Kapp­kosta við þjálfun starfs­fólks til að geta sinnt verk­efnum kollega sinna á flótta í Úkraínu

Hallgrímur Thorberg Björnsson er framkvæmdastjóri rannsókna, þróunar og greiningar hjá Cyren á Íslandi og Magni R. Sigurðsson er forstöðumaður greiningar- og tæknimála. Þeir segja síðustu daga og vikur hafa verið erfiðar þar sem þeir hafi fylgst með raunum samstarfsmanna sinna í Úkraínu.

Kom starfsfólki á óvart

Hallgrímur segir að það hafi komið starfsfólki Cyren í Kænugarði mjög á óvart þegar fréttir bárust af því að Rússar hefðu raunverulega ráðist inn í landið fyrir um tveimur vikum síðan.

„Starfsmönnum hafði verið boðið að fara úr landi talsvert áður en til innrásarinnar kom, en flestir ákváðu að gera það ekki. Eftir að til innrásarinnar kom yfirgáfu einhverjir þó Kænugarð. Um helmingur starfsmanna Cyren í Úkraínu er nú ýmist flúinn úr landi eða hefur komið sér fyrir annars staðar í Úkraínu þar sem það vill ekki sundra fjölskyldu sinni. Í Úkraínu er það nú þannig að karlmenn, sextán til sextíu ára, mega ekki fara úr landi. Sumir hafa því fundið sér griðastað nálægt landamærunum í vesturhluta Úkraínu, til að halda fjölskyldum sínum saman.

En það er auðvitað upplausnarástand í Úkraínu, sprengjur að falla. Það varð því auðvitað rof í starfi fyrirtækisins. Það er ekki nokkur vinnukvöð af hálfu fyrirtækisins, heldur hafa starfsmenn verið beðnir um að huga að eigin öryggi og fjölskyldu sinnar. Það er samt þannig að starfsmenn fyrirtækisins annars staðar í heiminum, meðal annars á Íslandi, þurfa nú að taka við verkefnum starfsmannanna í Úkraínu til að hægt sé að tryggja varnir viðskiptavina á þessum tíma þar sem tölvuárásir hafa sjaldan verið fleiri,“ segir Hallgrímur.

Var hálfóstarfhæfur

Magni tekur undir að það hafi verið mjög skrýtið að fylgjast með þessum atburðum í Úkraínu. „Ég hef unnið mjög mikið með þessu fólki og það er enginn á skrifstofunni núna. Á föstudeginum eftir að þetta byrjaði var maður hálfóstarfhæfur. Maður var í miklum samskiptum við fólkið úti, eins mikið og það gat. Það voru þá nokkrir að reyna að komast úr landi. Þetta eru erfiðar og skýtnar tilfinningar.“

Hallgrímur segist hafa fengið þau skilaboð frá starfsfólki að það vilji vinna eins og unnt er. „Vinnan geri það að verkum að það geti haldið í eitthvað sem telst eðlilegt líf í þessu hræðilega, óeðlilega lífi sem það býr við nú. Annars væri það bara að horfa á slæmar fréttir allan sólarhringinn.“

Varnir gegn vefveiðum, ruslpósti og töluóværu

Cyren er alþjóðlegt hugbúnaðarfyrirtæki sem sérhæfir sig í netöryggi og að verjast tölvuárásum. Félagið er með starfstöðvar víða um heim – meðal annars í Dalshrauni í Hafnarfirði, Berlín í Þýskalandi, Washington DC í Bandaríkjunum, Ísrael og í Kænugarði í Úkraínu. Starfa alls um tvö hundruð manns hjá fyrirtækinu og þar af rúmlega þrjátíu á Íslandi.

Starfsemina á Íslandi má rekja fyrirtækisins FRISK Software International sem Friðrik Skúlason stofnaði á tíunda áratugnum sem er nú í eigu Cyren. Meðal stærstu viðskiptavina fyrirtækisins eru Google, Amazon og Microsoft, en á heimasíðu félagsins segir að meira en 1,3 milljarðar notenda um allan heim treysti á skýjaöryggislausnir þess til að vernda þá gegn netárásum og gagnatapi.

Hallgrímur segir að Cyren leggi áherslu á þrjá þætti þegar kemur að því að verjast tölvuárásum – að tryggja viðskiptavinum sínum vörn gegn svokölluðum vefveiðum (e. phishing), vörn gegn ruslpósti (e. spam) og svo vörn gegn tölvuóværu (e. malware). Starfsstöð Cyren á Íslandi leggi áherslu á varnir gegn tölvuóværu, en eitt af helstu verkefnum starfsmanna fyrirtæksins í Kænugarði hafi verið að tryggja varnir gegn vefveiðum.

Magni bætir við að starfsmenn félagsins á Íslandi leggi þannig áherslu á varnir gegn tölvuóværum, sem meðal annars sé ætlað að taka gögn í gíslingu. „Slíkum óværum er ætlað að ráðast á tölvur, dulkóða gögnin og svo er farið fram á greiðslu frá eigendum gagnanna til að þeir fái gögnin aftur. Hugbúnaðurinn okkar situr hjá gögnunum, hlustar og skannar tölvupóstinn sem kemur inn, hlustar á nettraffíkina. Þannig verjum við okkar viðskiptavini í gegnum tölvupóstinn þeirra, traffíkina sem fer í gegnum vafra, eða einfaldlega netkerfi stærri fyrirtækja í heild sinni. Stöðvar allar tölvuóværur.“

Settir í hraðþjálfun

Hjá starfstöð Cyren í Kænugarði starfa um þrjátíu manns hafa þeir verið hluti af sérstöku viðbragðsteymi fyrirtækisins þar sem ákveðnum viðskiptavinum er veitt persónuleg notendaþjónusta. „Til dæmis ef viðskiptavinurinn fær óværu eða verður fyrir árás þá getum við svarað um hæl. Við erum með fólk þar á vöktum allan sólarhringinn,“ segir Magni.

Hallgrímur segir að því hafi nú verið sett upp áætlun hjá fyrirtækinu til að hægt verði að halda starfseminni gangandi – áætlun sem feli meðal annars í sér að starfsmenn á Íslandi taki að hluta við þeim verkefnum sem hafi verið á könnu kollega sinna í Úkraínu.

„Við munum verða „backup“ fyrir viðbragðsteymið sem starfar í Úkraínu en sömuleiðis ef ske kynni að starfsemin þar myndi leggjast af tímabundið þá værum við reiðubúin að bregðast við. En þetta krefst þjálfunar, að læra inn á þessi verkefni. Þetta er ekki bara „plug and play“. Maður þarf að læra inn á þetta svo við höfum sett tólf starfsmenn í það að gangast undir þessa hraðþjálfun. Svo þessi innrás er sannarlega að hafa áhrif á starfsemi okkar á Íslandi þó að það sé auðvitað ekkert á við það sem er að gerast úti. En við verðum þá reiðubúin að taka við verkefnum eftir þörfum og sömuleiðis alfarið ef þetta færi allt á hliðina. Á sama tíma sinnum við okkar hefðbundnu verkefnum.“

Annað stríð samhliða stríðinu í „raunheimum“

Hallgrímur segir að net- og tölvuöryggisstríð (e. cyber warfare) hafi stóraukist í heiminum á síðustu árum.

„Í dag er það þannig að það eru tölvukerfi sem keyra alla helstu innviði allra landa. Þetta er svolítið eins og heitavatnsæðarnar, lagnirnar, ef tölvukerfin hætta að virka þá raskast starfsemin gríðarlega. Með tímanum eru þau sífellt fleiri nettengd og þar með er komin áhætta að einhver geri árás. 

Samhliða þessu raunheimastríði þá er netöryggisstríð í fullum gangi. Þar er verið að ráðast á tölvukerfi sem reka mikilvæga innviði í viðkomandi landi. Rússar hafa á síðustu árum gert fjöldann allan af mjög stórum slíkum árásum á Úkraínu og valdið miklum skaða. Eitt dæmið var að þeim tókst að koma einhverri óværu fyrir í bókhaldshugbúnaði sem nær öll fyrirtæki notuðu og olli þannig miklum skaða.“

„Wiper“-árásir og vopnakapphlaup

Magni segir að það sem sé að gerast núna, í tengslum við stríðið í Úkraínu, er að sérstaklega eru gerðar árásir þar sem notast er við óværu sem eyðir öllum gögnum í tölvukerfum og reynir sömuleiðis að eyða afritum.

„Þetta sáum við um leið og stríðið hófst var þessari óværu beint á marga innviði í Úkraínu og stofnanir. Á ensku kallast þetta „wiper“. Það sem gerist er að um leið og hún kemst í tölvuna þá fer hún út um allt í netkerfinu og eyðir gögnum. Reynir að eyðileggja alla starfsemi. Þetta er eitt af því sem við sáum strax í byrjun innrásarinnar. Svo höfum við séð talsvert um gagnagíslatökur. Möguleiki sé að stofnanir og netkerfi í Úkraínu séu berskjaldaðri fyrir árásum en þau voru fyrir innrásina. Við erum þá að fylgjast með þessum árásum og uppfærum okkar varnir og erum sömuleiðis að fyrirbyggja árásir.“

„Þetta er eins og vopnakapphlaup,“ segir Hallgrímur. „Það koma ný vopn og þá þarf að uppfæra varnirnar. Þetta gerist rosalega hratt þar sem þetta er hugbúnaður. Stöðugt nýjar tegundir af árásum. Þá þarf að reyna að grípa veiruna áður en hún kemst inn eða áður en hún verður skaðleg.“

Kafa ofan í undirheimana

Magni segir að það hafi gengið ágætlega að verjast árásunum nú. „Það hafa áður komið upp svona stórar árásir. Árið 2016 og 2017 voru til dæmis stórar gagnagíslaárásir sem tóku meðal annars út alla spítala Bretlands, flutningafyrirtæki og fleira. En þetta eru vissulega stórar árásir nú og mikil aukning í árásum sem eru sérstaklega beint að ákveðnum hópum og innviðum í Úkraínu.“

Hallgrímur segir að starfsmenn Cyren vinni meðal annars í því að kafa ofan í „undirheimana“ og fylgjast með hökkurum sem eru að búa til tól til að gera árásir, til að hægt sé að grípa til fyrirbyggjandi aðgerða.

„Þegar veikleikar í kerfum koma upp eins, og við sjáum mjög reglulega, reynum við að setja okkur í spor árásaraðila og hvernig þeir gætu mögulega nýtt sér veikleikann til árása. Svolítið eins og við sáum með Log4j í kringum jólin, í raun að vera einu skrefi á undan árásaraðilanum, segir Magni.

Tvöföldun árása ár frá ári

Magni segir að árásirnar nú í Úkraínu komi að megninu til frá Rússlandi. „Við sjáum að það eru hópar hliðhollir stjórnvöldum þar í landi sem eru að stórum hluta að standa fyrir þessu. En almennt þá eru árásir sem þessar einnig gerðar af skipulögðum glæpahópum sem standa fyrir svona gagnagíslatökum og eru að reyna að græða pening.“

Þeir Hallgrímur og Magni segjast gera ráð fyrir að netöryggisárásum muni bara fjölga á komandi árum, líkt og þróunin hefur líka verið síðustu ár.

„Síðustu ár höfum við sé tvöföldun árása á hverju ári. Við sjáum það á okkar gögnum. Árásirnar verða sífellt meira „targeted“, það er þær beinast að ákveðnum hópum. Árásirnar verða líka flóknari og markþættari svo það er nauðsynlegt að fólk og fyrirtæki séu meðvituð um þá hættu sem stafar af þessum árásum. Vera viss um að gögn og netkerfi séu vel varin gegn árásum og meðvituð um að klikka ekki á hvað sem er.“