Ivar Arpi: Hackers är vår tids bankrånare

Upp med händerna, fram med pengarna, det här är ett rån. Om man ser kriminalitet som en karriär befinner sig brottslingarna som rånar människor i den fysiska världen på samma steg som hamnarnas stuvare som lastade av skeppen med en grips i handen. Varje aspirerande rånare måste ställa sig frågan: var finns det pengar att göra? Länge var värdetransporter ett populärt svar. Och postkontor och banker. Fortfarande rånas butiker, men summorna man kommer över är allt mindre. Det är lika anakronistiskt som armbandsur. Har någon av försökt att ta ut kontanter på ett bankkontor på senare tid? Det går knappt, för de flesta har inga. Självklart kommer det begås rån även framöver. Men teknologin, och det alltmer kontantlösa samhället, riskerar att göra många rånare arbetslösa. Kan de skola om sig med lite utbildning? För visst finns det pengar att göra. Men precis som på den vanliga arbetsmarknaden blir det allt svårare för kriminella som saknar utbildning att begå lönsamma brott.

Till den äldre skolans busars förtret sker mycket av den nya tidens kriminalitet alltmer på nätet. I fredags utsattes runt 200  000 företag, sjukhus, regeringsorgan och andra organisationer i minst 150 länder för en IT-attack som döpts till WannaCry(pt), en ordlek med ”vill gråta” och ”kryptera”. Datorer låstes och användarna meddelades att de endast kunde få tillbaka sina filer, som krypterats, om de betalade en lösensumma. Bland annat drabbades NHS, det brittiska sjukhussystemet, vilket fick följden att människor blev utan operationer och att ambulanser åkte fel.

Det blir hemskt tråkig TV av den här sortens brottslighet. Både offer och förövare sitter framför datorskärmar. Och det är svårt att skriva lättfattliga berättelser om skeendena. Kanske är det därför som stora delar av befolkningen är ganska okunniga om hur hoten ser ut. Men som exemplet med NHS visar får IT-attacker av den här typen konsekvenser i den verkliga världen. En cyberattack sänder inte upp några rökplymer som efter missilattacker, men konsekvenserna kan bli ännu mer långtgående. Civila kan skadas och dö även i cyberattacker.

Attacken stoppades av en slump när en 22-åring som arbetar med datasäkerhet sonderade sitt jobbflöde, trots att han var ledig. Han såg att den skadliga koden pingade en oregistrerad domän, som han genast registrerade. Det var en inbyggd svaghet i attacken – ett slags avstängningsknapp. Efter att domänen registrerades stoppades den i en virtuell malpåse för att hindra ytterligare spridning av den skadliga koden. Hade Malwaretech, som han kallar sig, i stället tagit ledigt på sin lediga dag hade många fler hunnit drabbas.

WannaCry(pt) använde en bakdörr in i Windows, som stängdes i en säkerhetsuppdatering i mars. Men de som inte hade uppdaterat operativsystemet var sårbara, liksom de som använder äldre Windowsversioner som inte längre uppdateras. Bakdörren tros dock av flera experter ha varit känd länge av NSA, den amerikanska övervakningsmyndigheten. De valde dock att inte uppmärksamma Microsoft om vad de hittat, eftersom de själva kanske skulle kunna ha nytta av säkerhetsmissen. Genom att inte informera mjukvaruföretag om vad man vet behåller säkerhetstjänsterna ett trumfkort. Men det man själv vet, kommer andra snart veta. Och då får vi IT-attacker som den i fredags. Å andra sidan, om man informerar företagen försvårar man sitt eget övervakningsarbete, och den egna kapaciteten till cyberattacker. Är det myndigheternas ansvar att agera felfinnare åt mjukvaruföretag, eller är det ett ansvar de bör ta själva?

På gott och ont är vi alla mer eller mindre uppkopplade mot varandra och världen. Vi lägger vår säkerhet i myndigheters och företags händer. Det minsta vi kan begära är att de tar säkerheten på allvar. Frågan är hur långt det räcker.