Andrei Sabelfeld är forskaren som dagligen funderar kring hur man stoppar cyberattacker och gör våra IT-system säkrare. Privat tar han dock de digitala hoten med ro.
– Jag har absolut ett säkerhetstänk när jag installerar program och appar, men jag är inte en paranoid person.
När tiotusentals elevers personuppgifter läckte från Göteborgs stads lärarplattform och lades ut till försäljning på internet var det Andrei Sabelfeld som journalisterna ringde. I sin roll som professor i informationssäkerhet är han väl insatt i allt som rör cybersäkerhet.
– Jag tycker informationssäkerhet är otroligt spännande eftersom det är ett så dynamiskt fält. Vi har ett rörligt mål som vi måste angripa på ett fundamentalt sätt för att få till ett långsiktigt skydd, säger Andrei Sabelfeld.
Projekt för att skapa säkrare appar
Sedan 2017 är Andrei Sabelfeld en del av det stora projektet WASP* där han bland annat driver WASP NEST CyberSecIT. Projektet som involverar både Chalmers, KTH och Umeå universitet, handlar om cybersäkerhet för IoT-appar, där forskarna skapar nya lösningar för att förbättra apparnas säkerhet.
– IoT, Internet of Things, handlar om att koppla ihop digitala, fysiska enheter med andra enheter eller program, vilket medför många säkerhetsutmaningar och frågeställningar som: Vem kontrollerar nätverket? Vem skapar koden? IoT-apparna styr logiken bakom uträkningarna, de bestämmer vad som ska hända med dessa enheter. Vårt fokus i detta är att se till att själva programvaran blir säker, säger Andrei Sabelfeld.
Säkerheten bör komma först i processen
– För att skapa säker programvara använder vi teknik från programmeringsspråk och dataanalys för att försöka införa säkerhet så tidigt som möjligt i byggnadsfasen. Så det vi sysslar med är säkerhet genom uppbyggnaden av själva programvaran.
Andrei Sabelfeld återkommer ofta till att den absolut viktigaste säkerhetsåtgärden när det gäller cybersäkerhet är att bygga in säkerheten redan från början. Men utmaningarna med cybersäkerhet är många och hoten kommer från olika håll. Ett exempel på något som riskerar att skapa stora problem för privatpersoner är så kallade ”illvilliga appar”.
– Det som i värsta fall kan hända när du installerar en sådan app är att dina användaruppgifter kapas och att appen sedan utger sig för att vara du. Just detta hände nyligen när ett webbtillägg som såg ut som Chat-GPT i själva verket hade som mål att kapa användaruppgifter på Facebook. Det uppdagades först när webbtillägget redan släppts och användare hade börjat ladda ner det.
Cyberattacker blir vanligare i framtiden
De senaste åren har medier med jämna mellanrum rapporterat om olika typer av IT-attacker mot myndigheter och företag i Sverige. En incident som orsakade stor uppståndelse var cyberattacken mot Coop för ett par år sedan som slog ut hela matkedjans kassasystem.
– Tyvärr ser vi att den här typen av hot blir vanligare i framtiden. Det beror till stor del på att våra system blir mer och mer sammanlänkade och styr alltmer av vår infrastruktur. Lägger man där till AI blir utmaningarna ännu större. Redan idag används AI för till exempel spammejl eller det vi kallar spear phishing – riktade attacker mot personer med eftertraktad information, säger Andrei Sabelfeld och tillägger att sårbarheten i våra system till viss del beror på attityden i samhället.
– Det viktigaste för att komma åt den här typen av attacker är en förändrad mentalitet. Vi kan inte längre tänka att säkerhet kommer sist.
Skulle man dock missa att bygga in säkerhet i programvaran är loppet inte helt kört. Andrei konstaterar att säkerhet har flera försvarslager, och att olika situationer kräver olika försvar.
– Den främsta typen av försvar börjar i byggnadsfasen av programvaran men det löser inte alla säkerhetsproblem. Därför behöver man även ha en mekanism för att upptäcka problem, det vi kallar intrångsdetektering. Sedan har vi ytterligare en nivå som handlar om att mildra problemet
om det skulle uppstå en attack.
– Slutligen, om allt annat har misslyckats, så behöver vi ha en bra uppföljning för att se till att en liknande attack inte kan hända igen. Hur kan vi designa våra system utifrån den kunskap vi har nu för att förhindra att attacken upprepas?
Att bedöma attackytan är en av de största utmaningarna
En av de största utmaningarna, fortsätter Andrei Sabelfeld, är att veta var angriparna kommer försöka attackera, att bedöma attackytan.
– Det kan vara så att du har en mängd säkerhetsanordningar på plats, kryptering, nätverksskydd och så vidare, men att utomstående trots det får tag i hemlig information och läcker den. Där är utmaningen hur vi analyserar koden och ser till att den inte möjliggör den här typen av läckor. Det svåraste är att ha att göra med programvara som är skriven på flera olika programspråk – att analysera dessa och säkerställa att vi spårar informationsflödet.
Just komplexiteten kring att skapa säkra system menar Andrei Sabelfeld är en av anledningarna till att mentaliteten med ett fokus på säkerhet bör finnas med från start, och han konstaterar att vi fortfarande har en del kvar att jobba på.
– Många företag får lära sig detta den hårda vägen. Microsoft hade den här typen av problem för ett par år sedan men de har nu sett över sin process och introducerat säkerhet på ett tidigare plan. Tyvärr är det ofta så vi fungerar – i många fall är det först när problem uppstår som vi verkligen tar tag i säkerheten ordentligt.
Tänk efter innan du installerar något
Till privatpersoner ger Andrei Sabelfeld rådet att använda sunt förnuft.
– Man bör tänka efter innan man installerar appar på sina enheter och läsa igenom villkoren ordentligt. Om en app för en ficklampa vill ha din platsinformation till exempel, då bör man fråga sig varför en sådan app behöver den informationen.
– Fundera helt enkelt ett varv till innan du installerar något!
Andrei Sabelfeld berättar om sin forskning (länk till YouTube)
Länkar för tips för din egen cybersäkerhet
https://ssd.eff.org
https://www.appcensus.io
Se även
Seminarium Navigera genom cybersäkerhetens landskap 11 oktober 2023
- Professor, Computing Science, Data- och informationsteknik