„Ég fæ hroll þegar fólk segist hafa notað sama lykil­orðið í 20 ár“

Sigurður Bjarnason, framkvæmdastjóri ráðgjafafyrirtækisins Öruggt net, segir Íslendinga eiga enn langt í land þegar kemur að lykilorðum, afritum og fræðslu. „Netöryggi snýst ekki bara um tækni, það snýst um menningu,“ segir hann.

Sigurður er netöryggissérfræðingur með áratuga reynslu af tölvumálum og sérfræðiþekkingu á upplýsingatækni. Öruggt net, ásamt systurfyrirtæki þess InfoSecHelp LLC, hafa bæði það markmið að hjálpa almenningi og fyrirtækjum að vera öruggari á netinu og minnka líkur á netinnbrotum og árásum.

„Ég fæ hroll þegar fólk segist hafa notað sama lykilorðið í 20 ár,“ segir Sigurður og hlær, þó það sé í raun ekkert fyndið. „Trúðu því eða ekki, þá er Password123 enn eitt algengasta lykilorðið í heiminum. Ég tala reglulega við fólk sem notar sama lykilorðið heima, í vinnunni, á samfélagsmiðlum og jafnvel í símanum. Þegar gagnaleki verður á einhverri þjónustu, eins og Facebook, þá hefur tölvuþrjóturinn skyndilega aðgang að öllu lífi viðkomandi. Þetta er stórhættulegt.“

Hann segir að fyrsta ráðið sé einfalt: „Notaðu einstakt lykilorð fyrir hvern aðgang og ekki skrifa þau á gula miða sem liggur á skrifborðinu,“ bætir hann við brosandi.

Lykilorðahirsla er frábær fjárfesting

Sigurður segir lykilorðahirslur (e. password managers) vera eina bestu leiðina til að tryggja öryggi án þess að gera lífið flókið. „Lykilorðahirsla er forrit sem geymir öll lykilorðin þín á öruggan hátt. Hún býr jafnvel til sterk og flókin lykilorð fyrir þig þegar þú stofnar nýja aðganga. Þú þarft bara að muna eitt meginlykilorð og forritið sér um rest. Gulu miðarnir eru þar með úr sögunni.“

Auk þess geymi margar slíkar hirslur aðrar viðkvæmar upplýsingar eins og kreditkortanúmer, bókunarupplýsingar og skjöl. „Ég sjálfur gæti ekki verið án slíks forrits. Það er bókstaflega fyrsta forritið sem ég set upp á nýrri tölvu,“ segir hann og leggur um leið áherslu á að vanda vel valið á lykilorðahirslu.

Góð öryggisafrit geta bjargað rekstri

Næsta atriði sem Sigurður leggur áherslu á eru öryggisafrit (e. backup). „Ef fyrirtæki tapar gögnum vegna eldsvoða eða tölvuárásar getur það haft mjög alvarlegar afleiðingar fyrir reksturinn. Ef engin afrit eru til, þá er einfaldlega ekki aftur snúið. Fyrirtæki geta lifað af eldsvoða, en bara ef þau eru með góð öryggisafrit,“ segir hann ákveðinn.

Öruggt net hjálpar fyrirtækjum að setja upp kerfi sem tryggja sjálfvirk afrit og endurheimt gagna. „Það þarf að prófa afritin reglulega. Það er ekki nóg að hafa þau ef enginn veit hvernig á að endurheimta gögnin þegar á reynir,“ segir hann.

Mannlegi þátturinn skiptir öllu

Þrátt fyrir alla tækni er stærsti veikleiki netöryggis áfram mannlegi þátturinn. „Rannsóknir sýna að um 90% öryggisfrávika megi rekja til mannlegra mistaka. Starfsmaður smellir á hættulegan hlekk, deilir óvart lykilorði eða notar sama lykilorð í vinnunni og á Facebook. Þess vegna er fræðsla og þjálfun lykilatriði.“

Sigurður segir að í nýjustu NIS2-tilskipun Evrópusambandsins sé gerð krafa um árlega fræðslu fyrir allt starfsfólk fyrirtækja sem falla undir reglurnar.

„NIS2 er nýr evrópskur lagarammi sem skilgreinir hvaða fyrirtæki teljast mikilvægar stofnanir og hvaða kröfur þau þurfa að uppfylla til að tryggja öryggi. Þar eru fleiri fyrirtæki nú flokkuð sem mikilvægir innviðir, til dæmis Sorpa, sem var ekki hluti af fyrstu útgáfu tilskipunarinnar,“ útskýrir Sigurður.

Hann bendir á að fyrirtæki sem ekki uppfylla NIS2 geti lent í vandræðum. „Þau geta einfaldlega ekki átt í viðskiptum við aðra aðila sem falla undir tilskipunina. Það eru líka ströng viðurlög við brotum og stjórnendur fyrirtækja geta átt á hættu sektir, missi rekstrarleyfis eða jafnvel fangelsisvist í alvarlegustu tilvikunum.“

Tilskipunin hefur þegar verið innleidd innan Evrópusambandsins og er von á að hún verði tekin upp hér á landi á næsta ári.

„Þetta reddast“ viðhorfið hættulegt

Þegar hann er spurður hvort Íslendingar standi sig betur eða verr í netöryggismálum en aðrar þjóðir svarar Sigurður hiklaust: „Við erum því miður verri – aðallega vegna þessa klassíska íslenska „þetta reddast“ viðhorfs. Það gengur brösuglega að fá fólk til að taka netöryggi alvarlega. Ég heyri oft frá stjórnendum: „Við nennum þessu ekki, þetta reddast.“ En það gerir það ekki.“

Sigurður segir að markmið Öruggs nets sé að hjálpa fyrirtækjum að byggja upp raunverulega öryggismenningu. „Við vinnum með viðskiptavinum að því að koma á góðri lykilorðastjórnun, öryggisafritun, reglulegri fræðslu og því að uppfylla kröfur NIS2. Þetta snýst ekki bara um að standast reglur heldur að vernda fólk, gögn og rekstur.“