Han plockar fram sin laptop, och visar också hur snabbt det går att komma väldigt nära ett intrång i ett par polishus i Sverige. Dagens nyheter har använt hans expertis i sin granskning av svensk datasäkerhet. Leif Nixon är säkerhetschef för Nationellt superdatorcentrum i Linköping (NSC). Han har även ett liknande uppdrag på nordisk nivå, och så leder han incidenthanteringen inom organisationen European gridinfrastructure(EGI) som är ett samarbetsprojekt för att knyta ihop beräkningssystem. Det ger honom ganska god inblick i hur olika länder i hela världen arbetar med datasäkerhet. Och han är starkt kritisk till hur svenska myndigheter handskas med samhällsriskerna.
– I många andra länder, som USA, finns en berättarlag, ett tvång att berätta om intrång när man har förlorat personuppgifter. Det skapar en viktig öppenhet för problemen. Som det är nu kan vi upptäcka knäckta ip-adresser på myndigheter men det enda vi kan göra är att ringa någon it-ansvarig och berätta. Oftast stannar det där.
Leif Nixon beskriver ett fall där han gjorde just så. Hörde av sig till en svensk myndighet, förklarade läget och ...
– Svaret blev ungefär att det visserligen var allvarligt men att det också skulle innebära dålig PR om det kom ut. Jag tror inte att man riktigt har förstått problemet då.
Att angripa ett universitets datasystem kan vara ganska lockande för en hacker. Leif Nixon och hans kollegor jobbar för att det ska vara så svårt som möjligt och att inkräktaren ska gå att spåra. Genom det arbetet kommer de i kontakt med ett stort antal ip-adresser som på olika sätt är hackade.
– Det kan vara privatpersoners hemdatorer eller en organisations servrar som är knäckta och sedan används för att inkräktaren ska kunna göra intrång någon annanstans utan att avslöjas. Nyligen satt vi med 24 000 knäckta ip-adresser från olika länder. Det är för många för oss att hantera.
Vad gjorde ni?
– Vi lämnade över dem till respektive lands myndigheter och så fick de ta hand om det.
Och hur togs det emot?
– Mycket olika. I Tyskland tog man det vidare till operatörerna som sedan informerade varje enskild, drabbad kund. I Sverige hände såvitt jag vet ingenting. Det är i och för sig inte så lätt för kunderna att veta vad de ska göra med informationen, men de fick i alla fall veta.
Sverige har en nationell beredskap. Bland annat genom Myndigheten för samhällsberedskap, som har en så kallad CERT (Computer Security Incident Response Team) med uppgift att stödja samhället i arbetet med att hantera och förebygga IT-incidenter. Verksamheten bedrivs vid Myndigheten för samhällsskydd och beredskap (MSB).
Men Leif Nixon tycker inte att det är tillräckligt. Enligt honom är det ett problem att det inte finns någon central organisation i Sverige som hanterar dataintrång. I stället är ansvaret fördelat på flera olika departement. Post- och telestyrelsens faller under Näringsdepartementet, Myndigheten för samhällsberedskap faller under Försvarsdepartementet och polisen under Justitiedepartementet.
– Kommunikationen haltar mellan Försvarsmakten och polisen eftersom Försvaret inte får hantera polisiära uppgifter. Det är väldigt svårt att göra något verkligen kraftfullt åt det här problemet. Dessutom verkar inte operatörerna särskilt intresserade av att arbeta med de här frågorna.
Nationellt superdatorcentrum i Linköping kommer att utöka sin personal för att kunna arbeta mer med it-säkerhet i framtiden. Leif Nixons förhoppning är att synen på datasäkerhet ska förändras i och med att detta uppmärksammas i medierna.
– Många är inte beredda på att det kan komma smarta angripare. Man skyddar sig från andra typer av störningar, fysiska intrång och väderstörningar och liknande.
Men varför är det så allvarligt att man kan komma åt en fastighetsägares värmereglage?
– I fjol drabbades den amerikanska butikskedjan Target av stort angrepp där man förlorade kunders kontouppgifter. Det första it-angreppet i den händelsen var just mot luftkonditioneringen. Det låter kanske inte så farligt. Men man måste också komma ihåg att en angripare kan ställa till med ganska mycket oreda.
Är det internets snabbhet och bekväma lösningar som öppnar upp för dålig datasäkerhet?
– Jag förordar att datorer ska förenkla vardagen för både företag och privatpersoner. Samtidigt kan man inte förvänta sig att alla ska vara experter på it-säkerhet. Ansvaret ligger på leverantörerna att konstruera säkra system – och inte lämna till kunderna att säkra upp dem. De flesta system som säljs är osäkra vid leverans. Alltifrån skrivare med standardlösenord från fabrik, till styrsystem för fastigheter som aldrig genomgått en säkerhetstestning.