Leita í fréttum mbl.is

Stjórnun upplýsingaöryggis er snúin og rannsókn slíkra brota ennþá snúnari

Ólíkt kollegum mínum, sem ræddu við Morgunblaðið, þá þori ég að koma fram undir nafni í uppfjöllun minni um meinta njósnatölvu í húsakynnum Alþingis.  Ég sendi raunar bréf á þinghóp Hreyfingarinnar í gærkvöldi, þar sem ég setti fram mínar vangaveltur um hvernig umrædd vél var notuð.  Hér koma þær í stórum dráttum:

Ég er sannfærður um að tölvan hafi verið notuð til þess að njósna um samskipti við ákveðna tölvu sem tengd var við sömu tengigrind og umrædd tölva.  Þetta var því hlerunarbúnaður en vélin var líklegast ekki sett upp til þess að sækja gögn af neti Alþingis.  Góðir fagmenn hafðu farið tiltölulega létt með að brjótast inn á kerfi Alþingis utanfrá hafi það verið tilgangurinn.  Vélin hefur verið sett upp líkt og kollegar mínir lýsa með sérstökum hugbúnaði, hugsanlega í vinnsluminni, en gæti líka hafa verið falinn á þeim hluta af diski tölvunnar sem ekki virðist vera í notkun.  Þetta er kunnugleg aðferð hjá þeim sem stunda það að stela kortaupplýsingum.  Hlutverk forritsins var líklegast að endurvarpa samskiptum við ákveðna tölvu, sem ég geri mér bara í hugarlund hver er, til þess aðila sem setti upp "njósnatölvuna".  Þetta er aftur þekkt aðferð og hefur náð mikilli útbreiðslu meðal hakkara sem eru að stela kortaupplýsingum.  Hvort við köllum þetta "man-in-the-middle" árás eða dulgervingu skiptir ekki máli.  Niðurstaðan er sú sama.  Ástæðan fyrir því að net Alþingis tekur ekki eftir þeirri umferð sem kemur frá tölvunni er að hún er dulgerð sem umferð frá upprunalegu tölvunni og á sér stað meðan sú tölva er tengd við netið.

Ég sé fyrir mér að að tilgangurinn hafi verið að hlera öll samskipti við þessa tilteknu tölvu.  Dulkóðuð eða ekki skiptir ekki máli, þar sem ég er sannfærður um að sá sem setti tölvunar upp hafi haft allan þann búnað sem þurfti til afkóða þau samskipti.  Auk þess fylgja hverjum samskiptapakka alls konar upplýsingar sem veita upplýsingar um tölvu ætlaðs móttakanda.

Það er greinilegt að ansi margt hefur farið úrskeiðis.  Flest af því byggir hreinlega á grandvaraleysi Alþingis, þ.e. svona atvik var ekki talið til þeirra ógna sem þörf væri að bregðast við.  Ég ætla ekki að ásaka menn um sofandahátt, þar sem 100% öryggi er ekki til og maður lærir í þessu starfi svo lengi sem maður lifir.  Um leið og búið er girða fyrir eina ógn eða útiloka einn veikleika í kerfum, þá poppar upp nýtt atriði.  Eins og ég segi í fyrirsögninni, þá er stjórnun upplýsingaöryggis snúin og þess vegna hafa ég og kollegar mínir sérhæft okkur í þessu.  Okkar hlutverk er að stærstum hluta að miðla af reynslu okkar og þekkingarbrunni um leið og við veitum fyrirtækjum leiðsögn um uppsetningu og starfrækslu stjórnkerfis upplýsingaöryggis, hvers tilgangur er að draga úr líkum á atvikum.

Ýmislegt fór úrskeiðis í undanfara atviksins, en stærstu mistökin voru gerð eftir að það uppgötvaðist.  Ef þetta hefði verið lík sem fannst í herberginu, þá hefði ekkert vafist fyrir starfsmönnum Alþingis að kalla á lögregluna.  Málið er, að sé grunur um lögbrot, þá mega menn ekki eyðileggja vettvang glæpsins.  Um leið og það er gert, er lögreglunni gert erfiðara fyrir.  Rétt viðbrögð eru því að láta hina grunsamlegu tölvu eiga sig og kalla til lögreglu.  Fylgja síðan leiðsögn lögreglunnar varðandi hvað má gera til að treysta öryggi annarra tölva og þar með upplýsingakerfa í heild.  Kannski túlkuðu starfsmenn Alþingis þetta ekki sem glæp, heldur bara mistök, og verður að virða viðbrögð þeirra í því ljósi.

Hafa skal í huga, að lögreglan ein er til þess bær að rannsaka vettvang glæps.  Eigi sönnunargögn að vera gild fyrir dómi, þá þurfa þau að uppfylla ákveðna formfestu.  Þrjóti tækniþekking lögreglunnar, þá er það hennar hlutverk að kalla til sérfræðinga sér til aðstoðar.  Starfsmenn þess aðila sem glæpurinn beinist gegn, geta ekki sinnt þeirri sérfræðiþekkingu nema undir vökulu auga lögreglunnar.  Hafa verður í huga, að 80-90% allra tölvuglæpa eru framdir af innanbúðarfólki.

Svo við höfum það á hreinu: 

Að eins eru til ein rétt viðbrögð, þegar svona glæpur uppgötvast.

1)  Verja vettvang glæpsins svo hann spillist ekki. 

2) Kalla til lögreglu.

Öll önnur viðbrögð geta spillt sönnunargögnum og komið í veg fyrir að hægt sé að upplýsa glæpinn.

--

Ég hef yfir 18 ára reynslu við stjórnun upplýsingaöryggis og hef undanfarin tæp 8 ár rekið mína eigin ráðgjafaþjónustu á því sviði auk þess að veita ráðgjöf um áhættustjórnun og stjórnun rekstrarsamfellu.  Nánari upplýsingar um þá þjónustu sem ráðgjafaþjónusta mín býður upp á er að finna á vef rekstrarins www.betriakvordun.is.


mbl.is Mögulegt að komast í tölvupósta
Tilkynna um óviðeigandi tengingu við frétt

« Síðasta færsla | Næsta færsla »

Athugasemdir

1 Smámynd: S i g u r ð u r   S i g u r ð a r s o n

Þetta er líklega ein skynsamlegasta útskýring á þessu máli. Skil þó ekkert í þér, Marinó, að senda ekki þetta bréf á alla stjórnmálaflokka og forseta Alþingis. Þetta er ekkert einkamál Hreyfingarinnar.

S i g u r ð u r S i g u r ð a r s o n, 21.1.2011 kl. 14:09

2 Smámynd: Marinó G. Njálsson

Sigurður, vegna þess að ég sendi frekari upplýsingar á þau, sem komu öðrum ekki við. 

Pósturinn verður, að því að mér hefur verið sagt, lagður fyrir fund með forseta Alþingis og því fannst mér ekki ástæða til að senda hann þangað líka.

Marinó G. Njálsson, 21.1.2011 kl. 14:19

3 Smámynd: S i g u r ð u r   S i g u r ð a r s o n

Það sem ég á við er að því fleiri sem þekkja verk þín þeim mun meiri líkur á að menn hafi áhuga á að nýta ráðgjafaþjónustu þína. Þetta er einföld ábending um góðan vettvang til kynningar á störfum þínum.

S i g u r ð u r S i g u r ð a r s o n, 21.1.2011 kl. 14:31

4 Smámynd: Anna Sigríður Guðmundsdóttir

Marinó. Takk fyrir þennan pistil. Fyrstu viðbrögð á vettvangi og málið í heild sinni með aðgerðarleysi lögreglunnar er forkastanleg og eykur ekki traust á yfirvöldum lögreglunnar.

 Tel annars líklegt að þetta sé uppspuni. Ég á erfitt með að trúa hæpnum rökum með nafnleynd. Hver óttast svo að segja sannleikan og hvers vegna að gefa upplýsingar sem ekki er þorandi að standa frammi fyrir? þetta eru ekki mikil heilindi eða kjarkur.

 Sigurður ætti að virða það við þig og aðra sem eitthvað vita, og þora að tala. þeir eru ekki of margir í landi frægasta bankaráns heimsins!

 þöggunin er búin að ræna okkur nóg. Nú er tími opinnar umræðu kominn og fer ekki aftur þótt sumir vilji halda leynimakkinu áfram af einhverjum ástæðum.

 M.b.kv.

Anna Sigríður Guðmundsdóttir, 21.1.2011 kl. 16:30

5 identicon

Hverjir nota auðkennalausa tölvu hér á landi ?

Sigurður Sigurðsson (IP-tala skráð) 22.1.2011 kl. 01:17

6 Smámynd: Durtur

Alveg ótrúlegt að heyra hvernig tekið var á þessu... maður veit náttúrulega ekkert fyrir víst en það hljómar eins og það hefði verið frekar auðvelt að "dömpa" bara minninu á disk og skoða í rólegheitum hvað þessi vél var að gera. Hvað sem öðru líður finnst mér fráleitt að halda því fram að þarna hafi verið einhver "sérfræðingur" að verki; ef svo væri hefði ekki fartölva verið skilin eftir á vettfangi.

Eitt af því versta við þetta finnst mér samt að einhver skuli hafa látið sér detta í hug að minnast á WikiLeaks í þessu samhengi; maður hefði vonað að fólk væri betur upplýst en það hérna á klakanum. Appelbaum var að vísu á Fróni um áramótin, merkilegt að samsæriskenningasmiðirnir séu ekki búnir að tengja það ennþá.

Hvað segir þú, Marinó, um þennan algera rekjanlegheitaskort? Ég kemst ekki hjá því að spá í hvort þeir í tölvudeildinni viti ekki áreiðanlega almennilega að hverju þeir eiga að vera að leita og hvar þeir ættu að vera að leita að því... þekki aðeins til verka þeirra og hef ekki verið óstjórnlega impóneraður.

En assgoti er ég ánægður með þá að vera með usb-lykla sem geta afritað gögn úr vinnsluminni tölva! Ég, eins og kjáni, stóð fastur á því að þorri vinnsluminnis væri volatile, og mundi þ.a.l. tæmast um leið og straumur á það rofnaði nema farið væri út í ævintýralegar frystingaraðgerðir. Lifir og lærir...

Durtur, 22.1.2011 kl. 02:42

7 Smámynd: Durtur

"Vettvangi" meina ég! Fór eitthvað að hugsa um "vetfang" og framdi frumsyndina... Gvöð hvað ég vona að Bragi Halldórs sjái þetta ekki...

Durtur, 22.1.2011 kl. 02:45

8 Smámynd: Sigurpáll Ingibergsson

Nú er spurningin um hvernig verklagi hjá tölvudeild Alþingis er háttað. Sem betur fer eru svona mál ekki algeng en búast má við fleiri svona málum í framtíðinni.

ISO/IEC 27001 upplýsingaöryggisstaðalinn er eini aljóðlegi staðallinn. Grundvallaratrið staðalsins er verndun upplýsinga gegn þeim hættum sem að upplýsingunum steðja.

En ljóst er að fyrirtæki og stofnanir á Íslandi þurfa að taka sig verulega á. Svo mikið hefur verið af upplýsingaleka í miðlum upp á síðkastið.

A.13 .2.3 Öflun sönnunargagna

Þegar aðgerð gegn einstaklingi eða fyrirtæki í kjölfar upplýsingaöryggisatviks felur í sér málshöfðun (hvort heldur samkvæmt einkamálarétti eða refsirétti), ætti að afla sönnunargagna, varðveita þau og leggja þannig fram að þau uppfylli þær reglur um sönnunargögn sem gilda í viðkomandi lögsagnarumdæmi (-um).

Ljóst er að ekki hefur verið farið eftir verklagsreglum í þessu máli ef þær eru á annað borð til.

Í ISO/IEC 27002  Starfsvenjur fyrir stjórnun upplýsingaöryggis segir meðal annars.

Þegar fyrst verður vart við upplýsingaöryggisatburð kann að vera óljóst hvort atburðurinn muni leiða til málshöfðunar.
Því er hætta á að nauðsynlegum sönnunargögnum sé eytt af ásetningi eða vangá áður en ljóst verður hversu alvarlegt atvikið er. Mælt er með því að hafa samráð við lögfræðing eða lögreglu þegar á fyrstu stigum fyrirhugaðrar málshöfðunar og afla ráðgjafar um þau sönnunargögn sem þörf er á.
Sönnunargögn geta farið yfir mörk milli fyrirtækja og lögsagnarumdæma. Í slíkum tilvikum ætti að tryggja að fyrirtækið hafi rétt til að afla nauðsynlegra upplýsinga

Sigurpáll Ingibergsson, 22.1.2011 kl. 20:22

Bæta við athugasemd

Ekki er lengur hægt að skrifa athugasemdir við færsluna, þar sem tímamörk á athugasemdir eru liðin.

Höfundur

Marinó G. Njálsson
Marinó G. Njálsson
Upplýsingaöryggi og persónuvernd eru mínar ær og kýr, þó ég blaðri um allt og ekkert hér á blogginu. Er í Hagsmunasamtökum heimilanna og berst fyrir réttlæti fyrir heimili í landinu.  Loks er ég faggiltur leiðsögumaður.  Netfangið mitt er mgn@islandia.is og netfang fyrirtækisins oryggi@internet.is.

Heimsóknir

Flettingar

  • Í dag (14.11.): 1
  • Sl. sólarhring: 6
  • Sl. viku: 30
  • Frá upphafi: 1679974

Annað

  • Innlit í dag: 1
  • Innlit sl. viku: 29
  • Gestir í dag: 1
  • IP-tölur í dag: 1

Uppfært á 3 mín. fresti.
Skýringar

Nóv. 2024
S M Þ M F F L
          1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30

Innskráning

Ath. Vinsamlegast kveikið á Javascript til að hefja innskráningu.

Hafðu samband