Þrátt fyrir að fyrirtæki hafi undanfarin ár varið auknum fjármunum í kaup á búnaði til að verja upplýsingakerfi sín hefur árangursríkum netárásum samt fjölgað. Hvað veldur og hvað er til ráða?  Vissulega er mikilvægt að tryggja að upplýsingakerfi séu með skilvirkum netvörnum en ýmislegt bendir til þess að fyrirtæki verði áfram berskjölduð gagnvart netárásum ef þau leggja ekki aukna áherslu á að þjálfa starfsmenn í umgengni við internetið.

Ein algengasta brotaleiðin hjá tölvuglæpamönnum í dag eru vefveiðar (e. phishing) þar sem sendandi tölvupósts villir á sér heimildir og sendir tölvupósta með það að markmiði að blekkja viðtakanda til að gefa upplýsingar svo sem lykilorð og/eða að smella á viðhengi sem hefur að geyma tölvuvírus.

Tölvuglæpamenn virðast í auknum mæli átta sig á því að við mannfólkið erum veikasti hlekkurinn í netvörnum. Þeim hefur reynst tiltölulega auðvelt að plata móttakendur veiðipósta til að smella á viðhengi og hlaða þannig óafvitandi niður tölvuvírus. Því er þetta oft á tíðum fljótleg, ódýr og mikið notuð leið til að dreifa árásarbúnaði í tölvur.

Oft er um markvissar árásir að ræða þar sem tölvupóstar eru útbúnir til að líta út eins og þeir komi frá trúverðugum sendanda, til dæmis framkvæmdastjóra eða yfirmanni tölvumála. Tölvubúnaður sem hefur verið sýktur á þennan hátt getur gefið árásaraðila margar leiðir til að brjóta á fórnarlambi sínu, t.d með gagnagíslatöku (e. ransomware attack), hlerunum (e. surveillance software) eða hreinlega fullri stjórn yfir sýktri tölvu. Allt þetta og meira til geta þeir gert án þess að fórnarlambið taki eftir því, en rannsóknir hafa sýnt að mörg fyrirtæki eru ekki nægilega góð í að átta sig á því að tölvur hjá þeim eru sýktar vírusum.

Árangursríkar veiðar

Hluti af ástæðu þess að vefveiðar eru jafn árangursríkar og raun ber vitni er að fjöldi tölvupósta sem notendum berst á degi hverjum er slíkur að erfitt getur reynst að vera á varðbergi gagnvart veiðipóstum. Það eykur svo enn á hættuna að tölvuglæpamenn eru úrræðagóðir þegar kemur að því að blekkja viðtakendur og smjúga framhjá ruslpóstsíum.

Stóraukin notkun fólks á samfélagsmiðlum hefur einnig hjálpað glæpamönnum að nálgast meiri og persónulegri upplýsingar um einstaklinga sem þeir geta notað til að sérsníða efni tölvupósts á þann veg að líklegt sé að það höfði til viðtakanda.

Veiðipóstur sem virðist oftast ná tilætluðum árangri líkist að efninu til pósti sem starfsfólk fær reglulega í starfi sínu. Tölvuglæpamaður getur til dæmis sent veiðipóst til starfsmannastjóra fyrirtækis þar sem vírussmitað kynningarbréf eða starfsferilsskrá eru í viðhengi. Opni starfsmannastjórinn slíka skrá, er tölva hans sýkt og mögulega hefur tölvuglæpamaðurinn þá aðgang að öllum gögnum sem starfsmannastjórinn hefur aðgang að hjá fyrirtækinu.

Hvernig getum við greint veiðipósta?

Samkvæmt reynslu netöryggissérfræðinga Deloitte, sem m.a. framkvæma veiðipóstaprófanir fyrir fyrirtæki, er algengt að u.þ.b. 30% viðtakenda veiðipósta falli í gildruna sem fyrir þá er lögð. Hafa ber í huga að oftast dugar að einn starfsmaður falli fyrir veiðipóstinum til að tölvuglæpamaðurinn geti byrjað að athafna sig í tölvukerfi fyrirtækis.

Árangur veiðipóstaprófana bendir til þess að starfsmenn séu í sumum tilfellum einfaldlega ekki nægilega vel á varðbergi þegar kemur að meðhöndlun tölvupósts. Önnur skýring er að starfsmönnum getur reynst erfitt að greina og meðhöndla veiðipósta. Þetta er sterk vísbending um að skortur sé á þjálfun og fræðslu um skaðsemi veiðipósta og hvernig greina megi slíkan póst frá öðrum tölvupósti. Mikilvægi þess að fyrirtæki þjálfi starfsmenn sína í meðferð internetsins er síst minni en mikilvægi annarra hefðbundinna netvarna. Þegar kemur að slíkri þjálfun er að mörgu að huga og mikilvægt er að vandað sé til verka.

Gögn tekin í gíslingu

Nýlegar rannsóknarniðurstöður benda til þess að algengast sé að markmiðið með veiðipóstum sé að dreifa einhvers konar gagnagíslatökubúnaði. Skemmst er að minnast WannaCry gagnagíslatökuárásarinnar, þar sem hundruð þúsunda tölva sýktust af vírus.

Gagnagíslatökubúnaður er tegund spilliforrita sem nýtt eru til að kúga fjármuni af fórnarlömbum. Slík árás getur haft víðtæk áhrif á fyrirtæki og stofnanir af öllum stærðum og gerðum. Óprúttnir aðilar geta notað slíkan búnað til að taka gögn í gíslingu með því að dulkóða þau á þann veg að eigandi gagnanna kemst ekki í þau nema hann fái dulkóðunarlykil í formi lykilorðs til að afkóða þau.

Ógnin magnast

Samkvæmt niðurstöðum rannsókna sem nýverið hafa verið birtar hefur mikil þróun átt sér stað í gagnagíslatökubúnaði, sem hefur gert hann skeinuhættari en áður. Þannig kemur fram í skýrslu ENISA (European Network and Information Security Agency) frá janúar 2017, að árásirnar séu:

• Markvissar og valdi þannig skemmdum á öryggisafritum, gagnagrunnum, vefsíðum o.fl.
• Með öflugri dulkóðun og betri tækni til að komast hjá því að tilraun til sýkingar sé uppgötvuð.
• Með eiginleika til að hækka lausnargjald ef notendur greiða ekki innan gefins frests.
• Komnar með enn betri aðferðir til að eyða gögnum ef ekki er greitt fyrir lokafrest.
• Studdar af háu þjónustustigi til að veita fórnarlömbum tæknilega aðstoð við greiðslu lausnargjalds, t.d. með því að nota spjallrásir og í sumum tilfellum símaþjónustu við að leiðbeina hvernig hægt sé að greiða gjald með rafrænum gjaldmiðli, s.s. Bitcoin.

Á að greiða lausnargjaldið?

Það er ljóst að gerendur eru oftast að sækjast eftir skjótfengnum gróða. Því meira sem þeir græða, þeim mun líklegra er að þeir haldi áfram iðju sinni og jafnvel að fleiri stökkvi á vagninn. Því getur verið best að skoða fyrst hvort einhverjar aðrar leiðir séu í boði til að endurheimta gögnin á ódulkóðuðu formi án þess að greiða tölvuglæpamönnunum lausnargjald.Þjónustuaðilar geta oft hjálpað til við að bjarga málum. Einnig er vert að benda á vefsíðuna nomoreransom.org, sem er samstarfsverkefni ýmissa löggæslustofnana víða um heim, s.s. Europol og fyrirtækja í tækniiðnaðinum. Á vefsíðunni er að finna fróðleik um gagnagíslatökubúnað en einnig eru þar tól til að losa gögn úr gíslingu ýmissa afbrigða af gagnagíslatökubúnaði. 

Hafa ber í huga að það að borga lausnargjald þarf ekki endilega að hafa í för með sér að gögnin endurheimtist. Í sumum tilfellum hafa þeir sem greitt hafa lausnargjald ekki fengið gögnin sín á nýjan leik.

Hvað er til ráða?

Fyrirtæki þurfa vissulega að gæta þess að tækniinnviðir lágmarki hættuna á því að veiðipóstar og annar ruslpóstur berist starfsmönnum. Það eitt og sér dugar þó ekki, því gæði veiðipósta hafa aukist og vel gerðir póstar geta sloppið í gegnum slíkar síur.

Vírusvarnir þurfa að sjálfsögðu að vera til staðar og uppfærðar. Nýir vírusar líta dagsins ljós á hverjum degi þannig að hættan er samt til staðar. Auðvitað þarf að gæta að afritatöku gagna og uppfærslum á hugbúnaði til að lágmarka hættuna á að í upplýsingakerfi fyrirtækisins séu þekktir veikleikar, svo sem veikleikar í gamalli útgáfu af stýrikerfi.

Lengi mætti halda áfram að telja upp ýmis tæki og tól sem nauðsynleg eru í netvörnum og öruggum rekstri upplýsingakerfa. Þó að fyrirtæki sé með alla tækniinnviði eins og best verður á kosið er hættan samt sem áður til staðar, því vefveiðar eru nýttar til að ráðast á veikasta hlekkinn í tölvuöryggi, þ. e. okkur mannfólkið. Því er mikilvægt að fyrirtæki og stofnanir fræði starfsfólk um hætturnar, hvernig á að koma auga á þær og hvernig á að varast þær.Mikilvægt er að vandað sé til verka við upplýsingagjöf um hættur sem að okkur steðja á internetinu því dæmin sanna að afleiðingar innbrota í tölvukerfi fyrirtækja geta verið mjög alvarlegar.

Höfundar: Þorvaldur Henningsson og Björn Ingi Victorsson, áhætturáðgjöf Deloitte