Proffshackare om viljan att hjälpa: Moraliskt förkastligt att ge sig på de svagaste
”Den europeiska dataskyddsförordningen GDPR var ett försök att skapa spelregler i en allt mer digitaliserad värld, men för byråkratisk för att slå igenom. Vastaamo-läckan har konkretiserat vad det kan handla om.”
Jani Kirmanen, utvecklingschef och grundare till cybersäkerhetsföretagetSilverskin
Att pressa enskilda utsatta personer på pengar med hjälp av deras egna patientjournaler är lågt, verkligt lågt.
Så resonerar många så kallade etiska hackare och proffshackare som försöker hjälpa polisen att lösa Vastaamo-fallet, där tiotusentals patientjournaler stals från ett psykoterapicenter och nu används för utpressning.
— Utpressning, som att pressa ett företag på pengar med hjälp av information om företaget, är fel. Men att utpressa utsatta individer med deras patientjournaler upplevs som ännu mer moraliskt förkastligt, säger Jani Kirmanen, utvecklingschef och en av grundarna till cybersäkerhetsföretaget Silverskin.
Kirmanen uppger att datasäkerhetskretsarna i Finland är små, och att debatten på gemensamma forum gått het.
— Det skamlösa i brottet har fått känslorna att koka hos många hackare. Personer som annars är konkurrenter samarbetar och gör gratis spårningsarbete. Att få fast förövaren ses som belöning nog.
Skadeglädje gentemot ledningen
Kirmanen uppger däremot att det finns en del skadeglädje gentemot företaget Vastaamo och dess ledning, som känt till svagheterna men inte åtgärdat dem.
— Dem tror jag inga frivilliga hackare vill hjälpa. Det är fel att peka på kodaren om dataintrång sker. Bristen sitter i ledningen som inte förstått hur viktig datasäkerheten är, gett otillräckliga resurser eller en otydlig arbetsbeskrivning. Många ser datasäkerhet mest som en utgift, men dataintrång kostar också.
Andra företag har knappast råd med gliringar, anser han.
— Få företag har datasäkerheten i skick. Den senaste veckans talrika förfrågningar till oss visar att Vastaamo varit en väckarklocka för många, både företag och konsumenter.
Kirmanen beskriver den europeiska dataskyddsförordningen GDPR som ett försök att skapa spelregler i en allt mer digitaliserad värld.
— Men den var för byråkratisk för att slå igenom. Vastaamo-läckan har konkretiserat vad det kan handla om. Jag tror att många förstått varför det är viktigt hur personuppgifter hanteras.
Nosa upp spår efter förövaren
Det som så kallade goda hackare, också kallade vithattar, kan göra är att försöka nosa upp spår som förövaren glömt sopa igen efter sig i den virtuella världen.
— Tor-nätverket som möjliggör anonym användning av internet och andra system som kriminella använder undersöks. Försöker någon sälja information kan en hackare utge sig för att vara en potentiell köpare för att försöka spåra säljaren.
Kirmanen medger att hackarna som nu hjälper till rör sig i en gråzon.
— Jag vet inte vad polisen tycker om det här. Det kan också stöka till deras egen utredning. Att den eller de som ligger bakom dataintrånget på Vastaamo ännu inte åkt fast tyder på att hen inte är nybörjare eller att hen fått hjälp av någon annan.
Ökad risk för intrång under coronan
Att många företag tagit ett digitalt kliv under coronapandemin, kanske tidigare än de hade tänkt, ökar risken för dataintrång.
— Framför allt företag som nyligen inlett sin digitalisering är i riskzonen. De saknar erfarenhet, säger Kirmanen.
Därmed inte sagt att längre hunna klarar det bättre.
Silverskins analyser visar ofta att företag kan ha digitala tjänster eller sidor som de glömt bort. Då är sidorna inte heller uppdaterade och kan bli kryphål in i systemet.
— Datasäkerhet borde prioriteras då nya digitala lösningar tas fram. Men det är ofta andra saker, som hur applikationen kan integreras med företagets andra tjänster, som prioriteras. Stark identifikation är en faktor i datasäkerheten och ett klart säkrare system för inloggning, men det sänker användarvänligheten och människan är lat.
Att fler jobbar på distans, kanske på sin privata dator, kan medföra en risk om säkerhetssystemen är sämre än på jobbets dator.
— I vårt nätverksamhälle kan alla vara en inkörsport till känsliga uppgifter om sig själv eller sammanhang där man rör sig i jobbet eller på fritiden.
Silverskin ägs till 25 procent av försvarsteknologiföretaget Patria. Jani Kirmanen upplever att man inom försvarsindustrin kommit längst inom datasäkerhetstänkandet.
— De här företagen vet någon så småningom kommer att försöka bryta sig in i deras system.
Patria delägare i cybersäkerhetsföretag
Silverskin är ett finländskt cybersäkerhetsföretag med kontor i Helsingfors och Singapore.
Företaget ägs till 25 procent av försvarsteknologiföretaget Patria.
Till verksamheten hör att på beställning hacka exempelvis företag och testa deras datasäkerhet för att upptäcka eventuella svagheter innan kriminella gör det.
Attackerna är autentiska och omfattar företagens digitala system, fysiska miljöer som kontor samt personal.
Silverskin har ett 20-tal anställda, medelåldern är kring 28 år.
Företaget grundades 2009.
Källa: Silverskin
Kommentarer
Alla som kommenterar ÅU:s webbartiklar förväntas göra det sakligt och under sitt eget namn. Vi godkänner inga länkar till externa webbplatser i kommentarerna. Kommentarerna modereras. Fyll i både ditt för- och efternamn, tack.