2. mars 2013 LAUGARDAGUR| HELGIN | 32 Tölvuógnir hafa verið áber-andi í umræðunni síðustu mánuði, eftir að upp komst um árásir á bandarísku miðlana New York Times og Wall Street Journal. Einnig vakti athygli úttekt ráðgjafafyr- irtækisins Mandiant á meintri þátttöku kínverskra stjórnvalda í skipulögðum árásum. Ógnir af þessu tagi hafa stór- aukist síðustu ár og er talið lík- legt að stríð framtíðarinnar muni að einhverju leyti fara fram með tölvuhernaði. Það er staðreynd sem er í aukn- um mæli að renna upp fyrir fyrir- tækjum, ríkjum og fjölþjóðastofn- unum, en óljóst er hvernig þetta svið mun mótast á komandi árum. Mikill vöxtur síðustu ár Tölvuhakkarar hafa látið til sín taka allt frá áttunda áratugnum, en framan af höfðu aðgerðir þeirra takmarkaðar afleiðingar. Það var ekki fyrr en internetvæð- ingin hófst fyrir alvöru, á tíunda áratugnum, sem óværur af öllum gerðum fóru að dreifast um netið. Síðan hefur fjöldi þessara forrita um það bil tvöfaldast á hverju ári þannig að nú eru þekktar um 200 milljónir slíkra og um 100 þúsund slíkir bætast við á degi hverjum. Hugsanlegum fórnarlömbum eða ginningarfíflum hefur líka fjölgað mikið þar sem nettengdar tölvur í heiminum eru nú tæpur milljarður, og eru þá tæki eins og farsímar og spjaldtölvur ótalin. Margvíslegar aðferðir eru not- aðar við tölvuárásir, meðal annars vírusar, ormar sem dreifa sér á milli tölva og svokallaðir Tróju- hestar sem geta opnað fyrir aðgang utanaðkomandi að tölvum og kerfum. Þeim er til dæmis dreift með ruslpósti og hlekkjum og forritum á vefsíðum. Tilgangurinn er líka margvís- legur, allt frá því að um sé að ræða unglinga sem eru að prófa getu sína og glæpasamtök sem starfa í ágóðaskyni upp í ríkisstjórnir sem vinna að pólitískum hagsmunamál- um og hópa aðgerðarsinna sem starfa á grundvelli ákveðinnar hugmyndafræði. Mikil gróðavon Eins og stendur eru flestar óvær- ur settar fram í ágóðaskyni. Tölvu- þrjótar reyna að komast að upplýs- ingum um bankareikninga fólks eða fá það beinlínis til að senda peninga með einhverjum ráðum, til dæmis með gylliboðum. Þá hafa glæpasamtök, meðal annars í Rússlandi, náð að sýkja mikinn fjölda tölva um allan heim þannig að þau geta náð stjórn á þeim í misjöfnum tilgangi, og selja aðgang að þeim. Loks hefur þessum aðferð- um verið beitt óspart í iðnaðar- njósnum. Tölvuárásir og pólitík Fyrir utan allt það fjártjón og ónæði sem tölvuárásir geta valdið eru enn veigameiri atriði í húfi og leggja ríki nú mesta áherslu á að standa vörð um innviði samfélag- anna; fjarskiptakerfi, orkudreif- ingu og samgöngur. Ríkin eru þó ekki bara þolend- ur í tölvuárásum, heldur hafa þau í auknum mæli verið gerendur í þessum efnum. Fyrrnefnd skýrsla um aðkomu kínverskra stjórnvalda að tölvu- glæpum og árásum hefur vakið mikla athygli, en kínversk yfirvöld hafa þvertekið fyrir að standa í slíku. Kínverski herinn hafi aldrei stutt við starfsemi tölvuhakkara. Þvert á móti verði Kínverjar fyrir stöðugum árásum tölvuþrjóta, sem væru margir frá Bandaríkj- unum. Þeir segjast vera heils hugar fylgjandi meiri samvinnu á alþjóðavettvangi. Bandaríkjamenn hafa hins vegar ekki alveg hreinan skjöld í þessum málum þar sem þeir hafa um árabil beitt slíkum meðul- um. Nú liggur fyrir að bandarísk stjórnvöld hafa, í samvinnu við Ísrael, um árabil notað tölvuorm- inn Stuxnet til að skemma fyrir kjarnorkuáætlun Írans. Honum var smyglað inn í kjarn- orkuverin þar sem verið var að auðga úran, en ríkin tvö hafa miklar áhyggjur af því að tilgang- ur Írana sé að komast yfir úran sem hægt er að nota í kjarnorku- vopn. Þegar ormurinn hafði tekið sér bólfestu þar, skemmdi hann þeytivindur sem notaðar eru til úran-auðgunar. Erfitt að ná til gerenda Gerendur í tölvuglæpum þurfa sjaldnast að taka afleiðingum gerða sinna og býr þar margt að baki. Bæði fela þeir jafnan spor sín afar vel og nýta tölvur grun- lausra tölvueigenda út um allan heim, þannig að illmögulegt er að finna uppruna aðgerðar eða árás- ar. Svo er lagaumhverfið líka afar óljóst þar sem engin samræmd alþjóðleg löggjöf er til staðar. Ef svo ólíklega vildi til að órækar sannanir fengjust gegn einstak- lingi og stjórnvöld í hans heima- landi myndu framselja hann, væri hins vegar óvissa um lög hvaða lands gilda. Væri það hans heima- land, eða landið þar sem afleiðing- arnar komu fram? Samvinna er lykilatriði Á meðan tölvuþrjótar mynda oft hópa og deila gjarnan upplýsing- um er lítið samræmi í viðbúnaði og viðbrögðum ríkja eða stofnana þrátt fyrir yfirlýsingar um mikil- vægi slíks samstarfs. NATO markaði til dæmis stefnu um tölvuvarnir árið 2011 þar sem hvatt er til samræmdra varna aðildarríkja. Einnig var stefna bandalagsins í tölvuvörnum skýrð og gerð miðlægari með stofnun NCIA sem hefur yfirumsjón með vörnum allra undirstofnana þess. NATO getur hins vegar ekki skyldað aðildarríki sín til þess að uppfylla ákveðnar kröfur, sem sést meðal annars á því að ein- ungis helmingur aðildarþjóðanna 28 hefur markað sér formlega net- öryggisstefnu og er Ísland ekki þar á meðal. Allsherjar tölvuárás á aðildar- ríki bandalagsins gæti hins vegar fallið undir fimmtu grein NATO- sáttmálans, sem kveður á um að árás á eitt aðildarríki flokkist sem árás á þau öll. Á móti kemur að engin einhlít skilgreining er til um hvers konar árás myndi kalla á slík viðbrögð, og að sögn heim- ildarmanna Fréttablaðsins innan NATO mun ekki koma til þess að bandalagið standi fyrir annars konar aðgerðum en að verja net- kerfi bandalagsins sjálfs. Það er almennt viðurkennt að ekkert ríki getur tryggt öryggi sitt gegn tölvuógnum upp á eigin spýt- ur þannig að það hlýtur því að vera verkefni ríkja á komandi mánuð- um og árum að samræma lagaum- hverfi á alþjóðavettvangi. Hvort af því verði fyrr eða síðar á enn eftir að koma í ljós, en hitt er víst að þangað til þar að kemur sitja tölvuþrjótarnir ekki aðgerðar lausir. Tölvuógn í alþjóðlegum brennidepli Erfitt reynist að koma böndum á glæpasamtök sem sjá gróðavon í að dreifa óværum og blekkja auðtrúa tölvunotendur til að gefa upp- lýsingar. Málið hefur einnig orðið að bitbeini milli ríkja sem hafa beitt slíkum aðferðum til að gæta hagsmuna sinna. Lagaumhverfi er afar óljóst og þörf er á aukinni alþjóðlegri samvinnu sem tekur til tölvuógna. Tölvuhernaður verður notaður í stríðum framtíðarinnar. ÓGNIR Á TÖLVUÖLD Tölvuógnum fjölgar sífellt með tækniframþróun og á það jafnt við um glæpamenn sem reyna að græða peninga á svindli, og spellvirkja sem eru jafnvel á vegum stjórnvalda. Engin samræmd lög eru til sem ná til slíkra mála. NORDICPHOTOS/GETTY Einn af lykilatburðunum sem vöktu alþjóðasamfélagið til meðvitundar um þá hættu sem steðjar að ríkjum vegna tölvuárása var atlaga sem var gerð að Eistlandi vorið 2007. Þar var um að ræða samræmda aðgerð tölvuþrjóta á mikilvægum samfélagsþáttum sem gerði það meðal annars að verkum að netbankakerfið lá niðri um stund, sem og síður margra fréttamiðla. Á meðan á þessu stóð gekk alda óeirða yfir tvo daga í röð. Óeirðirnar sem og tölvuárásirnar voru raktar til ákvörðunar eistneskra stjórnvalda um að færa minnismerki um þátttöku Sovétmanna í seinni heimsstyrjöldinni, bronsstyttu af hermanni, sem mörgum Eistum þótti til marks um yfirráð og kúgun af hálfu Sovétríkjanna. Styttan var áður í mið- borg Tallinn en var færð yfir í herkirkjugarð borgarinnar sem vakti mikla reiði bæði hjá Rússum og rússneska minnihlutanum í Eistlandi. Í kjölfar óeirðanna gekk alda tölvuárása yfir eistnesk netkerfi, bæði hjá opinberum stofnunum og einkaaðilum. Árásirnar stóðu yfir í um þrjár vikur, en þær skiptust í ákveðin stig. Fyrsta bylgjan fól í sér frekar einfaldar árásir þar sem mikilli umferð var beint að skotmörkunum til að kæfa þau. Svo virtist sem hinir fjölmörgu sem stóðu fyrir árásunum hafi notað forskrift á rússneskum spjallsíðum. Eftir það urðu árásirnar þróaðri og beittu fyrir sig tugþúsundum tölva sem höfðu verið tengdar saman í þeim tilgangi að valda sem mestum skaða. Enginn var dreginn til ábyrgðar fyrir árásirnar þó rökstuddur grunur væri um hverjir hefðu farið fyrir þeim. Rússnesk yfirvöld neituðu að aðstoða Eista í rannsókn málsins. Eftir árásirnar mörkuðu eistnesk stjórnvöld sér einbeitta stefnu í netvörnum og standa nú flestum framar á því sviði. Eitt lykilatriðið var að auka meðvitund almennings sem og stjórnmálamanna um mikilvægi þess að standa vörð um grunnstoðir og mikilvægustu innviði samfélags- ins. Eistar eru aðeins 1,3 milljónir talsins, sem takmarkar að vissu leyti getu hins opinbera til að skipuleggja varnir, en þeir búa þó að ómetanlegu varaliði. Heimavarnarlið Eistlands eru sjálfboðaliðasamtök sem bregðast við í neyðartilfellum og gildir það einnig um tölvuógnir þar sem tugir manna á þeirra vegum standa vaktina á netinu og eru til taks ef árás ber að. Tölvuárás vakti Eista til umhugsunar ÞRÆTUEPLI Víðfeðmar tölvuárásir voru gerðar á Eistland eftir að ákveðið var að færa minnismerki um sovéska herinn úr miðborg Tallinn. Flest bendir til þess að árásirnar hafi verið skipulagðar í Rúss- landi, en enginn var dreginn til ábyrgðar. NORDICPHOTOS/GETTY Þorgils Jónsson thorgils@frettabladid.is Þrátt fyrir að tölvuógnir séu afar víðfeðmt vandamál sem nær um allan heim liggur hluti ábyrgðarinnar hjá hverjum einstökum tölvunotanda. Það er sinnuleysi þeirra sem opnar tölvuþrjótum leið inn í tölvur þeirra með þeim afleiðingum að hægt er að svíkja af þeim peninga, stela af þeim gögnum, eða nýta tölvuna sem hluta af neti til stórtækari aðgerða. Friðrik Skúlason, sérfræðingur um tölvuöryggi, segir í samtali við Fréttablaðið að hann sé þeirrar skoðunar að aldrei verði að fullu komist fyrir slík afglöp einstaklinga. „Fólk er alltof trúgjarnt og smellir á hluti á netinu án þess að hugsa. Það er rót vandamálsins og þar sannast að veikasti hlekkurinn í tölvuöryggiskeðjunni er oftast kjötpokinn á milli stólsins og lyklaborðsins. Það skiptir engu hvort maður er með varnar- eða öryggis- forrit ef fólk lokar bara viðvörunargluggum og heldur ótrautt áfram. Það er ekki hægt að leysa mannleg vandamál með tæknilegum lausnum! Það eru í raun engar töfralausnir til. Skynsemin er svarið, en það er ekki hægt að kaupa hana með raðgreiðslum.“ Fólkið er veikasti hlekkurinn 5,5 milljarðar Symantec öryggisfyrirtækið kom í veg fyrir 5,5 milljarða árása með tölvuóværum árið 2011, sem var nær tvöfalt meira en árið þar áður. 50% 50% beinna árása voru gerðar á fyrirtæki með innan við 2.500 starfsmenn. 36% Ruslpósti fækkaði um 36% milli 2010 og 2011, eftir að stór tölvunet höfðu verið tekin niður af yfirvöldum. 82 Samkvæmt Symantec voru 82 beinar árásir gerðar að meðaltali dag hvern árið 2011.

Síða 1
Síða 2
Síða 3
Síða 4
Síða 5
Síða 6
Síða 7
Síða 8
Síða 9
Síða 10
Síða 11
Síða 12
Síða 13
Síða 14
Síða 15
Síða 16
Síða 17
Síða 18
Síða 19
Síða 20
Síða 21
Síða 22
Síða 23
Síða 24
Síða 25
Síða 26
Síða 27
Síða 28
Síða 29
Síða 30
Síða 31
Síða 32
Síða 33
Síða 34
Síða 35
Síða 36
Síða 37
Síða 38
Síða 39
Síða 40
Síða 41
Síða 42
Síða 43
Síða 44
Síða 45
Síða 46
Síða 47
Síða 48
Síða 49
Síða 50
Síða 51
Síða 52
Síða 53
Síða 54
Síða 55
Síða 56
Síða 57
Síða 58
Síða 59
Síða 60
Síða 61
Síða 62
Síða 63
Síða 64
Síða 65
Síða 66
Síða 67
Síða 68
Síða 69
Síða 70
Síða 71
Síða 72
Síða 73
Síða 74
Síða 75
Síða 76
Síða 77
Síða 78
Síða 79
Síða 80
Síða 81
Síða 82
Síða 83
Síða 84
Síða 85
Síða 86
Síða 87
Síða 88
Síða 89
Síða 90
Síða 91
Síða 92
Síða 93
Síða 94
Síða 95
Síða 96
Síða 97
Síða 98
Síða 99
Síða 100
Síða 101
Síða 102
Síða 103
Síða 104
Síða 105
Síða 106
Síða 107
Síða 108
Síða 109
Síða 110
Síða 111
Síða 112
Síða 113
Síða 114
Síða 115
Síða 116
Síða 117
Síða 118
Síða 119
Síða 120