Det osynliga hotet mot demokratin

Demokratin är digital. Val, sjukvård, el, vatten, betalningssystem, kommunikation och tillgång till information hänger i dag på digitala system. Och digitala system kan hackas. Pontus Johnson nämner ett konkret exempel.

Under det amerikanska valet 2016 hackade rysk underrättelsetjänst sig in i Demokraternas partihögkvarter och läckte komprometterande mejl via Wikileaks vid exakt rätt tillfälle. Bolaget Cambridge Analytica använde Facebook för att utsätta tveksamma väljare för skrämselpropaganda. Ryssarna tog sig också in i väljardatabaser, register med uppgifter om vem som har rätt att rösta. Valet vanns med marginaler på några hundratusen röster i ett land på 350 miljoner invånare.

Det var ett val. Men det demokratin vilar på är mycket mer än valsedlar. Vad händer om hela infrastrukturen bakom sviktar? Vad händer i värsta fall?

- Det globala finansiella systemet är fullständigt digitaliserat. Vad händer om det kollapsar, om det plötsligt blir oklart vem som äger vilka värdepapper, vem som äger vilken mark? Elkraften styrs av datorsystem som kan hackas. Om elnätet stängs ner tar det inte lång tid innan folk börjar dö. Det skulle vara ett ragnarök-ögonblick för oss, säger Pontus Johnson.

Hotbilden

Säkerhetspolisen och MUST pekar regelbundet ut Ryssland, Kina och Iran som de mest hotfulla aktörerna mot Sverige. Ryssland vill destabilisera demokratiska system. Kina ägnar sig framför allt åt spionage. Iran övervakar i första hand sin opposition i exil.

Cyberkriminella kan också spela roll, inte sällan som staters förlängda arm. Och AI har på kort tid förändrat vad en angripare kan göra. Manipulerade AI-videor (deepfakes) av politiker och skräddarsydda nätfiskeattacker är redan verklighet. Det allra senaste: stora språkmodeller har blivit bättre än de flesta professionella hackare på att hitta och utnyttja säkerhetsluckor i programvara.

- De förmågor som Cambridge Analytica hade 2016 är ingenting jämfört med vad stora språkmodeller nu erbjuder. Möjligheterna att skräddarsy påverkanskampanjer mot specifika individer är en helt annan nivå, säger Pontus Johnson.

Undersöka det man fruktar

Pontus Johnsons forskning kretsar kring offensiv cybersäkerhet med artificiell intelligens och attacksimuleringar mot digitala tvillingar, virtuella kopior av datornätverk som utsätts för simulerade angrepp. Ungefär som krocktester på en datormodell av en bil i stället för en riktig prototyp.

På Cybercampus Sverige driver han dessutom KTH Hacking Lab, där studenter testar säkerheten i vardagsprodukter: bilar, bagageskannrar, barnklockor, dammsugare och elkraftutrustning.

- Vi hittar regelmässigt sårbarheter i många dussintals produkter. Det är utbildning, men också en samhällstjänst. Och om tillverkarna inte fixar det: konsumentupplysning.

Det öppna samhällets dilemma

Det är en fredag i april. Pontus Johnson är på väg in till Försvarets radioanstalt, FRA. I bilen resonerar han om var gränsen går för vad som är acceptabelt i ett demokratiskt samhälle.

FRA har två separata uppdrag, påpekar han. Det ena handlar om att stärka cybersäkerheten. Det andra är signalspaning och underrättelseinhämtning, och det är där debatten om personlig integritet uppstår. Men han lyfter en aspekt som lätt glöms bort.

- Om du är orolig för vad svenska eller amerikanska signalspaningsorgan vet om dig, är bra cybersäkerhet det bästa skyddet.

Att ett öppet samhälle är mer sårbart behöver alltså inte lösas genom att välja mellan säkerhet och frihet. Ofta pekar de åt samma håll, menar Pontus Johnson.

Ljuset i tunneln

Vi är på väg in i en mörk period, menar Pontus Johnson. AI sänker trösklarna för angripare och det kommer att märkas. Men AI kan också användas för att bygga säkrare system från grunden. En förmåga som ännu saknas är att AI kan hitta och utnyttja säkerhetsluckor, men är inte tillräckligt bra på att automatiskt laga dem.

- Det finns en trolig, positiv väg framåt. Men vi måste igenom en turbulent period först, och det kan handla om månader snarare än år.

Text: Hamid Ershad Sarabi ([email protected])