Seðlabanki

Netöryggismál í brennidepli á viðsjárverðum tímum

Netöryggismál eru hvarvetna í brennidepli en árlega valda tölvu- og netárásir almenningi, fyrirtækjum og stofnunum miklum fjárhagslegum skaða og óþægindum. Af skýrslum Alþjóðaefnahagsráðsins (e. World Economic Forum, WEF) undanfarin ár má sjá að stofnunin metur netárásir meðal alvarlegustu ógna sem steðja að heimsbyggðinni. Kemur það vart á óvart enda sýna tölur að netárásum fjölgar stöðugt frá ári til árs bæði hér á landi og á heimsvísu.

Netárásum fjölgar

Af ársyfirliti netöryggissveitarinnar (CERT-IS) fyrir árið 2021 má sjá að veruleg aukning hefur orðið á atvikatilkynningum til sveitarinnar frá árinu á undan, þær voru 266 árið 2020 en 598 árið 2021. Langmest var um svindl- eða svikatilkynningar, þ.e. vegna netveiða þar sem reynt er að komast yfir viðkvæmar upplýsingar, t.d. kortanúmer eða lykilorð.

Netárásaraðferðir síbreytilegar

Netárásum fjölgar ekki aðeins heldur eru aðferðirnar sem beitt er við framkvæmd þeirra síbreytilegar og að verða þróaðri, ef svo má að orði komast, sem gerir þolendum þeirra sífellt erfiðara um vik að verjast þeim. Hér á landi varð t.d. nýlega atvik þar sem viðskiptamenn eins af stóru viðskiptabönkunum voru grunlausir lokkaðir inn á það sem virtist vera ósvikin innskráningarsíða fyrir netbanka en reyndist hins vegar vera fölsuð.

Fjármálakerfið útsett fyrir netárásum

Í samanburði við aðrar greinar hagkerfisins er fjármálakerfið sérlega útsett fyrir netárásum. Mikil aukning hefur orðið í álagsárásum (e. Distributed Denial of Service attacks, DDoS), á íslenska fjármálainnviði en DDoS-árásir trufla aðgang að þjónustu yfir internetið. Árásir þessar geta haft verulega truflandi áhrif á íslenska greiðslumiðlun og jafnvel gert hana óvirka. Dæmi eru t.d. um síendurteknar álagsárásir á fjármálafyrirtæki hér á landi sem þeim tókst að verjast vikum saman þar til álagið varð of mikið og afleiðingarnar þær að öll greiðslukort í landinu urðu fyrirvaralaust ónothæf. Skjót og samhæfð viðbrögð urðu þó til þess að halda áhrifunum í lágmarki en vegna mikillar greiðslukortanotkunar landsmanna í viðskiptum má segja að þau verði þó nánast strax töluverð. Þrátt fyrir tilraunir ýmissa sérfræðinga var hvorki hægt að greina hver stóð að baki þeim árásum sem hér er sagt frá né tilgang þeirra en það á gjarnan við þegar DDoS-árásir eru annars vegar.

Breytt landslag netárása

Landslag netárása hefur sömuleiðis tekið talsverðum breytingum í seinni tíð. Mörg dæmi eru undanfarin ár um alvarlegar netárásir sem m.a. hafa beinst að lykilstofnunum ríkja og mikilvægum innviðum. Nefna má netárásir á norska stórþingið (n. Stortinget) 2020 og 2021 og á hugbúnað stórrar olíuleiðslu (e. Colonial Pipeline) í Bandaríkjunum 2021 sem olli því að dreifing stöðvaðist í nokkra daga og hafði víðtæk áhrif á austurströnd Bandaríkjanna. Þá má nefna spillihugbúnaðinn sem árið 2020 var komið fyrir í Orion kerfi SolarWinds, sem er notað m.a. af öllum helstu stjórnsýslustofnunum vestanhafs, en uppgötvaðist ekki fyrr en löngu síðar. Loks má nefna RagnarLocker gagnagíslatökubúnaðinn (e. ransomware) sem hefur samkvæmt skýrslu alríkislögreglu Bandaríkjanna (FBI) fyrr á þessu ári haft áhrif á fjölda fyrirtækja sem starfa á sviði mikilvægra innviða, þ.m.t. í orku-, fjármála- og upplýsingatæknigeiranum.

Netárásir hluti af nútímahernaði

Óhjákvæmilegt er að nefna hér innrás Rússa í Úkraínu en stríðið þar sýnir glögglega að netárásir eru orðnar hluti af nútímahernaði og að skotmörk í slíkum hernaði eru gjarnan stjórnsýslustofnanir og mikilvægir innviðir með það að markmiði að valda sem mestum samfélagslegum skaða. Í aðdraganda innrásarinnar greindi netöryggisstofnun Úkraínu frá því að landið sætti stöðugri netárás, m.a. með þeim afleiðingum að ýmsar vefsíður stjórnvalda væru óvirkar, t.d. þingsins, ráðuneyta og öryggisþjónustu ríkisins auk banka. Um líkt leyti vöruðu ýmsar fjölþjóðastofnanir, þ.m.t. Seðlabanki Evrópu, fjármálastofnanir við því að búast mætti við netárásum rússneskra stjórnvalda kæmi til innrásar, sem svari Rússa við þeim þvingunaraðgerðum sem þau höfðu hótað. Þær þvinganir sem Rússland hefur verið beitt í kjölfar innrásarinnar hafa m.a. beinst að rússneskum fjármálastofnunum og seðlabanka landsins. Fela þær það t.d. í sér að öllum helstu bönkum landsins er meinaður aðgangur að SWIFT-samskiptakerfinu þannig að ekki er hægt að framkvæma eða taka við greiðslum yfir landamæri með aðkomu kerfisins og eignir rússneska seðlabankans erlendis hafa verið frystar. Líkt og varað hafði verið við hafa þessar þvingunaraðgerðir leitt til stóraukins fjölda netárása með uppruna í Rússlandi, ýmist fullframinna eða hótana um að þær séu yfirvofandi, t.d. á evrópskar fjármálastofnanir.

Vitundarvakning um heim allan

Eðli máls samkvæmt hefur ástandið í Úkraínu kallað á mikla vitundarvakningu stjórnvalda um heim allan og gert það að verkum að hvarvetna á Vesturlöndum hafa öryggis- og varnarmálastefnur ríkja og þjóðarbandalaga verið endurskoðaðar eða boðað að svo muni verða í náinni framtíð og að áhersla á þjóðaröryggismál verði stóraukin.

Áhersla seðlabanka, þ.m.t. Seðlabanka Íslands, á netöryggismál

Hvarvetna hafa seðlabankar undanfarin ár lagt ríka áherslu á netöryggismál enda vel meðvitaðir um að stórfelldar eða ítrekaðar netárásir geta verið til þess fallnar að raska eða hafa neikvæð áhrif á fjármálastöðugleika en að slíkum stöðugleika ber þeim að stuðla. Þá gegna þeir lykilhlutverki þegar kemur að því að stuðla að virku og öruggu fjármálakerfi, þ.m.t. greiðslumiðlun bæði innanlands og yfir landamæri. Seðlabanki Íslands hefur ekki látið sitt eftir liggja þegar kemur áherslum á netöryggismál en auk framangreinds gegnir fjármálaeftirlit Seðlabankans mikilvægu hlutverki sem snýr að eftirliti með fjármálamarkaðnum, þ.m.t. vegna áhættu við rekstur upplýsingakerfa eftirlitsskyldra aðila. Nýlega birti Seðlabankinn rit um stefnumarkandi áherslur við eftirlit á fjármálamarkaði á tímabilinu 2022-2024. Í ljósi þróunarinnar þarf ekki að koma á óvart að öryggi á sviði net- og upplýsingatækni er þar efst á blaði.

Líkt og áður segir hefur Seðlabanki Íslands ekki látið sitt eftir liggja í málaflokknum, bæði sem eigandi kerfislega mikilvægasta fjármálainnviðar landsins (millibankagreiðslukerfisins, MBK) og vegna lögbundins hlutverks bankans, sömuleiðis sem hvataaðili um breytingar til aukins árangurs (e. catalyst role) á þessu sviði. Undir forystu Seðlabankans er rekinn samstarfsvettvangur hér á landi um rekstraröryggi fjármálainnviða (SURF) en einnig hefur Seðlabankinn gerst aðili að Nordic Financial CERT. Hvoru tveggja þykir nú þegar hafa sannað mikilvægi sitt og gildi. Þá á Seðlabankinn nú áheyrnarfulltrúa í netöryggisráði stjórnvalda og hefur sömuleiðis tengilið við þjóðaröryggisráð.

Aukið samstarf lykill að árangri

Ekki síst á þeim viðsjárverðu tímum sem við nú lifum má sýnt vera að seðlabankar, eftirlitsaðilar og fjármálakerfið allt munu leggja verulega aukna áherslu á netöryggismál, þ.m.t. hvernig efla megi varnir enn frekar og vinna að auknu samstarfi í málaflokknum bæði innanlands og yfir landamæri og sömuleiðis þverfaglega.

Fimmta netöryggisráðstefna seðlabanka Norðurlandanna – haldin í dag af Seðlabanka Íslands í Hörpu

Seðlabankar Norðurlandanna hafa frá árinu 2017 haldið árlega sérstaka netöryggisráðstefnu í því skyni að skapa sem víðast vitundarvakningu og auka þekkingu á netöryggismálum, einkum fyrir þá sem starfa innan fjármálakerfisins en einnig þverfaglega. Til hennar hefur verið boðið bæði innlendum og erlendum sérfræðingum þ.m.t. úr fræðasamfélaginu, starfsmönnum seðlabanka, fjármála- og fjarskiptafyrirtækja auk ýmissa fulltrúa stjórnsýslunnar, sem einkum bera ábyrgð á eða starfa á sviði netöryggismála. Ráðstefnan er því víðtækur vettvangur fyrir sérfræðinga á sviði upplýsingaöryggis og hefur almennt verið mjög vel sótt.

Ráðstefnan í ár er haldin í dag í Hörpunni, í boði Seðlabanka Íslands. Viðfangsefni hennar nú snýr að netöryggi frá sjónarhóli fjármálastöðugleika og þjóðaröryggi, með fjármálainnviði og skýjalausnir til hliðsjónar. Dagskrá ráðstefnunnar í ár er áhugaverð og munu bæði innlendir og erlendir sérfræðingar koma fram. Má hér t.d. nefna Pervin Dadashova, framkvæmdastjóra fjármálastöðugleika hjá seðlabanka Úkraínu. Samhliða allsherjarinnrás Rússlands í Úkraínu fylgdu umfangsmiklar netárásir á helstu innviði landsins, þar á meðal helstu fjármálainnviði. Pervin mun fjalla um viðbrögð seðlabanka Úkraínu og hver áhrifin á fjármálastöðugleika voru í slíku neyðarástandi. Marcus Murray, sérfræðingur í netöryggismálum og stofnandi Truesec Group, mun einnig fjalla um netárásir á úkraínska innviði í víðara samhengi og hvernig þeim er í auknum mæli beint gegn bandamönnum Úkraínu. Þá mun Phil Venables, upplýsingaöryggisstjóri Google Cloud, miðla reynslu sinni úr heimi upplýsingaöryggis en Phil hefur komið víða við í þeim efnum, meðal annars hjá Goldman Sachs, en hann þjónar einnig í ráðgjafaráði Bidens Bandaríkjaforseta um vísinda- og tæknimál. Ásamt þeim munu fjölmargir innlendir og erlendir sérfræðingar á vettvangi upplýsingaöryggis, löggæslu, fjármálamarkaða og seðlabanka halda erindi og taka þátt í pallborðsumræðum.

Höfundar: Gunnar Jakobsson, varaseðlabankastjóri fjármálastöðugleika, Ómar Þór Eyjólfsson, sérfræðingur á sviði fjármálastöðugleika, og Stefán Rafn Sigurbjörnsson, upplýsingafulltrúi á skrifstofu bankastjóra.