"Jag fick en religiös uppenbarelse av Basic"

Kommer problemen bli ännu värre i framtiden?

– Jag tycker att det är ganska allvarligt som det är redan i dag. För några år sedan var jag ute och missionerade mycket mot inställningen att alla säkerhetsfrågor löste sig bara man hade tillräckligt bra brandväggar. Det som angrips i dag är ju i hög utsträckning klientapplikationer, webbläsare, kontorsprogram, Java, Flash och liknande. Det är en kapprustning hela tiden. För varje hål som täpps till försöker någon hitta nya.

Men förhoppningsvis kommer det bli bättre. Det utvecklas ju hela tiden. Backar du bara tio år bakåt i tiden publicerades nya sårbarheter varje vecka. Även om det finns sårbarheter i dag också, finns det samtidigt en större medvetenhet från leverantörerna. Man tar det på större allvar.

Visst finns det fortfarande klåpare som skriver program, men man måste tänka på att de är människor, och människor gör fel ibland. Vi har byggt broar i tusentals år och bygger ganska bra broar i dag. Vi har programmerat datorer i knappt femtio år, och vi blir bättre och bättre på det.

Finns det några allvarliga brister eller feltänk du ofta stöter på hos organisationer?

– En sak som jag har reagerat på är när vi är ute och gör penetrationstester hos myndigheter och statliga organisationer. Efteråt går vi alltid igenom med teknikerna vilka sårbarheter som måste åtgärdas för att de inte ska gå att utnyttja. Då har det ofta hänt att teknikerna faktiskt varit medvetna om sårbarheterna men inte haft resurser att åtgärda dem. Ibland kan det saknas resurser och ibland kan de vara inlåsta i ett avtal som säger att systemen måste vara konfigurerade på ett visst sätt för att en leverantör vill ha det så.

En annan sak är att man ibland försöker lösa problem genom att följa en checklista där man bara vill bocka av ett antal punkter, i stället för att fokusera på det underliggande problemet som man vill hantera. Det kan bero på att man har vissa krav eller regleringar på att verksamheten ska skötas på ett visst sätt, vilket leder till att man försöker ändra verksamheten för att passa de kraven, i stället för att passa de aktuella problemen. Man kanske säger att ”vi ska ha långa lösenord, inte för att de ska vara svåra att knäcka, utan för att vi har bestämt att de ska ha ett visst antal tecken”. Det känns som att man ofta försöker hantera problemen på ett lite dumt sätt. Och det finns exempel på checklistor som innehåller rena tokigheter.

Har du något drömprojekt, något som du alltid sett fram emot att arbeta med?

– Just nu trivs jag väldigt bra där jag sitter. Jag tycker att jag jobbar med intressanta saker och kombinerar det med samhällsnytto-aspekten. Men även om vi gör en bra sak och har gjort många bra tidigare, så finns det alltid massor av saker på vår att göra-lista.

Att det är omväxlande jobb, med så många olika problem att ta sig an, är det jag uppskattar mest med mitt jobb. Och det finns alltid problem som känns lite för svåra för att kunna lösa, så man tvingas hela tiden testa sina begränsningar. På så sätt utvecklas man hela tiden.

Varför tror du att du blivit framgångsrik?

– Intresset. Mycket beror nog på att jag faktiskt tycker att det är väldigt roligt och därför lägger mycket tid med de här frågorna. Inte bara när jag sitter på mitt kontor. Jag läser på, skriver program och testar olika saker.

Vilka råd skulle du ge till den som vill lyckas i it-branschen?

– Vissa saker är ju så väldigt mycket lättare i dag än för tjugo år sedan. Då hade jag en dator hemma, men den var inte ansluten till någonting. I dag kan vem som helst ha ett eget labbnät i sin bärbara, och det tycker jag att man ska ha. Det gör det enkelt att testa och lära sig.

Har man ett intresse så löser det sig. Är man intresserad så lägger man ner tid, och lägger man ner tid så lär man sig. Så är det helt enkelt. Man ska vara glad om man får jobba med sin hobby.