Tölvumál - 01.07.2002, Side 11
Öryggismál
Öryggi eða óöryggi!
Valgerður H. Skúladóttir
Hver hefur lykil að
þínu fyrirtæki?
Það sem hins vegar
fer ákaflega hljótt og
þykir mikið feimnis-
mál, er þegar innbrot
í tölvukerfi eiga sér
stað. Annað slagið
heyrast fréttir erlendis
frá um innbrot í tölvu-
kerfi
Varasamt er að líta á
öryggi upplýsinga-
kerfa sem afmarkað
tæknilegt mál, er snýr
að eldveggjum og
virusvörnum
Öryggismál snúa ekki
eingöngu að innbrot-
um heldur greinast í
aðgangsöryggi og
rekstraröryggi
Umfjöllun um öryggismál tölvu-
kerfa er orðin mun algengari í
fjölmiðlum en áður var. Þó svo að
1 l.september tengist því ekki beint, þá
hefur sá atburður valdið því að almennt er
öll umræða um öryggismál á einhvem hátt
„vinsælli" ef svo má að orði komast.
Þá hefur aukinn vírusfaraldur, aðallega í
ýmis konar ormum ásamt árásum á tölvur
(e. Denial of Service Attacks, DOS) gert
marga meðvitaðri um öryggismál. Ástæð-
an er einföld, fórnarlömbin em fleiri en
eitt á sama tíma, auk þess sem viðvaranir
berast með ýmsum miðlum, t.d. hafa
fréttamiðlar veitt þessu athygli og þótt
fréttnæmt. Flestir hafa gert sér grein fyrir
að líkurnar fyrir vírussmitun tölvukerfa,
sem hafa samskipti út á við, eru talsvert
miklar í dag og fara vaxandi, ef ekki eru
til staðar rétt uppsettar vírusvamir.
Það sem hins vegar fer ákaflega hljótt
og þykir mikið feimnismál, er þegar inn-
brot í tölvukerfi eiga sér stað. Annað slag-
ið heyrast fréttir erlendis frá um innbrot í
tölvukerfi. Hér á íslandi er það nánast al-
ger undantekning að slfkt nái eyrum fjöl-
miðla. Samkvæmt heimildum Ríkislög-
reglustjóra eru u.þ.b. 2-3 lögreglumál á
ári hér á landi er tengjast innbrotum í
tölvukerfi, yfirleitt er þar um að ræða til-
felli þar sem einungis er gerð breyting á
heimasíðum. Það er því einungis toppur-
inn af ísjakanum sem verður opinber. Það
eru ýmsar ástæður fyrir því að fá tilfelli
eru tilkynnt, en ætla má að helstu ástæður
séu;
1. Almenn hræðsla um slæmt umtal fyrir-
tækisins út á við
2. Fyrirtækið áttar sig á að óskýrar reglur
gilda innandyra um þessi mál
3. Fyrirtækið veit ekki að brotist hefur
verið inn
4. Brotið er framið af núverandi eða fyr-
verandi starfsmanni
5. Flókið ferli, tímafrekt og kostnaðarsamt
að kæra
Samkvæmt erlendum könnunum stafa
u.þ.b. 70% af öllum öryggisbrotum í upp-
lýsingakerfum af mistökum, misskilningi
eða ásetningi starfsmanna innan fyrir-
tækja. Ekki þykir ástæða til að ætla að að-
stæður séu aðrar hér á landi. Af þessum
sökum má öllum vera ljóst, að varasamt er
að líta á öryggi upplýsingakerfa sem af-
markað tæknilegt mál, er snýr að eld-
veggjum og vírusvörnum. Að stórum
hluta byggir upplýsingaöryggi á samvirkni
ferla og reglubundinna verka, eins og t.d.
stýringu og utanumhaldi um notendur og
aðgengi þeirra að upplýsingakerfi fyrir-
tækis, þó ekki sé verið að gera lítið úr
utanaðkomandi ógnunum og gildi örygg-
isþátta er snúa að eldveggjum og víris-
vörnum.
Onæmiskerfi upplýsingakerfa, fær
þift kerfi „40° hita" þegar upp kemur
sýking?
Vert er að leiða hugann að samspili örygg-
is og þess sem allir stjórnendur og um-
sjónarmenn upplýsingakerfa hafa stöðugt í
huga - það að kerfið lifi af þegar, en ekki
ef, eitthvað kemur upp á. Hvort um sé að
ræða innbrot í kerfið, árásir eða bilanir.
Þetta er kallað „lífvænleiki“ kerfisins
(e. survivability) og byggir á samspili
þriggja þátta; viðnáms, skynjunar og bata
(e. resistance, recognition, recovery).
Öryggismál snúa ekki eingöngu að inn-
brotum heldur greinast í aðgangsöryggi og
rekstraröryggi. Vegna þess hve afleiðing-
ar geta orðið alvarlegar þegar upp koma
hnökrar í rekstri upplýsingakerfa, hefur at-
hyglin beinst meira að því að meta „líf-
vænleika“ kerfisins, sem mikilvægasta
skrefið í áhættustjómun upplýsingakerfa.
í stuttu máli sagt er „lífvænleiki“ kerfis
sá hæfileiki þess, að geta tekið til við að
sinna hlutverki sínu tímanlega, eftir t.d.
árásir eða bilanir. „Lífvænleiki" gengur
lengra en að líta einungis á öryggi og bil-
anaþol (e. fault tolerance) þegar litið er til
þeirra þjónustu sem kerfið keyrir. Áhersla
er lögð á að kerfið geti boðið mikilvægar
þjónustur og verndað mikilvægasta búnað
og rafrænar eignir fyrirtækisins. Viðnám
er hæfileiki kerfisins til að hindra árásir,
en skynjun er sá hæfileiki að skynja árásir
Tölvumál
11