Heimur versnandi fer: Kostnaður fyrirtækja vegna tölvuárása 400 milljarðar dollara á ári
Í heimi hraðra tækniframfara hafa upplýsingar (e. data) tekið fram úr olíu sem mikilvægasta auðlind heims (Fauerbach, án dags; Martin, 2019; The Economist, 2017). Það er því ekki óeðlilegt að ógnir tengdar upplýsingaöryggi hafi aukist samhliða og að netárásir séu hreinlega orðnar að atvinnugrein (Sigurjónsson, 2017).
Forstjóri IBM, eins stærsta upplýsingatæknifyrirtækis í heimi, sagði árið 2015 að tölvuglæpir væru mesta ógn í rekstri fyrirtækja (Birch, 2015) þar sem meðalkostnaður við spilliforritaárás (e. malware) á fyrirtæki er 2,4 milljónir dollara í peningum og 50 dagar ef litið er til vinnutíma að takast á við afleiðingarnar (Sobers, 2019) en meðalkostnaður vegna tölvuárása hækkaði um 27% árið 2017 (Sobers, 2019) og kostnaður vegna gíslatökuforrita (e. ransomware) fimmtánfaldaðist milli 2015 og 2017 (Sobers, 2019). Forstjóri tryggingafyrirtækisins Lloyds sagði að heildarkostnaður fyrirtækja vegna tölvuárása væri um 400 milljarðar dollara á ári, eða um 49,6 billjónir króna á gengi dagsins í dag og Cybersecurity Ventures spáði því að beinn kostnaður vegna tölvuglæpa færi umfram 6 milljarða dollara árið 2021, en kostnaðurinn var 3 milljarðar dollara árið 2015 (Herjavec Group, 2017).
Árið 2018 voru 6,4 milljarðar falsaðra tölvupósta sendir daglega (Valimail, 2018), 1,9 milljarðar skráa sem innihalda persónuupplýsingar voru í hættu milli janúar 2017 og mars 2018 (Privacy Rights Clearinghouse, 2019) og 550 milljón vefveiða (e. phishing) tölvupósta voru sendir frá einum aðila á fyrsta ársfjórðungi 2018 (Dark of reading, 2018).
Stærstu gagnalekar (e. data breach) síðustu ár eru þegar komist var yfir upplýsingar um:
- 3 milljarða Yahoo reikninga árið 2016
- 57 milljón ökumanna og farþega Uber árið 2016
- 412 milljón notendareikninga á friendfinder árið 2017
- Lánshæfi 148 milljón einstaklinga í tengslum við Equifax lekann árið 2017, en þessi leki kostaði fyrirtækið yfir 4 milljarða dollara(Sobers, 2019).
Helstu tegundir ógna við upplýsingatækni eru vefveiðar, beinskeittar vefveiðar, spilliforrit, laumunet og hrófl við gögnum.
Vefveiðar (e. phishing) eru mjög algengar, en þessi aðferð er notuð til að stela trúnaðarupplýsingum með því að þykjast vera traustverður aðili og fá brotaþola til að stimlpa inn kortanúmer, reikningsnúmer, lykilorð og fleira. Aðferðin virkar m.a. þannig að brotaþoli ýtir á hlekk sem hann fær sendan í pósti frá tölvuþrjótnum. Oft fylgir texti með, t.d. um að aðilinn verði að skrá sig inn á vefsíðuna til að eitthvað alvarlegt gerist ekki. Á vafranum sem birstist er vefsíða sem brotaþoli þekkir vel, t.d. forsíða banka viðkomandi en í raun er þetta ekki rétt vefsíða heldur gervi vefsíða sem lítur alveg eins út og forsíða bankans. Brotaþoli stimplar inn notendanafn og lykilorð og skráir sig inn, en fer þá á einhverja bull síðu. Það er ekki fyrr en þarna sem brotaþoli áttar sig á að eitthvað sé skrítið, en þá er það um seinan þar sem notandanafn og lykilorð brotaþolans eru nú vistað í gagnagrunni tölvuþrjótarins.
Beinskeittar vefveiðar (e. spear phishing) eru svipaðar og vefveiðar nema að því leytinu til að markhópurinn er ákveðinn hópur fólks sem á eitthvað sameiginlegt t.d. að vinna öll hjá sama fyrirtæki, öll stjórnendur í fyrirtækjum o.s.fr. Tölvupósturinn berst frá einhverjum sem viðkomandi treystir og er þannig lokkaður á vefsíðu eða árásavektora.
Spilliforrit (e. Malicious software) er forrit sem getur sýkt nettengd tæki og dreift sér á önnur tæki með því að flytja sig eða afrita. Dæmi um svoleiðis eru Ormar (e. Worms) en þeir ferðast um kerfin og valda skaða, Veirur (e. Virus), sem sýkir tölvuna þína, Trojuhestar (e. Keyloggers), tekur upp það sem þú stimlar á lyklaborðið, hlustar gegnum hljóðnemann eða horfir gegnum myndavélina á tölvunni þinni, Bakdyr (e. Backdoors), opna bakdyr í vélunum okkar og geta valdið skaða, Laumunet (e. Botnet), eru nokkar tölvur sem hafa verið sýktar í sama tilgangi og hægt er að virkja á einhverjum tímapunkti og gera óskunda t.d. DDOS árás þar sem tölvunar fara allar á sömu vefsíðuna á sama tíma í von um að álagið sé of mikið fyrir netþjóninn og hann verði óvirkur.
Hróflað við gögnum (e. Data tampering) er árás þar sem misvísandi eða rangar upplýsingar eru slegnar inn í tölvukerfi, gögnum þar breytt eða eytt. Þetta er algeng tegund tölvuárásar sem þó fellur í skugga á öðrum tegundum tölvuárása. Oft er mjög erfitt að uppgvöta að árás hafi átt sér stað vegna þess að breytingarnar eru oft mjög litlar. Eitt dæmi um svona áras er þegar maður komst í launagögn starfsmanna hjá fyrirtæki, breytti öllum bankareikningum starfsmannanna í reikning á eigin nafni og beið svo eftir útborgunardeginum. Þetta komst reyndar upp þar sem einn starfsmaðurinn ætlaði að breyta reikningnum sínum í annan en kannaðist þá ekkert við þann reikning sem var skráður á sig. Málið var athugað og þetta komst upp áður en til útborgunar kom.
Þessar lýsingar á árásum ásamt tengdu talnaefni, sem fram kemur hér að ofan, ætti að vekja fyrirtæki og einstaklinga til umhugsunar um upplýsingatækniöryggi. Það hefur aldrei verið eins mikilvægt og nú að hafa öryggismál í lagi og kostnaðurinn við það er einungis brot af þeim kostnaði sem getur hlotist af því þegar fyrirtæki verður fyrir tölvuárás.
Höfundur: Þorbjörg Hekla Ingólfsdóttir
Heimildaskrá
Birch, S. S. (26. nóvember 2015). IBM Digital Nordic. Sótt frá IBM’s CEO on hackers: “Cyber crime is the greatest threat to every company in the world”: https://www.ibm.com/blogs/nordic-msp/ibms-ceo-on-hackers-cyber-crime-is-the-greatest-threat-to-every-company-in-the-world/
Dark of reading. (4. janúar 2018). Dark of reading. Sótt frá New Phishing Attack Targets 550M Email Users Worldwide: https://www.darkreading.com/vulnerabilities---threats/new-phishing-attack-targets-550m-email-users-worldwide/d/d-id/1331654
Fauerbach, T. (án dags.). The Northridge Group. Sótt frá More Valuable than Oil, Data Reigns in Today’s Data Economy: https://www.northridgegroup.com/blog/more-valuable-than-oil-data-reigns-in-todays-data-economy/
Herjavec Group. (16. október 2017). Cybercrime magazine. Sótt frá Cybercrime Damages $6 Trillion By 2021: https://cybersecurityventures.com/hackerpocalypse-cybercrime-report-2016/
Martin, S. (10. apríl 2019). Technative. Sótt frá Data – the World’s New Precious Commodity: https://www.technative.io/data-the-worlds-new-precious-commodity/
Privacy Rights Clearinghouse. (19. September 2019). Privacy Rights Clearinghouse. Sótt frá DATA BREACHES: https://www.privacyrights.org/data-breaches
Sigurjónsson, J. (25. nóvember 2017). mbl.is. Sótt frá Netárásir eru atvinnugrein og fara vaxandi: https://www.mbl.is/frettir/taekni/2017/11/25/netarasir_eru_vaxandi_atvinnugrein/
Sobers, R. (4. júlí 2019). Varonis. Sótt frá 60 Must-Know Cybersecurity Statistics for 2019: https://www.varonis.com/blog/cybersecurity-statistics/
The Economist. (6. maí 2017). The Economist. Sótt frá The world’s most valuable resource is no longer oil, but data: https://www.economist.com/leaders/2017/05/06/the-worlds-most-valuable-resource-is-no-longer-oil-but-data
Valimail. (22. ágúst 2018). Research: Crisis of Fake Email Continues to Plague Industries Worldwide. Sótt frá Valimail: https://www.valimail.com/press/research-crisis-of-fake-email-continues-to-plague-industries-worldwide-2/
Skil á efni
Leita í vefútgáfu Tölvumála
Um Tölvumál
Tölvumál - tímarit Skýrslutæknifélags Íslands er óháð tímarit um tölvutækni og hefur verið gefið út frá árinu 1976.
Vefútgáfa Tölvumála birtir vikulega nýja grein á vef Ský og árlega er gefið út veglegt prentað tímarit undir nafninu "Tölvumál" þar sem fjallað er um tölvutækni frá ýmsum sjónarhornum og er þema blaðsins jafnan valið snemma árs og útgáfa að hausti.
Ritnefnd Ský sér um að afla efni í Tölvumál og geta allir sem áhuga hafa sent inn efni.