Hundruð netöryggisatvika koma upp á hverju ári hér á landi, þar af nokkur mjög alvarleg, sem netöryggissveit Póst- og fjarskiptastofnunar greinir. Hrafnkell V. Gíslason, forstjóri stofnunarinnar, segir í samtali við mbl.is að engin ástæða sé til að ætla að ástandið sé betra hér en annars staðar og að hafið sé yfir allan vafa að svipuð innbrot og áttu sér stað hjá Target-verslunarkeðjunni í Bandaríkjunum hafi verið framin hér á landi. Þar var brotist inn í kassakerfi verslunarinnar og tugum milljóna kortanúmera stolið.

Tölvuöryggi ábótavant hér á landi

Í vikunni var haldin ráðstefna á vegum Deloitte um netöryggi hér á landi. Allir fyrirlesararnir töldu netöryggi hér á landi vera ábótavant og að fyrirtæki væru mörg hver lítið varin gegn tölvuárásum og stuldi á bæði korta- og persónuupplýsingum. Eins og staðan er í dag er engin upplýsingaskylda á fyrirtækjum þegar kemur að innbrotum og er oft sagt að aðeins toppurinn á ísjakanum komi í ljós. Undantekningin er fjarskiptafyrirtæki, en samkvæmt fjarskiptalögum ber þeim skylda til að láta vita af innbrotum. Á ráðstefnunni var rætt um möguleika þess að upplýsingum um tölvuárásir væri komið áfram til einnar stofnunar sem bæði hefði það hlutverk að vara önnur fyrirtæki við hugsanlegum netárásum og öryggishættum og aðstoða við gagnaleka. Löggjöf um þessi mál er í smíðum hjá Evrópusambandinu og líklegt að hún verði að lögum fljótlega, en þar verður meðal annars tekið á upplýsingaskyldu fyrirtækja og hugað að netöryggi almennt.

Ekkert heildarstöðumat hefur verið gert á öryggismálum hér á landi, en Hrafnkell segir að öryggissveit Póst- og fjarskiptastofnunar fylgist með óværum á íslenskum netum frá degi til dags. Niðurstaða þeirrar skoðunar sé þó ekki mjög jákvæð. „Það er engin ástæða til að ætla það, miðað við þau gögn sem við sannarlega höfum, að það sé betra ástand hér en annars staðar, nema síður sé,“ segir Hrafnkell. Hann segir að á hverjum degi séu greindar sýktar vefsíður sem dreifa vírusum, eða að upp komi mál þar sem sýktum tölvupósti sé beint sérstaklega gagnvart ákveðnum fyrirtækjum. Þá geri sveitin einnig athugasemdir varðandi öryggisuppsetningar og stillingar á netbúnaði hjá fyrirtækjum reglulega.

Hafið yfir allan vafa að kortaupplýsingum hafi verið stolið

Í lok síðasta árs komst upp um gífurlega umfangsmikið innbrot í tölvukerfi verslunarkeðjunnar Target í Bandaríkjunum. Ljóst er að tugum milljóna kreditkortanúmera var stolið og hafa jafnvel verið nefndar tölur yfir hundrað milljónum. Hrafnkell segir að svipuð mál hafi vafalaust komið upp á Íslandi þótt þau hafi væntanlega ekki verið jafnumfangsmikil. „Það hefur gerst á Íslandi og það er hafið yfir allan vafa,“ segir hann.

Algengast er að árásum sem þessum sé beint gegn ákveðnum fyrirtækjum og er þá reynt að koma fyrir óværu innan við eldvegginn. Þannig geti innbrotsþjófarnir athafnað sig innan kerfa fyrirtækisins og segir Hrafnkell að um 90% tölvuglæpa verði með þessu móti. Þótt Ísland búi yfir landfræðilegri fjarlægð frá öðrum löndum og fáir tali íslenska tungu, þá segir Hrafnkell að íslensk fyrirtæki séu skotmörk alveg jafnmikið og erlend fyrirtæki. Þar geti verið um að ræða kreditkortaupplýsingar og viðskiptaleyndarmál. Mesta hættan er að hans sögn þegar tölvuþrjótar brjótast inn, stela gögnum og leyndarmálum fyrirtækja og fela svo öll ummerki og láta sig hverfa án þess að neitt uppgötvist. „Kollegar mínir í Vestur-Evrópu líta á þetta sem mestu ógnina sem steðjar að fyrirtækjum; stuld á leyndarmálum og viðskiptaupplýsingum,“ segir Hrafnkell.

Samstarfsvettvangur um tölvuöryggi

Eins og fyrr segir er í umræðunni að koma á fót samstarfsvettvangi eða opinberri stofnun sem heldur utan um upplýsingar um innbrot og tölvuglæpi. Evrópusambandið hefur unnið að reglum um þessi mál og segir Hrafnkell að nú virðist sem stutt sé í að þær líti dagsins ljós fullmótaðar. Hugmyndin sé að hægt verði að vara önnur fyrirtæki við og grípa til viðeigandi aðgerða til að koma í veg fyrir frekari innbrot. Þar sem engin tilkynningaskylda sé í dag haldi fyrirtæki að sér höndum og tilkynni ekki innbrot. Hrafnkell segir að hingað til hafi vantað vettvang til að láta vita af brotunum þar sem oft séu fyrirtækin berskjölduð undir svona kringumstæðum og séu milli steins og sleggju varðandi hvort sé betra að láta vita af brotunum eða þegja yfir þeim.

Hrafnkell segir að væntanlega sé vænlegast að opinber aðili sjái um þessi mál, þar sem um viðkvæmar upplýsingar geti verið að ræða sem fyrirtæki muni ekki gefa hverjum sem er. „Fyrirtæki eru ekki tilbúin að greina keppinautum sínum frá svona málum,“ segir hann og bætir við: „Þetta er oft spurning um hvað gerðist og þá þurfa fyrirtæki að ræða um veikleika sína og það er umræða sem þú ferð ekkert með fyrir almenning og það þarf að fara varlega og agað í slíka umræðu.“ Segir hann að það skipti miklu máli að fyrirtæki séu ekki verr stödd ef þau segi frá árásunum en ef þau þegi yfir þeim, þannig sé búinn til hvati til að opna þessa umræðu og fyrirbyggja frekari árásir.

Litlir fjármunir í öryggismál

Öryggismál sem þessi eru þó ekki sjálfgefin og bendir Hrafnkell á að annars staðar á Norðurlöndunum séu á bilinu 100 til 300 einstaklingar í netöryggissveitum. Hér á landi eru aðeins örfáir sem sinna þessum málum og fjöldinn alls ekki á pari við nágrannalöndin, jafnvel þegar horft er til höfðatölu. Segir Hrafnkell að um 30 milljónum sé varið til þessa málaflokks í dag og það sjáist að það dugi ekki langt. „Það þarf að bæta verulega í til að geta staðið undir þó ekki væri nema sómasamlegri lágmarksþjónustu.“

Frétt mbl.is: Kortaþjófnaður algengari en talið er

Tengdar fréttir

Tölvu- og netöryggi

Svikin hlaupa á milljónum króna

• Enn í tilraunafasa en metnir á 1,4 milljarða
• Gríðarleg fjölgun netöryggisatvika í ár
• Ísland og Úkraína fá aðild að CCDOE
• Framsóknarmenn eru víða

» Fleiri tengdar fréttir

• 1 blogg um fréttina

Bloggað um fréttina

• Guðjón Sigþór Jensson: Grafalvarlegt mál