Fólkið er veikasti hlekkurinn

Notandanafn og lykilorð ættu ekki að nægja til að komast ...
Notandanafn og lykilorð ættu ekki að nægja til að komast inn á tölvupóstfang sem geymir viðkvæmar upplýsingar. EPA

„Netöryggi snýst mjög oft um fólk og starfsmenn frekar en tölvukerfi. Þeir eru veikasti hlekkurinn og því er mikilvægt að starfsmenn með aukið aðgengi [að tölvukerfi fyrirtækis] fái fræðslu um öryggismál.“ Þetta segir Valdimar Óskarsson, framkvæmdastjóri netöryggisfyrirtækisins Syndis.

Netsvik hafa verið töluvert til umræðu að undanförnu og í gær var greint frá því að HS Orka hefði í sumar orðið fórnarlamb slíkra svika, þar sem brotist var inn í upplýsingatæknikerfi þess og tölvupóstur sendur á starfsmenn sem fóru með fjármál, þar sem þeir voru plataðir til að greiða nærri 400 milljónir króna inn á reikning glæpamannanna, en náðist þó að endurheimta að mestu leyti.

Fyrirtæki ráða Syndis til að framkvæma árásir á tölvukerfi þeirra, ýmist utan eða innan, og er markmið fyrirtækisins að koma þannig upp um veikleika í kerfum, sem síðar má bæta úr. Aðspurður segir Valdimar að fyrirtækið hafi aldrei framkvæmt slíka árás án þess að koma upp um einhvern veikleika, þótt þeir séu misalvarlegir.

Meðal þeirra fyrirtækja sem Syndis hefur unnið fyrir er gagnageymslan Dropbox, en þar kom fyrirtækið upp um veikleika í Apple-stýrikerfum, sem nota mátti til að komast inn á kerfi þeirra. Dropbox greindi frá málinu opinberlega og því er Valdimar óhætt að ræða málið í fjölmiðlum, en að öðru leyti gildir trúnaður um samskipti fyrirtækisins við viðskiptavini.

Nokkur góð og einföld ráð

En aftur að fjársvikum á netinu. Er forsvaranlegt að sýsla með peninga í tölvupósti? Hjá því verður kannski ekki komist, enda er tölvupóstur allsráðandi í samskiptum vinnandi fólks, hvort sem okkur líkar betur eða verr.

Þar með er þó ekki sagt að ekkert verði að gert. Valdimar segir augljóst fyrsta skref að taka upp tvíþætta auðkenningu á tölvupóst, þannig að notandanafn og lykilorð, sem oft sé auðvelt að fletta upp, séu ekki það eina sem þarf til að komast inn í pósthólfið. Allar helstu tölvupóstþjónustur, svosem Gmail og Outlook frá Microsoft, bjóði upp á að til viðbótar við lykilorðið þurfi sá sem skráir sig inn að sanna á sér deili á annan hátt, til dæmis með því að slá inn kóða sem sendur er í símann. Yfirleitt þarf að ekki að notast við tvíþætta auðkenningu í hvert sinn, heldur aðeins þegar menn skrá sig inn á nýtt tæki.

Valdimar Óskarsson, forstjóri tölvuöryggisfyrirtækisins Syndis.
Valdimar Óskarsson, forstjóri tölvuöryggisfyrirtækisins Syndis.

„Oft nægir þetta til að bægja þrjótinum frá,“ segir Valdimar. Litlar líkur séu á að þrjóturinn sé með annað tæki frá fyrirtækinu og velji sér því annað fórnarlamb sem ekki hefur tvíþætta auðkenningu.

Veikasti hlekkurinn í netöryggi eru hins vegar einstaklingar, ekki kerfi. Valdimar segir nauðsynlegt að fara yfir verklag í tengslum við millifærslur, og undir þetta tekur Hrafnkell V. Gíslason, forstjóri Póst- og fjarskiptastofnunar, en undir hana heyrir netöryggissveit Íslands, CERT-ÍS. Tölvunarfræðingarnir tveir eru mjög samhljóða.

Gott sé að hafa tvo starfsmenn sem yfirfari millifærslur á erlenda reikninga, þannig að ekki sé nóg fyrir þrjóta að komast yfir auðkenni eins starfsmanns.

Algeng leið netsvikara, sem komast inn í tölvukerfi, er að gefa út reikning í nafni fyrirtækis sem sannarlega ber að greiða, en breyta uppgefnu reikningsnúmeri yfir í reikningsnúmer þrjótanna. Reikningsnúmerið eitt og sér þarf ekki að klingja viðvörunarbjöllum því Hrafnkell segir slíka reikninga geta verið í bönkum hvar sem er, einnig í Evrópu, en séu síðan tæmdir um leið og millifærsla berst. Góð vinnuregla sé að bera uppgefið reikningsnúmer saman við það númer sem gefið var upp á síðasta reikningi frá sama fyrirtæki. Þau eiga að stemma.

Þá sé ráð að miða við ákveðna upphæð, þannig að hærri millifærslur en sem henni nemur skuli alltaf staðfestar með símtali. 

Hrafnkell V. Gíslason, forstjóri Póst- og fjarskiptastofnunar.
Hrafnkell V. Gíslason, forstjóri Póst- og fjarskiptastofnunar. Ljósmynd/Aðsend

Ekkert öryggiskerfi skothelt

Ofangreindar ráðstafanir eru allar á færi almennra starfsmanna með hefðbundna tölvukunnáttu. Vitanlega er það sérfræðinga í tölvuöryggismálum að tryggja að varnir tölvukerfis séu sem öflugastar. „En ekkert kerfi er 100%,“ segir Hrafnkell, forstjóri Póst- og fjarskiptastofnunar. Því megi aldrei sofna á verðinum. Búnað þarf að uppfæra reglulega, en Hrafnkell segir alltof algengt að fyrirtæki séu fórnarlömb netárása þar sem þrjótar nýta sér öryggisgalla sem legið hafi fyrir jafnvel árum saman og búið sé að bregðast við fyrir löngu í uppfærðum útgáfum hugbúnaðar. Fagmenn þurfi að halda utan um tölvukerfi.

Hleypur á milljörðum

Í samtali við Morgunblaðið í dag sagði G. Jökull Gíslason rannsóknarlögreglumaður að hann teldi umfang slíkra netsvika nema á annan milljarð króna árlega. Spurður út í þetta segist Hrafnkell telja þá tölu síst ofmat. Til viðbótar við beint tjón sem felist í millifærslum á svikahrappa, sem ekki fást endurgreiddar, bætist við kostnaður vegna tímans sem fer í að reyna að endurheimta fé og gera öryggisráðstafanir, auk þess sem fyrirtæki geti beðið álitshnekki sem sé þeim dýrkeyptur.

Þá eru fjársvik langt í frá eina tegund svika sem netglæpamenn stunda. Persónuupplýsingar, söluupplýsingar og framleiðsluleyndarmál eru allt verðmæti sem Hrafnkell segir netglæpamenn ásælast. „Framleiðsluleyndarmálum er víða stolið erlendis, og við skulum ekki halda að þótt Ísland sé eyja séum við óhult fyrir slíku.“ Ísland er sumsé ekki eyland í netheimum.

mbl.is