Deildu með umheiminum pistill öryggi upplýsinga Svana Helen Björnsdóttir skrifar um öryggi upplýsinga, en brátt eru 25 ár síðan fundin var upp leið sem auðveldaði fólki að skiptast á skjölum á internetinu B rátt eru liðin 25 ár síðan Tim Berners-Lee hjá rannsóknarstofnuninni CERN í Genf fann upp leið sem einfaldaði mjög fyrir fólk að skiptast á skjölum yfir internetið. Veraldarvefurinn byggist á þessari tækni og hefur leitt til þjóðfélags- breytinga sem engan óraði fyrir og eru stundum settar í sama flokk og uppgötvun prentlistarinnar eða iðnbyltingin. Er þetta enda oft nefnt upplýsingabyltingin. Með henni eru dagleg samskipti heimshorna á milli orðin sjálfsagður hlutur, fólk sækir sér upplýsingar um gervalla jarðarkúluna þegar á þarf að halda og nýtur skemmtunar úr fjarlægum heims álfum. Byltingin hefur breytt miklu í lífi einstaklinga og fyrirtækja, flestu til batnaðar. Byltingum fylgja þó ávallt miður æskilegar hliðar- verkanir. Við Íslendingar urðum fyrir barðinu á einni slíkri um síðustu mánaðamót þegar misindismaður úr óvæntri átt réðst að vef Vodafone á Íslandi, stal þaðan viðkvæmum persónuupplýsingum og kom í almenna dreifingu. Fórnar- lömbin eru fyrirtækið Vodafone og viðskiptavinir þess en hagnaður glæpamannsins í raun eingöngu sá að geta barið sér á brjóst meðal sinna líka. Aðrir hafa skömm á athæfinu. Almenningur á Íslandi krefst í kjölfarið aukins öryggis og þess að svona atburðir gerist ekki aftur. Viðbrögð flestra ráðamanna voru í samræmi við reynslu og tengd starfs- umhverfi þeirra sjálfra. Þeir töldu svörin liggja í stjórnkerfinu, efla skyldi eftir- lit með upplýsinga öryggi sem flestra þjónustu fyrirtækja. Hér er fullyrt að slíkar ráðstafanir skila litlu. Aukið eftirlit getur ekki tekist á við svo umfangsmikið og flókið verkefni sem upplýsingaöryggi er. Það gerir lítið annað en að veita falska öryggiskennd. Þó að eftirlitsaðilar séu skipaðir hæfu og dugmiklu starfsfólki hafa þeir ekki roð við hinum flókna og síbreytilega heimi upplýsingaöryggisins. Sömu vandamálin er að finna hjá litlum þjóðum og stórum. Um- fang verkefnanna er það sama. En hjá smærri þjóðum eins og okkur Íslendingum er mannaflinn til að sinna þeim miklu minni. Kostir til sérhæfingar eru takmarkaðir og efni til að halda úti eftirlitsstofnunum eru mun lakari en meðal stærri þjóða. Hvernig er þá hægt að auka upplýsingaöryggi Íslendinga, fyrirtækja og almennings? Svarið felst í því að auka þekkingu og vitund og fylgja stöðlum um öryggi upplýsinga. Almenningur þarf að læra ábyrga hegðun á netinu, forðast gylliboð, fara ekki inn á vafasamar vefsíður og hafa virka vörn – eldvegg – í tölvum og/eða beini (e. router) sínum. Einnig þarf að hafa veiru- varnir í góðu horfi með viðurkenndum varnarhugbúnaði. Þráðlaus heimanet (WiFi) þarf að verja með WPA2-aðferðinni (Wireless Protected Access), ekki dugir að nota WEP. Mikil- væg lykilorð eins og þau sem notuð eru í heimabanka eiga að vera flókin og búin til úr há- og lágstöfum, tölum og táknum. Slík lykilorð ættu einnig að vera einstök, þ.e. fólk ætti að forðast að nota sama lykilorðið í heimabanka og á öðrum stöðum á netinu. Lykilorð þarf að geyma á öruggum stað og alls ekki hafa þau á glámbekk. Fyrirtæki sem fara með upplýsingar almennings og þau sem vilja sem mest upplýsingaöryggi þurfa að fylgja stöðlum um upplýsingaöryggi. Þeir eru nokkrir, en sá almennasti heitir ISO 27001 og er alþjóð legur mælikvarði á hlítingu við öryggis kröfur. Nokkur íslensk fyrirtæki eru vottuð um að fullnægja ISO 27001 staðlinum. Að fylgja slíkum staðli í einu og öllu getur ekki talist skemmtileg vinna, en er ómaksins vert. Setja þarf ýmiss konar reglur um umgengni og hegðun starfsmanna og fylgja löngum lista af öryggiskröfum. Beita þarf talsverðum aga til að ná markmiðum staðalsins. Ávinningur- inn er þó ótvírætt sá að öryggi upplýsinga sem fyrirtæki er ábyrgt fyrir stóreykst og æðstu stjórnendur þess njóta betri svefns. Samkvæmt staðlinum bera þeir ábyrgð á öryggi upplýsinganna og geta ekki vísað henni frá sér, á undirmenn sína eða verktaka. Í upplýsingaheiminum er ekkert til sem heitir algert öryggi – nema að vera ótengdur og fara þar með á mis við öll þau gæði sem í boði eru. Þeir tengdu geta hins vegar lágmarkað áhættuna með þeim aðferðum sem nefndar hafa verið. Stjórnvöld munu ekki ná tilætluðum árangri ef þau beina kröftum eða fjár- munum í meira eftirlit, heldur með því að stuðla að frekari menntun og upplýsingu á þessu sviði. Gott dæmi um jákvæða aðgerð stjórnvalda er uppsetning sérstaks viðbragðshóps, hins svonefnda CSIRT-hóps (Computer Security Incident Response Team), sem starfar undir umsjón Póst- og fjarskipta stofnunar. Hópurinn safnar upplýsingum um ógnir og kemur þeim á framfæri við rétta aðila. Hann hefur gott samstarf við sambærilega hópa í nágranna- löndunum. Að lokum skal bent á góða vefsíðu um upplýsingaöryggi, www.netoryggi.is, sem Póst- og fjarskiptastofnun heldur úti. Þar er að finna mörg heilræði sem stuðla að auknu upplýsingaöryggi. „Stjórnvöld munu ekki ná til ætluðum árangri ef þau beina kröftum eða fjármunum í meira eftir lit, heldur með því að stuðla að frekari menntun og upplýsingu á þessu sviði.“ um höFunDinn Svana Helen Björnsdóttir Svana Helen er rafmagns- verkfræðingur og sérfræðingur í tölvuöryggismálum og áhættustjórnun. 45/45 kjarninn piSTiLL „Aukið eftirlit getur ekki tekist á við svo umfangsmikið og flókið verkefni sem upplýsingaöryggi er. Það gerir lítið annað en að veita falska öryggiskennd.“

Blaðsíða 1
Blaðsíða 2
Blaðsíða 3
Blaðsíða 4
Blaðsíða 5
Blaðsíða 6
Blaðsíða 7
Blaðsíða 8
Blaðsíða 9
Blaðsíða 10
Blaðsíða 11
Blaðsíða 12
Blaðsíða 13
Blaðsíða 14
Blaðsíða 15
Blaðsíða 16
Blaðsíða 17
Blaðsíða 18
Blaðsíða 19
Blaðsíða 20
Blaðsíða 21
Blaðsíða 22
Blaðsíða 23
Blaðsíða 24
Blaðsíða 25
Blaðsíða 26
Blaðsíða 27
Blaðsíða 28
Blaðsíða 29
Blaðsíða 30
Blaðsíða 31
Blaðsíða 32
Blaðsíða 33
Blaðsíða 34
Blaðsíða 35
Blaðsíða 36
Blaðsíða 37
Blaðsíða 38
Blaðsíða 39
Blaðsíða 40
Blaðsíða 41
Blaðsíða 42
Blaðsíða 43
Blaðsíða 44
Blaðsíða 45
Blaðsíða 46
Blaðsíða 47
Blaðsíða 48
Blaðsíða 49
Blaðsíða 50
Blaðsíða 51
Blaðsíða 52
Blaðsíða 53
Blaðsíða 54
Blaðsíða 55
Blaðsíða 56
Blaðsíða 57
Blaðsíða 58
Blaðsíða 59
Blaðsíða 60
Blaðsíða 61
Blaðsíða 62
Blaðsíða 63
Blaðsíða 64
Blaðsíða 65
Blaðsíða 66
Blaðsíða 67
Blaðsíða 68
Blaðsíða 69
Blaðsíða 70
Blaðsíða 71
Blaðsíða 72
Blaðsíða 73
Blaðsíða 74
Blaðsíða 75
Blaðsíða 76
Blaðsíða 77
Blaðsíða 78
Blaðsíða 79