Stjórnun upplýsingaöryggis er snúin og rannsókn slíkra brota ennþá snúnari

Færslan var fyrst birt á Moggabloggi höfundar 21.1.2011. Efnisflokkur: Upplýsingaöryggi, netöryggi og persónuvernd

Ólíkt kollegum mínum, sem ræddu við Morgunblaðið, þá þori ég að koma fram undir nafni í uppfjöllun minni um meinta njósnatölvu í húsakynnum Alþingis.  Ég sendi raunar bréf á þinghóp Hreyfingarinnar í gærkvöldi, þar sem ég setti fram mínar vangaveltur um hvernig umrædd vél var notuð.  Hér koma þær í stórum dráttum:

Ég er sannfærður um að tölvan hafi verið notuð til þess að njósna um samskipti við ákveðna tölvu sem tengd var við sömu tengigrind og umrædd tölva.  Þetta var því hlerunarbúnaður en vélin var líklegast ekki sett upp til þess að sækja gögn af neti Alþingis.  Góðir fagmenn hafðu farið tiltölulega létt með að brjótast inn á kerfi Alþingis utanfrá hafi það verið tilgangurinn.  Vélin hefur verið sett upp líkt og kollegar mínir lýsa með sérstökum hugbúnaði, hugsanlega í vinnsluminni, en gæti líka hafa verið falinn á þeim hluta af diski tölvunnar sem ekki virðist vera í notkun.  Þetta er kunnugleg aðferð hjá þeim sem stunda það að stela kortaupplýsingum.  Hlutverk forritsins var líklegast að endurvarpa samskiptum við ákveðna tölvu, sem ég geri mér bara í hugarlund hver er, til þess aðila sem setti upp "njósnatölvuna".  Þetta er aftur þekkt aðferð og hefur náð mikilli útbreiðslu meðal hakkara sem eru að stela kortaupplýsingum.  Hvort við köllum þetta "man-in-the-middle" árás eða dulgervingu skiptir ekki máli.  Niðurstaðan er sú sama.  Ástæðan fyrir því að net Alþingis tekur ekki eftir þeirri umferð sem kemur frá tölvunni er að hún er dulgerð sem umferð frá upprunalegu tölvunni og á sér stað meðan sú tölva er tengd við netið.

Ég sé fyrir mér að að tilgangurinn hafi verið að hlera öll samskipti við þessa tilteknu tölvu.  Dulkóðuð eða ekki skiptir ekki máli, þar sem ég er sannfærður um að sá sem setti tölvunar upp hafi haft allan þann búnað sem þurfti til afkóða þau samskipti.  Auk þess fylgja hverjum samskiptapakka alls konar upplýsingar sem veita upplýsingar um tölvu ætlaðs móttakanda.

Það er greinilegt að ansi margt hefur farið úrskeiðis.  Flest af því byggir hreinlega á grandvaraleysi Alþingis, þ.e. svona atvik var ekki talið til þeirra ógna sem þörf væri að bregðast við.  Ég ætla ekki að ásaka menn um sofandahátt, þar sem 100% öryggi er ekki til og maður lærir í þessu starfi svo lengi sem maður lifir.  Um leið og búið er girða fyrir eina ógn eða útiloka einn veikleika í kerfum, þá poppar upp nýtt atriði.  Eins og ég segi í fyrirsögninni, þá er stjórnun upplýsingaöryggis snúin og þess vegna hafa ég og kollegar mínir sérhæft okkur í þessu.  Okkar hlutverk er að stærstum hluta að miðla af reynslu okkar og þekkingarbrunni um leið og við veitum fyrirtækjum leiðsögn um uppsetningu og starfrækslu stjórnkerfis upplýsingaöryggis, hvers tilgangur er að draga úr líkum á atvikum.

Ýmislegt fór úrskeiðis í undanfara atviksins, en stærstu mistökin voru gerð eftir að það uppgötvaðist.  Ef þetta hefði verið lík sem fannst í herberginu, þá hefði ekkert vafist fyrir starfsmönnum Alþingis að kalla á lögregluna.  Málið er, að sé grunur um lögbrot, þá mega menn ekki eyðileggja vettvang glæpsins.  Um leið og það er gert, er lögreglunni gert erfiðara fyrir.  Rétt viðbrögð eru því að láta hina grunsamlegu tölvu eiga sig og kalla til lögreglu.  Fylgja síðan leiðsögn lögreglunnar varðandi hvað má gera til að treysta öryggi annarra tölva og þar með upplýsingakerfa í heild.  Kannski túlkuðu starfsmenn Alþingis þetta ekki sem glæp, heldur bara mistök, og verður að virða viðbrögð þeirra í því ljósi.

Hafa skal í huga, að lögreglan ein er til þess bær að rannsaka vettvang glæps.  Eigi sönnunargögn að vera gild fyrir dómi, þá þurfa þau að uppfylla ákveðna formfestu.  Þrjóti tækniþekking lögreglunnar, þá er það hennar hlutverk að kalla til sérfræðinga sér til aðstoðar.  Starfsmenn þess aðila sem glæpurinn beinist gegn, geta ekki sinnt þeirri sérfræðiþekkingu nema undir vökulu auga lögreglunnar.  Hafa verður í huga, að 80-90% allra tölvuglæpa eru framdir af innanbúðarfólki.

Svo við höfum það á hreinu: 

Að eins eru til ein rétt viðbrögð, þegar svona glæpur uppgötvast.

1)  Verja vettvang glæpsins svo hann spillist ekki. 

2) Kalla til lögreglu.

Öll önnur viðbrögð geta spillt sönnunargögnum og komið í veg fyrir að hægt sé að upplýsa glæpinn.

--

Ég hef yfir 18 ára reynslu við stjórnun upplýsingaöryggis og hef undanfarin tæp 8 ár rekið mína eigin ráðgjafaþjónustu á því sviði auk þess að veita ráðgjöf um áhættustjórnun og stjórnun rekstrarsamfellu.  Nánari upplýsingar um þá þjónustu sem ráðgjafaþjónusta mín býður upp á er að finna á vef rekstrarins www.betriakvordun.is.


Færslan var skrifuð við fréttina:  Mögulegt að komast í tölvupósta