Print this page
13. maí 2022

Netöryggi: Mannlegi þátturinn – stærsta ógnin

skyHádegisfundur Ský var haldinn í sal á Grand Hótel Reykjavik þann 27. apríl síðastliðinn. Umfjöllunarefnið var Netöryggi: Mannlegi þátturinn – stærsta ógnin. Anna Sigríður Íslind, lektor hjá Háskólanum í Reykjavík, sá um fundarstjórn.

Fyrst var María Óskarsdóttir, einnig lektor við Háskólann í Reykjavík með fyrirlesturinn  Cypersecurity for dummies by dummies hann byggir á bók með sama nafni. María tók dæmi um aðstæður sem kalla auknar öryggiskröfur og hvernig einstaklingar reyna oft að villa á sér heimildir. Í framhaldi fjallaði hún um hinar ýmsu leiðir sem notaðar eru til að blekkja starfsfólk fyrirtækja til að láta af hendi viðkvæmar upplýsingar. Það er því nauðsynlegt að vernda öll tæki með öryggishugbúnaði, setja sjálfvirka læsingu á síma, hafa góð lykilorð, vernd gögn, dulkóða þau og bakka upp. Einnig er nauðsynlegt að passa hvað maður skoðar á opnum wi-fi aðgöngum, hvaða upplýsingum er deilt, hvernig öryggisstillingum á samfélagsmiðlum er háttað og að fjölskyldan viti hverju skal og skal ekki deila.

Næst kom Guðmundur Arnar Sigmundsson frá CERT.is með fyrirlesturinn Hnitmiðuð fræðsla

Guðmundur sagði frá OSINT – open source intelligence – sem gengur út á að safna opinberum gögnum. Algjörlega löglegt en hefur verið notað í misjöfnum tilgangi. Það er búið að sjálfvirknivæða ferlið að safna saman upplýsingum um einstaklinga – sem gerir það auðveldara að stunda hnitmiðaðar árásáir gagnvart einstaklingum. Sem dæmi er verið að falsa notendur þar sem gervigreind er notuð til falsa raddir eða útbúa myndir fyrir Twitter prófíla.

Þarf að undirbúa fólk fyrir slíkum trúverðugum svindlárásum og það þarf að nota hnitmiðuð þjálfun gegn þessari nýju ógn. Ein leið er að nýta tæknibyltinguna til góðs með því að nota öfluga hegðunargreiningu, sterk tól sem styðja við vinnu netöryggisfræðinga. Guðmundur sagði að 90% atvika mætti rekja til mannlega þáttarins. Kerfin virki nefnilega, ekki fólkið.

Starfsfólk CERT.is framkvæmir sínar eigin stýrðu árásir á fyrirtæki, mælir niðurstöðurnar og veitir í kjölfarið sérsniðna þjálfun.

Spurt var ú sal hvort hægt væri að setja 112 í málið? Guðmundi þótti það góð hugmynd sem þyrfti að framkvæma. Önnur spurning: Hversu langt á undan vörnum eru netglæpamenn? Guðmundur sagði varnirnar oft vera á undan, en oft sé um kapphlaup við tímann að ræða. Þriðja spurning: Á þetta heima í skólakerfinu? Það var klár já hjá Guðmundi. Hann sagði krakka oft verka miklu færari en hinir fullorðnu.

Þriðja fyrirlesturinn kallaðist Jákvæð öryggismenning – Styrkjum mannlega eldvegginn og var fluttur af Guðrúnu Valdísi Jónsdóttur öryggissérfræðingur hjá Syndis. Hún sagði ef menning væri skilgreind hvernig fólk ynni þá væri öryggismenning hvernig fólk ynni með öryggismál.

Jákvæð öryggismenning felst svo í því að skapa stemningu innan fyrirtækis sem byggir á trausti og leyfir fólki að segja frá mistökum. Guðrún taldi 85% öryggisbresta vera vegna mannlega þáttarins og taldi að fjárfestingu í öryggismenningu borgar sig tvímælalaust.

Öryggisstjóri er mjög mikilvægur í að innleiða öryggismenningu og þarf ávallt að vera aðgengilegur. Honum bera að hafa í huga að starfsfólkið hefur rétt fyrir sér – ef það fylgir ekki ferlum þarf að endurskoða þá ferla eða kynna þá betur fyrir starfsfólkinu. Hann þarf altaf að svara öllum tilkynningum svo fólk viti að allir eru í þessu saman. Yfirmenn eru mikilvægar fyrirmyndir í að skapa öryggismenninguna og ein leið til að festa hana í sessi er að finna áhrifavalda innan deilda – einhverja sem aðrir treysta og líta upp til – láta þá sýna gott fordæmi. Einnig er mikilvægt að gera réttu hlutina auðvelda, t.d. setja lykilorðabanka upp fyrir starfsfólk í tölvunum þeirra. Umfram allt á að nota jákvæða hvata og styrkingu. Þjálfa starfsfólkið og búa til áætlun. Nýliðaþjálfun sérstaklega mikilvæg en einnig þarf reglubundna þjálfun nokkrum sinnum á ári. Þessa þjálfun þarf að skipuleggja vel og sérsníða eftir starfsfólki og deildum. Síðan þarf að æfa fólk. Ekki bara leggja fyrir það próf óundirbúið og athuga hver fellur gryfju heldur segja fólki frá prófunum eftir að það fær þjálfun. Það er verið að prófa viðbrögð – þ.e. hve margir tilkynninga. Draga fram jákvæðar niðurstöður og ekki skamma.

Að lokum flutti Ari Kristinn Jónsson hjá AwareGO fyrirlesturinn Tölvuöryggisfræðsla - í nútíma og framtíð

Ari byrjaði á að minnast á að allt er orðið stafrænt í dag. Öll stjórn innviða samfélags, allar upplýsingar og eignir og réttindi o.s.frv. Afleiðing er stafræn glæpastarfsemi. Þessir nútíma hakkarar eru ekki eins og hakkarar í árdaga netsins sem voru kannski bara að forvitnast. Í dag er þetta skipulagður þjófnaður, hernaður og njósnir og skaðinn vex hratt. Tjónið er yfir $1.000.000.000.000 á ári og stefnir í eitt stærsta hagkerfi í heimi á næstu 10 árum. Ari taldi 85-91% nýta sér starfsfólk fyrirtækja – sem er miklu auðveldara að leika á heldur en að hakka tækni.

Hann nefni dæmi um nokkrar tegundir nýlegra svindla sem kostuðu fyrirtækis sem lentu í þeim á bilinu $4,4-42 milljónir og bætir við að við treystum of mikið á tækni. Starfsfólk er og verður veiki hlekkurinn. Fræðsla starfsfólks er lykilatriði en þar er hegðun er mikilvægari en þekking sem og skilningur á mannlegri hegðun. Fólk er ekki fært um að sitja undir löngum og leiðinlegum upptalningum sem skilja lítið eftir. Lausnin er öryggisþjálfun í smáskömmtun. 60 sekúndna myndbönd sem eru hnitmiðuð og nota húmor til að vera eftirminnileg.

En breytir það einhverju? AwareGo þróaði tól til að mæla hvernig fólk bregst við árásum. Þannig geta þau séð hvar allir standa og hvernig þarf að bregðast við. Notast er við gervigreind til að vinna í þessum gögnum.

Spurning úr sal: Hvað annað er hægt að gera þegar kemur þreyta í fólk eftir nokkur ár af myndböndum?

Ari segir að þessar aðferðir séu alltaf í þróun. Ein leið er að nota plagöt sem minna á það sem kom fram í myndböndunum, endurnýja myndbandið og finna nýja vinkla. Umfram allt finna betri leið til að ná til fólks.

Ásta Gísladóttir tók saman.