I den digitala världen är vi ständigt under attack. Det konstaterar Andrei Sabelfeld, professor i cybersäkerhet på Chalmers, som forskar om de svaga länkarna i våra moderna datorsystem. Målet är att hitta verktyg för att skapa säkrare programvaror, och därmed stänga dörren för många olika angrepp.

– Mjukvaror styr vårt digitala samhälle, och de är ofta grundorsaken till sårbarheter som kan utnyttjas vid cyberattacker. Mitt stora forskningsintresse ligger i att säkra mjukvaran, så att vi kan lita på våra tjänster och system, säger han.

Digitaliseringen av vårt samhälle innebär att vi förlitar oss på webben inte bara för olika tjänster, utan för stora delar av samhällets finansiella, statliga och militära infrastruktur. När så många system finns inom räckhåll digitalt behöver den som vill störa verksamheter – och ibland hela samhället – inte ens vara fysiskt på plats.

Komplexa system skapar sårbarhet

Enligt Andrei Sabelfeld har risken för ovälkomna intrång ökat i takt med att moderna webbapplikationer blir alltmer komplexa, dynamiska och interaktiva. Samtidigt använder webbapplikationer ofta så kallad ”kod från tredje part”: en sorts bibliotekstjänster för att hantera viss information eller statistik, som Google Analytics. Alla sådana tjänster är inte säkra, och eftersom biblioteken får tillgång till all kod för webbapplikationen kan systemet, i värsta fall, tas över.

– Sammantaget skapar allt detta sårbarheter, och gör systemen oerhört stora och svåra att få grepp om. Det räcker ju med en enda svag punkt för att ett angrepp ska kunna ske, säger han.

De senaste åren har det skett flera uppmärksammade cyberattacker i Sverige. Många minns exempelvis it-attacken mot Coop 2021, som ledde till att butikskedjans kassasystem havererade. Varje kassa fick startas om manuellt, vilket blev både tidskrävande och kostsamt.

– Det här var ett exempel på en så kallad ransomware-attack, en digital utpressning där företaget krävs på pengar för att attacken ska stoppas. I det här fallet angreps företagets tillgänglighet, i andra fall kan det handla om utlämnande av känsliga data. Det skulle kunna göra stor skada, exempelvis om patientdata sprids, säger han.

Vill stoppa attackerna – innan de sker

Som Wallenberg Scholar ska Andrei Sabelfeld utveckla ett omfattande ramverk för att förhindra attacker från att kunna ske.

Fokus ligger på två viktiga verktyg i jakten på säkrare system: så kallad webbcrawling och säkerhetsskanning. Webbcrawling är en teknik för att söka igenom och kartlägga en webbapplikation och allt dess innehåll. Säkerhetsskanning, i sin tur, används för att testa systemen och leta efter säkerhetsrisker.

– Vi granskar hur webbapplikationen är byggd, och spårar hur informationen flödar genom hela systemet. Det gör det möjligt att upptäcka sårbarheter: var attackerna kan ske, och hur skadlig kod kan skickas in i systemet, säger han.

För mig är cybersäkerhet en perfekt kombination av teori och praktik. Det ger en kick att direkt kunna se effekten och den direkta tillämpningen av forskningen.

Webbcrawling och säkerhetsskanning används inom cybersäkerhetsområdet idag. Men oftast inte på det bästa, eller mest effektiva sättet, påpekar Andrei Sabelfeld. Målet för hans team är ambitiöst: forskarna vill skapa ett nytt paradigm inom cybersäkerhet genom att radikalt förbättra möjligheterna att utnyttja de två verktygen maximalt.

– Visionen är att ta fram ett omfattande ramverk och tankesätt som kan användas för att testa säkerheten när nya webbapplikationer är under utveckling. Det är ett viktigt steg för att kunna förebygga attacker, i stället för att täppa till svagheterna i systemen först efter att användarna har drabbats, säger han.

Cybersäkerhet kräver ständiga omtag

Även om förhoppningen är att skapa ett effektivt vapen mot cyberattacker betonar Andrei Sabelfeld att det aldrig går att slå sig till ro när det gäller cybersäkerhet, eftersom angriparnas tillvägagångssätt och förutsättningar ständigt förändras.

– Det finns ingen färdig lösning för säkerhet på webben, men vi kan höja ribban för angriparna. Det handlar verkligen om en rörlig måltavla och vi måste uppdatera kraven hela tiden, säger han.

Det finns också en annan utmaning i arbetet med cybersäkerhet: att de upptäckter som forskningen gör kan användas i motsatt syfte, om de hamnar i fel händer. Andrei Sabelfeld använder begreppet ”dual-use technology”, för att beskriva dilemmat med att samma teknologi som används för att skapa säkerhet på webben, också kan användas för att göra skada. Han tycker att det är viktigt att ha en levande diskussion om etiska frågor inom cybersäkerhet, men tror inte att det går att förhindra att det finns vissa risker med forskningen.

– För att kunna skapa effektiva skydd mot attacker är det viktigt att förstå och testa vad som händer i verkligheten. Inom universitetsvärlden finns idag kurser inom etisk hackning, och de visar vilka risker som finns. Fördelarna med forskning och utbildning inom cybersäkerhet överväger riskerna, och det är viktigt att vi inte avstår från dessa viktiga områden bara för att det finns potential för missbruk, säger han.

Text Ulrika Ernström
Bild Johan Wingborg