Mynd úr gagnaveri - ís­lensk fjár­mála­fyr­ir­tæki urðu fyr­ir nokkuð um­fangs­mik­illi netárás
CategoriesIndustry Insights

Að minnsta kosti fjög­ur ís­lensk fjár­mála­fyr­ir­tæki urðu fyr­ir nokkuð um­fangs­mik­illi netárás um helg­ina og hafði hún m.a. þær af­leiðing­ar að á tíma­bili gátu sum fyr­ir­tæki ekki tekið við greiðslu­kort­um.

Kristján Val­ur Jóns­son er tölvu­ör­ygg­is­sér­fræðing­ur hjá SecureIT og seg­ir að um svo­kallaða álags­árás (e. DDoS) hafi verið að ræða og fer þannig fram að ótal tölv­ur og ann­ar tækni­búnaður um all­an heim eru virkjuð til að teppa tölvu­kerfi fórn­ar­lambs­ins og gera þannig þjón­ust­ur viðkom­andi óaðgengi­leg­ar eða ónot­hæf­ar. „Þeir sem gera slík­ar árás­ir geta beitt nokkr­um mis­mun­andi aðferðum en mark­miðið er alltaf að senda mikið magn gagnapakka á skot­markið. Gagna­magnið er það mikið að vefþjón­ar, eld­vegg­ir, DNS-þjón­ar og ytri varn­ir þess sem árás­in bein­ist gegn ráða ekki við álagið svo að kerfið annaðhvort ligg­ur niðri eða að hæg­ir svo mikið á um­ferðinni að viðskipta­vin­ir og aðrir not­end­ur kom­ast ekki að. Má líkja þessu við það ef all­ir nem­end­ur eins mennta­skóla tækju stefn­una á sömu ísbúðina á sama tíma: fljótt yrði fullt út úr dyr­um og ísbúðin væri ekki leng­ur starf­hæf fyr­ir aðra viðskipta­vini.“

Greiði ekki lausn­ar­fé

Þeir sem standa að árás­um af þessu tagi nota oft­ast svo­kölluð yrkja­net (e. bot­net) sem sam­an­standa iðulega af tölv­um og nettengd­um smá­tækj­um sem tölvuþrjót­ar hafa með ein­hverju móti náð stjórn á og geta virkjað til að taka þátt í tölvu­ar­ás hvenær sem er og á hvaða skot­mark sem er. „Þetta eru ekki bara borðtölv­ur eða far­tölv­ur held­ur geta líka verið hvers kyns nettengd tæki og síðustu ár hafa t.d. verið gerðar risa­stór­ar álags­árás­ir þar sem tölvuþrjót­arn­ir nýttu smá­tæki eins og nettengd­ar ör­ygg­is­mynda­vél­ar,“ út­skýr­ir Kristján og bæt­ir við að í árás með yrkja­neti sé oft tug­um og jafn­vel hundruðum þúsunda tölva beitt í einu. „Van­inn er að kaupa árás­ina af þeim sem stýra yrkja­net­um og fer um­fang og lengd árás­ar­inn­ar eft­ir því hve hárri upp­hæð kaup­and­inn er til­bú­inn að eyða. Að gera dæmi­gerða álags­árás sem get­ur sett starf­semi stórra fyr­ir­tækja úr skorðum þarf ekki að vera mjög dýrt og má áætla að kostnaður­inn hlaupi á nokkr­um hundruðum dala á klukku­stund.“

Að und­an­förnu hef­ur verið al­gengt að til­gang­ur álags­árása sé að kúga lausn­ar­fé af fórn­ar­lamb­inu og er þá oft­ast byrjað með um­fangs­minni árás sem á að sýna skot­mark­inu hvað er í vænd­um ef greiðsla er ekki innt af hendi. „Eitt er að standa af sér árás sem var­ir í nokkr­ar klukk­stund­ir og annað að eiga von á árás sem gæti varað næstu tvær vik­urn­ar viðstöðulaust, nema greiðsla ber­ist með t.d. bitco­in inn á reikn­ing sem ekki er hægt að rekja,“ seg­ir Kristján. „Al­mennt er ekki mælt með því að fyr­ir­tæki greiði lausn­ar­féð, bæði til að efla ekki þá sem standa að baki árás­un­um og líka vegna þess að reynsl­an sýn­ir að hót­un­um er oft­ast ekki fylgt eft­ir. Mín kenn­ing er sú að þar sem leig­an á yrkja­net­inu get­ur verið dýr ef árás á t.d. að vara í marga daga þá meti tölvuþrjót­arn­ir það sem svo að ekki svari kostnaði að standa við hót­an­irn­ar.“

Portrett mynd af viðmælanda Kristjáni Vali Jónssyni öryggis sérfræðing hjá SecureIT

Um­ferðinni beint í „þvotta­stöðvar“

En er ekki skrítið að fjár­mála­fyr­ir­tæki sem hljóta að vera með öll sín tölvu­mál á hreinu geti ekki staðið af sér álags­árás? Kristján seg­ir að raun­in sé að svona árás­um sé ekki hægt að verj­ast með því ein­fald­lega að kaupa t.d. fleiri og stærri netþjóna og um­fangs­mikl­um árás­um þurfi oft að svara með rót­tæk­um aðferðum: „Ein leið til að bregðast við álags­árás er að fórn­ar­lambið loki á hluta net­umferðar er­lend­is frá í sam­vinnu við sitt fjar­skipta­fyr­ir­tæki og dreg­ur það oft­ast veru­lega úr þunga árás­ar­inn­ar að því gefnu að yrkja­net­in séu að stærst­um hluta er­lend. Gall­inn við að fara þessa leið er að hún trufl­ar líka eðli­lega um­ferð frá út­lönd­um. Önnur al­geng leið er að nota svo­kalla skrúbb-þjón­ustu þar sem allri net­umferð er beint í gegn­um nokk­urs kon­ar þvotta­stöðvar er­lend­is sem hreinsa í burtu í raun­tíma grun­sam­lega gagnapakka. Þess­ar stöðvar hafa mikla af­kasta­getu en þjón­ust­an kost­ar sitt og því velja viðskipta­vin­irn­ir oft að borga fyr­ir að geta nýtt skrúbb-þjón­ust­una eft­ir pönt­un þegar og ef árás­ir eru gerðar frek­ar en að hafa varn­irn­ar stöðugt virk­ar. Í þeim til­fell­um tek­ur nokk­urn tíma, a.m.k nokkr­ar mín­út­ur, að virkja varn­irn­ar.“

ís­lensk fjár­mála­fyr­ir­tæki urðu fyr­ir nokkuð um­fangs­mik­illi netárás

Kristján bend­ir á að sú rösk­un sem varð um helg­ina sé ekki endi­lega til marks um að netör­ygg­is­vörn­um sé ábóta­vant hjá fyr­ir­tækj­un­um sem árás­in beind­ist að. „Það er vanda­verk að bregðast við þess­um árás­um og tek­ur alltaf ein­hvern tíma. Má líkja svona árás við það að óvænt­ur storm­ur bresti á og þarf þá að hlaupa til og byrja að binda niður lausa muni áður en þeir fjúka en hægt að vinna hraðar og minnka tjónið ef und­ir­bún­ingi og for­vörn­um hef­ur verið rétt sinnt.“

Árás­ir helgar­inn­ar ættu samt, að mati Kristjáns, að minna stjórn­end­ur á mik­il­vægi þess að huga að netör­ygg­is­mál­un­um enda fari árás­un­um bara fjölg­andi og hætta á miklu tjóni. „Fyr­ir­tæki og stofn­an­ir sinna netör­ygg­inu mis­vel og á sama tíma eru geng­in sem standa á bak við árás­irn­ar að efl­ast með hverju ár­inu sem líður og þau orðin mun skipu­lagðari og mark­viss­ari í árás­um sín­um. Er nú svo komið að stjórn­end­ur ættu að meta hætt­una þannig að það séu meiri lík­ur en minni á að fyr­ir­tæki þeirra verði á ein­hverj­um tíma­punkti fyr­ir árás tölvuþrjóta,“ seg­ir hann og bæt­ir við að þau fjár­mála­fyr­ir­tæki sem SecureIT vinni fyr­ir standi vel að sín­um ör­yugg­is­mál­um og vinni stöðugt og mark­visst að því að viðhalda og hækka ör­ygg­is­stig sitt.

Rekst­ur­inn gæti verið í húfi

Fyrsta skrefið til að efla ör­yggi ætti að vera að leita ráðgjaf­ar hjá netör­ygg­is­sér­fræðing­um sem bæði meta hvar fyr­ir­tækið er statt og hvar brýn­ast er að styrkja varn­irn­ar með til­liti til kostnaðar og ávinn­ings. Seg­ir Kristján að fyr­ir sum fyr­ir­tæki sé ekki endi­lega mikið í húfi ef það ger­ist t.d. að um­ferð um vefsíðu rask­ast tíma­bundið, en það get­ur riðið öðrum fé­lög­um að fullu ef óprúttn­um aðilum tæk­ist að brjót­ast inn í tölvu­kerfi þeirra og stela viðkvæm­um gögn­um. Er mik­il­vægt að hvert og eitt fyr­ir­tæki hagi sín­um ör­ygg­is­mál­um í sam­ræmi við sitt áhættumat: „Það bæt­ir oft varn­irn­ar til muna að t.d. velja gaum­gæfi­lega hvað skal vera aðgengi­legt út á in­ter­netið, leyfa ein­göngu samþykkta net­umferð, skipta út eldri og óstudd­um tækj­um og upp­færa og herða tölvu­kerfi vinnustaðar­ins. Eins þarf að hafa áætl­un um það hvernig bregðast skal við árás og jafn­framt gott að fylgja viður­kennd­um stöðlum sem m.a. halda utan um dag­legt viðhald og eft­ir­lit til að tryggja ásætt­an­legt ör­yggi.“

Smelltu hér til að skoða þjónustuframboð SecureIT

Fréttin birtist upphaflega á mbl.is

Leave a Reply

Your email address will not be published.

This site uses Akismet to reduce spam. Learn how your comment data is processed.