2. mars 2013 LAUGARDAGUR| HELGIN | 32 Tölvuógnir hafa verið áber-andi í umræðunni síðustu mánuði, eftir að upp komst um árásir á bandarísku miðlana New York Times og Wall Street Journal. Einnig vakti athygli úttekt ráðgjafafyr- irtækisins Mandiant á meintri þátttöku kínverskra stjórnvalda í skipulögðum árásum. Ógnir af þessu tagi hafa stór- aukist síðustu ár og er talið lík- legt að stríð framtíðarinnar muni að einhverju leyti fara fram með tölvuhernaði. Það er staðreynd sem er í aukn- um mæli að renna upp fyrir fyrir- tækjum, ríkjum og fjölþjóðastofn- unum, en óljóst er hvernig þetta svið mun mótast á komandi árum. Mikill vöxtur síðustu ár Tölvuhakkarar hafa látið til sín taka allt frá áttunda áratugnum, en framan af höfðu aðgerðir þeirra takmarkaðar afleiðingar. Það var ekki fyrr en internetvæð- ingin hófst fyrir alvöru, á tíunda áratugnum, sem óværur af öllum gerðum fóru að dreifast um netið. Síðan hefur fjöldi þessara forrita um það bil tvöfaldast á hverju ári þannig að nú eru þekktar um 200 milljónir slíkra og um 100 þúsund slíkir bætast við á degi hverjum. Hugsanlegum fórnarlömbum eða ginningarfíflum hefur líka fjölgað mikið þar sem nettengdar tölvur í heiminum eru nú tæpur milljarður, og eru þá tæki eins og farsímar og spjaldtölvur ótalin. Margvíslegar aðferðir eru not- aðar við tölvuárásir, meðal annars vírusar, ormar sem dreifa sér á milli tölva og svokallaðir Tróju- hestar sem geta opnað fyrir aðgang utanaðkomandi að tölvum og kerfum. Þeim er til dæmis dreift með ruslpósti og hlekkjum og forritum á vefsíðum. Tilgangurinn er líka margvís- legur, allt frá því að um sé að ræða unglinga sem eru að prófa getu sína og glæpasamtök sem starfa í ágóðaskyni upp í ríkisstjórnir sem vinna að pólitískum hagsmunamál- um og hópa aðgerðarsinna sem starfa á grundvelli ákveðinnar hugmyndafræði. Mikil gróðavon Eins og stendur eru flestar óvær- ur settar fram í ágóðaskyni. Tölvu- þrjótar reyna að komast að upplýs- ingum um bankareikninga fólks eða fá það beinlínis til að senda peninga með einhverjum ráðum, til dæmis með gylliboðum. Þá hafa glæpasamtök, meðal annars í Rússlandi, náð að sýkja mikinn fjölda tölva um allan heim þannig að þau geta náð stjórn á þeim í misjöfnum tilgangi, og selja aðgang að þeim. Loks hefur þessum aðferð- um verið beitt óspart í iðnaðar- njósnum. Tölvuárásir og pólitík Fyrir utan allt það fjártjón og ónæði sem tölvuárásir geta valdið eru enn veigameiri atriði í húfi og leggja ríki nú mesta áherslu á að standa vörð um innviði samfélag- anna; fjarskiptakerfi, orkudreif- ingu og samgöngur. Ríkin eru þó ekki bara þolend- ur í tölvuárásum, heldur hafa þau í auknum mæli verið gerendur í þessum efnum. Fyrrnefnd skýrsla um aðkomu kínverskra stjórnvalda að tölvu- glæpum og árásum hefur vakið mikla athygli, en kínversk yfirvöld hafa þvertekið fyrir að standa í slíku. Kínverski herinn hafi aldrei stutt við starfsemi tölvuhakkara. Þvert á móti verði Kínverjar fyrir stöðugum árásum tölvuþrjóta, sem væru margir frá Bandaríkj- unum. Þeir segjast vera heils hugar fylgjandi meiri samvinnu á alþjóðavettvangi. Bandaríkjamenn hafa hins vegar ekki alveg hreinan skjöld í þessum málum þar sem þeir hafa um árabil beitt slíkum meðul- um. Nú liggur fyrir að bandarísk stjórnvöld hafa, í samvinnu við Ísrael, um árabil notað tölvuorm- inn Stuxnet til að skemma fyrir kjarnorkuáætlun Írans. Honum var smyglað inn í kjarn- orkuverin þar sem verið var að auðga úran, en ríkin tvö hafa miklar áhyggjur af því að tilgang- ur Írana sé að komast yfir úran sem hægt er að nota í kjarnorku- vopn. Þegar ormurinn hafði tekið sér bólfestu þar, skemmdi hann þeytivindur sem notaðar eru til úran-auðgunar. Erfitt að ná til gerenda Gerendur í tölvuglæpum þurfa sjaldnast að taka afleiðingum gerða sinna og býr þar margt að baki. Bæði fela þeir jafnan spor sín afar vel og nýta tölvur grun- lausra tölvueigenda út um allan heim, þannig að illmögulegt er að finna uppruna aðgerðar eða árás- ar. Svo er lagaumhverfið líka afar óljóst þar sem engin samræmd alþjóðleg löggjöf er til staðar. Ef svo ólíklega vildi til að órækar sannanir fengjust gegn einstak- lingi og stjórnvöld í hans heima- landi myndu framselja hann, væri hins vegar óvissa um lög hvaða lands gilda. Væri það hans heima- land, eða landið þar sem afleiðing- arnar komu fram? Samvinna er lykilatriði Á meðan tölvuþrjótar mynda oft hópa og deila gjarnan upplýsing- um er lítið samræmi í viðbúnaði og viðbrögðum ríkja eða stofnana þrátt fyrir yfirlýsingar um mikil- vægi slíks samstarfs. NATO markaði til dæmis stefnu um tölvuvarnir árið 2011 þar sem hvatt er til samræmdra varna aðildarríkja. Einnig var stefna bandalagsins í tölvuvörnum skýrð og gerð miðlægari með stofnun NCIA sem hefur yfirumsjón með vörnum allra undirstofnana þess. NATO getur hins vegar ekki skyldað aðildarríki sín til þess að uppfylla ákveðnar kröfur, sem sést meðal annars á því að ein- ungis helmingur aðildarþjóðanna 28 hefur markað sér formlega net- öryggisstefnu og er Ísland ekki þar á meðal. Allsherjar tölvuárás á aðildar- ríki bandalagsins gæti hins vegar fallið undir fimmtu grein NATO- sáttmálans, sem kveður á um að árás á eitt aðildarríki flokkist sem árás á þau öll. Á móti kemur að engin einhlít skilgreining er til um hvers konar árás myndi kalla á slík viðbrögð, og að sögn heim- ildarmanna Fréttablaðsins innan NATO mun ekki koma til þess að bandalagið standi fyrir annars konar aðgerðum en að verja net- kerfi bandalagsins sjálfs. Það er almennt viðurkennt að ekkert ríki getur tryggt öryggi sitt gegn tölvuógnum upp á eigin spýt- ur þannig að það hlýtur því að vera verkefni ríkja á komandi mánuð- um og árum að samræma lagaum- hverfi á alþjóðavettvangi. Hvort af því verði fyrr eða síðar á enn eftir að koma í ljós, en hitt er víst að þangað til þar að kemur sitja tölvuþrjótarnir ekki aðgerðar lausir. Tölvuógn í alþjóðlegum brennidepli Erfitt reynist að koma böndum á glæpasamtök sem sjá gróðavon í að dreifa óværum og blekkja auðtrúa tölvunotendur til að gefa upp- lýsingar. Málið hefur einnig orðið að bitbeini milli ríkja sem hafa beitt slíkum aðferðum til að gæta hagsmuna sinna. Lagaumhverfi er afar óljóst og þörf er á aukinni alþjóðlegri samvinnu sem tekur til tölvuógna. Tölvuhernaður verður notaður í stríðum framtíðarinnar. ÓGNIR Á TÖLVUÖLD Tölvuógnum fjölgar sífellt með tækniframþróun og á það jafnt við um glæpamenn sem reyna að græða peninga á svindli, og spellvirkja sem eru jafnvel á vegum stjórnvalda. Engin samræmd lög eru til sem ná til slíkra mála. NORDICPHOTOS/GETTY Einn af lykilatburðunum sem vöktu alþjóðasamfélagið til meðvitundar um þá hættu sem steðjar að ríkjum vegna tölvuárása var atlaga sem var gerð að Eistlandi vorið 2007. Þar var um að ræða samræmda aðgerð tölvuþrjóta á mikilvægum samfélagsþáttum sem gerði það meðal annars að verkum að netbankakerfið lá niðri um stund, sem og síður margra fréttamiðla. Á meðan á þessu stóð gekk alda óeirða yfir tvo daga í röð. Óeirðirnar sem og tölvuárásirnar voru raktar til ákvörðunar eistneskra stjórnvalda um að færa minnismerki um þátttöku Sovétmanna í seinni heimsstyrjöldinni, bronsstyttu af hermanni, sem mörgum Eistum þótti til marks um yfirráð og kúgun af hálfu Sovétríkjanna. Styttan var áður í mið- borg Tallinn en var færð yfir í herkirkjugarð borgarinnar sem vakti mikla reiði bæði hjá Rússum og rússneska minnihlutanum í Eistlandi. Í kjölfar óeirðanna gekk alda tölvuárása yfir eistnesk netkerfi, bæði hjá opinberum stofnunum og einkaaðilum. Árásirnar stóðu yfir í um þrjár vikur, en þær skiptust í ákveðin stig. Fyrsta bylgjan fól í sér frekar einfaldar árásir þar sem mikilli umferð var beint að skotmörkunum til að kæfa þau. Svo virtist sem hinir fjölmörgu sem stóðu fyrir árásunum hafi notað forskrift á rússneskum spjallsíðum. Eftir það urðu árásirnar þróaðri og beittu fyrir sig tugþúsundum tölva sem höfðu verið tengdar saman í þeim tilgangi að valda sem mestum skaða. Enginn var dreginn til ábyrgðar fyrir árásirnar þó rökstuddur grunur væri um hverjir hefðu farið fyrir þeim. Rússnesk yfirvöld neituðu að aðstoða Eista í rannsókn málsins. Eftir árásirnar mörkuðu eistnesk stjórnvöld sér einbeitta stefnu í netvörnum og standa nú flestum framar á því sviði. Eitt lykilatriðið var að auka meðvitund almennings sem og stjórnmálamanna um mikilvægi þess að standa vörð um grunnstoðir og mikilvægustu innviði samfélags- ins. Eistar eru aðeins 1,3 milljónir talsins, sem takmarkar að vissu leyti getu hins opinbera til að skipuleggja varnir, en þeir búa þó að ómetanlegu varaliði. Heimavarnarlið Eistlands eru sjálfboðaliðasamtök sem bregðast við í neyðartilfellum og gildir það einnig um tölvuógnir þar sem tugir manna á þeirra vegum standa vaktina á netinu og eru til taks ef árás ber að. Tölvuárás vakti Eista til umhugsunar ÞRÆTUEPLI Víðfeðmar tölvuárásir voru gerðar á Eistland eftir að ákveðið var að færa minnismerki um sovéska herinn úr miðborg Tallinn. Flest bendir til þess að árásirnar hafi verið skipulagðar í Rúss- landi, en enginn var dreginn til ábyrgðar. NORDICPHOTOS/GETTY Þorgils Jónsson thorgils@frettabladid.is Þrátt fyrir að tölvuógnir séu afar víðfeðmt vandamál sem nær um allan heim liggur hluti ábyrgðarinnar hjá hverjum einstökum tölvunotanda. Það er sinnuleysi þeirra sem opnar tölvuþrjótum leið inn í tölvur þeirra með þeim afleiðingum að hægt er að svíkja af þeim peninga, stela af þeim gögnum, eða nýta tölvuna sem hluta af neti til stórtækari aðgerða. Friðrik Skúlason, sérfræðingur um tölvuöryggi, segir í samtali við Fréttablaðið að hann sé þeirrar skoðunar að aldrei verði að fullu komist fyrir slík afglöp einstaklinga. „Fólk er alltof trúgjarnt og smellir á hluti á netinu án þess að hugsa. Það er rót vandamálsins og þar sannast að veikasti hlekkurinn í tölvuöryggiskeðjunni er oftast kjötpokinn á milli stólsins og lyklaborðsins. Það skiptir engu hvort maður er með varnar- eða öryggis- forrit ef fólk lokar bara viðvörunargluggum og heldur ótrautt áfram. Það er ekki hægt að leysa mannleg vandamál með tæknilegum lausnum! Það eru í raun engar töfralausnir til. Skynsemin er svarið, en það er ekki hægt að kaupa hana með raðgreiðslum.“ Fólkið er veikasti hlekkurinn 5,5 milljarðar Symantec öryggisfyrirtækið kom í veg fyrir 5,5 milljarða árása með tölvuóværum árið 2011, sem var nær tvöfalt meira en árið þar áður. 50% 50% beinna árása voru gerðar á fyrirtæki með innan við 2.500 starfsmenn. 36% Ruslpósti fækkaði um 36% milli 2010 og 2011, eftir að stór tölvunet höfðu verið tekin niður af yfirvöldum. 82 Samkvæmt Symantec voru 82 beinar árásir gerðar að meðaltali dag hvern árið 2011.

Blaðsíða 1
Blaðsíða 2
Blaðsíða 3
Blaðsíða 4
Blaðsíða 5
Blaðsíða 6
Blaðsíða 7
Blaðsíða 8
Blaðsíða 9
Blaðsíða 10
Blaðsíða 11
Blaðsíða 12
Blaðsíða 13
Blaðsíða 14
Blaðsíða 15
Blaðsíða 16
Blaðsíða 17
Blaðsíða 18
Blaðsíða 19
Blaðsíða 20
Blaðsíða 21
Blaðsíða 22
Blaðsíða 23
Blaðsíða 24
Blaðsíða 25
Blaðsíða 26
Blaðsíða 27
Blaðsíða 28
Blaðsíða 29
Blaðsíða 30
Blaðsíða 31
Blaðsíða 32
Blaðsíða 33
Blaðsíða 34
Blaðsíða 35
Blaðsíða 36
Blaðsíða 37
Blaðsíða 38
Blaðsíða 39
Blaðsíða 40
Blaðsíða 41
Blaðsíða 42
Blaðsíða 43
Blaðsíða 44
Blaðsíða 45
Blaðsíða 46
Blaðsíða 47
Blaðsíða 48
Blaðsíða 49
Blaðsíða 50
Blaðsíða 51
Blaðsíða 52
Blaðsíða 53
Blaðsíða 54
Blaðsíða 55
Blaðsíða 56
Blaðsíða 57
Blaðsíða 58
Blaðsíða 59
Blaðsíða 60
Blaðsíða 61
Blaðsíða 62
Blaðsíða 63
Blaðsíða 64
Blaðsíða 65
Blaðsíða 66
Blaðsíða 67
Blaðsíða 68
Blaðsíða 69
Blaðsíða 70
Blaðsíða 71
Blaðsíða 72
Blaðsíða 73
Blaðsíða 74
Blaðsíða 75
Blaðsíða 76
Blaðsíða 77
Blaðsíða 78
Blaðsíða 79
Blaðsíða 80
Blaðsíða 81
Blaðsíða 82
Blaðsíða 83
Blaðsíða 84
Blaðsíða 85
Blaðsíða 86
Blaðsíða 87
Blaðsíða 88
Blaðsíða 89
Blaðsíða 90
Blaðsíða 91
Blaðsíða 92
Blaðsíða 93
Blaðsíða 94
Blaðsíða 95
Blaðsíða 96
Blaðsíða 97
Blaðsíða 98
Blaðsíða 99
Blaðsíða 100
Blaðsíða 101
Blaðsíða 102
Blaðsíða 103
Blaðsíða 104
Blaðsíða 105
Blaðsíða 106
Blaðsíða 107
Blaðsíða 108
Blaðsíða 109
Blaðsíða 110
Blaðsíða 111
Blaðsíða 112
Blaðsíða 113
Blaðsíða 114
Blaðsíða 115
Blaðsíða 116
Blaðsíða 117
Blaðsíða 118
Blaðsíða 119
Blaðsíða 120