Prenumerera på Kollegas nyhetsbrev
Är du medlem i Unionen? Vill du få alla våra nyheter, tips och granskningar direkt i din inkorg?
Enkelt! Anmäl dig via länken
Fler och mer avancerade brott via nätet
Det globala virusdådet mot myndigheter och företag nyligen är ett tidens tecken: Kriminella lägger ner vapnen, för att i stället jobba virtuellt. Med medvetenhet och bra IT-tekniker kommer man långt för att skydda sig. Och med lite hjälp från en tonårig datanörd en bra bit till.
Varje år utsätts tusentals svenska företag och privatpersoner för olika former av IT-brott. Det handlar om regelrätta hackerattacker, om kidnappade datorer, om mejl med falska avsändare, om virus, trojaner och överbelastningsattacker.
I bästa fall innebär intrånget att datorn inte fungerar som den ska under en period – i sämsta fall att företaget förlorar pengar, ibland väldigt mycket. Ingen vet exakt hur omfattande brottsligheten är, men det handlar om en global verksamhet som omsätter miljarder varje år.
Fredagen den 12 maj utsattes hundratusentals datorer i mer än hundra länder, däribland Sverige, för världens hittills största virusattack. Myndigheter och företag fick sina datafiler krypterade genom utpressningsviruset Wannacry. Personerna bakom attacken krävde sedan mellan 300 och 600 dollar för att låsa upp datorerna.
Läs mer: Allt du behöver veta om kryptering
Viruset – som riktades mot operativsystemet Windows – stoppades ganska snart, men flera experter varnar för att det kan blomma upp igen och uppmanar alla att uppdatera Windows. Det är oklart vilka som låg bakom attacken, men hackarna tros ha utnyttjat en sårbarhet som USA:s underrättelseorgan NSA hittat.
Förr hade vi inte mycket tillgångar i datorn, i dag har vi nästan allt där – pengar och hemligheter
Myndigheten för samhällsskydd och beredskap, MSB, uppmanar alla som drabbats att inte betala någon lösensumma. Dels för att pengarna kan användas vid nya attacker, dels för att det inte finns garantier för att filerna blir upplåsta.
Oftast kommer angreppen mot svenska företag från två håll, enligt Marcus Murray, IT-säkerhetschef på Truesec. Dels statsfinansierade aktörer som via industrispionage vill komma över exempelvis forskningsresultat som landet kan ha nytta av, dels organiserad brottslighet. Kriminella kan till exempel kryptera ett företags hårddiskar med hjälp av så kallad ransomware och sedan kräva pengar för att ta bort krypteringen.
– Det är en extremt lönsam verksamhet. I ett fall har utpressning gett 235 miljoner dollar. Med sådana resurser kan brottslingarna anställa folk att använda i nästa utpressningsvåg, säger han.
En annan variant är vd-bluffar. Bedragarna skickar mejl från en e-postadress som liknar vd:ns e-postadress och ber ekonomiavdelningen att betala en faktura.
Det finns en del att göra för att skydda sig. Man kan anlita ett säkerhetsföretag för att göra regelbundna intrångstester, tekniker försöker då ta sig in i företagets system för att upptäcka svagheter.
– IT-säkerheten är en avspegling av säkerheten i den fysiska världen. Det handlar om att ha ett bra skalskydd, att upptäcka angrepp och att ha en plan när det väl smäller. I dag måste vi anta att någon klarar att ta sig förbi staketet, säger Marcus Murray.
Skumma mejl med skadlig kod var länge just skumma – men nu är de ofta väldigt trovärdiga, utan stavfel och med vad som verkar vara fullt rimliga bilagor.
– Både företaget och den anställde har ett ansvar att skydda sig mot IT-brottslighet. Företaget har ansvar för att ta fram en bra policy kring IT-säkerhet och den anställde har ansvar att verkligen följa policyn. Man ska vara lagom paranoid: kritisk mot de mejl man får, kritisk till vad man stoppar in i datorn. Och tänka på vilka sajter man besöker.
Hur bra är våra företag på IT-säkerhet?
– De flesta är bra jämfört med övriga världen, men inte tillräckligt bra. Vi har hittills gjort tusen intrångstester och nästan alltid tagit oss in. Främsta anledningen är att många företag har byggt upp heterogena IT-miljöer under lång tid. Det innebär att de har system uppbyggda utan tanke på säkerheten. Nystartade företag, med homogena system, har lättare att hålla god säkerhet.
Utöver intrångstester, en kompetent IT-avdelning och vaksamma medarbetare finns ytterligare en åtgärd att ta till: bug bounty-program. Det innebär att företag belönar hackare som upptäcker och rapporterar en säkerhetsbrist.
En av Sveriges mest kända buggletare är Linus Särud. Han var 13 år när han upptäckte en säkerhetsbrist hos Google och fick 20 000 kronor för besväret. I dag är han 17 och kombinerar sina gymnasiestudier med IT-säkerhetsarbete för Detectify.
Den som har möjlighet att sälja till företaget får chansen att känna sig moralisk. Det lockar till sig säkerhetsnördar som inte vill ha ett 9–5-jobb
Hittills har bug bounty-program främst använts av internationella teknikföretag som Google, Facebook, Microsoft och Paypal, men Linus Särud är övertygad om att de blir allt vanligare även bland svenska företag:
– Den som hittar en säkerhetslucka står i valet mellan att sälja informationen på den svarta marknaden och att sälja den till företaget. Den som har möjlighet att sälja till företaget får chansen att känna sig moralisk. Det lockar till sig säkerhetsnördar som inte vill ha ett 9–5-jobb.
Redan i dag har Spotify, Mobilt bank-id och Swedbank bug bounty-program. Jan Fecko, IT-ansvarig på Swedbank, vill inte säga hur mycket pengar banken betalar.
– På vår hemsida kan man rapportera avvikelser och få bankens uppskattning för det. Det vore dumt av oss att inte använda oss av den kompetensen. Inga företag är säkra till 100 procent.
Varför ger ni inte rejält betalt?
– För att vi inte vill hamna i ett utpressningsläge.
Pengar behöver heller inte alltid vara drivkraften, enligt Linus Särud.
– En snickare som ser en lös spik på en brygga kan inte låta bli att slå den, trots att han inte får betalt. Om jag ser en olåst dörr är det naturligt att säga till om det.
Flera företag publicerar dessutom namn på dem som hjälpt dem att upptäcka säkerhetsbrister. Det ger bekräftelse, menar Linus Särud. Spotify har en lista med 34 namn på sin hemsida som de offentligt vill tacka.
Hur framtidens hot ser ut vet ingen, skurkarnas metoder blir alltmer avancerade.
– För 20 år sedan hade vi inte särskilt mycket tillgångar i datorn, i dag har vi nästan allt där – pengar och hemligheter. Och den kriminella världen skaffar sig IT-kompetens, säger Marcus Murray.
Om nätskurkarna vinner går företagen i konkurs. Därför, menar han, kommer de att lägga alltmer resurser på IT-säkerheten.
Foto: Fredrik Stehn
VAR MISSTÄNKSAM
➧ Anlita ett säkerhetsföretag. IT-experter kan exempelvis hjälpa till med att rensa datorer på virus, skapa brandväggar, uppdatera virusprogram och göra intrångstester.
➧ Använd olika lösenord. Om hackare kommer över det lösenord du använder i till exempelvis mejlen, kan de försöka använda det på andra ställen som kräver lösenord. Om du då använder samma lösenord till jobbdatorn och när du e-handlar kan du få problem.
➧ Följ IT-policyn. Alla företag bör ha en sådan som bland annat anger regler för säkerhet och lagring. Det kan till exempel handla om var företagets data ska lagras, hur antivirusprogrammet ska användas och hur mobila enheter ska hanteras.
➧ Var misstänksam. Öppna inte bilagor och klicka inte på länkar om du inte är helt säker på varifrån de kommer. Dubbelkolla fakturor.
Bläddra i senaste numret av våra e-tidningar
Kontorsbåset som läser av hur du mår
Ljudisolerade mötesbås är vanliga på moderna kontor. Nu har företaget bakom det mest populära båset testat teknik som mäter användarens puls, skratt och känslor. När Kollega börjar ställa frågor försvinner informationen från bolagets hemsida.
Artikeln sammanfattad:
Framerys nya teknik
Företaget Framery har utvecklat prototyper av ljudisolerade mötesbås som kan mäta användarens puls och skratt för att skapa ett välmåendindex.
EU-förbud
EU har förbjudit emotionell AI på arbetsplatser på grund av integritetsproblem och bristande vetenskapligt underlag.
Projektets avslut
Framery avslutade sitt projekt "Pulse" efter EU-parlamentets beslut, men ser potential för tekniken inom sjukvård och konsumentprodukter.
Den här sammanfattningen är gjord med hjälp av AI-verktyg och har granskats av Kollegas webbredaktör. Kollegas AI-policy hittar du här.
Det kommer ett mejl till redaktionen. Rubriken lyder: ”AI-kontorspoddar ersätter mötesrum”. Avsändare är det finska bolaget Framery. De ligger bakom en marknadsledande variant av de ljudisolerade mötesbås som har exploderat i popularitet de senaste åren. Båsen är gjorda för att anställda i öppna kontorslandskap ska kunna ha telefon- och videomöten i fred, bland annat. Framery har sålt över 90.000 exemplar till företag som H&M, Astra Zeneca och Microsoft.
Nu vill de visa upp något nytt. Bolagets presskontakt skriver att de har prototypmodeller som kan mäta människors skratt. ”De flesta företag gör ju medarbetarundersökningar någon gång per år men med emotionell AI kan man mycket oftare och löpande få input på medarbetarnas hälsa”, slår han fast.
Emotionell AI förbjuds på jobbet
Kollega har tidigare rapporterat om emotionell AI – en kontroversiell teknik för känsloavläsning som snart är förbjuden på arbetsplatser i hela EU. Politikernas motivering är att tekniken har ett bristande vetenskapligt underlag, men också att den är farlig på just arbetsplatser, eftersom relationen mellan arbetsgivare och anställd är ojämlik.
Europaparlamentet röstade för förbudet 13 mars 2024. Mejlet från Framery kommer två dagar senare. I slutet bjuds vi in till en pressvisning, där vi ska få mer information om ”användningen av emotionell AI på arbetsplatsen”.
En algoritm för dina känslor
Pressvisningen hålls i en ljus lägenhet i centrala Stockholm. Marknadskommunikatören Aron Jahn berättar att Framery har en laboratorieavdelning i Storbritannien. Där finns de modeller som beskrevs i mejlet. De kan mäta användarens puls och skratt, som sedan läggs ihop i en samlad känsloalgoritm.
– Det ger ett gemensamt index på välmående. Vi har testat det själva. Vi såg att stressen gick upp på finansavdelningen under kvartalsslutet, berättar han.
I mina ögon verkar detta tämligen oförsvarbart.
Andrew McStay, chef över forskningscentret Emotional AI Lab vid walesiska Bangor University, reagerar när Kollega berättar om tekniken.
– Som alltid måste saker prövas juridiskt, så det är svårt att säga om något är direkt olagligt. Men i mina ögon verkar detta tämligen oförsvarbart. Det faller in ganska direkt i anledningarna till att EU har utvecklat nya AI-regler.
EU-förbudet innehåller undantag som möjliggör att tekniken kan användas av hälso- och säkerhetsskäl, men hur de undantagen ska avgränsas är inte klart ännu.
Snabba vändningen – ”Integritetsproblem”
I augusti 2024 tar Kollega kontakt med Framery på nytt. Nu hänvisar bolaget till ett annat pressmeddelande. Det är märkt med datumet 16 mars – dagen efter att vi bjöds in till en pressträff om företagets emotionella AI. I den här texten står det i stället att projektet är avslutat.
Marknadskommunikatören Aron Jahn vill inte låta sig intervjuas på telefon, men svarar på frågor via mejl. Där säger han att AI-produkten, som de döpt till ”Pulse”, aldrig var tänkt att användas i verkligheten.
Den 15 mars fick vi ett mejl där ni marknadsförde ert nya projekt med emotionell AI på jobbet. Nu skickar du en länk till ett pressmeddelande daterat den 16 mars, där ni berättar att projektet avslutas. Vad låg bakom den snabba vändningen?
– Tyvärr verkar det som att du har fått föråldrad information från byrån (presskontakten, reds. anm.), skriver Aron Jahn.
Han fortsätter:
– Pulse testades som ett ”proof of concept” internt hos Framery, och även om vi starkt tror på dess potential, anser vi att uppfinningen är olämplig att användas i arbetsmiljöer på grund av potentiella integritetsproblem.
Två dagar före ni skickade inbjudan till oss beslutade EU-parlamentet att förbjuda emotionell AI på arbetsplatser. Är det därför ni har avslutat projektet?
– Nej, vårt beslut grundades i vår övervägning om att mätning av stressnivåer på arbetsplatser strider mot vad vi anser är rätt, även om tekniken ger full anonymitet till användarna.
Framery vill fortsätta med algoritmer för känsloavläsning
Men det betyder inte att tekniken är död. I pressmeddelandet som Aron Jahn har länkat till står det: ”Vi tror dock att det kan finnas flera användningsområden för detta i användarprodukter. Vi hoppas att de som är intresserade av den här teknologin tar kontakt med oss.”
När Kollega ber om ett förtydligande svarar Jahn att tekniken bland annat kan användas i sjukvården och för att ersätta så kallade smartklockor.
– Vi tror att tekniken kan vara intressant för konsumentmarknaden, där användarna själva kan erhålla mer exakta stressindikatorer samt mer djuplodande insikter om sin sömnkvalitet och andra hälsorelaterade faktorer utan inledande kalibrering.
Ni skriver också att ni hoppas att de som är intresserade av teknologin tar kontakt med er. Har någon gjort det?
– Nej.
När den här artikeln skrivs har pressmeddelandet om Framery Pulse tagits bort från företagets webbplats. Spåren från testavdelningen i Storbritannien går inte längre att följa. Länken leder i stället till företagets produktsida. Längst upp står det: ”Welcome to the next era of the workplace”.
Det här är del två av tre i Kollegas serie om emotionell AI. Del ett om AI som kan skanna dina känslor kan du läsa här.
Tre andra företag som skapar emotionell AI
Framery är långt ifrån ensamma om att testa teknikens gränser. Kollega har tidigare rapporterat om svenska Smart Eye, som är ledande inom känsloavläsande AI. Runt om i världen finns andra bolag som gör samma sak. Här är tre exempel.
➧ Cogito (USA): Läser av och analyserar känslouttryck hos callcenterpersonal för att ge automatiserad feedback till de anställda.
➧ Find Solution (Hongkong): Säljer emotionell AI till skolor – alltså datorprogram för att läsa av studenters känslor och uppmärksamhet när de studerar på distans.
➧ Entropik (Indien): Använder kombinerad röst- och ansiktsskanning för att läsa av människors känslor. Har kunder inom detaljhandeln, e-handeln, telekom, med mera.
