Fyr­ir um ári komu sam­an nokkr­ir reynslu­bolt­ar í netör­ygg­is­mál­um hér á landi og ræddu sam­an um nýja hug­mynd varðandi netör­ygg­is­lausn­ir sem hafði kviknað hjá dr. Ými Vig­fús­syni. Bolt­inn fór fljótt að rúlla eft­ir það, sótt var um einka­leyfi og er­lend­ur fjár­fest­ir og frum­kvöðull fjár­festi í hug­mynd­inni eft­ir að hafa rætt við hóp­inn í þrjá daga. Í dag er fyr­ir­tækið að ljúka þriðju um­ferð fjár­mögn­un­ar og er það þar metið á 10 millj­ón­ir Banda­ríkja­dala, eða um 1,4 millj­arða.

Hug­mynd­in sem fyr­ir­tækið bygg­ir á er nokkuð sér­stæð og snýr í raun nú­ver­andi aðferðum við tölvu­ör­yggi á hvolf, en með því telja for­svars­menn þess að hægt verði að draga veru­lega úr hættu á að tölvuþrjót­ar nái að valda mikl­um skaða eða stela mik­il­væg­um gögn­um þegar brot­ist er inn. Í raun­inni að tölvuþrjót­ar kom­ist ekki lengra en inn í vél þess sem ráðist er á, en nái ekki að brjóta sér lengra leið inn í kerfi viðkom­andi fyr­ir­tækja eða stofn­ana.

Fyrr­ver­andi stjórn­end­ur Synd­is, Betware og AwareGO

Valdi­mar Óskars­son, for­stjóri fyr­ir­tæk­is­ins, Keystrike, seg­ir í sam­tali við mbl.is að Ýmir hafi upp­haf­lega rætt hug­mynd­ina við sig í mars í fyrra. Ýmir, sem er einn af stofn­end­um tölvu­ör­ygg­is­fyr­ir­tæk­is­ins Synd­is og Advers­ary og und­an­farið dós­ent við Emory há­skól­ann í Georgíu í Banda­ríkj­un­um, hafi því næst sett hug­mynd­ina niður á blað og var hún val­in hug­mynd árs­ins hjá há­skól­an­um. Í kjöl­farið sótti skól­inn um for­einka­leyfi á hug­mynd­inni fyr­ir hann.

„Við kom­um svo sam­an sem hóp­ur seinni part árs­ins og stofnuðum fyr­ir­tæki í Banda­ríkj­un­um í janú­ar, en með úti­bú á Íslandi,“ út­skýr­ir Valdi­mar. Emory há­skól­inn er einn hlut­hafa í fyr­ir­tæk­inu vegna starfa Ýmis þar og er það ástæða staðsetn­ing­ar­inn­ar. Há­skól­inn hef­ur verið virk­ur hlut­hafi hingað til og sendi meðal ann­ars for­svars­menn Keystrike á viðskipta­hraðal fyr­ir tæknifyr­ir­tæki í Banda­ríkj­un­um.

Hinir stofn­end­urn­ir eru svo Árni S. Pét­urs­son, fyrr­ver­andi yf­ir­maður viðskiptaþró­un­ar og markaðsmá­la hjá Betware, Stein­dór Guðmunds­son, fyrr­ver­andi fram­kvæmda­stjóri Advers­ary (sproti út frá Synd­is) og þró­un­ar­stjóri hjá Betware og Árni Þór Árna­son, fyrr­ver­andi rekstr­ar­stjóri AwareGO. Valdi­mar var sjálf­ur fram­kvæmda­stjóri Synd­is og rekstr­ar­stjóri Betware í ára­tug.

Hvað felst í hug­mynd­inni?

Til að gera langa sögu stutta geng­ur hug­mynd­in og í dag lausn fyr­ir­tæk­is­ins út á að votta að innslátt­ur hafi átt sér stað frá vinnu­stöð not­enda. Það þýðir í raun að hug­búnaður­inn vott­ar að það hafi verið mann­eskja á bak við lykla­borðið sem fram­kvæm­ir þær skip­an­ir sem eru send­ar áfram t.d. inn á tölvu­kerfi fyr­ir­tækja eða stofn­ana, eða í gegn­um fjar­vinnslu­kerfi. Valdi­mar tek­ur fram að þetta staðfesti ekki hvaða mann­eskja hafi verið að slá inn skip­an­irn­ar, en að þær komi frá ákveðinni vél.

En hvaða máli skipt­ir þetta um­fram þær ör­ygg­is­lausn­ir sem eru í boði í dag? Valdi­mar seg­ir að með þessu sé í raun verið að koma í veg fyr­ir nokkr­ar ef ekki flest­ar af helstu inn­brota­leiðum sem tölvuþrjót­ar noti í dag eða nái alla­vega að draga veru­lega úr áhrif­um þeirra, meðal ann­ars þegar kem­ur að svo­kölluðum ein­beitt­um tölvu­árás­um (e. spe­ar phis­hing).

Innslátt­ur og fram­kvæmd þarf að passa

„Við köll­um þetta stöðuga auðkenn­ingu,“ seg­ir Valdi­mar. Í hvert sinn sem staf­ur, eða músars­mell­ur er fram­kvæmd­ur á tölvu er bæði innslátt­ur­inn og fram­kvæmd­in kóðuð og send af stað á netþjón viðkom­andi fyr­ir­tæk­is eða stofn­un­ar sem starfsmaður­inn er að tengja sig við. Ef bæði innslátt­ur­inn og fram­kvæmd­in stemma get­ur not­and­inn haldið áfram starfi sínu áfram án vand­ræða, en komi upp ein­hver skekkja stöðvast notk­un hans sam­stund­is þannig að ekki er leng­ur hægt að slá neitt inn.

Lausn Keystrike geng­ur út á að votta að þær skip­an­ir sem send­ar eru yfir netið séu í raun slegn­ar inn á lykla­borð á tölvu sem þegar hef­ur verið samþykkt. mbl.is/Á​rni Sæ­berg

Við get­um hugsað okk­ur starfs­mann sem vinn­ur heima og skrá­ir sig inn á tölvu­kerfi fyr­ir­tæk­is þar sem hann vinn­ur, en þar eru jafn­framt öll viðkvæm gögn fyr­ir­tæk­is­ins hýst. Kom­ist tölvuþrjót­ur inn í tölvu stafs­manns­ins þá get­ur hann auðvitað sótt ein­hver gögn þar, excel skjöl sem hafa verið vistuð beint á tölv­una o.s.frv., en strax og hann reyn­ir að fram­kvæma eitt­hvað inn á netþjón­in, þá lokast strax á þá teng­ingu.

Votta æski­lega hegðun í stað þess að finna óeðli­lega

Þær lausn­ir sem hafa verið í boði hingað til ganga all­ar út á að auka ör­yggi við inn­skrán­ingu eða með að þefa uppi mögu­lega veik­leika í kerf­um og um­ferð um net­kerfi. Að sögn Valdi­mars hef­ur hins veg­ar ekki verið nein lausn sem kem­ur í veg fyr­ir að tölvuþrjót­ar, sem hafa kom­ist inn á eina tölvu sem teng­ist fyr­ir­tækja­neti, geti at­hafnað sig inn á fyr­ir­tækja­net­inu eða farið þaðan lengra áfram.

„Þessu er í raun snúið smá á haus. All­ar varn­ir sem þú sérð í netör­yggi í dag eru að reyna að finna óeðli­lega hegðun, en við erum ekki að gera það held­ur að votta æski­lega hegðun,“ seg­ir hann.

Auðkenn­ing og inn­skrán­ing enn mik­il­væg

Valdi­mar tek­ur fram að áfram verði auðkenn­ing, og þá helst tvíþætt auðkenn­ing, mjög mik­il­væg fyr­ir not­end­ur að staðfest hver það sé sem er að skrá sig inn í kerfi. En með því að bæta við ör­ygg­is­ventli sem svo tryggi líka að viðkom­andi inn­skrán­ing og öll notk­un í kjöl­farið sé frá ákveðinni tölvu sem hafi fyr­ir­fram fengið heim­ild til að vera skráð inn, þá verði allt ör­yggi mun betra.

Valdi­mar seg­ir að þessi lausn hafi ekki áhrif ef ein­hver beit­ir valdi eða hafi kom­ist yfir efn­is­legt ein­tak tölvu, en að slíkt eigi við um fæst tölvu­inn­brot í dag. „Árás­ar­vink­ill­inn er svo stór og frá lönd­um eins og Rússlandi, Norður-Kór­eu, Ísra­el og fleir­um. Með þessu ertu að blokka þess­ar árás­ir sem eru gerðar yfir netið,“ seg­ir hann. Þetta hafi meðal ann­ars verið al­geng­ar aðferðir þegar tölvuþrjót­ar hafi reynt að kom­ast yfir aðgang hjá kerf­is­lega mik­il­væg­um fyr­ir­tækj­um eins og orku­fram­leiðslu. Þar séu starfs­menn eða kerf­is­stjór­ar sem skrái sig inn í mik­il­væg kerfi, en með þessu sé komið í veg fyr­ir að ein­hver kom­ist svo langt áfram, nema þá ef hann er með viðkom­andi tölvu starfs­manns­ins ofan á það að geta skráð sig inn.

Keystrike er í dag til húsa í tveim­ur skrif­stofu að Urðar­hvarfi í Kópa­vogi, en Valdi­mar seg­ir að þegar sé planið að bæta við skrif­stofuplássið þar. mbl.is/Á​rni Sæ­berg

Ekk­ert 100% ör­uggt, en hækk­ar þrösk­uld­inn

Spurður hvort þetta sé þá 100% ör­ugg lausn stíg­ur Valdi­mar var­lega til jarðar. „Við mynd­um aldrei segja að eitt­hvað sé 100% ör­uggt, en við telj­um þetta vera gríðarlega hækk­un á þeim þrösk­uldi sem fyr­ir er,“ seg­ir hann. „Það geta alltaf verið mann­leg mis­tök, eða að ein­hver gleymi ein­hverju.“ Fyr­ir flesta tölvuþrjóta yrði einnig ör­ygg­is­lausn sem þessi það mik­ill viðbót­ar­höfuðverk­ur að það væri ekki tím­ans virði að reyna inn­brot.

Stofn­andi Qua­lys fyrsti fjár­fest­ir­inn

Áður en fyr­ir­tækið var form­lega stofnað í janú­ar hafði er­lend­ur fjár­fest­ir og frum­kvöðull í netör­ygg­is­mál­um, Phil­ippe Langlois, heim­sótt Keystrike til Íslands og varið þrem­ur dög­um með teym­inu. Í kjöl­farið setti hann 350 þúsund Banda­ríkja­dali í fyr­ir­tækið gegn 5% hlut og var það þar með komið með 7 millj­ón dala verðmiða, eða tæp­lega millj­arð ís­lenskra króna. Valdi­mar seg­ir að hann hafi einnig átt kost á að bæta í fyr­ir­tæk­inu fyr­ir 500 þúsund dali, sem hann hafi gert.

Langlois þessi var einn af stofn­end­um netör­ygg­is­fyr­ir­tæk­is­ins Qua­lys, en það er í dag metið á tæp­lega sex millj­arða Banda­ríkja­dali og er með á þriðja þúsund starfs­menn.

Verðmat upp á 1,4 millj­arða

Á fyrr­nefnd­um viðskipta­hraðli komust Keystrike-menn einnig í sam­band við hjón sem ákváðu að fjár­festa í fyr­ir­tæk­inu og þá var heild­ar­verðmatið komið upp í 8,1 millj­ón dala. Í dag er svo í gangi þriðja um­ferð fjár­mögn­un­ar sem Valdi­mar seg­ir að sé verið að loka. Þar sé verið að selja tak­mörkuðum hópi fjár­festa, aðallega er­lend­um, en einnig nokkr­um inn­lend­um einka­fjár­fest­um, og er verðmat fyr­ir­tæk­is­ins þar upp á 10 millj­ón­ir dala, en það jafn­gild­ir 1,4 millj­örðum króna. Og það í raun áður en lausn fyr­ir­tæk­is­ins hef­ur form­lega verið gef­in út.

Lausn Keystrike er þó þegar kom­in í til­raunafasa hjá um tug fyr­ir­tækja hér á landi og einu stóru alþjóðlegu smá­sölu­fyr­ir­tæki sem er með yfir níu þúsund starfs­menn að sögn Valdi­mars.

11 starfs­menn en ætla upp í 27 á næsta ári

Hjá Keystrike starfa í dag 11 starfs­menn, þar af sölu­menn bæði í Banda­ríkj­un­um og Evr­ópu. Valdi­mar seg­ir að áætl­un fyr­ir­tæk­is­ins geri ráð fyr­ir að það verði reglu­lega bætt við starfs­fólki næstu miss­er­in og að fjöldi starfs­manna verði kom­inn upp í 27 í lok næsta árs. Í ljósi þess að fyr­ir­tækið er skráð í Banda­ríkj­un­um er ekki úr vegi að spyrja hvort áform eru um að færa þró­un­ina er­lend­is. Valdi­mar seg­ir það hins veg­ar ekki planið.

Hér á landi sé gott um­hverfi fyr­ir ný­sköp­un­ar­fyr­ir­tæki, þar sem fyr­ir­tækið hafi fengið styrk frá Rannís og í boði sé 35% end­ur­greiðsla á þró­un­ar­kostnaði. Rétt sé að starfs­manna­kostnaður hér sé hærri en víða, en á móti standi þétt­ur hóp­ur á bak við fyr­ir­tækið og að teng­ing­ar hér á landi séu mik­il­væg­ar. Seg­ir hann ljóst að sölu- og markaðsstarf muni verða er­lend­is, en að þeir vilji eft­ir fremsta megni halda þró­un­inni og stjórn­un fyr­ir­tæk­is­ins hér á landi.

Tengd­ar frétt­ir

Tölvu- og netör­yggi

Svik­in hlaupa á millj­ón­um króna

• Gríðarleg fjölg­un netör­yggis­at­vika í ár
• Ísland og Úkraína fá aðild að CCDOE
• Fram­sókn­ar­menn eru víða
• Skiluðu tölvu­kerf­inu til heil­brigðis­yf­ir­valda

» Fleiri tengd­ar frétt­ir

• Blogga um frétt