Útbreiðsla vírusa, landfræðileg lega Íslands og landlægt kæruleysi - Vírusvörn í jólapakkann?

Færslan var fyrst birt á Moggabloggi höfundar 17.12.2011. Efnisflokkur: Upplýsingaöryggi, netöryggi og persónuvernd.

Áhugaverð frétt um útbreiðslu tölvuvírusa er á forsíðu Fréttablaðsins í dag, en þar segir:  "Tugir þúsunda tölva sýktar".  Í fréttinni, sem einnig má lesa hér, segir að samkvæmt rannsókn "sem unnin var við tækniháskólann í Delft í Hollandi", þá sé Ísland "í sjötta sæti yfir þau lönd þar sem hlutfall af smituðum tölvum er hæst".

Áður en lengra er haldið, er rétt að taka fram að ég hef lifibrauð mitt af því að aðstoða fyrirtæki við að efla upplýsingaöryggi sitt.  Hef ég meira og minna fengist við þessi mál síðustu 19 ár og sjö mánuðum betur.  Rek ég mína eigin ráðgjafaþjónustu, Betri ákvörðun ráðgjafaþjónustu Marinós G. Njálssonar, en nafnið vísar til þess að ég byrjaði á veita ákvörðunarráðgjöf áður en ég fór inn í upplýsingaöryggi og skyld málefni.  Þó er rétt að benda á, að áhættustjórnun byggir meira og minna á sömu atriðum og góð ákvörðunartaka.

Ég ætla ekki að deila um það, að margar tölvur séu sýktar hér á landi, en mér þætti fróðlegt að sjá þessar niðurstöður þeirra í Delft.  Leit á netinu bar ekki árangur, þannig að hafi einhver tengil á niðurstöður rannsóknarinnar, þá þætti mér vænt um, ef sá hinn sami gæti lagt mér hann til.

Ég efast stórlega um að Ísland sé í sjötta sæti í heiminum, þó miðað sé við hlutfall.  Tölur undanfarinna ára, sem birta hafa verið á ráðstefnum og fundum sem ég hef sótt, benda til þess að flest lönd Austur-Evrópu komi á undan okkur á þessum lista og síðan mörg lönd Suð-austur Asíu.  Ísland er þó líklega í þessari stöðu meðal landa innan OECD. 

En segjum að þetta sé rétt.  Þá er veruleg ástæða til að velta því fyrir sér hvers vegna staðan er svona.  Helsta ástæðan er hátt hlutfall sjóræningjaforrita, ólöglegt niðurhal efnis og tíminn sem fólk eyðir á netinu.  Allt eykur þetta hættuna á því að tölvan sýkist.  Einhverra hluta vegna sparar fólk líka við sig vírusvörnina.  Er það raunar með öllu óskiljanlegt, þar sem hægt er að kaupa vírusvarnir fyrir örfá þúsund.  T.d. kostar Lykla-Pétur kr. 4.900 fyrsta árið og kr. 2.900 eftir það og leyfið gildir fyrir allt að 5 tölvur á heimilinu.  Sams konar kjör eru í boði hjá flestum öðrum fyrirtækjum.  Allar foruppsettar tölvur koma með vírusvörn uppsettri með leyfi til nokkurra mánaða.  Endurnýjun á þeim leyfum er almennt ódýr, þ.e. hleypur á einhverjum þúsund köllum, sem er langt innan við kostað fyrir mús eða lyklaborð að ég tali nú ekki um verð á leik.  Er því ekki tilvalið að láta vírusvörn í einn jólapakka tölvueigandans þessi jólin!

Landfræðileg lega Íslands

Ein klausa í fréttinni er svo kostuleg, að ég verð að fjalla um hana:

[Jón Kirstinn Ragnarsson, sérfræðingur í upplýsingatækni hjá Deloitte] bendir á að mat hollensku sérfræðinganna sé trúlega fremur varfærið og það séu sannarlega alvarlegar fréttir að svo hátt hlutfall íslenskra tölva sé sýkt. Hingað til hafi mátt búast við að takmörk á netumferð til landsins í gegnum sæstrengi gæti verndað landið að einhverju leyti fyrir álagsárásum á vefsíður. Séu svo margar tölvur sýktar hér á landi sé lítið hald í þeim vörnum.

Maður verður eiginlega kjaftstopp, þegar maður les svona lagað.  ÖLL lönd í heiminum eru tengd um samskiptarásir, þar sem um hverja rás fer takmörkuð umferð.  Luxemborg er t.d. tengt við Belgíu, Þýskaland og Frakkland um ljósleiðarakapla og liggja þeirra margir hlið við hlið í sama skurðinum.  Í einhverjum tilfellum liggur kapall um Luxemborg frá Frakklandi til Þýskalands án annarrar viðkomu í Luxemborg en til að styrkja merkið.  Engin ástæða er að ætla að sú bandbreidd sem fer til Luxemborgar sé meiri eða minni en sú sem fer til Íslands.  Eini munurinn er fjarlægðin.

Í mínu starfi hef ég fengið upplýsingar um, að nettenging Íslands við umheiminn sé betri en t.d. Ástralíu og Nýja Sjálands.  Fjölmörg mun fjölmennari ríki um allan heim eru verr tengd en Ísland, enda skiptir það ekki máli.  Tölvuþrjótar eru ekkert að velta fyrir sér hvort samskiptarásin fari um sjó eða ekki, sé 10 Gbitar eða 10 Tbitar.  Þeir vinna á IP-tölum og þær bera engin auðkenni flutningslínunnar.  Sé eitthvað sem ætti að verja okkur er hve fáar IP-tölur eru skráðar hér á landi.  Hins vegar vinna gegn okkur heimsóknir íslenskra IP-talna á sjóræningjasíður, niðurhal á ólöglegu efni, að ég tali nú ekki um upphal á ólöglegu efni.  Íslenskar sjóræningjasíður, sem vistaðar eru erlendis, geta hugsanlega komið í veg fyrir að íslensk yfirvöld geti stöðvað þær, en í staðinn aukast líkurnar á því að tölvuþrjótar geti smeygt sér inn í samskiptin.

Landlægt kæruleysi

Okkar helsti óvinur er hið landlæga kæruleysi okkar gagnvart upplýsingaöryggi.  Mjög fá fyrirtæki hugsa á skipulegan hátt um upplýsingaöryggi og enn færri fara alla leið og fá vottun.  Ástæðan fyrir því að ganga ekki alla leið til vottunar er ekki bara kæruleysi heldur líka kostnaður.

Miklu skiptir, þegar sótt er um vottun sem gilda skal um allan heim að til verksins sé fenginn aðili með faggildingu.  Hér á landi er enginn slíkur aðili, en samkvæmt upplýsingum á síðu Vottunar hf., þá er fyrirtækið að vinna að því að fá faggildingu.  Vilji íslensk fyrirtæki fá vottun faggildra vottunaraðila verða þau því að leita til erlendra fyrirtækja (sem sum hafa starfsemi hér á landi).  Kostnaðurinn af því að fá erlenda aðila hefur vaxið mörgum í augum og hafa menn því kosið að láta duga að innleiða stjórnkerfi upplýsingaöryggis.  Er hægt að líkja því við að sitja í námi án þess að taka próf. 

Að minnsta kosti á annan tug fyrirtækja hafa fengið vottun samkvæmt staðlinum ISO/IEC 27001.  Á síðu BSI (Bristish Standards Institution) má sjá að 14 íslensk fyrirtæki hafa fengið vottun hjá þeim vegna ISO/IEC 27001 og einhver fyrirtæki eru vottuð í gegn um DNV í Noregi.  Hef ég m.a. leitt fyrirtæki í gegn um vottun hjá báðum þessum aðilum, þ.e. VALITOR hjá BSI og Íslenska getspá/Íslenskar getraunir hjá DNV, auk þess sem ÍG fékk um leið vottun vegna World Lotto Association Security Control Standard.

Fyrirtækin sem eru á lista hjá BSI eru:  Betware á Íslandi, upplýsingatæknisvið Reykjavíkurborgar, Landsbankinn hf., upplýsingatæknisvið Landspítala háskólasjúkrahúss, upplýsingatæknisvið Landsvirkjunar, Nýherji (að hluta), Orkuveita Reykjavíkur, SecurStore ehf. (bæði hér á landi og í Bretlandi), Skýrr (vegna starfsemi EJS), Stiki ehf., Þekking hf., Þjóðskrá Íslands (var upphaflega fengin vegna Fasteignamat ríkisins), Tryggingamiðstöðin hf. (dekkar allar starfsstöðvar og dótturfyrirtæki) og VALITOR hf.  Upplýsingar um umfang stjórnkerfa sem falla undir vottun eru fengnar af síðu BSI.

Vonandi mun listinn yfir vottuð fyrirtæki lengjast á næstu árum.  Veit ég af mörgum sem sett hafa stefnuna á vottun og er það alltaf fyrsta skrefið.  Hvort það takist innan settra tímamarka er ekki  aðalmálið því stærsta skrefið í átt til betra öryggis er að vera meðvitaður um að bæta þurfi öryggið.