Að minnsta kosti fjögur íslensk fjármálafyrirtæki urðu fyrir nokkuð umfangsmikilli netárás um helgina og hafði hún m.a. þær afleiðingar að á tímabili gátu sum fyrirtæki ekki tekið við greiðslukortum.
Kristján Valur Jónsson er tölvuöryggissérfræðingur hjá SecureIT og segir að um svokallaða álagsárás (e. DDoS) hafi verið að ræða og fer þannig fram að ótal tölvur og annar tæknibúnaður um allan heim eru virkjuð til að teppa tölvukerfi fórnarlambsins og gera þannig þjónustur viðkomandi óaðgengilegar eða ónothæfar. „Þeir sem gera slíkar árásir geta beitt nokkrum mismunandi aðferðum en markmiðið er alltaf að senda mikið magn gagnapakka á skotmarkið. Gagnamagnið er það mikið að vefþjónar, eldveggir, DNS-þjónar og ytri varnir þess sem árásin beinist gegn ráða ekki við álagið svo að kerfið annaðhvort liggur niðri eða að hægir svo mikið á umferðinni að viðskiptavinir og aðrir notendur komast ekki að. Má líkja þessu við það ef allir nemendur eins menntaskóla tækju stefnuna á sömu ísbúðina á sama tíma: fljótt yrði fullt út úr dyrum og ísbúðin væri ekki lengur starfhæf fyrir aðra viðskiptavini.“
Greiði ekki lausnarfé
Þeir sem standa að árásum af þessu tagi nota oftast svokölluð yrkjanet (e. botnet) sem samanstanda iðulega af tölvum og nettengdum smátækjum sem tölvuþrjótar hafa með einhverju móti náð stjórn á og geta virkjað til að taka þátt í tölvuarás hvenær sem er og á hvaða skotmark sem er. „Þetta eru ekki bara borðtölvur eða fartölvur heldur geta líka verið hvers kyns nettengd tæki og síðustu ár hafa t.d. verið gerðar risastórar álagsárásir þar sem tölvuþrjótarnir nýttu smátæki eins og nettengdar öryggismyndavélar,“ útskýrir Kristján og bætir við að í árás með yrkjaneti sé oft tugum og jafnvel hundruðum þúsunda tölva beitt í einu. „Vaninn er að kaupa árásina af þeim sem stýra yrkjanetum og fer umfang og lengd árásarinnar eftir því hve hárri upphæð kaupandinn er tilbúinn að eyða. Að gera dæmigerða álagsárás sem getur sett starfsemi stórra fyrirtækja úr skorðum þarf ekki að vera mjög dýrt og má áætla að kostnaðurinn hlaupi á nokkrum hundruðum dala á klukkustund.“
Að undanförnu hefur verið algengt að tilgangur álagsárása sé að kúga lausnarfé af fórnarlambinu og er þá oftast byrjað með umfangsminni árás sem á að sýna skotmarkinu hvað er í vændum ef greiðsla er ekki innt af hendi. „Eitt er að standa af sér árás sem varir í nokkrar klukkstundir og annað að eiga von á árás sem gæti varað næstu tvær vikurnar viðstöðulaust, nema greiðsla berist með t.d. bitcoin inn á reikning sem ekki er hægt að rekja,“ segir Kristján. „Almennt er ekki mælt með því að fyrirtæki greiði lausnarféð, bæði til að efla ekki þá sem standa að baki árásunum og líka vegna þess að reynslan sýnir að hótunum er oftast ekki fylgt eftir. Mín kenning er sú að þar sem leigan á yrkjanetinu getur verið dýr ef árás á t.d. að vara í marga daga þá meti tölvuþrjótarnir það sem svo að ekki svari kostnaði að standa við hótanirnar.“
Umferðinni beint í „þvottastöðvar“
En er ekki skrítið að fjármálafyrirtæki sem hljóta að vera með öll sín tölvumál á hreinu geti ekki staðið af sér álagsárás? Kristján segir að raunin sé að svona árásum sé ekki hægt að verjast með því einfaldlega að kaupa t.d. fleiri og stærri netþjóna og umfangsmiklum árásum þurfi oft að svara með róttækum aðferðum: „Ein leið til að bregðast við álagsárás er að fórnarlambið loki á hluta netumferðar erlendis frá í samvinnu við sitt fjarskiptafyrirtæki og dregur það oftast verulega úr þunga árásarinnar að því gefnu að yrkjanetin séu að stærstum hluta erlend. Gallinn við að fara þessa leið er að hún truflar líka eðlilega umferð frá útlöndum. Önnur algeng leið er að nota svokalla skrúbb-þjónustu þar sem allri netumferð er beint í gegnum nokkurs konar þvottastöðvar erlendis sem hreinsa í burtu í rauntíma grunsamlega gagnapakka. Þessar stöðvar hafa mikla afkastagetu en þjónustan kostar sitt og því velja viðskiptavinirnir oft að borga fyrir að geta nýtt skrúbb-þjónustuna eftir pöntun þegar og ef árásir eru gerðar frekar en að hafa varnirnar stöðugt virkar. Í þeim tilfellum tekur nokkurn tíma, a.m.k nokkrar mínútur, að virkja varnirnar.“
íslensk fjármálafyrirtæki urðu fyrir nokkuð umfangsmikilli netárás
Kristján bendir á að sú röskun sem varð um helgina sé ekki endilega til marks um að netöryggisvörnum sé ábótavant hjá fyrirtækjunum sem árásin beindist að. „Það er vandaverk að bregðast við þessum árásum og tekur alltaf einhvern tíma. Má líkja svona árás við það að óvæntur stormur bresti á og þarf þá að hlaupa til og byrja að binda niður lausa muni áður en þeir fjúka en hægt að vinna hraðar og minnka tjónið ef undirbúningi og forvörnum hefur verið rétt sinnt.“
Árásir helgarinnar ættu samt, að mati Kristjáns, að minna stjórnendur á mikilvægi þess að huga að netöryggismálunum enda fari árásunum bara fjölgandi og hætta á miklu tjóni. „Fyrirtæki og stofnanir sinna netörygginu misvel og á sama tíma eru gengin sem standa á bak við árásirnar að eflast með hverju árinu sem líður og þau orðin mun skipulagðari og markvissari í árásum sínum. Er nú svo komið að stjórnendur ættu að meta hættuna þannig að það séu meiri líkur en minni á að fyrirtæki þeirra verði á einhverjum tímapunkti fyrir árás tölvuþrjóta,“ segir hann og bætir við að þau fjármálafyrirtæki sem SecureIT vinni fyrir standi vel að sínum öryuggismálum og vinni stöðugt og markvisst að því að viðhalda og hækka öryggisstig sitt.
Reksturinn gæti verið í húfi
Fyrsta skrefið til að efla öryggi ætti að vera að leita ráðgjafar hjá netöryggissérfræðingum sem bæði meta hvar fyrirtækið er statt og hvar brýnast er að styrkja varnirnar með tilliti til kostnaðar og ávinnings. Segir Kristján að fyrir sum fyrirtæki sé ekki endilega mikið í húfi ef það gerist t.d. að umferð um vefsíðu raskast tímabundið, en það getur riðið öðrum félögum að fullu ef óprúttnum aðilum tækist að brjótast inn í tölvukerfi þeirra og stela viðkvæmum gögnum. Er mikilvægt að hvert og eitt fyrirtæki hagi sínum öryggismálum í samræmi við sitt áhættumat: „Það bætir oft varnirnar til muna að t.d. velja gaumgæfilega hvað skal vera aðgengilegt út á internetið, leyfa eingöngu samþykkta netumferð, skipta út eldri og óstuddum tækjum og uppfæra og herða tölvukerfi vinnustaðarins. Eins þarf að hafa áætlun um það hvernig bregðast skal við árás og jafnframt gott að fylgja viðurkenndum stöðlum sem m.a. halda utan um daglegt viðhald og eftirlit til að tryggja ásættanlegt öryggi.“
Smelltu hér til að skoða þjónustuframboð SecureIT
Fréttin birtist upphaflega á mbl.is