Denna artikel publicerades ursprungligen i Aktuell Säkerhet nr 2, 2021
När Marcus Murray var tio år packade han vykort för att köpa sin första dator. Senare hamnade han tidigt i säkerhetssammanhang genom bland annat militärtjänst som kustjägare och extrajobb som dörrvakt.
– Så när jag inledde min IT-karriär leddes jag snabbt in på säkerhetsspåret. Håll kurser i hacking och sådant för tjugo år sedan.
Hur mycket har det förändrats?
– Hackingen har förändrats mycket, men vissa saker är fortfarande skrämmande lika. Då visade vi vad som skulle kunna hända, och nu händer det. Ondskan har mognat.
Har du egna hackerskelett i garderoben?
– Nej. Jag vet ju att andra organisationer rekryterar gamla hackers, men vi har en annan inställning. Vi jobbar med känsliga saker och vill ha personer med etik, moral och karaktär – vi har rigorösa granskningar och krav på hög moralisk kompass. Det är ett stort ansvar att jobba med de här frågorna. ”De här frågorna” är alltså den ITsäkerhet det ställs nya och hårdare krav på dagligen, och som Marcus Murray också jobbar med genom sitt företag Truesec sedan 2005.
– Jag jobbade på Sveriges då största IT-företag Nexus och övertalade chefens chef att hoppa av och starta bolag med mig. Det började som ett skämt men en dag sa han att ”det låter spännande, vi gör det”.
Ni övervakar över 500 000 system – hur många är ni egentligen?
– Vi är i dag 150 personer men har en kraftig tillv xt med n stan 50 procent per år. Det är en enorm efterfrågan och vi växer med problemet.
Han säger att det finns en brist på marknaden, men att de har tur med att många duktiga graviterar mot dem.
Kunde du förutspå att det skulle bli så här, eller har du förvånats över något?
– Det är lite roligt, jag stod bland dignitärer som byggt svenska internet på ett frukostseminarium för 15 år sedan där de sa att allt på internet är krypterat. Jag sa i min sektion att ja kanske det, men allt går också att hacka. ”Varför har de inte gjort det då?”, frågade han och då sa jag att ondskan inte hade mognat än. Jag kände att det skulle komma att bli ett större problem, och nu har allt av värde flyttat in i datorn – plånboken, de privata dokumenten, företagshemligheterna … Det är klart att tjuvarna flyttar efter.
Det cirkulerar siffror om att 80 procent av alla företag kan vara drabbade av cyberattacker, och Marcus Murray säger att problemet verkligen är mycket större än man kan tänka sig. Just nu utreder de tre stora incidenter och i fjol gjorde de 40 stora intrångsutredningar.
– Och det är bara vi. Vi ser varje dag försök med skadlig kod mot de företag vi jobbar med och det räcker ju med att en lyckas ta sig in.
Vanligast är ransomware, där angripare hackar sig in och krypterar arbetsstationer och servrar, och kräver betalt för att lämna ut nyckeln. De har blivit mer sofistikerade, beräknar företagens sårbarhet och följer börslistorna för att se var pengarna finns.
Det andra är att stjäla känslig information och hota att släppa den.
– Den hårdast drabbade i våra utredningar betalade 300 miljoner kronor. Men vi rekommenderar aldrig att betala angriparna. När det gäller ransomattacker kan vi återställa utan att betala, men när det gäller dataläckage får de leva med osäkerheten för alltid eftersom det per definition inte gör att vara säker på att de inte släpper informationen ändå.
Marcus Murray säger att de som ändå betalar bedömer att det är det bästa alternativet för stunden, eftersom dataläckage kan ge böteskonsekvenser utöver renomméförlusten och förlusten av själva datan, om företagshemligheterna läcker ut. Det är också därför mörkertalet beräknas vara så stort.
– Av de 40 incidenterna vi utredde förra året publicerades tre offentligt. 37 gjorde det inte. Informationsstöld sker också på statsfinansierad nivå, där underrättelseinhämtning kring militära mål bara utgör en av flera delar. Det kan lika väl handla om konkurrensfördelar, som i att Kina är väldigt intresserade av medicinteknik, eller som i fallet där tre nordkoreaner nu åtalas i USA för att ha försökt stjäla 1,3 miljarder dollar till diktaturen genom dataintrång runtom i världen.
I juni spådde ni att angreppen under 2020 skulle kosta runt 20 miljarder kronor. Fick ni rätt?
– De kostade mer än så och innefattar inte kostnaden för skyddsåtgärder. Det finns olika syn på de globala kostnaderna men en beprövad tes är att den totala kostnaden för alla dataintrång i år kommer att överstiga kostnaderna av all droghandel i världen. Det vill säga över 6 biljoner dollar. Det är en brytpunkt.
Du har sagt att Sverige är extra hårt drabbat. Varför?
– Sverige är en perfekt storm. Hög IT-adoption, förhållandevis tidigt digitaliserade, en viss godtrogenhet i vår historia där vi sluppit krig, korruption och storskalig kriminalitet, hög samhällsmoral med högt förtroende för grannar och politiker … På så sätt är vi ett tacksamt mål. Dessutom är vi ett informationssamhälle med forskningsintensiva globala industrier som har höga värden, en intellektuell kraft som är värdefull för angripare.
Marcus Murray vill se ett globalt samarbete för att komma åt cyberkriminaliteten, eftersom svenska myndigheter knappast kan göra husrannsakan hos någon i exempelvis Ukraina vars attack studsat mellan länder innan den nått oss.
– Det krävs ett helt annat samarbete. Det är för lätt att komma undan i dag, det måste finnas konsekvenser och risk att åka i fängelse. Vi måste sätta upp globala mål för att lagföra de kriminella. Om attackerna är statsfinansierade får man jobba med sanktioner.
Hur skulle du vilja att skyddsmekanismerna ser ut?
– I dag går det att köpa bra säkerhet, men marknaden är omogen och företagen ofta inte särskilt kompetenta upphandlare utan går på säljare som säger att de kan lösa allt och ger falsk trygghet. Även i vår bransch finns det frustrerande nog aktörer som är mer fokuserade på att sälja dyra produkter än på att skydda och hjälpa. Det gäller att hitta företag som har historiken och kompetensen.
Vad tror du om att värnplikt för cybersoldater i Enköping?
– Vi vet att det kommer att bli mer sådant, det ökar ganska kraftigt. Sådana förmågor har funnits i många år till exempel hos Must eller FRA men det måste utökas hela tiden.
Det finns intressen som tycker att val kan skötas elektroniskt för att få fler att rösta. I ljuset av cyberhoten känns det som ett osäkert steg, men Marcus Murray ser inte varför det inte skulle fungera, utöver faktumet att folket inte är moget för det.
– Jag är övertygad om att det skulle gå att införa tekniken – varför inte, vi köper hus digitalt, gör bankärenden, har Bank-id för identifikation. Men det krävs att medborgarna utgörs av en IT-kunnig generation som inte låter sig luras av om n gon annan försöker påverka. De unga skulle klara det, men de äldre kommer från en verklighet där man litade på människor. Det är något vackert med det, men också sårbart.
Har du några förutspåelser om vad som komma kan?
– Ja, tyvärr. Precis som kriminella ibland är beredda att ta människoliv i fysiska sammanhang kommer vi att se fler personskador på grund av IT i framtiden. Det är en ganska otrevlig prediction men relevant i och med att IT hamnar allt närmare oss.
Självkörande farkoster, helt datoriserade elnät, man blandar mediciner med teknik i dag. Vi kommer också att se större attacker genom molnutvecklingen dit alltfler företag ansluter sig.
Så jag bör flytta ut i skogen med en get?
– Hehe. Jag tror att vi kommer se mer av en motreaktion också. Människor söker sig ut i naturen och köper hus i skärgården och gör yoga och äter ekomat. Vi söker efter något vi lämnat ifrån oss.