Var är polisen när man behöver dem, är ett gammalt skämt. Nu, när ytterligare en tillsynsmyndighet faktiskt skulle behövas, så finns den inte. Människor, myndigheter, företag och sjukhus är inte vuxna nog att skydda sig själva i cyberdjungeln. De måste få hjälp av DIMKO.

Spåren förskräcker. Bilden visar spåren efter amerikanska soldaters motionsklockor när de varit ute ock sprungit runt en militärbas i Helmand i Afghanistan. Positionen läcks till Internet och avslöjar precis var basen finns. Toppen för motståndarsidans bombflyg. Det går att stänga av positionsangivelsen, men så smart är inte den vanlige soldaten.

Smart-TV-apparater läcker bilder från ditt vardagsrum. Chromecast-enheter medger att hackare visar egna videofilmer. Mobiltelefoner skvallrar om position, kontakter och användning. Din webbkamera läcker bilder från sovrummet. Din internetrouter som du fått av internetleverantören läcker som ett såll och används till att bryta ny kryptovaluta. Dina konton hos de stora webbdrakarna läcker uppgifter som galningar.

Men ingen bryr sig egentligen om det.

Användarna måste skyddas

SEMKO, Svenska elektriska materialkontrollanstalten, har sedan 1925 gjort ett behjärtansvärt arbete med att skydda oss alla från undermålig elektrisk utrustning i hemmen. Listan på alla märkliga, brandfarliga apparater de fått stopp på under åren är längre än slutanvändaravtalet från en amerikansk mobiltelefontillverkare. Numera har EUs olika industridirektiv tagit över saken. Så SEMKO var en bra idé.

Men i dag skulle väl ingen vara så dum att stoppa fingrarna i väggkontakten? Inte? Ge en modern människa en ny, blänkande mobiltelefon och hon börjar omedelbart att ladda ned allt skräp som rör sig på Internet och fortsätter sedan att skicka ut filmer på sina genitalier och publicera texter om sin senaste ostmacka, sina viktigaste lösenord och kontonummer. Överfört i elvärlden är det detsamma som att man stoppar ned handen i brödrosten, trycker ned knappen och väntar. Först killar det duktigt i fingrarna, sedan börjar det smattra, sedan blir det riktigt varmt och till sist, brännskador.

Aktivitetsarmband som gör mycket mer än du tror. Bild: Sam Sailor, CC BY-SA 4.0,

Om människor saknar kunskaper om den nya digitala världen, måste de skyddas. Från sig själva. Att människor inom rimlig tid skulle kunna uppnå sådan kunskapsnivå att de kunde klara sig mot cyberhoten i den ständigt accelererande digitala sfären, är osannolikt. Det finns ingen institution i samhället som är kapabel att lära dem.

Det behövs helt enkelt en ny tillsynsmyndighet som i likhet med Livsmedelsverket gör stickprov på marknaden, provar och bedömer digital hemutrustning, som antingen säljs direkt till slutkund eller som del av ett avtal, som exempelvis hemmaroutrar.

Låt oss kalla den DIMKO, Digitala materialkontrollanstalten.

Fundera en stund på alla nya internetanslutna skvallerapparater som dykt upp: telefoner som avslöjar allt, tv-apparater som skickar ditt tal vidare eller sätter in egen reklam, bärbara datorer med inbyggda reklamgeneratorer, sakernas internet-apparater, hemlarm, barnvaktskameror, digitalboxar, media-datorer, NAS, trådlösa noder, USB-stickor med infekterad firmware, internetradioapparater, uppkopplade dörrlås, smarta klockor och aktivitetsarmband.

Första stadiet

DIMKO-provet görs i fyra stadier. Först körs apparaten i befintligt skick, uppackad ur kartongen, standardinstallerad och man undersöker om den skickar eller tar emot förfrågningar på Internet som användaren inte begärt, om den skickar ut data, tal, video, position, kontaktlistor eller annat. Man undersöker också om den lägger in utifrån kommande information i videoströmmar, på skärmbilder eller i filer eller listor. Man försöker påverka den utifrån via internet med en uppsättning kända lösenord. Man låter den därefter uppdateras med programvara från tillverkaren och gör om provet. Så provoceras apparaten genom att man laddar ned de vanligaste programmen som en användare kan tänkas önska och gör om provet, för att se om det finns svagheter (bakdörrar) i samverkan med kända program och drivrutiner.

Andra stadiet

Andra stadiet är att man använder sig av de kontroller som finns i apparaten och ber apparaten sluta skvallra, och gör om provet.

Tredje stadiet

I tredje stadiet gör man en kontrollerad nyinstallation av det operativsystem som redan finns på apparaten, utan övriga förinstallerade tilläggsprogram, för att se om det finns svagheter i apparatens firmware i samverkan med den medlevererade versionen av systemet.

Fjärde stadiet

I fjärde stadiet installerar man i stället en känd, ren version av Linux, för att se om det finns svagheter i enbart firmware, eller inbyggda bakdörrar i form av dold maskinvara etc.

Märkning av apparaten

Det ska finnas fem säkerhetsklasser, som måste visas med en obligatorisk, tydlig skylt på apparatens hölje. Dessutom ska skylten kortfattat visa vilka prover som genomförts och resultatet av dem.