Um 36% af vef­kerf­um sem stærri fyr­ir­tæki á Íslandi nota eru í áhættu­flokki vegna þess að þau eru orðin eldri en 10 ára eða búa yfir þekkt­um veik­leik­um sem gætu auðveldað tölvuþrjót­um að brjót­ast inn. Þá er gíf­ur­leg­ur fjöldi af opn­um ódul­kóðuðum þjón­ust­um (e. port)  í gangi á ís­lensk­um ip-töl­um, sem bjóða upp á það að hver sem er geti skoðað sam­skipt­in sem þar fara um. Þetta kem­ur fram í könn­un sem KPMG gerði á þroska­stigi ís­lenskra ör­ygg­is­mála, en niður­stöðurn­ar benda til þess að Íslend­ing­ar eigi enn langt í land með að koma ör­ygg­is­mál­um í lag.

Mikið um ódul­kóðaða þjón­ustu

Könn­un­in var gerð síðasta sum­ar, en starfs­menn KPMG gerðu heild­ar­út­tekt á öll­um ís­lensk­um ip-töl­um og skoðuðu hundrað al­geng­ar þjón­ust­ur, svo sem tölvu­póst og vefþjóna. Eðli­legt er að slík­ar þjón­ust­ur séu í gangi, en könn­un­in náði til þess hvort þær væru ódul­kóðaðar og hvort kerf­in væru með þekkta ör­ygg­is­galla eða orðin göm­ul.

Af þeim 770 þúsund ip-töl­um sem til­heyra Íslandi voru 38 þúsund opn­ar þjón­ust­ur. Slíkt er í sjálfu sér alls ekki slæmt, en af þess­um þjón­ust­um voru tæp­lega tíu þúsund svo­kallaðar tel­net-þjón­ust­ur. Svavarr Her­manns­son, sér­fræðing­ur í  áhættu­stýr­ingu upp­lýs­inga­kerfa hjá KPMG, seg­ir að þetta séu al­veg ódul­kóðaðar þjón­ust­ur sem eng­inn eigi að vera með opn­ar í dag. Þá voru einnig sex þúsund FTP-þjón­ust­ur og þrett­án hundrað POP3-þjón­ust­ur opn­ar, en Svavar seg­ir þær einnig ódul­kóðaðar og óör­ugg­ar að því leyti til.

Þriðjung­ur í áhættu­flokki

Vefsíður um 570 stórra fyr­ir­tækja og tæknifyr­ir­tækja voru einnig skoðaðar, en þar kom í ljós að 36% síðnanna voru í áhættu­flokki vegna þess vef­kerf­is sem var notað. Skýrist það af því að þær not­ast við göm­ul kerfi eða þá að út­gáf­urn­ar séu með þekkta ör­ygg­is­galla. Aðeins 34,5% vefsíðna voru flokkuð und­ir litla áhættu, en staða á þriðjungi síðnanna var óþekkt. Þar inni eru meðal ann­ars flest­öll ís­lensk vef­um­sjón­ar­kerfi, en Svavar seg­ir að fæst þeirra hafi op­in­ber­lega gefið út ör­ygg­is­upp­færsl­ur á síðustu árum. Seg­ir hann það nokkuð at­hygl­is­vert í ljósi þess að risa­stór er­lend vef­um­sjón­ar­kerfi komi reglu­lega með upp­færsl­ur og ólík­legt sé að ís­lensku kerf­in hafi það mikla ör­ygg­is­yf­ir­burði að ekki þurfi að upp­færa þau.

2% vefsíðna af­skræmd í fyrra

Önnur leið til að gera sér grein fyr­ir ör­ygg­is­vanda­mál­um ís­lenskra vefsíðna er sú staðreynd að 2% þeirra voru af­skræmd á ár­inu 2013. Þá fóru tölvuþrjót­ar inn á síðurn­ar og breyttu þeim þannig að þær áfram­sendu not­end­ur á ein­hverja aðra síðu. Þetta eru aðeins þær síður þar sem þrjót­ur­inn hafði fyr­ir því að breyta vefsíðunni, en vænt­an­lega var farið inn á mun fleiri síður án þess að þeim væri breytt og sótt þar gögn. Svavar seg­ir að þetta snú­ist ekki ein­ung­is um að ein­hverj­ir tán­ing­ar séu að leika sér að brjót­ast inn, held­ur er mögu­legt að búið sé að kom­ast yfir mikið magn gagna og mögu­lega inn á fleiri kerfi en vef­um­sjón­ar­kerfið til að sækja not­enda­nöfn og lyk­il­orð.

Örygg­is­mennt­un í lág­marki

Svavar seg­ir að þroska­stigið í ör­ygg­is­mál­um hér á landi sjá­ist ágæt­lega á þeirri staðreynd að Íslend­ing­ar séu aðeins með skráð 41 af fjór­um helstu skír­tein­um í ör­ygg­is­mál­um. Þar af séu marg­ir með fleiri en eitt, en Svavar er sjálf­ur með þrjú. Það sé því hægt að áætla að fjöldi ör­ygg­is­menntaðra í upp­lýs­inga- og tölvu­mál­um hér á landi sé á bil­inu tutt­ugu til þrjá­tíu. Þá seg­ir hann marga þeirra sem eru með próf hafa fundið sér ann­an starfs­vett­vang en ör­ygg­is­mál, enda ekki verið mik­il eft­ir­spurn þar síðustu árin. Það sé þó aðeins að breyt­ast núna með auk­inni vit­und­ar­vakn­ingu.

Til að sporna við þess­ari þróun og snúa vörn í sókn seg­ir Svavar að nauðsyn­legt sé að koma tölvu­ör­ygg­is­mál­um bet­ur að í tölv­un­ar­fræði. Hann seg­ir að í dag séu aðeins tveir val­kúrs­ar í boði um þessi mál og að ekki sé lögð nægj­an­lega mik­il áhersla á hug­búnaðarör­yggi eða rekst­ur hug­búnaðar­kerfa, held­ur sé mest áhersla á dul­kóðun. Þá seg­ir hann að fyr­ir stjórn­end­ur væri æski­legt að læra um upp­lýs­inga­ör­yggi. Þannig mætti til dæm­is koma inn á mik­il­vægi veik­leika­grein­inga, inn­brots­próf­ana og ör­ygg­is­út­tekta fyr­ir nem­end­ur í MBA- og viðskipta­fræðinámi. Svavar seg­ir óþarfa að kenna öll­um hvernig þetta sé fram­kvæmt, en að mik­il­vægt sé að kenna fólki hvað það þurfi að passa að sé í lagi og að hverju þurfi að spyrja í samn­ingaviðræðum. Nefn­ir hann sem dæmi um það hvort ör­ygg­is­upp­færsl­ur séu innifald­ar í kaup­um á ör­ygg­is­búnaði eða hvort búið sé að gera ör­ygg­is­út­tekt af óháðum aðila á búnaðinum.