Interview: Den finske sikkerhedsforsker Mikko Hyppönen er meget engageret i det arbejde, der sætter fokus på regerings-sponsoreret spionage samt overvågning af borgere og brugere.
For fem år siden var han således en af hovedmændene i afsløringen af, at det var den amerikanske regering i samarbejde med Israel, der stod bag den berygtede Stuxnet-maleware.
Stuxnet var en regeringsproduceret malware-kode fremstillet til at angribe PLC-enhederne i et iransk atomkraftværk.
Fjendebillederne er stadig tegnet hårdt op, men der er sket en helt anden udvikling i de regeringsudviklede programmer siden disse opdagelser.
For fem år siden var du meget aktiv i forbindelse med opklaringen af, hvad Stuxnet var og hvem, der stod bag koden. Hvordan ser regeringsovervågningen ud i dag? Er der nye tendenser eller teknologier i spil?
"Stuxnet er fortsat en game changer. Der er tiden før og efter Stuxnet. Koden åbnede vores øjne for, hvor avanceret regeringssponseret software er. Da vi opdagede koden, opdagede vi også, at stater koder offensive cyber-mekanismer til spionage og overvågning," fortæller sikkerhedsforsker Mikko Hyppönen fra it-sikkerhedsselskabet F-Secure.
"Den åbnede sikkerhedsfolkenes øjne for, hvad vi skulle se efter. Efter Stuxnet, har vi set en hel stribe af meget avanceret malware, der er udviklet af regeringer."
Stuxnet er helt speciel
Han mener dog stadig, at Stuxnet var noget helt specielt.
"Den var udviklet til at gøre fysisk skade på en konkret installation i Iran. Det har vi ikke set siden. Vi har ikke opdaget nye malware-typer, der skal ødelægge fysiske ting med en enkelt undtagelse i form af Havex, som vi mener, er udviklet af russerne, og som har ramt energisektoren i lande herunder Polen, Ukraine og Norge."
Det betyder dog ikke, at den regeringssponserede kode er forsvundet - tvært i mod.
"Vi møder masser af malware, der er leder efter oplysninger om eksempelvis industriproduktion, men der er intet i koden, der er destruktivt og går direkte efter at ødelægge installationer, som det var tilfældet med Stuxnet."
Hvad formålet er med denne form for informationsindsamling, kan vi kun gætte os til, men spionage er en kendt disciplin, der har stået på i tusindvis af år.
"Nu er spionage flyttet til den digitale platform, hvilket er ganske naturligt, fordi den er så effektiv til at samle informationer på."
Så der er ingen ny teknikker eller trends fra regeringernes kodefolk?
"Det vi primært støder på, er regeringssponseret malware til spionage eksempelvis via APT-angreb. Men den udvikling, man kunne frygte i efter Stuxnet med ødelæggende programmer, ser vi heldigvis ikke lige nu."
Gem nu ordet cyberkrig
Er der fløjtet til halvleg i cyberkrigen?
"Det er forkert at tale om en cyberkrig, som medierne ofte kalder det. Der er tale om spionage, og det er ikke krig. Vi skal ikke kalde det for cyberkrig, for så kommer vi til at mangle et ord, når en rigtig cyberkrig bryder ud. Stuxnet var en lille forsmag, men USA og Iran var ikke i krig, så det var nærmere cyber-sabotage."
Du fortæller, at regeringerne overvåger både borgere og industri i stor stil. Er det et endegyldigt farvel til privacy på nettet?
"Spionage skal du kun bekymre dig om, hvis du er politiker eller efterretningstjeneste. Det handler ikke direkte om privacy. Men det er ikke regeringerne, der er den største trussel mod dit privatliv på nettet," fortæller han, og fortsætter:
"De firmaer vi alle kender, og elsker, som Google, Twitter eller Facebook er langt mere effektive i deres indsamling af data om dig end regeringerne."
Disse firmaers tjener pengene på at indsamle data om brugerne til eksempelvis målrettede reklamer.
Jo mere præcist kundegruppen beskrives, jo højere betaling kan inddrives. Den forretningsmodel giver naturligvis incitament til at vide alt om alle.
"Paradoksalt nok er det brugerne, der skaber alt indholdet samtidig med, at de skal levere alle deres private oplysninger til eksempelvis Facebook eller Twitter. Firmaerne er enormt værdifulde, mens dem, der leverer indholdet, ikke får en krone, men samtidig strippes for data og privatliv."
Og alt er lovligt, fordi vi har klikket OK til betingelserne til at bruge programmet, nævner han.
Et stort digitalt eksperiment
Kommer vi til at se en revolution fra brugere, der er trætte af at blive udnyttet på alle leder og kanter?
"Nej, det gør vi ikke. Brugerne har tabt krigen om privatlivet."
Så det er bare ærgerligt?
"Kernen i problemet er, at vi har en generation af internetbrugere, der antager, at alt på nettet ikke betales med penge. Det er umuligt at vende den tankegang igen. Hovedparten af forbrugerne vil altid vælge den tjeneste, der er gratis. Den gruppe, der vælger at betale for eksempelvis Netflix bliver så i øvrigt også strippet for personlige oplysninger, så det er faktisk en loose-loose-situation."
"Er NSA ligefrem blevet overhalet indenom af de private firmaer, der indsamler oplysninger om brugerne?
"Ja. Helt sikkert."
Har det nogen konsekvenser, at private firmaer ved alt om os?
"Det er et globalt eksperiment, hvor ingen kender konsekvenserne. Ingen aner hvad, der kommer til at ske. Jeg ville ønske, at services på nettet kunne betales med penge i stedet for data. Det ville give brugerne et reelt valg."
