Öryggi upplýsinga
Öryggi upplýsinga
Brátt eru liðin 25 ár síðan Tim Berners-Lee hjá rannsóknarstofnuninni CERN í Genf fann upp leið sem einfaldaði mjög fyrir fólk að skiptast á skjölum yfir internetið. Veraldarvefurinn byggist á þessari tækni og hefur leitt til þjóðfélagsbreytinga sem engan óraði fyrir og eru stundum settar í sama flokk og uppgötvun prentlistarinnar eða iðnbyltingin. Er þetta enda oft nefnt upplýsingabyltingin. Með henni eru dagleg samskipti heimshorna á milli orðin sjálfsagður hlutur, fólk sækir sér upplýsingar um gervalla jarðarkúluna þegar á þarf að halda og nýtur skemmtunar úr fjarlægum heimsálfum. Byltingin hefur breytt miklu í lífi einstaklinga og fyrirtækja, flestu til batnaðar.
Byltingum fylgja þó ávallt miður æskilegar hliðarverkanir. Við Íslendingar urðum fyrir barðinu á einni slíkri um sl. mánaðamót þegar misindismaður úr óvæntri átt réðst að vef Vodafone á Íslandi, stal þaðan viðkvæmum persónuupplýsingum og kom í almenna dreifingu. Fórnarlömbin eru fyrirtækið Vodafone og viðskiptavinir þess en hagnaður glæpamannsins í raun eingöngu sá að geta barið sér á brjóst meðal sinna líka. Aðrir hafa skömm á athæfinu. Almenningur á Íslandi krefst í kjölfarið aukins öryggis og þess að svona atburðir gerist ekki aftur.
Viðbrögð flestra ráðamanna voru í samræmi við reynslu og tengd starfsumhverfi þeirra sjálfra. Þeir töldu svörin liggja í stjórnkerfinu, efla skyldi eftirlit með upplýsingaöryggi sem flestra þjónustufyrirtækja. Hér er fullyrt að slíkar ráðstafanir skila litlu. Aukið eftirlit getur ekki tekist á við svo umfangsmikið og flókið verkefni sem upplýsingaöryggi er. Það gerir lítið annað en að veita falska öryggiskennd. Þó að eftirlitsaðilar séu skipaðir hæfu og dugmiklu starfsfólki eiga þeir ekki roð í hinn flókna og síbreytilega heim upplýsingaöryggisins. Sömu vandamálin er að finna hjá litlum þjóðum og stórum. Umfang verkefnanna er það sama. En hjá smærri þjóðum eins og okkur Íslendingum er mannaflinn til að sinna þeim miklu minni. Kostir til sérhæfingar eru takmarkaðir og efni til að halda úti eftirlitsstofnunum eru mun lakari en meðal stærri þjóða.
Hvernig er þá hægt að bæta upplýsingaöryggi Íslendinga, fyrirtækja og almennings?
Svarið felst í því að auka þekkingu og vitund og fylgja stöðlum um öryggi upplýsinga. Almenningur þarf að læra ábyrga hegðun á netinu, forðast gylliboð, fara ekki inn á vafasamar vefsíður og hafa virka vörn – eldvegg – í tölvum og/eða beini (e. router) sínum. Einnig þarf að hafa veiruvarnir í góðu horfi með viðurkenndum varnarhugbúnaði. Þráðlaus heimanet (WiFi) þarf að verja með WPA2 aðferðinni (Wireless Protected Access), ekki dugir að nota WEP. Mikilvæg lykilorð eins og þau sem notuð eru í heimabanka eiga að vera flókin og búin til úr há- og lágstöfum, tölum og táknum. Slík lykilorð ættu einnig að vera einstök, þ.e. fólk ætti að forðast að nota sama lykilorðið í heimabanka og á öðrum stöðum á netinu. Lykilorð þarf að geyma á öruggum stað og alls ekki hafa þau á glámbekk.
Fyrirtæki sem fara með upplýsingar almennings og þau sem vilja sem mest upplýsingaöryggi þurfa að fylgja stöðlum um upplýsingaöryggi. Þeir eru nokkrir, en sá almennasti heitir ISO 27001 og er alþjóðlegur mælikvarði á hlítingu við öryggiskröfur. Nokkur íslensk fyrirtæki eru vottuð um að fullnægja ISO 27001 staðlinum. Að fylgja slíkum staðli í einu og öllu getur ekki talist skemmtileg vinna, en er ómaksins vert. Setja þarf ýmiss konar reglur um umgengni og hegðun starfsmanna og fylgja löngum lista af öryggiskröfum. Beita þarf talsverðum aga til að ná markmiðum staðalsins. Ávinningurinn er þó ótvírætt sá að öryggi upplýsinga sem fyrirtæki er ábyrgt fyrir stóreykst og æðstu stjórnendur þess njóta betri svefns. Skv. staðlinum bera þeir ábyrgð á öryggi upplýsinganna og geta ekki vísað henni frá sér, á undirmenn sína eða verktaka.
Í upplýsingaheiminum er ekkert til sem heitir algert öryggi – nema að vera ótengdur og fara þar með á mis við öll þau gæði sem í boði eru. Þeir tengdu geta hins vegar lágmarkað áhættuna með þeim aðferðum sem nefndar hafa verið. Stjórnvöld munu ekki ná tilætluðum árangri ef þau beina kröftum eða fjármunum í meira eftirlit, heldur með því að stuðla að frekari menntun og upplýsingu á þessu sviði. Gott dæmi um jákvæða aðgerð stjórnvalda er uppsetning sérstaks viðbragðshóps, hins svonefnda CSIRT-hóps (Computer Security Incident Response Team), sem starfar undir umsjón Póst- og fjarskiptastofnunar. Hópurinn safnar upplýsingum um ógnir og kemur þeim á framfæri við rétta aðila. Hann hefur gott samstarf við sambærilega hópa í nágrannalöndunum. Að lokum skal bent á góða vefsíðu um upplýsingaöryggi, www.netoryggi.is, sem Póst- og fjarskiptastofnun heldur úti. Þar er að finna mörg heilræði sem stuðla að auknu upplýsingaöryggi.