Öryggismenning Hjörtur Árnason skrifar 3. maí 2023 13:30 Fundur Leiðtogaráðs Evrópu er framundan og gera má ráð fyrir auknum netárásum daganna fyrir og meðan á fundinum stendur. Þetta er það stór viðburður að illgjarnir aðilar láta þennan viðburð vart framhjá sér fara og eru tilbúnir að valda eins miklum usla og vandræðum með margskonar netárásum eins og hægt er. Það er samdóma álit þeirra aðila sem þekkja vel til í þessum málum að umtalsverðar líkur séu fyrir hendi á álagsárásum s.s. DDoS til að valda rofi á þjónustum. Einnig má búast við aukningu á varasömum tölvupóstum sem geta valdið vírussýkingum og gagna-gíslatöku (Randsomware). Það þarf oft ekki mikið til, hver man ekki eftir því þegar tyrkneskur hakkarahópur beindi spjótum sínum að íslenskum vefsíðum til að hefna fyrir slæma móttöku Íslendinga á tyrkneska landsliðinu og settu í gang DDoS árás á litla Ísland eftir landsleik Íslands og Tyrklands í fótbolta í júní 2019. Og svo reyndist þetta allt saman einn stór misskilningur hjá þeim. Sjálfsánægja með góða stöðu öryggismála getur verið varasöm. Hvað er öryggismenning og kúltúr og hvernig tryggjum við heildar öryggisstöðu fyrirtækisins? „Öryggismenning er mengi viðhorfa og gilda sem eru rótgróin í fyrirtækinu sem leiða oftast til þess að starfsmenn haga sér og starfa á þann hátt sem stuðlar að netöryggi.“ „Rétt eins og heilbrigð fyrirtækjamenning mun stuðla að framleiðni starfsmanna, vexti og varðveislu, bætir vel mótuð öryggismenning heildaröryggisstöðu fyrirtækisins.“ Það eru nokkrar leiðir til að byggja upp ígrundaða öryggismenningu. Almennt er kominn tími til að fyrirtæki hugi betur að öryggismenningu sinni og vinni að því að byggja upp árangursríka öryggisvitundaráætlun sem allir geta skilið og staðið að baki. Öryggisvitundar-þjálfun fær slæmt rapp. Starfsmenn óttast það ekki aðeins, heldur gera stjórnendur það líka. Öryggisvitund starfsmanna og stjórnenda eru oft lykilatriði í vörnum fyrirtækisins gegn net-glæpum. Kostnaður við netöryggis-brot er verulegur. Netglæpamenn miða á fyrirtæki með lélega öryggisstöðu og ómenntaðir notendur gætu verið hvati skaðlegrar netárásar. Fyrstu árásir byrja oft með því að notandi smellir á grunsamlegan hlekk eða viðhengi og eykst oft í stórt brot síðar. Að samþætta öryggisvitund í fyrirtækjamenningu mun byggja upp heildar öryggisþroska og uppskera jákvæðan árangur. Rétt eins og heilbrigð fyrirtækjamenning mun stuðla að framleiðni starfsmanna, vexti og varðveislu, bætir vel mótuð öryggismenning heildaröryggisstöðu fyrirtækisins. Mikilvægast er að það hvetur upplýsingatækni og notendur til að vinna saman að því að greina skaðlega virkni sem getur leitt til öryggisatviks. Hvað er öryggismenning? Öryggismenning er mengi viðhorfa og gilda sem eru rótgróin í fyrirtækinu sem leiða oftast til þess að starfsmenn haga sér og starfa á þann hátt sem stuðlar að netöryggi. Sterk öryggismenning viðurkennir að öryggi er starf allra - ekki bara upplýsingatækni. Fyrirtæki með góða öryggismenningu: samræma heildarmarkmið viðskipta við öryggi. stuðla að mikilvægi öryggis frekar en að líta á það sem byrði eða skyldu. innleiða bestu starfsvenjur í öryggismálum ofan frá hvetja til gagnrýninnar hugsunar, ekki ásakana og refsinga, þegar vandamál koma upp. Að byggja upp sterka öryggismenningu krefst átaks. Góð öryggismenning er ekki búin til úr einum atburði; það á sér djúpar rætur í stofnun og krefst þess vegna langtímaskuldbindingar og viðhalds. Hér eru nokkrar leiðir til að taka yfirvegaða, jákvæða nálgun á öryggismenningu og byggja upp öryggisþroska innan fyrirtækisins. Forðastu sjálfsánægju og hagræðingar til að ná árangri Því miður líta mörg fyrirtæki á öryggi sem bölvun og taka þá nálgun „við skulum bara komast í gegnum þetta, við erum í góðum málum“. Það leiðir aldrei til fyrirtækis sem er öruggt eða hamingjusamt og gefur venjulega til kynna að það séu einhver menningarleg vandamál utan upplýsingatækninnar og öryggis líka. Þegar þú tekur nálgun á öryggi sem sjálfsögðum hlut, án þess að velta þér mikið upp úr því, þá þýðir það venjulega að þú sért ekki einbeittur í því að gera stöðugar umbætur. Og almennt séð eru góðar líkur á því að brotið verði gegn fyrirtækinu á einhverjum tímapunkti. Gott netöryggi krefst þess að vera fyrirbyggjandi og mynda samfellda endurgjöf þar sem öryggisteymi mæla gögn, miðla gögnunum á áhrifaríkan hátt og finna lausn sem tekur mið af þeim upplýsingum. Fræða og hvetja notendur Mannleg mistök eru upphafið að mörgum netárásum. Auðvitað vilja notendur ekki vera ástæðan fyrir öryggisatviki - þeir gera venjulega mistök vegna skorts á menntun og þjálfun. Notendur smella á grunsamlega hlekki og viðhengi, þeir tengjast almennu þráðlausu interneti án VPN, eða þeir velja veik lykilorð eða geyma lykilorð sín á óöruggan hátt, venjulega vegna þess að fyrirtækið hefur ekki gefið þeim raunhæf ráð um hvað eigi að gera öðruvísi. Gefðu notendum skýrar leiðbeiningar um hvað á að gera - og hvað ekki - og hvers vegna. Það er mikilvægt að fylgja þessum leiðbeiningum. Að vera óljós um netöryggi eða að styðja ekki notendur með fræðslu og upplýsingatækni eða öryggisverkfærum sem þeir þurfa mun ekki stuðla að þroska í öryggisáætlun. Notendur ættu að vita afleiðingar ákveðinna aðgerða. Þú ættir að hjálpa notendum að skilja hvernig og hvers vegna „öryggi“, frekar en að gefa þeim tilskipanir án samhengis. Skilvirkt öryggisþjálfunarkerfi tryggir að starfsmenn hafi úrræði og þekkingu til að þekkja grunsamlega hegðun frá árásarmönnum. Þjálfun getur verið í formi þess sem passar best inn í fyrirtækjamenningu þína, hvort sem það er vikulegt fréttabréf, hópfundir eða gagnvirkar spurningakeppnir - því skemmtilegra og grípandi, því betra. Microsoft og fleiri aðilar bjóða upp á skilvirk öryggisþjálfunarkerfi. Verðlaunaðu góða öryggishegðun Öryggismenning er ekki byggð á einni nóttu. Bættu vitund inn í fyrirtækjamenningu og farðu lengra en hefðbundin þjálfunaráætlun til að hafa raunveruleg áhrif. Einn mikilvægur þáttur í þessu er að viðurkenna og umbuna notendum sem ástunda góða öryggishegðun. Hvað gerist til dæmis þegar notandi smellir á vef veiðar tengil? Er þeim refsað eða verðlaunað fyrir að taka eftir því? Fólk tekur mið af þessum blæbrigðum og þessir þættir stuðla að öryggisþroska og velgengni á stóran hátt. Metið öryggisverkfæri með þroska í huga Flestir framleiðendur öryggishugbúnaðar segja þér þetta ekki, en innleiðing öryggisvarna mun ekki sjálfkrafa byggja upp þroska inn í fyrirtæki þitt. Öryggisverkfæri eru oft bara þessi – „verkfæri“. Að innleiða öryggisvörn í blindni í þeirri von að fleiri viðvaranir gefi meiri vernd gegn netárásum mun sjaldan leiða til farsællar öryggismenningu. Hávær viðvaranir eða skýrslur stjórnenda leysa venjulega ekki öryggisforrit; þeir gefa þér oft takmarkaða sýn á heildar öryggisinnviði. Þess í stað munu leiðbeinandi úrbætur sem þú getur brugðist rétt við og lært af skila meiri árangri. Höfundur er formaður Félags rafeindatæknifyrirtækja og rekur eigið tölvuþjónustufyrirtæki H. Árnason ehf. Heimildir: Greinar frá Techtarget.com, InfosecIQ, Makeuseof.com og fleiri internet vefsíðum. Viltu birta grein á Vísi? Kynntu þér reglur ritstjórnar um skoðanagreinar. Senda grein Netöryggi Mest lesið Gögnin á borðið Steindór Þórarinsson Skoðun Röng spurning í réttri umræðu Hjálmar Bogi Hafliðason Skoðun Ég hélt að ég vissi hvað fullveldi væri Hilmar Kristinsson Skoðun Hver stjórnar ríkisstjórn Kristrúnar Frostadóttur? Júlíus Valsson Skoðun Börn fá aðeins eina bernsku Hólmfríður Jennýjar Árnadóttir Skoðun Aukin gjaldtaka vinnur gegn dreifingu ferðamanna Sara Sigmundsdóttir Skoðun Vönduð hönnun er ábyrg uppbygging Björg Torfadóttir Skoðun Markaðsverð raforku í áttfalt heimilisverð Símon Einarsson Skoðun Bíddu! Erum við ekki að kjósa um það sama? Yngvi Ómar Sigrúnarson Skoðun Spyrjið ykkur: Fyrir hvern vinnur íslenska krónan? Þórður Snær Júlíusson Skoðun Skoðun Skoðun Bíddu! Erum við ekki að kjósa um það sama? Yngvi Ómar Sigrúnarson skrifar Skoðun Hver stjórnar ríkisstjórn Kristrúnar Frostadóttur? Júlíus Valsson skrifar Skoðun Vantar okkur líka lesefni sem börn hafa áhuga á að velja sjálf? Birgir Hrafn Birgisson skrifar Skoðun Verum góð við hvort annað Eva Pandora Baldursdóttir skrifar Skoðun Ég hélt að ég vissi hvað fullveldi væri Hilmar Kristinsson skrifar Skoðun Umburðarlyndið sem geltir Sveinn Kristjánsson skrifar Skoðun Börn fá aðeins eina bernsku Hólmfríður Jennýjar Árnadóttir skrifar Skoðun Gögnin á borðið Steindór Þórarinsson skrifar Skoðun Röng spurning í réttri umræðu Hjálmar Bogi Hafliðason skrifar Skoðun Vönduð hönnun er ábyrg uppbygging Björg Torfadóttir skrifar Skoðun Markaðsverð raforku í áttfalt heimilisverð Símon Einarsson skrifar Skoðun Aukin gjaldtaka vinnur gegn dreifingu ferðamanna Sara Sigmundsdóttir skrifar Skoðun Svíkjum ekki gerða samninga Bragi Bjarnason skrifar Skoðun Danir ætla að verja Grænland Arnór Sigurjónsson skrifar Skoðun Já eða nei? Kosningar 29. ágúst 2026 Grétar H. Óskarsson skrifar Skoðun Þegar innviðaskuldin gjaldfellir samfélagssáttmálann Sigurður Sigurðsson skrifar Skoðun Ekki sjá eftir atkvæðinu þínu! Arnar Steinn Þórarinsson skrifar Skoðun Símafriður er kominn til að vera og það er fagnaðarefni Atli Þór Jóhannsson,Hermann Arnar Austmar,Dagný Hróbjartsdóttir,Héðinn Svarfdal Björnsson,Karen Kristine Pye,Kristófer Nökkvi Sigurðsson,Kristín Ólöf Grétarsdóttir,Salka Hauksdóttir,Sigvaldi Egill Lárusson,Stefán Þór Helgason,Stefán Karl Snorrason skrifar Skoðun Er sanngjarnt að almenningssamgöngur á landsbyggðinni séu skertar? Halla Hrund Logadóttir skrifar Skoðun Í kjörklefanum erum við ein Jón Steindór Valdimarsson skrifar Skoðun Sævar Helgi horfir heima Atli Viðar Thorstensen skrifar Skoðun Skiptir stærðin máli? Páll Rafnar Þorsteinsson skrifar Skoðun Samvinna auðlindagreina styrkir allra hag Þorsteinn Másson skrifar Skoðun Ekki ert þú nú mikill maður Kristján Loftsson Kristján Logason skrifar Skoðun Spyrjið ykkur: Fyrir hvern vinnur íslenska krónan? Þórður Snær Júlíusson skrifar Skoðun Þjóðarvarnarráðið hefur verið kallað saman af minna tilefni! Davíð Bergmann skrifar Skoðun Orðspor og ímynd bíður hnekki Haukur Hinriksson skrifar Skoðun Stafrænt fullveldi er ekki frönsk sérviska Þorsteinn Siglaugsson skrifar Skoðun Gervigreind á ekki að hugsa fyrir okkur Helgi S. Karlsson skrifar Skoðun Hvers vegna ég skipti um skoðun á aðild Íslands að Evrópusambandinu Gunnar Ármannsson skrifar Sjá meira
Fundur Leiðtogaráðs Evrópu er framundan og gera má ráð fyrir auknum netárásum daganna fyrir og meðan á fundinum stendur. Þetta er það stór viðburður að illgjarnir aðilar láta þennan viðburð vart framhjá sér fara og eru tilbúnir að valda eins miklum usla og vandræðum með margskonar netárásum eins og hægt er. Það er samdóma álit þeirra aðila sem þekkja vel til í þessum málum að umtalsverðar líkur séu fyrir hendi á álagsárásum s.s. DDoS til að valda rofi á þjónustum. Einnig má búast við aukningu á varasömum tölvupóstum sem geta valdið vírussýkingum og gagna-gíslatöku (Randsomware). Það þarf oft ekki mikið til, hver man ekki eftir því þegar tyrkneskur hakkarahópur beindi spjótum sínum að íslenskum vefsíðum til að hefna fyrir slæma móttöku Íslendinga á tyrkneska landsliðinu og settu í gang DDoS árás á litla Ísland eftir landsleik Íslands og Tyrklands í fótbolta í júní 2019. Og svo reyndist þetta allt saman einn stór misskilningur hjá þeim. Sjálfsánægja með góða stöðu öryggismála getur verið varasöm. Hvað er öryggismenning og kúltúr og hvernig tryggjum við heildar öryggisstöðu fyrirtækisins? „Öryggismenning er mengi viðhorfa og gilda sem eru rótgróin í fyrirtækinu sem leiða oftast til þess að starfsmenn haga sér og starfa á þann hátt sem stuðlar að netöryggi.“ „Rétt eins og heilbrigð fyrirtækjamenning mun stuðla að framleiðni starfsmanna, vexti og varðveislu, bætir vel mótuð öryggismenning heildaröryggisstöðu fyrirtækisins.“ Það eru nokkrar leiðir til að byggja upp ígrundaða öryggismenningu. Almennt er kominn tími til að fyrirtæki hugi betur að öryggismenningu sinni og vinni að því að byggja upp árangursríka öryggisvitundaráætlun sem allir geta skilið og staðið að baki. Öryggisvitundar-þjálfun fær slæmt rapp. Starfsmenn óttast það ekki aðeins, heldur gera stjórnendur það líka. Öryggisvitund starfsmanna og stjórnenda eru oft lykilatriði í vörnum fyrirtækisins gegn net-glæpum. Kostnaður við netöryggis-brot er verulegur. Netglæpamenn miða á fyrirtæki með lélega öryggisstöðu og ómenntaðir notendur gætu verið hvati skaðlegrar netárásar. Fyrstu árásir byrja oft með því að notandi smellir á grunsamlegan hlekk eða viðhengi og eykst oft í stórt brot síðar. Að samþætta öryggisvitund í fyrirtækjamenningu mun byggja upp heildar öryggisþroska og uppskera jákvæðan árangur. Rétt eins og heilbrigð fyrirtækjamenning mun stuðla að framleiðni starfsmanna, vexti og varðveislu, bætir vel mótuð öryggismenning heildaröryggisstöðu fyrirtækisins. Mikilvægast er að það hvetur upplýsingatækni og notendur til að vinna saman að því að greina skaðlega virkni sem getur leitt til öryggisatviks. Hvað er öryggismenning? Öryggismenning er mengi viðhorfa og gilda sem eru rótgróin í fyrirtækinu sem leiða oftast til þess að starfsmenn haga sér og starfa á þann hátt sem stuðlar að netöryggi. Sterk öryggismenning viðurkennir að öryggi er starf allra - ekki bara upplýsingatækni. Fyrirtæki með góða öryggismenningu: samræma heildarmarkmið viðskipta við öryggi. stuðla að mikilvægi öryggis frekar en að líta á það sem byrði eða skyldu. innleiða bestu starfsvenjur í öryggismálum ofan frá hvetja til gagnrýninnar hugsunar, ekki ásakana og refsinga, þegar vandamál koma upp. Að byggja upp sterka öryggismenningu krefst átaks. Góð öryggismenning er ekki búin til úr einum atburði; það á sér djúpar rætur í stofnun og krefst þess vegna langtímaskuldbindingar og viðhalds. Hér eru nokkrar leiðir til að taka yfirvegaða, jákvæða nálgun á öryggismenningu og byggja upp öryggisþroska innan fyrirtækisins. Forðastu sjálfsánægju og hagræðingar til að ná árangri Því miður líta mörg fyrirtæki á öryggi sem bölvun og taka þá nálgun „við skulum bara komast í gegnum þetta, við erum í góðum málum“. Það leiðir aldrei til fyrirtækis sem er öruggt eða hamingjusamt og gefur venjulega til kynna að það séu einhver menningarleg vandamál utan upplýsingatækninnar og öryggis líka. Þegar þú tekur nálgun á öryggi sem sjálfsögðum hlut, án þess að velta þér mikið upp úr því, þá þýðir það venjulega að þú sért ekki einbeittur í því að gera stöðugar umbætur. Og almennt séð eru góðar líkur á því að brotið verði gegn fyrirtækinu á einhverjum tímapunkti. Gott netöryggi krefst þess að vera fyrirbyggjandi og mynda samfellda endurgjöf þar sem öryggisteymi mæla gögn, miðla gögnunum á áhrifaríkan hátt og finna lausn sem tekur mið af þeim upplýsingum. Fræða og hvetja notendur Mannleg mistök eru upphafið að mörgum netárásum. Auðvitað vilja notendur ekki vera ástæðan fyrir öryggisatviki - þeir gera venjulega mistök vegna skorts á menntun og þjálfun. Notendur smella á grunsamlega hlekki og viðhengi, þeir tengjast almennu þráðlausu interneti án VPN, eða þeir velja veik lykilorð eða geyma lykilorð sín á óöruggan hátt, venjulega vegna þess að fyrirtækið hefur ekki gefið þeim raunhæf ráð um hvað eigi að gera öðruvísi. Gefðu notendum skýrar leiðbeiningar um hvað á að gera - og hvað ekki - og hvers vegna. Það er mikilvægt að fylgja þessum leiðbeiningum. Að vera óljós um netöryggi eða að styðja ekki notendur með fræðslu og upplýsingatækni eða öryggisverkfærum sem þeir þurfa mun ekki stuðla að þroska í öryggisáætlun. Notendur ættu að vita afleiðingar ákveðinna aðgerða. Þú ættir að hjálpa notendum að skilja hvernig og hvers vegna „öryggi“, frekar en að gefa þeim tilskipanir án samhengis. Skilvirkt öryggisþjálfunarkerfi tryggir að starfsmenn hafi úrræði og þekkingu til að þekkja grunsamlega hegðun frá árásarmönnum. Þjálfun getur verið í formi þess sem passar best inn í fyrirtækjamenningu þína, hvort sem það er vikulegt fréttabréf, hópfundir eða gagnvirkar spurningakeppnir - því skemmtilegra og grípandi, því betra. Microsoft og fleiri aðilar bjóða upp á skilvirk öryggisþjálfunarkerfi. Verðlaunaðu góða öryggishegðun Öryggismenning er ekki byggð á einni nóttu. Bættu vitund inn í fyrirtækjamenningu og farðu lengra en hefðbundin þjálfunaráætlun til að hafa raunveruleg áhrif. Einn mikilvægur þáttur í þessu er að viðurkenna og umbuna notendum sem ástunda góða öryggishegðun. Hvað gerist til dæmis þegar notandi smellir á vef veiðar tengil? Er þeim refsað eða verðlaunað fyrir að taka eftir því? Fólk tekur mið af þessum blæbrigðum og þessir þættir stuðla að öryggisþroska og velgengni á stóran hátt. Metið öryggisverkfæri með þroska í huga Flestir framleiðendur öryggishugbúnaðar segja þér þetta ekki, en innleiðing öryggisvarna mun ekki sjálfkrafa byggja upp þroska inn í fyrirtæki þitt. Öryggisverkfæri eru oft bara þessi – „verkfæri“. Að innleiða öryggisvörn í blindni í þeirri von að fleiri viðvaranir gefi meiri vernd gegn netárásum mun sjaldan leiða til farsællar öryggismenningu. Hávær viðvaranir eða skýrslur stjórnenda leysa venjulega ekki öryggisforrit; þeir gefa þér oft takmarkaða sýn á heildar öryggisinnviði. Þess í stað munu leiðbeinandi úrbætur sem þú getur brugðist rétt við og lært af skila meiri árangri. Höfundur er formaður Félags rafeindatæknifyrirtækja og rekur eigið tölvuþjónustufyrirtæki H. Árnason ehf. Heimildir: Greinar frá Techtarget.com, InfosecIQ, Makeuseof.com og fleiri internet vefsíðum.
Skoðun Vantar okkur líka lesefni sem börn hafa áhuga á að velja sjálf? Birgir Hrafn Birgisson skrifar
Skoðun Símafriður er kominn til að vera og það er fagnaðarefni Atli Þór Jóhannsson,Hermann Arnar Austmar,Dagný Hróbjartsdóttir,Héðinn Svarfdal Björnsson,Karen Kristine Pye,Kristófer Nökkvi Sigurðsson,Kristín Ólöf Grétarsdóttir,Salka Hauksdóttir,Sigvaldi Egill Lárusson,Stefán Þór Helgason,Stefán Karl Snorrason skrifar
Skoðun Er sanngjarnt að almenningssamgöngur á landsbyggðinni séu skertar? Halla Hrund Logadóttir skrifar
Skoðun Hvers vegna ég skipti um skoðun á aðild Íslands að Evrópusambandinu Gunnar Ármannsson skrifar