38. Cyberkriminalitet med Jan Olsson

Vad händer när brottsligheten digitaliseras i en snabbare takt än rättsväsendet? Jan Olsson är kriminalkommissarie på Nationellt IT-brottscentrum (NOA) och har arbetat på Polisen i 30 år. I veckans avsnitt av Let’s tech-podden diskuterar han cyberkriminalitetens framväxt och fenomen som phising, överbelastningsattacker och internets baksida - Darknet.

Länkar

• Besök Polisens webbsida

• Kontakta Jan på LinkedIn

• Lyssna på ett program i Studio 1 i Sveriges Radio om den franska polisens knäckning av Encrochat och vad det betytt för Sverige och Europa.

• Artiklar i Computer Sweden om lanseringen av Nationellt IT-brottscentrum och Darknet

• En P3 dokumentär om Flugsvamp 2.0

Om du inte hinner lyssna…

HE: Hej och välkommen till Let’s tech-podden. Jag heter Henrik Enström och vi som gör detta heter Codic Consulting. I dag säger jag välkommen till Jan Olsson.

JO: Tackar.

HE: Du är kriminalkommissarie på Nationellt IT-brottscentrum hos polisen, även kallat NOA. I dag tänkte vi framför allt prata om Darknet och cyberkriminalitet. Det är första gången som vi spelar in podden där gästen inte är på plats, så det blir en ny utmaning, men vi tror att vi har en bra setup så att det ska funka. Jan, kan du börja med att berätta lite om dig själv, ditt yrke och vad du gör som kriminalkommissarie hos polisen?

JO: Ja, det undrar jag också ibland. Jag har jobbat inom polisen i 30 år, där jag jobbat uteslutande med internetrelaterad brottslighet de sista 13 åren. De första 10 åren i princip endast med bedrägerier av olika slag och de sista 2-3 åren har jag jobbat på Swedish Cybercrime Center, vilket är Nationellt IT-brottscentrum. Man kan fråga sig: ”Vad gör de då?” Ja, de har flera processer som de ansvarar för på ett nationellt och internationellt plan där mycket av arbetet utförs tillsammans och mot länder utanför Sverige, men den brottslighet vi sysslar med är framför allt två olika områden. Den ena handlar om internetrelaterade sexuella övergrepp mot barn, vilket vi inte kommer diskutera så mycket i dag. Den andra delen som vi ska diskutera mycket av, det är komplexa cyberbrott. Det finns alltså en komplexitet i det internetrelaterade brottet. Sen vad själva brottet är, det är inte det väsentliga. Det kan vara narkotikaförsäljning på Darknet eller vilken typ av brott som helst egentligen, men det är en komplexitet i det som gör att vanliga poliser har svårt att utreda det.

 HE: Det låter väldigt spännande och lite nytt. Har det byggts upp under en länge tid eller hur länge har NOA funnits?  

JO: 2015 blev vi en polismyndighet. Det låter häpnadsväckande att vi inte varit det tidigare, men det är faktum. 2015 var det ett trettiotal personer som jobbade på Nationellt IT-brottscentrum och i dag är vi snart fyra gånger så många, växer fortfarande och måste så göra. Att jobba på NOA med IT-brott har nog gjorts ända sen datorn uppfanns, men väldigt småskaligt. Det accelererar ju med digitaliseringen, så vi måste försöka att åtminstone inte hamna längre bak än trea.

HE: Vad menar du med att längre bak än trea?

JO: Det är ju absolut omöjligt för något land i världen att ligga jämsides med brottslingarna som utnyttjar de anonymiseringstjänster och de transaktionsmöjligheter, som gör det otroligt svårt som en polisiär organisation att kunna spåra och identifiera mottagaren. Alla dessa funktioner utnyttjas alltid av de kriminella och det tar tid för oss att Encrochat:a sönder dem och kunna komma vidare och utnyttja de spår som finns för att identifiera de kriminella. Vi kommer alltid att ligga efter och så ska det väl kanske vara om man funderar på integritetsskäl och annat. Det är knappast så att polisen ska ha full inblick i allting som sker överallt. Jag tror varken lyssnarna eller jag vill ha det på det viset.  

HE: Jag har förstått att man väldigt ofta får reagera på brottslighet som faktiskt händer. Du är utbildad inom teknisk fysik på KTH. Hur kom det sig att du sökte dig till polisen och senare till Nationellt IT-brottscentrum?

JO: [skrattar] Den frågan har jag nog faktiskt aldrig fått. Jag gick tre år på teknisk fysik, sen så fick jag för mig att jag skulle plugga andra linjer parallellt. Sen så skaffade jag barn, köpte hus och började jobba heltid, samtidigt som jag fortsatte plugga på alla möjliga ställen. Till slut så kände jag väl att: ”Det här funkar ju inte”, och i samband med det träffade jag några personer som jobbar inom polisen och tyckte att: ”De var ju trevliga.” På den tiden, 1991 då jag sökte, så var utbildningen betald och hade den inte varit det hade jag knappast varit polis i dag.  

HE: Det var en av sakerna som tilltalade, att du fick lön hela tiden?

JO: Ja, jag satt i ett hus som jag precis hade köpt med ett nyfött barn. Då kändes det klart omotiverat att plugga utan betalning.

HE: Precis. Vi jobbar med rekrytering, så man undrar ju om polisen har lätt att rekrytera? Om du jämför med dem som du träffat utanför polisen när du pluggade, känns det som att man lyckats rekrytera in väldigt skillade personer till NOA?

JO: När man rekryterar poliser så rekryterar man förvisso ganska brett, men man rekryterar inte expertkunskap till de som ska bli poliser, utan traditionellt sätt så börjar man åka radiobil och så vidare. Tittar man på NOA där jag jobbar, så är det specialistfunktioner som behövs. Att tro att man är specialist på IT, ekonomi eller vilket ämne som helst bara för att man är polis är rätt naivt. Vi rekryterar alltid en viss funktion och sen struntar vi i bakgrund så länge du kan den kunskap som efterfrågas. Av det skälet så är vi faktiskt 50 procent män och 50 procent kvinnor på min avdelning, 50 procent har polisiär bakgrund och 50 procent har inte det. Det som förvånar mig är att så många har polisär bakgrund, men ändå stor kunskap. Det är från det privata näringslivet som vi får in de krafterna som ofta kan vara avgörande för våra framgångar.  

HE: Börjar folk hos er för att man vill göra skillnad och göra någonting gott för att stoppa kriminaliteten?

JO: Ja, tittar man på de som är riktigt, riktigt duktiga så kan det nog vara så. Det finns ju flera exempel på de som halverat sin lön för att jobba hos oss. De kanske har jobbat i 15 år i det privata och känner att: ”Nej, jag vill göra någon sorts skillnad på något sätt.” Och det är vi oerhört tacksamma för. Vi kan inte konkurrera lönemässigt med det privata näringslivet när det handlar om dessa tjänster, så vi lever lite grann på att det finns en vilja att göra skillnad som är stark.

HE: Finns det också något exempel på människor som först varit brottslingar och sen hjälper polisen, som i Catch Me If You Can? Har ni haft någon sån?

JO: Jo, det finns det ju alltid naturligtvis. Det finns många som säger sig vilja hjälpa oss på olika sätt, och det finns ju det här romantiska skimret som ligger över att vara polis och att jobba hos polisen. Där är det ju alltid svårt att utnyttja den kraften, eftersom det finns många osäkerheter runt omkring det. Att det finns såna individer? Ja, det gör det ju.

HE: Mm. Så NOA blev polismyndighet 2015 och man vill komma åt den digitala brottsligheten. Vilken är de vanligaste brotten ni tar er an? Du har redan nämnt det lite grann, men om man speciellt tittar på de mer avancerade brotten?  

JO: Vi har tagit fram allt möjligt, men vi plockade ju ner Flugsvamp 1 och 2, det vill säga den största marknadsplatsen för försäljning av narkotika mot svenskar i världen som låg på Darknet. Det är ett typiskt exempel. Vi jobbar inte mot narkotikan, utan vi jobbar mot komplexiteten att utreda just de brotten. Det kan vara överbelastningsattacker mot nyhetsredaktioner för ett par år sedan, det var något som vi deltog i. Sen är det två saker som inte allmänheten och teknikföretagen vet. I samband med Flugsvamp tog vi 25 länder i anspråk efter att ha lyckats med det. Vi deltar hela tiden som ett av 25 länder i andra attacker, efterforskningen och utredningen utav väldigt komplexa brott, så att även om Sverige inte leder något, så deltar vi på samma sätt som Tyskland, England och alla deltog i Flugsvamp, fast Sverige ledde den. Så att tro att Sverige inte utreder komplexa cyberbrott, då kan jag säga att det gör vi precis hela tiden.  

HE: Ja, men det är skönt att höra.  

JO: Men utifrån den statistiken är det bara var 25e gång det skulle hamna på Domstolen i Sverige och resten av gångerna hamnar det någon annanstans, så att så är det ju.  

HE: Finns det någonting som man som privatperson, om man lyssnar på den här podden, ska se upp med? Eller om man är företag för den delen?

JO: Ja, det är hur mycket som helst. Jag tror inte den här poddtiden räcker riktigt.  

HE: Det som är vanligast då?

JO: Då kan jag säga att det värsta som finns i min värld är att man inte tar phishingen på större allvar än vad man gör, eftersom phishing är någonstans 60 procent av attackerna, för att dels i de bästa av världar bara komma över dina kontouppgifter för att kunna handla, men också för att kunna göra dataintrång på större företag för att installera ransomware eller på annat sätt stjäla industrihemlighet från det företaget. Det startar alltså väldigt ofta med att personal eller du själv klickar på länkar eller bifogade filer i mejl. Det kan låta banalt och simpelt, men det är en extrem stor fara att det inte tas på större allvar.

HE: Ja, det är ju ett väldigt billigt sätt att attackera, genom att spamma ut mejl, vilket också är svårt att komma åt såklart. En av de idéer jag hörde en gång om användningsområden för Bitcoin och liknande valutor, är att man skulle kunna ta betalt för att skicka spam. Man behäftade någon liten del av Bitcoin med ett mejl och om den som är mottagare inte gillade det, så fick man betala den bitcoinen och inte fick tillbaka den. Då skulle det vara väldigt dyrt att skicka spam i stället, men där är vi ju inte i dag.  

JO: Nej.

HE: Så phishing är det man ska se upp med, att undvika att klicka på länkar i mejl och kanske ha blockers påslaget som inte renderar bilder automatiskt och så.  

JO: Precis. För jag menar, det var ungefär en månad sen de hittade 3,2 miljarder medarbetare med tillhörande lösenord som var till salu. Att tro att man kommer sluta med det här, det kommer aldrig ske, för det räcker med att 1 på 10 000 ramlar på och gör fel här, så blir du miljonär om du står bakom phisingen. Det kommer alltid att finnas.

HE: Är det en bra idé att använda sån här lösenordsprogram som generar nya lösenord för varje sajt?

JO: Ja, lösenordshanterare är någonting som inte bara jag rekommenderar, utan hela säkerhetsvärlden. Att ha olika lösenord till alla sajter som är jättelånga och jättekrångliga och du ska dessutom komma ihåg de här, och inte ha de nedskrivna på en lapp i telefonen, det är jätte-, jättesvårt. Men har du en lösenordshanterare, oavsett märke, så är det något som är bra. Men jag skulle också vilja lägga till att visst är det bra med en lösenordshanterare, men när det gäller din mejl så ska du ha ett separat lösenord till det. Jag tror att ofta kan lösenordet till ditt mejlkonto vara det viktigaste lösenordet du har, viktigare än din inloggning till din egen bank.  

HE: Från början kontaktade vi dig för att prata om Darknet, den gömda delen av internet. Vad är egentligen darknet?

JO: Darknet är ingenting höll jag på att säga. Det är en del utav det internet vi alla lever i. Det är inte så att det är ett separat internet, utan då är det ett intranät där inte vi kommer in. Det handlar alltså om att en liten del av det vi ser när vi googlar, vi behöver ingen adress eller lösenord, men nästan allting finns under ytan på det här isberget. Där måste du alltså ha lösenord och veta vart du ska. Och det handlar ju om företag och information som finns på ett företag som de inte vill att allmänheten bara ska kunna ta del av. Det kan vara att polisens personalregister som ligger där om det är polisens intranät. Det är alltså inget konstigt alls med intranät. Men det är botten här, om man nu ska jämföra det med ett isberg, där finns det en pytteliten del av själva isberget som man kan kalla det “the dark side” eller Darknet. Vid det området så finns det de sakerna som vi vanliga människor inte vill ska finnas, vilket är alltifrån vapen till barnpornografibilder, till att man faktiskt kan streama en våldtäkt av en fyraåring i realtid som man direkt kan titta på. Allt det här finns, och narkotika naturligtvis. Så Darknet är en del av internet som man inte kommer åt via sin vanliga webbläsare, utan du måste ladda ner någonting, bland annat TOR-nätverket.

HE: Så de som befinner sig där tänker att de inte kan ses av polisen och andra eftersom det är krypterat? Det fanns ju någon chatt som franska polisen lyckades ta sig in i förra året, som har lett till kända rättegångar som kommer upp nu i Sverige till exempel. Är det kanske på gång att liknande saker händer mot Darknet också? Är det en falsk säkerhet som brottslingarna har i Darknet?

JO: Nej, det är helt skilda saker. EncroChat är en sak och ECC Sky och det här. Men Darknet är ju bara ett ställe där man köper och säljer saker. För att komma in på Darknet så använder du TOR-nätverket, vilket du kan ladda ner på 30 sekunder fullkomligt lagligt. Med hjälp av det kan du gå in på dessa ställen som säljer saker, utan att jag som polis eller någon annan kan se vem du är eller vem du besöker. Du är ju anonymiserad, men inte helt anonymiserad. Men jag skulle vilja påstå att i vanliga, vardagliga fallet, så är du tillräckligt anonymiserad så att säga. Det är det som är ett stort problem, att tjänsterna finns. Då kan man fråga sig: ”Varför stänger vi inte ner Darknet?” Ja, det kan vi inte. Det är bara barnsligt. ”Okej, men varför stänger vi inte ner TOR då?” Ja, det kan vi faktiskt inte heller. Många tror ju att vissa länder, som Nordkorea har spärrat folk från att kunna använda datorer, men så är inte fallet, utan de har bara förslöat det till den milda grad att du kastas ut. Så det jag vill säga med det är att alla som använder TOR inte är kriminella. Jag tror att mer än hälften av dem som använder TOR inte är kriminella, utan de använder det för att de bor i länder där de vill kunna kommunicera med släktingar i andra länder, utan att den egna staten ska förfölja och tortera dem. Det är alltså ett sätt för dem att kunna ta del utanför det egna landets gränser, vilket vi naturligtvis inte kan ta bort.  

HE: Nej, precis. Jag läser här att TOR project delvis finansieras av Human Rights Watch, Google och Cambridge University, så det är ett gott renommé där. Som sagt, det finns både och på Darknet. Den vanligaste brottsligheten på Darknet, är det att dela med sig av filer och så, eller?

JO: Jag har inte det fullständigt klart för mig, men när jag själv är där och tittar … vad jag tror mig veta, är att det vanligaste man köper är narkotika helt enkelt, om man ser på den kriminella sidan eftersom det är så enkelt och du är i princip anonymiserad.  

HE: Är Darknet en viktig del av er verksamhet? Hur jobbar ni med det, om det nu är så att man i princip är anonymiserad?

JO: Vad det handlar om, det är att alla länders polismyndigheter och tullverksamhet, de är naturligtvis också på Darknet. Där kan man jobba digitalt undercover och man kan göra ett köp. Man kan göra allt möjligt bara för att se om man inte kan identifiera den som säljer de här sakerna eller åtminstone tar betalt för de här sakerna. Det där sker ju i parti och minut. De här marknadsplatserna för försäljning av de olika produkterna, de illegala produkterna, tas ju också ner. De sista månaderna har vi varit otroligt framgångsrika internationellt sätt, inte bara Sverige utan internationellt, på att plocka ner de här vilket också har medfört att tillgångarna till de här produkterna har minskat. Då kan man fråga sig: ”Vad spelar det för roll, det dyker ju upp nya hela tiden?” Det är naturligtvis fakta att det inte kommer försvinna på det här sättet, men att kunna minska möjligheten för ungdomarna att komma i kontakt med den här typen av droger och så vidare, det är det vi eftersträvar. Mycket annat kan man inte göra på den fronten. Den andra fronten är att man måste påverka kulturen. Vi ska inte använda det här och förhindra att brotten sker genom det, helt enkelt. Vi har ju ett ansvar att den unga generationen som växer upp inte hamnar på darknet. Den är svår. Det är ett Nobelpris på den.

HE: Vi pratade om det här med att NOA blev myndighet först 2015 och att det kändes sent. Är det även så för den traditionella brottsligheten, att de långsamt blir mer och mer digitalt sofistikerade eller är de långt före?  

JO: Det är ju så här att all brottslighet snart är digitaliserad. Det är väldigt få hästförsäljare som kommer med en tandlös häst och knackar på dörren, utan de knackar digitalt i stället. Oavsett om det handlar om att du ska köpa en begagnad vara på en annonssajt eller vad du än ska göra, så är det ju datorer och digitalisering som ligger bakom. Det är det nya fundamentet och den nya spelplanen för all den här verksamheten. Den är inte konstig i sig så att säga. Eftersom det av hundra olika skäl finns företag som har till uppgift att komma med nya produkter där du ska dölja dig som människa bakom… De kan vara hur seriösa och bra som helst. Det kan vara integritetsskäl och you name it, eller att man inte vill att den egna staten ska förfölja en, då används och utnyttjas det här av kriminella. Men de kriminella själva är ju inte alltid speciellt begåvade, men det är crime efter service, det vill säga att de köper de olika länkarna i en brottskedja med hjälp av kanske seriösa och legitima företagsprodukter i kombination med till exempel att det är viktigt att få in massa pengar, men hur ska du växla ut dem? Ja, då köper man den funktionaliteten från någon organisation som sysslar just med det. Och därför så behöver inte du vara något IT-proffs för att utföra de mest avancerade IT-brotten som finns, för alla delarna i IT-brottet köper eller hyr du på 30 dagar mot betalning. Så utvecklingen där går otroligt, otroligt fort, och att tro att ett enskilt land eller polismyndighet ska kunna hänga med att bromsa det här på ett effektivt sätt är inte så det fungerar. Det är, som jag har varit inne på tidigare, att man samarbetar mellan många länder och framför allt så samarbetar vi mer och mer med det privata näringslivet, med de företag vars uppgift är att skydda andra företag mot angrepp eller att hjälpa dem när de väl är angripna. Den typen av företag som hjälper till med det har ju ohyggligt duktig personal och det är den typen av företag vi måste samarbeta mer med. De vill ju inte annat än att hjälpa till också naturligtvis, så att där har vi alla möjligheter sen.

HE: Jag fick en tanke nu när vi satt här. Skulle man kunna kopiera hur brottslingarna agerar? Det är förmodligen väldigt svårt att knäcka krypteringen runt TOR och Darknet eller olika krypterade chattar. På samma sätt är det förstås svårt för brottslingarna att ta sig igenom olika intranätskrypterade VPN-nätverk. De är ju smarta och skickar i stället små länkar med trojaner, som folk klickar på varpå man kan komma åt den personens dator. Är inte det ett effektivt sätt att komma åt brottslingarna? Det kanske inte ni får göra?

JO: Jo då, vi får absolut jobba med allt det här, men jäkligt restriktivt naturligtvis. Det krävs dock att den aktuella brottsligheten för de tuffaste ingreppen från vår sida är så otroligt grova, så att det kan vara minimum flera år i straffskalan för att vi ska få använda oss av det här. Det du och jag tycker är grovt när det handlar om bedrägerier och allt når inte upp till det här och där får vi inte använda de här verktygen över huvud taget. Det är ett fåtal, fåtal brott där vi får använda detta verktyg. Skulle vi behöva det i fler typer av brott? Ja, det är klart vi skulle och jag tror att vi borde ha ett större utrymme än vad vi har idag, även om det ska finnas en begränsning i att vi inte kan använda oss utav de här tvångsåtgärderna när det gäller all brottslighet. Det är jag också inne på. Men mer än vad vi gör i dag? Absolut.  

HE: Ja, nu när du beskriver det låter det som något jag också skulle skriva under på. Det känns inte rätt att brottslingar som ändå gör rätt så grova brott mot individer och företag ska kunna känna sig säkra på att polisen inte får bryta sig in i deras datorer. Det känns inte riktigt som ett fair game, men jag förstår också att det finns en balans där mellan ett orwellskt övervakningssamhälle och det här att man ska kunna angripa, övervaka och bryta sig in i brottslingarnas datorer. En svår balansgång, men mycket intressant. Superintressant ämne att prata om. Om vi slutligen blickar in i framtiden, vilka kommer vara de största hoten och utmaningar för polisen när det gäller digital brottslighet och krypterade tjänster som Darknet? Om vi ser 5, 10 år framåt, hur tror du att utvecklingen kommer se ut?

JO: Jag tror att utvecklingen kommer att fortsätta åt det här hållet, där vi kommer få lite bättre verktyg med tiden, men när vi får dem så har ju brottslingarnas verktyg utvecklats mycket mer. Men om jag vänder på det och ser på anledningen till framgångskonceptet att använda internet, det bottnar i digitaliseringens framfart. Vi homosapiens kräver digitaliseringen och snabba betalningslösningar. Vi vill inte stå i en bankkö en fredag för att betala räkningar i flera timmar. Vi vill att allt ske ögonblickligen och helst med ett chip i armen, höll jag på att säga. Det här kräver vi och vi får delar av det, men vi klarar inte av det. Vad som sker är att lösningarna som BankID och Swish är säkra. Vad gör de kriminella då? Jo, de biohackar dig i stället, förmår dig att använda säkra lösningar felaktigt och på så sätt kommer åt dina pengar. Det kallar vi phising och allt möjligt, hur man manipulerar folk att använda säkra lösningar fel. Då kan man tycka: ”Då återstår väl bara att fimpa internet då?” Ja, det är i och för sig kanske en lösning, men det är inte det vi ska göra över huvud taget, utan jag tror att vi kommer att acklimatisera oss till digitaliseringen över en 10, 20-årsperiod. Om 10, 20 år … det låter väldigt långt här, så tror jag att vi har vant oss med hur vi ska hantera det digitala livet vi har. Vi har ett digitalt jag som vi måste anpassa oss till vårt fysiska jag, för det är samma värld vi pratar om, men det kommer ta tid att lära oss det.

HE: Men det kommer inte vara så inom 10, 20 år att hälften av alla poliser jobbar med digital brottslighet?

JO: Ja, indirekt så kan jag garantera att jag tror att vi nästan är där på ett eller annat sätt. Om du säger använda internet … lägger du ut en bedräglig annons så använder du internet, eller använder du en dejtingsajt och kommer i kontakt med någon som du kan köra ett romansbedrägeri mot, så använder du också internet. Internet används redan i dag i mycket, mycket mer än 50 procent av alla brott.

HE: Så brottsligheten och därmed polisen kommer att kopiera samhället och bli mer digitala, för att det är där vi finns?

JO: Ja, så är det ju. Det enda sättet att minska ökningen höll jag på att säga … men att få stopp på det här, det är att vi människor måste anpassa oss till det digitala livet och vi måste ha mycket mer medvetenhet om vad vi gör i det digitala livet. Kan vi bara nå dit, så halverar vi problemen, och jag får Nobelpris.

HE: Det låter som en bra framtid. [skrattar] Tack så mycket, Jan Olsson. Det var väldigt intressant att prata om.

JO: Tack själv.