Nýlega og ítrekað höfum við verið minnt óþægilega á mikilvægi varna gegn tölvuglæpum þegar íslensk fyrirtæki og stofnanir hafa orðið fyrir netárás tölvuþrjóta sem læsa tölvugögnum með dulritun, taka tölvukerfi í gíslingu og krefjast lausnargjalds. Einnig hafa óprúttnir aðilar nýtt sér öryggisgalla eins og nefnt hefur verið í fréttum þar sem þeir koma inn óværum til þess hreinlega að fylgjast með og leita eftir hentugum fórnarlömbum. Vægðarlausar netárásir sem þessar hafa færst í vöxt á heimsvísu undanfarin misseri.

Að mörgu þarf að hyggja ef varast á gagnagíslatöku (e. ransomware). Í þessari grein mun ég fara yfir hvað lítil og meðalstór fyrirtæki geta gert til að minnka líkurnar á því að þau missi gögn til óprúttinna aðila. Mun ég ræða það sem snýr að fyrirtækjum sem notast við skýjaþjónustur eða aðrar vefþjónustur en keyra að öðru leyti ekki sín eigin kerfi innanhúss.

Hvernig er hægt að fyrirbyggja gagnagíslatöku?

Nokkur atriði skipta máli til að draga úr hætta á gagnagíslatöku.

1. Trygg og regluleg öryggisafritunartaka

Mikilvægi þess að eiga reglubundið afrit af gögnum fyrirtækisins utan tölvukerfisins, á öruggum og ósnertanlegum stað, er óumdeilt. Gagnatap getur verið afar kostnaðarsamt og afritun hreinlega bjargað rekstrinum. Tryggja þarf að gögnin séu geymd dulkóðuð og að flutningur þeirra sé einnig dulkóðaður alla leið frá tölvu eða skýi yfir í gagnaverið. Afritun þarf að vera sjálfvirk af öllum tölvugögnum, svo sem möppum, skjölum, ljósmyndum og öðrum skrám sem eru eingöngu vistuð beint á tölvuna eða netþjóninn. Mikilvægt er að kerfið geymi útgáfur af öllum skjölum þannig að góð skjalasaga sé til staðar. Einnig skiptir máli að hægt sé að endurheimta gögn á einfaldan og skjótvirkan máta, meðal annars með því að ræsa tölvuna í skýinu, setja tölvuna upp á nýjan tölvubúnað, hlaða niður gögnum eða skrám fyrir sýndarvél, endurheimta einstök drif o.s.frv.

2. Fræðsla og þjálfun starfsmanna

Starfsmenn eru iðulega veikasti hlekkurinn í netvörnum. Oft er óværu komið fyrir í tölvunni með hlekkjum eða viðhengjum í tölvupósti, óöruggum heimasíðum, skilaboðum á samfélagsmiðlum eða boðum í símann. Þetta geta verið myndir, YouTube myndbönd, Zip skrár eða MP3 skrár. Fræðsla starfsmanna um helstu netógnir er því lykilatriði. Starfsmenn þurfa að halda vöku sinni og forðast að smella á hlekki í tölvupóstsendingum án þess að kanna fyrst eftir öðrum leiðum, t.d. með símtali, hvort sendandinn sé traustur og hafi í raun sent viðkomandi tölvupóst. Einnig ber að forðast að nota óþekkta minnislykla eða hlaða niður hugbúnaði eða skrám frá óþekktum vefsíðum. Áreiðanlegar og sannreyndar vefsíður eru með öryggisdulkóðun (SSL) eða https tengingu en það er rafrænt öryggisnet sem passar upp á að óprúttnir aðilar geti ekki stolið þaðan viðkvæmum upplýsingum.

3. Reglulegar öryggisuppfærslur

Tölvuþrjótar elska öryggisgalla og þess vegna geta uppfærslur á netþjónum, stýrikerfum, forritum og vírusvörn hjálpað til við að halda þeim úti. Reglulegar öryggisuppfærslur laga galla, gera við öryggisgöt og bæta oft mikilvægum leiðréttingum við öryggisstig kerfisins. Að halda hugbúnaði og kerfum uppfærðum skiptir líka máli til að smita ekki samstarfsmenn, viðskiptafélaga og aðra sem við eigum í samskiptum við á netinu. Við hjá Tölvuaðstoð höfum sem dæmi verið að skanna daglega hjá þeim sem eru í Vakt hjá okkur eftir þeim öryggisgöllum sem hafa verið nefndir í fjölmiðlum eins og LOG4j.
Venjulegir notendur hafi ekki kerfisstjóraréttindi

Algeng mistök eru þegar venjulegur notandi hefur einnig kerfisstjóraréttindi og á það sérstaklega við um fyrirtæki sem eru að reyna að spara sér smá aur með því að kaupa sjálfir áskriftir hjá þjónustuveitum eins og Microsoft og Google. Kerfisstjóraréttindi gera notendum m.a. kleift að setja upp nýjan hugbúnað og eyða (kerfis)skrám, notendareikningum og jafnvel heilu stýrikerfi. Halda þarf þeim aðilum sem hafa kerfisstjóraréttindi í algjöru lágmarki.

4. Allir notendur auðkenni sig með tveggja þátta auðkenningu

Til að verjast árásum og auka öryggi gagna til muna er ráðlagt að virkja tveggja þátta auðkenningu sem er einföld en örugg leið til að verja sig gegn því að óprúttinn aðili komist yfir aðgang notandans. Þegar tveggja þátta auðkenning er virkjuð þarf notandi að hafa tvo þætti til að skrá sig inn: einn sem hann man (notendanafn og lykilorð) og annan sem hann á (t.d. snjallsíma). 

5. Góð viðbragðsáætlun

Fyrirtæki þurfa að hafa viðbragðsáætlun ef allt fer á versta veg og þau verða fyrir gagnagíslatöku. Þetta geta verið atriði eins og við hvern er haft samband, hvað er hægt að gera til að stöðva árásina, hvar eru afritin og hvernig getum við endurheimt þau? Litlum og meðalstórum fyrirtækjum, sem hafa hugsanlega minni aðgang að tölvusérfræðingum innanhúss, er bent á að setja sig í samband við sérfræðinga til að fá ráðleggingar.

Fyrirtæki þurfa ávallt að meta hversu vel þurfi að vernda gögnin þannig að þau leki ekki úr kerfinu. Hversu mikið þarf að tryggja að gögnin komist ekki í hendur óviðkomandi aðila? Þetta á sérstaklega við um þá sem vinna með viðkvæm trúnaðargögn svo sem sálfræðingar, læknar, lögfræðingar o.fl. Hér þarf einnig að meta hvort nauðsynlegt sé að dulkóða öll gögn og jafnvel samskipti notenda.

Höfundur: Valgeir Ólafsson, Tölvuaðstoðar sem rekur afrit.is.