Leita frttum mbl.is

Upplsingaryggi/netryggi

Innbroti vef Vodafone hefur heldur betur hrist upp jflaginu. Veitti svo sem ekki af. Upplsingaryggisml hafa ekki beint veri brennideplinum undanfarin r fyrir utan ga umfjllun Kastljss fyrir um tveimur rum. N var sem sagt jin vakin upp af vrum blundi, vegna ess a SMS-skilabo komust rangar hendur og hnsni landans gekk t yfir allan jfablk.

Ef menn halda a etta s fyrsta stra innbroti sem frami hefur veri slensk upplsingakerfi, ver g a hryggja me a svo er ekki. Fyrir ansi mrgum rum var t.d. komi fyrir njsnabnai upplsingakerfi verslunarfyrirtkis landsbygginni sem var ess valdandi a einhverjum sundum, ef ekki tugsunda greislukorta upplsinga var stoli. Minna var r v mli, en efni voru til n ess a verslunarfyrirtki gti akka sr r endalyktir. Fjallai g um etta ml hr blogginu snum tma.

etta er heldur ekki alvarlegasta broti, a minnsta kosti ekki a mnu mati. Broti sem g vsa til a ofan var alvarlegra. En etta er kannski a sem vekur mesta athygli og ryggi, vegna ess a fjarskiptafyrirtki tti hlut.

stan fyrir v a g hf a blogga febrar 2007 var a g vildi fjalla um upplsingaryggisml. a er mitt srsvi sem g hef unni vi sem byrgaraili upplsingakerfis, ryggisstjri og n sustu 13 r sem rgjafi. Samhlia rgjfinni hef g flutt erindi um upplsingaryggisml, veri leibeinandi Stalars slands og me nmskei eigin vegum. M v segja a g hafi marga fjruna sopi essum efnum. ryggisbloggin hafa aldrei vaki neina srstaka athygli. Vonandi verur breyting v.

Er upplsingaryggi gott slandi?

Fyrirtkjum og stofnunum m nnast skipta tvo hpa hva stu upplsingaryggis varar. Annar hpurinn er nokku vel settur varandi upplsingaryggi/netryggi, en hinn hpurinn er ekki gum mlum. fyrri hpnum eru bankarnir, strir sklar, sum bjarflg, mrg strfyrirtki, lfeyrissjirnir og fjarskiptafyrirtkin. (Vi megum ekki segja allt klessu hj Vodafone, etta innbrot hafi heppnast. a var einn angi ryggisins sem brst, en ekkert bendir til ess a veikleikar su rum ttum ryggismla hj fyrirtkinu.)

essi fyrri hpur s alveg okkalega settur, er ekki ar me sagt, a ekki s hgt a brjta varnir hans bak aftur. Allar varnir er hgt a rjfa, spurningin er bara hvernig a verur gert, hvenr og hve mikill skainn verur egar ar a kemur.

Vandinn er a fst slensk fyrirtki hafa buri a halda aftur af okkunum. eir eru mun fleiri en allir slendingar og eru me mjg fullkomi net sn milli, ar sem eir deila upplsingum. g er t.d. hissa v hve fir tku tt rsinni Vodafone, mr skilst frttum a eitthva hafi fjlga hpnum, egar lei morguninn. etta er einmitt einkenni netryggisbresta, a fyrst finnur einn opnar dyr, montar sig af v samskiptasvi okkanna og svo fylgja allir eftir. g er t.d. alveg viss um, a hefi s fyrsti komist einhverjar feitari upplsingar, en raunin var (fyrir hann voru etta einskis verar upplsingar), hefi hann fyrsta lagi ekki monta sig af glpnum og ru lagi hefi tjni ori mun drara. Ekki a, a mig grunar a Vodafone s ekki bi a bta r nlinni hva fjrhagslegt tjn varar.

Hva er til ra?

N starfa g Danmrku, er rgjafi Hewlett Packard um upplsinga- og netryggisml, auk ess a bera byrg eirri jnustu sem HP veitir strsta fyrirtki Danmerkur, A.P. Mller & Mrsk, essu svii. n ess a g tji mig nokku um viskiptavininn, f g ekki betur s en dnsk fyrirtki eigi fullt fangi me a halda bonum gestum ti. Bara nveri var strum hluta kennitalna Dana stoli af upplsingakerfi fyrirtkis. ( Danmrku eru kennitlur leyndarml og v var etta mjg alvarlegt.)

En til a sporna vi svona glpum og auka ryggi netviskiptum, nota Danir NemID kerfi. etta kerfi er opi llum til notkunar sem uppfylla skilyri til a nota a. Kerfi gerir einstaklingum og fyrirtkjum kleift a tengjast vi sinn jnustuaila gegn um ruggt samskiptavimt. Skiptir ekki mli hvort a er skatturinn, sveitarflagi, bankinn, smaflagi ea eitthva anna, maur tengist gegn um NemID vimti sem er hluti af innskrningarsu vikomandi fyrirtkis. Smelli hr til a sj hverjir bja viskiptavinum a skr sig inn me NemID.

Hvers vegna tli etta hafi ori niurstaan? Lklegast vegna ess, a menn vildu hmarka ryggi innskrninga og eirra upplsinga sem liggja hj eim fyrirtkjum og stofnunum sem vikomandi samskiptum vi. slandi var angi af essu kerfi, ar til Samkeppniseftirliti kva a etta mtti ekki. (slendingar urfa alltaf a vera kalskari en pfinn.) er g a tala um innskrningarkerfi bankanna, ar sem flk gat (og getur sums staar enn) nota aukennislykil til a skr sig inn. v er mlum annig fyrir komi, a hver og einn er a baksa snu horni vi a ra hina fullkomnu lausn. Innskrningarferli hj Vodafone varandi Mnar sur er dmi um rangurinn af v.

Hvernig tlum vi, 320.000 manna j, a hanna teljandi fullkomnar lausnir svo Samkeppniseftirliti veri ngt? a er ekki hgt. Fyrst Danir fara lei sem eir vldu, 25 sinnum fleiri, hvers vegna ttum vi ekki a gera slkt hi sama. g er svo sem ekki a mla me v a allir hendi snu innskrningarferli og hpist um ntt, en va eru ryggisgallar vi innskrningu svo miklir a mikilvgt er a gera betrumbtur.

Staa netryggis

g skipti essu almennt ekki upp essa tvo flokka, netryggi og upplsingaryggi, en ar sem s hefi virist hafa skapast slandi, held g mig vi hana.

g vil leyfa mr a fullyra, a aeins rf fyrirtki slandi hafa starfsmenn sem ba yfir eirri tkniekkingu a geta tryggt ryggi netkerfa. Hlutfallslega held g a eir su fleiri slandi sem ba yfir slkri ekkingu, en flestum rum lndum heims. g held lka a slensk fyrirtki ba almennt mjg vel hva varar netryggisbna, .e. eldveggi, gttir, vrusvarnir, innbrotavarnahugbna og ess httar. Fyrir sem skilja ekki etta okkar stkra, ylhra, er g a tala um Firewalls, Proxy Servers, Internet Browsing Gateways, IDS, IPS og ess httar dt. (Tek a fram a g er ekki tknigaur og lt ara um daglegan rekstur essa bnaar, g beri byrg.)

En til a bnaurinn flotti virki vi a halda leiindagaurunum ti arf gott skipulag, ga verkferla, ga verkekkingu og gott eftirlit me essum bnai. a er hr sem potturinn er brotinn. Ekki er valdi allra a standa slku. a er ekki ng a skella bara upp eldvegg me IDS einingunni virkjari vi hliina netjninum og halda a s maur fnu lagi. Nei, a arf srfring sem fylgist me upplsingastreymi netinu um ekkta veikleika og veit v hvenr arf a blstra bnainn, uppfra hann, breyta reglum, skipta honum t og sast en ekki sst kunna a bregast vi atvikum. San arf ekki bara a vakta jaarbnainn, heldur arf lka a vakta, blstra, uppfra, skipta t og hafa eftirlit me LLUM notendahugbnai.

Vegna netkerfisins, sem g ber byrg ryggismlum fyrir, berast okkur allt fr nokkur hundru upp fleiri sund bendingar um veikleika hverri viku! a er kannski ekki svo svakalegt, egar fleiri hundru manns vinna vi a vinna r veikleikunum og geta san ntt sr stuning fr eim ailum innan HP sem eru srhfir a skanna gegn um allan bunkann. (Teki skal fram a mr vitanlega tlar HP ekki inn slandsmarka me essa jnustu, annig a etta er ekki slukynning, hva sem sar kynni a gerast.) Aftur mti getur etta veri kerfisstjra ofvia sem auk ess arf a sj um notendajnustu, uppsetningu bnaar, tengingu kapla og hva a n er sem leggst herar vikomandi.

g s visir.is bent a tskrifair srfringar netryggismlum vru "bara" nokkur hundru mean slensk fyrirtki vru 63.000 talsins. mnum huga duga essir nokkur hundru alveg gtlega, ef skipulagi, verkferlarnir, verkekkingin og eftirliti er lagi. Engin sta er til ess a vera me mrg sund srfringa til a sj um essi ml. (ryggisdeildin sem g stjrna vegna APMM telur innan vi 30 manns fyrir netkerfi me 56.000 notendur 180 lndum. San eru netstjrar, kerfisstjrar, gagnagrunnsstjrar, o.s.frv. sem sj sn kerfi eftir bendingu starfsmanna minna, sbr. a ofan.) Nei, engin sta er til a mennta ofgntt af flki essu svii. a arf bara a nta mannskapinn rtt. eir sem eiga a tryggja netryggi vera a hafa tma til a sinna v starfi sem bestan htt ea hafa agang a srfringi sem getur astoa.

Vi breytum ekki v lina

Gagnvart Vodafone er skainn skeur og a sem ar gerist ekki teki til baka. Fyrirtki mun vonandi lra af eim mistkum sem ar voru ger, en mikilvgast er a ARIR lri lka af eim. Hinga til hef g mest tala um tknilega tti, en vandinn liggur ekki sur skipulagsttum.

Upplsingaryggisstaallinn ISO 27001 og systurstaall hans ISO 27002 eru eir sem g ori a fullyra a eru mest notair, egar kemur a innleiingu stjrnkerfis upplsingaryggis. Fjlmrg fyrirtki hafa hloti vottun gagnvart ISO 27001. Krafa er ger af FME gagnvart fjrmlafyrirtkjum og PFS gagnvart fjarskiptafyrirtkjum, a au innleii ryggiskerfi sem byggir ISO 27001. A g best veit er ekki krafist vottunar, mrg fyrirtki hafi fari lei. N arf a hera reglurnar. Vottunin ein mun ekki lengur duga, heldur arf a fara fram tarlegt innra og ytra eftirlit srhfra aila framkvmd ryggiskerfisins. Tryggja arf a eir ailar sem tlast er til a vinni samkvmt stlum sni fram a eir uppfylli stalana. Slkar ttektir eru ekki hlutverk eftirlitsstofnana, heldur hra aila. Oft er liti til tlvuendurskounarteyma endurskounarfyrirtkja. N veit g ekki hvort r deildir su ngu flugar ea starfsmenn bi yfir rttri verkkunnttu, en ef svo er ekki, vera framfarir v eins og ru.

etta kostar pening, segir rugglega einhver. J, alveg helling. Hugsanlega nokkrar milljnir ri fyrir strstu, en mti tti kostnaarsmum atvikum a fkka. Fyrir fjarskiptafyrirtki sem veltir milljrum ri, skipta 10 m.kr. svona ttektir ekki miklu mli (fyrir utan a g efast um a kostnaurinn s svo mikill). Nsta mtbra er a etta taki svo mikinn tma. J, etta tekur kannski 15 daga ri, .e. tminn sem fer mismunandi ttektir, en essir 15 dagar dreifast marga og s vinnan skipulg rtt, arf ekki a trufla nema fa starfsmenn og hvern 30-60 mntur fyrir hverja ttekt. Hva tli a su farnir margir klukkutmar atviki hj Vodafone?

a erfia vi ryggisml, er a menn lta oft au sem arfa kostna. stan er s a a gerist aldrei neitt og v ekki rf eya peningunum etta allt. En af hverju tli a s a ekkert gerist? J, vegna ess a peningunum ryggismlin var vel vari! g held g geti alveg fullyrt, a hver krna sem vari er til ryggisml skilar sr margfalt til baka minni kostnai vegna atvika. Auvita samt a skipuleggja ryggisml af skynsemi og nausynlegt er a finna jafnvgi milli ess sem sett er ryggismlin og httunnar sem tekin er.

Meira sar..

Sasta frsla | Nsta frsla

Bta vi athugasemd

Ekki er lengur hgt a skrifa athugasemdir vi frsluna, ar sem tmamrk athugasemdir eru liin.

Höfundur

Marinó G. Njálsson
Marinó G. Njálsson
Upplýsingaöryggi og persónuvernd eru mínar ær og kýr, þó ég blaðri um allt og ekkert hér á blogginu. Er í Hagsmunasamtökum heimilanna og berst fyrir réttlæti fyrir heimili í landinu.  Loks er ég faggiltur leiðsögumaður.  Netfangið mitt er mgn@islandia.is og netfang fyrirtækisins oryggi@internet.is.

Heimsknir

Flettingar

  • dag (20.10.): 1
  • Sl. slarhring: 7
  • Sl. viku: 85
  • Fr upphafi: 1

Anna

  • Innlit dag: 1
  • Innlit sl. viku: 66
  • Gestir dag: 1
  • IP-tlur dag: 1

Uppfrt 3 mn. fresti.
Skringar

Okt. 2018
S M M F F L
  1 2 3 4 5 6
7 8 9 10 11 12 13
14 15 16 17 18 19 20
21 22 23 24 25 26 27
28 29 30 31      

Innskrning

Ath. Vinsamlegast kveiki Javascript til a hefja innskrningu.

Hafu samband