Ógnin er farin að raungerast

Árásin sem HS Orka varð fyrir á dögunum og Fréttablaðið greindi frá á mánudagsforsíðu sinni er ekkert einsdæmi í íslensku viðskiptalífi. Raunveruleikinn er sá að um viðvarandi ógn er að ræða fyrir íslensk fyrirtæki og starfsmenn þeirra. Forsvarsmenn HS Orku hafa ekki viljað staðfesta hver upphæðin var sem þjófarnir komust undan með en heimildir Fréttablaðsins herma að upphæðin hafi numið á fjórða hundrað milljóna króna.

„Þetta er gríðarlega viðkvæmt mál fyrir fyrirtæki og ekki síður starfsfólk. Fyrirtækin óttast að orðspor þeirra beri hnekki ef í ljós kemur að þau hafi fallið í slíka gildru. Þá getur maður rétt ímyndað sér hvernig það er fyrir starfsmenn sem láta glepjast af slíkum svikum að mæta til vinnu og horfast í augu við vinnuveitendur sína,“ segir Guðný Hjaltadóttir, lögfræðingur hjá Félagi atvinnurekenda (FA).

Í vor héldu samtökin morgunverðarfund með yfirskriftinni: „Hvernig geta fyrirtæki varist netglæpum?“ Í ljósi tíðindanna af HS Orku er ljóst að tilefni slíks fundar var ærið.

„Okkar tilfinning er að tíðni slíkra svikatilrauna færist sífellt í vöxt og margir aðilar sem hafa fallið í gryfjuna. Þetta eru ekki bara fyrirtæki heldur einnig stofnanir, samtök og íþróttafélög,“ segir Guðný.

Hún segist hafa heyrt af nokkrum mismunandi birtingarmyndum slíkra glæpa. „Ég veit um dæmi hjá íslensku fyrirtæki þar sem tölvuþrjótar komust inn í fyrri samskiptasögu við birgi. Síðan kom beiðni um að greiða umsamda upphæð inn á nýjan reikning og það var gert í góðri trú. Síðar kom þjófnaðurinn í ljós og það skapaði einnig alls konar vandamál í samskiptum við birginn sem fyrirtækið taldi sig hafa gert upp við,“ segir Guðný. Önnur tegund eru síðan greiðslufyrirmæli sem berast í tölvupósti frá þekktum aðila og fagmannlega unninn reikningur með, sem virðist algjörlega ósvikinn, En þegar betur er að gáð er búið að breyta einum staf í netfangi viðkomandi og því ekki allt sem sýnist.

Guðný segir að lausnin fyrir fyrirtæki sé að yfirfæra verkferla sína vandlega við útgreiðslu fjármuna. „Mörg af þessum dæmum sem við hjá FA höfum heyrt af hefði verið hægt að koma í veg fyrir með skýrum verkferlum. Til dæmis að taka upp símann og hringja í viðskiptaaðilann til þess að staðfesta breytingar á reikningi,“ segir Guðný.

Undir þessi varnaðarorð tekur Kristján Hákonarson, öryggisstjóri hjá Advania.

„Þessi ógn hefur lengi verið yfirvofandi en núna eru árásir að raungerast. Við Íslendingar erum oft á tíðum bláeygðir þegar kemur að slíkum glæpum. En við finnum vel að það er mikil vakning hjá fyrirtækjum að hafa tæknimálin í lagi,“ segir Kristján.

Hann segir að árásir sem þessar séu ótrúlega vel skipulagðar. „Það virðist vera setið um stjórnendur fyrirtækja og reynt að lokka þá inn á síður þar sem þeir þurfa að skrá sig inn með notendanafni og lykilorði, til dæmis vinsælar póstþjónustur á netinu. Vefsíðan virðist í lagi en er í raun skálkaskjól þrjótanna. Ef starfsmaðurinn gengur í gildruna eru þeir komnir inn í tölvupóstinn þar sem þeir fylgjast með samskiptum og bíða færis. Þetta er erfitt viðureignar en lausnin felst meðal annars í því að tryggja reglulegar uppfærslur og virkar vírusvarnir. En fyrst og fremst með svokallaðri tvöfaldri auðkenningu á þjónustum á netinu og gæta þess að verkferlar séu í lagi,“ segir Kristján.