Nokkrar tilkynningar hafa borist um mögulegar tölvuárásir á fyrirtæki Íslandi en engin þeirra er staðfest, segir Hrafnkell V. Gíslason, forstjóri Póst- og fjarskiptastofnunar. Allt starfsfólk stofnunarinnar er að störfum vegna gagnagíslatökuárása sem ganga nú yfir heiminn. 

„Við erum að skoða málið og höfum fengið tilkynningar en enginn hefur lýst því yfir að hafa orðið fyrir árás síðustu 36 klukkustundirnar,“ segir Hrafnkell í samtali við mbl.is.

Líkt og fram hefur komið eru fórnarlömb tölvuárásarinnar yfir 200 þúsund talsins í yfir 150 löndum og ólíklegt að Ísland sleppi.

Um er að ræða sérstaklega varasama árás þar sem hún dreifir sér sjálfvirkt milli véla (s.k. ormur) á netlagi en flestar gíslatökuárásir hafa til þessa verið gerðar með tölvupósti og/eða spilltum vefsíðum. AFP

Á vef PFS er að finna upplýsingar frá netöryggissveit stofnunarinnar um árásirnar.

Um er að ræða „WannaCry“-spillikóða sem virðist nýta sér sama veikleika og var nýttur í ETERNALBLUE-tólinu sem var hluti af þeim spillihugbúnaði sem lekið var frá Þjóðaröryggisstofnun Bandaríkjanna fyrir skömmu. Ógnin m.a. er einnig þekkt sem Wcry or WanaCrypt0r.

Um er að ræða sérstaklega varasama árás þar sem hún dreifir sér sjálfvirkt milli véla (sk. ormur) á netlagi en flestar gíslatökuárásir hafa til þessa verið gerðar með tölvupósti og/eða spilltum vefsíðum. Útbreiðsluhraðinn hefur því verið verulega meiri en í fyrri árásum sem gerir þessa mun skæðari. Vísbendingar hafa borist um tiltölulega fáar sýktar vélar hérlendis en enn sem komið er hafa okkur ekki borist tilkynningar um árásir frá fórnarlömbum.

Hrafnkell segir að nánar verði upplýst um stöðuna síðar í dag en PST er að reyna að fá staðfestar fréttir að utan um hvernig vírusinn dreifir sér nákvæmlega. Vitað er nokkurn veginn hvernig það er en ekki nákvæmlega. 

„Við viljum fá nákvæmar upplýsingar um hvernig hann dreifir sér en þær upplýsingar liggja ekki á lausu því miður,“ segir Hrafnkell en PFS er í samskiptum út um allan heim vegna þessa.

„Í fyrramálið byrjar ballið fyrst,“ segir Hrafnkell en hann á von á því að hægt verði senda út leiðbeiningar um hvernig eigi að bregðast við fljótlega. 

Hrafnkell V. Gíslason, forstjóri Póst- og fjarskiptastofnunar.

Tæknilegar upplýsingar

Ógnin herjar á Microsoft Windows-stýrikerfi. Hún nýtir sér þekktan veikleika í SMB-kerfinu (MS17-010) sem hefur þegar verið lagfærður af Microsoft. Svo virðist sem veikleikinn sé bundinn við útgáfur fyrir Windows 10 en engu að síður er mælt með að uppfæra allar vélar sem keyra Microsoft Windows-stýrikerfi.

Ráðstafanir

CERT-IS mælir með að uppfæra stýrikerfi og allan annan hugbúnað sem fyrst þar sem árásin nýtir sér þekktan galla. Einnig er mikilvægt að uppfæra allan varnarbúnað, s.s. vírusvarnir, IDS og eldveggi, og tengd reglusett. Einnig er ráðlagt að slökkva á SMBv1-samskiptum eins og unnt er, bæði á einstökum vélum og á netlagi. Sérstaklega loka á SMB samskipti frá IP-tölum utan eigin nets. Mikilvægt er að fyrirtæki komi sér upp verklagi til að taka á gagnagíslatöku, s.s. að einangra sýktar vélar strax og sýkingar verður vart með að rjúfa netsamband. Huga strax að afritun mikilvægra ganga til að bregðast megi við gagnagíslatöku án greiðslu lausnargjalds.

Mikilvægt er að hægt sé að móta heildstæða stöðumynd af þessu atviki sem og öðrum. Því óskum við eftir tilkynningum um árásir á cert@cert.is, segir á vef PFS.

Almennt um undirbúning og viðbrögð gegn gagnagíslatöku

• Uppfæra stýrikerfi og allan hugbúnað reglulega í nýjustu útgáfur. Einnig fjarlægja ónotaðan og ónauðsynlegan hugbúnað.
• Huga að vörnum, bæði á endabúnaði og netlagi, halda búnaði uppfærðum og uppfæra reglusett ört.
• Taka afrit af öllum nauðsynlegum gögnum og gera áætlanir um hvernig bregðast beri við gagnamissi, hvort sem er vegna gagnagíslatöku eða bilana.
• Séu gögn dulrituð með gíslatökubúnaði er fyrsta skrefið að einangra viðkomandi tölvu strax til að koma í veg fyrir smit til annarra véla og dulritun á nettengdum drifum. Næsta skref er að leita uppi spillikóðann, t.d. með vírusvarnabúnaði, og óvirkja ef hægt er. Séu til afrit er best að hreinsa viðkomandi tölvu til fulls, setja aftur upp stýrikerfi og allan nauðsynlegan búnað með öryggisuppfærslum. Þegar tölvan er tryggð er hægt að keyra inn afrit og setja í rekstur.
• CERT-IS mælir ekki með að lausnargjald sé greitt nema kannað hafi verið til fulls hvort óbætanleg gögn séu annars óendurkræf. Sé tekin ákvörðun um að greiða mælum við með að haft sé samráð við þjónustuaðila eða öryggissérfræðinga til að aðstoða í því ferli.
• Vert er að fylgjast með NoMoreRansom-verkefninu (https://www.nomoreransom.org/) sem birtir oft gagnlegar upplýsingar um viðbrögð við gagnagíslatöku.