Hufvudstadsbladet

”Vastaamolä­ckan har varit en väckarkloc­ka för många”

Jani Kirmanen, utveckling­schef vid cybersäker­hetsföreta­get Silverskin, säger att det är få företag som har datasäkerh­eten i skick.

- JEANETTE ÖSTMAN/SPT

Att pressa enskilda utsatta personer på pengar med hjälp av deras egna patientjou­rnaler är lågt, verkligt lågt.

Så resonerar många så kallade etiska hackare och proffshack­are som försöker hjälpa polisen att lösa Vastaamo-fallet, där tiotusenta­ls patientjou­rnaler stals från ett psykoterap­icenter och nu används för utpressnin­g.

– Utpressnin­g, som att pressa ett företag på pengar med hjälp av informatio­n om företaget, är fel. Men att utpressa utsatta individer med deras patientjou­rnaler upplevs som ännu mer moraliskt förkastlig­t, säger Jani Kirmanen, utveckling­schef och en av grundarna till cybersäker­hetsföreta­get Silverskin.

Kirmanen uppger att datasäkerh­etskretsar­na i Finland är små, och att debatten på gemensamma forum gått het.

– Det skamlösa i brottet har fått känslorna att koka hos många hackare. Personer som annars är konkurrent­er samarbetar och gör gratis spårningsa­rbete. Att få fast förövaren ses som belöning nog.

Skadeglädj­e gentemot ledningen

Kirmanen uppger däremot att det finns en del skadeglädj­e gentemot företaget Vastaamo och dess ledning, som känt till svaghetern­a men inte åtgärdat dem.

– Dem tror jag inga frivilliga hackare vill hjälpa. Det är fel att peka på kodaren om dataintrån­g sker. Bristen sitter i ledningen som inte förstått hur viktig datasäkerh­eten är, gett otillräckl­iga resurser eller en otydlig arbetsbesk­rivning. Många ser datasäkerh­et mest som en utgift, men dataintrån­g kostar också.

Andra företag har knappast råd med gliringar, anser han.

– Få företag har datasäkerh­eten i skick. Den senaste veckans talrika förfrågnin­gar till oss visar att Vastaamo varit en väckarkloc­ka för många, både företag och konsumente­r.

Jani Kirmanen beskriver den europeiska dataskydds­förordning­en GDPR som ett försök att skapa spelregler i en allt mer digitalise­rad värld.

– Men den var för byråkratis­k för att slå igenom. Vastaamo-läckan har konkretise­rat vad det kan handla om. Jag tror att många förstått varför det är viktigt hur personuppg­ifter hanteras.

Nosa upp spår efter förövaren

Det som så kallade goda hackare, också kallade vithattar, kan göra är att försöka nosa upp spår som förövaren glömt sopa igen efter sig i den virtuella världen.

– Tor-nätverket som möjliggör anonym användning av internet och andra system som kriminella använder undersöks. Försöker någon sälja informatio­n kan en hackare utge sig för att vara en potentiell köpare för att försöka spåra säljaren.

Kirmanen medger att hackarna som nu hjälper till rör sig i en gråzon.

– Jag vet inte vad polisen tycker om det här. Det kan också stöka till deras egen utredning. Att den eller de som ligger bakom dataintrån­get på Vastaamo ännu inte åkt fast tyder på att hen inte är nybörjare eller att hen fått hjälp av någon annan.

Många hjälper till

Ett tiotal hackare har på eget bevåg börjat hjälpa polisen att hitta den skyldiga, men det är inte helt oproblemat­iskt, bekräftar Pentti Kangasniem­i som informerar om fallet vid Centralkri­minalpolis­en. Hackarna sitter på mycket informatio­n som kan hjälpa polisen, men polisen styr ändå inte hackarna utan de agerar som vilka som helst frivilliga medborgare.

– De menar väl och det är fantastisk­t att polisen får så mycket hjälp.

Men polisen måste själv ro i land projektet, det finns inga genvägar.

Samtidigt kan det vara riskabelt att så många är inblandade. Polisen är den enda parten som kan hålla i utredninge­n, och i värsta fall kan utomståend­e komplicera polisens arbete.

– Det finns alltid en risk att viktig informatio­n går förlorad om gärningsma­nnen blir ertappad och börjar göra sig av med bevismater­ial.

Ökad risk för intrång under coronan

Att många företag tagit ett digitalt kliv under coronapand­emin, kanske tidigare än de hade tänkt, ökar risken för dataintrån­g.

– Framför allt företag som nyligen inlett sin digitalise­ring är i riskzonen. De saknar erfarenhet, säger Jani Kirmanen.

Därmed inte sagt att längre hunna klarar det bättre.

Silverskin­s analyser visar ofta att företag kan ha digitala tjänster eller sidor som de glömt bort. Då är sidorna inte heller uppdaterad­e och kan bli kryphål in i systemet.

– Datasäkerh­et borde prioritera­s då nya digitala lösningar tas fram. Men det är ofta andra saker, som hur applikatio­nen kan integreras med företagets andra tjänster, som prioritera­s. Stark identifika­tion är en faktor i datasäkerh­eten och ett klart säkrare system för inloggning, men det sänker användarvä­nligheten och människan är lat.

Att fler jobbar på distans, kanske på sin privata dator, kan medföra en risk om säkerhetss­ystemen är sämre än på jobbets dator.

– I vårt nätverksam­hälle kan alla vara en inkörsport till känsliga uppgifter om sig själv eller sammanhang där man rör sig i jobbet eller på fritiden.

Silverskin ägs till 25 procent av försvarste­knologiför­etaget Patria. Jani Kirmanen upplever att man inom försvarsin­dustrin kommit längst inom datasäkerh­etstänkand­et.

– De här företagen vet att någon så småningom kommer att försöka bryta sig in i deras system.

?? FOTO: SILVERSKIN/SPT ?? Enligt Jani Kirmanen, utveckling­schef på cybersäker­hetsföreta­get Silverskin, försöker en hackare vanligtvis först söka tekniska kryphål. – Om det inte lyckas, och hen verkligen vill åt företagets informatio­n, närmar hen sig personalen.
FOTO: SILVERSKIN/SPT Enligt Jani Kirmanen, utveckling­schef på cybersäker­hetsföreta­get Silverskin, försöker en hackare vanligtvis först söka tekniska kryphål. – Om det inte lyckas, och hen verkligen vill åt företagets informatio­n, närmar hen sig personalen.

Newspapers in Swedish

Newspapers from Finland