Á manna­máli: „Ég er bara ein­hver „nobody,“ við erum ekki með nein gögn“

En þetta er einmitt það sem er svolítið nýtt í þessu: Í dag eru allir undir þegar kemur að gagnagíslatökum og netárásum. 

Hvort sem það eru lítið fyrirtæki með tveimur starfsmönnum eða banki með hundrað þúsund bankareikninga. 

Þetta er veruleikinn sem blasir við og er ekki að fara að breytast á komandi árum.“

Síðustu misseri hefur það færst í aukana að fyrirtæki og stofnanir verða fyrir netárárásum. Hvort heldur sem er á Íslandi eða erlendis. Svo alvarlegar eru þessar árásir að heilu samfélögin eru með viðbragðsáætlanir um hvernig beri að bregðast við, verði gerð stafræn árás á landið.

Því já; Árásir í netheimum eru meira að segja orðnar að veruleika í stríðum.

En á þetta við um lítið íslenskt fyrirtæki?

Sem kannski telur nokkra starfsmenn og lítinn lager. 

Einfaldan búðarkassa eða verkstæði?

„Það skiptir engu máli þótt fyrirtækið er lítið.  Allur rekstur er lifibrauð einhvers og ef starfsemin stöðvast í tvo þrjá mánuði í litlu fyrirtæki þá er það stórtjón fyrir þann sem rekur það fyrirtæki. Enda ekkert minna lifibrauð fyrir þann aðila, heldur en stóru fyrirtækin.“

Í Mannamáli í dag ætlum við að fræðast um það, í hverju netógnir og netöryggi felast fyrir íslenskt atvinnulíf.

Dæmi: Litla Snúran

Til að byrja með er ágætt að átta okkur á því, hversu stór þessi heimur glæpa er.

„Þessi iðnaður netglæpa er orðinn stærri en fíkniefnaiðnaður heimsins. Talið er að netglæpaiðnaðurinn velti um 10,5 trilljónir dollara á ári,“ segir Anton.

Árásirnar eru misstórar og misumfangsmiklar, en í raun hefur iðnaðurinn leið til að ná til allra þar sem IP tölur allra tækja, eru eins og símaskrá internetsins fyrir þennan heim.

En hverju er verið að stela?

„Það geta bæði verið gögn sem tekin eru í gíslingu eða einfaldlega netþjónar og kerfi sem aðilar stela. Hvoru tveggja geta skapað mikið tjón, þótt þú sért ekki með stóran rekstur,“ segir Anton og tekur sem dæmi.

„Ímyndum okkur lítið fyrirtæki sem heitir Snúran. Þar starfa tveir starfsmenn og fyrirtækið selur ýmsar vörur eins og náttborð og lampa.“

Dæmigerð gögn hjá Snúrunni er þá einhvers konar kerfi sem heldur utan um lagerinn, pantanir, greiðslur og kvittanir, sendingar og fleira.

„Þetta er hvorki stórt né flókið umhverfi. En ef þetta litla fyrirtæki verður fyrir árás þar sem kerfunum er einfaldlega stolið af óprúttnum aðilum, getur tjónið verið mikið. Starfsemin getur lamast í nokkrar vikur og til viðbótar þyrfti Snúran að smíða nýtt kerfi, skrá lagerinn upp að nýju og vinna upp alls kyns gögn sem það hafði kannski safnað saman og unnið að í nokkur ár. Fyrir þetta fyrirtæki er tjónið mikið og oft áttar fólk sig ekki á því að fyrir hakkara í þessum iðnaði, getur þjófnaður á ýmsum kerfum skilað þeim miklu þótt kerfin teljist ekki stór né flókin.“

Í sumum tilfellum eru árásirnar þannig að gögn fyrirtækisins eru tekin í gíslingu.

„Þú getur farið heim í dagslok og það er allt í lagi með allt. En þegar þú mætir morguninn eftir, er fyrirtækið lamað því einhverjir óprúttnir aðilar hafa tekið öll gögn fyrirtækisins í gíslingu og heimta nú peninga.“

Í enn stærra samhengi má síðan nefna stríð.

„Í dag eru stafrænir glæpir og netárásir mikilvægur liður í öllum hernaði. Ekkert stríð er háð í dag, án þess að í þessu sé unnið líka, enda getur skaðinn verið mikill þegar netárás er gerð á innviði og samfélög. Þetta þýðir að bandalög eins og Nato eru ekkert síður að efla netvarnir sínar, eins og aðrar varnir. Stafrænar árásir eru komnar til að vera.“

Meira að segja broskarl…

Anton segir líka mikilvægt að átta sig á því, að á sama tíma og nú sé verið að nýta gervigreindina í miklum mæli til að efla netvarnir, sé það sama að gerast hinum megin við borðið.

„Glæpaiðnaðurinn er að nýta sér gervigreindina í jafn miklu mæli til að þróa sínar aðferðir.“

Sem dæmi um gervigreind má nefna vel orðað SMS á íslensku, sem blaðamanni barst fyrir stuttu. Skilaboðin virtust vera frá Póstinum þar sem fram kom að ósóttur pakki yrði brátt endursendur. Með skilaboðunum fylgdi hlekkur.

„Ef þú hefðir smellt á hlekkinn, hefði þér eflaust verið boðið að logga þig inn í eitthvað kerfi eða að greiða eitthvað gjald til að koma í veg fyrir að pakkinn yrði endursendur. En við það eru þeir þá komnir inn í kerfið þitt. Geta stolið kortanúmerinu þínu eða hakkað sig inn í kerfi sem þú ert með í símanum og fleira.“

Svo þróaðar eru aðferðirnar orðnar, að með gervigreind er meira að segja hægt að líkja eftir talsmáta og orðfæri fólks þegar verið er að plata fólk til að gera eitthvað.

„Það hvernig þú talar, orðar hlutina eða hljómar í tali eru allt atriði sem gervigreindin getur pikkað upp og hermt eftir. Sem þýðir að ef einhver fær skilaboð sem virðast vera frá þér, er það að verða æ erfiðara fyrir fólk að átta sig á að um svindl geti verið að ræða, enda hljóma skilaboðin kannski einmitt eins og þú,“ segir Anton og tekur dæmi:

Segjum til dæmis ef einhver er vanur að skrifa skilaboð og birta síðan einhvers konar broskarl með eða álíka. 

Broskarlinn fylgir þá með í skilaboðunum þannig að þau einfaldlega eru nákvæmlega eins og viðkomandi hefði skrifað þau.“

Þá segir Anton þann veruleika einnig kominn til að vera að alls kyns djúpfalsanir gera fólki enn erfiðari fyrir.

„Ímyndum okkur kerfi sem styðjast við andlitsgreiningu eða fingrafar. Djúpfalsanir eru orðnar svo góðar að það að falsa mynd af andliti eða vídeói af einhverjum, getur villt um fyrir fólki og kerfum þannig að hakkararnir komast í gegn, séu varnarkerfin ekki þeim mun betri.“

En hvað er þá til ráða? Og hvað á fólk almennt að temja sér að gera?

Anton segir mikilvægt fyrir alla að skoða ferla hjá sér eins og lykilorð.

„Lykilorð sem auðkenni eru reyndar að úreldast og ég geri ráð fyrir að á næstu árum verði auðkenni almennt mun fjölþættari en þau eru í dag. Þetta þýðir að það að vera með lykilorð, jafnvel það sama á nokkrum vígstöðvum, mun einfaldlega ekki ganga upp enda eru þau of auðveld leið fyrir hakkara að brjótast í gegnum nánast hvað sem er.“

Að þessu sögðu, er þó ágætt að endurskoða lykilorð og ferla auðkenna í kerfi miðað við allt sem fólk notar í dag.

„Og almennt má segja að allir ættu að vera frekar skeptískir á það sem við erum að gera. Því öll erum við orðin svo háð tækninni og allri stafrænni veröld, en eðlilega erum við mislæs á tæknina eða þeim hættum sem þar leynast,“ segir Anton og bætir við:

„Á móti kemur að allt sem byggist upp sem meiri ógn, er líka að byggjast upp sem þekking á móti. Nú eru til dæmis að vaxa úr grasi kynslóðir sem þekkja ekkert annað en að lifa og hrærast í stafrænni veröld. Þessar kynslóðir eru eðlilega læsari á tæknilegt umhverfi í samanburði við ömmu og afa, sem ekki ólust upp við internet né annað.“

Góðu ráðin

Anton segir mikilvægt fyrir alla í rekstri að huga að netvörnum og einhvers konar viðbragðsáætlunum.

Það gildi bæði um stærri og smærri fyrirtæki.

„Við erum reglulega fengin til að hakka okkur inn í fyrirtæki. Einfaldlega til þess að fyrirtæki átti sig á því hvar hætturnar hjá þeim liggja. Þá er árás frá okkur nýtt til að hjálpa til við að móta og innleiða varnir og viðbragðsáætlanir,“ segir Anton og bætir við:

Enginn býr þó svo vel að það sé hægt að girða fyrir reksturinn með einhverjum virkjum sem teljast svo örugg að engin hætta er á gíslatöku eða árás. Hjá öllum þarf netöryggi að vera viðvarandi verkefni.

 Svona stór og peningamikill iðnaður mun halda áfram að eflast og vaxa þannig að þótt öryggi aukist, aukast hætturnar samhliða. Hakkararnir einfaldlega verða betri og betri líka.“

Enn eitt atriðið er síðan þessu tengt, sem erfitt er viðureignar.

Og það er hið mannlega.

Staðreyndin er sú að þessi iðnaður er líka farinn að beita nýjum aðferðum. Mútum og ofbeldi. 

Tökum mútur sem dæmi. Ef þú ert starfsmaður hjá fyrirtæki, er kannski unnið að því í langan tíma að ná þér á þeirra band og þér síðan á endanum boðnar 300 milljónir króna fyrir að láta af hendi einhverjar öryggisupplýsingar. 

Síðan hverfur þú bara og flytur til útlanda, en það sem þú lést af hendi er nýtt fyrir stóra árás síðar.“

Það sama er líka með flóknari mannlegar leiðir sem glæpaheimurinn er að verða betri og betri í.

„Þeir geta til dæmis unnið að því að ná sambandi við börnin okkar. Þú færð kannski skilaboð frá barninu þínu eins og Hæ mamma og broskall, ég er í leik og var að fá sendan fjögurra stafa kóða sem þú þarft að senda mér. Nema að þegar þú síðan gerir það, er hakkari að brjótast inn í netbankann þinn.“

Á móti kemur segir Anton að öll þróun í netvörnum er líka að verða betri.

„Gervigreindin vaktar hegðunina okkar niður í smæstu atriði. Takturinn í því hvernig við sláum inn lykilorðin okkar eða hversu fast eða laust við ýtum á takkana eru allt atriði sem gervigreindin er fær um að meta. Ef síðan allt í einu einhver er að logga sig inn á þínum aðgangi en takturinn við auðkennið virðist allt öðruvísi, getur gervigreindin áttað sig á því að eflaust er einhver að reyna að brjótast inn,“ segir Anton og bætir við:

„Það sama er við um hvar við erum til dæmis. Ef þú situr heima hjá þér í tölvunni eina stundina en hálftíma síðar virðist þú vera komin til Singapore að logga þig inn í einhver kerfi, er ekki ólíklegt að einhver varúðarmerki komi upp.“

Að mati Antons munu netvarnir síst verða einfaldari til framtíðar enda líkur á að sá iðnaður sem skapast hefur í skipulögðum netglæpum muni frekar finna sér fleiri ný tækifæri til að eflast og stækka.

„Margt er samt mjög gott. Til dæmis eru þessir risar eins og Microsoft, Google og fleiri að efla netvarnir mjög mikið enda þeirra orðspor undir. Þetta hjálpar okkur hinum gífurlega enda hafa þeir bolmagn í að þróa netvarnir sem aðrir kannski hafa ekki. Fyrirtæki þurfa samt að átta sig á því að svo úthugsaðar eru hætturnar orðnar að það er ekki fyrir neinn almennan starfsmann að skilja til fulls hvar hætturnar liggja. Enda flest fólk í allt öðrum verkefnum en að sinna tæknimálum. Allir í rekstri ættu samt að huga að því hvernig netvarnir og viðbragðsáætlanir líta út hjá sér og það sama gildir um einstaklinga: Við þurfum öll að vera vel á verði.“