Öryggismál

Vírusvarnarforrit voru snemma skrifuð hér á landi. Með sífellt flóknari tölvusamskiptum og netvæðingu hafa margir aðilar og fyrirtæki sérhæft sig í tölvuöryggi og greiningu á helstu áhættuþáttunum.

Nafn Friðriks J. Skúlasonar er nátengt sögu vírusvarna á Íslandi. Um þær mundir er Friðrik var að ljúka háskólanámi sínu tók hann sem lokaverkefni til BS-prófs tölvugreiningu á beygingu orða. Seinna þróaði hann verkefnið áfram og fór að selja það sem forrit sem greindi stafsetningarvillur. Þetta var upphafið að Púkanum, sem hann vann lengi við að þróa og fullkomna og var seinna selt með ritvinnsluforritum.[1] Það var þó annar hugbúnaður, vírusvarnarforritið Lykla-Pétur, sem kom Friðriki enn frekar á kortið. Um aðdragandann að gerð fyrstu útgáfu forritsins segir Friðrik:

Ég var náttúrlega bara eins manns forritunarfyrirtæki en samt sem áður hafði mér tekist að skrifa eitt forrit á ári fyrir almenning, selja þau og lifa á því. Árið 1988 varð ég fyrir því að fá vírus í tölvuna og datt eiginlega inn í þann bransa fyrir tilviljun 1989. Ég var í Háskólanum, fór í sálfræði meðfram tölvufræðinni. Ég ætlaði nefnilega að fara í nám í gervigreind, hafði tekið stefnuna á að fara út til Stanford eða MIT. Svo tók ég að að mér eitt smáverkefni fyrir IBM á Íslandi, einfalt vélamáls-forritunarverkefni. Til þess að geta prófað það þurfti ég að vinna þarna í IBM-húsinu við Stigahlíð þar sem 365 miðlar eru nú. Og akkúrat þegar ég er þar þá lendir IBM um allan heim í vírussmiti, þeir fá vírus sem heitir Cascade inn á kerfið hjá sér. Þetta var einn af þeim vírusum, sem var dálítið skemmtilegur, stafirnir fóru að hrynja niður skjáinn og enduðu í hrúgu á botninum. Svo skrifaði ég lítið forrit til að finna vírusinn og eyða honum. Síðan náði ég mér í nokkra fleiri vírusa og hafði samband við aðila úti um allan heim, ég var farinn að nota tölvupóst á þessum tíma, það var lykilatriði. [2]

Friðrik bendir á að vírusvarnarforrit á borð við Lykla-Pétur verði að uppfæra mjög ört og þess vegna sé eina vitið að selja það í áskrift. Hugbúnaðarsala sé hins vegar enginn dans á rósum og mikið um sjóræningjastarfsemi, en í tilviki vírusvarna er það reyndar skammgóður vermir.

Vírusvarnarforritið Lykla-Pétur er enn við lýði, en Cyren Iceland hefur tekið við sölu þess eftir að hafa verið sameinað vírusvarnarhluta Friðriks Skúlasonar ehf. í upphafi árs 2014.

Tölvuárásir eru enn ein óværan sem herjað hafði á netnotendur eftir því sem nær leið 2014 og meðal þess sem fjallað hefur verið um á UT-vefnum.[3]

Afstaðan til gagnaöryggis

Í tímaritinu Tölvumálum 2011 er sagt frá könnun sem gerð var meðal íslenskra fyrirtækja um stöðu og viðhorf til öryggisstefnu og upplýsingaöryggis. Niðurstöðurnar sýna fram á að íslensk fyrirtæki sem meðhöndla persónuupplýsingar og/eða aðrar viðkvæmar upplýsingar séu meðvituð um upplýsingaöryggi. Meirihluti þeirra sem markað hafa öryggisstefnu stefndu að vottun samkvæmt upplýsingaöryggisstaðlinum ISO/IEC 27001. Íslensk fyrirtæki finna fyrir því að erlend fyrirtæki gera kröfu um öryggisstefnu svo að viðskipti geti átt sér stað. Samkvæmt könnuninni þurfa fyrirtæki á sviði heilbrigðis- og upplýsingatækni einna helst að marka öryggisstefnu til að lifa og dafna á markaði, en fast á hæla þeirra eru fyrirtæki á sviði fjármála, fjarskipta og hugbúnaðar.[4]

Öryggismálin tækifæri en ekki kvöð

„Fólk er farið að sjá tækifæri í öryggismálum, ekki bara að það sé kvöð,“ segir Theódór Gíslason hjá Syndis, sem sérhæft hefur sig í tölvuöryggismálum. Fyrirtækið var stofnað í ársbyrjun 2014. „Það er einkum á síðustu árum að fyrirtæki hafa séð tækifæri til að auka gæði vöru sinnar með því að sinna örygginu betur en áður.“[5]

Nokkur fyrirtæki á Íslandi hafa sérhæft sig í öryggismálum, auk Syndis má nefna annað sprotafyrirtæki, Nanitor. Fleiri fyrirtæki hafa komið að málum sem helga hluta af starfsemi sinni öryggismálum. Theódór var ungur á árum er hann fór að vinna að öryggismálum, en hann hafði góðan bakgrunn til þess sem fær hakkari. Hann kenndi meðal annars á námskeiði um tölvuöryggi og dulkóðun á meistarastigi hjá Háskóla Íslands á árunum 2004 og 2005 og síðar námskeið um tölvuöryggi ásamt Ými Vigfússyni við Háskólann í Reykjavík. Áður en hann stofnaði Syndis ásamt fleirum vann hann meðal annars hjá KPMG við að gera öryggisúttektir og innbrotsprófanir.

Miklar breytingar hafa orðið hvað varðar afstöðu fólks til öryggismála, meiri áhugi og þekking en þó finnst Theódór langt í land með að æðstu stjórnendur hafi þekkingu og skilning á öryggismálum. „Við erum alltaf að verða tengdari á allan hátt og þar af leiðandi háðari öryggismálum. Löggæslan er orðin meðvituð um tölvuöryggi og margt hefur orðið til þess að ýta við fólki.“

Þurfti krakka í Tyrklandi til að opna augu fólks

Innbrotið á vefsvæði Vodafone í nóvember 2013 vakti mikla fjölmiðlaathygli og þá komust öryggismál í sviðsljósið. „Það er sorglegt að það skuli hafa þurft krakka í Tyrklandi til að opna augu fólks,“ segir Theódór, en hann var fenginn til að gera tæknilega greiningu á atvikinu og skila inn skýrslu á fyrsta sólarhringnum eftir atvikið. Hann var leystur undan trúnaði varðandi þetta mál og gat því tjáð sig þegar fjölmiðlaherinn herjaði á hann í kjölfar atviksins. Mest áhersla var á að greina hversu langt þessi árás hefði gengið og leita af sér vafa um að hún hefði farið eins skammt og raun bar vitni. Því var hægt að slá því föstu að í þessu tilviki hefðu gerendur ekki haft mikla þekkingu, þótt þeir hafi ekki fundist. „Það hafa orðið fjölmörg önnur atvik bæði á undan og eftir Vodafone, sem eru svo miklu alvarlegri að Vodafone-árásin fölnar. Ef fólk hefði hugmynd um hvað raunverulega er hægt að gera þá myndi það eflaust líta þessi mál öðrum augum.“

Þótt þetta tiltekna atvik hafi ekki verið sérlega alvarlegt miðað við mörg önnur þá varð ákveðin vitundarvakning í kjölfar þess. Bylgja af fyrirtækjum og stofnunum vildi láta gera úttekt á öryggismálum sínum. Syndis, sem þá var nýstofnað fyrirtæki, hafði ekki undan næstu níu mánuðina. „Dæmi voru um að fyrirtæki tækju frekar niður vefsíðuna sína en að tefla á tvær hættur. Stærri fjármálafyrirtækin tóku málin strax mjög alvarlega en mörg hugbúnaðarfyrirtæki hafa öryggismál alls ekki nógu hátt á forgangslistanum.“ Theódór segir þó að flestir þeir sem eru með mikla veltu eða fjalla um viðkvæmar upplýsingar séu mjög meðvitaðir um öryggismál.

Eins konar útrás í öryggismálum

Því fer fjarri að íslensk fyrirtæki séu ein um að sækja þjónustu til Syndis, viðskiptavinirnir eru úti um allan heim. „Að sumu leyti erum við langt á eftir öðrum hér, við erum ekki vön þeirri hugsun að verið sé að ræna frá okkur. Á móti kemur að það var erfiðara að stela fé frá landinu meðan gjaldeyrishöft voru eftir bankahrunið 2008. Íslenski hugsunarhátturinn: Þetta reddast! gengur ekki,“ segir Theódór og bendir á að samkvæmt tölfræði um árásir, til dæmis á einstaklingstölvur hér á landi og erlendis, sé tíðnin svipuð hér og annars staðar.

Nemendur í hugbúnaðargerð ættu að læra um öryggismál

Tölvuöryggi spannar mjög vítt svið, allt frá því að fólk sé einfaldlega blekkt til að gefa upp lykilorð sitt, til töluvert flókinna innbrota. Theódór bendir á að þótt nemendur í tölvunarfræði velji sér í vaxandi mæli valnámskeið í tölvuöryggi þá ætti í rauninni ekki að hleypa nemendum í að læra hugbúnaðargerð nema kynna þeim grunnatriði um öryggismál. Ástæða öryggisbrests sé mjög oft einhver villa í kóða og til séu flokkar af villum sem ætti að vera hægt að sneiða hjá. Algengt sé að inntaksstjórnun sé ekki nógu góð né staðfestingarferli inntaks eða gagna (validation).

Ýmsar upplýsingar sem fjallað er um á veraldarvefnum eru sérlega viðkvæmar, til dæmis þær sem tengjast sjúkdómum og lyfjagjöf, og ekki sjálfgefið að það fólk sem skrifar hugbúnað á því sviði hafi lært eitthvað um öryggismál. Theódór segir ekki nóg að hafa tékklista til að vinna eftir, spurningin sé hvort fólk skilji þá hættu sem fyrir hendi er. „Ég sá Vodafone-villuna í einhverri útgáfu þegar árið 1990 og finnst sorglegt að sjá alltaf sömu villurnar aftur og aftur í hugbúnaði. Rót vandamálsins er sú að ekki er búið að breyta hugarfarinu.“[6]

Tölvuárásir fengu sífellt meiri umfjöllun er nær dró árinu 2014. Á UT-vefnum var farið allnáið út í hvers konar árásir eru algengastar:

Almennt ganga tölvuárásir út á það að stela upplýsingum, skipta út eða breyta innihaldi vefsíðna, og trufla þjónustu með einum eða öðrum hætti. Ástæður fyrir árásum geta verið margvíslegar. Oftast eru þær gerðar í auðgunarskyni. Reynt er að komast yfir greiðslukortanúmer, notendanöfn og lykilorð sem veita aðgang að fjármunum. Árásir eru líka gerðar í pólitískum tilgangi þar sem vefsíðum er til dæmis skipt út fyrir pólitískan áróður. Einnig hefur færst í vöxt að tölvuárásir hafi verið nýttar við iðnaðarnjósnir þar sem viðkvæmum og dýrmætum upplýsingum er stolið. Þá eru tölvuhryðjuverk fyrirsjáanleg þar sem takmarkið er að valda skaða á mikilvægum innviðum þjóðfélagsins.

Dæmi um algengar tölvuárásir eru DOS árásir, user/password bruteforce árásir, misnotkun þekktra öryggisgalla (til dæmis sem finnast í gömlum hugbúnaði) og innspýtingarárásir.

• DOS árásir (e. Denial Of Service) ganga út á að trufla þjónustur þannig að þær hætti að svara eða að svartími verði svo langur að ekki sé raunhæft að nota þær (vefþjónustur, póstþjónustur, aðrar þjónustur). Er það oft gert með því að valda gríðarmiklu álagi á tiltekin kerfi eða með því að misnota þekkta öryggisveikleika.
• User/password bruteforce árásir ganga út á það að prófa mismunandi notendanöfn og lykilorð í þaula þangað til að aðgangi er náð að viðkomandi upplýsingakerfi.
• Misnotkun þekktra öryggisgalla gengur út að að finna á netinu gamlar útgáfur af hugbúnaði með þekktum öryggisgöllum og nýta glufur til að komast inn í lokuð kerfi. Þetta gæti til dæmis átt við um stýrikerfi, gagnagrunnskerfi eða veflausnir. Innspýtingarárásir ganga út á að notfæra sér veikleika í veflausn í tilvikum þar sem til dæmis inntaksgögn frá notendum eða kerfum eru ekki síuð nægilega vel. …

Innspýtingarárás sem þessi getur veitt viðkomandi aðila aðgang að undirsíðum vefsins.[7]