Deildu með umheiminum pistill öryggi upplýsinga Svana Helen Björnsdóttir skrifar um öryggi upplýsinga, en brátt eru 25 ár síðan fundin var upp leið sem auðveldaði fólki að skiptast á skjölum á internetinu B rátt eru liðin 25 ár síðan Tim Berners-Lee hjá rannsóknarstofnuninni CERN í Genf fann upp leið sem einfaldaði mjög fyrir fólk að skiptast á skjölum yfir internetið. Veraldarvefurinn byggist á þessari tækni og hefur leitt til þjóðfélags- breytinga sem engan óraði fyrir og eru stundum settar í sama flokk og uppgötvun prentlistarinnar eða iðnbyltingin. Er þetta enda oft nefnt upplýsingabyltingin. Með henni eru dagleg samskipti heimshorna á milli orðin sjálfsagður hlutur, fólk sækir sér upplýsingar um gervalla jarðarkúluna þegar á þarf að halda og nýtur skemmtunar úr fjarlægum heims álfum. Byltingin hefur breytt miklu í lífi einstaklinga og fyrirtækja, flestu til batnaðar. Byltingum fylgja þó ávallt miður æskilegar hliðar- verkanir. Við Íslendingar urðum fyrir barðinu á einni slíkri um síðustu mánaðamót þegar misindismaður úr óvæntri átt réðst að vef Vodafone á Íslandi, stal þaðan viðkvæmum persónuupplýsingum og kom í almenna dreifingu. Fórnar- lömbin eru fyrirtækið Vodafone og viðskiptavinir þess en hagnaður glæpamannsins í raun eingöngu sá að geta barið sér á brjóst meðal sinna líka. Aðrir hafa skömm á athæfinu. Almenningur á Íslandi krefst í kjölfarið aukins öryggis og þess að svona atburðir gerist ekki aftur. Viðbrögð flestra ráðamanna voru í samræmi við reynslu og tengd starfs- umhverfi þeirra sjálfra. Þeir töldu svörin liggja í stjórnkerfinu, efla skyldi eftir- lit með upplýsinga öryggi sem flestra þjónustu fyrirtækja. Hér er fullyrt að slíkar ráðstafanir skila litlu. Aukið eftirlit getur ekki tekist á við svo umfangsmikið og flókið verkefni sem upplýsingaöryggi er. Það gerir lítið annað en að veita falska öryggiskennd. Þó að eftirlitsaðilar séu skipaðir hæfu og dugmiklu starfsfólki hafa þeir ekki roð við hinum flókna og síbreytilega heimi upplýsingaöryggisins. Sömu vandamálin er að finna hjá litlum þjóðum og stórum. Um- fang verkefnanna er það sama. En hjá smærri þjóðum eins og okkur Íslendingum er mannaflinn til að sinna þeim miklu minni. Kostir til sérhæfingar eru takmarkaðir og efni til að halda úti eftirlitsstofnunum eru mun lakari en meðal stærri þjóða. Hvernig er þá hægt að auka upplýsingaöryggi Íslendinga, fyrirtækja og almennings? Svarið felst í því að auka þekkingu og vitund og fylgja stöðlum um öryggi upplýsinga. Almenningur þarf að læra ábyrga hegðun á netinu, forðast gylliboð, fara ekki inn á vafasamar vefsíður og hafa virka vörn – eldvegg – í tölvum og/eða beini (e. router) sínum. Einnig þarf að hafa veiru- varnir í góðu horfi með viðurkenndum varnarhugbúnaði. Þráðlaus heimanet (WiFi) þarf að verja með WPA2-aðferðinni (Wireless Protected Access), ekki dugir að nota WEP. Mikil- væg lykilorð eins og þau sem notuð eru í heimabanka eiga að vera flókin og búin til úr há- og lágstöfum, tölum og táknum. Slík lykilorð ættu einnig að vera einstök, þ.e. fólk ætti að forðast að nota sama lykilorðið í heimabanka og á öðrum stöðum á netinu. Lykilorð þarf að geyma á öruggum stað og alls ekki hafa þau á glámbekk. Fyrirtæki sem fara með upplýsingar almennings og þau sem vilja sem mest upplýsingaöryggi þurfa að fylgja stöðlum um upplýsingaöryggi. Þeir eru nokkrir, en sá almennasti heitir ISO 27001 og er alþjóð legur mælikvarði á hlítingu við öryggis kröfur. Nokkur íslensk fyrirtæki eru vottuð um að fullnægja ISO 27001 staðlinum. Að fylgja slíkum staðli í einu og öllu getur ekki talist skemmtileg vinna, en er ómaksins vert. Setja þarf ýmiss konar reglur um umgengni og hegðun starfsmanna og fylgja löngum lista af öryggiskröfum. Beita þarf talsverðum aga til að ná markmiðum staðalsins. Ávinningur- inn er þó ótvírætt sá að öryggi upplýsinga sem fyrirtæki er ábyrgt fyrir stóreykst og æðstu stjórnendur þess njóta betri svefns. Samkvæmt staðlinum bera þeir ábyrgð á öryggi upplýsinganna og geta ekki vísað henni frá sér, á undirmenn sína eða verktaka. Í upplýsingaheiminum er ekkert til sem heitir algert öryggi – nema að vera ótengdur og fara þar með á mis við öll þau gæði sem í boði eru. Þeir tengdu geta hins vegar lágmarkað áhættuna með þeim aðferðum sem nefndar hafa verið. Stjórnvöld munu ekki ná tilætluðum árangri ef þau beina kröftum eða fjár- munum í meira eftirlit, heldur með því að stuðla að frekari menntun og upplýsingu á þessu sviði. Gott dæmi um jákvæða aðgerð stjórnvalda er uppsetning sérstaks viðbragðshóps, hins svonefnda CSIRT-hóps (Computer Security Incident Response Team), sem starfar undir umsjón Póst- og fjarskipta stofnunar. Hópurinn safnar upplýsingum um ógnir og kemur þeim á framfæri við rétta aðila. Hann hefur gott samstarf við sambærilega hópa í nágranna- löndunum. Að lokum skal bent á góða vefsíðu um upplýsingaöryggi, www.netoryggi.is, sem Póst- og fjarskiptastofnun heldur úti. Þar er að finna mörg heilræði sem stuðla að auknu upplýsingaöryggi. „Stjórnvöld munu ekki ná til ætluðum árangri ef þau beina kröftum eða fjármunum í meira eftir lit, heldur með því að stuðla að frekari menntun og upplýsingu á þessu sviði.“ um höFunDinn Svana Helen Björnsdóttir Svana Helen er rafmagns- verkfræðingur og sérfræðingur í tölvuöryggismálum og áhættustjórnun. 45/45 kjarninn piSTiLL „Aukið eftirlit getur ekki tekist á við svo umfangsmikið og flókið verkefni sem upplýsingaöryggi er. Það gerir lítið annað en að veita falska öryggiskennd.“

Síða 1
Síða 2
Síða 3
Síða 4
Síða 5
Síða 6
Síða 7
Síða 8
Síða 9
Síða 10
Síða 11
Síða 12
Síða 13
Síða 14
Síða 15
Síða 16
Síða 17
Síða 18
Síða 19
Síða 20
Síða 21
Síða 22
Síða 23
Síða 24
Síða 25
Síða 26
Síða 27
Síða 28
Síða 29
Síða 30
Síða 31
Síða 32
Síða 33
Síða 34
Síða 35
Síða 36
Síða 37
Síða 38
Síða 39
Síða 40
Síða 41
Síða 42
Síða 43
Síða 44
Síða 45
Síða 46
Síða 47
Síða 48
Síða 49
Síða 50
Síða 51
Síða 52
Síða 53
Síða 54
Síða 55
Síða 56
Síða 57
Síða 58
Síða 59
Síða 60
Síða 61
Síða 62
Síða 63
Síða 64
Síða 65
Síða 66
Síða 67
Síða 68
Síða 69
Síða 70
Síða 71
Síða 72
Síða 73
Síða 74
Síða 75
Síða 76
Síða 77
Síða 78
Síða 79