Tækni & vísindi | mbl | 26.9.2023 | 11:20 | Uppfært 15.10.2023 18:52

Gríðarleg fjölgun netöryggisatvika í ár

Guðmundur Arnar Sigmundsson, sviðstjóri netöryggissveitarinnar CERT-ÍS. mbl.is/Kristinn Magnússon

Það sem af er þessu ári hefur skráðum netöryggisatvikum fjölgað um 60% frá því í fyrra, en það var einnig metár. Er fjöldinn það sem af er ári þegar orðinn meiri en allt árið í fyrra. Þetta virðist vera í takti við fjölgun slíkra mála hjá erlendum vinaþjóðum. Þetta segir Guðmundur Arnar Sigmundsson, sviðstjóri netöryggissveitarinnar CERT-ÍS.

Guðmundur segir fjölgunina ná yfir alla málaflokka, en langflest tilvikin heyra þó undir svindl og svindlpósta. Segir hann mikla þróun hafa verið í framsetningu slíkra pósta undanfarið, sem líklega megi að einhverju leyti rekja til gervigreindar, en einnig er uppi grunur um að einhver innfæddur hafi aðstoðað netglæpamenn við að semja pósta.

Í fyrra var heildarfjöldi netöryggisatvika sem kom á borð CERT-ÍS samtals 700. Langflest mál, eða 422 þeirra tengdust svindli, en það eru svokallaðar netveiðar þar sem reynt er að komast yfir viðkvæmar upplýsingar eins og kortanúmer eða lykilorð. Á ensku hefur þetta verið kallað „phishing“. Fjölgaði heildarmálafjöldanum úr 598 árið áður, en þá voru svindlmálin 446. Árið þar á undan, eða árið 2020, var heildarfjöldi atvika aðeins 266 og hafði þeim því fjölgað um 263% á tveimur árum.

Fjölgun í öllum málaflokkum

Guðmundur segir við mbl.is að það sem af er þessu ári horfi CERT-ÍS á um 60% fjölgun í það heila. Miðað við fjölda atvika í fyrra þýðir það að heildarfjöldinn nú í september er kominn upp í um og jafnvel yfir 800. Guðmundur segir fjölgunina eiga við um alla af þeim tíu undirflokkum sem stofnunin flokkar atvik í. Auk svindls eru flokkarnir: spillikóði, upplýsingasöfnun, tilraun til yfirtöku, innbrot, tiltækileiki, upplýsingaöryggi, veikleikar, níðingsefni og annað.

Spurður hvað valdi þessari miklu aukningu segir Guðmundur að erfitt sé að segja nákvæmlega til hér á landi þar sem áreiðanleg gögn nái ekki mörg ár aftur í tímann. Þannig hafi hópurinn nú betri yfirsýn yfir málaflokkinn og skrái mögulega fleiri mál en áður. Hins vegar segir hann fjölgunina ekki óvenjulega þegar þær eru bornar saman við tölur erlendis frá þar sem fullkomnari upplýsingar um atvikafjölda ná lengra aftur.

Fjöldi netöryggisatvika sem komu á borð CERT-ÍS árið 2022. Graf/CERT-ÍS

Úr 2 í 13 starfsmenn á þremur árum

CERT-ÍS er deild innan Fjarskiptastofu sem gegnir hlutverki landbundins öryggis- og viðbragðsteymis vegna ógna, atvika og áhættu sem varðar net- og upplýsingaöryggi. Þá stendur deildin fyrir fyrirbyggjandi aðgerðum eins og ráðgjöf, upplýsingamiðlun og útgáfu leiðbeininga, en Guðmundur nefnir einnig að búið sé að koma upp sex sviðshópum innan geira sem teljast rekstrarlega mikilvægir sem hafi samstarf sína á milli og við CERT-ÍS um viðbúnað og aðgerðir þegar kemur að netöryggismálum.

Að sögn Guðmundar hefur mikið uppbyggingarstarf átt sér stað hjá CERT-ÍS undanfarin ár, en í hópnum hefur fjölgað úr 1,5 til 2 starfsmönnum upp í 13 í dag og segir hann að stefnt sé að því að fjölga í 15 innan skamms, en skortur á sérhæfðu starfsfólki ráði því að enn hafi ekki verið ráðið í stöðurnar. Deildin hafi í raun farið að stækka mikið eftir innleiðingu löggjafar árið 2020 með tilheyrandi fjármagni og sé stofnunin nú að ljúka þriggja ára uppbyggingarfasa til að geta staðið jafnfætis samstarfsaðilum erlendis.

Vilja byggja upp betra greiningarstarf

Guðmundur segir að vel hafi gengið undanfarin ár hér á landi að byggja upp og verja upplýsingakerfi. Stóra verkefnið sem nú sé unnið að og sé fram undan sé að byggja betur upp greiningarvinnu, en CERT-ÍS hefur hingað til notið góðs af samstarfi við vinveittar þjóðir í slíkri vinnu. Nefnir hann sem dæmi að í tengslum við leiðtogafundinn í Hörpu fyrr á árinu hafi erlend CERT-teymi aðstoðað við greiningarvinnu þeirra árása sem áttu sér þá stað. „Þetta er eitthvað sem við viljum byggja upp,“ segir Guðmundur.

Fyrrnefndir sviðshópar eru að sögn Guðmundar mjög mikilvægir í allri vinnu CERT-ÍS, en þar skiptast fyrirtæki og stofnanir í fjarskiptageiranum, fjármálaþjónustu, orku- og umhverfismálum, heilbrigðisþjónustu og í samgöngugeiranum á upplýsingum um ógnir og viðbúnað við netárásum. „Við fáum gífurlegt magn upplýsinga sem verða til beint út af örkinni og fáum þessar upplýsingar þannig beint til okkar,“ segir hann.

Hann segir hópinn einnig hafa yfir að búa tækjum og tólum sem greini árásir og ógnir í stóra samhenginu, en að slík tæki og tól grípi ekki svikapósta eða annað sem beint sé að einstaklingum.

Langflest tilfelli netárása koma erlendis frá. Dæmi hafa þó verið um að íslenskar IP-tölur tengist einhverjum tilfellum. Guðmundur segir hins vegar að engar vísbendingar séu uppi um að vísvitandi ásetningur innlendra einstaklinga sé þar að baki og er frekar talið líklegt að um sýktar innlendar tölvur sé að ræða.

„Filterinn er horfinn“

Spjallið snýst að þeim fjölda svikapósta sem flestir íslenskir netnotendur hafa ekki farið varhluta af undanfarna mánuði og ár. Þannig hefur meðal annars ítrekað verið sendur út svikapóstur eða -SMS í nafni Póstsins þar sem notendur eru beðnir um að fara inn á falskar síður eða gefa upp upplýsingar.

Guðmundur segir að svo virðist vera sem svikahrappar sem noti þessar aðferðir hafi á heimsvísu mest beint augum sínum að fjármálafyrirtækjum og póstdreifingarfyrirtækjum. Hann segir íslenskuna í þessum póstum orðna mjög góða og að í nokkurn tíma hafi verið upp grunur um að innfæddur Íslendingur væri að aðstoða við uppsetningu svikapóstanna. Guðmundur tekur þó fram að gervigreindarforrit hafi á síðasta ári eða tveimur þróast það mikið að þau geti auðveldað mikið svikastarfsemi.

Netöryggissveitin CERT-ÍS starfar sem svið innan Fjarskiptastofu. mbl.is/Kristinn Magnússon

Segir hann að áður fyrr hafi íslenskan lengi verið ákveðinn „filter“ á svikastarfsemi þar sem ekki hafi þótt tilraunarinnar virði að herja á jafn lítinn markað og hér. Þetta hafi heldur betur breyst. „Filterinn er horfinn og við þurfum að vera mun meira á varðbergi en áður,“ segir Guðmundur.

Nefnir hann sem dæmi að í einhverjum tilfella þar sem þrjótar hafi reynt að fá fólk til að slá inn upplýsingar á síðum fyrirtækja hafi ekki bara verið búið að afrita síðuna, heldur hafi einnig verið komið upp svokölluðum spjallmennum sem gátu gefið upplýsingar á íslensku.

Aukaskref sem getur sparað milljónir

Segir hann að gamla tuggan um heilbrigða tortryggni gildi og að ef einhver nálgist þig óvænt til að biðja þig um að ýta á hlekk, millifæra ákveðna upphæð eða annað álíka, þá sé alltaf best að sannreyna það með að t.d. hringja í viðkomandi eða senda honum skilaboð eftir öðrum leiðum og fá staðfestingu á að góður hugur fylgi fyrri beiðni.

Segir Guðmundur að þetta eigi bæði við um beiðnir til einstaklinga og þeirra sem vinni fyrir stærri fyrirtæki eða stofnanir. Þannig þurfi t.d. þeir sem sjái um stórar millifærslur að vera á varðbergi ef það komi beiðni sem virðist vera frá yfirmanni um óvænta greiðslu að athuga hvort beiðnin sé 100% raunveruleg.

„Þetta er auka skref, en skref sem getur sparað einstaklingum og fyrirtækjum milljónir,“ segir Guðmundur og bendir á að heildartap einstaklinga hafi í fjölda tilvika hlaupið á milljónum og endurheimtur eru sjaldnast yfir 1%. Segir hann uppruna árásanna vel falinn og að peningaslóðin hverfi venjulega í löndum þar sem erfitt sé að óska eftir einhvers konar réttaraðstoð.

Árásum beint að starfsmönnum

Guðmundur segir fyrirtæki almennt nokkuð vel í stakk búin þegar komi að því að verja sig utan frá og talsverðum upphæðum hafi verið varið í slíkar varnir. Hættan hjá fyrirtækjum sé hins vegar að mestu mannlegi þátturinn þegar fyrrnefndar svikaárásir beinast í raun að því að koma óværu fyrir á tölvu starfsmanna og vera þannig komin inn fyrir varnir fyrirtækja. „Við vitum að það virkar vel að beina árásum að einstaklingum sem vinna innan veggja fyrirtækja um að opna til dæmis einhvern hlekk.“

„Um leið og slíkir hlekkir eru opnaðir er viðkomandi kominn inn fyrir varnirnar og þá er ógnin oft sú að innri gögn eða upplýsingar eru teknar í gagnagíslingu. Annað hvort er gögnum læst eða reynt að kúga með hótun um að opinbera upplýsingar,“ segir Guðmundur. „Þá geta mögulega vikur eða mánuðir orðið fyrir bí.“

Pólitískar ákvarðanir geta sett Ísland á kortið

Talsvert var rætt um aukna ógn netárása í kringum leiðtogafundinn fyrr í ár og þegar á reyndi voru hópar hliðhollir stjórnvöldum í Rússlandi sem gerðu árásir meðan á fundinum stóð. Guðmundur segir að stundum séu pólitískir viðburðir sem setji Ísland á kortið og alla jafna komi þá fram aukning í netárásartilraunum. Þetta eigi oftast við þegar um umdeildar pólitískar ákvarðanir sé að ræða og Ísland rati á heimskortið hjá þjóðum sem ákveðinn styr ríki um í alþjóða pólitíkinni. Nefnir hann sem dæmi að þetta geti gerst þegar pólitíkin tengist Rússlandi, Kína og Íran.

Hann segir athyglina sem beindist að Íslandi vegna leiðtogafundarins hafa að mestu lognast út af.

Frétt af mbl.is

Viðbúnaður vegna netárása út vikuna

Samstarf Ísland við erlenda CERT-hópa hefur að sögn Guðmundar að miklu leyti snúist um æfingar og að vera til staðar við greiningarvinnu. „Með leiðtogafundinn var mjög sterkt að vera með erlenda kollega tilbúna, þó það hafi ekki reynt mikið á, en vorum með stuðning frá öflugari CERT-hópum við greiningarvinnu.“

Segir Guðmundur að eitt af því jákvæðasta sem hafi átt sér stað fyrir Ísland undanfarið í netöryggismálum sé jákvæð þróun í samstarfi vinaþjóða. Það eigi við um æfingar, beint samstarf og með að deila reynslu. Segir hann þetta hjálpa íslensku sveitinni mikið og að nýleg reynsla af sameiginlegri NATÓ-æfingu, þar sem CERT-ÍS fékk að starfa með sænskum kollegum, hafi verið gríðarlega lærdómsrík.