Mikko Hyppönen om största cyberhotet mot företagen: ”kommer rita om spelplanen”

Som forskningschef på finska Withsecure, tidigare F-Secure Business, tillhör Mikko Hyppönen de verkliga auktoriteterna på cybersäkerhetsområdet i världen. Den karismatiske finländaren har just släppt boken If it’s smart, it’s vulnerable och Computer Sweden träffar honom för en intervju efter en boksignering i samband med ett föredrag han hållit i Stockholm.

Alla böcker han hade med sig sålde slut, konstaterar han. Det finns ett sug för de här frågorna i dag. Det har eldats på av de senaste årens ransomware-angrepp, distansarbetet som följd av pandemin och sedan Rysslands invasion av Ukraina. Vi återkommer till det.

Men det som Mikko Hyppönen tror kommer att bli den allra största utmaningen för cybersäkerheten är när kriminella börjar kunna använda sig av avancerad maskininlärning i sina attacker – något han tror kommer att ske ”inom en snar framtid”.

Maskininlärning i hackarnas händer

Annars är det så att just nu är det försvararna som har övertaget i den ständiga katt-och-råttan-leken med de cyberkriminella och det är till stor del tack vare maskininlärning, säger han. Med maskininlärning kan försvararna låta maskiner snabbt upptäcka nya attacker, analysera dem, bygga testa och få ut skydd.

– Vi har använt maskininlärning i våra produkter i sjutton år och under den tiden har vi byggt bättre och bättre system och lärt oss vad som är bra och dåligt, vad som ska blockas och vad som ska tillåtas.

– Detektering har blivit så snabbt eftersom det automatiserats medan angriparna fortfarande arbetar i mänsklig takt med att skriva om programvaran, registrera nya domännamn och designa om e-posten.

Tyvärr kommer inte det här att vara för evigt, fortsätter Mikko Hyppönen.

– I en nära framtid kommer angriparna att ta steget mot att själva börja använda maskininlärning och börja automatisera sina attacker. Då är det inte en människa längre som skriver om programvaran eller registrerar de nya domännamnen, utan en maskin. Det här kommer att ske inom ett eller två år.
Det handlar om att cybergängen kommer att börja rekrytera människor med rätt kunskap, då experterna blir fler samtidigt som systemen blir enklare att bygga.

Styrelsen måste involveras

När vi träffar Mikko Hyppönen har han precis hållit ett föredrag inför it-beslutsfattare på stora svenska företag. Det är en speciell tid vi lever i – då distansarbetet exploderade under pandemin och Rysslands invasion av Ukraina.

Vilket är ditt viktigaste budskap till publiken just nu?

– Jag skulle säga att det viktigaste är att cybersäkerhetsfrågan flyttas upp på styrelsenivå. Alla företag är mjukvaruföretag nu och cybersäkerheten är inte en fråga för it-avdelningen. Ansvaret måste var så högt upp som möjligt.

– Det är inte okej att styrelsemedlemmar ryggar för komplicerade tekniska frågor. Du ska inte sitta i en styrelse för ett stort företag om du inte förstår teknik, cyber eller AI. Du måste åtminstone vara intresserad av de här frågorna. Det är skillnaden mellan framgångsrika företag och de som misslyckas.

Mikko Hyppönen fortsätter:

– Alla älskar att prata om att data är den nya oljan. Visst, men det är få som sätter en siffra på hur mycket deras data är värda fram tills att de måste göra det och det är ju oftast när de har blivit attackerade. Om du får ett ransomware där de kräver 10 miljoner euro, då ställs styrelsen inför frågan om deras data är värt det.

Kriget i Ukraina bekymrar

Mikko Hyppönen säger att de dramatiska händelserna de senaste åren har förändrat cybersäkerheten, hotlandskapet och även synen på säkerhet.

När det gäller Rysslands invasion av Ukraina, och det som följt i spåren av den, med finsk och svensk Nato-ansökan, ökad hotbild och så vidare, säger han:

– Vi får väldigt mycket frågor om det här från bekymrade företag. De vill ha sina system kollade, de vill ha penetrationstester, så att de är bättre förberedda och så de ska veta var deras svaga punkter är. Det är ju motiverat med tanke på hur oklart det är vad framtiden för med sig.

– Men vi har inte sett några konkreta exempel under den här tiden på att ryska staten har utfört cyberattacker mot företag i Norden. Vi har sett flera attacker från Ryssland, men inte från staten, utan då är det patriotiska hackargrupper eller ransomware-gäng. Det har varit statsstödda attacker mot mål i Ukraina, men inte mot Finland eller Sverige.

Skydda mot rätt saker

Vad företagen måste göra är att bli bättre på riskbedömningar och förstå vilken slags attacker de behöver oroa sig för. Om företag spenderar sina begränsade resurser på att skydda sig mot angrepp som är osannolika är det dåligt ledarskap, säger han.

– Stater attackerar inte vilka företag som helst, utan särskilt viktiga. Kriminella grupper vill tjäna pengar. Patriotiska hackargrupper går efter mål som är symboliska.

– Om du är en restaurangkedja i Stockholm behöver du inte lägga krut på att försvara dig mot APT-attacker som utförs av underrättelsetjänster. Då behöver du lägga pengarna på att skydda betalningssystemen.

Om man bortser från företagen – hur har hotet mot samhället förändras under de senaste åren?

– Jag brukade tala om att vi skyddade datorer, nu skyddar vi samhällen. Allt drivs av datorer: fabriker, elgeneratorer, vattenförsörjning, matproduktion. Vårt jobb är att skydda samhällen och det är ganska stort ansvar för ett gäng geeks och nördar. Men konnektivitet kommer att bli lika viktigt som elektricitet.

Ytterligare ett stort skifte de senaste åren är distansarbetet som följd med pandemin. Hur har det förändrat riskbilden, skulle du säga?

– Väldigt mycket. Mängden uppkopplingar har exploderat, antalet system som företagen tvingas exponera mot internet har exploderat. Det viktigaste är att ha visibilitet över sina system, så att du kan bygga en grund. Om du ska kunna upptäcka abnormaliteter så måste du veta hur det normala ser ut.

Det goda mot det onda

– Men det är klart att det är mycket mer utmanande om du har en obegränsad mängd datorer som är uppkopplade från hemmanätverk. Särskilt problematiskt är det om anställda använder sina egna enheter.

En annan stor förändring som har skett de senaste åren är de omfattande ransomware-angreppen som varit mot stora företag. Hur kan man skydda sig mot dessa?

– Det vanligaste sättet för ransomware att komma in i nätverken är via exponerade RDP- och VPN-ändpunkter, vilket för övrigt är mycket kopplat till det ökande distansarbete. Om du har exponerade funktioner för distansarbetet, så måste du ha dem patchade.

– Företagen patchar ofta systemen de känner till, men sedan finns det någon gammal server ingen tänkt på. Så man måste monitorera nätverket från utsidan och köra penetrationstester.

– Sedan handlar det om att utbilda användarna så att de inte använder svaga lösenord eller råkar ut för nätfiske. Särskilt viktigt är att de förstår hur viktigt domänlösenordet är. Multifaktorsautentisering hjälper, men då får man också utbilda dem om de uttröttningsattacker vi börjat se.

Avslutningsvis – vilket skulle du säga är det allvarligaste framtida cyberhotet mot företagen?

– Skadlig AI, som vi talade om tidigare. När vi är där att cyberkriminella kan rekrytera ML- och AI-experter, så kommer de inte bara att kunna automatisera de befintliga processerna, utan också laborera med nya slags attacker som vi inte har sett tidigare. Det kommer att rita om spelplanen och det kommer att ske inom fem år.

– Det enda som kommer att kunna stoppa en elak AI är en god AI, säger Mikko Hyppönen.