Það er mikilvægt að einfalda viðfang og skilning fólks þegar kemur að upplýsingum á upplýsingaöld sem þessari. Þetta er kjarni málsins þegar fjallað er um upplýsingaöryggi. Þessi skilningur er ekki meðfæddur og skal það ekki tekið sem sjálfsagður hlutur að hver og einn eigi eða þurfi á þessum skilningi að halda. Hins vegar kemur það í verkahring þeirra sem meðhöndla upplýsingar á einn eða annan hátt að öðlast þessa kunnáttu, sem felur í sér hvernig rétt sé að meðhöndla tiltekna tegund upplýsinga í þeim tilgangi að vernda þær frá illgjörnum tilgangi. Það er mikill misskilningur að „rétt“ meðhöndlun og verndum upplýsinga sé eingöngu ábyrgð þeirra sem starfa í tölvudeildum fyrirtækja eða hafa upplýsingaöryggi í starfsheiti sínu.

Rétt meðhöndlun í þessu samhengi stýrist af því hverjar upplýsingarnar eru og hversu mikilvægar þær eru í samhengi við þá notkun sem á sér stað. Þetta ábyrgðarhlutverk fellur í garð notenda; hvort sem talað er um almennt [starfs-] fólk sem býr til upplýsingarnar, notar þær eða kerfisfræðinga (af óskilgreindum toga).

Kerfis- og upplýsingaöryggis sérfræðingar

Að sama skapi er ekki síður mikilvægt fyrir kerfis- og upplýsingaöryggisfræðinga að vera í stakk búnir að greina hvernig best er að vernda upplýsingarnar, út frá því hversu mikilvægar þær eru stofnunum og einstaklingum sem kunna að hafa aðgang að þeim. Sömuleiðis þarf að vernda upplýsingarnar svo að þær komist ekki í hendur þeirra sem gætu misnotað þær á einhvern hátt, t.d. til fjársvika.

Oft skapast mikill misskilningur á milli þessara tveggja flokka, þ.e.a.s. þeirra sem búa til upplýsingar og nota þær og þeirra sem hafa það í sínum verkahring að vernda þær í tölvukerfum og víðari netkerfum.

Hefðbundin meðhöndlun upplýsinga

Grunnmeðhöndlun upplýsinga hefur hinsvegar ekki breyst svo mikið að það valdi okkur sem meðhöndlum þær erfiðleikum þegar kemur að skilningi okkar á mikilvægi þeirra í okkar vinnu. En það getur vafist fyrir þeim einstaklingum sem eru síður tæknivæddir og gera sér ekki grein fyrir líklegum hættum sem upplýsingum stafar af í nútíma samfélagi. Ætluð notkun upplýsinga hefur hins vegar aldrei fyrr verið eins víðtæk og breytileg sem og nú, með tilkomu stórra gagnasafna, skýjum af ýmsum toga, vélrænu námi, gervigreind, tækni og nýsköpun af ýmsum toga og ýmissa nýs búnaðar í persónulegri tækni á borð við tölvuúra o.s.frv.

Upplýsingar „fljóta“ alstaðar um og margfaldast á degi hverjum. Hraði margföldunar eykst að sama skapi með hverjum deginum. Á áhugi illræmdra einstaklinga vex á sama hraða, ef ekki hraðar. Erfiðara verður að vernda upplýsingar þegar kemur að nýrri tækni og breyttri hegðun notenda við upptöku nýrrar tækni. Í því samhengi má einnig nefna persónulega notkun snjallsíma, tölvuúra, spjaldtölva, nettengdra ísskápa, bíla o.s.frv. Listinn er óendanlegur, ef meðtalin er sú tækni sem notuð er í faggeirum fyrirtækja.

Traust og þekking

Hluti af vandanum við að vernda upplýsingar felst í vanþekkingu og notkun á úreldum stöðlum og aðferðum við upplýsingavernd. Ásamt því að taka ekki til greina fyrirætlanir fyrirtækja við notkun og vistum upplýsinganna. Ekki er lengur hægt að vanrækja þá þekkingu, reynslu og kunnáttu sem þarf til að vernda upplýsingar. Enn fremur má ekki gleyma því að verndun upplýsinga byggist á ýmsum stöðlum, s.s ISO27XXXX, SOC 1/2/3 og fleirum, því oftar en ekki, þrátt fyrir réttu umfangi og beitingu þeirra – er ósennilegt að þeir nái að réttri túlkun við innleiðingu.

Upplýsingaöryggi verður, sem fyrr segir, að mótast af ætlaðri notkun fyrirtækja og einstaklinga á upplýsingunum og hugsanlegri hættu sem stafar af misnotkun þeirra. Einnig þarf að taka mið af þeirri tæknikunnáttu sem hefur ekki talist nauðsynleg fram að þessu. Ekki má gleyma því flækjustigi sem felst í því að gangast við kröfum laga eða reglugerðar [svo dæmi séu tekin] á borð við komandi ESB reglugerð (nr. 2016/679 - GDPR[1]), sem fjallar sérstaklega um persónuvernd og rétt einstaklinga við almenna meðhöndum persónuupplýsinga. Það hefur ætíð fallið í hendur upplýsingaöryggissérfræðinga að finna tæknileg ráð og stillingar í tölvukerfum sem uppfylla kröfur slíkra reglugerða, og oftar en ekki er sennilegt að slíkar kröfur brjóti í bága við ætlaða notkun fyrirtækja á sömu upplýsingum.

Notkun og nútíma tækni

Fyrirtæki af ýmsum toga fjárfesta þessa dagana í tækni sem ætlað er að aðstoða við greiningu á hegðun og þörfum viðskiptavina. Umfram flest, með það að leiðarljósi að greina leiðir til að auka viðskiptin. Þessi stefna felur í sér notkun mikilla upplýsinga sem getur að líkindum auðkennt einstaklinga eða háttsemi þeirra og getur í sumum tilfellum stefnu fyrirtækja. Hvort um sig má telja til viðkvæmra upplýsinga sem hægt er að misnota, svo og bresti í öryggi ef þær komast í hendur rangra aðila.

Hér má einnig fjalla um þann mátt þeirra sem vilja ná yfirtökum á stýribúnaði tækja, með þeirri áætlun að valda fyrirtæki eða einstaklingum skaða. Tekið skal fram að þessi staðreynd á ekki eingöngu við um „erlend“ fyrirtæki – heldur líka um Íslensk fyrirtæki. Vanrækt á upplýsingavernd slíkra upplýsinga getur í flestum Evrópulöndum haft í för með sér háar sektir, svo ekki sé minnst á minnkandi orðstír fyrirtækja sem verða fyrir brotunum. Í alvarlegum tilfellum má jafnvel gera ráð fyrir mannskaða.

Ný tækni í samhengi upplýsingaöryggis

Tækni á borð við ský, vélrænt nám (e. machine learning), gervigreind og vélrænni lífkennagreiningu er ekki ný af nálinni. Aukin notkun þessarar tækni færir upplýsingaöryggissérfræðingum svefnlausar nætur. Hér er átt við upplýsingar sem geymdar eru í „opinberu“ skýi sem stjórnað er af gervigreind, þar sem umsjón og aðgengi að upplýsingum er að flestu leyti í höndum þriðja eða jafnvel fjórða aðila, þ.e. annarra en starfsmanna fyrirtækjanna þar sem upplýsingarnar eiga uppruna sinn. Í þessu samhengi er ekki hægt að verða sér úti um núverandi staðla og ætla sér að greina og ráða fram úr hvernig best sé að vernda þær upplýsingar sem vistaðar eru í tilteknu tækniumhverfi.

Fyrir þessu eru ýmsar ástæður. Blanda af mismundandi tækni, breytt notkun upplýsinga, þær mörgu „hendur“ sem koma að umsjón mismunandi tækniumhverfa, nauðsynleg lög eða reglugerðir og líftími upplýsinga innan viðkomandi tækniumhverfis bæta frekar á flækjustig viðfangs sem upplýsingarnar eru vistaðar innan. Þar af leiðandi eru lagðar nýjar og frekar flóknar kröfur til notenda upplýsinganna, sem og á upplýsingaöryggissérfræðinga um að ná framgangi verndunar frá upphafi til enda. Þetta getur falið í sér verndun upplýsinga allt frá uppruna þeirra, sem oft má rekja til pappírsforms.

Ný tækifæri

Ísland er afar vel í stakk búið að staðsetja nýja leiðir í upplýsingaöryggi. Einkum og sér í lagi vegna þess hversu lítil þjóðin er og vegna hátta landans. Þá er átt við þær staðreyndir að Íslendingar hafa oft fleiri en eitt starfshlutverk vegna fólksfæðar. Erlendis þekkist frekar að eitt vel skilgreint starfshlutverk fellur eingöngu undir ábyrgðasvið eins starfsmanns/-konu. Mikilvægt er að skilgreina frekar að hér er eingöngu átt við einstaklinga sem vinna til dæmis sem kerfisstjórar með aukna þekkingu á verndun upplýsingakerfa. Fullgilding á öryggisstillingum kerfa væri hinsvegar framkvæmt af sjálfvirku kerfi og/eða sjálfstæðum einstaklingum með viðeigandi og dýpri þekkingu á málefninu, svo ekki stafi hætta á misferli.

Einfaldast og áhrifamest væri að sjá til þess að upplýsingatækni verði ekki sér fag eins og sést nú í öðrum löndum, heldur væri nær að sjá til þess að verndun upplýsinga verði hluti af hvers starfi einstaklings – hvað svo sem formlegt starfsheiti þess einstaklings ku vera.

Ragna María er menntuð í upplýsingaöryggi (MSc in IT security engineering) frá Bretlandi og býr yfir margra ára reynslu í faginu. Síðustu tæp 10 ár hefur hún búið erlendis og hefur á þeim tíma unnið við að vernda stærstu fyrirtæki heims í geirum; fjármála, olíu og gasiðnað – undir málefnum upplýsingaöryggis eða fjársvika.

Allar upplýsingar í greininni byggja á hennar persónulegu reynslu og skoðun, og vísar á engan hátt til hegðunar, stefnu eða skoðana þeirra fyrirtækja sem hún hefur starfar fyrir, né á engan hátt þess sem hún starfar hjá í dag.

Höfundur: Ragna María Sveinsdóttir, upplýsingaöryggissérfræðingur (Cyber, IT Security, Business continuity, Resilience, Sourcing, Fraud, Legal and Regulatory management)

Heimild

[1] https://www.personuvernd.is/ny-personuverndarloggjof-2018/leidbeiningar-fra-29.-gr.-vinnuhopi-esb/