Um 36% af vefkerfum sem stærri fyrirtæki á Íslandi nota eru í áhættuflokki vegna þess að þau eru orðin eldri en 10 ára eða búa yfir þekktum veikleikum sem gætu auðveldað tölvuþrjótum að brjótast inn. Þá er gífurlegur fjöldi af opnum ódulkóðuðum þjónustum (e. port)  í gangi á íslenskum ip-tölum, sem bjóða upp á það að hver sem er geti skoðað samskiptin sem þar fara um. Þetta kemur fram í könnun sem KPMG gerði á þroskastigi íslenskra öryggismála, en niðurstöðurnar benda til þess að Íslendingar eigi enn langt í land með að koma öryggismálum í lag.

Mikið um ódulkóðaða þjónustu

Könnunin var gerð síðasta sumar, en starfsmenn KPMG gerðu heildarúttekt á öllum íslenskum ip-tölum og skoðuðu hundrað algengar þjónustur, svo sem tölvupóst og vefþjóna. Eðlilegt er að slíkar þjónustur séu í gangi, en könnunin náði til þess hvort þær væru ódulkóðaðar og hvort kerfin væru með þekkta öryggisgalla eða orðin gömul.

Af þeim 770 þúsund ip-tölum sem tilheyra Íslandi voru 38 þúsund opnar þjónustur. Slíkt er í sjálfu sér alls ekki slæmt, en af þessum þjónustum voru tæplega tíu þúsund svokallaðar telnet-þjónustur. Svavarr Hermannsson, sérfræðingur í  áhættustýringu upplýsingakerfa hjá KPMG, segir að þetta séu alveg ódulkóðaðar þjónustur sem enginn eigi að vera með opnar í dag. Þá voru einnig sex þúsund FTP-þjónustur og þrettán hundrað POP3-þjónustur opnar, en Svavar segir þær einnig ódulkóðaðar og óöruggar að því leyti til.

Þriðjungur í áhættuflokki

Vefsíður um 570 stórra fyrirtækja og tæknifyrirtækja voru einnig skoðaðar, en þar kom í ljós að 36% síðnanna voru í áhættuflokki vegna þess vefkerfis sem var notað. Skýrist það af því að þær notast við gömul kerfi eða þá að útgáfurnar séu með þekkta öryggisgalla. Aðeins 34,5% vefsíðna voru flokkuð undir litla áhættu, en staða á þriðjungi síðnanna var óþekkt. Þar inni eru meðal annars flestöll íslensk vefumsjónarkerfi, en Svavar segir að fæst þeirra hafi opinberlega gefið út öryggisuppfærslur á síðustu árum. Segir hann það nokkuð athyglisvert í ljósi þess að risastór erlend vefumsjónarkerfi komi reglulega með uppfærslur og ólíklegt sé að íslensku kerfin hafi það mikla öryggisyfirburði að ekki þurfi að uppfæra þau.

2% vefsíðna afskræmd í fyrra

Önnur leið til að gera sér grein fyrir öryggisvandamálum íslenskra vefsíðna er sú staðreynd að 2% þeirra voru afskræmd á árinu 2013. Þá fóru tölvuþrjótar inn á síðurnar og breyttu þeim þannig að þær áframsendu notendur á einhverja aðra síðu. Þetta eru aðeins þær síður þar sem þrjóturinn hafði fyrir því að breyta vefsíðunni, en væntanlega var farið inn á mun fleiri síður án þess að þeim væri breytt og sótt þar gögn. Svavar segir að þetta snúist ekki einungis um að einhverjir táningar séu að leika sér að brjótast inn, heldur er mögulegt að búið sé að komast yfir mikið magn gagna og mögulega inn á fleiri kerfi en vefumsjónarkerfið til að sækja notendanöfn og lykilorð.

Öryggismenntun í lágmarki

Svavar segir að þroskastigið í öryggismálum hér á landi sjáist ágætlega á þeirri staðreynd að Íslendingar séu aðeins með skráð 41 af fjórum helstu skírteinum í öryggismálum. Þar af séu margir með fleiri en eitt, en Svavar er sjálfur með þrjú. Það sé því hægt að áætla að fjöldi öryggismenntaðra í upplýsinga- og tölvumálum hér á landi sé á bilinu tuttugu til þrjátíu. Þá segir hann marga þeirra sem eru með próf hafa fundið sér annan starfsvettvang en öryggismál, enda ekki verið mikil eftirspurn þar síðustu árin. Það sé þó aðeins að breytast núna með aukinni vitundarvakningu.

Til að sporna við þessari þróun og snúa vörn í sókn segir Svavar að nauðsynlegt sé að koma tölvuöryggismálum betur að í tölvunarfræði. Hann segir að í dag séu aðeins tveir valkúrsar í boði um þessi mál og að ekki sé lögð nægjanlega mikil áhersla á hugbúnaðaröryggi eða rekstur hugbúnaðarkerfa, heldur sé mest áhersla á dulkóðun. Þá segir hann að fyrir stjórnendur væri æskilegt að læra um upplýsingaöryggi. Þannig mætti til dæmis koma inn á mikilvægi veikleikagreininga, innbrotsprófana og öryggisúttekta fyrir nemendur í MBA- og viðskiptafræðinámi. Svavar segir óþarfa að kenna öllum hvernig þetta sé framkvæmt, en að mikilvægt sé að kenna fólki hvað það þurfi að passa að sé í lagi og að hverju þurfi að spyrja í samningaviðræðum. Nefnir hann sem dæmi um það hvort öryggisuppfærslur séu innifaldar í kaupum á öryggisbúnaði eða hvort búið sé að gera öryggisúttekt af óháðum aðila á búnaðinum.

Svavar Hermannsson,sérfræðingur í áhættustýringu upplýsingakerfa hjá KPMG, segir Íslendinga vera eftirbáta annarra þjóða í tölvuöryggismálum.

Hér má sjá áhættugreiningu á vefþjónum eftir mismunandi atvinnugreinum. Mynd/KPMG

Tengdar fréttir

Tölvu- og netöryggi

Svikin hlaupa á milljónum króna

• Enn í tilraunafasa en metnir á 1,4 milljarða
• Gríðarleg fjölgun netöryggisatvika í ár
• Ísland og Úkraína fá aðild að CCDOE
• Framsóknarmenn eru víða

» Fleiri tengdar fréttir

• Blogga um frétt