Anton segir að fyrir kannski fimm árum hafi menn talið að ekki væri mikil þörf á vöktun á Íslandi. Nú er það breytt því allir eru orðnir skotmörk, stór fyrirtæki jafnt sem lítil.
Anton segir að fyrir kannski fimm árum hafi menn talið að ekki væri mikil þörf á vöktun á Íslandi. Nú er það breytt því allir eru orðnir skotmörk, stór fyrirtæki jafnt sem lítil. — Morgunblaðið/Eyþór
Við vorum fengin til að hakka Dropbox-gagnageymslufyrirtækið. Þeir sögðu síðan frá verkefninu opinberlega og við nutum góðs af þeirri umfjöllun.“

Netöryggisfyritækið Syndis, sem er í eigu tæknifyrirtækisins Origo, hefur vaxið hratt á síðustu árum og í takt við síauknar hættur í netheimum og meiri ásókn tölvuþrjóta í íslenskar stofnanir og fyrirtæki.

Þannig hefur starfsmönnum fjölgað úr níu í fimmtíu og tvo á tímabilinu 2020-2024 sem er rúmlega fimmföldun. Tekjur hafa einnig vaxið mikið og áætlanir fyrir 2024 gera ráð fyrir einum milljarði króna í heildartekjur.

Anton Már Egilsson, forstjóri fyrirtækisins, segir í samtali við ViðskiptaMoggann að Syndis nálgist öryggi frá mörgum hliðum, þar á meðal frá hlið tölvuhakkara en aðferðafræði þeirra er notuð hjá Syndis til að prófa kerfi og hugbúnað.

Eins og Anton útskýrir var Syndis stofnað upphaflega af hökkurum árið 2013, aðilum sem höfðu tengsl við Háskólann í Reykjavík en þar var fyrirtækið staðsett fyrst um sinn.

Ekki nokkrar sekúndur

Spurður hvort það að hakka tölvukerfi og hugbúnað sé jafn auðvelt og látið er líta út fyrir í bíómyndum og sjónvarpsþáttum, þar sem það tekur oft bara nokkrar sekúndur, segir Anton að svo sé ekki.

„Í viðamestu árásarprófunum sem við gerum hjá t.d. fjármálafyrirtækjum eru þetta oft verkefni upp á margar vikur,“ útskýrir Anton.

Hann segir að hakkarar noti sér ýmsa veikleika í tækniumhverfi fyrirtækja til að komast inn í tölvukerfin ásamt því sem þeir grandskoði starfsmenn félaganna og hegðun þeirra.

„Ein aðferðin sem þrjótarnir nota er að ráðast gegn börnum sem sýnir hversu mikið miskunnarleysi og harka er komin í þennan heim. Börn hlaða alls konar búnaði í síma sína og nota síðan sameiginlegt þráðlaust net heimilisins þar sem traust ríkir. Sumt ungt fólk deilir jafnvel tölvu með öðrum. Ef þrjóturinn nær að plata átta ára gamlan krakka til að hlaða niður appi sem skráir síðan allt sem gerist á þráðlausa netinu, þá er hann mögulega kominn með upplýsingar sem duga til að ráðast gegn foreldri. Það er svo aftur kannski forstjóri í stóru fyrirtæki, sem er þá endanlegt skotmark glæpamannsins.“

Anton kveðst þekkja nokkur dæmi úti í heimi þar sem þesssi aðferð hefur verið notuð með „góðum“ árangri. Einnig er að hans sögn ítrekað ráðist gegn eldra fólki og öðrum viðkvæmum jaðarhópum sem eiga sér einskis ills von.

Veikleikar leynast víða

Veikleikar geta leynst víða og stundum átta stór fyrirtæki sig ekki á því að það er ekki nóg að vernda mikilvægustu kerfin í höfuðstöðvunum.

„Á sama tíma rekurðu kannski tíu kaffihús sem öll bjóða upp á þráðlausan netaðgang. Netið er ekki betur aðskilið en svo að þú kemst bakdyramegin í gegn og inn í kjarnakerfi félagsins.“

Þó að langan tíma taki að hakka sig inn í stórt fjármálafyrirtæki þá er það ekki raunin alls staðar.

„Við höfum fengið verkefni þar sem við vorum bara fimmtán mínútur að ná fullri stjórn á öllum kerfum. Slík tölvuumhverfi eru til á Íslandi og jafnvel hjá stórum fyrirtækjum sem sofið hafa á verðinum.“

Anton segir að netöryggisumhverfið sé annars síbreytilegt. Nýir veikleikar komi fram á hverjum einasta degi. Þess vegna séu sífellt að koma nýjar hugbúnaðaruppfærslur í síma og tölvur þar sem lappað er upp á veikleikana.

„Þegar alvarlegir veikleikar koma fram er aðferðafræðinni við að notfæra sér þá lýst nákvæmlega á skugganetinu svokallaða (e. dark net) þar sem netglæpamenn halda sig og tala saman. Þar geta illa innrættir aðilar keypt sér hugbúnaðarpakka sem nýta sér veikleikana. Þá galopnast dyrnar.“

Syndis hefur í gegnum tíðina látið sig netöryggisfræðslu varða.

„Við höfum kennt í mjög mörg ár á háskólastigi. Þar notum við gjarnan raunveruleg dæmi úr íslenskum veruleika. Það hefur gefið góða raun. Það er miklu skemmtilegra að skoða mál sem hafa jafnvel komið í fréttum.“

Anton gagnrýnir þó að netöryggi sé ekki hluti af námskrá í BS-námi í tölvunarfræði heldur valáfangi.

„Þetta er ekki skyldufag. Okkur finnst að allir tölvunarfræðingar ættu að vera færir um að skrifa öruggan kóða. Við höfum verið að þrýsta á um þetta.“

Syndis er langstærsta netöryggisfyrirtæki á Íslandi eins og Anton útskýrir.

„Auk starfseminnar á Íslandi erum við með skrifstofur í Póllandi og Svíþjóð. Við ætlum okkur að halda áfram að vaxa erlendis.“

Anton segir að tvö ár séu frá stofnun skrifstofunnar í Póllandi en sú sænska hafi verið opnuð í fyrra.

„Við viljum fikra okkur áfram á Norðurlandamarkaði. Við erum einnig með stóra viðskiptavini í Evrópu og Bandaríkjunum.“

Gott orðspor

Anton segir að orðspor fyrirtækisins sé gott á alþjóðamarkaði.

„Við höfum unnið fyrir mjög stóra aðila og aðstoðum reglulega Fortune 500-fyrirtæki [listi 500 tekjuhæstu fyrirtækja Bandaríkjanna ár hvert. Útsk. blm.] Þessi bransi byggist mikið á orðspori.“

Anton tekur dæmi af risafyrirtæki í viðskiptavinahópi Syndis.

„Við vorum fengin til að hakka Dropbox-gagnageymslufyrirtækið. Þeir sögðu síðan frá verkefninu opinberlega og við nutum góðs af þeirri umfjöllun.“

Anton segir að Syndis og Dropbox séu áfram í góðu sambandi.

„Öryggisstjórar í fyrirtækjum sem við erum í viðskiptum við segja öðrum frá ef þeir eru ánægðir með þjónustuna. Það er gaman að vinna fyrir stór og þekkt nöfn eins og Dropbox. Það lyftir upp andanum á vinnustaðnum.“

Spurður nánar um hvort ekki sé djarft að sækja fram í Evrópu verandi frekar lítið fyrirtæki á alþjóðavísu segir Anton að Syndis sé ekki endilega neitt lítið í þeim geira sem það starfar í.

„Fimmtíu manna sérhæft netöryggisfyrirtæki er bara sæmilega stórt í skandinavísku samhengi. Stærsta svona fyrirtæki á Norðurlöndunum er með kannski 250-300 starfsmenn, en það veitir mun breiðari þjónustu en við gerum. Við erum með meiri fókus. Miðað við stærð og sérhæfingu telst Syndis algjörlega samkeppnishæft alþjóðlega.“

Eins og Anton útskýrir er starfsemi Syndis hluti af því að tryggja þjóðaröryggi en kerfi félagsins vakta marga mikilvægustu innviði landsins.

„Við rekum risastórt vöktunarkerfi og erum með megnið af íslenskum innviðum undir smásjánni. Við vöktum gríðarlega mikið af gögnum og virkni í rauntíma.“

Stríð í netheimum

Nútímastríð eru ekki eingöngu háð á landi, sjó og lofti heldur einnig í netheimum. Í stríði Rússlands og Úkraínu fer netstríð fram samhliða.

„Það er háð til að veikja innviði og kerfi og til að valda bæði skaða og truflunum í umhverfinu. Einnig eru hakkarar notaðir til að komast yfir hernaðaráætlanir og -leyndarmál. Ísland er ekki stikkfrí því árásir sem þessar geta líka orðið hér á landi. Tölvuþrjótar myndu þá beina spjótum sínum að innviðunum, vatni, rafmagni, samgöngum og slíku, til að valda skaða og truflunum.“

Anton segir að stríð Ísraela og Hamas fyrir botni Miðjarðarhafs hafi ýtt af stað þúsundföldun á árásum á Ísrael frá Íran og öðrum óvinveittum nágrannaríkjum.

„Öll þessi lönd reka netherdeildir,“ bætir hann við.

Anton segir að sú breyting hafi orðið eftir innrás Rússa í Úkraínu að ýmsir þekktir netglæpahópar hafi horfið tímabundið af sviðinu, aðilar sem áður hafi verið virkir í gagnagíslatökuárásum. Þeir stundi nú netárásir fyrir rússnesk yfirvöld.

Gríðarlegir fjármunir skipta um hendur í netglæpaheiminum að sögn Antons.

„Menn telja að þessi geiri velti 10,5 trilljónum bandaríkjadala á ári. Inni í því er gagnagíslataka, sala á upplýsingum, stuldur á gögnum, sala á greiðslukortaupplýsingum, vegabréfum og fleiru.“

Árásir á Ísland eru stöðugar eins og minnst var á hér að framan.

„Við höfum hent fjölda manna út úr hérlendum tölvukerfum. Þetta eru aðilar sem gera hundruð árása um allan heim, og margar vel heppnaðar.“

Vaknað af vondum draumi

Árásir hér á landi undanfarin misseri hafa vakið marga upp af vondum draumi að sögn Antons.

„Fyrir kannski fimm árum töldu menn að hér væri ekki þörf á mikilli vöktun. Ísland væri lítið og áhugi takmarkaður. Nú er það breytt því allir eru orðnir skotmörk, stór fyrirtæki jafnt sem lítil.“

Spurður um gagnagíslatöku og hvort glæpamönnum verði vel ágengt segir Anton að því miður sé það stundum svoleiðis.

„Við mælum aldrei með að borga þrjótunum lausnargjald því þá ertu að fjármagna glæpastarfsemi. En stundum getur það verið spurning um líf og dauða fyrirtækis að fá gögnin úr haldi.“

Erfitt er að ná í skottið á glæpamönnum

„Það næst því miður alltof sjaldan í þetta fólk. Til þess að koma því á bak við lás og slá þarf öflugt samstarf alþjóðlegra löggæslustofnana. Svo er það enn erfiðara þegar glæpahópar starfa undir verndarvæng stjórnvalda, eins og t.d. Rússa.“

Syndis hefur orðið vart við ógnvænlega þróun í Bandaríkjunum og annars staðar á Vesturlöndum.

„Glæpahópar þar hafa í auknum mæli verið að sameinast rússneskum hópum. Það er ákveðinn óstöðugleiki í Bandaríkjunum og upp hafa sprottið uppreisnarhópar sem vilja veikja stjórnkerfið þar í landi. Til þess fá þeir nú hjálp frá rússneskum óþokkum m.a. Þessum hópum er mjög uppsigað við stjórnvöld og vilja einhvers konar siðaskipti.“

Framarlega á lista

Anton segir að netöryggismál séu orðin framarlega á lista þegar ráðamenn landa hittast á fundum.

„Þetta er orðið eitt af stóru málunum. Það er iðulega á dagskrá íslenska utanríkisráðherrans þegar hann fundar með erlendum kollegum sínum. Við erum í Atlantshafsbandalaginu og erum því mögulegt skotmark eins og aðrir.“

NIS, ný lög um stafrænt öryggi mikilvægra innviða, koma til með að auka enn áherslu á málaflokkinn að sögn Antons.

„Stóra málið þar er að stjórnendur fyrirtækja og stofnana sem flokkast sem mikilvægir innviðir verða gerðir persónulega ábyrgir fyrir netörygginu. Það þýðir að hægt verður að dæma viðkomandi til sektargreiðslna eða í fangelsi ef þessir hlutir eru vanræktir.“

Spurður um eftirspurn eftir starfsfólki í netöryggisgeirann segir Anton að vöntunin sé mikil.

„Það eru milljónir ófylltra sérfræðistarfa í geiranum. Þetta er dálítið sérhæfð grein og fólk þarf oft að hafa sérstaka þekkingu og áhuga. Það þýðir að við erum að ráða starfsmenn til Syndis allt niður í sautján ára gamla.“

Anton segir að fyrirtækið reyni að koma auga á hæfileikafólk í árlegri netöryggiskeppni sem Syndis styður við bakið á.

„Það eru margir sjálflærðir í faginu. Við reynum að ná í þá sem hafa brennandi áhuga.“

Talsverð nýsköpun

Nýsköpun í netöryggisgeiranum er talsverð að sögn Antons en fyrirtækið ver hluta af starfstíma sínum í hana með reglubundnum hætti.

„Sem dæmi um það er hugbúnaður sem við smíðuðum til að kenna netöryggi. Hann var seldur árið 2019 til ástralska fyrirtækisins Secure Code Warrior.“

Annað dæmi er dótturfyrirtækið Aftra sem sagt var frá í fjölmiðlum nýverið. Aftra er ætlað að skoða hversu auðvelt er að hakka fyrirtæki.

„Það er gert með því að skoða hverjir vinna á vinnustaðnum, hvort mikið sé af lekum úr kerfum félaganna, hverjir eru veikleikarnir og stillingarnar m.a. Svo er búin til áhættueinkunn.“

Að lokum spyr blaðamaður um komandi tíma hjá Syndis. Anton segir að með sókn inn á Norðurlandamarkað ætli Syndis sér á næstu fjórum árum að fimmfalda tekjurnar.

„Það er vissulega metnaðarfullt markmið en fyllilega raunsætt.“

Veist ekki hvenær árás er gerð

Defend Iceland er samfélagslegt verkefni sem nýtur yfirstjórnar starfsmanns Syndis eins og Anton útskýrir fyrir blaðamanni. „Syndis er hluthafi í því. Þar geta fyrirtæki og stofnanir skráð sig inn og beðið um netárás og hökkun. Ef veila finnst í kerfunum greiða fyrirtækin fyrir það. Þú veist ekki hvenær árásin verður gerð, hún verður að koma á óvart. Þetta er mjög góð aðferð til að prófa kerfin.“