Knowits säkerhetsexpert tillika författaren Åsa Schwarz ger nu ut sin sjätte bok, De 7 nycklarna. Och för första gången utspelar sig handlingen på vad man kalla hemmaplan, det vill säga med it-säkerhet som huvudtema. I de tidigare böckerna har hon rört sig i andra världar, men i bok nummer sex är det en lika litterärt ny som yrkesmässigt bekant miljö.
– Jo, det här är den första som är en hackerthriller. Tidigare har det mest varit spänning och lite övernaturligt, säger hon och säger så här om varför det dröjt sex böcker innan it-säkerheten blev huvudtema.
Läs också: Svenskarna med nyckeln till internet
– Jag har inte haft någon bra story, och så har jag varit lite fast i en genre. Sedan har jag i och för sig skrivit på den här i fem år, varvat med småbarn och jobb. Redan första gången jag hörde om nycklarna ville jag skriva om det. Även om den delen kanske är något förenklad i boken. Förlaget strök 30 sidor eftersom för mycket detaljer gör att handlingen stannar upp.
De sju nycklarna som ger boken sin titel är nycklarna till det som kallas rotzonen för internet. Rotzonen signeras av sju it-profiler en gång i halvåret, så att alla ska veta att Internets adresser är korrekta. Svenska Ann-Marie Eklund Löwinder, säkerhetschef på Internetstiftelsen är en av de sju som varje halvår är med i signeringsceremonin.
– Det krävs inte bara sju nycklar, det är även fem olika säkerhetslager som man ska igenom. Det är en helt transparent ceremoni som filmas och sänds på nätet, säger Åsa Schwarz.
Och det är tydligt att Åsa Schwarz har hämtat inspiration till bokens huvudkaraktär från Ann-Marie Eklund Löwinder, men likväl som det finns likheter finns det skillnader.
– Min bok handlar om hennes roll som nyckelbärare. Huvudpersonen är säkerhetschef för Internetstiftelsen, men i boken är det en 39-årig småbarnsmamma i den rollen. Det är en actionthriller med en mamma i huvudrollen som har barn att ta hänsyn till. Boken börjar med att hon vaknar upp med en pistol mot huvudet och orden ”The key”. Barnen sover och mannen är bortrest, säger hon och fortsätter berätta om hur boken börjar:
– Den svenska säkerhetspolisen kan inte göra något eftersom man inte får lämna nyckeln dit, och hon är inte ensam om att bli utsatt. Alla sju nyckelbärare blir attackerade samtidigt runt om i världen. Några överlever, några inte.
Läs också: 9 goda råd för att ta fram en perfekt plan mot cyberattacker
Att komma över kontrollen av internet är så klart lockande. Och just tanken på vad som kan hända om vi inte kan lita på nätet är en viktig beståndsdel.
– NSA är intresserade, alla stormakter är intresserade, samtidigt har vi bruna underströmmar i Europa som också har intresse av det. Nycklarna är värda väldigt mycket på svarta marknaden och det finns många potentiella tjuvar inom både organiserad brottslighet och stater. Många tänker på en hacker som en 15-årig kille, men det här handlar mer om hackers som har växt upp, konstaterar Åsa Schwarz.
När nyckeln hamnar i orätta händer framkommer samhällets såbarhet, framför allt märks det vad som händer om internet inte finns.
– Nästan ingenting funkar i Sverige då. Man kan ta en så enkel sak som att producera en limpa. Alla delar i processen är it-beroende. Jäst som jäser är väl egentligen den enda delen som funkar. Vi är så beroende av nätet att samhället kraschar om vi inte har internet. Då funkar ingenting i vårt moderna samhälle. Det kommer inte finnas mat och inga transporter. SJ kanske kan köra så länge det finns el, men frågan är om ens elen finns?
Att visa på samhällets sårbarhet är en viktig del av boken, liksom frågan vad som händer om internet hamnar i händerna på någon annan.
– Vad händer om vi inte kan lita på internet längre? Man kan tänka sig att ett land tar över och stänger ner nätet och sedan när det funkar igen bara går ut med information man själv väljer.
Det som började som en hobby för Åsa Schwarz, att kombinera jobbet i it-branschen med författarkarriären, har nu pågått i nästan 15 år.
– Jag släppte första boken 2005, men började skriva två-tre år innan dess. Jag kände att jag jobbade för mycket och behövde en hobby, så jag gick en kvällskurs i deckarskrivande på Folkuniversitetet.
De böcker hon gett ut hittills är Och fjättra Lilith i kedjor, Stigma, Nefilim, En död ängel och Lust. Nefelim har översatts till 17 språk och är också den som sålt bäst.
Läs också: "Vi är 20 år efter"
Boken som kommer nu ligger henne dock extra varmt om hjärtat, eftersom hon brinner för it-säkerhetsfrågor. Och frågan är om tajmingen för lanseringen kunde varit bättre än efter turerna med Transportstyrelsen, där it-säkerhet, och de följder bristande sådan kan få, verkligen har blivit allmängods.
– Säkerhetsarbete har blivit uppmärksammat på ett helt annat sätt nu, säger Åsa Schwarz, som även passar på att utbilda läsarna lite i slutet av boken.
– I efterordet har jag skrivit en tiopunktslista riktad till politiker, med vad jag vill att Sverige gör i säkerhetsarbetet.
Nyfiken på Åsa Schwarz nya thriller? Du kan från i dag höra ljudboken som en följetong här på IDG.se! Första avsnittet hör du nedan.
Vill du läsa boken i pappersformat finns De 7 nycklarna att köpa här.
Med den här berättelsen vill jag visa hur sårbart vårt samhälle egentligen är. Tyvärr finns det mycket enklare sätt att angripa vår infrastruktur än via nycklarna till internet. De finns i verkligheten men säkerhetsmekanismerna och tekniken runt nycklarna är dock något tillrättalagda för att berättelsen ska bli bra.
Sanningen är att Sverige är ett mycket framgångsrikt land när det kommer till att digitalisera den offentliga sektorn och har, efter Silicon Valley, flest antal startups i världen. Men få pratar om vad det här innebär ur ett säkerhetsperspektiv och hur vi måste förändra vårt arbetssätt, vår utbildning och organisation för att hänga med i utvecklingen. Dessutom utsätts vi för omfattande propagandakampanjer från främmande makt. Speciellt i valtider.
Nu har vi ägnat några hundra sidor åt problemet med internets säkerhet. Men vad ska vi då göra åt säkerhetsproblematiken? Nedan är tio punkter som jag är övertygad om skulle göra vårt land lite säkrare, tryggare och robustare:
1. Våra politiker måste ta sin personliga cybersäkerhet på allvar
Vi har i USA sett hur dålig säkerhet kan påverka val. Låt det inte bli så i Sverige. Varje enskild politiker är ansvarig för att se till att de är tillräckligt kunniga och har en tillräckligt säker dator och telefon. Besitter man inte själv kompetensen, kan man ta hjälp. Den personen i partiet som har sämst säkerhet kommer sätta nivån för hela partiet eftersom mejl och dokument delas av många.
2. Vi borde lära oss digital säkerhet redan i grundskolan
I dag är nästan hela vårt digitala liv upphängt runt vårt mejlkonto som är kopplat till nästan alla tjänster vi använder. Ibland är lösenordet detsamma som när vi startade kontot tio år tidigare. Vi spenderar en stor del av vårt liv på nätet och i sociala nätverk. Vi betalar våra räkningar, vår skatt och får vår lön via nätet. Redan i grundskolan borde vi därför lära oss hur vi skapar ett säkert lösenord, att man inte ska klicka på vad som helst och att folk inte alltid är de som de utger sig för att vara.
3. Vi måste stoppa den snabba ökningen av it-bedrägerier
Mellan Q1 2015 och Q1 2016 dubblerades antalet it-bedrägerier och de står nu för 2 % av Sveriges BNP. Satsa pengar på att höja medvetenheten hos medborgarna och utbilda er poliser i att utreda it- brott. Det är lönsamt för landet.
4. Vi måste öka medvetenheten om hur propaganda fungerar
Vi befinner oss mitt i en propagandastorm där främmande makt försöker påverka vår valutgång. Professionella bloggfabriker spyr ut desinformation och artiklar sprids i sociala medier. Alla som röstar bör få information och kunskap om mekanismerna bakom desinformation och propaganda. Med fördel skulle även detta vara en del av den digitala säkerhetsutbildningen i skolan.
5. Vi måste aktivt säkra kompetens inom cybersäkerhet
Vi står inför en skenande kompetensbrist inom cybersäkerhet. Antalet experter ökar inte i samma takt som efterfrågan (+10–15 % om året). I förlängningen är detta ett av Sveriges största säkerhetsproblem. För få organisationer tar kostnaden eller har möjlighet att lära upp en person som kommer direkt från universitetet till att bli en cybersäkerhetsexpert. Vi måste lösa detta på nationell nivå.
6. Våra myndigheter och kommuner måste följas upp
Det finns ingen effektiv central uppföljning av cybersäkerhet i dag. Våra kommuner och landsting visar i en rad olika rapporter brister inom området. Det borde finnas en tydlig uppföljning och mätning av säkerheten, konsekvenser vid allvarliga brister och möjlighet till stöd för att åtgärda dem.
7. Vi måste ha en central och kraftfull incidenthantering
Utvecklingen av produkter, system och tjänster ökar exponentiellt samtidigt som beroenden mellan dem blir alltmer komplexa. Hur bra vi än blir på säkerhet, kommer det med jämna mellanrum att ske allvarliga incidenter. Och därför behöver vi även bli riktigt bra på att hantera dessa incidenter och på så sätt minska effekterna av dem markant. För att höja effektivitet och kompetens borde all incidenthantering ligga på ett ställe i stället för, som i dag, på era olika myndigheter med olika mandat. Det ger också en bra grogrund för att utbilda en ny generation av experter.
8. Vi måste ha en vettig avvägning mellan säkerhet och integritet
Det har varit en lång diskussion om datalagringsdirektiv kontra personlig integritet. Diskussionen har varit alldeles för svartvit. Först ska vi inte lagra någonting, sedan när folk börjar skrika terrorism ska vi logga allt. Personligen tycker jag att polisen vid allvarliga brott ska ha möjlighet att koppla en ip-adress till en fysisk person. Samtidigt ska varje lagring av personuppgifter vara välmotiverad. Den nya EU- lagstiftningen, GDPR, gör att personlig integritet är i särklass det område som organisationer kommer att investera mest pengar i, i närtid. Det är bra och det kommer även höja vårt samhälles robusthet generellt.
9. Produktbolagen måste ta ansvar för säkerheten i sina produkter
Tillverkarna av produkter som är uppkopplade mot nätet måste hållas ansvariga för säkerheten i sina produkter. Det är inte bara deras kunder som blir drabbade av den dåliga säkerheten, utan hela samhället kan utsättas för till exempel DDoS-attacker när processorkraften i de hackade produkterna används. Om vi har till exempel el-säkerhetsmärkningar (CE), varför har vi då inte it-säkerhetsmärkningar?
10. Vi behöver framtidssäkra vår infrastruktur
Vår nästa stora etiska och tekniska utmaning är artificiell intelligens som precis tagit ett stort utvecklingssteg framåt i och med något som kallas maskininlärning. Du kan numera lära upp datorer med hjälp av frågor och svar. Artificiell intelligens är inte längre science fiction utan på väg med stormsteg in i vår vardag, vilket innebär nya frågeställningar. Vem ska till exempel den självkörande bilen välja att köra på om den inte hinner bromsa, barnvagnen på trottoaren eller det gamla paret som går över gatan? Hur kan vi på ett optimalt och säkert sätt utnyttja våra vägar med självbärande bilar som kan köra med bara någon decimeters avstånd till varandra? Vad innebär detta för kommunala färdsätt?
