Reyndi að brjótast inn í tölvukerfi fleiri fyrirtækja

Tölvuþrjóturinn sem braust inn á vefsíðu Vodafone aðfaranótt laugardags og stal persónuupplýsingum um notendur vefjarins hafði áður kannað möguleika á að brjótast inn hjá öðru íslensku fjarskiptafyrirtæki og hjá íslensku hýsingarfyrirtæki.

„Hann var að öllum líkindum bara að fiska,“ segir Þorleifur Jónasson, forstöðumaður tæknideildar Póst- og fjarskiptastofnunar.

Spurður hvort tölvuþrjóturinn hafi ekki haft erindi sem erfiði í tilraunum til að brjótast inn annars staðar en hjá Vodafone segir Þorleifur í það minnsta ljóst að hann hafi fyrst náð árangri í að brjótast inn á vef Vodafone.

„Þetta er fyrsta alvarlega netárásin sem er gerð hér á landi,“ segir Þorleifur. Hann er forstöðumaður tæknideildar Póst- og fjarskiptastofnunar en netöryggissveitin, stundum kölluð CERT-ÍS, heyrir þar undir. Hann segir sveitina hafa orðið vitni að innbrotum á aðrar vefsíður, en það sem sé alvarlegt í þessu máli sé hversu miklum gögnum þjófurinn hafi náð, og viðkvæmum persónugreinanlegum upplýsingum sem þar hafi verið að finna.

Upplýsingar sem liggja að baki vefsíðum eiga að vera dulkóðaðar, en voru ekki í öllum tilvikum hjá Vodafone. Þorleifur segir að slík dulkóðun veiti mikið öryggi.

„Það er hægt að ganga þannig frá hlutum með dulkóðun að þeir séu vel varðir, en það er ekki hægt að vera 100 prósent öruggur, hvort sem það er á netinu eða í umferðinni,“ segir Þorleifur. „Það er hægt að gera ráðstafanir, en það er aldrei hægt að koma alveg í veg fyrir slys, ekki frekar en í umferðinni.“

Bregðast við árásum

Þorleifur segir íslensk fyrirtæki og stofnanir orðin meðvitaðri um hættuna af netárásum. „Það hefur orðið mikil breyting á síðustu árum, og menn eru að átta sig á hættunni. Það hefur orðið vitundarvakning á síðustu árum.“

Netöryggissveitin var kölluð til og aðstoðaði Vodafone eftir innbrotið. „Við hjálpuðum þeim að nýta þær upplýsingar sem lágu fyrir og komu í ljós og deildum þeim með öðrum fyrirtækjum svo þau gætu brugðist við með réttum hætti,“ segir Þorleifur.

Netöryggissveit Póst- og fjarskiptastofnunar hefur það hlutverk að bregðast við netárásum á mikilvæga innviði landsins, og koma að fyrirbyggjandi vörnum. Sveitin hefur hingað til einbeitt sér að því að koma á samstarfi við fjarskiptafyrirtækin, en unnið er að því að kynna þjónustu netöryggissveitarinnar fyrir fleiri mikilvægum fyrirtækjum og stofnunum og bjóða þeim upp á samstarf.

„Við erum að byrja að bjóða öðrum fyrirtækjum, sem eru hluti af ómissandi eða mikilvægum innviðum samfélagsins, þjónustu okkar. Það eru til dæmis fjármálafyrirtækin, orkufyrirtæki, heilsugæslan og fleiri,“ segir Þorleifur. „Við höfum fengið mjög góð viðbrögð við því.“

Fyrirtækin sem fara í samstarf við netöryggissveitina gera samning við Póst- og fjarskiptastofnun, og þurfa sjálf að greiða fyrir þjónustuna. 

Nú er í gangi vinna hjá innanríkisráðuneytinu til að móta stefnu um netöryggismál Íslands. „Þetta er mjög mikilvægt verkefni og áríðandi að það verk verði klárað. Ég veit að innanríkisráðherra leggur mikla áherslu á þetta mál,“ segir Þorleifur. 

Hann segir netöryggi langhlaup, vanda þurfi vinnuna. Afleiðingarnar af því að gera ekkert geti orðið skelfilegar. Í þessu tilviki var brotist inn á vefsíðu og gögnum stolið, en erlendis eru þekkt dæmi um að tölvuþrjótar komist inn í stjórnkerfi fyrirtækja.

„Við nefnum oft orkugeirann í þessu samhengi, það er vissulega einn af okkar ómissandi innviðum sem þarf að reyna að verja eins og hægt er. Við vitum öll hvaða afleiðingar það hefði ef það yrði raunin að það væri hægt að leggja orkufyrirtæki á hliðina,“ segir Þorleifur.

Skoða hvernig tryggja má öryggi á netinu

Þetta mál gefur okkur tilefni til að skoða hvernig við tryggjum betur öryggi fólks á netinu,“ segir Hanna Birna Kristjánsdóttir innanríkisráðherra. Hún segir ábyrgðina í þessu tiltekna máli þó liggja hjá Vodafone.

„Við þurfum að skoða hvernig eftirliti er háttað, hvernig lagaramminn er og hvort viðbúnaður okkar og eftirlit sé í samræmi við þá tíma sem við lifum og þá tækni sem við erum að nýta okkur,“ segir Hanna.

Hún segir að almenningur verði að geta nýtt sér tæknina án þess að eiga það á hættu að persónuleg gögn og samskipti séu gerð opinber. Það eigi við um fjarskiptafyrirtækin jafnt sem önnur fyrirtæki.

Ísland hefur verið framarlega í því að innleiða rafræna stjórnsýslu, og ýmis mjög persónuleg gögn um einstaklinga eru aðgengileg hjá ýmsum stofnunum ríkisins í gegnum netið.

Hanna Birna segir að öryggi rafrænnar stjórnsýslu sé afar mikilvægt. „Menn verða að geta treyst því, og eiga að geta treyst því, að það sem fer inn í þessa rafrænu stjórnsýslu sé öruggt,“ segir Hanna Birna. Hún segir aldrei hægt að koma í veg fyrir innbrot í tölvukerfi, en tryggja verði að gögnin sjálf séu vernduð.

Vinna við að móta stefnu í netöryggismálum er nú í gangi í innanríkisráðuneytinu, og á því starfi að ljúka um mitt næsta ár. Hanna Birna segir þrátt fyrir það mikilvægt að skoða hvernig farið er með þessi mál í dag.

Forsvarsmenn Vodafone fyrir þingnefnd

Katrín Jakobsdóttir, formaður Vinstri grænna, hefur óskað eftir því að stjórnendur Vodafone verði kallaðir á fund umhverfis- og samgöngunefndar Alþingis til að ræða gagnastuldinn frá fyrirtækinu. Ákveðið hefur verið að halda fundinn á morgun. Katrín óskaði einnig eftir því að fulltrúar Póst- og fjarskiptastofnunar og mögulega annarra fjarskiptafyrirtækja en Vodafone yrðu kallaðir fyrir nefndina.

„Ég óskaði eftir þessum fundi til að fara yfir málið,“ segir Katrín. Hún segir að Vodafone hafi brotið lög með því að geyma gögn lengur en lög heimili. Eðlilegt sé að fara yfir málið og eftirlit stjórnvalda með því að fjarskiptafyrirtæki fari að lögum. Þá sé eðlilegt að ræða hvort lagaákvæði um gagnageymd hafi einhverju skilað, og hvort endurskoða þurfi það ákvæði.

Um 100 vildu skoða gögn Vodafone

Um 100 manns komu á Málflutningsstofu Reykjavíkur í gær til að skoða hvort gögn um viðkomandi væru meðal þess sem stolið var af Vodafone, segir Hrannar Pétursson, framkvæmdastjóri samskiptasviðs Vodafone.

Talsverð bið var eftir því að komast til að skoða gögnin. Þegar blaðamaður Fréttablaðsins leit við í hádeginu var áætluð bið um 90 mínútur. Upphaflega stóð til að gera gögnin aðgengileg í gær og í dag, en Hrannar segir nú unnið að því að finna aðrar leiðir til að leyfa fólki að skoða hvaða gögn um það voru meðal þess sem var stolið.

Vodafone sló eigið met í kauphöllinni

Hlutabréf í Fjarskiptum, móðurfélagi Vodafone, lækkuðu um 12,1 prósent í Kauphöll Íslands í gær þegar markaðurinn brást við fréttum af netárásinni á laugardag. 

Lækkun Fjarskipta var mesta lækkun á verði hlutabréfa í kauphöllinni frá endurreisn markaðarins í lok árs 2011. Fjarskipti slógu þar með eigið met, en fyrra metið var 7,7 prósenta lækkun Fjarskipta í maí eftir birtingu uppgjörs eftir fyrsta ársfjórðunginn.

Spurður um þessa lækkun segir Hrannar Pétursson, framkvæmdastjóri samskiptasviðs Vodafone: „Okkar áhyggjur liggja fyrst og fremst annars staðar í dag, hjá viðskiptavinum okkar. Markaðurinn hefur sinn sjálfstæða vilja og greinir málið með einhverjum tilteknum hætti, við fylgjumst bara með því.“