Upplýsingaöryggi - InfoSec

Mannleg einfeldni oft hættulegust

Mannleg einfeldni oft hættulegust

(Greinin birtist fyrst 7. október 2009)

Flestir tölvuglæpir treysta á mannlega einfeldni og mannlega bresti.  T.d. er talið að 70 - 80% allra öryggistilfella séu vegna starfsfólks, bæði viljaverk og óviljaverk.  Annars er skipting eitthvað í dúr við eftirfarandi:

  • 57% óviljaverk

  • 24% viljaverk

  • 11% bilun í búnaði

  • 3% hugbúnaðarvillur

  • 5% annað

Síðan eru að sjálfsögðu oft tengsl á milli óviljaverka og viljaverka, þ.e. fólk lætur upplýsingar af hendi af asnaskap til aðila sem eru að fiska.

Ég held að það sé alveg öruggt að allir láta einhvern tímann glepjast.  Oftast er það saklaust, en stundum hefur það alvarlegar afleiðingar. 

Stærsta kortasvindl í heimi mun t.d. hafa byrjað sem tölvupóstsending sem varð til þess að Trójuhesti var komið fyrir.  Þetta hefur leitt til þess að nokkur fyrirtæki hafa þurft að greiða meira en 1 milljarð USD í skaðabætur og sektir og hundruð milljóna kortafærslna og greiðslunúmera komust í hendur óviðkomandi.  Hvort sem það er afleiðing eða ekki, þá þurfa núna öll fyrirtæki sem vista greiðslukortanúmer á upplýsingakerfum sínum að uppfylla strangar öryggiskröfur.  Já, svo það fari ekkert á milli mála, ALLIR SEM VISTA GREIÐSLUKORTANÚMER Á UPPLÝSINGAKERFUM SÍNUM ÞURFA AÐ UPPFYLLA ÖRYGGISSTAÐAL GREIÐSLUKORTAFYRIRTÆKJA (PCI DSS).  Það er síðan mismunandi hvernig fyrirtækin þurfa að sýna fram á að þau standist kröfurnar.

Hvort sem okkur líkar það betur eða verr, þá aukast líkurnar á hverjum degi á því að við föllum í einhvera þá gildru sem egnd er fyrir okkur.  Það sem er að færast í vöxt, er að fyrst gerist eitthvað sakleysislegt og meðan því er sinnt, þá kemur aðalárásin.  Þannig að baki vírusaárás gæti verið tilraun til að koma fyrir Trójuhesti eða laumurás.

Fyrirtæki verða að hafa í huga að sakleysisleg mistök og óviljaverk starfsmanna kosta þau líklegast meira, en jafnvel hin lævíslegasta árás.  Vandinn er að menn halda oftast ekki utan um kostnað af mistökum og óviljaverkum starfsfólks.  En nú eru það líklegast viljaverkin sem eru hættulegust.  Staðreyndin er að hvati til viljaverka hefur líklegast aldrei verið meiri.  Þökk sé efnahagsástandinu.  Tölva hverfur, gögn eru afrituð og seld samkeppninni, fjármálafærslur falsaðar, reikningar búnir til eða kreditfærðir til að komast fyrir pening, viðskiptavinir fá afslátt sem þeir eiga ekki að fá og fleira og fleira.  Hvernig er eftirliti háttað á þínum vinnustað?  Er eitthvað eftirlit?

Ég ætla í lokin að benda þeim sem umhugað er um upplýsingaöryggi, já, upplýsingaöryggi ekki bara upplýsingatækniöryggi, á sínum vinnustað, að 22. október heldur Staðlaráð Íslands námskeið í upplýsingaöryggisstöðlunum ISO/IEC 27001 og ISO/IEC 27002.  Hvort sem menn nýta sér svona námskeið eða ekki, þá mæli ég eindregið með því að stjórnendur fyrirtækja og stofnana tryggi að hjá þeim sé einhver sem hefur grunnþekkingu á þessum málum.  Einnig mæli ég með því að fyrirtæki búi yfir þekkingu á áhættustjórnun og stjórnun rekstrarsamfellu.  Ég er að mæla með þessu, vegna þess að ég sé það í mínu starfi hvað menn líta allt öðrum augum á reksturinn eftir að hafa farið í gegnum áhættumat og öryggisgreiningu.