Nauð­syn­legt að „spenna beltið“ þegar kemur að net­öryggi

Þetta segir Gunnar Ingi Ómarsson, verkefnastjóri tæknimála hjá Háskólanum á Akureyri, en hann hélt erindi á ráðstefnu Ský á dögunum þar sem hann fjallaði um atvik sem kom upp í janúar síðastliðnum, þar sem netþrjótar stálu upplýsingum um nemendur og starfsmenn skólans.

Viðbrögð við árásinni voru snögg og þrátt fyrir að upplýsingum hafi verið stolið, svo sem kennitölum, farsímanúmerum, notendanöfnum og lykilorðum, virðist sem náðst hafi að takmarka skaðann.

Að sögn Gunnars var um að ræða fjárkúgunarhópinn Karakurt, sem herjar á upplýsingar fyrirtækja og stofnana með það að markmiðið að stela þeim eða læsa og heimta fé fyrir að leka ekki upplýsingunum eða aflæsa þeim.

Spurður að því hvað gerir Háskólann á Akureyri aðlaðandi skotmark segist Gunnar hafa það á tilfinningunni að oft sé um að ræða handahófskenndar tilraunir, þar sem menn láta á það reyna að komast í upplýsingar og sjái svo til hvernig reynist.

„Það sem við kannski lærum af þessu er að við þurfum hreinlega bara að vera betur búin,“ segir Gunnar. „Við þurfum að nýta okkur alla þá varnagla og þær varnir sem við mögulega getum. Þetta er pínu eins og löggu og bófa leikur; löggan þarf að gera rétt í 100 prósent tilvika en bófinn þarf bara að vera heppinn einu sinni. Það í raun skiptir þá ekki máli þótt 99 prósent árása heppnist ekki ef eitt prósent heppnast. Þá fá þeir tekjur.“

Gunnar segir menn reglulega fylgjast með síðum á borð við Have I Been Pwned, þar sem fólk getur kannað hvort tölvupóstföngum og/eða símanúmerum hefur verið stolið eða birt í stórum gagnalekum. Þessar athuganir hafi leitt í ljós að menn séu að nota háskólapóstinn á margvíslegan hátt, til að mynda til að stofna aðganga hér og þar.

„Þetta er hluti af fræðslunni sem við verðum að huga að í framtíðinni,“ segir Gunnar. „Sérstaklega gagnvart nemendum; að hugsa og nota netföngin eins og vinnunetföng. Þetta er fókusað á skólann og það á að nota þetta fyrir skólann,“ segir hann um tölvupóstinn.

„Ekki vera að nota hann til að stofna aðganga sem eru ekki tímabundnir. Ekki hugsa þetta þannig að þú verðir með háskólanetfangið þitt að eilífu,“ bætir hann við. Það geti til að mynda reynst þrautin þyngri að breyta aðgöngum eftir á, ef menn eru hættir í námi og vilja skipta um póstfangið sem fylgir aðgangi, til dæmis hjá samfélagsmiðli.

Gunnar segir háskólann hafa farið í umfangsmikla vinnu í kjölfar árásarinnar, bæði hvað varðar tölvukerfin sjálf en einnig varðandi verkferla. Áður hafi ekki verið krafist tveggja þátta auðkenningar þegar menn voru tengdir innan skólans en nú sé hennar krafist undantekningalaust.

Viðbúið sé að enn frekari breytinga sé að vænta og að nemendur og starfsfólk þurfi að sætta sig við þau óþægindi sem þeim fylgja.

„Þetta er nýja landslagið. Við erum ekki að fara aftur á bak í óöruggt umhverfi,“ segir Gunnar.

„Ég hef oft gripið til þeirra samlíkingar að um tíma voru bílbelti ekki lögbundin og fólk var verulega ósátt við það þegar þau voru gerð lögbundin. Það var óþægilegt. En öryggi og þægindi fara ekki endilega saman.“

Skýrslu um atvikið í janúar er að vænta núna í júní.