Hon har nyckeln till internet

"Jag känner en stark kärlek till internet. Men kärleken är inte alltid besvarad. Det är inte alltid internet gör som jag vill", säger Anne-Marie Eklund Löwinder, säkerhetschef och kryptoofficer.

I en stålbur utanför Washington DC i USA bevaras internets största hemlighet. Och den kan bara nås av sju utvalda nyckelbärare. En av dem är svenska nät­säkerhetsexperten Anne-Marie Eklund Löwinder.

En scen från dokumentärfilmen Nyckeln till internet; ett tjugotal personer har samlats i ett kvadratiskt rum i ett datacenter utanför den lilla staden Culpeper i närheten av Washington DC. ”Välkomna till den tjugotredje nyckelceremonin”, säger en slipsklädd man medan han knackar en bunt papper i bordet för att jämna till kanterna. 

Anne-Marie Eklund Löwinder sitter längst fram klädd i en mönstrad klänning och Converse. Tillsammans med de andra har hon nyss passerat fyra säkerhetsskikt med två ögonskanners och rigorösa kontroller. Hon ser sammanbitet omkring sig: stämningen är tryckt och flera webbkameror övervakar hela proceduren. I ett av hörnen står det som hela ceremonin kretsar kring: två kassaskåp, båda ordentligt fastbultade i golvet, som skyddas av en svart stålbur. 

Mannen i slips tar vid igen, och börjar med den första punkten av de trettioen som står uppspaltade på hans papper. Snart är det dags för Anne-Marie att genomföra sin del i proceduren: att sätta nyckeln i ett av låsen – och därigenom säkra internets fortsatta existens. 

Hammarby Kaj, Stockholm. Internetstiftelsens säkerhetschef Anne-Marie Eklund Löwinder tittar fram bakom en laptop fylld med klistermärken; uppe i ena hörnet en rosa ninja i pixel-grafik. I det andra en gul och sedvanligt arg Pokémon. I mitten en bild på en kollega utklädd i Matrix-utstyrsel som är flankerad av citatet ”Don’t f* ck with the internet!”.

Hon kopplar upp datorn mot en större skärm för att ta hjälp av en presentation när hon ska förklara vad de faktiskt pysslar med där i datacentret två gånger om året. 

– Det är ett hedersamt uppdrag som fortfarande känns otroligt viktigt och högtidligt, säger hon. 

Sju personer, sju fysiska nycklar. Till internet. Det hela låter som en Mission Impossible-film. 

Eller som Sagan om ringen för den delen. Mycket riktigt har det också inspirerat till en deckare (De sju nycklarna av Åsa Schwartz) som sedermera ska bli tv-serie. 

– Jag hjälpte henne med faktaunderlag. Men det mesta är förstås fiktion. Annars skulle det inte bli en särskilt rolig bok, haha. 

För verkligheten är ganska torr. Det ceremonierna går ut på är rent krasst att uppdatera en krypteringsnyckel. En väldigt viktig sådan. Den kallas för rotnyckeln, styr internets hela domännamnsystem (DNS) och ser till att du hamnar på rätt webbplats när du skriver en domän i adressraden. Eller att mejlet kommer till rätt person när du klickar på skicka. 

De som har hand om rotnyckeln och som sköter hela ceremonin heter Icann, en fristående organisation som förhåller sig till ett råd med representanter från hundra regeringar. 

– När man uppfann DNS på 1980-talet insåg man tidigt att det fanns allvarliga sårbarheter i systemet. Eftersom det gick att manipulera informationen i DNS fanns det inget sätt att garantera att du kom till rätt plats när du skrev in ett domän­namn eller att mejlet kom till rätt mottagarsystem. Därför tillförde vi en säkerhetsfunktion, DNSSEC, som använder rotnyckeln. 

– Att vi ständigt förnyar den handlar om vanlig kryptohygien. Man ska helt enkelt inte exponera en nyckel för länge. 

Den som styr rotnyckeln har alltså makten över internet. Därför är det viktigt att makten ligger i rätt händer, och att människor med stort förtroende förnyar koden. Som Anne-Marie. 

 

Anledningen till att hon 2010 utseddes till kryptoofficer, som rollen kallas, är att hon betraktas som en av världens främsta – och mest tillförlitliga – inom internetsäkerhet. 

Den välrenommerade stämpeln har hon fått efter ett långt liv vid internets sida. På 70-talet, ungefär samtidigt som internets föregångare Arpanet tog sina första steg i USA, började hon arbeta som maskinskrivare på Stockholms tingsrätt. Öppen för teknik följde hennes egen utveckling apparatens transformation, från manuell till elektrisk.

Det var också förkärleken till apparater som förde henne till systemvetarutbildningen på Stockholms universitet, som då innebar programmering, filhantering och databashantering. Men det var på en kurs om informatik och säkerhetsteknik hon fann sin nisch: säkerhet. 

I slutet av 80-talet, när PC:n dök upp och internet lanserades på bred front, började hon jobba med IT-upphandlingar och digitalisering av offentliga verksamheter på Statskontoret i Stockholm. Riskanalys och säkerhet blev snabbt en stor fråga – ett område som Anne-Marie tog sig an. Med åren spred sig ryktet om hennes kunnighet, och 1999 blev hon handplockad till regeringens IT-kommission. 

Några år senare blev hon säkerhetschef på IIS, där hon jobbar än i dag, en organisation som arbetar för ”en positiv utveckling av internet” och ansvarar för domänerna .se och .nu. Hon bidrog själv till att Sverige blev det första landet i världen att säkra sin toppdomän (.se) med säkerhetssystemet hon nu har nyckeln till – och blev för det invald i Internet hall of fame. 

Anne-Marie Eklund Löwinder har med andra ord sett internets utveckling på nära håll. Kanske är det därför hon fortfarande så dedikerat försvarar det mot allt ont. 

– Internet som fenomen är fantastiskt, vad det gör för oss och vad det har skapat för möjlig­heter. Att kunna ta reda på vad som helst, när som helst. Att kunna jobba hemifrån. Att kunna vara såväl producent som konsument av innehåll och att kunna dela med sig av sina intressen. Tänk när jag började mitt yrkesliv – bara att hitta ett telefonnummer var skitjobbigt. 

– Jag känner en stark kärlek till internet. Men kärleken är inte alltid besvarad. Det är inte alltid internet gör som jag vill. 

Eller egentligen handlar det om människor som inte använder internet välvilligt. Därför behövs solida säkerhetsingrepp. 

– Internet är som brödknivar. De kan användas av både onda och goda. 

Anne-Marie nämner – på tal om bröd – något så udda som brödrostar som ett av hoten mot internet och dess användare. 

– Prylar som vi förväntas ansluta till vårt hemma­nät – alltså ’internet of things’ – är inte alltid de vassaste knivarna i lådan när det gäller säkerhet. 

I över trettio år har vi lärt oss hur vi ska skydda våra datorer ganska hyfsat med hjälp av antivirus, brandväggar och uppdaterade operativsystem. Så ansluter man plötsligt en brödrost som skapar en väg in i ens dator. Det är en helt ny värld av sårbarheter. 

Det finns många exempel på hur fel det kan bli, menar Anne-Marie, och väljer ett ur minnet. 

– Ett casino i USA hade installerat en termostat med trådlös fjärrstyrning i sitt akvarium för att kunna kontrollera vattnets temperatur. De anslöt den till det trådlösa nätverket och voilà – någon tog sig in via termostaten och stal en jäkla massa pengar. Det var som att öppna en dörr. 

Det lär dyka upp hur många nya säkerhetsproblem som helst, hela tiden. Hur håller du dig à jour? 

– Jag jobbar jämt. Och lägger väldigt mycket tid på omvärldsbevakning. Jag hinner naturligtvis inte läsa allt, man får sovra lite. Till exempel har jag några nyhetsbrev som jag alltid läser, som Crypto-Gram från Bruce Schneier och ett antal nyhetsbrev från olika Computer Emergency Response Teams (expertgrupper inom internetsäkerhet, reds anm). Sedan läser jag CVE:er, där folk skriver in nya sårbarheter som dyker upp, vilken programvara som är drabbad, hur sårbarheten yttrar sig och i bästa fall vad man kan göra åt det. En del av mitt arbete är att hålla koll på dessa och se till att vi på IIS är renläriga. 

Det kan verka omänskligt att hänga med i internetsäkerhetens ständigt föränderliga djungel. Men, understryker Anne-Marie, utvecklingen är inte så extrem som den kan verka. 

– Visst kommer det nya tjänster, funktioner och programvaror. Men i grunden handlar internetsäkerheten i dag om samma sak som den alltid har gjort: informationen ska vara riktig. Den ska också vara tillgänglig för dem som behöver den, när de behöver den. Den ska vara skyddad med konfidentialitet om den är känslig. Slutligen ska det alltid vara möjligt att spåra vem som har gjort vad, överallt och hela tiden. Med de fyra hörnstenarna kommer man väldigt långt. 

Precis som internetssäkerheten handlar om samma sak som tidigare, har internets grund­system egentligen inte förändrats så mycket sedan dess tillkomst för 30 år sedan. DNS var med redan då, och finns kvar än i dag. 

Tillbaka i dokumentären och datacentret är det dags för Anne-Marie att plocka fram sin fysiska nyckel, som hon har i en vacker träask byggd av hennes son. Hon och två andra kryptoofficerare släpps in i den svarta stålburen, de låser upp varsin box som förvaras i ena kassavalvet och lyfter ut tre separata ”nyckelkort”. 

Ur det andra valvet tar man fram en maskin, HSM, som har en självförstörande funktion ifall den skulle ”få för sig” att lämna byggnaden eller skakas om ovanligt mycket. HSM innehåller själva rotnyckeln, den som gör att DNSSEC och därmed internet fortsätter att fungera. Den slipsklädde mötesledaren kopplar den till en dator som av säkerhetsskäl varken har operativsystem, minne, batteri eller wifi – och sätter sedan in ett av korten. 

Slutligen lyfter han högerhanden för ceremonins sista steg och säger, samtidigt som han trycker, ”Enter”.