten ask. Siktet var inställt på de över 100 journalisterna på plats.

– På väg mot pressrummet haffade jag den första journalist jag mötte i rulltrappan, presenterade mig, överräckte den lilla asken och berättade om vår säkerhetslösning. Två veckor senare sändes Steve Gibsons podcast Security Now med 100 000 lyssnare där han hyllade vår säkerhetsnyckel YubiKey.

Plötsligt började beställningarna trilla in och YubiKeys packades i köket i Täby och skickades över hela världen. En av beställarna skulle visa sig vara en säkerhetsingenjör på Google.

2010 kom ett mejl från Google med en beställning på 20 000 nycklar. Då bestämde sig Jakob och Stina för att åka till USA och boka ett möte med Google.

Agerade medlare mellan techjättarna

Det visade sig att Google hade haft ett stort dataintrång från Kina, kod hade stulits och företaget var skakat av händelsen. Det här fick aldrig hända igen. En ny säkerhetslösning behövde därför snabbt komma på plats.

– Google blev vår första stora kund och affären blev vårt genombrott. Jag brukar säga att den kom tack vare kombinationen av bra produkt och tur, säger Jakob Ehrensvärd.

Google ville inte bara köpa nycklar utan också tillsammans med Yubico utveckla tekniken till en öppen standard så att YubiKey kunde fungera för att logga in på alla världens internettjänster. Då insåg Jakob och Stina att de behövde vara på plats i USA. Villan i Täby hyrdes ut och 2011 flyttade familjen till Kalifornien.

Under åren som följde lyckades Yubico erövra en efter en av de stora techjättarna som kunder: Microsoft, Facebook, Amazon, och dussintals andra. Tills slut lyckades de även få Apple att ansluta sig och erbjuda support för säkerhetsstandarden som har två namn, FIDO och Passkeys.  

Jakob Ehrensvärd insåg att Yubico, ett litet svenskt företag, hade fördelar.

– De stora techbolagen var konkurrenter men vi var oberoende och utgjorde inget hot. Ibland fick vi också agera medlare och budbärare.

Han minns en gång när Apple behövde ställa en fråga till Microsoft. Jakob uppfattade inte problemet men det visade sig vara känsligt.

– Kan inte ni ställa frågan till Microsoft? svarade Apple.

En av de största tekniska utmaningarna var att utveckla standarden för säker inloggning tillsammans med de stora techbolagen och det återstår fortfarande en hel del arbete för att göra den enklare för alla internetanvändare. Men Jakob Ehrensvärd tar också upp den svåra resan från prototyp till industriell tillverkning.

– Många företag underskattar vad som krävs för att tillverka en produkt i stora volymer. Ett aktuellt exempel som visar på dessa utmaningar är Northvolt. Det har tagit Yubico 15 år att skala produktionen, helt automatiserat med låga kostnader och hög kvalitet. För att inte släppa kontrollen har vi valt att tillverka våra YubiKeys, över en miljon exemplar i månaden, i Sverige. Det är nog det som jag är mest stolt över.

Numera finns över ettusen tjänster som stödjer YubiKey och standarden FIDO Passkeys och det har öppnat en marknad för privata användare.

Fördel som kvinna i techbranschen

Rollfördelningen i Yubico mellan Stina och Jakob har alltid varit glasklar. Stina beskriver Jakob som den briljanta ingenjören och sig själv som den obotliga optimisten. Medan Jakob ansvarar för den tekniska utvecklingen har Stina haft rollen som vd, designchef, säljare och marknadsförare.

Att vara kvinna i techbranschen tycker hon snarast har varit en fördel och Jakob håller med.

– Det här är en väldigt torr och mansdominerad bransch. Stina har kommit in som en främmande fågel, med ett annat grepp och agerat som en murbräcka i vissa fall. Det har varit framgångsrikt.

”Glad att slippa kvartalraporterna”

Nya säkerhetsproblem och affärsmöjligheter

För två år sedan flyttade familjen Ehrensvärd tillbaka till Sverige och våren 2023 noterades Yubico på Stockholmsbörsen, i dag med ett börsvärde på omkring 24 miljarder kronor. Strax efteråt valde Stina Ehrensvärd att kliva av rollen som vd för att kunna ägna mer tid åt andra projekt.

– Jag brinner för innovation och är glad att slippa lägga tid på kvartalsrapporter.

Ett projekt som hon lägger mycket tid på är EU Digital Identity Wallet – ett europeiskt projekt för att koppla en säker inloggning till en identitet. Stina beskriver det som en hybrid av Apple Wallet och BankID för att motarbeta falska identiteter.

– Miljontals botar och falska identiteter sprider konspirationsteorier och motarbetar demokratin i världen. Tillsammans med stulna identiteter är detta det största cybersäkerhetshotet i dag, säger Stina Ehrensvärd.

Ett annat initiativ som hon är engagerad i är Yubicos program Security It Forward som skänker säkerhetsnycklar till dissidenter och journalister som arbetar för demokrati och mänskliga rättigheter.

Både hon och Jakob känner sig hedrade över att motta Polhemspriset.

– Vi tackar alla våra medarbetare på Yubico och tillsammans kommer vi fortsätta att utveckla innovationer för att säkra människors digitala identitet. Prispengarna kommer vi skänka till Världsnaturfonden som hjälper oss att skydda land, vatten och ekologiska system som vi alla är beroende av för vår långsiktiga säkerhet, säger Stina Ehrensvärd.