sdfsdfsfsfsdf sdfsdfs
sdfsdfsfsfsdf sdfsdfs — Ljósmynd/Shutterstock
Árás á fjármálainnviði kallar ekki endilega á stríðsátök og slagurinn því færður í annan farveg.
[ Smellið til að sjá stærri mynd ]
Gísli Freyr Valdórsson gislifreyr@mbl.is Fjármálafyrirtæki sæta reglulega netárásum og þurfa stöðugt að efla varnir sínar gagnvart slíkri ógn. Ætlun árásaraðila um ávinning liggur þó ekki alltaf fyrir né heldur hvaðan árásirnar koma.

Netárásum á fjármálafyrirtæki hefur fjölgað nokkuð á liðnum árum og fleiri tilvik eru nú tilkynnt til fjármálaeftirlits Seðlabankans. Á árinu 2019 voru tvö atvik tilkynnt til eftirlitsins vegna netárása, tíu á árinu 2020 og 14 á árinu 2021.

Þetta kemur fram í svari Seðlabankans til ViðskiptaMoggans þar sem spurt var um árásir sem þessar og viðbrögð bankans og fjármálakerfisins við þeim. Rétt er að taka fram að hér er átt við banka, kreditkortafyrirtæki og aðrar fjármálastofnanir.

Aðdragandi málsins er sá að Ásgeir Jónsson seðlabankastjóri og Gunnar Jakobsson, varaseðlabankastjóri fjármálastöðugleika, voru gestir á opnun fundi efnahags- og viðskiptanefndar Alþingis í lok mars, þar sem fjallað var um skýrslu fjármálastöðugleikanefndar Seðlabanka Íslands fyrir árið 2021. Eins og fjallað var um í Morgunblaðinu þá var ýmislegt rætt á fundinum er varðar stöðu og horfur í hagkerfinu, hagvaxtaraukann sem verður greiddur út í maí, þróun á fasteignamarkaði og fleira.

Gunnar sagði á fundinum að bankakerfið hefði aldrei staðið eins vel hvað varðar m.a. eigið fé, laust fé og efnahagsreikning bankakerfisins. Sá þáttur, sem flokkaðist sem innri áhætta bankakerfisins, væri mjög traustur. Hvað ytri áhættu bankakerfisins varðaði, skuldsetningu fjármálakerfisins, þá væri hún í mjög góðu horfi. Bankinn hefði þó áhyggjur af hækkandi fasteignaverði en eftirspurnin hefði aukist miklu meira en búast mátti við árið 2019.

Þriðji áhættuþátturinn

Gunnar vék að fyrra bragði að þriðja áhættuþættinum, sem hann hefði mestar áhyggjur af, sem væru innviðir og netöryggi í ljósi breyttar heimsmyndar vegna innrásar Rússa í Úkraínu. Innrásin hefði aukið á áhyggjuþáttinn núna og í framtíðinni. Hann sagði að bankinn hefði séð vaxandi netárásir á síðustu þremur árum en jafnframt að bankinn hefði á síðustu tíu árum byggt gríðarlega öfluga umgjörð um fjárhagslega hlið fjármálakerfisins. Nú væri kominn tími til að huga meira að umgjörð netöryggis.

ViðskiptaMogginn bar þessi ummæli undir Seðlabankann og óskaði eftir frekari skýringum á þeim. Í skriflegu svari bankans kemur fram að um almenna athugasemd um stöðu mála í evrópska fjármálakerfinu hafi verið að ræða og að bankinn sjái fjölgun alvarlegra atvika hér á landi. Þá sýni tölur frá Evrópska seðlabankanum að 54% aukning varð frá 2019 til 2020. Netárásir séu því vaxandi ógn.

Ekki alltaf vitað hvaðan árásir koma

Eins og fram kom hér í upphafi voru tvö atvik tilkynnt árið 2019, tíu á árinu 2020 og 14 á árinu 2021. Í svari Seðlabankans kemur fram að fjármálafyrirtæki tilkynni einungis til fjármálaeftirlits atvik sem þau meta sem alvarleg og hafa áhrif á starfsemi þeirra. Minni netárásir eru því ekki tilkynntar. Þá kemur einnig fram að fjármálafyrirtæki og starfsmenn þeirra verði stöðugt fyrir árásum í gegnum tölvupósta og SMS-skilaboð (svonefndar Phising- og Smishing-árásir) sem ekki eru inni í þessum tölum. Þessar árásir fara einnig vaxandi og verða sífellt betur útfærðar samkvæmt svari bankans.

Ekki liggja fyrir haldbærar upplýsingar um það hvaðan árásirnar koma, þótt vissulega séu dæmi um slíkt. Seðlabankinn er aðili að Nordic Financial CERT (NF-CERT), ásamt öðrum bönkum og seðlabönkum á Norðurlöndum, auk þess sem hér á landi starfar sérstök netöryggissveit á vegum íslenskra stjórnvalda, CERT-IS. Þessir aðilar gera greiningar á eðli og uppruna netógna og geta í einhverjum tilvikum greint hvaðan árásirnar koma, þó ekki alltaf.

Almennt má flokka gerendur í slíkum málum í þrjá flokka; 1) ríki, 2) skipulögð glæpasamtök og 3) aðra aðila sem geta verið fyrirtæki, einstaklingar, hugsjónasamtök og fleiri. Í svörum Seðlabankans við spurningum ViðskiptaMogga kemur fram að svo virðist sem virkni fyrstu tveggja, þ.e. ríkja og skipulagðra glæpasamtaka, fari vaxandi.

Ekki bara þjófnaður

ViðskiptaMogginn bar undir Seðlabankann hvort vitað sé hvað vakir almennt fyrir árásaraðilum, þ.e. hvort eingöngu sé reynt að valda tjóni eða komast yfir fjármagn. Í svari Seðlabankans kemur fram að það sé misjafnt, en oft er reynt að komast yfir fjármagn með beinum eða óbeinum hætti.

Seðlabankinn segir í svari sínu að netvarnir íslenskra fjármálafyrirtækja hafi verið styrktar umtalsvert á síðustu árum. Það verður til þess að mörgum árásum er hrundið og þær valda engri truflun. Aftur á móti eiga aðrar algengar netógnir sér stað þegar reynt er að villa um fyrir eða hafa fé af einstaklingum með því að senda tölvupósta eða símaskilaboð og þar sem reynt er að fá fólk til að smella á hlekk í þeim tilgangi að gera netþrjóti mögulegt að komast yfir greiðslukorta- eða bankaupplýsingar til að misnota. Samkvæmt þeim upplýsingum sem ViðskiptaMoggi hefur aflað eru þannig netógnir ekki flokkaðar sem netárásir, heldur sem almenn svikastarfsemi og er hún í flestum tilvikum keyrð af skipulögðum glæpasamtökum en í einhverjum tilvikum frá hugsjónahópum, sem ýmist ætla að valda skaða eða komast yfir fjármagn.

Mikill viðbúnaður hér á landi

Þá kemur einnig fram í svari bankans að Seðlabankinn sé stöðugt að vinna í því að efla eigið netöryggi sem og netöryggi fjármálakerfisins. „Á þessu eru tvær hliðar, annars vegar varnir gegn árásum og hins vegar viðbragð þegar árás hefur átt sér stað og unnið er því að efla hvort tveggja,“ segir í svari bankans.

ViðskiptaMogginn spurði fjóra banka, Kviku banka, Arion banka, Íslandsbanka og Landsbankann, út í öryggismál þeirra hvað viðkemur netöryggi, viðbrögð og getu kerfanna til að takast á við slíkar árásir og fleira til.

Allir bankarnir svöruðu því til að þeir legðu mikla áherslu á öryggismál til að tryggja leynd og réttmæti gagna sem þeir geyma og til að vernda innviði fyrirtækjanna. Þó svo að bankarnir hafi ekki gefið það upp í svörum sínum herma heimildir ViðskiptaMogga að umtalsverðum fjárhæðum sé varið á ári hverju í uppbyggingu og viðhald kerfa með áherslu á bilanaþol til að koma í veg fyrir þjónusturof, m.a. vegna netárása. Það sama á við um kreditkortafyrirtæki á borð við Valitor og SaltPay, sem hafa jafnframt ráðist í umtalsverðar uppfærslur á kerfum sínum til að verja þau fyrir utanaðkomandi árásum.

Til viðbótar við þetta þarf að þjálfa starfsfólk til að verjast árásum sem þessum, sem og almennum svikum – til dæmis þegar reynt er að blekkja gjaldkera til að framkvæma erlendar greiðslur eða starfsmönnum send skjöl sem innihalda vírusa, þjófaforrit og fleira slíkt. Þá eiga allir bankarnir aðild að NF-CERT og eðli málsins samkvæmt starfa þeir með CERT-IS.

Svikastarfsemi er líka vel skipulögð

Eins og fram kemur hér til hliðar er misjafnt hvernig árásir eru gerðar hverju sinni. Flestir bankarnir svara því til að dreifðar álagsárásir (DDoS) hafi verið nokkuð reglulegar síðustu árin.

„Þær eru af mismunandi stærðum og gerðum og enn sem komið er hefur enginn lýst yfir ábyrgð á þeim. Það er ekki einfalt fyrir yfirvöld að rekja slíkar árásir til ákveðinna aðila þar sem sá búnaður sem notaður er til árása eru tölvur og annar nettengdur búnaður sem tilheyrir ekki árásaraðilum þótt hann sé undir þeirra stjórn,“ segir í svari eins bankans. Annar banki svarar því til að ytri aðilar séu einnig nýttir í úttektir á netöryggi bankans ásamt innanhússprófunum.

Til viðbótar við þetta allt saman eru árásir sem beinast ekki beint gegn fjármálainnviðum heldur gegn einstaklingum. Sem fyrr segir má í raun flokka það sem svikastarfsemi sem er hluti af skipulagðri glæpastarfsemi. Þar má nefna dæmi þar sem einstaklingar fá smáskilaboð sem líta út fyrir að vera frá banka eða fyrirtæki en slíkar árásir miðast oft sérstaklega við íslensk símanúmer óháð því hvort handhafar þeirra séu í viðskiptum við tiltekinn banka eða önnur fyrirtæki.

Slíkar svikasíður eru ýmist hýstar á vefþjónum sem brotist hefur verið inn á eða eru stofnaðar nafnlaust hjá erlendum hýsingaraðilum samkvæmt upplýsingum frá einum bankanum. Það er því ekki auðvelt að komast að því hverjir standa raunverulega á bak við slíkar árásir. Margir svikahrappar eru orðnir færir í sínu fagi, ná að búa til vefsíður eða setja upp síður sem líkjast síðum íslenskra fyrirtækja, ná jafnvel að senda skilaboð án þess að þar sé að finna stafsetningar- eða málfarsvillur og þannig má áfram telja.

Í hvoru tilviki, þ.e. þar sem ráðist er á innviði fjármálafyrirtækja eða svikastarfsemi er beitt gegn einstaklingum eða fyrirtækjum, þá eru árásirnar að verða hnitmiðaðri en áður var.

DDoS-árásir kaffæra kerfin

Seðlabankinn gefur ekki upp hvaða fyrirtæki hafa orðið fyrir árásum og hversu oft þótt eftir því hafi verið leitað. Sum fyrirtækjanna hafa þó að eigin frumkvæði greint frá því þegar þau sæta árásum. Sem dæmi má nefna að á nýliðnum vetri urðu kreditkortafyrirtæki fyrir árásum á stórum netverslunardögum, til dæmis á degi einhleypra og svörtum föstudegi, sem olli þeim – og eins viðskiptavinum þeirra – nokkrum vandræðum.

Árásirnar lýsa sér í einföldu máli þannig að árásaraðilar ráðast á netsamskipti kortafyrirtækjanna. Þar er um að ræða svonefndar DDoS-árásir, þar sem vefþjónar fyrirtækjanna eru kaffærðir með of mikilli netumferð sem heftir virkni þeirra. Árásaraðilarnir senda þannig inn óteljandi en tilefnislausar beiðnir um færslur inn í greiðslumiðlunarkerfi sem íþyngja kerfunum og valda töfum. Ekki er að sjá að þær árásir séu til nokkurs annars en að gera einmitt það, þ.e. valda töfum og truflunum, þar sem umræddar færslur færa ekki fjármagn á milli aðila. Tjón söluaðila er fyrst og fremst það að viðskiptavinir þeirra ná ekki að ljúka færslum, sem vissulega veldur þeim tekjumissi, en árásaraðilar hagnast ekki fjárhagslega. Með öðrum orðum: þeir ná ekki að stela fjármagni af viðskiptavinum eða söluaðilum, enda virðist það ekki vera tilgangurinn.

Það er ekki einfalt mál fyrir fjármálafyrirtæki eða yfirvöld (netöryggissveitir) að rekja þessar árásir til ákveðinna aðila þar sem sá búnaður sem notaður er til árása eru tölvur og annar nettengdur búnaður sem tilheyrir ekki árásaraðilum þótt hann sé undir þeirra stjórn.

Auknar áhyggjur eftir innrás Rússa í Úkraínu

Samkvæmt heimildum ViðskiptaMogga hafa áhyggjur af frekari netárásum á fjármálafyrirtæki aukist nokkuð eftir innrás Rússa inn í Úkraínu í lok febrúar sl. Fyrir því eru nokkrar ástæður.

Í fyrsta lagi má nefna að bæði glæpasamtök sem og hugsjónasamtök sem stunda netárásir af ýmsu tagi geta séð sér hag í að gera árásir á vestræn fyrirtæki, þá sérstaklega fjármálafyrirtæki, og láta líta út fyrir að rússnesk stjórnvöld (eða aðilar tengdir þeim) standi að baki þeim árásum. Vestræn lýðræðisríki beggja vegna Atlantshafsins taka slíkar árásir alvarlega og þeir aðilar sem standa að baki þeim vita það. Ef vestrænu ríkin telja að Rússar séu að ráðast á innviði þeirra, til að mynda fjármálainnviði, myndar það frekari gjá á milli þeirra og Rússa – og það eitt getur verið næg ástæða fyrir fyrrnefnd samtök til að skipuleggja og framkvæma árás. Önnur ástæða getur verið sú að komast yfir fjármagn og láta það líta út eins og rússnesk stjórnvöld eða aðilar tengdir þeim eigi sök í því og láta þá aðila sitja uppi með Svarta-Pétur.

Í öðru lagi telja netöryggissveitir vestrænna ríkja að rússnesk stjórnvöld séu sjálf líkleg til að gera netárásir á ýmsa innviði – og þá liggja fjármálainnviðir vel við höggi. Tilgangurinn er ekki endilega að komast yfir fjármagn, heldur frekar að sýna hvað er hægt að gera, valda töfum og truflunum, hefna sín fyrir stuðning vestrænna ríkja við Úkraínu eða af öðrum ástæðum sem eiga að sýna fram á veikleika og veika innviði vestrænu ríkjanna. Ef Rússar geta sýnt fram á að innviðir vestrænna ríkja, í þessu tilviki fjarskiptainnviðir, séu veikir er það eitt skor í kylfuna í ásýndarbaráttunni sem háð hefur verið um nokkurt sekið. Annað í þessu samhengi er að með netárás er hægt að koma höggi á vestræn ríki án þess að lýsa yfir stríði eða eiga það á hættu að viðbrögðin feli í sér vopnuð átök. Um leið og eitt ríki keyrir skriðdreka yfir landamæri annars ríkis, sökkvir skipi, skýtur niður flugvél eða gerir annað sem felur í sér beitingu hernaðarlegra þátta má vænta þess að stríðsátök séu fram undan. Það að gera netárás, sem hægt er að þræta fyrir, felur þó ekki endilega í sér stríðsyfirlýsingu og það ríki sem verður fyrir árásinni er ekki endilega líklegt til að líta á að sem stríðsyfirlýsingu eða bregðast við með beinum hætti.

Í þriðja lagi er líklegt að aðilar sem styðja Rússa og innrás þeirra í Úkraínu séu líklegir til að ýmist hefna sín fyrir stuðning vestrænna ríkja við Úkraínu sem og andstöðu þeirra við Rússa, til að mynda þær viðskiptaþvinganir sem beinast gegn rússneskum stjórnvöldum og aðilum þeim tengdum um þessar mundir. Það er ekkert launungarmál að mörg glæpasamtök ýmist styðja málstað Rússa eða hafa notið stuðnings og verndunar rússneskra stjórnvalda á liðnum árum. Þessi sömu glæpasamtök stunda umfangsmiklar netárásir og geta, með árásum á fjármálainnviði vestrænna ríkja, valdið miklum skaða ef ætlunarverk þeirra gengur eftir og það er einn liður í hefndinni. Stórfelldar árásir á fjármálainnviði geta leitt til þess að viðkomandi árásaraðili komist yfir fjármagn eða persónuupplýsingar (t.d. lykilorð og fleira) en þær verða nær alltaf til þess að valda einhverjum fjárhagslegum skaða – jafnvel svo miklum að það lami vestræna fjármálastarfsemi til skemmri eða lengri tíma.

Það eru því næg tilefni fyrir slíkar árásir.