Við erum aldrei 100 prósent örugg á netinu

Auðkenni er félag sem var stofnað árið 2000 af bönkunum og fleirum til þess að stuðla að bættu öryggi á netinu og sinna öryggismálum fyrir þessa aðila.

Haraldur Bjarnason er framkvæmdastjóri Auðkennis sem hefur verið í samstarfi við ríkið, bankana og nú nýlega símafyrirtækin, til að tryggja rafrænt öryggi með sem bestum hætti. Haraldur segir venjulegt fólk sífellt eiga á hættu að verða fyrir árásum tölvuþrjóta sem starfa á sívaxandi svörtum markaði við slíkar árásir. Ástæðan er sífellt meira magn af verðmætum sem við geymum á netinu.

Fyrirtækið er hvað þekktast fyrir auðkennislykilinn svokallaða sem var notaður til að bæta öryggi í netbönkum, en fyrirtækið hefur fært sig yfir í rafræn skilríki í samstarfi við ríkið og bankana og hefur starfað við þá innleiðingu síðan á árinu 2007.

En hvaða upplýsingar eigum við að vera hrædd um að komist í rangar hendur og hvernig gerist það?

Persónuupplýsingar til sölu

„Það eru aðallega tvenns konar leiðir til að komast yfir upplýsingar annarra. Í fyrsta lagi svokölluð innbrot í þjónustuveitur, en það er ekkert sem einstaklingar geta gert í slíkum tilfellum. Þar er miklu magni af notendaupplýsingum stolið. Þessi tegund innbrota hefur aukist mikið síðustu ár, til dæmis var brotist inn hjá Playstation Network, þar sem notendaupplýsingum á borð við notendanöfn, lykilorð og kreditkortaupplýsingar var stolið. Þarna er verið að nýta sér veikleika hjá þjónustuaðilanum. Margir aðilar hafa lent í þessu eins og til dæmis LinkedIn, Adobe, Vodafone Ísland og aðrir,“ segir Haraldur.

Hann segir þessar upplýsingar þá ýmist til sölu eða stolið í einhverjum öðrum annarlegum tilgangi, allt frá pólitískum til fjárhagslegs.

„Þessi iðnaður er að stækka mikið af því að þarna eru svo mikil verðmæti,“ segir Haraldur.

Hann segir hina leiðina vera svokallaðar „beinar árásir“ á einstaklinga. Annars vegar á marga í einu, sem sé vel þekkt. „Þá er kannski búið að setja einhverja veiru á netsíður, en í skýrslu sem kom nýlega út kom í ljós að í kringum 85 prósent af svæðum eða síðum sem eru að sýkja fólk með einhverjum óværum eða vírus koma frá bara „löglegum“ síðum, það er að segja síðum sem fólk fer fullkomlega grunlaust inn á og treystir algerlega. Sem dæmi þá komust aðilar í fyrra inn á heimasíðu NBC-fréttastofunnar og notuðu þá síðu til að dreifa vírus. Fólk fór einfaldlega inn á fréttasíðuna og þá sýktist tölvan þeirra. Í þessu tilfelli fékk fólk lítinn hugbúnað inn á tölvuna sína sem var notaður til þess að stela bankaupplýsingum í gegnum netbanka, stela notendanöfnum og lykilorðum, og þegar fólk síðan fór inn á heimabankana sína þá gátu þeir notað upplýsingarnar og stolið peningum,“ segir Haraldur.

Hann segir fólk oft halda að svona óværur komist bara inn í tölvurnar í gegnum síður sem það myndi skammast sín fyrir að fara inn á en svo sé aldeilis ekki.

„Svona er staðan hérna á Íslandi líka, það er fullt fullt af síðum sem eru að dreifa einhverju svona, án þess menn viti endilega af því, það getur verið í rauninni hver sem er,“ segir Haraldur.

Hann segir svona beinar árásir einnig geta beinst gegn ákveðnum einstaklingum, þær séu vel þekktar í fjármálageiranum þar sem auðugt fólk er sigtað út svo hægt sé að hafa af því fé í gegnum netið.

9-5 vinna við tölvuárásir

„Þessi iðnaður er að stækka svo rosalega, það er til fólk sem mætir bara í níu til fimm vinnu úti í löndum bara til að gera árásir. Það er orðinn til svo rosalega mikill peningur á netinu, við erum búin að setja svo mikið af verðmætum þangað, hvort sem það er beint eins og á netbönkum eða bara viðskipta- eða iðnaðarupplýsingar eða hvað sem er. Svo er þetta einnig gert til að skemma orðspor aðila, ábatinn er svo rosalega mikill. Það fer fullt af kláru fólki, mikið hugvit í þennan bransa til að komast í öll þessi verðmæti. Þessi heimur er sem fyrr segir mikið að stækka og þetta er náttúrulega heimur án landamæra. Þú getur gert hvað sem er hvar sem er,“ segir Haraldur.

Gefa sér að allar tölvur séu sýktar

Enisa, sem er öryggisstofnun Evrópusambandsins í netmálum, ráðlagði bankastofnunum í skýrslu árið 2012 meðal annars að gera alltaf ráð fyrir því að allar vélar sem notaðar eru af viðskiptavinum væru sýktar með einhverjum veirum og því þyrfti að byggja upp allar varnir með það í huga. „Þjónustuaðilar eiga að gera ráð fyrir því að allt umhverfi sé sýkt af einhverjum veirum og byggja varnir sínar upp þannig. Þetta er bara orðið það erfitt og algengt að þetta er eina ráðleggingin – allt er sýkt. Og þetta er bara að aukast. Það er svo rosalega mikið af verðmætum sem hægt er að ná í með þessum hætti að það þarf svo lítið brot til að það borgi sig,“ segir Haraldur.

Hann segir svarta markaðinn með þessar upplýsingar vera mjög aðgengilegan. „Þú getur keypt þér netárás, bara með kreditkorti. Getur keypt þér galla eða veikleika sem fundist hafa í hugbúnaði eða stýrikerfi, til að nýta þér til að gera árás. Það er erfitt fyrir fólk að sjá þetta, það þarf að passa að uppfæra alltaf tölvuna sína til að koma í veg fyrir að einhver geti nýtt sér veikleika sem komið hafa í ljós til að komast í tölvuna,“ segir Haraldur.

Þurfum að hlaupa hraðar en aðrir

Hann segir einstaklinga og samfélagið geta gert ýmislegt til að verja sig. „Við getum byggt upp okkar varnir þannig að við séum minna áberandi og aðlaðandi fyrir þessa aðila, þegar allt kemur til alls eru þetta bara „business“-menn að meta hvar hagstæðast sé fyrir þá að gera árás, hver ábatinn sé og hver kostnaðurinn sé. Ef það er erfiðara að gera árás hér frekar en annars staðar þá fara þeir bara eitthvert annað. Við sem samfélag getum gert mjög margt til að tryggja að við séum öruggari en aðrir. Við verðum aldrei 100 prósent örugg, þetta þróast svo hratt, það eina sem við getum gert er að reyna að hlaupa hraðar en aðrir sem samfélag,“ segir Haraldur.

Rafrænu skilríkin öruggust

Hann segir rafrænu skilríkin virka þannig að þau séu almennt talin öruggasta auðkenningarleiðin, notandinn er alltaf með auðkennið á sér, hvort sem það er í debetkorti eða SIM-kortinu á símanum. „Það er ekkert hægt að ræna því miðlægt, eins og til dæmis það sem gerðist hjá Vodafone þar sem auðkennin fóru öll á flakk. Lykilorðið er alltaf hjá notandanum og varið mjög vel,“ segir Haraldur.

Hann segir þó að í sumum tilfellum skipti auðkenningin engu máli. „Ef það er einhver inni í tölvunni hjá þér eru þessar varnir allar jafn öruggar – eða óöruggar,“ segir Haraldur.

Aðspurður um það hvað svona aðilar hafa að gera með upplýsingar fólks frá samskiptasíðum eins og Facebook eða Snapchat, sem báðar hafa orðið fyrir svona árásum, segir Haraldur að hægt sé að nota svona einstaklingsupplýsingar á ýmsan máta.

Ekki nota sama lykilorðið

„Fólk er oft að nota sömu lykilorðin á öllum þessum síðum og þá er hægt að nota þau til að gera árás annars staðar þar sem eru kannski verðmæti. Þetta er eitt af því sem fólk kannski áttar sig ekki á,“ segir Haraldur. Hann segir glórulaust að nota sama lykilorðið á til dæmis Facebook og í netbankanum, þó manni geti verið sama um hver komist inn á samfélagssíður þá gildir ekki hið sama um heimabankann. Þá sé það einnig þekkt að einkaupplýsingar séu notaðar til þess að kúga fólk ef það er hægt.

„Sumar veitur eins og til dæmis Facebook og Google bjóða upp á tveggja kerfa varnir, þannig að þú þarft til dæmis alltaf að fá einnota lykilorð sent með sms-skilaboðum ef þú ferð inn á þessar veitur í tölvu sem þú hefur ekki notað áður, auk þess að slá inn notendanafn og lykilorð,“ segir Haraldur.

100 þúsund nota rafræn skilríki

Hann segir nú þegar 250 þúsund Íslendinga komna með debetkort sem innihaldi rafrænt skilríki. Þar af eru 40 prósent búnir að virkja skilríkin sem slík.

„Það er hægt að nota þau núna hjá yfir 70 þjónustuaðilum á netinu, skattinum til dæmis og rafrænni Reykjavík. Rafrænu skilríkin almennt getur þú notað hjá yfir 120 þjónustuaðilum. Hugsunin er að vera með eitt lykilorð að öllu. Fólk getur valið einhverja af þessum leiðum til að vera öruggari,“ segir Haraldur.

Samstarfið lykilatriði

Hann segir samstarfið við ríkið, bankastofnanir og fleiri aðila vera lykilatriði. „Það er svo rosalega dýrt og stórt mál að koma svona samstarfi á, fá heila þjóð til að mæta á staðinn, gera grein fyrir sér og sækja þessi skilríki. Eina leiðin er að allir vinna saman. Þá er hægt að nota sama auðkennið við að sækja þjónustu hvort sem er hjá ríki eða bönkunum eða hvar sem er. Þetta er ekkert hægt alls staðar, Bandaríkjamenn til dæmis gætu ekki gert þetta, þeir vita ekki hvað helmingurinn af þjóðinni heitir, hvað þá að íbúar séu með kennitölur. Þetta getum við og ættum að notfæra okkur,“ segir Haraldur.

Hann segir aðalatriði að gera Ísland minna aðlaðandi fyrir þessa óprúttnu aðila.

„En það er ljóst að árásin á Vodafone hefur vakið athygli aðila á Íslandi, þetta var „wakeup call“ fyrir okkur. Því oftar sem svona atvik koma upp þeim mun meiri athygli veita svona aðilar okkur,“ segir Haraldur.

Hvað eru rafræn skilríki?

Rafræn skilríki eru skilríki í rafrænum heimi. Þau geta verið á ólíkum miðlum og notuð í ýmsum tilgangi. Mikilvægt skref í almennri notkun fólks og fyrirtækja á rafrænum skilríkjum á Íslandi er útgáfa rafrænna skilríkja á debetkortum. Rafræn skilríki sem gefin eru út á debetkortum uppfylla íslenskar og evrópskar lagareglur og eru liður í því að auka öryggi og trúnað í rafrænum samskiptum.

Skilríkin byggja á öruggustu tækni sem þekkist í heiminum og miða að því að auka öryggi í rafrænum samskiptum. Með rafrænum skilríkjum er hægt að auðkenna sig og undirrita skjöl rafrænt. Rafræn skilríki er hægt að nota til auðkenningar og undirskriftar. Auðkenning með rafrænum skilríkjum kemur í stað notkunar á notandanafni og lykilorði. Sömu skilríki eru notuð til auðkenningar hjá öllum sem bjóða upp á auðkenningu með rafrænum skilríkjum. Ekki þarf að muna sérstakt notendanafn og lykilorð fyrir hvern og einn, aðeins eitt PIN-númer.

Þegar borin er saman hætta á árás þegar upplýsingar eru varðar með rafrænum skilríkjum annars vegar og einungis notendanafni og lykilorði hins vegar kemur í ljós að hættan með notendanafni og lykilorði er talsvert miklu meiri heldur en þegar notast er við rafræn skilríki. Hættan á því að einhver komist yfir notendanafn og lykilorð er flokkuð í hæsta áhættuflokk en rafræn skilríki eru ein þau öruggustu sem notuð eru.