Vem som helst kan skapa en falsk e-post-adress och förstöra för andra – utan att det är ett brott. Problemet är stort, menar bedömare. Intresset växer nu för den vardagsnära IT-säkerheten.
E-breven slog ned som små bomber hos de anställda på Karolinska institutet i Solna. Avsändaren var Harriet Wallberg-Henriksson, det högt ansedda forsknings- och utbildningsinstitutets rektor. I mejlen gjordes reklam för en bok, där skribenten hävdar att stiftelsen ger ”för mycket priser till judar”.
– Förfärligt. Vi är ett universitet som utbildar sjuksköterskor och läkare. Vår värdegrund vilar på respekt för alla. Vårt anseende kan absolut skadas av det som hänt. För mig personligen känns det dessutom otroligt obehagligt att det görs rasistiska uttalanden i mitt namn, säger Harriet Wallberg-Henriksson.
På KI misstänkte man snabbt att den person som skapat den fejkade e-postadressen är en man som länge legat i konflikt med KI. Han har ett uppenbart hämndmotiv.
Säkerhetschefen Annika Sjöborg polisanmälde, men fick veta att det inte är ett brott att utge sig för att vara någon annan, något som i IT-sammanhang kallas för ”spoofing”.
KI gjorde även en anmälan för hets mot folkgrupp, med tanke på innehållet i mejlen.
Jonas Thambert, IT-säkerhetsrådgivare på Sveriges IT-incidentcentrum, Sitic, bekräftar att problemet är stort. Och enligt honom finns det i dag bara ett sätt att skydda sig: ökad medvetenhet hos användarna (se faktaruta). Detta så länge allmänheten inte vill eller kan använda sig av olika typer av kryptering eller signering av e-posten.
Men det är krångligt, både att installera och att använda.
– E-postsystemen utvecklades under 80-talet när internet var litet och vänligt. Det kommer förmodligen inte att hända att världens alla e-postservrar får en ny standard. Mycket av kommunikationen mellan privatpersoner sker i dag via sociala medier som Facebook, Twitter och MSN. E-post är något som främst lever kvar i affärsvärlden, säger Jonas Thambert.
På näringsdepartementets IT-politiska enhet spår man ett trendbrott. Där är man övertygad om att intresset för den vardagsnära IT-säkerheten kommer att växa.
– Hittills har IT-säkerhet kommit att handla om storskaliga attacker, men det är absolut på väg att svänga, säger departementssekreterare Anders Hektor.
KI:s IT-chef Torbjörn Widh såg snabbt till att blockera den spamserver som spridit mejlen. Men han, liksom de som är insatta i IT-säkerhetsfrågor, är luttrade. De vet att e-post är osäkert och att en avsändare alltid kan vara falsk:
– Incidenter som den här är vardag. Internet är öppet, vem som helst kan skicka vad som helst till vem som helst. Den teknologi som finns när det gäller att försöka säkra varifrån saker och ting kommer växer bara långsamt fram, konstaterar Torbjörn Widh.
För Harriet Wallberg-Henriksson lever osäkerheten kvar, trots att KI blockerat spamservern:
– Vi har ingen aning om vem eller vilka institutioner runt om i världen som har fått den här e-posten. Känslan av att inte kunna försvara sig och att det därför inte heller går att korrigera, är svindlande, säger hon.