Hur kom det sig att du valde att skriva en bok om just digitaliseringen och dess sårbarheten?
– Jag har arbetat med IT sedan 1995 och IT-säkerhet har alltid varit en del av mina olika yrkesroller. Sedan 2015 arbetar jag med informationssäkerhet på heltid och jag oroas över utvecklingen. Alla företag i vår del av världen är beroende av IT-system på ett eller annat sätt och det går inte längre att driva ett företag utan datorer. Det är dessutom svårt, för att inte säga omöjligt, att som privatperson klara av att leva i det moderna samhället utan en dator, mobiltelefon eller surfplatta. Digitaliseringen fortsätter dessutom och allt som kan kopplas upp kommer att kopplas upp, det är numera en grundläggande drivkraft hos både företag och samhället. Beroendet av digitala tjänster fortsätter med andra ord att öka, samtidigt som det satsas för lite på säkerhet och vi har en hel del utmaningar med att säkerhet inte är inbyggt i utvecklingen av nya tjänster.

Samtidigt finns det en naivitet kring tekniken och en tilltro till att leverantörerna av IT-tjänster löser säkerheten. Det kan man inte lita på, säkerhet angår alla och alla företag måste själva ställa krav. Alla kan alltid drabbas av att bli hackade, men skillnaden består i hur snabbt man kan komma tillbaka, hur hårt man drabbas och hur man undviker att incidenten drar ut på tiden.
Den största utmaningen har vi ännu inte sett effekterna av. Konstgjord intelligens har börjat användas i attacker och bedrägerier, som exempelvis Deepfake-incidenten med Alexei Navalnys ”stabschef”, men AI som används för bedrägerier eller angrepp är bara en del av problemet. Det riktigt stora problemet med AI kommer när generell AI når ett självförbättrande stadium, något jag tror kan förgöra mänskligheten. Den som tror att AI kan kontrolleras kan bara se hur många säkerhetsuppdateringar som släpps till valfritt operativsystem. Vilka människor kan ha koll på miljoner rader kod?
Det kanske låter som att jag målar upp en svart framtid, men det är inte vad det handlar om. Jag vill sätta fokus på säkerhet och se till att säkerhet får större prioritet. Just därför var det också intressant att skriva en skönlitterär bok, som ställer lite intressanta frågor samtidigt som det är lättsmält underhållning. Måste vi hela tiden vara uppkopplade, och vad händer om vi inte längre kan nå våra IT-system. Vilka risker finns när vi är så beroende av den digitala tekniken att vi inte längre kan handla om IT-systemen stängs ner, eller köpa el eller bränsle?
Den mest intressanta frågan i boken är dock vad som händer när en konstgjord intelligens vaknar till liv och når den så kallade singulariteten.

Kan du berätta lite om hur du gick tillväga när du gjorde din research?
– Researchen till Svart Kod pågick under lång tid, redan innan jag började skriva på den här berättelsen. Förutom att bygga boken på mina egna kunskaper om IT-säkerhet och cyberhot läste jag in mig extra mycket på konstgjord intelligens. De främsta AI-forskarna (som exempelvis Kurtzweil) ser möjligheter medan jag ser hot. Det är lite den sortens cynism man drabbas av när man jobbar med säkerhet, men det är sund skepticism som skapar bra säkerhet. En intressant sidoaspekt är att alla hack som genomförs i berättelsen går att göra på riktigt, möjligtvis med viss modifikation. På så sätt är boken indirekt en manual för hur man ska skydda sig mot den typen av hack.
Vi hade i veckan ett tillslag mot mjukvaruleverantören av Coops kassasystem som drabbade dem hårt – samtidigt visar mätningar att Sverige inte hamnar speciellt högt upp på en global lista över länder och deras hantering av cybersäkerhet. Vart ligger problemet enligt dig? Vad är det vi måste förändra/förbättra?
– Det är flera saker som behöver förbättras. Generellt sett behöver alla sätta säkerhet ännu högre på agendan. Jag skulle vilja gå så långt som att säga att säkerhetsfrågorna är de första man ska ställa sig. I slutänden handlar det om riskaptit förstås, men det finns en sorts grundmurad naivitet i Sverige (och många andra länder) där vi litar för mycket på tekniken. Jag tror också att det många gånger handlar om att det är ”någon annan” som ska lösa cybersäkerheten. I slutänden är det dock styrelsen och vd i företagen som är ansvariga, och i samhället är det regeringen. Ledningen, oavsett om det är i ett företag eller i samhället, måste vara utbildade nog inom säkerhet för att kunna ställa rätt frågor och rätt krav. Exempel på sådana frågor är ”vad händer om vi drabbas av ett angrepp”, ”kan vi återställa systemen och hur snabbt går det” och ”vad gör vi under tiden återställningen pågår”. Det har länge sagts i många ledningsgrupper att cybersäkerhet är viktigt, men det räcker inte att säga det, ledningen måste andas cybersäkerhet i kravställningen på verksamheten. De får inte lita på att tekniken är säker, de måste förvissa sig om att så är fallet och att återhämtningsförmågorna finns, fungerar och testas regelbundet.
Man ska också komma ihåg att det är rörliga mål vi arbetar med. Just ransomware har funnits ett tag och många företag har utvecklat bra skydd, men också framför allt bra möjligheter att snabbt återställa IT-infrastruktur. Men när företagen blir bra på snabba återställningar, som gör det ointressant att betala lösensummor eftersom man kan komma tillbaka till normal drift på kort tid, börjar motståndarsidan istället ladda ner information. De hotar sedan att publicera informationen om man inte betalar, och då hjälper inga återställningsrutiner. Det finns dock skydd även mot den sortens attack, som att kryptera känslig information.
Filar du redan nu på en uppföljning till Svart kod?
– Ja, den håller på att ta form nu under sommaren och skrivs under hösten.