2. mars 2013 LAUGARDAGUR| HELGIN | 32 Tölvuógnir hafa verið áber-andi í umræðunni síðustu mánuði, eftir að upp komst um árásir á bandarísku miðlana New York Times og Wall Street Journal. Einnig vakti athygli úttekt ráðgjafafyr- irtækisins Mandiant á meintri þátttöku kínverskra stjórnvalda í skipulögðum árásum. Ógnir af þessu tagi hafa stór- aukist síðustu ár og er talið lík- legt að stríð framtíðarinnar muni að einhverju leyti fara fram með tölvuhernaði. Það er staðreynd sem er í aukn- um mæli að renna upp fyrir fyrir- tækjum, ríkjum og fjölþjóðastofn- unum, en óljóst er hvernig þetta svið mun mótast á komandi árum. Mikill vöxtur síðustu ár Tölvuhakkarar hafa látið til sín taka allt frá áttunda áratugnum, en framan af höfðu aðgerðir þeirra takmarkaðar afleiðingar. Það var ekki fyrr en internetvæð- ingin hófst fyrir alvöru, á tíunda áratugnum, sem óværur af öllum gerðum fóru að dreifast um netið. Síðan hefur fjöldi þessara forrita um það bil tvöfaldast á hverju ári þannig að nú eru þekktar um 200 milljónir slíkra og um 100 þúsund slíkir bætast við á degi hverjum. Hugsanlegum fórnarlömbum eða ginningarfíflum hefur líka fjölgað mikið þar sem nettengdar tölvur í heiminum eru nú tæpur milljarður, og eru þá tæki eins og farsímar og spjaldtölvur ótalin. Margvíslegar aðferðir eru not- aðar við tölvuárásir, meðal annars vírusar, ormar sem dreifa sér á milli tölva og svokallaðir Tróju- hestar sem geta opnað fyrir aðgang utanaðkomandi að tölvum og kerfum. Þeim er til dæmis dreift með ruslpósti og hlekkjum og forritum á vefsíðum. Tilgangurinn er líka margvís- legur, allt frá því að um sé að ræða unglinga sem eru að prófa getu sína og glæpasamtök sem starfa í ágóðaskyni upp í ríkisstjórnir sem vinna að pólitískum hagsmunamál- um og hópa aðgerðarsinna sem starfa á grundvelli ákveðinnar hugmyndafræði. Mikil gróðavon Eins og stendur eru flestar óvær- ur settar fram í ágóðaskyni. Tölvu- þrjótar reyna að komast að upplýs- ingum um bankareikninga fólks eða fá það beinlínis til að senda peninga með einhverjum ráðum, til dæmis með gylliboðum. Þá hafa glæpasamtök, meðal annars í Rússlandi, náð að sýkja mikinn fjölda tölva um allan heim þannig að þau geta náð stjórn á þeim í misjöfnum tilgangi, og selja aðgang að þeim. Loks hefur þessum aðferð- um verið beitt óspart í iðnaðar- njósnum. Tölvuárásir og pólitík Fyrir utan allt það fjártjón og ónæði sem tölvuárásir geta valdið eru enn veigameiri atriði í húfi og leggja ríki nú mesta áherslu á að standa vörð um innviði samfélag- anna; fjarskiptakerfi, orkudreif- ingu og samgöngur. Ríkin eru þó ekki bara þolend- ur í tölvuárásum, heldur hafa þau í auknum mæli verið gerendur í þessum efnum. Fyrrnefnd skýrsla um aðkomu kínverskra stjórnvalda að tölvu- glæpum og árásum hefur vakið mikla athygli, en kínversk yfirvöld hafa þvertekið fyrir að standa í slíku. Kínverski herinn hafi aldrei stutt við starfsemi tölvuhakkara. Þvert á móti verði Kínverjar fyrir stöðugum árásum tölvuþrjóta, sem væru margir frá Bandaríkj- unum. Þeir segjast vera heils hugar fylgjandi meiri samvinnu á alþjóðavettvangi. Bandaríkjamenn hafa hins vegar ekki alveg hreinan skjöld í þessum málum þar sem þeir hafa um árabil beitt slíkum meðul- um. Nú liggur fyrir að bandarísk stjórnvöld hafa, í samvinnu við Ísrael, um árabil notað tölvuorm- inn Stuxnet til að skemma fyrir kjarnorkuáætlun Írans. Honum var smyglað inn í kjarn- orkuverin þar sem verið var að auðga úran, en ríkin tvö hafa miklar áhyggjur af því að tilgang- ur Írana sé að komast yfir úran sem hægt er að nota í kjarnorku- vopn. Þegar ormurinn hafði tekið sér bólfestu þar, skemmdi hann þeytivindur sem notaðar eru til úran-auðgunar. Erfitt að ná til gerenda Gerendur í tölvuglæpum þurfa sjaldnast að taka afleiðingum gerða sinna og býr þar margt að baki. Bæði fela þeir jafnan spor sín afar vel og nýta tölvur grun- lausra tölvueigenda út um allan heim, þannig að illmögulegt er að finna uppruna aðgerðar eða árás- ar. Svo er lagaumhverfið líka afar óljóst þar sem engin samræmd alþjóðleg löggjöf er til staðar. Ef svo ólíklega vildi til að órækar sannanir fengjust gegn einstak- lingi og stjórnvöld í hans heima- landi myndu framselja hann, væri hins vegar óvissa um lög hvaða lands gilda. Væri það hans heima- land, eða landið þar sem afleiðing- arnar komu fram? Samvinna er lykilatriði Á meðan tölvuþrjótar mynda oft hópa og deila gjarnan upplýsing- um er lítið samræmi í viðbúnaði og viðbrögðum ríkja eða stofnana þrátt fyrir yfirlýsingar um mikil- vægi slíks samstarfs. NATO markaði til dæmis stefnu um tölvuvarnir árið 2011 þar sem hvatt er til samræmdra varna aðildarríkja. Einnig var stefna bandalagsins í tölvuvörnum skýrð og gerð miðlægari með stofnun NCIA sem hefur yfirumsjón með vörnum allra undirstofnana þess. NATO getur hins vegar ekki skyldað aðildarríki sín til þess að uppfylla ákveðnar kröfur, sem sést meðal annars á því að ein- ungis helmingur aðildarþjóðanna 28 hefur markað sér formlega net- öryggisstefnu og er Ísland ekki þar á meðal. Allsherjar tölvuárás á aðildar- ríki bandalagsins gæti hins vegar fallið undir fimmtu grein NATO- sáttmálans, sem kveður á um að árás á eitt aðildarríki flokkist sem árás á þau öll. Á móti kemur að engin einhlít skilgreining er til um hvers konar árás myndi kalla á slík viðbrögð, og að sögn heim- ildarmanna Fréttablaðsins innan NATO mun ekki koma til þess að bandalagið standi fyrir annars konar aðgerðum en að verja net- kerfi bandalagsins sjálfs. Það er almennt viðurkennt að ekkert ríki getur tryggt öryggi sitt gegn tölvuógnum upp á eigin spýt- ur þannig að það hlýtur því að vera verkefni ríkja á komandi mánuð- um og árum að samræma lagaum- hverfi á alþjóðavettvangi. Hvort af því verði fyrr eða síðar á enn eftir að koma í ljós, en hitt er víst að þangað til þar að kemur sitja tölvuþrjótarnir ekki aðgerðar lausir. Tölvuógn í alþjóðlegum brennidepli Erfitt reynist að koma böndum á glæpasamtök sem sjá gróðavon í að dreifa óværum og blekkja auðtrúa tölvunotendur til að gefa upp- lýsingar. Málið hefur einnig orðið að bitbeini milli ríkja sem hafa beitt slíkum aðferðum til að gæta hagsmuna sinna. Lagaumhverfi er afar óljóst og þörf er á aukinni alþjóðlegri samvinnu sem tekur til tölvuógna. Tölvuhernaður verður notaður í stríðum framtíðarinnar. ÓGNIR Á TÖLVUÖLD Tölvuógnum fjölgar sífellt með tækniframþróun og á það jafnt við um glæpamenn sem reyna að græða peninga á svindli, og spellvirkja sem eru jafnvel á vegum stjórnvalda. Engin samræmd lög eru til sem ná til slíkra mála. NORDICPHOTOS/GETTY Einn af lykilatburðunum sem vöktu alþjóðasamfélagið til meðvitundar um þá hættu sem steðjar að ríkjum vegna tölvuárása var atlaga sem var gerð að Eistlandi vorið 2007. Þar var um að ræða samræmda aðgerð tölvuþrjóta á mikilvægum samfélagsþáttum sem gerði það meðal annars að verkum að netbankakerfið lá niðri um stund, sem og síður margra fréttamiðla. Á meðan á þessu stóð gekk alda óeirða yfir tvo daga í röð. Óeirðirnar sem og tölvuárásirnar voru raktar til ákvörðunar eistneskra stjórnvalda um að færa minnismerki um þátttöku Sovétmanna í seinni heimsstyrjöldinni, bronsstyttu af hermanni, sem mörgum Eistum þótti til marks um yfirráð og kúgun af hálfu Sovétríkjanna. Styttan var áður í mið- borg Tallinn en var færð yfir í herkirkjugarð borgarinnar sem vakti mikla reiði bæði hjá Rússum og rússneska minnihlutanum í Eistlandi. Í kjölfar óeirðanna gekk alda tölvuárása yfir eistnesk netkerfi, bæði hjá opinberum stofnunum og einkaaðilum. Árásirnar stóðu yfir í um þrjár vikur, en þær skiptust í ákveðin stig. Fyrsta bylgjan fól í sér frekar einfaldar árásir þar sem mikilli umferð var beint að skotmörkunum til að kæfa þau. Svo virtist sem hinir fjölmörgu sem stóðu fyrir árásunum hafi notað forskrift á rússneskum spjallsíðum. Eftir það urðu árásirnar þróaðri og beittu fyrir sig tugþúsundum tölva sem höfðu verið tengdar saman í þeim tilgangi að valda sem mestum skaða. Enginn var dreginn til ábyrgðar fyrir árásirnar þó rökstuddur grunur væri um hverjir hefðu farið fyrir þeim. Rússnesk yfirvöld neituðu að aðstoða Eista í rannsókn málsins. Eftir árásirnar mörkuðu eistnesk stjórnvöld sér einbeitta stefnu í netvörnum og standa nú flestum framar á því sviði. Eitt lykilatriðið var að auka meðvitund almennings sem og stjórnmálamanna um mikilvægi þess að standa vörð um grunnstoðir og mikilvægustu innviði samfélags- ins. Eistar eru aðeins 1,3 milljónir talsins, sem takmarkar að vissu leyti getu hins opinbera til að skipuleggja varnir, en þeir búa þó að ómetanlegu varaliði. Heimavarnarlið Eistlands eru sjálfboðaliðasamtök sem bregðast við í neyðartilfellum og gildir það einnig um tölvuógnir þar sem tugir manna á þeirra vegum standa vaktina á netinu og eru til taks ef árás ber að. Tölvuárás vakti Eista til umhugsunar ÞRÆTUEPLI Víðfeðmar tölvuárásir voru gerðar á Eistland eftir að ákveðið var að færa minnismerki um sovéska herinn úr miðborg Tallinn. Flest bendir til þess að árásirnar hafi verið skipulagðar í Rúss- landi, en enginn var dreginn til ábyrgðar. NORDICPHOTOS/GETTY Þorgils Jónsson thorgils@frettabladid.is Þrátt fyrir að tölvuógnir séu afar víðfeðmt vandamál sem nær um allan heim liggur hluti ábyrgðarinnar hjá hverjum einstökum tölvunotanda. Það er sinnuleysi þeirra sem opnar tölvuþrjótum leið inn í tölvur þeirra með þeim afleiðingum að hægt er að svíkja af þeim peninga, stela af þeim gögnum, eða nýta tölvuna sem hluta af neti til stórtækari aðgerða. Friðrik Skúlason, sérfræðingur um tölvuöryggi, segir í samtali við Fréttablaðið að hann sé þeirrar skoðunar að aldrei verði að fullu komist fyrir slík afglöp einstaklinga. „Fólk er alltof trúgjarnt og smellir á hluti á netinu án þess að hugsa. Það er rót vandamálsins og þar sannast að veikasti hlekkurinn í tölvuöryggiskeðjunni er oftast kjötpokinn á milli stólsins og lyklaborðsins. Það skiptir engu hvort maður er með varnar- eða öryggis- forrit ef fólk lokar bara viðvörunargluggum og heldur ótrautt áfram. Það er ekki hægt að leysa mannleg vandamál með tæknilegum lausnum! Það eru í raun engar töfralausnir til. Skynsemin er svarið, en það er ekki hægt að kaupa hana með raðgreiðslum.“ Fólkið er veikasti hlekkurinn 5,5 milljarðar Symantec öryggisfyrirtækið kom í veg fyrir 5,5 milljarða árása með tölvuóværum árið 2011, sem var nær tvöfalt meira en árið þar áður. 50% 50% beinna árása voru gerðar á fyrirtæki með innan við 2.500 starfsmenn. 36% Ruslpósti fækkaði um 36% milli 2010 og 2011, eftir að stór tölvunet höfðu verið tekin niður af yfirvöldum. 82 Samkvæmt Symantec voru 82 beinar árásir gerðar að meðaltali dag hvern árið 2011.

Side 1
Side 2
Side 3
Side 4
Side 5
Side 6
Side 7
Side 8
Side 9
Side 10
Side 11
Side 12
Side 13
Side 14
Side 15
Side 16
Side 17
Side 18
Side 19
Side 20
Side 21
Side 22
Side 23
Side 24
Side 25
Side 26
Side 27
Side 28
Side 29
Side 30
Side 31
Side 32
Side 33
Side 34
Side 35
Side 36
Side 37
Side 38
Side 39
Side 40
Side 41
Side 42
Side 43
Side 44
Side 45
Side 46
Side 47
Side 48
Side 49
Side 50
Side 51
Side 52
Side 53
Side 54
Side 55
Side 56
Side 57
Side 58
Side 59
Side 60
Side 61
Side 62
Side 63
Side 64
Side 65
Side 66
Side 67
Side 68
Side 69
Side 70
Side 71
Side 72
Side 73
Side 74
Side 75
Side 76
Side 77
Side 78
Side 79
Side 80
Side 81
Side 82
Side 83
Side 84
Side 85
Side 86
Side 87
Side 88
Side 89
Side 90
Side 91
Side 92
Side 93
Side 94
Side 95
Side 96
Side 97
Side 98
Side 99
Side 100
Side 101
Side 102
Side 103
Side 104
Side 105
Side 106
Side 107
Side 108
Side 109
Side 110
Side 111
Side 112
Side 113
Side 114
Side 115
Side 116
Side 117
Side 118
Side 119
Side 120