Mæla ekki með því að borga

„Netöryggissveitin CERT-IS er svokallað þjóðar-CERT-teymi Íslands, eða þjóðar-CSIRT-teymi, sem er alþjóðlega heitið,“ segir Guðmundur Arnar Sigmundsson, sem fer fyrir téðu teymi hér á landi, en CERT-IS starfar innan vébanda Fjarskiptastofu.

Þjóðarteymin hafa, hvert í sínu landi, skilgreint hlutverk. „Við sinnum þessu hlutverki fyrir hönd hins opinbera og förum með viðbragðshlutverk netvarnamála fyrir netumdæmið Ísland í heild sinni, og þá sérstaklega það sem skilgreint er sem mikilvægir innviðir,“ útskýrir Guðmundur.

Skilgreinir hann mikilvæga innviði sem fyrirtæki og stofnanir í einkaeigu og opinberum rekstri sem teljast vera það þjóðhagslega mikilvæg að ef starfsemi þeirra raskast eða fellur niður er voðinn vís.

„Þessir aðilar geta svo sótt aðstoð til einingar eins og þeirrar sem við rekum,“ heldur Guðmundur áfram og er spurður í hverju sú aðstoð felist.

„Við sinnum svokallaðri atvikameðhöndlun,“ svarar hann, „þegar einhver sem er á þessum lista [yfir mikilvæga innviði] lendir í einhverju höfum við mismiklar heimildir til að aðstoða þessi fyrirtæki eða stofnanir á lappir aftur. Við höfum lagt mikið púður í það undanfarin fjögur ár að byggja upp frambærilega atvikameðhöndlunarþjónustu fyrir CERT-IS-sveitina okkar.“

Að koma auga á veika punkta

Atvikameðhöndlun þessa kveður hann annað tveggja meginhlutverka CERT-IS sem skilgreind eru í löggjöf Evrópusambandsins. „Hitt skilgreinda hlutverkið okkar er að við erum þessi miðlæga eining, við höfum ákveðið hlutverk, sem er að viðhalda svokallaðri ástandsvitund netöryggismála sem í mínum huga – og okkar í teyminu – þýðir að við erum alltaf að reyna að meta hver staðan sé í þessum netöryggisheimi og netöryggismálum sem eru að koma upp daglega hjá okkur í þessu íslenska netumhverfi,“ útskýrir Guðmundur.

Afurð þeirrar matsvinnu segir hann vera upplýsingar sem aðstoða fyrirtæki og stofnanir við að styrkja sínar netöryggisvarnir og koma auga á veika punkta.

Hvernig er tölfræðin í þessu, hve oft þurfið þið að bregðast við og fara í einhverjar aðgerðir gegn hvers kyns netárásum og -ógnum?

Svarar Guðmundur því til að teymið bregðist við miklum fjölda af atvikum ár hvert, þótt raunar sé hann ekki með tölfræðina fyrir 2024 á takteinum, „en mál í fyrra eru vel á annað þúsund og flokkast raunar í tíu þætti innbyrðis, þar fylgjum við evrópskri fyrirmynd í flokkun netöryggisatvika, þar eru til dæmis svindlherferðir, gagnagíslataka, gagnastuldur og svo framvegis,“ segir hann enn fremur.

Töluverð fjölgun hafi orðið í fyrra frá um það bil 1.200 málum árið 2023 og 700 árið þar á undan. „Við sjáum þarna mjög brattan vöxt allra gerða mála, sem koma inn á okkar borð, fjórða eða fimmta árið í röð, og eitt árið varð tvöföldun á milli ára,“ segir Guðmundur af síauknum fjölda netárásarmála sem íslenska CSIRT-sveitin fái greinargóðar upplýsingar um frá þeim sem fyrir verða.

Huglægara en innbrot eða þjófnaðir

„Þær upplýsingar gefa okkur ákveðna sýn á þróunina. Tölurnar fyrir árið í fyrra verða birtar í ársskýrslunni okkar sem kemur út á vormánuðum og verður fjórða árið í röð sem við birtum tölfræðina opinberlega ásamt þeim straumum og stefnum sem ríkjandi eru hjá gerendunum,“ heldur hann áfram.

Tölurnar álítur Guðmundur trúverðugar, Ísland búi ekki svo vel enn þá að hafa snemmviðvörunarkerfi í netárásarmálum sem mörg nágrannaríkjanna noti hins vegar. Telur hann nauðsyn að koma slíku kerfi á laggirnar svo gerlegar megi hafa auga með yfirvofandi ógnum í hinum ósýnilega en þó nálæga stafræna heimi.

„Fyrir marga er þetta huglægari raunveruleiki en hefðbundnir glæpir, svo sem innbrot eða þjófnaðir. Við fáum þessar upplýsingar með óbeinum hætti, þótt við höfum ekki snemmviðvörunarkerfið, það gerist gegnum samstarf okkar við aðilana sem verða fyrir árásunum og við sjáum að straumar og stefnur í þessum efnum eru í takt við það sem tíðkast hjá nágrönnum okkar á Norðurlöndunum og í Vestur-Evrópu.“

Segðu mér frá tilgangi árásarmanna. Er mestmegnis um auðgunarbrot að ræða eða tilraunir til þeirra?

„Já,“ svarar Guðmundur og kynnir því næst til sögunnar hina þrjá flokka stafrænnar brotastarfsemi. „Fyrst eru það þessir áhugasömu einyrkjar sem eru að grúska í þessu og finnst þetta spennandi. Þeir vilja sjá hve langt þeir komist,“ segir þessi hliðvörður íslenskra netöryggismála og álykta lesendur líkast til margir sem svo að þarna sé kominn hinn sígildi „hakkari“ sem kallað er. „Þessi hópur er mun frekar forvitinn en að hann sé að sjá í þessu einhverja gróðavon,“ bætir Guðmundur við.

Setja sig í samband við starfsfólk

Annar hópurinn sé sá sem hve mestum usla hafi valdið síðustu ár, það eru þeir sem stunda skipulagða glæpastarfsemi á netinu og „moka inn peningum, gífurlegar upphæðir tapast ár hvert vegna þessara hópa sem hafa góða tæknilega þekkingu og eru oft vel skipulagðir. Þessir aðilar skilja vel bæði tækniumhverfin sem þeir ráðast á, en líka hegðun fólksins sem er að vinna í þessum umhverfum og við sjáum að meira en helmingur allra mála, sem koma inn á borð til okkar, eru flokkuð sem svokölluð svindlmál,“ segir hann.

Þar með sé ekki átt við beina árás á tölvukerfi heldur sú leið frekar farin að setja sig í samband við starfsfólk eða aðila sem vinna beinlínis við tölvukerfin og eru í fullum rétti inni í þeim. „Árásarmennirnir plata fólkið svo einhvern veginn til þess að opna dyrnar út í gegnum allar netvarnir – sem er búið að kosta til í þeim tilgangi að verja tölvuumhverfið – þannig að viðkomandi komist inn,“ lýsir Guðmundur.

Mál af þessum toga kveður hann vera meira en helming allra netárásarmála sem upp koma, hvort tveggja hérlendis og í nágrannalöndunum. „Það segir okkur að það er auðveldara að plata fólk en að gera beina árás á ytri netvarnir fyrirtækjanna. Það þekkist þó alveg líka,“ tekur hann fram.

Skipulögðu netglæpahóparnir séu iðnir við að nýta hvort tveggja, mannlega sem tæknilega bresti til að komast inn í tölvukerfi. „Og þeir eru duglegir við að sækja sér pening með þessu með því að kúga fórnarlömbin eða krefjast lausnargreiðslu, hvernig sem það er framkvæmt.“

Stórir og enn betur skipulagðir...

Þriðji hópur hinna netvæddu misindismanna, sem jafnframt er stærstur, háskalegastur og í hve örustum vexti, séu svo stórir – og enn betur skipulagðir en þeir sem finnast undir lið tvö – hópar sem oft séu beint eða óbeint tengdir ríkjum. „Þeir eru kallaðir „advanced persistent threat“-hópar, við köllum þá ógnarhópa. Þeir eru síður að eltast við krónur og aura, enda eru þeir oftast vel fjármagnaðir, en eru meira í hreinræktaðri njósnastarfsemi, eru að koma sér fyrir, komast yfir gögn, stela hugverkum og höfundarvörðu efni eða eru hreinlega að reyna að njósna um starfsemi mikilvægra innviða og stjórnvalda,“ segir Guðmundur.

Í þessum þriðja hópi sé mikill vöxtur í Evrópu og mikil fjölgun atvika sem sprottin séu af starfsemi þeirra. „Þessir hópar eru ekkert að draga línuna út frá þessum hefðbundnu landamærum. Þeir gera engan sérstakan greinarmun á því hvort verið sé að ráðast á íslenskt fórnarlamb eða skandinavískt fórnarlamb eða vesturevrópskt fórnarlamb.“

Blaðamaður spyr út í netárás á Ísland á meðan leiðtogafundur Evrópuráðsins stóð yfir í Hörpu á vordögum 2023.

„Þær árásir, dreifðar álagsárásir, voru af dálítið öðrum toga,“ svarar Guðmundur, en árásir af þessum toga, sem beindust meðal annars að Alþingi, Hæstarétti og Isavia, kallast á ensku „DDoS attacks“.

„Þá er ekki verið að ráðast inn og komast yfir gögn heldur er verið að ráðast á þjónustur með svo mikilli umferð að ekki er hægt að nýta þjónustuna. Hún annar ekki eftirspurninni og heilu vefsíðurnar eða gagnagrunnarnir geta farið niður. Þetta var meginþemað í öllum árásum sem við upplifðum í kringum leiðtogafundinn,“ bætir hann við.

Hundrað þúsund vélmenni á netinu

Þarna hafi ólíkir aðilar staðið á bak við árásirnar, en ekki um það að ræða að krafist væri neins gjalds fyrir að láta af þeim. „Þarna var tilfellið fyrst og fremst að ráðast á netumhverfið „punktur is“ í heild sinni vegna þess að Íslendingar voru gestgjafar þessa fundar þar sem umræðuefnið var stríðið í Úkraínu,“ segir Guðmundur.

Spurður út í vopn og verjur CERT-IS gegn netárásum svarar hann því til að þær séu í raun jafn ólíkar og árásirnar sem þeim er ætlað að afstýra. „Varnir gegn álagsárum krefjast þess að umferð á þann sem fyrir verður sé hreinsuð, þá eru fyrirtæki sem sérhæfa sig í því að taka við gríðarmikilli netumferð og sigta út hvað eru löglegar heimsóknir, til dæmis maður að reyna að komast inn í netbankann sinn, og hvað eru hundrað þúsund vélmenni á netinu að reyna að koma í veg fyrir það,“ svarar viðmælandinn og á með vélmennum við svokallaða „botta“ sem á íslensku hafa verið kallaðir yrkjar og eru forrit sem gerð eru til þess eins að endurtaka sömu aðgerðina ótal sinnum.

Þetta sé ein vörnin. Annað tíðkist hins vegar í gagnagíslatökum þegar gögn einstaklings eða fyrirtækis eru tekin og dulkóðuð og honum þar með meinaður aðgangur að þeim nema gegn greiðslu.

„Þetta eru mál sem eru í örum vexti, við sjáum núna tvöföldun á þeim vettvangi þriðja árið í röð,“ segir Guðmundur. „Þarna geta lykilgögn fyrirtækja verið undir og mál af þessu tagi hafa valdið gjaldþrotum lítilla og meðalstórra fyrirtækja. Þarna hverfa öll vinnugögn á einu bretti, gögn sem eru mikið til orðin stafræn nánast hvert sem þú horfir í samfélaginu.“

Varnirnar gegn slíkum ófögnuði segir Guðmundur rétta aðferðafræði við að hanna kerfi og að þar sé réttum stöðlum í upplýsingatækniöryggi fylgt. Þá sé afritun gagna algjört lykilatriði svo mögulegt sé að nálgast nauðsynleg gögn aftur, óháð árás.

Ráðist aftur á sama fórnarlambið

Aðspurður kveðst Guðmundur CERT-IS-teymið hafa heyrt af tilfellum þar sem fyrirtæki, íslensk og skandinavísk, hafi bitið í það súra epli að greiða lausnargjaldið. „Okkar lína er mjög skýr hvað þetta varðar,“ segir hann í framhaldinu, „við mælum aldrei með því að borga. Í fyrsta lagi kyndir það undir að þessari árásastarfsemi vaxi ásmegin og hún eflist. Jafnvel að ráðist sé aftur á sama fórnarlambið.

Auk þess er ekkert endilega sjálfgefið, þótt greitt sé, að endurheimt gagna eigi sér stað. Stundum fær fólk afhent lykilorð, en þetta eru bara forrit, þetta eru bara mannanna verk, og þau virka ekki alltaf auk þess sem vilji glæpamannanna stendur ekki alltaf til þess að skila gögnunum. Okkar ráðlegging er – og það hefur reynst mörgum vel – að vera ekki í neinum samskiptum við kúgarann heldur setja sig strax í samband við sérfræðinga í atvikameðhöndlun gagnastuldarmála.

Regla númer eitt er þó alltaf að eiga afrit af mikilvægum gögnum og tryggja að ekki sé auðvelt aðgengi að viðkvæmum gögnum, til dæmis persónulegum upplýsingum eða gögnum sem myndu valda miklum skaða ef þau lækju út,“ segir Guðmundur með áhersluþunga.

Þriðja atriðið, eða þriðju vörnina, segir hann gilda um þau tilfelli þegar reynt sé að ginna starfsfólk til þess að gefa einhverjar upplýsingar eða framkvæma eitthvað, svo sem peningagreiðslu.

„Sífelld þjálfun starfsmanna er lykilatriði þar. Öll dæmi sjást á Íslandi um svindl af þessum toga og heilt yfir standa íslensk fyrirtæki og stofnanir vel að vígi þarna. Okkar hlutverk er hins vegar ekki að fylgjast með þessu, það er hlutverk eftirlitsstjórnvalda að setja kröfurnar og fylgja því eftir að þeim sé fylgt,“ segir Guðmundur.

Örari en augað greinir

Bendir hann á að innviðir, sem skilgreindir séu opinberlega sem mikilvægir, séu eitt, hins vegar séu allir aðrir mikilvægir innviðir. „Við erum með stór og mikil fyrirtæki og félög sem eru gífurlega tekjuskapandi fyrir landið og starfa í krafti hugverka. Það getur riðið slíkum fyrirtækjum að fullu ef stór hönnunarleyndarmál leka út, ef mikilvægar teikningar og annað slíkt fer úr húsi,“ útskýrir hann.

Þróun árásanna og svindlsins sé nánast örari en auga á festi. „Árásirnar eru orðnar miklu hnitmiðaðri, til dæmis með aðstoð gervigreindar,“ nefnir Guðmundur. „Nú er orðið miklu auðveldara að falsa tölvupóst eða símtal, setja sig í samband við einhvern gegnum Facebook – sem er mikið notað á Íslandi – segja til dæmis við einhvern að þið hafið nú hist á Akureyri í fyrrasumar og verið að tala um þetta eða þetta og hvort viðkomandi geti nú smellt á einn hlekk og gefið einhverjar leiðbeiningar.

Þetta er miklu hnitmiðaðri árás á einstakling en hérna í gamla daga þegar sendur var fjöldapóstur, sem alltaf var kallað gömlu klisjunni „Nígeríubréf“, um gamla frændann sem dó og þú áttir að fá milljarða,“ nefnir Guðmundur til samanburðar og rifjar upp gamla tíma og svindltilraunir sem fjöldi lesenda kannast við.

„Annars verð ég skammaður“

„Lykilatriðið hér er að tileinka sér heilbrigða tortryggni. Ef einhver, sem virðist standa þér nærri, er að biðja um eitthvað skrýtið, eitthvað óeðlilegt, til dæmis peningamillifærslu, er mjög sterkur leikur að hringja bara í viðkomandi og spyrja hvort hann eða hún sé ekki örugglega að biðja um þetta eða hitt. Að opna samskiptin frá þér til hans er lykilatriði, ekki taka því sem gefnu að samskiptin sem hann opnaði á til þín séu ósvikin,“ segir hann og nefnir að lokum síðasta varnaleikinn.

„Annars verð ég skammaður af netöryggissérfræðingum,“ segir hann glettinn, „en þessi regla snýr að því að þeir sem reka tölvukerfi fylgi öflugu og góðu uppfærsluferli. Þegar veikleikar finnast í búnaði eða kerfum, sem búið er að kaupa fyrir fúlgur fjár, sé það gripið hratt og strax stoppað í götin sem verið var að uppgötva. Það gerist daglega um allan heim að einhver uppgötvar einhverja glufu sem hægt er að fara gegnum – einhver veikleiki gerir það að verkum að það er bara hægt að labba gegnum vegginn,“ segir sérfræðingurinn.

Þarna þurfi sá sem brýst inn ekki einu sinni að vera liðtækur hakkari, nóg sé að heyra af veikleikanum og fara svo gegnum holuna.

„Þangað til búið er að uppfæra kerfið er þessi hola bara til staðar. Þess vegna þurfa allir rekstraraðilar að vera fljótir til að uppfæra kerfi, sérstaklega hvað öryggisuppfærslur snertir. Það er lykilatriði,“ segir Guðmundur Arnar Sigmundsson hjá CERT-IS að lokum.

Viðtalið við Guðmund Arnar er fjórða viðtalið í greina­flokki mbl.is um net­glæpi sem birt­ast mun les­end­um í áföng­um það sem eft­ir lif­ir fe­brú­ar­mánaðar.