Lélegt lykilorð fyrrverandi starfsmanns reyndist örlagaríkt

Nicole Perlroth, fyrrverandi sérfræðingur bandaríska fjölmiðilsins New York Times í tölvuöryggismálum og núverandi ráðgjafi Tölvuöryggisstofnunar Bandaríkjanna (e. Cybersecurity & Infrastructure Security Agency), hélt erindi á Haustráðstefnu Advania í gær. Þar fór hún yfir landslagið í tölvuöryggismálum heimsins.

Hóf hún fyrirlestur sinn á umfjöllun um tölvuvopnið Stuxnet sem ljósi var varpað á árið 2010, um það leyti sem Perlroth hóf störf á New York Times. Talið er að Stuxnet hafi verið þróað af bandarískum og ísraelskum yfirvöldum og að því að hafi verið beitt til að eyðileggja fyrir kjarnorkuvopnaþróun Írana, sérstaklega tilraununum þeirra til að auðga úran.

Enginn spurði hvort það væri gáfulegt að tengja allt við netið

Sagði hún að Stuxnet hafi verið fyrsta tölvuvopnið sem var sérstaklega ætlað að eyðileggja raunverulega hluti, en ekki bara til þess að framkvæma njósnir eða annars konar minniháttar tölvuárásir. Sagði hún að þessi þróun hafi átt sér stað á nákvæmlega sama tíma og fyrirtæki og einstaklingar hófu að nýta sér það í auknum mæli að snjallvæða alla mögulega hluti.„

Við vorum að tengja pípulagnir, raforkukerfi, spítala, gangráða, heimili okkar, snjallofnana okkar og snjallísskápana og barnahlustunartækin við internetið.

Enginn staldraði við til að segja: Þó að við getum tengt þessa hluti, ættum við að gera það?,“ sagði hún.

Sagði hún að á þeim tíu árum sem liðin eru hafi þessi þróun bara orðið umfangsmeiri.

„Spólum fram tíu ár í tímann og það er ekki lengur hræðsluáróður að segja að við stöndum frammi fyrir stafrænum hamförum. Ég trúi því í einlægni að við höfum aldrei verið nær slíkum hamförum,“ sagði Perlroth.

Tölvuárás sem lamaði nærri efnahag Bandaríkjanna hófst með lélegu lykilorði

Tók hún sem dæmi nýlega tölvuárás á Colonial-eldsneytislínuna í Bandaríkjunum, sem framin var á síðasta ári.

Árásin var framkvæmd af netglæpahóp sem kallar sig DarkSide. Braust hann inn í kerfi Colonial og tók 100 gígabæt af gögnum „í gíslingu“. Hópurinn lokaði fyrir eldsneytisleiðslu fyrirtækisins, eina mikilvægustu eldsneytisleiðsluna á austurströnd Bandaríkjanna. Krafðist hópurinn greiðslu lausnargjalds til þess að opna fyrir leiðsluna að nýju.

Um það bil 2,5 milljónir tunna af eldsneyti flæða um Colonial-leiðsluna daglega en það jafngildir um 45 prósent eldsneytisnotkunar austurstrandarinnar.

„Þeir gátu þar með náð stjórn á mikilvægustu flutningsæð fyrir dísilolíu, gas og þotueldsneyti til austurstrandar Bandaríkjanna,“ sagði Perlroth. Að lokum fór það svo að Colonial greiddi lausnargjaldið. Staðan var enda metin svo að ekki væri hægt að hafa leiðsluna lokaða mikið lengur. Sagði Perlroth að raunar hafi staðan verið grafalvarleg vegna árásárinnar.

„Ég fjallaði um þá árás og það kom mér mjög á óvart á þeim tíma er að í leyniskýrslu sem orkumálaráðuneyti Bandaríkjanna kom fram að Bandaríkin gætu aðeins þolað tvo til þrjá daga í viðbót af áhrifum þeirra árásar,“ sagði Perlroth.

Það var ekki þotueldsneytið, eða gasið sem skipti sköpum þar sem til voru varabirgðir. Það var framboðið á dísileldsneyti sem var mjög mikilvægt verksmiðjum Bandaríkjanna. Þá sagði hún að að þeir sem stóðu að baki árásinni hafi ekki einu sinni þurft að þróa tæknina að baki árásinni, þeir gátu einfaldlega leigt tólin.

En hvernig komust þeir inn?

„Þetta hófst á því að fyrirtækið gleymdi að loka fyrir aðgang fyrrverandi starfsmanns. Aðgangurinn var læstur með lélegu lykilorði og fyrirtækið notaði ekki fjölþátta auðkenningu.“

Þannig hafi eitt stolið lykilorð verið nálægt því að hafa lamandi áhrif á efnahag Bandaríkjanna.

„Þetta má ekki vera staðan í dag í tölvuöryggismálum og alls ekki í þessum lykilkerfum.“