Tölvuglæpir og tölvuhernaður

Í Aftenposten þann 29. ágúst sl. er greint frá því að Öryggisráð Noregs (NSM) hafi í fyrsta sinn orðið vart við tölvuárás á orkufyrirtæki þar í landi en ekki er greint frá því hvaða fyrirtæki urðu fyrir barðinu á þessari árás.

Tölvuglæpamenn höfðu verið að prófa sig áfram í langan tíma áður en ráðist var á orkufyrirtæki í Noregi en fyrr á árinu létu þeir til skarar skríða í Hvíta-Rússlandi og Þýskalandi. Notast var við veikleika í hugbúnaði frá Siemens (Simatic WinCC) sem notaður er til að stýra búnaði í allt frá pizzaofnum til olíuborpalla. Þennan hugbúnað er að finna í a.m.k. 200 fyrirtækjum í olíuiðnaði, orkuiðnaði og málm- og matvælafyrirtækjum. USB lykill var skilinn eftir sem innihélt tölvuóværu (Trojan) og þegar starfsmaður fyrirtækis tengdi hann við tölvu smitaði hann tölvuna og þaðan var árásinni svo stýrt. Það er ekki enn vitað hverjir stóðu á bak við þessa árás né í hvaða tilgangi.

Leiða má að því líkum að upplýsingakerfi sem íslensk fyrirtæki og stofnanir nota séu allt eins líkleg skotmörk tölvuþrjóta í þeim tilgangi að leita leiða til að prófa sig áfram við hönnun kerfa og aðferða sem notuð eru annars staðar í heiminum. Jafnvel sem stökkpall til að framkvæma árásir frá.

Dr. Charlie Miller, stærðfræðingur sem vann fyrir öryggisráð bandarískra stjórnvalda við hönnun á tölvuvarnarbúnaði (Intrusion Detection System IDS) og kannaði veikleika upplýsingakerfa annarra landa í fimm ár, færði rök fyrir því, byggð á rannsóknum undanfarinna ára, að hægt væri að taka niður helstu stoðkerfi Evrópusambandsins. Það myndi kosta um 100 milljónir Bandaríkjadala, 750 manns og tvö ár til að framkvæma. Slík árás í framkvæmd myndi vera með sama sniði og árásir á norsk orkufyrirtæki þar sem tölva starfsmanns t.d. hjá London Stock Exchange eða frönsku orkufyrirtæki væri smituð með njósnahugbúnaði. Næstu 12-18 mánuði væru notaðir til að safna gögnum um högun kerfa, koma fyrir hugbúnaði víðar á innri netum, hlera netsamskipti og komast yfir aðgangsorð o.s.frv.

Þetta væri gert í þeim tilgangi að komast yfir stjórnborð búnaðar sem notaður er til að stýra miðlægum kerfum. Um 18-21 mánuðum síðar væri hin eiginlega árás gangsett. Opnað yrði fyrir eldveggi og svokölluð DDOS (Distributed Denial of Service) árás sett af stað sem myndi slökkva á öllum helstu stoðkerfum og íbúar Evrópusambandsins myndu vakna upp við rafmagnsleysi, sím- og netkerfi óvirk, bankakerfi lamað, samgöngur niðri o.s.frv. Það myndi taka nokkra daga að koma öllum kerfum í gang að nýju en afleiðingarnar yrðu gífurlegar svo ekki sé talað um kostnað og trúverðugleika almennings á upplýsingatækni.

100 milljónir Bandaríkjadala er ekki há upphæð ef hún er sett í samhengi við til dæmis það að Tiger Woods greiddi fyrrum eiginkonu sinni þessa upphæð vegna skilnaðar þeirra, þessa upphæð er hægt að vinna á eina hönd í póker í Las Vegas og svo mætti áfram telja.

Það má áætla að um 1,6 milljarðar árása séu gerðir daglega á fyrirtæki og opinbera aðila í Bandaríkjunum. Tölvuhernaður er nýtt hugtak sem við eigum eftir að venjast og þótt það geti hljómað eins og vísindaskáldskapur þá er það fjarri því.

Árás áþekk þeirri í Noregi hefur verið framkvæmd áður, þann 27. apríl 2007 réðust tölvuþrjótar á Internetfréttaveitu í Eistlandi á sama tíma og landið var í harðvítugum pólitískum deilum við Rússa. Árásir héldu áfram að stigmagnast á næstu þremur vikum sem enduðu með því að helstu stoðkerfi Eistlands voru knésett. Mun þróaðri árásir gætu mögulega fylgt í kjölfar þessara árása því þeir sem stjórnuðu árásinni öfluðu gagna sem hægt væri að nýta til annarskonar árása víðsvegar um heiminn. Einnig var gerð tölvuárás á Georgíu nokkru áður en Rússar réðust inn í landið 2008 og 2009 þegar átök voru þar í landi yfir héraðinu Abkasíu í Suður-Ossetíu.

Hér á landi mætti færa rök fyrir því að við séum það fjarri öðrum löndum að lítill ávinningur væri fyrir tölvuglæpamenn að valda skaða eða brjótast inn í helstu stoðkerfi landsins en það er því miður öðru nær. Við erum álitlegt skotmark t.d. fyrir aðila sem myndu vilja æfa slíkar árásir því við erum að keyra sama hugbúnað og önnur lönd. Annað dæmi um álitlegt skotmark er Wikileaks en fréttir berast af því að hér á landi verði settur upp fréttamiðill frá þeim.

Nýlega birti heimasíða Wikileaks trúnaðargögn ýmissa stjórnvalda og varð fyrir árás tölvuþrjóta. Þar kemur m.a. fram að kínverskur ráðamaður lét fyrirskipa tölvuárás á Google eftir að hafa séð slóð á heimasíðu sem innihélt upplýsingar um viðkomandi sem honum mislíkaði. Einnig má þar finna upplýsingar um að Bandaríkin telji verulega ógn stafa af tölvuhernaði Kínverja.

Þrátt fyrir að við Íslendingar séum eyland og að hér sé enginn her þá megum við ekki sofna á verðinum, „stinga hausnum í sandinn" og gera ráð fyrir því að ekkert slæmt muni henda okkur. Það er mjög mikilvægt að íslensk stjórnvöld séu nú markvisst að vinna að mótun áætlana til að lágmarka tjón sem stafað gæti af völdum tölvuhernaðar.