(TechWorld/Helsningfors) Den tredje och sista dagen under Cyber Security Nordics i Helsingfors gästas evenemanget av Rik Ferguson från Trend Micro. Han är så nära vi kommer en rockstjärna inom cybersäkerhetsbranschen. Dessutom ser han ut som en rockstjärna. En välkommen kontrast mot alla illasittande kostymer på scenen.

Rik Ferguson är inkallad för att gjuta skräck i publiken, och han lyckas åtminstone bättre än många andra olyckskorpar. Hans presentation går ut på att peka ut ett par tre teknikområden som kommer att förändra, till det sämre förstås, hur nya typer av attacker kan genomföras eller på nya sätt. Rik Ferguson är mest rädd för 5g och AI. 5g kommer medföra problem för att tekniken öppnar för nya attackvägar. Om vi har problem med uppkopplade (o)smarta saker idag, är det ingenting mot vad som väntar runt hörnet.

AI används inte särskilt mycket på angriparsidan, mer av dem som levererar skydd, av den enkla anledningen att det inte behövs. Hackare hackar för att tjäna pengar, och verksamheten behöver vara kostnadseffektiv, så varför krångla med AI när man bara behöver skicka ett mejl eller ”glömma” en usb-sticka i receptionen? Men det kan komma att ändras, och Rik Ferguson förutspår att ju bättre vi blir på att plocka ned de lågt hängande frukterna, desto mer kommer hackarna att börja använda nya tekniker som AI.

Känner ångest över alla faror som lurar

Olyckskorpar finns det för övrigt gott om här. Det är många it-säkerhetsföretag på plats, och alla vill ju sälja. Alltså gäller det att få potentiella kunder att känna ångest över alla faror som lurar där ute, kryddat med en matsked dåligt samvete över att man inte gör tillräckligt för att skydda den egna organisationen. Det gör egentligen ingen, men alla verkar tro att konkurrenten minsann håller garden uppe med både hängslen och livrem. Den egna organisationen ligger efter inom it-säkerhet och saknar därmed den konkurrensfördel man skulle behöva. För att inte tala om alla pengar man kommer förlora om man inte gör något åt situationen nu.

Samtidigt är det naturligtvis viktigt att vara på tårna med it-säkerheten, att göra det man behöver göra för att skydda sin organisation så gott som möjligt. Det råder ju verkligen ingen brist på hot. Men risken är också överhängande att folk blir utmattade av allt tal om hot och risker, hur man borde göra ditten eller datten, hur man borde tänka på än det ena än det andra, och hur man måste ha alla processer och personal på plats för att kunna möta hoten. Annars är det kört.

Rik Ferguson är som sagt rockstjärnan, men frågan är om han inte brädas av en guru. Alltså en äkta indisk guru, livs levande, iförd orange buddistmunk-utstyrsel med en filt över axeln. Fast han är i och för sig amerikan. His Holiness A.V. Bhakti Vidya Purna Swami hette tidigare Alan Ross Wexler i den dimension du och jag rör oss i. Swami är här för att prata om it-säkerhet och ledarskap, men tar lika mycket upp filosofiska tankar kring människans relation med maskiner och det ”mindset” dessa relationer skapar.

Swami, som bara äger en dum telefon, tar AI som ett exempel. AI betyder ju en maskin som ”intellektuellt” kan agera som vore den en människa, helst så bra att vi inte kan märka skillnaden. Och där är vi ju knappast idag. Men det är lätt att glömma att maskiner bara är död materia, och när vi interagerar med en maskin så interagerar vi egentligen med människor, det vill säga det är människor som skapar koden som gör att maskinen gör det den gör. Det gäller även den kod som gör att maskinen kan skapa egen kod.

Det är alltid människor som ligger bakom maskinerna

Swami tror inte en sekund på de skräckscenarier som utmålar en framtid där AI-maskiner tar över världen. Det tror förresten inte Rik Ferguson heller. Det kommer aldrig hända, just därför att maskiner är och förblir död materia som inte kan göra annat än det koden säger att de ska göra. Om en autonom krigsrobot dödar människor är det för att människor kodat den att göra så, inte för att den ”lever” eller ”tänker” eller av någon esoterisk anledning kommit på att den hatar människor. Död materia saknar medvetande, vilja och syfte, och vi får inte glömma att det alltid är människor som ligger bakom maskinerna och deras ”agerande”.

Det är faktiskt lätt att glömma att vi har att göra med maskiner, alltså död materia. Och här ligger väl, tänker jag, grundproblemet med all it-säkerhet. Det vore ju enkelt om vi kunde resonera med maskinen och få den att endast exekvera kod som vi vill att den ska exekvera och se upp med allt annat. Men det går ju förstås inte, alltså kör den all kod, även sådan som förintar dess egen ”existens”.

Att hacka är ju i grund och botten att få en processor att köra kod ägaren av maskinen inte vill att den ska köra. Allt annat runtomikring är bara metoder för att komma åt processorn. En maskin är liksom bortom dum och det går inte att maskinellt och automatiserat avgöra om ett stycke kod är skadlig eller inte. Det går inte att i grund och botten att autentisera kod, och det som är skadlig kod i ett sammanhang eller för en viss användare, är nödvändig och bra för en annan.

Vi måste alltså lägga på lager på lager av skydd för att förhindra maskinen att köra oönskad kod. Skydden behövs förvisso, de försvårar och därmed fördyrar för angriparen, men problemet är att dessa skydd består av, japp, kod, och koden som ska skydda oss kör på, just det, en maskin. Tillbaka till ruta ett.

Läs också:
Mikko Hyppönen: Smarta saker är det nya digitala asbest
”Vad är it-säkerhet – att köpa en produkt eller att se över processerna?”