Detta är en kommenterande text. Skribenten svarar för analys och ställningstaganden i texten.
För några månader sedan var jag moderator på en konferens om dataskydd i Stockholm. En av föreläsarna fascinerade mig extra mycket: Han var gisslanförhandlare, men inte en sådan som står med megafon och skriker in i en byggnad där kidnappare har låst in sig. Nej, han förhandlade med digitala utpressare. De som hackar företag, krypterar deras system, stjäl data och sedan meddelar: Betala oss (ofta många miljoner), annars läcker vi rubbet på darknet och era system förblir oanvändbara.
Det ovanliga var att han pratade öppet om att hans företag inte bara förhandlade, de förmedlade också betalning när offret inte såg någon annan utväg. Efteråt kände jag mig tvungen att ställa frågan: Om ingen betalade så skulle den här brottsligheten försvinna. Hur kan ni rättfärdiga det?
Det är inte så enkelt, svarade han. Säg att det är ett sjukhus som har blivit hackat, säg att patienter bokstavligen kan dö för att vårdens it-system ligger nere. Är det verkligen orimligt att betala då?
Att företagen han berättade om betalade lösensumman var inte det ovanliga. Alla vet att utpressningsattacker – ransomwareattacker på engelska – är lönsamma. Det som stack ut var att han pratade öppet om det.
Nu har vi ytterligare ett exempel på det. Företaget Instructure i veckan berättade om en ”överenskommelse” med utpressargrupper Shiny Hunters, känd för sina stora datastölder. Gruppen hackade Instructures plattform Canvas, som används av en mängd lärosäten världen över – bland annat ett 30-tal svenska. 275 miljoner användares data ska ha stulits.
En ”överenskommelse” är svårt att tolka som något annat än att de har betalat. Och eftersom intäkterna kommer från deras kunder, så skulle det i så fall i förlängningen vara svenska universitets pengar som har gått till den organiserade brottsligheten. Inte för att något universitet hade något att säga till om.
Att betala utpressare är extremt problematiskt, av två skäl.
Det första är etiskt. Kriminella grupper som Shiny Hunters fortsätter bara så länge de tjänar pengar. Nu vet de att det kan löna sig att hacka ett företag som Instructure och de lär redan vara igång med att hitta sitt nästa offer.
Dessutom är det långt ifrån säkert att det hjälper. I utbyte mot betalning säger sig Instructure ha fått loggfiler som visar hur den stulna informationen raderas från hackarnas hårddisk. Och ett löfte om att ingen mer ska utpressas. Det är naturligtvis inte värt ett skvatt. Loggfiler kan förfalskas och även om de är äkta kan gruppen ha ytterligare en kopia av den stulna informationen någonstans. Redo att användas när det passar.
Nej, det finns bara ett skäl till att betalningen faktiskt skulle stoppa läckan: Att Shiny Hunters värnar sitt rykte. Klart det är bra för detta rövargäng om dess offer tror att betalning fungerar. Om det skulle visa sig meningslöst, varför skulle nästa hackade företag ge dem vad de begär?
Men kruxet är att detta bara gäller så länge gruppen är aktiv och dess attacker fortsätter. En dag kanske de lägger ner i sin nuvarande form, då kan resterna av dem mycket väl sälja datan eller starta en ny utpressning.
Att utpressare behåller data de har lovat radera är ingen spekulation. När polis slog till mot utpressargruppen Lockbit härom året hittade man på deras servrar data från offer som hade betalat.
Det är lätt att relatera till desperationen hos hackade företag. Men det ändrar inte slutsatsen om att betala dem: Det göder brottsligheten, och det kanske inte ens hjälper.
