Hér á landi er þónokkuð um innbrot í tölvukerfi þar sem kreditkortaupplýsingum er stolið. Fæst fyrirtæki segja frá slíkum innbrotum og gera það sem þau geta til að fela þau. Þetta helgast af því að ekki er upplýsingaskylda um tölvuglæpi hér á landi og fyrirtæki telja sig betur sett með því að þegja. Þetta segir Jóhannes Ingi Kolbeinsson, framkvæmdastjóri Kortaþjónustunnar, en hann segir að fyrirtæki þurfi almennt að taka sig mikið á þegar kemur að öryggismálum. Fyrirtæki verða ekki aðeins fyrir álitshnekki við slík innbrot, heldur segir Jóhannes að þau geti þurft að greiða háar skaðabætur, sektir til kortafyrirtækja og milljónir í rannsóknir á gagnaleka.

Ísland er eftirbátur annarra þjóða

„Ísland er talsvert aftar en önnur lönd í þessum efnum,“ segir Jóhannes. Hann bendir á að árið 2004 hafi Visa, Mastercard, American Express og fleiri alþjóðleg kortafyrirtæki ákveðið að taka upp öryggisstaðalinn PCI DSS og krafist þess að farið væri eftir honum fyrir árslok 2005. Um langt skeið hafi aðeins Kortaþjónustan staðist þessa vottun, en upp á síðkastið hafi fleiri fyrirtæki tekið við sér. Hann segir að menn eigi að taka öryggismálin alvarlega og þurfi bæði að fjárfesta í tíma og búnaði. Sá skaði sem geti hlotist af aðgerðaleysi sé mun alvarlegri og kostnaðarsamari en sú fjárfesting.

Þessar áhyggjur Jóhannesar eru ekki að ástæðulausu, en hann segir kortanúmersþjófnað vera algengari en almennt sé talið. „Fyrirtæki hafa lent í því að kortanúmerum hefur verið stolið hér á landi. Það voru tvö til þrjú innbrot eitt árið, en svo eru sum ár þar sem engin innbrot  hafa verið,“ segir Jóhannes. Miðað við markaðshlutdeild Kortaþjónustunnar má hæglega margfalda innbrotatíðnina með fimm til sjö og sést þá að líklega eiga slík innbrot sér stað nokkrum sinnum á ári. Jóhannes segir að í sumum tilvikum hafi þúsundum kortanúmera verið stolið og því sé vandamálið nokkuð stórt.

Vill koma upp upplýsingaskyldu

Bankaleynd kemur í veg fyrir að það megi upplýsa um þau fyrirtæki sem lenda í þessu, en Jóhannes segir að innbrot sem þessi geti komið harkalega niður á þeim í formi álitsmissi. Hann telur að tilkynningarskylda vegna tölvuárása geti orðið til mikilla bóta, en þannig sé hægt að hafa yfirsýn og vandamálið sé ekki jafn falið og það sé í dag. Þá geri það öðrum fyrirtækjum kleift að bregðast við svipuðum árásum og koma í veg fyrir meiri skaða. Hann bendir á að samkvæmt opinberum gögnum sé stuldur á kreditkortanúmerum ekki mikið vandamál í flestum fylkjum Bandaríkjanna. Kreditkortastuldur sé aðeins á skrá í þeim ríkjum þar sem upplýsingaskyldan er við lýði. Það stafar af því að í öðrum fylkjum halda fyrirtæki þessu leyndu og upplýsa hvorki yfirvöld eða viðskiptavini um innbrotin. Jóhannes segir að þessu þurfi að breyta og finna hvata fyrir fyrirtækin til að stíga fram. „Þetta er viðkvæmt mál. Það þyrfti að fara einhverja millileið í upplýsingagjöf, t.d. að fyrirtækin tilkynni innbrot þótt ekki sé tilkynnt hvaða fyrirtæki það sé sem lenti í innbroti,“ segir Jóhannes.

Kostnaður sem hleypur á milljónum

Ímyndin er ekki það eina sem getur laskast við kortaþjónað. Jóhannes segir að eftir að PCI staðlinum var komið upp hafi kortafyrirtækin byrjað að sekta fyrirtæki fyrir hvert kortanúmer sem er stolið, ef það kemur í ljós að gagna var ekki gætt með fullnægjandi hætti. Nefnir hann dæmi frá Danmörku þar sem brotist var inn á vefsíðu og fimm kortanúmerum stolið. Fyrirtækið þurfti að fá til sín rannsóknaraðila og greiða kostnað og sektir, sem námu á endanum samtals um átta milljónum króna.

Slíkir rannsóknaraðilar eru ávallt kallaðir til þegar upp kemst um gagnaleka og segir Jóhannes að ef fyrirtæki semji ekki við slíkan aðila innan sólarhrings geta erlendu fyrirtækin lokað á kortaafgreiðslu hjá viðkomandi fyrirtæki. Slík rannsókn kostar almennt um þrjár miljónir króna og greiða þarf fyrir hana innan sólarhrings frá því að upp komst um atvikið. Jóhannes staðfestir að slíkar rannsóknir hafi farið fram hér á landi. Við þetta bætist sekt, en hann hefur heyrt um sektir frá 90 Bandaríkjadölum upp í 500 á hvert númer. Með fyrrnefndri vottun geti fyrirtæki aftur á móti sýnt fram á að þau hafi gert allt sem í þeirra valdi stendur til að verja gögnin og komast þannig hjá sektum. 

Lítil öryggisvitund

Jóhannes segir að þótt vitund fyrirtækja hér á landi sé að aukast um tölvuöryggi, þá sé enn mikið um stór vandamál. Þannig séu ennþá fyrirtæki sem sendi eða taki á móti kortanúmerum í tölvupósti sem sé með öllu ódulkóðaður.  „Öryggisvitund er almennt allt of lág.“ Hann segir fyrirtæki almennt telja öryggismálin vera í lagi. Þau skilji aftur á móti ekki endilega út á hvað þau gangi, sérstaklega þar sem erfitt sé að skilgreina öryggi. Jóhannes bendir á að þegar tekið sé afrit af gögnum og þau flutt á spólum geti flutningsaðferðin verið viss áhætta.  Þá fari gögn oft í minni tölva í stuttan tíma við afritun og lendi utan dulkóðunar. Þar geti hæglega klár þjófur komist yfir leynileg gögn. Þrátt fyrir að vera harðorður um öryggismál segir Jóhannes að staðan í dag sé um margt betri en fyrir nokkrum árum. Þannig séu mörg fyrirtæki byrjuð að velta þessum málum fyrir sér og það sé byrjunin.

Árás 17 ára rússnesks stráks á tölvukerfi Target verslunarinnar í Bandaríkjunum hefur vakið athygli um allan heim. Þar kom hann fyrir hlerunarbúnaði í minni kassakerfis verslunarinnar og náði þannig að stela tugum milljónum kortanúmera. Jóhannes segir að þetta sé ekki einsdæmi, en fyrir nokkrum árum hafi Shell í Bretlandi þurft að skipta út öllu greiðslukortakerfinu vegna hlerunarbúnaðar sem fannst í nokkrum posum. Þetta sýni að fyrirtæki þurfi að vera við öllu viðbúin

Korthafinn alltaf nokkuð öruggur

Hann segir að þrátt fyrir þá öryggisvá sem stafi að kortanotkun, þá sé korthafinn sjálfur alltaf nokkuð öruggur, jafnvel þótt kortanúmerinu sé stolið. Það sé á ábyrgð fyrirtækjanna sjálfra að halda þessum upplýsingum öruggum. Jóhannes segir reglurnar kringum kortaviðskipti vera mjög strangar, en að mörg fyrirtæki þurfi að taka sig saman við að fara eftir þeim. „Kortabransinn er með einar ströngustu reglurnar sem fyrir finnast. Það sem vantar upp á er að farið sé eftir þeim og þær teknar alvarlega“.

Þrátt fyrir stöðugar árásir á íslensk fyrirtæki segir Jóhannes að Ísland sé ekki enn orðið að alvarlegu skotmarki. Hann segir stærð markaðarins hjálpa til, en að sú hugsun geti einnig veitt falskt öryggi og að strax og tölvuglæpamenn uppgötvi veikleika íslenskra fyrirtækja þá haldi landfræðileg landamæri ekki aftur af þeim.

Mbl.is mun á næstu dögum birta fleiri greinar um tölvuöryggismál, en töluverð vakning hefur verið í þessum málum á síðustu misserum.

Tengdar fréttir

Tölvu- og netöryggi

Svikin hlaupa á milljónum króna

• Enn í tilraunafasa en metnir á 1,4 milljarða
• Gríðarleg fjölgun netöryggisatvika í ár
• Ísland og Úkraína fá aðild að CCDOE
• Framsóknarmenn eru víða

» Fleiri tengdar fréttir

• Blogga um frétt