Innbrot

Í gær birtist frétt á vefsíðu morgunblaðsins, mbl.is, að ungt par hefði verið handtekið vegna stuld á verki eftir Kjarval.
Fréttin er nokkuð áhugaverð, sérstaklega ef maður hugsar um tölvu-innbrot til samanburðar.

Samkvæmt fréttinni, þá fylltist öryggisvörður grunsemdum og fylgdist með þeim. Þau náðu þá að taka eitt verkanna niður og komust sína leið. Eftir að lögregla mætti á svæðið gat hún borið kennsl á fólkið sem “góðkunningja” lögreglunnar. Fór því næst heim til fólksins og handtók, og sótti málverkið.
(Hér er þetta sett fram eins og verkið hafi verið heima hjá fólkinu, en kem að því síðar.)
Safnstjóri Kjarvalsstaða segir “gott að vita til að öryggiskerfi safnsins er pottþétt.

Hvernig hefði þetta verið ef um tölvuinnbrot hefði verið að ræða?


IDS/IPS – Intrusion Detection System / Intrusion Prevention System…
Þó að mörg fyrirtæki fylgist lítið sem ekkert með öryggi á sínum kerfum, og tilviljun ræður því oft hvort upp kemst að brotist hafi verið inn. Þá eru fleiri og fleiri fyrirtæki sem hafa sett upp innbrotavörn eða þá að það sé í vinnslu að setja slíkt upp.

Með fullri virðingu fyrir öryggisverðinum á Kjarvalsstöðum, þá eru mörg þessara kerfa uppsett þannig að þau vinna svipað og öryggisverðinum er lýst í fréttinni.
Það er að segja, kerfin sjá kannski eitthvað grunsamlegt, og fylgjast með innbrotinu, og láta svo vita að brotist hafi verið inn eftir að innbrotið hefur átt sér stað.
Í raunveruleikanum getur það verið orðið of seint. Á þessum tímapunkti getur viðkomandi verið búinn að ná í kortaupplýsingar eða aðrar viðkvæmar upplýsingar sem í sumum tilfellum er nóg til þess að knétsetja viðkomandi fyrirtæki.
IPS stendur fyrir Intrusion Prevention System, og er tilkomið vegna þess að það þótti ekki nóg að vita að innbrot hefði átt sér stað. Fyrirtæki gerði kröfu um kerfi sem gæti stoppað innbrotsþjófinn áður en hann kæmist burt með verðmæti.

Mörg fyrirtæki eru með IPS, en nota það ekki sem slíkt. Það krefst vinnu og utanumhalds að vera með IPS, en þessi krafa kemur ekki að ástæðulausu.
Afhverju ekki að eyða smá tíma í kerfið og láta það vinna fyrir sig, og koma í veg fyrir skaðann.

Í fréttinni kemur einnig fram að “tilviljun hafi ráðið því að verkið var ekki fest betur. […] Ýmislegt smávægilegt átti eftir að klára, s.s fáeinar merkingar og festingar. Verklagið verður skoðað eftir atvikið.”
Semsagt, ef að verkið hefði verið rétt fest, þá hefði ekki verið jafn auðvelt að ná því niður, og torveldað þjófunum verk sitt. Það átti bara eftir að klára að festa það.

Sömu sögu má segja með flest tölvu- og net-kerfi. Þegar eitthvað kemur upp á, bilun í kerfi, brotist inn á netþjón(e. server) eða e-ð sambærilegt, þá kemur yfirleitt í ljós að hægt hefði verið að komast hjá þessu með því að eyða aðeins meira í uppsetningar- eða viðhalds vinnuna. Serverar og netbúnaður er ekki alltaf uppfærður eins og þyrfti t.d. Eða þá að það gleymdist að eyða út default notendanum.

Í athugasemd við bloggfærslu við fréttina kemur fram að verkið hafi verið skilið eftir í ruslatunnuporti. Einstaklingur sem á heima í húsi við portið sér einhvern vera að vesenast með málverk og hringir í lögregluna og lætur vita.

Stundum er það einnig svo að aðrir aðilar en eigendur tölvukerfanna láta vita að brotist hafi verið inn á kerfið. Tildæmis þegar kerfið er misnotað til að reyna að ráðast á önnur kerfi, eða senda út óumbeðinn ruslpóst, vírusa eða þvíumlíkt.

Það sé gott að bæði málverkið og þjófarnir hafi fundist. En miðað við þær upplýsingar sem hægt er að vinna úr fréttinni og athugasemdum við hana, þá var það röð tilviljana sem kom upp um þjófinn og að málverkið hafi fundist.
Öryggis(myndavéla)kerfi Kjarvalsstaða hjálpar auðvitað til að sanna sekt þeirra sem fundust. En hefðu þetta ekki verið góðkunningjar lögreglunnar, og hefði nágranni ekki tekið eftir því þegar einhver var að fela málverk bakvið ruslatunnurnar, hefðu þá þjófarnir fundist og málverkið endurheimt?
(Núna er meira en vika liðin frá því að video var birt af einstakling sem rændi bifreið, en einstaklingurinn er ennþá ófundinn.)

Í tölvuheiminum má ekki treysta á röð tilviljana. Ef tilraun til innbrots inn í kortafyrirtæki eða bankakerfi ætti sér stað, þá held ég að ég geti fullyrt að fæstir myndu vilja að öryggiskerfi kortafyrirtækisins eða bankans myndu taka á innbrotsþjófinum á sama hátt og öryggiskerfi Kjarvalsstaða. Að leyfa viðkomandi að spóka sig um, ná í það sem honum langar í eða það sem hann rekst á, fá að taka öll gögnin með sér út, og mögulega verða fundinn síðar.
Þegar einstaklingurinn getur verið á öðrum stað á hnettinum að fremja þetta innbrot, eða í landi þar sem ekki er samstarf við lögreglu, getur verið erfitt að fylgja innbrotinu eftir. Bankaupplýsingar, kreditkortanúmer, sjúkraskýrslur, vöruupplýsingar. Hverju er fyrirtækið tilbúið að fórna?

Hvernig fylgist þitt fyrirtæki með innbrotum?

Leave a Comment