Fyrirtæki á Íslandi sýna tölvuöryggismálum lítinn áhuga og á síðustu misserum hefur orðið skref aftur á bak í þessum málum. Þrátt fyrir vitundarvakningu í kringum Vodafone lekann í fyrra virðast fyrirtæki ekki hafa lært af því máli og draga lappirnar í tölvuöryggismálum og reyna að komast upp með að gera eins lítið og hægt er. Þetta segir Rey Leclerc Sveinsson yfirmaður gagnaverndar og upplýsingaöryggis hjá Deloitte.

Leggja niður deildir og kaupa þjónustu erlendis frá

Ráðgjafafyrirtækin KPMG og Deloitte komu upp deildum hjá sér þar sem áhersla var lögð á ráðgjöf vegna öryggismála en þau hafa nú verið lagðar niður í upprunalegri mynd og er horft til þess að notast í staðinn við aðkeypta ráðgjöf frá systurfélögum á Norðurlöndunum. Rey segir ástæðu þessara breytinga fyrst og fremst vera skeytingaleysi íslenskra fyrirtækja í þessum málaflokki og litla eftirspurn. Sjálfur kemur Rey frá Bandaríkjunum og segir hann að þar hafi þessi málaflokkur verið vaxandi undanfarinn áratug, en hér skelli menn skollaeyrum við netöryggi.

Rey bendir á að ráðgjöf vegna tölvuöryggis sé kjarnastarfsemi hjá Deloitte á alþjóðavísu, en hér á landi sé eftirspurnin lítil sem engin. „Mér finnst það vera áhugavert að á sama tíma og þetta er heitt umræðuefni um allan heim, þá ýti íslenski markaðurinn ekki undir þetta,“ segir Rey.

Ranghugmyndir um að kerfi séu örugg á Íslandi

Helstu ástæður fyrir áhugaleysi íslenskra fyrirtækja eru að hans sögn smæð markaðarins, skilningsleysi stjórnenda, öryggistilfinningin á Íslandi, ranghugmyndir um að tungumálið komi í veg fyrir stórar árásir og uppbygging fyrirtækja, þar sem sjaldnast er staða öryggisstjóra eða framkvæmdastjóra upplýsingatækni.

Öryggisstjórar hafa minna vægi á Íslandi

Í samtali við mbl.is fer Rey yfir muninn á Íslandi og í Bandaríkjunum, þar sem hann þekkir ágætlega til. Segir hann að í Bandaríkjunum sé alla jafna framkvæmdastjóri upplýsingaöryggis (e. Chief Information Security Officer), en hér þekkist það ekki. Sú staða ýti undir vægi tölvuöryggis, enda sé þá einhver í forsvari fyrir málefnið í framkvæmdastjórn. Ástandið á Íslandi sé nefnilega að fæstir forstjórar, framkvæmdastjórar eða fjármálastjórar velti þessu fyrir sér og þeir sem sjái um öryggismálin hafi oft lítið að segja í stjórnun fyrirtækisins sjálfs.

Aðspurður hvað hann telji þennan litla áhuga þýða segir Rey að þarna sannist gífurlegt vanmat íslenskra stjórnenda á þeirri öryggisógn sem tölvukerfi þeirra standi frammi fyrir. Segir hann að síðustu árum hafi fjölmörg mál komið upp þar sem fyrirtæki hafi orðið fyrir miklum skaða vegna þess að tölvuþrjótar komust inn í kerfi fyrirtækja og stálu upplýsingum. Nærtækasta dæmið er þegar 23 ára strákur komst inn í tölvukerfi bandarísku verslunarkeðjunnar Target og stal upplýsingum um 40 milljón kreditkort. Slík mál koma reglulega upp og segir Rey að hér á landi sé mikill skortur á að fyrirtæki sem taki við kreditkortum passi nægjanlega vel upp á öryggi gagnanna.

Lítill áhugi á öryggisstaðli

Árið 2004 tóku stærstu kreditkortafyrirtæki heims upp öryggisstaðalinn PCI DSS og var þess krafist að farið væri eftir honum fyrir lok ársins 2005. Rey segir að íslensk fyrirtæki hafi sýnt þessum öryggisstaðli lítinn áhuga og að hann viti ekki um neinn hýsingaraðila hér á landi sem sé vottaður á þennan hátt. Til viðbótar fylgi enginn af íslenskum bönkunum þessum staðli heldur. Mbl.is fjallaði um þessa vottun fyrr á árinu þar sem rætt var við framkvæmdastjóra Kortaþjónustunnar, en hann gagnrýndi einnig áhugaleysi íslenskra fyrirtækja í þessum efnum.

Tölvuöryggismálum er ábótavant hérlendis

Hér á landi hefur lítið verið gert af rannsóknum um tölvuöryggi og þá er öll umgjörð kringum málaflokkinn í lágmarki. Fyrr á árinu sagði mbl.is frá könnun Deloitte þar sem fram kom að 22% fyrirtækja hafi orðið fyrir tölvuárásum í fyrra. Önnur könnun KPMG sýndi að 36% heimasíðna hjá fyrirtækjum væru í áhættuflokki vegna galla í vefkerfum. Þá sagði Hrafnkell V. Gíslason, forstjóri Póst- og fjarskiptastofnunar, að það væri hafið yfir allan vafa að kortaupplýsingum hafi verið stolið frá innlendum fyrirtækjum. Sagði hann tölvuöryggismálum ábótavant hjá íslenskum stofnunum og fyrirtækjum, en að litlir peningar væru settir í málefnið. Jóhannes Ingi Kolbeinsson, framkvæmdastjóri Kortaþjónustunnar, staðfesti sögu Hrafnkells og sagði að upp kæmist um nokkurn fjölda innbrota á ári þar sem kortaupplýsingum væri stolið.

Rey LeClerc Sveinsson PhD, yfirmaður gagnaverndar og upplýsingaöryggis hjá Deloitte.

Tengdar fréttir

Tölvu- og netöryggi

Svikin hlaupa á milljónum króna

• Enn í tilraunafasa en metnir á 1,4 milljarða
• Gríðarleg fjölgun netöryggisatvika í ár
• Ísland og Úkraína fá aðild að CCDOE
• Framsóknarmenn eru víða

» Fleiri tengdar fréttir

• Blogga um frétt