Vinna eins og hakkarar en eftir skýrum reglum

„Við sérhæfum okkur í forvirkum öryggisaðgerðum og hermum aðferðir hakkara til að loka þessum öryggisveikleikum sem eru notaðir til árása,“ segir Jóhanna Vigdís Guðmundsdóttir framkvæmdastjóri viðskiptaþróunar og markaðsmála hjá Defend Iceland og meðstofnandi fyrirtækisins. 

Í tilkynningu um samvinnu við Landsbankann í gær kom fram að markmið Defend Iceland væri að skapa öruggara stafrænt samfélag. Að aukin þekking á tilvist og eðli öryggisveikleika í kerfum fyrirtækja og stofnana væri forsenda þess að ná markmiðinu, enda fjölgi netárásum hratt.

Jóhanna Vigdís segir að með þessu samstarfi séu nú allir íslensku bankarnir, auk Reiknistofu bankanna, komin í samstarf við Defend Iceland.

„Allt fjármálakerfið meira og minna er komið í samstarf við okkur,“ segir hún og að Defend Iceland hafi frá upphafi lagt áherslu á að styrkja innviði stofnanna og fyrirtækja. Þau leggi áherslu á það því flestum stórum árásum sé beint að þeim, til að veikja samfélagið.

„Við erum líka með þjónustuaðila bankanna og innan bankakerfisins. Það skiptir líka miklu máli því árásir eru líka gerðar í gegnum þjónustu þriðja aðila,“ segir Jóhanna Vigdís.

Orkumál og opinberi geirinn

Hún segir að auk fjármálakerfisins séu í viðskiptum við þau Landsvirkjun og Rarik og svo innan opinbera geirans til dæmis Landspítalinn.

„Við erum líka að leggja áherslu á orkumálin. Það eru krítísk fyrirtæki því það virkar ekkert ef við erum ekki með orku. Svo er það Landspítalinn. Við erum að fara að setja fókusinn á heilbrigðiskerfi líka. Þar liggja viðkvæmustu upplýsingar um einstaklinga sem til eru. Tilgangur slíkra árása er í fyrsta lagi að valda skaða, eyðileggja, taka niður kerfi. Þá eru það svona álagsárásir. Svo er að taka gögn í gíslingu og loka á aðgang fyrirtækisins að þeim,“ segir hún. Fyrirtæki séu þá krafin um greiðslu og jafnvel hótað að birta gögnin verði ekki af greiðslu.

„Í sumum tilvikum er bara gögnum stolið og þau birt opinberlega. Þetta eru random afleiðingar en afleiðingarnar fyrir okkur sem einstaklinga eru auðvitað katastrófískar ef svona gerist.“

Þekkt dæmi um það eru til dæmis þegar gögn fyrirtækisins Ashley Madison voru birt og innlent dæmi Vodafone lekinn þar sem SMS-um var lekið.

„Það eru þessir öryggisveikleikar sem við erum að finna og loka á. Við erum að nýta ákveðna tækni til þess sem felst í því að við erum að nota aðferðir hakkara til að finna þessa öryggisveikleika sem að þeir eru að leita að. Við erum að nota nýjustu aðferðirnar til að finna þessa veikleika, eins og þeir. En okkar markmið er að loka þeim á meðan þeirra markmið er að geta grætt á þeim.“

Hún segir hakkarahópa allskonar. Stundum sé um að ræða þjóðríki eins og Kína, Rússland, Norður-Kóreu eða Íran. Svo séu hópar og stórfyrirtæki sem vinni við þetta og séu rekin eins og venjuleg fyrirtæki.

Vilja finnu verstu veikleikana

Jóhanna Vigdís segir öryggisveikleikana geta verið margskonar. Allt frá því að vera léttvægir þar sem það er bara gott fyrir fyrirtæki að vita hvað er í gangi, svo geti veikleikarnir verið alvarlegir og það þýði að það þurfi að breyta og loka. Svo geti þeir verið krítískir og þá sé fyrirtækið „game over“.

„Þá geta þeir tæknilega séð rústað fyrirtækinu og tekið það niður. En það eru auðvitað veikleikarnir sem allir vilja finna.“

Hún segir afar jákvætt að fyrirtæki fari í forvirkar aðgerðir. Það sé ekki gott að vera aðeins á þeim stað þar sem er verið að bregðast við árásum.

„Eins og árásin á HR var mjög alvarleg. Sú alvarlegasta sem hefur verið gerð á Íslandi. En þar var verið að bregðast við. Það kostaði gríðarlegan pening,“ segir hún og að með forvirkum aðgerðum sé hægt að komast hjá því.

„Þeir eru alls staðar þessi öryggisveikleikar. Það er hundrað prósent þannig og það er bara spurning um að finna þá og vera á undan þeim sem hafa neikvæðari áform. Við fögnum því ótrúlega mikið að íslensk fyrirtæki og stofnanir hafi frumkvæði. Það er svo verðmætt fyrir okkur sem borgara. Hér er banki sem passar upp á að það sé ekki hægt að brjótast inn í sín gögn,“ segir hún og að með því að taka frumkvæði sé verið að taka þessi öryggismál alvarlega.

Efla netöryggi

Í tilkynningu um samvinnu Defend Iceland í gær sagði Arinbjörn Ólafsson, framkvæmdastjóri Upplýsingatæknisviðs Landsbankans að bankinn hefði lengi lagt áherslu á netöryggi.

„Okkur finnst áhugavert hvernig Defend Iceland ætlar að efla almenna umræðu um netöryggi og byggja upp mikilvæga þekkingu hjá netöryggissérfræðingum. Að fá tækifæri til að nálgast verkefni eins og hakkari, en fylgja um leið skýrum reglum, eykur kunnáttu og dýpkar skilning á netvörnum. Ef vel tekst til mun starf Defend Iceland efla netöryggi og þannig stuðla að farsælli framtíð.“

Theódór Ragnar Gíslason, stofnandi og framkvæmdastjóri Defend Iceland, sagði þeirra markmið að búa til öruggara stafrænt samfélag með forvirkum öryggisaðgerðum.

„Skipulögðum og alvarlegum netárásum á NATO-ríki fjölgar hratt. Samfélagslegir lykilinnviðir á borð við fjármálastofnanir eru þar sérstaklega undir og því bæði ánægjulegt og mikilvægt að stærstur hluti fjármálakerfis Íslands nýtir nú tækni okkar. Það er okkur sérstakt ánægjuefni að bjóða Landsbankann velkominn í ört vaxandi hóp viðskiptavina Defend Iceland.“