Hvernig á að bregðast við tölvuglæp?

Birt á Moggablogginu 24.5.2007 - Efnisflokkur: Upplýsingaöryggi, netöryggi og persónuvernd

Þessi spurning kom upp á ráðstefnu um upplýsingaöryggismál sem ég sótti sl. vetur.  Einn fyrirlesarinn lýsti því þegar hringt var í fyrirtæki hans eftir að klámvefur m.a. með barnaklámi uppgötvaðist á vef alþjóðlegs banka í ónefndu landi.  Einn starfsmaður bankans hafði sett upp klámvef á vefþjóni bankans og var hann opinn öllum.  Það voru að vísu engir tenglar á milli vefsvæðis bankans og klámvefsins og á vefnum kom hvergi fram hvar hann var hýstur.  IP-tölur voru það eina sem gátu tengt þetta tvennt saman.  Klámvefurinn hafði verið opinn í nokkurn tíma, jafnvel í 6 til 12 mánuði.  Hér var í veði orðspor bankans, sem gat orðið af milljarða viðskiptum ef þetta kæmist í hámæli, fyrir utan lögsóknir.  En hvað átti bankinn að gera?  Hvaða ráðgjöf átti ráðgjafinn að veita?  

Fyrir algjöra tilviljun var óvenjuhátt hlutfall ráðstefnugesta frá lögreglu hinna ýmsu landa og því spannst mjög fjörug umræða um málið.  Ráðgjafinn sagðist hafa mælst til þess að vefnum væri lokað umsvifalaust og svo haft samband við lögreglu.  Salurinn skiptist í tvær fylkingar við að heyra þetta.  Önnur fylkingin saman stóð af öryggisstjórum og eigendum fyrirtækja sem voru sammála, enda í húfi orðspor fyrirtækisins og ekkert annað skipti máli.  Í hinni voru lögregla og nokkrir ráðgjafar, sem sögðu að ekkert mætti gera fyrr en lögreglan kæmi á staðinn.  Og það er einmitt málið.  Það er með tölvuglæpi eins og aðra glæpi, að ekki má eiga við vettvang glæpsins.  Um leið og það er gert geta sönnunargögn tapast.  Það má varna því að hinn grunaði geti spillt vettvangi glæpsins eða hulið slóð sína, en það má ekki gera með því að loka aðgangi hins grunaða að tölvukerfinu.  Eina leiðin er að útiloka að hann komist í samband við tölvukerfið með því að fá hann í burtu frá öllum tölvum, t.d. setja hann í einangrun, kalla hann á fund eða láta hann erindast eitthvað, þar til lögreglan kemur á staðinn og getur hafið rannsókn á hinum meinta glæp.  Ef lokað hefði verið á aðgang utanaðkomandi aðila að klámvefnum, hefði hinn grunaði vel geta haldið því fram að þessi aðgangur hafi aldrei verið opinn.  Ef klámvefurinn hefði verið tekinn niður, hefði hinn grunaði átt auðvelt með að rökstyðja að vefurinn hafi aldrei verið virkur.  Ef aðgangi hins grunaða hefði verið lokað, þá hefði hann geta rökstutt að hann hefði aldrei haft aðgang að vefnum og því væri vefurinn honum óviðkomandi.  Jafnvel það að taka heildarafrit (ghosta) af þeim diskum, sem geyma vefinn með öllum stillingum og aðgangsstýringum, kemur ekki í staðinn fyrir þær sannanir sem lögreglan þarf til að hefja rannsókn málsins.

Um leið og lögreglan kemur á staðinn, er það hennar að ákveða viðbrögð.  Eftir að hún er búinn að safna þeim sönnunargögnum, sem hún telur nauðsynleg við rannsókn málsins, er fyrst hægt að loka vefnum eða aftengja tölvur.

Nei, bíddu við, segja vafalaust ýmsir.  Á að vera opinn aðgangur að barnaklámi í kannski marga klukkutíma meðan beðið er eftir því að lögreglan komi og rannsaki málið.  Já, þannig er það.  Það er enginn munur á tölvuglæp og öðrum glæpum að ekki má spilla sönnunargögnum.  Hvað hefði gerst, ef forstjóri fyrirtækisins hefði nú myrt einhvern á skrifstofunni sinni?  Hefði þá verið hringt í ráðgjafafyrirtæki úti í bæ til að bregðast við glæpnum?  Hefði líkið verið flutt úr stað, t.d. yfir á skrifstofu undirmanns, svo álitshnekkir fyrirtækisins hefði ekki verið eins mikill?  Að sjálfsögðu ekki (nema ætlunin hafi verið að hylma yfir með hinum seka).  Það er eins með tölvuglæpi.  Það fyrsta sem gera á, þegar eitthvað slíkt atvik uppgötvast sem rökstuddur grunur er um að teljist brot á lögum, er að tilkynna/kæra það til viðeigandi yfirvalda.  Grun um brot á hegningarlögum skal tilkynna/kæra til lögreglu.  Það eina sem starfsmenn fyrirtækisins, sem lendir í slíku atviki, mega gera er að fullvissa sig um að glæpur hafi verið framinn með uppflettingum eða fyrirspurnum í gagnasöfn, en þeir mega ekki breyta frumgögnum sem sýna að glæpurinn hafi átt sér stað.