Brugðist við innbroti hjá Vodafone

Ráðist var í sérstaka úttekt á netöryggismálum hjá öllum þeim fyrirtækjum sem teljast þjóðhagslega mikilvæg í kjölfar innbrotsins á vef Vodafone nýverið. Í einhverjum tilvikum fundust gallar sem hafa verið lagfærðir eða unnið er að því að lagfæra.

Þannig voru viðbragðsáætlanir virkjaðar hjá fyrirtækjum sem teljast mikilvægir innviðir samfélagsins, til dæmis fjarskiptafyrirtækjum, orkufyrirtækjum og bönkum, að því er fram kemur í svörum fyrirtækjanna við fyrirspurnum Fréttablaðsins. Hjá öllum fyrirtækjunum sem haft var samband við var farið yfir stöðu netöryggis í kjölfar innbrotsins.

Útfærslan var þó misjöfn. Hjá Íslandsbanka voru gerðar ráðstafanir til að tryggja að ekki væri hægt að nýta stolnu upplýsingarnar til að ná aðgangi að tölvukerfi bankans. Landsvirkjun gerði mat á því hvort grípa þyrfti til bráðaaðgerða og breytti lykilorðum allra starfsmanna fyrirtækisins.

Hjá Orkuveitu Reykjavíkur fannst veikleiki við þessa yfirferð og er fyrirtækið langt komið með að bæta úr veikleikanum. Ekki voru veittar nánari upplýsingar um eðli veikleikans af öryggisástæðum.

Þótt netárásin á Vodafone hafi orðið til þess að opna augu margra fyrir þeirri hættu sem árásir og þjófnaður á netinu geta valdið hafa fyrirtæki með starfsemi sem telst til mikilvægra innviða samfélagsins verið meðvituð um hættuna lengi. Flest fyrirtækin eru með sérhæfða starfsmenn sem sinna netöryggismálum.

Bæði Íslandsbanki og Síminn hafa ráðið erlenda öryggissérfræðinga sem þekkja vel til verka tölvuhakkara til að reyna að ráðast á tölvukerfi fyrirtækjanna. Tilgangurinn er að finna veikleika og bregðast við þeim áður en illviljaðir hakkarar uppgötva þá.

Landsbankinn er eini viðskiptabankinn sem hefur fengið vottun samkvæmt ISO 27001 gæðastaðlinum, en bæði Íslandsbanki og Arion banki segjast fara eftir kröfum staðalsins, þar sem meðal annars er fjallað um netöryggi. Að fara eftir staðlinum og að hafa vottun samkvæmt honum er þó alls ekki það sama.

Hjá Landsbankanum er að auki starfandi fimm manna teymi sem ekki hefur annan starfa en að sinna netöryggi bankans. Hjá Íslandsbanka er málunum stýrt af öryggisnefnd bankans. Hjá Arion banka starfar hópur sérfræðinga sem fjallar meðal annars um netöryggismál bankans.

MP banki er ekki með sömu öryggisvottun og hinir viðskiptabankarnir, en netbanki MP banka er vistaður hjá vottuðu fyrirtæki, segir í svari bankans við fyrirspurn Fréttablaðsins. Þar er starfandi gæða- og öryggisnefnd sem sinnir meðal annars netöryggismálum.

Fátt um svör hjá HS Orku

Bæði Landsvirkjun og Orkuveita Reykjavíkur eru með sömu ISO-vottun og bankarnir. Það sama á ekki við um HS Orku.

Hjá Landsvirkjun starfar þriggja manna netöryggishópur auk upplýsingaöryggisstjóra. Þá hefur fyrirtækið einnig fengið aðstoð ráðgjafa um uppbyggingu netöryggis.

Orkuveita Reykjavíkur starfrækir sérstakan upplýsingaöryggishóp og nær starfssvið hans einnig til netöryggis. Þá er Orkuveitan með utanaðkomandi ráðgjafa í netöryggismálum.

Fátt var um svör þegar spurt var um netöryggi hjá HS Orku. Fyrirtækið er ekki með gæðavottun sem tekur á netöryggismálum en unnið er að því að fá vottun. Enginn netöryggishópur er starfandi hjá fyrirtækinu en það hefur fengið utanaðkomandi ráðgjöf vegna netöryggismála. Þrátt fyrir þetta telja forsvarsmenn fyrirtækisins það þokkalega statt í netöryggismálum.

Fjarskiptafyrirtækin eru almennt með öryggisstjóra og öryggisnefndir sem eiga meðal annars að gæta að netöryggi. Annars er viðbúnaður fyrirtækjanna að einhverju leyti ólíkur.

Síminn hefur fengið ISO-gæðavottun og lætur reglulega vinna ítarlegar úttektir á netöryggi fyrirtækisins. Síminn nýtir sér þjónustu utanaðkomandi ráðgjafa við gerð áhættumats, úttekta, vottunar og veikleikaskimunar.

Vodafone vinnur að því að fá ISO-vottun og stefnt er að því að uppfylla öll skilyrði til að fá vottun á næsta ári. Fyrirtækið hefur fengið ráðgjöf frá utanaðkomandi sérfræðingum, innlendum og erlendum, varðandi upplýsingamál og netöryggi. Í því hefur falist bæði almenn ráðgjöf og úttektir á netöryggismálum fyrirtækisins.

Þær úttektir dugðu þó ekki til að finna veikleikann sem tyrkneskur tölvuþrjótur nýtti sér til að brjótast inn á vefsíðu fyrirtækisins og stela þar netföngum, lykilorðum og innihaldi SMS-skeyta sem send voru í gegnum vefsíðuna.

Tal fékk utanaðkomandi ráðgjöf við að setja upp regluverk tengt öryggismálum fyrirtækisins. Hjá Nova fengust þau svör að auk öryggisnefndar starfi sérhæfðir starfsmenn að netöryggismálum, auk þess sem unnið sé með utanaðkomandi sérfræðingum.

Allir bankarnir og bæði Landsvirkjun og Orkuveita Reykjavíkur eru jákvæð fyrir samstarfi við netöryggissveit Póst- og fjarskiptastofnunar. Hingað til hefur sveitin aðeins boðið fjarskiptafyrirtækjum upp á samstarf í netöryggismálum.