SVERIGES ENTREPRENÖRER

Så blev Stina hackarnas värsta fiende – skyddar presidenter och storbolag

Entreprenören Stina Ehrensvärds företag Yubico skyddar ”ett antal presidenter” världen över med hjälp av säkerhetsnyckeln YubiKey. Bild: Yubico/Henrik Montgomery / TT /AP Photo/Joan Mateu Parra

I en exklusiv intervju berättar Stina Ehrensvärd om hur hon och maken Jakob revolutionerade den globala it-säkerheten, om att vara en del i kriget mot Ryssland och om hur hennes liv ska skildras i en ny TV-serie. ”Jag är övertygad om att vi kan stoppa 90 procent av alla attacker”, säger hon till TN.

Erik Ekerlid

erik.ekerlid@tn.se

Publicerad: 22 feb 2024, 09:45

Uppdaterad: 26 feb 2024, 06:50

Yubico har 19 av USA:s 20 största internetbolag som kunder. De har 4 500 företagskunder i över 160 länder, samarbetar med myndigheter och säkerhetstjänster, ”skyddar ett antal presidenter” samt hjälper Ukraina att försvara kritisk infrastruktur och militär kommunikation från ryska cyberattacker.

Paret Stina och Jakob Ehrensvärd har onekligen varit med om en del sedan de grundade bolaget 2007.

– Det har varit en spännande och otroligt inspirerande resa. Men det har inte varit helt lätt heller, vi har varit det här lilla oberoende företaget från Sverige som har fått parera de stora IT-jättarnas viljor, säger Stina Ehrensvärd när TN träffar henne på Yubicos kontor i Stockholm.

Affärsidén är relativt simpel. Hackade inloggningsuppgifter (så kallad phishing) är orsaken bakom 90 procent av alla IT-attacker. Att bara använda sig av användarnamn och lösenord för inloggning är för riskabelt. Men de lösningar som är säkrare är ofta för komplicerade och något som folk undviker, till exempel de smarta kort som används i bankdosor.

Yubico

- Yubico är ett globalt cybersäkerhetsföretag som sedan 2016 uppvisat en årlig ökning av nettoomsättningen (“CAGR”) om 40 procent.

- Genom sin kärnprodukt och uppfinning, YubiKey, löser Yubico det främsta cybersäkerhetsproblemet – användning av stulna identiteter.

- YubiKey är en nyckel för multi-faktorautentisering (MFA) som säkerställer att endast auktoriserade användare har tillgång till känsliga konton och system.

- Bolaget har 437 anställda, varav 70 procent i USA.

- Närvaro på över 160 marknader.

- Huvudkontor i Stockholm och Santa Clara, Kalifornien, med tillverkning i både USA och Sverige. Merparten av produktionen av YubiKeys sker i Sverige.

Stina och Jakob Ehrensvärd skapade därför YubiKey, en fysisk säkerhetsnyckel som sätts i ett USB-uttag och erbjuder en stark tvåfaktorsautentisering utan lösenord. Till det utvecklade de webstandarden FIDO, med målet att YubiKeyn skulle kunna integreras i alla ledande operativsystem och webbläsare.

– För att lyckas med detta insåg vi tidigt att vi behövde arbeta nära de stora it-bolagen. Så vi flyttade till Kalifornien, berättar Stina Ehrensvärd.

Med ett knapptryck verifierar man sig genom YubiKeyn. Bild: Yubico

Att flytta till Silicon Valley gjorde susen. Efter att Google blev utsatta för en cyberattack från Kina 2009 insåg de att de behövde stärka IT-säkerheten. Lösningen stavades Yubico, och ett samarbete inleddes mellan bolagen.

En efter en fick de med de andra IT-jättarna på tåget, och den sista stora pusselbiten kom i januari 2023 när Apple godkände YubiKey för inloggning med Apple ID.

– Folk frågade om vi inte hade en för riskabel och extrem plan när vi ville samarbeta med alla de stora techbolagen. Men vi visste att vi var tvungna att vinna över alla de här företagen. Och det var inte helt lätt, vi fick agera som ett mini-FN mellan alla giganternas olika viljor, säger Stina Ehrensvärd och fortsätter:

– Men vi vill inte lyckas bara för vårt bolag, vi ser cyberattackerna som ett av de största hoten i världen just nu.

30 gånger fler IT-attacker mot Ukraina

Och just att skydda världen mot det hotet är en av de stora drivkrafterna för Stina Ehrensvärd. Var tjugonde säkerhetsnyckel Yubico säljer donerar dem till organisationer som arbetar för att göra världen säkrare.

När de fick frågan från Ukraina om att donera ett stort antal YubiKeys för att skydda mot cyberattacker från Ryssland var valet också ganska lätt, menar Stina Ehrensvärd.

– Det känns väldigt bra att veta att vår teknik gjort en betydande skillnad. Efter Rysslands invasion ökade cyberattackerna mot Ukrainas kritiska infrastruktur och militär med över 30 gånger, säger hon.

”Jag är världens optimist kring cybersäkerhet.”

Efter att ha landat det stora avtalet med Apple i början på förra året valde Stina att avgå som vd. Paret har flyttat tillbaka till Sverige, och det stora målet är att utveckla en global standard för cybersäkerhet.

Tillsammans med 250 andra organisationer arbetar Yubico också med utvecklingen av EU Digital Identity Wallet (EUDI), ett nytt digitalt ID-kort. Målet är att det nya ID-systemet ska erbjudas till alla medborgare i EU inom tre år.

– För tio år sedan hade det inte gått men nu har vi många bitar på plats. Att samarbeta med alla de här hundratals organisationerna i EU är väldigt kul, men det är nästan en omöjlig övning, säger Stina Ehrensvärd och skrattar.

Stina Ehrensvärd avgick som vd på Yubico i februari förra året. Bild: Yubico

Trots det enorma hot som cyberattacker utgör, och det kommer inte bli färre attacker med AI:s intåg, menar Stina Ehrensvärd att det egentligen inte är så svårt att få bukt med problemet.

– Jag är världens optimist kring cybersäkerhet. Jag är övertygad om att vi kan stoppa 90 procent av alla attacker, i bästa fall inom fem år, med nya standarder, regelverk och samarbete mellan länder och företag kring de viktigaste sakerna, säger hon.

Så skyddar du ditt företag mot cyberattacker enligt Stina Ehrensvärd

- Använd ‘Phishing-resistent’ flerfaktorsautentisering för alla användare - stulna inloggningar är orsaken bakom 90 procent av alla cyberattacker.

- Begränsa åtkomsten till vad medarbetare behöver för att kunna utföra sina arbetsuppgifter. Yubico uppskattar att cirka 20 procent av alla IT-attacker utförs av insiders inom organisationen.

- Uppdatera mjukvaror och IT-tjänster löpande för att undvika sårbarheter som annars kan utnyttjas.

- Ha tydliga rutiner för hur IT system ska återställas om skadan sker och ha backupper.

- Öka medvetenheten kring hoten och utbilda alla medarbetare i grundläggande cybersäkerhet, det vill säga listan ovan.

Att jobba med cybersäkerhet är en konkurrensfördel

Kostnaden för cyberintrång beräknas i år att kosta 10 triljoner dollar. Det är världens tredje största ekonomi efter USA och Kina.

Stina Ehrensvärd uppmanar företag, myndigheter och politiker att ta cybersäkerheten på större allvar, och återkommer till att med några enkla åtgärder kommer man långt. Att skapa säkrare inloggningar, begränsa vilka inom organisationen som har tillgång till känslig information samt skapa rutiner och öka medvetenheten om hoten bland medarbetarna är några av nycklarna.

Hon tycker att svenska företag borde se arbetet med cybersäkerhet som en konkurrensfördel, framför allt med tanke på att vi är landet med flest patentansökningar per capita i världen, och därmed har stort behov av att skydda våra innovationer.

– Om man kommunicerar hur man förebygger säkerhetsintrång skapar man förtroende. Då kanske man dessutom slipper kommunicera att man blivit utsatt för en cyberattack, det är mycket jobbigare, säger hon.

Hon förklarar att en cyberattack kan få ödesdigra konsekvenser och tar upp exemplet när finska psykoterapticentret Vastaamo gick i konkurs efter att ha blivit utsatta för ett dataintrång under 2020. Tiotusentals patientjournaler spreds online i samband med attacken.

– Det var en kombinerad phising-och ransomwareattack, där de inte var villiga att betala lösensumman som hackarna krävde. Om man pratar om olika typer av finansiell risk så tror jag många företag inte är medvetna om vilket hot den här typen av händelser utgör.

Varför är cybersäkerhetsvärlden så dålig på storytelling?

Inom en snar framtid kommer Stina och Jakob Ehrensvärd bli kända för en större publik. Deras entreprenörskapsresa ska skildras i en ny TV-serie som kommer att visas på en av de stora streamingplattformarna.

– Det började med att en filmproducent i Hollywood fick sitt mailkonto hackat. Han började använda YubiKeys och kontaktade mig. Han frågade varför cybersäkerhetsvärlden är så dålig på storytelling, och undrade om det inte gick att göra det mer underhållande, säger Stina Ehrensvärd.

– Så nu sitter jag och skriver manus. Målet är att ge en underhållande, grundläggande utbildning i cybersäkerhet för bred, internationell publik. Fokus kommer vara på resan med Yubico med ett försök till underhållande cybersäkerhetsutbildning, förpackat i en dramakomedi.

Några europeiska förordningar inom cybersäkerhet som påverkar svenska företag och organisationer kommande år

Cyber Resilience Act (förväntas implementeras under 2025)

Förordningen innebär regler och krav för produkter med digitala komponenter samt ”kritiska system” eller operativsystem, bland annat

NIS2-direktivet (förväntas implementeras under 2024)

Direktivet ska säkerställa en hög nivå av informationssäkerhet i hela EU genom att stärka skyddet av samhällsviktiga tjänster, inkluderar allt från stora energibolag och banker till mindre sjukhus och transportföretag och IT-leverantörer.

AI Act (har ännu inte formellt godkänts)

Förordningen syftar till att harmonisera EU:s regelverk kring AI. Målet är att främja innovation och stärka förtroendet för AI, samtidigt som AI-applikationer ska riskbedömas och klassificeras.