KTH-professorn: ”Jag är rätt pessimistisk för framtiden inom cybersäkerhet”

2021-09-09 14:04  

Intresset är rekordstort för höstens kurser i etisk hackning på KTH. Samtidigt är den ansvarige professorn inte hoppfull när det gäller cybersäkerheten i dag och framöver.

Etisk hackning är en problembaserad kurs där studenterna, med hjälp av VPN-uppkoppling, kastas in i ett fiktivt företagsnätverk som ska infiltreras. Genom att utnyttja olika sårbarheter går uppgiften ut på att exfiltrera data, alltså i hemlighet kopiera viss information från nätverket. 

När kursen startade 2017 hade den 20 studenter, men i höst hade siffran ökat till drygt 400.

– Det är ju brist på cybersäkerhetskompetens i Sverige, men jag upplever inte att det finns någon brist på intresse att lära sig, vilket är uppmuntrande, säger Pontus Johnson, professor i nätverk och systemteknik vid KTH, till Ny Teknik.

Bland studenterna finns inte bara KTH:s egna programstudenter utan även doktorander, personer i uppdragsutbildning och Sveriges egna cybersoldater – värnpliktiga personer som under elva månader utbildats av Försvarsmakten på Ledningsregementet i Enköping.

Dessutom läser 100 personer ur allmänheten den som en fristående kurs.

Finns det ingen risk att ni utbildar kriminella personer i cybersäkerhet?

– Jo, den risken finns ju, men det finns all anledning att tro att en överväldigande majoritet inte är kriminella. Om fem av dessa 400 personer är eller blir kriminella så har vi ändå utbildat 395 personer på försvarssidan. Dessutom är den informationen som vi ger inte unik, utan det mesta finns egentligen redan tillgängligt på Youtube.

Läs mer: Så kan vågen av cyberattacker spåras till Ryssland

Han säger att det är mycket bättre att tillgängliggöra information och utbilda folk än att hemlighålla.

– På 90-talet försökte man sig på att hemlighålla cybersäkerhetsrelaterad information, men det gick inte alls bra. Vi har lärt oss att samhället står i underläge om vi inte utbildar kring detta, säger Pontus Johnson.

Stort intresse för cybersäkerhet – och sårbara system

Han tror att det nyvaknade intresset för cybersäkerhet beror på tre saker:

1. Cybersäkerhet har nyligen fått stor massmedial uppmärksamhet.

2. Det har uppstått en stor kompetensbrist, vilket skapar en god arbetsmarknad.

3. Cybersäkerhet har på senare år blivit storpolitik i olika former, vilket skapar många spännande dimensioner.

Coop har råkat ut för en stor it-störning och håller stängt Foto: Anders Frick

Samtidigt som Pontus Johnson gläds över intresset kring cybersäkerhet ser han stora problem med ett samhälle som digitaliseras snabbt.

– Att vi digitaliseras fort gör oss väldigt beroende av systemen. I kombination med ett säkerhetspolitiskt läge som snabbt försämras ser det inte ljust ut framöver. Den stora mängd sårbarheter som finns i systemen är häpnadsväckande. Det är vardagsmat att kritiska komponenter i vår digitala infrastruktur har allvarliga sårbarheter. Som ett av många exempel ledde det senaste offentliggörandet av nya sårbarheter i kryptobiblioteket OpenSSL knappt till att någon lyfte på ögonbrynen, trots att kryptobibliotek är grunden till mycket av vår digitala säkerhet. Vi är vana vid dussintals nya sårbarheter varje månad i de stora operativsystemen, säger Pontus Johnson.

”Stora företag misslyckas regelmässigt”

Utmaningarna framöver är enorma, enligt honom.

– Jag är faktiskt rätt pessimistisk för framtiden inom säkerhetsområdet, säger han.

Läs mer: ”Busenkelt att ta över kundernas identitet” 

Vad finns det då för lösningar? Enligt Pontus Johnson så behöver vi framförallt mycket bättre verktyg för systemutveckling och systemförvaltning. Det är med dagens miljöer och verktyg i praktiken omöjligt att inte introducera sårbarheter. 

– Stora företag med mängder av kompetent personal, som Apple och Google, misslyckas regelmässigt. Uppgiften helt enkelt är alltför svår utan rimliga verktyg. Nästan alla sårbarheter är baserade på misstag, men med bättre verktyg så kan man prestera bättre. Ett viktigt verktyg är det programmeringsspråk man använder. Med fel språk, till exempel C, är det nästan omöjligt att skriva säker kod.

Anders Frick

Kommentarer

Välkommen att säga din mening på Ny Teknik.

Principen för våra regler är enkel: visa respekt för de personer vi skriver om och andra läsare som kommenterar artiklarna. Alla kommentarer modereras efter publiceringen av Ny Teknik eller av oss anlitad personal.

  Kommentarer

Debatt