Använd tvåfaktorsautentisering, uppdatera mjukvarorna löpande och begränsa it-tillgången också för de egna anställda. Det är knepen som stoppar över 90 procent av alla it-attacker, det menar Yubicos grundare och chefsevangelist Stina Ehrensvärd.
Yubicogrundaren: ”Så stoppar man över 90 procent av alla it-attacker”
Mest läst i kategorin
För drygt 15 år sedan grundade Stina Ehrensvärd företaget Yubico, och har sedan dess drivit det tillsammans med sin man Jakob Ehrensvärd. Idag är Jakob innovationschef medan Stina har tagit rollen som chefsevangelist.
– Vi startade Yubico för att bidra till ett säkrare internet för alla. Vi har snart lyckats med det genom att göra delar av våra teknikinnovationer till öppna standarder och drivit på att de byggts in i ledande plattformar och webbläsare. Idag säkrar vår teknik de flesta stora techbolag och indirekt därmed även alla kunder och användare av techbolagens molntjänster, telefoner och datorer, säger Stina Ehrensvärd till Realtid.
Yubico är mest kända för Yubikey – en säkerhetsnyckel i form av en USB-sticka som säkrar inloggningen till olika it-tjänster.
– Merparten av våra kunder är företag och myndigheter som har krav på bättre säkerhet än mobilappar eller där dessa inte fungerar. Vi har även en mindre andel säkerhetsmedvetna privatpersoner som kunder som köper Yubikeys direkt från vår webbutik eller Amazon, säger Stina Ehrensvärd.
Bolaget har nått framgångar på säkerhetsområdet genom att etablera en ny standard, kallad FIDO2 eller Passkeys.
– Efter mer än tio års hårt arbete, och i nära samarbete med de stora it-bolagen, har vi lyckats få med oss alla Google, Microsoft och Apple, ja alla de stora plattformarna och webbläsarna att bygga in eller göra stöd för vår teknik. Vår teknik har helt enkelt visat sig vara det starkaste, enklaste och mest kostnadseffektiva skyddet för phishing och hackade internetkonton, säger Stina Ehrensvärd.
Vad får den breda satsningen på Passkeys för konsekvenser för er?
– Passkeys är ett annat namn för FIDO2, de olika namnen är tyvärr lite missledande. Det är genomgående samma öppna standard och teknik som byggs in direkt i telefoner och mobiler eller har stöd för externa säkerhetsnycklar, däribland Yubikey. De två alternativen var också vårt mål när vi började utveckla standarden. De inbyggda lösningarna når de största användargrupperna. Yubikeys fungerar som komplement för de företag och individer som behöver högre säkerhet och skydd för den personliga integriteten, en kostnadseffektiv backup, eller en loginlösning som enkelt kan användas mellan olika mobiler och telefoner, säger hon.
Finns det något sätt för Yubikey att skydda om det finns skadeprogram installerade på datorn?
– När en hackare tagit sig in i en dator eller it-system via ett skadeprogram, som exempelvis ransomware, så kan de inte göra någon ytterligare skada om man skyddar inloggning till ytterligare system, databaser och servrar. Själv använder jag Yubikey för att skydda alla de företagssystem som jag har access till i molnet, så något skadeprogram har inget att hämta om jag skulle bli hackad, säger hon.
Hur ser du på den nationella säkerheten; Vad krävs av samhället för att skapa en högre medvetenhet om säkerhet?
– Mer lagar och utbildning kan göra skillnad för bättre internetsäkerhet. GDPR var en bra start, en EU-lag som styr upp vad företag kan göra med användarinformation. Tyvärr är kraven för hur man sedan skyddar denna information lite vaga, så här bör man ställa större krav. Hackade lösenord och andra osäkra inloggningsmetoder är det enskilt största it-säkerhetshotet, och därför har USA:s president Joe Biden nyligen gått ut med ett direktiv som kräver att alla amerikanska myndigheter använder tvåfaktorsautentisering. Under 2024 skall dessa också vara ‘Phishing Resistant’, det vill säga ha samma höga säkerhet som traditionella smarta kort eller lösningar som baseras på FIDO2, säger hon, och fortsätter:
– Det vore även värdefullt om myndigheter sätter krav på att företag, organisationer och skolor ger anställda och elever en kort grundläggande utbildning i internetsäkerhet och personlig integritet på nätet. Att göra ämnet begripligt för den breda allmänheten kan göra skillnad, något jag nu hoppas på att kunna bidra med i min nya roll som chefsevangelist i internetsäkerhet, säger hon.
Stina Ehrensvärd kommer vara en av talarna på ESG-dagen som Realtid arrangerar den 9 maj. Och ESG är något som hon brinner för – samtidigt som det påverkar företagets affärer.
– Det som driver våra kunder från ett ESG-perspektiv är framförallt G:et, som står för ‘Governance & Risk’. Det är enormt kostsamt att bli hackad och kan vara katastrofalt för bolagets investerare med stora driftstörningar och förlorad trovärdighet, IP och annan känslig information, säger hon.
Om man ska investera i ett bolag – vilka frågor bör man ställa kopplat till risk och ”G:et” i ESG?
– Man bör kräva att bolaget man investerar har dokumenterade processer för följande:
- Använder tvåfaktorsautentisering för access till alla datorer, it-system och molntjänster. Det flesta lösningarna är bättre än bara lösenord. En FIDO-säkerhetsnyckel ger det starkaste skyddet.
- Uppdaterar mjukvaran löpande. Hackare hittar hela tiden sårbarheter i gamla it-system och gammal mjukvara.
- Företag och organisation ska inte ge access till vem som helst även om de är anställda.
– Gör man de här tre grejerna går det att stoppa över 90 procent av alla it-attacker, säger Stina Ehrensvärd.
Läs mer om ESG-dagen här >>