Portrett mynd af Kristjáni
CategoriesIndustry Insights

Íslensk fyrirtæki geta verið bitastæð skotmörk í augum tölvuþrjóta og árásir þeirra valdið miklu tjóni

Sumum gæti þótt lýsingar Kristjáns minna á atriði úr mynd um James Bond en hann segir að því miður sé hættan stundum það mikil að varasamt geti verið að hafa t.d. viðkvæm gögn á tölvum og símum í viðskiptaferðalögum.

Íslendingar eru enn svolítið saklausir þegar kemur að netöryggismálum og sýna ekki næga varkárni. Þetta segir Kristján V. Jónsson, tölvuöryggisráðgjafi hjá SecureIT, en fyrirtækið sérhæfir sig í að aðstoða fyrirtæki og stofnanir við að bæta öryggismál sín með heildrænum hætti. 

„Við fylgjum stjórnendum á þessari vegferð, því það að hafa upplýsingaöryggið í lagi er nokkurs konar þroskaferli þar sem þarf stöðugt að vinna að því að gera betur. Á sama tíma verður að haga vörnunum í samræmi við þarfirnar á hverjum stað og engar þumalputtareglur til um það hve miklar ráðstafanir þarf að gera,“ útskýrirKristján. „Þar sem unnið er með mikið af persónugreinanlegum upplýsingum eða viðkvæmum fjárhagsupplýsingum á borð við kortanúmer væri eðlilegt að hafa hærra öryggisstig en hjá t.d. litlu fyrirtæki sem heldur bara úti einfaldri heimasíðu og tölvupósti og er ekki með neina sölu yfir vefinn.“

Kostnaðurinn og fyrirhöfnin við að viðhalda viðunandi öryggisstigi er að sama skapi breytilegur og segir Kristján að jafnvel hjá litlu
fyrirtæki sé það umhugsunarvert ef ekki er ráðstafað a.m.k. nokkrum vinnustundum í viku í öryggismálin. „Minni fyrirtækjum hentar vel að fá aðstoð utanaðkomandi ráðgjafa í hlutverki tæknilegs öryggisstjóra enda hafa þau ekki sömu forsendurnar til að ráða og þjálfa manneskju í slíka stöðu í fullu starfi.

Það er nauðsynlegt að leggja nægilegan tíma jafnt og þétt í öryggismálin því tækniumhvefið og ógnirnar taka stöðugum breytingum.“

Tölvuþrjótar hafa áhuga á Íslandi

Um þá tilhneigingu Íslendinga að vera gálausir þegar kemur að netöryggi segir Kristján að þar sé eflaust því um að kenna að Ísland er öruggt samfélag og ríkt í Íslendingum að treysta öðrum. „Ég heyri það líka oft í mínu starfi að fólk telur að tölvuþrjótarnir hafi engan áhuga á Íslandi, enda bara lítil eyja norður í Atlantshafi. En raunin er með netið að þar skipta landsvæði engu máli og óprúttnir aðilar eru sí og æ að skima vefinn eftir mögulegum skotmörkum hvar svo sem í heiminum þau er að finna. Eru ógnirnar þær sömu á Íslandi, Þýskalandi eða Bandaríkjunum og sáum við það t.d. þegar Log4j-öryggisgallinn kom í ljós seint á síðasta ári að tölvuþrjótarnir biðu ekki boðanna og hófu strax að leita hátt og lágt að kerfum sem væri hægt að komast inn í til að misnota þessa glufu.“ 

Kristján segir það líka útbreidda ranghugmynd að íslensk fyrirtæki og stofnanir séu ekki góð skotmörk. Það hefst kannski lítið upp úr því að ætla að krefja íslenskt félag um margar milljónir dala í lausnargjald vegna gagnagíslatöku, en þess þekkist dæmi að tölvuþrjótarnir hafi haft umtalsverðar upphæðir upp úr krafsinu með hnitmiðuðum og útpældum árásum sem beint var að Íslandi. 

„Við vitum t.d. um tilvik þar sem milljónir króna hafa tapast vegna svokallaðra forstjórasvika þar sem tölvuþrjótum tekst að villa á sér heimildir og blekkja fyrirtæki til að millifæra háar fjárhæðir inn á bankareikninga. Einnig hafa allstórar upphæðir farið í súginn í gíslatökuárásum, ýmist vegna greiðslu lausnargjalds eða einfaldlega í formi dýrmætra gagna sem glötuðust eða vinnustunda sem töpuðust á meðan kerfi og gögn voru óaðgengileg,“ segir Kristján og bætir við að aðeins lítill hluti slíkra árása rati í fréttir. 

„Er þá eftir að nefna hættuna á iðnaðarnjósnum en fjöldi íslenskra fyrirtækja býr að dýrmætu hugviti sem er afrakstur langrar þróunar- og rannsóknarvinnu. Þetta eru verðmæti sem margir geta haft áhuga á að komast yfir og eitthvað sem fyrirtæki í öðrum löndum hafa tamið sér að gæta sín sérstaklega á.“

Mynd af Pikachu

Ert þú að veiða Pikachu eða er Pikachu að veiða þig?

Hugvitssemi tölvuþrjótanna á sér engin takmörk og segir Kristján að þeir séu oft leiftursnöggir að nýta sér minnstu tækifæri til að koma óværu inn á síma og tölvur fólks. „Snjallsímaleikurinn Pokemon GO naut t.d. mikilla vinsælda hér um árið en leikurinn var þó ekki fáanlegur strax í öllum löndum. Þeir sem vildu spila hann þurftu því að leita að óopinberum útgáfum leiksins sem voru í boði hér og þar á vefnum,“ segir Kristján. „Strákurinn minn nauðaði mikið í mér að ná í leikinn fyrir hann svo að ég fór að skoða hvað var í boði. Viti menn,
margar af þeim óopinberu útgáfum af Pokemon GO sem ég fann á þeim tíma reyndust innihalda spilliforrit sem smituðu síma þeirra sem sóttu forritin. Minnir þetta á að fólk þarf að hugsa sig tvisvar um áður en það setur upp hugbúnað og reyna að meta áhættuna eftir því hvaðan hugbúnaðurinn kemur og hvort útgefandinn er traustsins verður.“

Ættu að nálgast viðskiptaferðir eins og James Bond

Kristján undirstrikar að gott net- og gagnaöryggi kalli ekki á takmarkalausa tortryggni en óhætt væri fyrir landsmenn, bæði í störfum sínum og einkalífi, að temja sér ögn meiri varkárni. „Það er ágætis dæmi um hugarfar okkar að nýleg rannsókn leiddi í ljós að Íslendingar eru mun viljugri en aðrir Evrópubúar til að samþykkja vefkökur, og stór hluti landsmanna virðist ekki gera sér grein fyrir því hvernig nota má vefkökur til að safna upplýsingum um netnotkun þeirra. Væri athugandi að flétta það inn í námskrá grunnskólanna að kenna börnum og unglingum að umgangast netið betur og gera þau betur meðvituð um hvernig aðrir geta safnað um þau upplýsingum til dæmis gegnum það sem þau birta á samfélagsmiðlum.“

Sumir ættu að vera enn varkárari en aðrir og nefnir Kristján að stjórnendur fyrirtækja, tæknimenn með aðgang að viðkvæmum kerfum og jafnvel stéttir á borð við blaðamenn verði að gera heiðarlegt mat á því hvort einhver kunni að hafa þá í sigtinu og hafi eitthvað að græða á því að komast inn í tölvur þeirra og tæki. „Eru sum innlend fyrirtæki farin að setja strangari reglur af þeim sökum og gefa tilteknu starfsfólki skýr fyrirmæli um t.d. hvaða forrit þau mega ekki hlaða inn á farsíma sinn eða fartölvu, að enginn annar megi nota tækin og jafnvel að sérreglur gilda um þau tæki sem notuð eru í ferðalögum erlendis.“

Sumum gæti þótt lýsingar Kristjáns minna á atriði úr mynd um James Bond en hann segir að því miður sé hættan stundum það mikil að varasamt geti verið að hafa t.d. viðkvæm gögn á tölvum og símum í viðskiptaferðalögum.

„Þá geta óprúttnir aðilar átt auðveldara með að komast í tækin þegar fólk er á ferðalagi og er t.d. til þekkt tölvuárás sem kallast „evil maid“ eða „vonda herbergisþernan“, þar sem tölvuþrjótar sæta lagi á meðan eigandinn skýst t.d. í morgunmat á hóteli sínu, stelast inn í herbergi hans og skrúfa fartölvu hans í sundur til að gera afrit af harða diskinum eða koma fyrir njósnabúnaði.“ 

Bendir Kristján á að það geti líka verið hluti af vörnunum að fólk geri sig ekki of sýnilegt á samfélagsmiðlum. „Ef forstjórinn er t.d. mjög duglegur á samfélagsmiðlum og lætur allan heiminn vita þegar hann fer í sólarstrandarferðalag þá gæti það verið tækifærið sem tölvuþrjótarnir voru að bíða eftir til að reyna að plata gjaldkerann til að gera millifærslu.“

 

Greinin birtist fyrst í Morgunblaðinu þann 2. febrúar 2022 og var skrifuð af Ásgeiri Ingvarssyni.

Leave a Reply

This site uses Akismet to reduce spam. Learn how your comment data is processed.