Siðprúðir hakkarar brjótist inn í tölvukerfi

Mynd: - / wikimedia
Íslendingar eru aftarlega á merinni í tölvuöryggismálum og siðprúðir hakkarar ættu að vera fengnir til að finna öryggisgalla í kerfum hins opinbera. Þetta segir Theódór R. Gíslason, tæknistjóri hjá tölvuöryggisfyrirtækinu Syndis. Guðmundur Arnar Sigmundsson, forstöðumaður netöryggissveitarinnar CERT-IS segir að tölvuárásum hafi fjölgað og afleiðingar þeirra séu orðnar afdrifaríkari.  

Kostnaðasamar árásir netglæpamanna

Netöryggissveitin CERT-IS ber samkvæmt lögum að fylgjast með tilkynntum málum er snúa að mikilvægum innviðum hér á landi. Guðmundur segir að tölvuglæpum og innrásum í kerfi fyrirtækja og stofnana hafi fjölgað verulega undanfarið, bæði hér á landi og erlendis. 

„Það er ekki endilega það að tíðni eða fjöldi árása sé að aukast heldur eru líka afleiðingar árásanna afdrifaríkari.“  Allt bendi til þess að fjárhagslegur skaði af árásum á tölvukerfi fari vaxandi ef miðað er við þau gögn sem NIS hafi.  Árið 2017 var fjárhagslegur skaði af árásum 1,4 billjónir dollara á ársgrundvelli en var  tæpar 5 billjónir dollara árið 2020. „Þetta er fjór- til fimmföldun á ekki lengri tíma en þetta.“

Netárásir á bandaríska varnarmálaráðuneytið

Theódór segir að Íslendingar séu aftarlega á merinni þegar tölvuöryggismál eru annars vegar. Ekki sé eitt svar til við því hvað eigi að gera til að breyta stöðunni. Hann leggur til að taka upp aðferð sem byrjað var á í Bandaríkjunum og er kölluð „Hack the Pentagon“. Þá báðu stjórnvöld siðprúða hakkara að reyna að brjótast inn í kerfi bandaríska hersins til að finna veikleikana þar.  „Þarna ertu að virkja lýðinn til þess að auka öryggi stafrænna umhverfa með því að leyfa fólkinu sem vill bæta umhverfi sitt, og á Íslandi er mikið af þannig fólki sem vill bæta okkar stafræna umhverfi og veit um alls konar kerfislæga hluti og hættur, en hefur ekki þennan vettvang til að koma þessu á framfæri.“ 

Hack the Pentagon tilraunin hófst árið 2016. Þá bauð hið opinbera í Bandaríkjunum siðprúðum hökkurum greiðslu fyrir að brjótast inn í varnarmálaráðuneytið og um leið draga fram í dagsljósið veikleika tölvukerfanna.  

Íslendingar aftarlega á merinni í tölvuöryggismálum

Tilraunin skilaði miklum árangri því síðan þá hafa varnarmálaráðuneyti Bandaríkjanna borist yfir 29 þúsund skýrslur um galla á kerfinu. Sjötíu prósent þeirra reyndust réttar. Aðferðin er nú notuð í Evrópusambandinu og á Norðurlöndunum en ekki á Íslandi, segir Theódór. Hið opinbera yrði að koma þessu af stað hér á landi ef þetta ætti að gera af alvöru - og netöryggissveitin CERT-IS kæmi þar sterkt inn.

„Ef þú gerir þetta þannig að allt íslenska ríkið er hluti af umfanginu og íslenska ríkið býður siðprúðum hökkurum að hjálpa okkur öllum að gera okkar stafræna umhverfi öruggara þá held ég að þetta gangi upp.“   

Guðmundur hjá Netöryggissveitinni segir að hugmyndin að hakka tölvukerfi í því skyni að finna öryggisgalla sé skoðunar verð. „Já, mér finnst vert að athuga það.“ Aðgerðirnar í Pentagon hafi skilað ágætum árangri. Þær snúist um að virkja almenning til að finna öryggisgalla í þeirra eigin kerfum og greiða fyrir það.

Tæknimönnum kennt um

Veikleikakannanir hafi verið framkvæmdar á vegum hins opinbera hér á landi og af einkafélögum sem sinna tölvugeiranum. Netglæpamenn taki ekki mið af landamærum og árásir erlendis geti léttilega smitast yfir til Íslands og öfugt.   
Hann tekur undir með Theodór hjá Syndis að mikilvægt sé að fyrirtæki og stofnanir æfi netárásir. Netöryggissveitin sjái um að halda slíkar æfingar með þeim sem séu hluti af opinberum innviðum.

Theódór segir að bæta þurfi ástand þessara mála hér á landi. „Ég hef sagt og mun halda áfram að segja þetta: Við erum þriðjaheimsríki þegar kemur að stafrænu öryggi. Við erum það.  Við tökum þetta ekki alvarlega. Værukærðin er gríðarleg. Ábyrgðinni er alltaf sett á tæknimennina.  Ég sé þetta líka þegar fyrirtækin hafa verið hökkuð það er einhver sem situr þarna úti í horni og hann er skammaður.“    

Stafrænar almannavarnir

Aðferðafræðin sem notuð var þegar hakkarar könnuðu veikleika varnarmálaráðuneytisins bandaríska geti nýst hér á landi. Slíkri tilraun mætti líkja við almannavarnir á netinu. „Einhvers konar stafrænar almannavarnir og eitthvað sem virkjar rannsóknarhugarfarið.“ Mikilvægt sé að einhver vísindi séu á bak við þetta, ákveðið hvernig eigi að afla gagna og hvernig vinna eigi úr þeim upplýsingum sem við höfum um Ísland. „Og að það sé til viðbragð. Ég held að það sé kannski það sem þyrfti," segir Theódór R. Gíslason hjá tölvuöryggisfyrirtækinu Syndis.
 

Bergljót Baldursdóttir
Fréttastofa RÚV