Netöryggismál eru Theódóri Ragnari Gíslasyni hugleikin enda nauðsynlegt að huga að örygginu þegar viðkvæmar upplýsingar eru annars vegar. Fyrirtæki hans, Defend Iceland, aðstoðar fyrirtæki við að koma auga á veikleikana svo hægt sé að tryggja að ekki verði gerðar netárásir sem geta valdið miklum skaða eða viðkvæmum upplýsingum stolið. Theódór hyggst auka stafrænt öryggi Íslands og svo nýta þá reynslu víðar í hinum stóra heimi.
Fann mig í hakkaraheimi
Ímyndin af hakkara er ungur og uppreisnargjarn maður, einfari í hettupeysu sem veldur usla þar sem hann getur. Theódór kann sannarlega að hakka, en passar ekki inn í þessa staðalímynd, enda mætti kalla hann heiðarlegan hakkara; mann sem nýtir kunnáttu sína til að brjótast inn í tölvukerfi til góðs í því skyni að finna öryggisveikleika áður en árásarhópar gera það. Theódór segist hafa byrjað ungur að hafa áhuga á forritun, en allt hófst þetta með slæmu slysi þegar hann var á fjórtánda ári.
„Það var sjötta janúar 1994 að ég stóð og beið eftir strætó með hópi af krökkum úr Hagaskóla. Svo kom strætó og stoppar en hleypir engum inn og ég er að banka í vagninn eins og fleiri. Strætisvagnabílstjórinn varð eitthvað pirraður og keyrði af stað og ég rann undir bæði afturdekkin. Ég mölbrotna, aðallega á mjöðm, fékk mikið af beinflísum í mig og var með miklar innvortis blæðingar. Þvagrásin fór í sundur og þvagblaðran skarst og ýmislegt fleira. Ég var með meðvitund allan tímann, en missti mikið blóð. Ég veit ekki hvernig ég lifði þetta af,“ segir Theódór. Hann segir foreldra sína hafa búið sig undir hið versta og kvöddu hann á spítalanum.
„Ég hafði verið virkur í íþróttum, en ég var mjög lengi að jafna mig og var í endurteknum aðgerðum í tvö ár á eftir. Það þurfti að setja mig saman aftur. Þannig að á þessum tíma fór ég úr því að vera aktívur í skóla og íþróttum, yfir í að vera fastur heima. Ég var byrjaður að fá tölvuáhuga en þarna fann ég mig á internetinu,“ segir Theódór og segist ekki hafa getað mætt í skólann næstu tvö árin og var metinn öryrki að hluta.
„Slysið hafði mikil mótandi áhrif á mig. Ég lærði þrautseigju og það er ekki í mér að gefast upp. Og ég ber mikla virðingu fyrir lífinu sem er mjög hverfult,“ segir hann.
„Ég lærði forritun og fann mig strax í þessum hakkaraheimi. Ég var einstaklega forvitinn og hafði gaman af því að smíða hugbúnað og taka hann í sundur. Og einhvern veginn átti það meira við mig að taka hann í sundur og skilja hvernig samspil örgjörva og minnis í tölvu virkar. Ég varð forfallinn hakkari á þessum tíma, unglingurinn sem var kannski ekki með þroskaða siðferðiskennd,“ segir hann og brosir.
„En fljótlega fór ég að sjá að þarna væri eitthvað sem ég gæti unnið við,“ segir Theódór sem jafnaði sig með tímanum og náði ágætri heilsu.
„Ég finn enn fyrir einhverjum óþægindum, en læt það ekki trufla mig og er mjög aktívur.“
Notað til að hakka NASA
Strax á unglingsaldri fékk Theódór áhuga á tölvuöryggi, eða skortinum á því.
„Mér fannst ekkert skemmtilegra en að finna öryggisveikleika og sanna hann með forriti. Ég varð mjög góður í því mjög fljótt og smíðaði sjálfur forrit sem voru síðar notuð til að brjótast inn í NASA og olli nokkrum usla. Þessi ormur, sem var að nota mitt forrit, sýkti tölvur úti um allan heim. Ég var pínu stoltur af því að hafa smíðað þennan hugbúnað en fékk svo samviskubit. Ég hef ekki gefið út svona forrit opinberlega síðan þá,“ segir Theódór og útskýrir að á þessum tíma, um aldamótin, hafi hópur hakkara á heimsvísu ekki verið stór.
„Þetta var í raun hakkarasamfélag og þetta var leiðin til að skapa sér nafn og sýna að maður væri fær. Svo vildi það til að fólk var að leka þessu og dreifa út um allt og þetta endaði í höndunum á þeim sem voru meinfýsnir. Ég lærði heilmikið af því að sjá að forritið mitt, sem ég hafði hannað í fullkomnu sakleysi, notað til að valda tjóni. Ég skildi það þá fyrst hversu mikil áhrif það gæti haft að finna einhvern öryggisveikleika. Ég fann að þessu fylgdi mikið vald. Það hefur mótað minn starfsferil alla tíð síðan af því að það hefur svo lítið breyst á þessum 25 árum. Það eru enn öryggisveikleikar úti um allt, í öllum hugbúnaðar-, net- og tölvukerfum og á sama tíma er búið að stafvæða allt. Það þarf að finna þessa öryggisveikleika og laga þá áður en einhver misnotar þá. Við viljum ekki gagnaleka eða öryggisbresti. En þetta er svolítið erfið barátta, því fólk veit ekki hvað öryggisveikleiki er og þá er það meðhöndlað eins og öryggisbrestur, sem getur verið ósanngjarnt. Ef þú misnotar öryggisveikleika er hægt að ná í mjög viðkvæm gögn, en til þess að finna hann, þarftu að sanna tilvist veikleikans og möguleg áhrif, án þess að pota í persónuleg gögn fólks,“ segir Theódór og segir ekki hægt að horfa framhjá því að til séu undirheimar þar sem hakkarar starfa í vafasömum tilgangi.
„Það er ekki gott fyrir samfélagið að stinga hausnum í sandinn. Það er mikilvægt að varpa veikleikum upp á yfirborðið, sem öryggistækifæri. Annars erum við auðvelt skotmark; ég fullyrði það. Það er hægt að valda ævintýralegu tjóni.“
Hafa þurft að greiða háar upphæðir
Hvað væri til dæmis ævintýralegt tjón?
„Það fer eftir því hvað er mikilvægt fyrir þig. Fyrir orkukerfið eru það kannski veitukerfin og fyrir fjármálakerfin eru það lánasöfnin eða viðkvæmar upplýsingar. Í heilbrigðiskerfinu eru það sjúkraskrár,“ segir Theódór og segir að það sem yfirleitt býr að baki árásum sé von um gróða.
„Það eru lausnargjaldsárásir og gagnagíslataka þar sem hakkarinn brýst inn og tekur yfir netkerfið, yfirleitt í gegnum öryggisveikleika. Nýlega tók rússneskur hakkarahópur, Akira, tölvukerfi HR úr umferð. Þeir ná þá stjórn og dreifa hugbúnaði á tölvur og dulkóða gögn. Það sem svona aðilar gera oftast er að sjúga gögn út, oft viðkvæm persónugreinaleg gögn og gagnagrunna, og hóta að birta þau. Þannig að peningur er aðalmarkmiðið og þetta er að aukast gríðarlega,“ segir Theódór og segir mikilvægt að fórnarlömb netárása greiði hökkurunum ekki fyrir að fá gögnin til baka.
„Þónokkur fjöldi íslenskra fyrirtæki hefur lent í þessu og ég veit til þess að íslenskt fyrirtæki hefur greitt hátt lausnargjald til að ná aftur upp sínum rekstri,“ segir Theódór.
„Sumir borga og sumir verða að borga. Ef þú ert til dæmis með framleiðslulínu sem er hætt að virka og þeir eyddu öllum afritum, þá er ákvörðunin mjög erfið. Ég mæli auðvitað ekki með að borga því þá ertu bara að fóðra bransann. Þetta er skipulögð glæpastarfsemi og það er nóg af þessum hakkarahópum.“
Þetta er erfið brekka
Theódór stofnaði sitt fyrsta fyrirtæki, Firmanet, árið 1999, nítján ára gamall og fór að vinna við tölvuöryggi.
„Þetta var Línux-fyrirtæki. Við veittum net- og Línux-þjónustu og smíðuðum okkar eigin hugbúnað. Þetta var skemmtilegur skóli og við lærðum heilmikið á því,“ segir hann.
„Ég átti ekki hefðbundinn námsferil og var farinn að vinna hjá KPMG í netöryggismálum árið 2001 og tók í leiðinni fjarnám í tölvunarfræði í bandarískum háskóla, samhliða vinnu,“ segir hann og fór eftir það að vinna sem tæknilegur öryggisstjóri árið 2004 hjá Tölvumiðstöð sparisjóðanna, seinna nefnt Teris.
„Árið 2008, í hruninu, fór ég samhliða vinnu að vinna við ráðgjöf og að hakka fyrirtæki, að þeirra ósk. Það gekk gríðarlega vel og ég fór svo að vinna hjá Capacent í öryggisráðgjöf þar til ég stofnaði mitt eigið fyrirtæki, Syndis, árið 2013,“ segir Theódór.
„Ég hafði líka stofnað annað fyrirtæki inni í Syndis, nýsköpunarfyrirtæki sem heitir Adversary, en við seldum það til ástralsks hugbúnaðarfyrirtækis sem nefnt er Secure Code Warrior. Það er enn með starfsemi á Íslandi sem ég er stoltur af,“ segir Theódór sem enn vinnur hjá Syndis í nýsköpun.
Theódór einbeitir sér nú að miklu leyti að sprotafyrirtæki sínu, Defend Iceland, þar sem reynsla hans og þekking nýtist vel.
„Þessi hugmynd tengist fortíð minni og þeirri vitneskju að öryggisveikleikar séu úti um allt og að ég vilji hvetja til ábyrgra tilkynninga og uppgötvunar á öryggisveikleikum í samfélaginu svo við getum komið í veg fyrir tjón,“ segir Theódór og segist hafa unnið að þessu í fimm ár.
„Þetta er erfið brekka; að útskýra og sannfæra fólk um að þetta sé hin rétta leið, því ég er fullkomlega sannfærður um það. En ég mæti oft tortryggni,“ segir hann og segir fólk óttast orðið hakk.
„En verkefnið snýst ekki um að hakka heldur verja,“ segir Theódór og segist hafa fengið háskóla-, iðnaðar- og nýsköpunarráðuneytið, HÍ og HR til að styðja sig með stuðningsyfirlýsingu en eins sótti Theódór um styrk hjá Evrópusambandinu.
„Ég lagðist undir feld og skrifaði langa umsókn sem ég sendi til Evrópusambandsins í febrúar 2023. Ég fékk samþykki í lok maí og styrk upp á 380 milljónir og verkefnið hófst formlega fyrsta nóvember 2023. Eins eru háskólarnir að setja hátt í hundrað milljónir hvor í verkefnið. Varan fór í loftið í mars og við erum komin með tíu kúnna nú þegar,“ segir hann og bætir við að þau hafi einnig fengið styrk upp á fimmtíu milljónir úr Tækniþróunarsjóði hjá Rannís.
Mörgum brugið yfir veikleikum
Ísland er prófsteinn að sögn Theódórs sem hyggst keyra sama módelið úti um allan heim, með tíð og tíma.
„Ég vil búa til aðferðafræði sem er samfélagslega drifin vara þar sem við búum til samfélag fólks sem vill auka stafrænt öryggi. Það eru þessir „heiðarlegu hakkarar“ eða öryggissérfræðingar sem ég er að virkja í gegnum lýðvirkjun. Við erum að byggja þetta upp á Íslandi og langmest fé er notað til að sanna virði verkefnisins og nálgunarinnar. Við erum komin með fjármálakerfið nánast í heild sinni í viðskipti og þessa vöru sem staðfestir í okkar huga að það sé trú þar á þessari nálgun. Og ef það tekst að sanna gildi vörunnar munum við líka nota peninginn í útrás með sömu vöru og aðferðafræði að vopni,“ segir hann.
„Við erum komin með mörg stærstu fyrirtæki og stofnanir landsins í viðskipti og erum mjög stolt af því. Fólk þarf að gera sér grein fyrir því að það eru öryggisveikleikar alls staðar; hjá öllum fyrirtækjum, stofnunum, ríkinu, í öllum tegundum af kerfum; og þá er hægt að nálgast í gegnum internetið. Við höfum fundið talsverðan fjölda öryggisveikleika eftir að villuveiðigáttin fór í loftið, og nokkra mjög alvarlega. Það er einmitt þar sem virði okkar vöru kemur inn. Viðskiptavinir okkar vilja sannarlega láta finna þessa veikleika, þó mörgum sé eðlilega brugðið, enda væru afleiðingar þess að tölvuárásarhópar fyndu þá gríðarlega alvarlegir. Fyrirtæki sem láta leita að öryggisveikleikum til að geta lagað þá taka gagnaöryggi sinna viðskiptavina alvarlega og vernda um leið reksturinn. Það eina sem fólk ætti að skammast sín fyrir er að stinga höfðinu í sandinn, sleppa því að leita að öryggisveikleikunum og vona bara það besta,“ segir Theódór og segir hafa vel tekist að laga þá veikleika sem hafa fundist. Hann segir að í sumum tilvikum hefðu fyrirtæki hreinlega þurft að leggja upp laupana ef hakkarar hefðu komist inn í kerfin og valdið þar usla.
„Stundum er þetta „game over“-veikleiki, eða eitthvað sem gæti valdið gríðarlegu orðsporstjóni, ef einhver hefði misnotað hann. En þetta er forvörn; fyrirbyggjandi aðgerð,“ segir Theódór og segir öryggissérfræðinga fá hálfa milljón fyrir að uppgötva stórtækan veikleika. Auk þess er Defend Iceland með samfélagssjóð sem er nú að nálgast milljón, en 10% af hverjum viðurkenndum veikleika fara í sjóðinn.
„Konseptið sem við byggjum á kallast „bug bounty“, eða villuveiðigátt, og er viðurkennt um allan heim. Öll stóru erlendu fyrirtækin eru að nota þetta. Defend Iceland er villuveiðigátt; það er varan,“ segir Theódór og segir skipta máli að eiga samfélagssjóð fyrir þau fyrirtæki og góðgerðarsamtök sem annars hefðu ekki efni á þjónustunni.
Eru þessir heiðarlegu hakkarar þínir starfsmenn?
„Nei, þeir eru verktakar og erum við nú með um fimmtíu og við erum ekki byrjuð að auglýsa. Ég sé þetta sem tækifæri fyrir ungt fólk sem þarf aukapening til að koma sér í gegnum nám, en einnig gríðarlegt tækifæri sem endurmenntun fyrir reynsluboltana. Þarna fær fólk tækifæri til að hakka fyrirtæki á ábyrgan hátt og lærir jafnframt margt í leiðinni.“
Villuveiðigátt fyrsta verkefnið
Hvað ætlar þú að gera eftir fimm eða tíu ár þegar netöryggismál Íslendinga eru orðin skotheld?
„Ef við verðum búin að laga netöryggismál eftir fimm ár er það frábær árangur í mínum huga,“ segir Theódór.
„Vörur hafa sinn líftíma og það er auðvelt að verða risaeðla í öryggisbransanum því hann er síbreytilegur. Maður má ekki festast í gamaldags hugsun. Það sem ég mun gera með Defend Iceland er að reyna að koma auga á aðra hluti sem þarf að bæta til þess að geta haft gott stafrænt öryggi í samfélaginu. Eitt sem er mjög mikil áskorun, og líklega mesta áskorun allra í öryggismálum, er öryggisvitund almennings,“ segir Theódór og segir fæsta skilja til fulls sitt stafræna fótspor.
„Þegar þú ert á internetinu í dag er hægt að rekja slóð þína. Ég sé fyrir mér að ef villuveiðigáttin nær að gera hugbúnaðarkerfi hundrað prósent öruggt, sem ég held reyndar að verði aldrei, þá mun Defend Iceland leggja meiri áherslu á öryggisvitund og fræða fólk um sitt stafræna öryggisfótspor. Það skiptir máli að fólk viti hvernig hakkarar hugsa. Mér finnst rosalega leiðinlegt að heyra um fólk sem er að missa aðgang yfir hinu og þessu af því að það sinnti ekki sínu eigin öryggi.“
Hvernig nær hakkari að taka yfir Instagram-reikning hjá einstaklingi?
„Það eru lekar. Þegar öryggisveikleiki finnst hjá fyrirtæki og það er hakkað er eitt það fyrsta sem hakkarar gera að soga út lykilorðagagnagrunn fyrirtækisins. Við erum með fullt af stafrænum fingraförum sem eru mjög rekjanleg og þau eru notuð til að finna lykilorð fólks úr þessum gagnalekum. Ofan á það er fólk að nota afar lélegar öryggisráðstafanir. Margir eru enn ekki að nota tvöfalda auðkenningu fyrir Instagram og Facebook, sem er brjálæði. Eins er fólk ginnkeypt og það er auðvelt að plata fólk. Þess vegna held ég að Ísland sé fullkomið land til að prófa svona verkefni, að auka öryggi í samfélaginu og þar með áfallaþol þess ef, eða öllu heldur þegar alvarlegar árásir verða gerðar á lykilinnviði okkar,“ segir hann.
„En villuveiðigátt er fyrsta verkefnið. Markmiðið er að allt Ísland verði hluti af okkar umfangi.“
Öryggisvitund það skemmtilegasta
Theódór segir þau aðeins fara í útrás ef ljóst verður að verkefnið Defend Iceland beri árangur.
„Þetta er einstakt og kannski pínu klikkað, að ætla sér að verja Ísland. Það ríkir alltaf einhver tortryggni en Evrópusambandið gaf umsókninni hæstu mögulegu einkunn,“ segir Theódór og segir þau munu mæla árangur með því að reikna út kostnað við að koma örygginu í gott stand og bera saman við kostnaðinn sem myndi hljótast af tjóni af gagnaleka eða netárás.
„Við munum opinbera allar tölulegar upplýsingar og niðurstöður í verkefninu. Við vorum að skila fyrstu áfangaskýrslu til Evrópusambandsins og opinberuðum þá fyrstu tölurnar,“ segir Theódór og nefnir að Landspítalinn hyggst innan skamms birta opinberlega hvaða veikleikar hafa fundist og verið lagaðir hjá honum.
„Það var einn krítískur veikleiki tilkynntur og þau löguðu hann hratt og faglega. Hann verður birtur opinberlega sem er mjög djarft, en það er það sem þarf til að breyta í öryggismenningunni hér heima. Hakkarinn er kannski klukkutíma að finna veikleikann, og við hjálpum svo fyrirtækjum að laga veikleikann og eyðum kannski fjórum, fimm dögum í verkið,“ segir hann en markmiðið verður að reyna að einfalda atvikastjórnun í kjölfar tilkynninga um veikleika.
„Það að öryggisveikleiki finnst, er frábært. Ef það tekst að gera þetta hér, er það gott fordæmi fyrir aðra. Þetta byrjar mjög vel og allir eru ánægðir með vöruna, þótt þetta valdi ákveðnum ótta. En þegar fólk sér að hægt er að laga veikleikana og gera kerfin öruggari, upplifir það að það sé virði í þessu og við sönnuðum virði vörunnar fyrir viðskiptavini okkar strax fyrstu dagana eftir að við settum þá í loftið,“ segir hann.
„Það fallegasta í þessu verkefni, og ég sá það ekki fyrir, er að þessir heiðarlegu hakkarar sem finna öryggisveikleika hafa gefið hluta af sínu verðlaunafé í samfélagssjóðinn.“
Við förum að slá botninn í afar upplýsandi viðtal við mann sem hefur brennandi áhuga á sínu starfi og vilja til að bæta samfélagið.
„Ég veit ekkert skemmtilegra en öryggisvitund og að fræða fólk um eitthvað sem ég hef nördast í í þrjátíu ár. Ég hef allan minn feril reynt að auka skilning en það er alls ekki nóg. Við verðum að bæta þetta. Við erum á öld uppgötvunar varðandi þessar stafrænu hættur og það er kominn tími til að samfélög fræðist. Við sjáum að tíðni netárása hefur margfaldast undanfarin ár, sérstaklega í kjölfar innrásar Rússa í Úkraínu. Fyrirtæki, stofnanir og stjórnvöld þurfa að taka það mjög alvarlega. Eins og staðan er í dag erum við afskaplega auðvelt fórnarlamb og því þurfum við að breyta. Aukið stafrænt öryggi er verkefni samfélagsins alls.“
Til baka
Leita í greinasafni
Prenta grein