Telja sig starfa hjá löglegum fyrirtækjum
Setja bókamerki
„Stærsta breytingin núna upp á síðkastið er að fyrirtækin sem við þjónustum eru ekki með sína eigin netþjóna í okkar starfsstöðvum lengur, heldur er þetta allt komið í „cloud“ [svokallað ský eða skýjaþjónustu],“ segir Gunnhildur Eik Svavarsdóttir, netöryggissérfræðingur hjá Telenorcyberdefence, í samtali við mbl.is.
Upphaflega starfaði Gunnhildur hjá fjarskiptarisanum Telenor Norge, en núverandi vinnustaður hennar tilheyrir dótturfyrirtæki Telenor sem Telenor Amp heitir.
Gunnhildur ræddi við Morgunblaðið í ofanverðum nóvembermánuði 2023 og sagði þá frá lífi sínu á eynni Tromøy utan við Arendal í Suður-Noregi þar sem þau maður hennar, Christopher Dønnestad, búa í guðsgrænni náttúru og stunda hestamennsku af miklum móð. Ræddi hún þá enn fremur um starf sitt, en í þessu viðtali, því fimmta í greinaflokki mbl.is um netglæpi, fer hún einvörðungu yfir þann þátt – og þar hefur ýmislegt breyst.
„Núna getum við farið inn hjá kúnnanum [á netsvæði hans] og einangrað og blokkað,“ segir Gunnhildur af breytingunni og kostum hennar og á með sögninni að blokka við það þegar lokað er fyrir frekari aðgang einhvers konar boðflennu – hakkara eða annars óviðkomandi aðila sem kominn er inn í tölvukerfi fyrirtækis í viðskiptavinahópi Telenor.
Áður segir hún sig og samstarfsfólk sitt einungis hafa getað lokað fyrir netumferð, en núna þegar mest sé orðið vistað í skýinu svokallaða geti þau einangrað endapunktana eða tækin hjá fyrirtækinu þegar um sé að ræða skaðlegan hugbúnað eða mögulega stolin innskráningargögn.
Netárásum fjölgað gríðarlega
Deild Gunnhildar, SOC, eða Security Operations Centre, sinnir eingöngu öryggismálum fyrirtækja og stofnana.
Hún segir netárásum hafa fjölgað gríðarlega í Noregi, svo þar er það sama uppi á teningnum og á Íslandi, eins og fram kom í viðtali við Guðmund Arnar Sigmundsson, yfirmann netöryggissveitar Íslands, CERT-IS, um þarsíðustu helgi.
„Þetta er orðið miklu meira, sérstaklega með tilkomu gervigreindarinnar,“ segir Gunnhildur sem er tölvuverkfræðingur frá Háskólanum í Agder, UiA, með netöryggi sem sérgrein. „Þú þarft ekki að vera neinn snillingur, núna eru menn bara með heila „plattforma“ [enska orðið platform hefur verið þýtt sem verkvangur á íslensku] og árásirnar koma oft frá Rússlandi, Kína, Norður-Kóreu, Íran eða öðrum löndum þar sem fólk er bara í vinnu við þetta,“ segir Gunnhildur.
Hún segir að þá hafi öldin verið önnur er Gaukur bjó á Stöng, nú séu svindltilraunir ekki lengur auðþekkt hrákasmíð með hæpnum fullyrðingum og óvönduðu málfari einhvers hakkara sem komi strax upp um sig með því að tala augljóslega ekki það tungumál sem hann skrifar á.
„Nú skrifa gervigreindarforrit frambærilegan texta og veikleiki þess sem ráðist er á er alltaf manneskjan sem er plötuð, annaðhvort til að hlaða einhverju niður eða smella á einhvern hlekk,“ segir Gunnhildur enn fremur.
Hertækni frá 13. öld virkar enn
Auðvelt geti verið að falla í slíka gildru og nefnir netöryggissérfræðingurinn sem dæmi að einhver, til dæmis starfsmaður fyrirtækis með öll sín öryggismál í góðu lagi, sæki sér forrit á lýðnetið á vefsíðu sem sé nákvæm eftirlíking síðu lögmæts söluaðila. Oft felist munurinn aðeins í því að bókstöfum sé víxlað í netslóð (URL) síðunnar eða stafsetning sé með öðrum, oft torséðum, hætti ólík.
„Allt lítur kannski mjög vel út nema hvað að í forritinu er búið að koma fyrir „rootkit“ eða þá svokölluðum trójuhesti,“ segir Gunnhildur og vísar til lymskulegrar innrásar Grikkja í borgina Tróju sem Hómer orti um í Ilíonskviðu. Skildu Grikkir þá gríðarmikinn tréhest eftir við borgarhlið Tróju sem Trójumenn töldu gjöf til sín og drógu hestinn inn í borgina. Í kvið hans leyndust hins vegar grískir hermenn sem klifruðu út í skjóli nætur og gjörsigruðu fjendur sína Trójumenn.
Sé sagan um Tróju sönn – en þýskur fornleifafræðingur, Heinrich Schliemann, gróf Tróju raunar upp árið 1873, leifar hennar eru í Norðvestur-Tyrklandi – byggja svindlaðferðir tölvuhakkara á 21. öld á hernaðartækni sem Forn-Grikkir beittu á 13. öld fyrir Krists burð. Þjóð sem slík fordæmi setti hefur ekki verið alls varnað.
Slekkur á vírusvarnarforritum
Svo öllu sé haldið til haga tæknilega er trójuhestur ein tegund spilliforrits sem dulbýr sig sem löglegan hugbúnað með það fyrir augum að narra notendur til að setja það upp.Eftir uppsetningu getur það svo stolið gögnum, búið til bakdyr svonefndar eða sett upp önnur spilliforrit.
Rootkit er fyrirbæri hannað til að fela tilvist spilliforrita og veita árásarmanni djúpan aðgang að kerfi. „Þetta nota hakkarar oft, á meðan enginn hefur uppgötvað það, til að viðhalda stjórn á kerfi. Dæmi um þetta er rootkit í kjarnaham sem slekkur á vírusvarnarforritum og felur skaðlegar skrár,“ útskýrir Gunnhildur sem er víðlesin í harðsnúnum fræðum sínum og lunkin við að útskýra þau fyrir leikmönnum.
„Þessu er oft laumað inn í öll þessi forrit sem eru ókeypis á netinu,“ segir Gunnhildur og bætir því við aðspurð að þróun svikabransans sé nú það langt komin að hægt sé að setja upp heilu símtölin þar sem fólk talar við gervigreindarforrit sem gerð séu úr garði með það fyrir augum að nálgast einhvers konar viðkvæmar upplýsingar.
„Djúpfölsun [e. deepfake] er til dæmis breytt mynd eða myndband sem búið er til með gervigreind til að láta það líta út eins og eitthvað raunverulegt, oft með það í huga að svindla. Það getur skipt út andlitum, breytt röddum eða búið til algjörlega falskar senur,“ segir Gunnhildur og minnir frásögn hennar um margt á staðleysukenndar sagnir norrænnar goðafræði þar sem æsir gátu brugðið sér í allra kvikinda líki.
Þeir hefðu risið til æðstu metorða sem hakkarar.
Mál á borð við djúpfölsun kveður Gunnhildur hins vegar ekki hafa komið inn á borð sinnar deildar. „Við fáum hins vegar fjölda viðvarana um grunsamlegar innskráningar, til dæmis ef einhver skráir sig inn frá Ósló og svo skömmu síðar frá Finnlandi, þá sendir kerfið hjá okkur sjálfkrafa viðvörun þótt þetta þurfi ekki að vera neitt athugavert. Viðkomandi getur hins vegar verið að nota VPN-tengingu,“ útskýrir Gunnhildur og á við tengingu við net einhvers fyrirtækis sem hægt er að koma á annars staðar frá, til dæmis frá öðru landi.
Starfsfólk á faraldsfæti eða búsett erlendis hefur jafnan hugbúnað í tölvum sínum til að tengjast gegnum VPN.
Skaparar ransomware-verkfærakistunnar
Spurð út í hvað efst sé á baugi nú í svikabransanum nefnir Gunnhildur fyrirbæri sem kallast „ransomware“ og hefur verið þýtt sem gíslatökubúnaður. Kveður hún netglæpamenn stöðugt nýta sér þróaðar árásaraðferðir á borð við þann búnað sem haft geti mjög skaðlega eiginleika, en um þess konar árásir ræddi Guðmundur hjá CERT-IS í síðustu grein þessa greinaflokks.
„„Ransomware as a Service [RaaS]“ er viðskiptamódel sem notað er af netglæpamönnum, þar sem ransomware-tól eru seld eða leigð öðrum sem vilja framkvæma árásir en kunna ekki á tæknina. Í raun gerir þetta öllum kleift að framkvæma ransomware-árás, jafnvel án þess að búa yfir mikilli tölvufærni,“ segir tölvuverkfræðingurinn.
Kveður hún svokallaða RaaS-veitendur skapara ransomware-verkfærakistunnar. „Þeir taka vanalega þóknun eða hlutfall af lausnarfé frá árangursríkum netárásum.“
Viðskiptavinirnir hér séu einstaklingar eða hópar sem kaupi eða leigi RaaS-verkfæri með það fyrir augum að gera netárásir. „Þetta geta verið hverjir sem er – allt frá byrjendum í tölvuhökkun til reyndra netglæpamanna sem sækjast eftir gróða af notkun ransomware án þess að þurfa að þróa tólin sjálfir,“ heldur Gunnhildur áfram og segir greiðslurnar fyrir búnaðinn oftar en ekki hlutdeild í lausnarfé því er fórnarlambið greiðir.
Þar sem Pétur og Páll geta keypt eða leigt þennan búnað segir Gunnhildur árásum með honum fjölga ört.
Vaðið inn á skítugum skónum
Eins segir hún svokölluðum „zero-day“-árásum hafa fjölgað mjög og þær skapað verulegar netöryggisáskoranir. „Árið 2023 tilkynnti Cybersecurity and Infrastructure Security Agency [CISA] að meirihluti þeirra öryggisbilana sem upp kæmu væru upphaflega zero-day-bilanir. Sú aukning telst þá frá 2022,“ segir Gunnhildur.
Segir hún þar um að ræða veikleika eða glufu í varnarmúrum tölvukerfa sem viðkomandi fyrirtæki eða stofnun viti ekki af og netglæpamenn geti því vaðið inn um á skítugum skónum þar til veikleikinn uppgötvast og úr honum er bætt.
Hugtakið „zero-day“ eða dagur núll vísaði upphaflega til dagafjöldans síðan nýjum hugbúnaði var hleypt af stokkunum. Gekk tækni tölvuþrjótanna þá út á að brjótast inn í tölvukerfi þróunar- eða söluaðila hugbúnaðarins áður en hann var settur í sölu og þekkja þar með veikleikana. Í framhaldinu – eftir því sem öryggisglufurnar uppgötvuðust – gáfu framleiðendur hugbúnaðarins svo út öryggisuppfærslur til að stoppa í götin.
Eru norsk fyrirtæki orðin meðvitaðri núna en áður og farin að huga betur að öryggismálum?
„Já, ég myndi segja það,“ svarar Gunnhildur, „en þetta hefur líka bara breyst og nýjar leiðir eru komnar,“ heldur hún áfram. Kveður hún sumar þeirra hafa komið til með þeirri þróun að tekið var að vista gögn í skýjum í æ ríkari mæli auk þess fyrirbæris sem kallast „single sign-on“ og felur í sér að notanda er kleift að skrá sig inn á margar síður með því að auðkenna sig í eitt skipti fyrir þær allar.
Grafið í vitjanaskrám
„Þá er það til að svikahrappar hafa beint notendum inn á síðu sem lítur alveg eins út og innskráningarsíðan, en tveggja þátta auðkenning [svo sem auðkennisforrit sem notandi staðfestir sig við gegnum síma sinn] bjargar málunum oft þar,“ segir sérfræðingurinn.
Hver er ykkar þáttur í gagnagíslatökumálum, farið þið í það mál að reyna að endurheimta gögn?
Gunnhildur segir það almennt ekki vera tilfellið. „Ég vinn við greiningar sem ganga út á að finna út [þegar netárásir eða -innbrot eru hafin] og láta vita af því strax, tilkynna viðkomandi fyrirtæki að það þurfi að loka og læsa strax. Í Ósló erum við svo með IR-þjónustu [Incident Response], fyrirtæki sem hægt er að kaupa þá þjónustu af að finna út hverju hefur verið stolið af gögnum og hvernig hægt er að byggja allt upp aftur,“ segir hún. Fjöldi fyrirtækja hafi ekki á að skipa fólki sem búi yfir kunnáttu til slíks.
„Í minni deild, sem er í Grimstad, látum við bara vita strax og erum svo að grafa í loggum [svokölluðum vitjanaskrám tölvukerfa og fjölda annarra gagna]. Ég get til dæmis séð hjá mér ef einhver hefur smellt á „phising“-hlekk [vefveiðar, hlekkur sem lítur út fyrir að vera frá viðurkenndum þjónustuaðila, algeng leið til að komast yfir gögn á borð við lykilorð] og þá læst þeim notandareikningi strax,“ segir Gunnhildur frá.
Netöryggissérfræðingurinn er spurður út í hvort það sé liðin tíð að afrit gagna séu vistuð á hörðum diskum sem læstir séu inni í peningaskápum. Blaðamaður er hæfilega gamaldags til að finnast þetta frábær lausn – helst að allt sé til útprentað líka.
„Já,“ svarar Gunnhildur einfaldlega, „þetta fer auðvitað eftir stærð fyrirtækja, lítil fyrirtæki eru kannski enn með einhverja „servera“ [netþjóna] standandi hjá sér, en það er orðið lítið um það.“
Alltaf einhver sem borgar
Talið berst að gagnagíslatökum í Noregi og Gunnhildur fær sömu spurningu og títtnefndur Guðmundur hjá CERT-IS. Heyra hún og samstarfsfólk hennar af fyrirtækjum sem einfaldlega greiða uppsett verð til að heimta gögn sín úr helju?
Öðru sinni svarar viðmælandinn spurningu með ákveðnu hiklausu já-i. „Við heyrum um það og það er auðvitað ástæða fyrir því að þessir hópar nærast á þessu, það er alltaf einhver sem borgar,“ segir hún og greinir frá því hve mikil iðngrein innbrot í tölvukerfi fyrirtækja sé orðin nú á þriðja áratug 21. aldar.
„Ég var á netöryggisráðstefnu núna nýlega þar sem sagt var frá fólki sem taldi sig vera að vinna fyrir lögleg fyrirtæki við „ethical hacking“ [starfsgrein sem felur í sér að prófa öryggisvarnir fyrirtækja á löglegan hátt með því að reyna innbrot, „penetration testing“ á ensku], en voru þá í raun að brjótast inn og störfuðu fyrir skipulagða glæpahópa. Ég hef ekki orðið vör við þetta hérna í Noregi reyndar,“ segir hún frá.
Er enn jafn mikill skortur á fólki með menntun á sviði netöryggismála og þú ræddir um í viðtali hér fyrir rúmu ári?
„Já, og núna hafa líka mun fleiri fyrirtæki áttað sig á því að þau þurfi að eyða peningum í tölvuöryggi. Möguleikarnir eru orðnir mun fleiri núna og ég til dæmis ætti ekki í erfiðleikum með að finna mér vinnu ef ég ætlaði mér að skipta um starf,“ svarar Gunnhildur.
Engir peningar í bankanum lengur
Hún segir fólki með menntun í netöryggismálum þó vissulega hafa fjölgað verulega. „Þegar ég var að byrja hjá Telenor var ég til dæmis eina stelpan í þessu, en nú erum við orðnar þrjár,“ segir hún og bendir í framhaldinu á að skólarnir hafi aukið framboð sitt til að halda í við þróunina. Sem dæmi um það segir hún Háskólann í Agder ekki hafa boðið upp á netöryggismál sem sérstakt meistaranám, en nú bjóði skólinn hins vegar upp á það.
Hvað segirðu að lokum um framtíð þessara mála? Mun verða veldisvöxtur í því áfram að fólk brjótist inn í tölvukerfi annarra til þess að auðgast á því?
„Nú eru allir peningar rafrænir, það eru engir peningar í bankanum lengur,“ svarar Gunnhildur og segir því augljóst að þróunin muni halda áfram og glæpamenn og -hópar ávallt finna nýjar leiðir að illa fengnu fé.
Orð Gunnhildar ríma algjörlega við þá þróun sem orðið hefur í norskum afbrotaheimi með allri rafvæðingu síðustu áratuga. Á níunda og tíunda áratug síðustu aldar tíðkuðust stór banka- og pósthúsrán mjög í Noregi og var nánast hægt að tala um faraldur pósthúsrána á árunum kringum 1995, á þeim tíma þegar pósthús geymdu stórar upphæðir í reiðufé vegna greiðsluþjónustu.
Síðasta verulega stóra reiðufjárránið í landinu var NOKAS-ránið í Stavanger 5. apríl 2004 þegar David Toska lét til skarar skríða við ellefta mann og rændi reiðufjárhirslur NOKAS, fyrirtækis í sameiginlegri eigu norska seðlabankans og fleiri banka sem annaðist reiðufjármeðferð, fyllti til dæmis á hraðbanka. Öryggisfyrirtæki í verðmætaflutningum keypti NOKAS árið 2006 og það varð að NOKAS Verdihåndtering.
„Ég myndi því segja að netglæpir væru ekki að líða undir lok, þvert á móti, en öryggishliðin er alltaf að verða öflugri, til dæmis með gervigreind, en hún er á hinn bóginn líka notuð í glæpsamlegum tilgangi,“ segir Gunnhildur Eik Svavarsdóttir, netöryggissérfræðingur hjá Telenorcyberdefence, að lokum.
Viðtalið við Gunnhildi er fimmta viðtalið í greinaflokki mbl.is um netglæpi sem birst hefur lesendum í áföngum síðan í febrúar.
Á þriðja tug látnir er árásum fjölgar í Úkraínu
Barn lést í umferðarslysinu
Á sjötta hundrað saklausir borgarar teknir af lífi
„Engill dauðans“ framseldur til Noregs
„Það er nokkuð vandasöm vinna“
Skemmdarverk unnin á golfvelli Trumps í Skotlandi
Hefur samþykkt kauptilboð í Herkastalann
Öryggisþjónustan skaut mann nærri Hvíta húsinu