Internetpionjären

En egensinnig kvinna bakom internets säkerhet

 Anne-Marie Eklund Löwinder är en av Sveriges absolut främsta IT-experter och enligt egen utsago en riktig nörd när det gäller hjärtefrågan – kryptering. Som kryptoofficer är hon en av världens sju viktigaste internetväktare. Två gångar årligen medverkar hon i en process där nya nycklar, under rigorös säkerhet, skapas för att skydda internets adressregister DNS i nätets rotzon (Not 1). Men framför allt har Eklund Löwinder i över 20 år slagits för ett demokratiskt, öppet och säkert nät. Sedan 2001 som säkerhetschef på Internetstiftelsen.

Läs nedan Anne-Marie Eklund Löwinders betraktelser över det nät hon kämpar för att beskydda.

 I slutet kan du se till vem hon överlämnar STAFETTEN!

Vad tycker du var det mest intressanta som hände i Sverige kring millennieskiftet?

”IT-kommissionen gjorde otroligt många saker under perioden kring 1999/2000. Bland annat försökte vi hjälpa myndigheter och företag att upphandla internettjänster. På den tiden hade organisationer och företag ingen riktig uppfattning om vad det var man köpte, vad som ingick och vad tjänsten skulle klara av. Det var få som kunde ställa krav utifrån sina behov. Vi skrev en generell kravspecifikation tillsammans med Statskontoret. Det var en stor aktivitet, som jag tyckte var viktig.

I 1999 lade IT-kommissionen fram sitt förslag om en framtidssäker IT-infrastruktur för Sverige. Vi föreslog att Sverige skulle bygga ett heltäckande fibernät. Ett redundant hönsnät och på det lägga ett myggnät där varje kommun skulle ansvara för att gräva ner fiber så att det slutligen täckte hela landet. Detta skulle ge operatörerna frihet att bygga med den teknik de ville. Det visade sig att vi var för tidigt ute, ingen förstod våra rekommendationer. Konsekvensen är att vi idag inte har den infrastruktur som vi kunnat ha haft om vi byggt ut. Den grundläggande infrastrukturen, d.v.s. kablar i marken, är idag inte tillräckliga för att säkra ett robust nät. Vi kommer få leva med avbrott just därför att vi inte har den redundans vi skulle behöva. Det tycker jag är en väldigt stor och olöst fråga. Vi kan inte luta oss tillbaka och tro att Sverige är färdigbyggt. Digitaliseringen genererar stora mängder trafik i nätet och vi behöver en robust och välfungerande infrastruktur så vi kan ta hand om den trafiken. För länge sedan var alla LAN-nätverk leverantörsspecifika och kunde inte prata med andra utanför det egna nätverket. Under 80-talet slog IP-protokollen igenom som gjorde att vi fick en gemensam kommunikationsinfrastruktur, det var ett väldigt genombrott.”

Vad behöver vi göra bättre?

”Vi behöver framför allt utöka kapaciteten, redundansen, dvs. att öppna för flera alternativa framdragningsvägar så att man inte hamnar i beroende av enstaka stråk. På IT-kommissionen hade vi ambitionen att alla grupper av fastigheter med fler än 50 hushåll skulle ha separat anslutning till kommunens båda fibercentra för att skapa en teknisk miljö där ett avbrott inte skulle få stora konsekvenser. Men då lyssnade ingen.”

 Vad hände med IT kring nyår 2000?

”Kring millennieskiftet var det en otrolig hype och en väldig hysteri kring det eventuella kaos som ett årtusendeskifte kunde innebära. Vi som satt i samma korridor som ”2000-delegationen” hade diskussionerna nära inpå oss, samtidigt som vi själva jobbade med internetrelaterade frågor. Experterna sa att ”det kommer inte hända någonting. Internet är byggt för att klara av sådana här saker.” Det många var rädda för var nog mest att kodningen av program inte hade blivit rätt, så att saker skulle sluta fungera. Plötsligen blev programmerare den mest eftertraktade kompetensen i hela världen. Även om inget hände ska vi inte underskatta oron. Det är svårt att i efterhand veta vad som hade hänt om ingen hade gjort något. Den frågan förblir obesvarad. Det är trots allt bättre att vara förberedd än att blott hålla tummarna.”

 Hur ser du på den så kallade IT-bubblan?

”Man kallar det för IT-bubblan men det var ju ingen IT-bubbla, det var bara ett antal unga IT-entreprenörer med bristfälliga affärsmodeller utan konsekvenstänk, även om det fanns några undantag. Det var väldigt omoget men samtidigt var optimismen fantastisk. Allt skulle man göra och allt gick att tjäna pengar på och den ena affärsidén var vildare än den andra. Vissa överlevde, andra inte. Många har lärt sig en läxa när det kraschade. Det finns gott om paralleller att finna i historien: börskraschen på Wall Street, eller Kreugerkraschen och ända tillbaka till barocktidens Tulpankrig, där värdet på tulpanlökar blåstes upp till orimliga proportioner för att senare störtdyka.”

 Vad tycker du är digitaliseringens största hot och utmaningar?

”Det går inte att sätta fingret på ett enskilt hot för det finns många samspelande faktorer man måste ta hänsyn till. Informationssäkerhet är uppbyggd av fyra hörnstenar: riktighet, tillgänglighet, konfidentialitet och spårbarhet. Beroende på vilken hörnsten som är viktigast är det olika vilket hotet är. Om du till exempel har något som alltid måste finnas nåbart så är tillgänglighet mest hotat. Just nu under pandemin är det en viktig fråga eftersom många jobbar hemifrån och kopplar upp sig mot företagets nätverk. Om största risken däremot är att något läcker ut är kraven på konfidentialitet viktig och då måste man skydda sig mot det. Man måste inventera vad man har som är skyddsvärt, för att kunna identifiera hot och därefter kunna bedöma risker och vad man ska vidta.

Sammanvägt är det största hotet idag att många inte till fullo har förstått hur mycket som är digitaliserat, men också att vi människor inte har någon riktig uppfattning om risk. Efter ett antal tusen år har vi lärt oss att ducka och springa iväg om någon kastar något på oss. Det är ungefär så långt mänskligheten har kommit när det gäller att förutse risk i ett längre perspektiv. Vi är usla på det. Därför behöver vi ha en metodik när det gäller internet och digitalisering och att mogna människor samlas och pratar. På digitaliseringsrådet släppte vi i november 2020 en skrift där vi går närmare in på dessa saker. (Not 2)

Vad menar du med att det saknas vettiga verktyg för riskanalys?

En stor skillnad från förr är att förr var det viktigt att hålla informationen innanför väggarna på organisationen och vidta åtgärder så att den inte kunde komma ut. Idag är det viktigt att informationen ska kunna spridas till alla som behöver det, till den enhet de behöver det vid den tidpunkt och till den plats där de behöver det. Det är ett helt annat synsätt. Att det är svårt att hantera säkerhetsklassad information är väl främst för att det saknas vettiga verktyg och tydliga vägledningar.

I vilka lager bör vi tänka säkerhet?

Vi människor litar på att internet finns där och fungerar, vi har ingen reservplan om BankID skulle gå ner under en längre tid eller om Swish skulle sluta fungera. Vi har gjort oss beroende av tjänster som om de skulle falla bort skulle medföra ganska allvarliga påfrestningar på samhället ifall det skulle pågå under en längre tid. Vi kommer inte att kunna förhindra att dåliga saker händer, det är vardagsmat med läckor och större avbrott. Vi använder också uppkopplade prylar hemma utan att ha en tanke på att vi ska tänka i termer av säkerhet. Nätet i sig har väldigt litet intelligens i sig. Det är i användningen och ändsystemet det mesta av säkerheten ska ligga. Det måste ställas krav på att man har säkerhet genom design/per default i de tjänster och produkter som utvecklas. Vi vet av erfarenhet att själva infrastrukturen är väldigt motståndskraftig och kan omdirigeras så att det finns ytterligare en väg. Men visst går det att attackera och att få internet lite på knä.”

 Du brinner för ett demokratiskt internet. Tror du vi kan fortsätta ha ett öppet nät?

”Jag hoppas Internet kan fortsätta vara en global företeelse. Vi är en för liten marknad för att själva kunna utveckla nya tjänster, det är i tjänstelagret innovationerna sker. Sen kan man ta avstånd från internet av politiska skäl men jag tror inte det håller i längden. Om till exempel en regressiv militärregering säger till om att stänga ner internet och går till sina internetleverantörer och hotar dem med vapen är det inte mycket de kan göra åt det förutom att lyda. Situationen hade varit samma även om det rört sig om elektricitet. Enligt tillägget i FN:s deklaration ska alla kunna hämta information och uttrycka sig fritt också via nätet. En del stater var emot det här, för vissa stater var det ett hot och dessutom har inte heller alla i världen tillgång till nätet. ”Går det att stänga av internet?”, var en fråga jag fick för en tid sedan. Nätet är byggt för att inte stängas av, men man kan begränsa invånares tillgång till tjänster på en mängd olika sätt. Censur, övervakning, och även genom att skruva på lagstiftningen. Det är svåra frågor och det kommer man inte åt med hjälp av teknik. Etiska frågor är också viktiga. Både Google och Facebook har medverkat till att filtrera innehåll för att man är mer sugen på att tjäna pengar än att ha en etisk värdighet. Precis som solen lyser på både de onda och de goda, kan internet användas av både goda och illasinnade krafter. Idag försöker brottslingar attackera internets infrastruktur.”

 Kommer du ihåg vad du själv gjorde nyårsafton millennieskiftet?

”Jag var cool och visste att det inte skulle hända något”, avslutar Anne-Marie Eklund Löwinder med ett skratt.

 Stafettfrågan

Anne-Marie Eklund Löwinder lämnar över Waystream-stafetten till Patrik Fältström, teknik- och säkerhetschef på Netnod och frågar honom:

”I en uppmärksammad artikel skriver Microsoft att de anser att Genèvekonventionerna inte täcker IT- och cyberområdet. De tycker det behövs den typen av dokument. Håller du med om att vi ska ha fler skrivningar som skyddar civila från statsstödda cyberattacker i fredstid?”

Läs Patrik Fältströms svar i nästa Waystream-stafetten.

Not 1: DNS, Domain Name System eller domännamnssystem, är enkelt uttryckt ett sätt att förenkla adressering i system som använder IP-adresser - till exempel internet. För en dator består en adress till en webbsida av ett IP-nummer, exempelvis 194.15.212.181. Eftersom det för oss människor är i det närmaste omöjligt att komma ihåg den typen av adresser använder vi namn i textformat. Därför behövs det ett system för att översätta det.

Not 2: https://digitaliseringsradet.se/media/1341/slutgiltig_digitaliseringsradet_rapport_radet_reflekterar.pdf

OBS! Den charmerande Filmen ”Nyckeln till internet” finns att se här:

https://www.internetmuseum.se/tidcslinjen/ny-film-tar-oss-in-i-internets-hjarta/