Upplýsingaöryggi/netöryggi

Færslan var fyrst birt á Moggabloggi höfundar 6.12.2013.

Innbrotið á vef Vodafone hefur heldur betur hrist upp í þjóðfélaginu.  Veitti svo sem ekki af.  Upplýsingaöryggismál hafa ekki beint verið í brennideplinum undanfarin ár fyrir utan góða umfjöllun Kastljóss fyrir um tveimur árum.  Nú var sem sagt þjóðin vakin upp af værum blundi, vegna þess að SMS-skilaboð komust í rangar hendur og hnýsni landans gekk út yfir allan þjófabálk.

Ef menn halda að þetta sé fyrsta stóra innbrotið sem framið hefur verið í íslensk upplýsingakerfi, þá verð ég að hryggja þá með að svo er ekki.  Fyrir ansi mörgum árum var t.d. komið fyrir njósnabúnaði í upplýsingakerfi verslunarfyrirtækis á landsbyggðinni sem varð þess valdandi að einhverjum þúsundum, ef ekki tugþúsunda greiðslukorta upplýsinga var stolið.  Minna varð úr því máli, en efni voru til án þess að verslunarfyrirtækið gæti þakkað sér þær endalyktir.  Fjallaði ég um þetta mál hér á blogginu á sínum tíma.

Þetta er heldur ekki alvarlegasta brotið, að minnsta kosti ekki að mínu mati.  Brotið sem ég vísa til að ofan var alvarlegra.  En þetta er kannski það sem vekur mesta athygli og óöryggi, vegna þess að fjarskiptafyrirtæki átti í hlut.

Ástæðan fyrir því að ég hóf að blogga í febrúar 2007 var að ég vildi fjalla um upplýsingaöryggismál.  Það er mitt sérsvið sem ég hef unnið við sem ábyrgðaraðili upplýsingakerfis, öryggisstjóri og nú síðustu 13 ár sem ráðgjafi.  Samhliða ráðgjöfinni hef ég flutt erindi um upplýsingaöryggismál, verði leiðbeinandi Staðlaráðs Íslands og með námskeið á eigin vegum.  Má því segja að ég hafi marga fjöruna sopið í þessum efnum.  Öryggisbloggin hafa þó aldrei vakið neina sérstaka athygli.  Vonandi verður breyting á því.

Er upplýsingaöryggi gott á Íslandi?

Fyrirtækjum og stofnunum má nánast skipta í tvo hópa hvað stöðu upplýsingaöryggis varðar.  Annar hópurinn er nokkuð vel settur varðandi upplýsingaöryggi/netöryggi, en hinn hópurinn er ekki í góðum málum.  Í fyrri hópnum eru bankarnir, stórir skólar, sum bæjarfélög, mörg stórfyrirtæki, lífeyrissjóðirnir og fjarskiptafyrirtækin.  (Við megum ekki segja allt í klessu hjá Vodafone, þó þetta innbrot hafi heppnast.  Það var einn angi öryggisins sem brást, en ekkert bendir til þess að veikleikar séu í öðrum þáttum öryggismála hjá fyrirtækinu.)

Þó þessi fyrri hópur sé alveg þokkalega settur, þá er ekki þar með sagt, að ekki sé hægt að brjóta varnir hans á bak aftur.  Allar varnir er hægt að rjúfa, spurningin er bara hvernig það verður gert, hvenær og hve mikill skaðinn verður þegar þar að kemur. 

Vandinn er að fæst íslensk fyrirtæki hafa burði í að halda aftur af óþokkunum.  Þeir eru mun fleiri en allir Íslendingar og eru með mjög fullkomið net sín á milli, þar sem þeir deila upplýsingum.  Ég er t.d. hissa á því hve fáir tóku þátt í árásinni á Vodafone, þó mér skilst á fréttum að eitthvað hafi fjölgað í hópnum, þegar á leið morguninn.  Þetta er einmitt einkenni netöryggisbresta, að fyrst finnur einn opnar dyr, montar sig af því í samskiptasvæði óþokkanna og svo fylgja allir á eftir.  Ég er t.d. alveg viss um, að hefði sá fyrsti komist í einhverjar feitari upplýsingar, en raunin varð (fyrir hann voru þetta einskis verðar upplýsingar), þá hefði hann í fyrsta lagi ekki montað sig af glæpnum og í öðru lagi hefði tjónið orðið mun dýrara.  Ekki það, að mig grunar að Vodafone sé ekki búið að bíta úr nálinni hvað fjárhagslegt tjón varðar.

Hvað er til ráða?

Nú starfa ég í Danmörku, er ráðgjafi Hewlett Packard um upplýsinga- og netöryggismál, auk þess að bera ábyrgð á þeirri þjónustu sem HP veitir stærsta fyrirtæki Danmerkur, A.P. Møller & Mærsk, á þessu sviði.  Án þess að ég tjái mig nokkuð um viðskiptavininn, þá fæ ég ekki betur séð en dönsk fyrirtæki eigi fullt í fangi með að halda óboðnum gestum úti.  Bara nýverið var stórum hluta kennitalna Dana stolið af upplýsingakerfi fyrirtækis.  (Í Danmörku eru kennitölur leyndarmál og því var þetta mjög alvarlegt.)

En til að sporna við svona glæpum og auka öryggi í netviðskiptum, þá nota Danir NemID kerfið.  Þetta kerfi er opið öllum til notkunar sem uppfylla skilyrði til að nota það.  Kerfið gerir einstaklingum og fyrirtækjum kleift að tengjast við sinn þjónustuaðila í gegn um öruggt samskiptaviðmót.  Skiptir þá ekki máli hvort það er skatturinn, sveitarfélagið, bankinn, símafélagið eða eitthvað annað, maður tengist í gegn um NemID viðmótið sem er þá hluti af innskráningarsíðu viðkomandi fyrirtækis.  Smellið hér til að sjá hverjir bjóða viðskiptavinum að skrá sig inn með NemID.

Hvers vegna ætli þetta hafi orðið niðurstaðan?  Líklegast vegna þess, að menn vildu hámarka öryggi innskráninga og þeirra upplýsinga sem liggja hjá þeim fyrirtækjum og stofnunum sem viðkomandi á í samskiptum við.  Á Íslandi var angi af þessu kerfi, þar til Samkeppniseftirlitið ákvað að þetta mætti ekki.  (Íslendingar þurfa alltaf að vera kaþólskari en páfinn.)  Þá er ég að tala um innskráningarkerfi bankanna, þar sem fólk gat (og getur sums staðar enn) notað auðkennislykil til að skrá sig inn.  Því er málum þannig fyrir komið, að hver og einn er að baksa í sínu horni við að þróa hina fullkomnu lausn.  Innskráningarferlið hjá Vodafone varðandi Mínar síður er dæmi um árangurinn af því.

Hvernig ætlum við, 320.000 manna þjóð, að hanna óteljandi fullkomnar lausnir svo Samkeppniseftirlitið verði ánægt?  Það er ekki hægt.  Fyrst Danir fara þá leið sem þeir völdu, 25 sinnum fleiri, hvers vegna ættum við ekki að gera slíkt hið sama.  Ég er svo sem ekki að mæla með því að allir hendi sínu innskráningarferli og hópist um nýtt, en víða eru öryggisgallar við innskráningu svo miklir að mikilvægt er að gera betrumbætur.

Staða netöryggis

Ég skipti þessu almennt ekki upp í þessa tvo flokka, netöryggi og upplýsingaöryggi, en þar sem sú hefði virðist hafa skapast á Íslandi, þá held ég mig við hana.

Ég vil leyfa mér að fullyrða, að aðeins örfá fyrirtæki á Íslandi hafa starfsmenn sem búa yfir þeirri tækniþekkingu að geta tryggt öryggi netkerfa.  Hlutfallslega held ég þó að þeir séu fleiri á Íslandi sem búa yfir slíkri þekkingu, en í flestum öðrum löndum heims.   Ég held líka að íslensk fyrirtæki búa almennt mjög vel hvað varðar netöryggisbúnað, þ.e. eldveggi, gáttir, vírusvarnir, innbrotavarnahugbúnað og þess háttar.  Fyrir þá sem skilja ekki þetta á okkar ástkæra, ylhýra, þá er ég að tala um Firewalls, Proxy Servers, Internet Browsing Gateways, IDS, IPS og þess háttar dót. (Tek það fram að ég er ekki tæknigaur og læt aðra um daglegan rekstur þessa búnaðar, þó ég beri ábyrgð.)

En til að búnaðurinn flotti virki við að halda leiðindagaurunum úti þarf gott skipulag, góða verkferla, góða verkþekkingu og gott eftirlit með þessum búnaði.  Það er hér sem potturinn er brotinn. Ekki er á valdi allra að standa í slíku.  Það er ekki nóg að skella bara upp eldvegg með IDS einingunni virkjaðri við hliðina á netþjóninum og halda að þá sé maður í fínu lagi.  Nei, það þarf sérfræðing sem fylgist með upplýsingastreymi á netinu um þekkta veikleika og veit því hvenær þarf að blástra búnaðinn, uppfæra hann, breyta reglum, skipta honum út og síðast en ekki síst kunna að bregðast við atvikum.  Síðan þarf ekki bara að vakta jaðarbúnaðinn, heldur þarf líka að vakta, blástra, uppfæra, skipta út og hafa eftirlit með ÖLLUM notendahugbúnaði. 

Vegna netkerfisins, sem ég ber ábyrgð á öryggismálum fyrir, þá berast okkur allt frá nokkur hundruð upp í fleiri þúsund ábendingar um veikleika í hverri viku! Það er kannski ekki svo svakalegt, þegar fleiri hundruð manns vinna við að vinna úr veikleikunum og geta síðan nýtt sér stuðning frá þeim aðilum innan HP sem eru sérhæfðir í að skanna í gegn um allan bunkann.  (Tekið skal fram að mér vitanlega ætlar HP ekki inn á Íslandsmarkað með þessa þjónustu, þannig að þetta er ekki sölukynning, hvað sem síðar kynni að gerast.) Aftur á móti getur þetta verið kerfisstjóra ofviða sem auk þess þarf að sjá um notendaþjónustu, uppsetningu búnaðar, tengingu kapla og hvað það nú er sem leggst á herðar viðkomandi.

Ég sá á visir.is bent á að útskrifaðir sérfræðingar í netöryggismálum væru "bara" nokkur hundruð meðan íslensk fyrirtæki væru 63.000 talsins.  Í mínum huga duga þessir nokkur hundruð alveg ágætlega, ef skipulagið, verkferlarnir, verkþekkingin og eftirlitið er í lagi.  Engin ástæða er til þess að vera með mörg þúsund sérfræðinga til að sjá um þessi mál.  (Öryggisdeildin sem ég stjórna vegna APMM telur innan við 30 manns fyrir netkerfi með 56.000 notendur í 180 löndum.  Síðan eru netstjórar, kerfisstjórar, gagnagrunnsstjórar, o.s.frv. sem sjá sín kerfi eftir ábendingu starfsmanna minna, sbr. að ofan.)  Nei, engin ástæða er til að mennta ofgnótt af fólki á þessu sviði.  Það þarf bara að nýta mannskapinn rétt.  Þeir sem eiga að tryggja netöryggið verða að hafa tíma til að sinna því starfi á sem bestan hátt eða hafa aðgang að sérfræðingi sem getur aðstoðað.

Við breytum ekki því liðna

Gagnvart Vodafone er skaðinn skeður og það sem þar gerðist ekki tekið til baka.  Fyrirtækið mun vonandi læra af þeim mistökum sem þar voru gerð, en mikilvægast er að AÐRIR læri líka af þeim.  Hingað til hef ég mest talað um tæknilega þætti, en vandinn liggur ekki síður í skipulagsþáttum.

Upplýsingaöryggisstaðallinn ISO 27001 og systurstaðall hans ISO 27002 eru þeir sem ég þori að fullyrða að eru mest notaðir, þegar kemur að innleiðingu stjórnkerfis upplýsingaöryggis.  Fjölmörg fyrirtæki hafa hlotið vottun gagnvart ISO 27001.  Krafa er gerð af FME gagnvart fjármálafyrirtækjum og PFS gagnvart fjarskiptafyrirtækjum, að þau innleiði öryggiskerfi sem byggir á ISO 27001.  Að ég best veit er ekki krafist vottunar, þó mörg fyrirtæki hafi farið þá leið.  Nú þarf að herða reglurnar.  Vottunin ein mun ekki lengur duga, heldur þarf að fara fram ítarlegt innra og ytra eftirlit sérhæfra aðila á framkvæmd öryggiskerfisins.  Tryggja þarf að þeir aðilar sem ætlast er til að vinni samkvæmt stöðlum sýni fram á að þeir uppfylli staðlana.  Slíkar úttektir eru ekki hlutverk eftirlitsstofnana, heldur óháðra aðila.  Oft er litið til tölvuendurskoðunarteyma endurskoðunarfyrirtækja.  Nú veit ég ekki hvort þær deildir séu nógu öflugar eða starfsmenn búi yfir réttri verkkunnáttu, en ef svo er ekki, þá verða framfarir í því eins og öðru.

Þetta kostar pening, segir örugglega einhver.  Já, alveg helling.  Hugsanlega nokkrar milljónir á ári fyrir þá stærstu, en á móti ætti kostnaðarsömum atvikum að fækka. Fyrir fjarskiptafyrirtæki sem veltir milljörðum á ári, þá skipta 10 m.kr. í svona úttektir ekki miklu máli (fyrir utan að ég efast um að kostnaðurinn sé svo mikill).  Næsta mótbára er að þetta taki svo mikinn tíma.  Já, þetta tekur kannski 15 daga á ári, þ.e. tíminn sem fer í mismunandi úttektir, en þessir 15 dagar dreifast á marga og sé vinnan skipulögð rétt, þá þarf ekki að trufla nema fáa starfsmenn og hvern í 30-60 mínútur fyrir hverja úttekt.  Hvað ætli það séu farnir margir klukkutímar í atvikið hjá Vodafone?

Það erfiða við öryggismál, er að menn líta oft á þau sem óþarfa kostnað.  Ástæðan er sú að það gerist aldrei neitt og því ekki þörf á eyða peningunum í þetta allt.  En af hverju ætli það sé að ekkert gerist?  Jú, vegna þess að peningunum í öryggismálin var vel varið!  Ég held ég geti alveg fullyrt, að hver króna sem varið er til öryggismál skilar sér margfalt til baka í minni kostnaði vegna atvika.  Auðvitað á samt að skipuleggja öryggismál af skynsemi og nauðsynlegt er að finna jafnvægið milli þess sem sett er í öryggismálin og áhættunnar sem tekin er.