Illustration (beskuren): David Ljungberg /Boid
Illustration (beskuren): David Ljungberg /Boid

David Sands om varför vi behöver bättre datasäkerhet

Ju mer världen digitaliseras, desto sårbarare riskerar vi att bli som individer och som samhälle. Professor David Sands och hans kollegor på Chalmers ser att lösningen kan finnas i en ny typ av mjukvara – som har säkerhet och personlig integritet i ryggmärgen.

Vem kan du lita på?
Det är en högst befogad fråga i den digitala tidsåldern. Fel svar kan få allvarliga konsekvenser: trojaner tar över din dator, uppgifter ur din sjukjournal hamnar hos grannen och sökmotorföretaget säljer varje klick du gjort på nätet till ... ja, vem vet?
 
För den som absolut inte vill ta några risker återstår bara den radikala lösningen att försöka förbli analog – något som blir allt svårare i det moderna samhället.
 
Men kanske är det stora felet att frågan ens behöver ställas? David Sands är professor och chef för avdelningen Informationssäkerhet på Institutionen för data och IT. Där försöker forskarna ta fram nya metoder som gör att vi kan skydda våra data och bevara vår personliga integritet – utan att vi över huvud taget måste lita till någons goda avsikter eller skyddsförmåga.
 
Pof David Sands– Vårt fokus ligger på att konstruera mjukvara som har vissa inbyggda principer som garanterar datasäkerhet och personlig integritet, förklarar David Sands.
 
Ett användningsområde där detta kan tillämpas är positionssekretess, alltså uppgifter som vår mobiltelefon skickar ut om var den befinner sig – och därmed också var vi själva finns i geografin.
 
– Detta kanske man inte hela tiden vill dela med sig av till Facebook eller Google. Men två kompisar vill ändå gärna kunna hitta varandra, exemplifierar David Sands.
– Och detta går faktiskt att åstadkomma, med en modern kryptografisk metod.
 
Ett annat exempel innebär att databaser kan byggas enligt en metod som skapar ett slags ”suddighet”. Användaren kan visserligen dra många slutsatser ur materialet, men det blir matematiskt omöjligt att härleda uppgifter till en enskild individ.
– Google och Apple är två IT-jättar som nyligen har börjat använda sådana här metoder, så kallad ”differential privacy”, på försök i en del av sin informationshantering, berättar David Sands.
 
Han betonar att detta är något annat än den metod som används traditionellt, nämligen anonymisering eller avidentifiering av känsliga uppgifter.
– Det har visat sig vara omöjligt att göra ett bra jobb med sådana metoder, eftersom det ofta finns annan extern information, som i kombination med den avidentifierade ändå kan avslöja vem uppgiftslämnaren är.
 
Att IT-industrin intresserar sig för användarnas personliga integritet och datasäkerhet kan möjligen tyckas en smula paradoxalt – det finns ju mycket att vinna på att lära känna sina kunder så bra som möjligt. Men enligt David Sands känner många företag också en oro över att gå över gränsen.
 
– Det innebär en stor risk om man får rykte om sig att tränga in i den personliga sfären. Och ett företag som av misstag råkar släppa iväg 10 miljoner lösenord kan orsaka sig själv enorm skada, säger han.
Dessutom införs nästa år en ny EU-lagstiftning, i Sverige under namnet dataskyddsförordningen, som innebär en kraftig skärpning av regelverket för inhämtning och lagring av personuppgifter. Den som inte följer bestämmelserna riskerar kännbara böter.
 
– Det är en ganska sträng lag, som bygger på principen att ingen får ta in mer information än vad som är nödvändigt för att utföra ett visst uppdrag.  Uppdraget ska vara till nytta för individen och när det är avslutat ska informationen tas bort, berättar David Sands.
 
– Även detta bidrar till att industrin är försiktig. Därför vill man gärna hitta metoder som gör att man kan få ut den information man vill ha om användarna – för marknadsföring, produktutveckling med mera – samtidigt som användarna i utbyte får någon sorts kontroll och garanti om personlig integritet.
 
Vi träffas dagen efter att det blivit känt att ledande politikers datorer och mobiler varit vidöppna för cyberattacker – detta för att Sveriges riksdag har missat en säkerhetsuppdatering. Men att bygga säkerhet på täta uppdateringar och buggfixar är inte en strategi som imponerar
på David Sands.
 
– Problemet är att de här säkerhetshålen finns över huvud taget. Och det har i sin tur att göra med ett slags systemfel inom IT-industrin. Man har tyvärr en infrastruktur för programmering som bygger
mjukvara på ett bristfälligt sätt, utan tillräckligt säkerhetsfokus, förklarar han.
 
Även inom detta område pågår forskning på Chalmers, bland annat genom att försöka designa nya programspråk, där säkerheten är en del av fundamentet.
– Det är en väldigt långsiktig forskning och det är en hel branschkultur som måste förändras innan detta slår igenom, säger David Sands.
 
 
 
En annan oroväckande säkerhetskultur är enligt honom den som många användare själva står för, inte minst på sociala medier.
– Jag tror det finns en generation som inte riktigt inser konsekvenserna på sikt av de val de gör idag.
 
Vi har inte erfarenheten av vad det innebär att exponera personlig information, varnar han.
– Jag tror vi kommer att få se företag som lever på att profilera individer, baserat på vad de gjort på internet de senaste 20 åren.
 
Så även om medborgarnas efterfrågan på säkerhet och personlig integritet idag är ganska låg, så hoppas David Sands att medvetenheten ska öka – och att de tekniska lösningarna då ska finnas på plats för att möta behovet.
 
Ett misslyckande skulle få konsekvenser långt utanför IT-sektorn.
– Informations- och kommunikationsteknologin är nyckeln till många framtidslösningar, till exempel inom energiförsörjning och transportsystem, påpekar David Sands.
– Får vi inte ordning på säkerhet och personlig integritet, då får vi inte heller något hållbart samhälle.
 
Artikeln är tidigare publicerad i Chalmers Magasin, nr 1 2017
Text: Björn Forsman
 
 
FAKTA/DIFFERENTIAL PRIVACY
Principen för informationshantering med ”differential privacy” kan illustreras med ett enkelt exempel. I en enkät till 100 hundägare ställs frågan: Slår du din hund? Eftersom ett ja-svar är känsligt måste de tillfrågade få garantier för att ett sanningsenligt svar omöjligen kan spåras tillbaka till dem själva. Därför läggs enkäten upp så här: Alla tillfrågade flippar först ett mynt. Krona innebär att de ska svara sanningsenligt. Klave innebär att de ska flippa myntet på nytt. De som nu får krona svarar ja, de som får klave svarar nej.
Resultatet behandlas så att 25 förväntade ja-svar och lika många förväntade nej-svar först dras ifrån. Av resterade enkätsvar framgår hur stor andel av hundägarna som slår sin hund.
Men varken ja- eller nej-svar berättar med säkerhet något om den enskilde hundägaren.
 
 

Fler artiklar från Chalmers magasin

I årets första utgåva av Chalmers magasin finns ett tema om hållbar digitalisering. Läs intervjuerna med våra forskare om ämnen som datasäkerhet, integritet, hotet artificiell intelligens och mycket mera.
 

Tänk om någon hackar min bil!
Hur säker är den nya bilen? Ju mer bilen kopplas med smarta tjänster och förarstöd uppstår frågan: Kan min bil bli hackad? Hotar den min personliga integritet? Läs artikeln här >>

AI - vi fokuserar på fel hot
Artificiell intelligens behöver inte löpa amok och ta över världen för att bli ett hot mot människor och samhälle. Det är illa nog att många arbetstagare riskerar att bli överflödiga när jobben i rask takt automatiseras bort, varnar professor Devdatt Dubhashi. Läs artikeln här >>

Google och Facebook sponsrar hans forskning
Han trodde först det var ett vanligt bluffmail, men Andrei Sabelfeld hade fel. Facebook hade verkligen skänkt honom pengar för att de intresserade sig för hans forskning kring integritet och säkerhet på webben. Läs artikeln här >>
 
 
I Chalmers magasins onlinetidning hittar du även:
 
Steget före hackarna
Även kriminella hackare och IT-angripare agerar rationellt och kostnadseffektivt. Något som i viss mån gör dem förutsägbara. Det är därför de ibland kan avslöjas när datasäkerhetsföretaget Recorded Future spanar ut genom cyberrymden – från utkikspunkten vid Grönsakstorget i Göteborg.
 
Extra säkerhet för journalister
Det ska vara enkelt att använda och inte för dyrt. Så tänkte startupbolaget Zifra som utvecklat ett minneskort som kan kryptera informationen i exempelvis en kamera i samma ögonblick som det spelas in. Kortet innebär en tryggare tillvaro för journalister och fotografer som arbetar ute på fältet.

Publicerad: on 29 mar 2017. Ändrad: to 06 apr 2017