Hoppa yfir valmynd

6. Öryggi

Tölvuárásir eru óháðar landfræðilegri staðsetningu og fyrirtækjum og opinberum aðilum stafar sífellt meiri ógn af þeim. Því er mikilvægt að viðkomandi aðilar innleiði varnir til að lágmarka áhættu. Enn sem komið er hafa íslenskar stofnanir og fyrirtæki verið tiltölulega laus við alvarlegar tölvuárásir en vísbendingar eru um að það sé að breytast.

Almennt ganga tölvuárásir út á það að stela upplýsingum, skipta út eða breyta innihaldi vefsíðna, og trufla þjónustu með einum eða öðrum hætti. Ástæður fyrir árásum geta verið margvíslegar. Oftast eru þær gerðar í auðgunarskyni. Reynt er að komast yfir greiðslukortanúmer, notendanöfn og lykilorð sem veita aðgang að fjármunum. Árásir eru líka gerðar í pólitískum tilgangi þar sem vefsíðum er til dæmis skipt út fyrir pólitískan áróður. Einnig hefur færst í vöxt að tölvuárásir hafi verið nýttar við iðnaðarnjósnir þar sem viðkvæmum og dýrmætum upplýsingum er stolið. Þá eru tölvuhryðjuverk fyrirsjáanleg þar sem takmarkið er að valda skaða á mikilvægum innviðum þjóðfélagsins.

Dæmi um algengar tölvuárásir eru DOS árásir, user/password bruteforce árásir, misnotkun þekktra öryggisgalla (til dæmis sem finnast í gömlum hugbúnaði) og innspýtingarárásir.

  • DOS árásir (e. Denial Of Service) ganga út á að trufla þjónustur þannig að þær hætti að svara eða að svartími verði svo langur að ekki sé raunhæft að nota þær (vefþjónustur, póstþjónustur, aðrar þjónustur). Er það oft gert með því að valda gríðarmiklu álagi á tiltekin kerfi eða með því að misnota þekkta öryggisveikleika.
  • User/password bruteforce árásir ganga út á það að prófa mismunandi notendanöfn og lykilorð í þaula þangað til að aðgangi er náð að viðkomandi upplýsingakerfi.
  • Misnotkun þekktra öryggisgalla gengur út að að finna á netinu gamlar útgáfur af hugbúnaði með þekktum öryggisgöllum og nýta glufur til að komast inn í lokuð kerfi. Þetta gæti til dæmis átt við um stýrikerfi, gagnagrunnskerfi eða veflausnir. Innspýtingarárásir ganga út á að notfæra sér veikleika í veflausn í tilvikum þar sem til dæmis inntaksgögn frá notendum eða kerfum eru ekki síuð nægilega vel. Dæmi um SQL innspýtingarárás er ef inntaki um notandanafn og lykilorð við innskráningu er treyst í blindni og tölvuþrjótur sendir eftirfarandi texta í stað notandanafns og lykilorðs:  „1“ or „1“ = „1“. SQL fyrirspurnin gæti því litið svona út: (SELECT * FROM Users WHERE Username = „1“ OR „1“ = „1“ AND Password = „1“ OR „1“ = „1“)

Innspýtingarárás sem þessi getur veitt viðkomandi aðila aðgang að undirsíðum vefsins.

Upplýsingaöryggi

Almennt er talað um fjórar stoðir í upplýsingaöryggi: Leynd (e. Confidentiality), réttleika (e. Integrity), tiltækileika (e. Availability) og rekjanleika (e. Traceability).

  • Leynd: Gögn eiga einungis að vera aðgengileg þeim sem þess þurfa. Vernda ber gögn eftir viðkvæmnistigi byggt á áhættumati.
  • Réttleiki: Nauðsynlegt er að geta treyst þeim gögnum sem unnið er með hverju sinni og að þeim hafi ekki verið breytt án leyfis. Vernda ber gögn fyrir óheimilum breytingum og taka þar mið af áhættumati.
  • Tiltækileiki: Tryggja þarf að gögn séu aðgengileg þegar þörf er á. Tryggja ber tiltækileika gagna byggt á niðurstöðu áhættumats.
  • Rekjanleiki: Tryggja þarf að hægt sé að rekja aðgerðasögu (e. Logging history) eins og þörf er á. Byggja ber slíka kröfu á niðurstöðu áhættumats. Dæmi um rekjanleika aðgerða er atvikaskrá (e. Log).  
Var efnið hjálplegt?Nei
Takk fyrir

Ábendingin verður notuð til að bæta gæði þjónustu og upplýsinga á vef Stjórnarráðsins. Hikaðu ekki við að hafa samband ef þig vantar aðstoð.

Af hverju ekki?

Hafa samband

Ábending / fyrirspurn


Þessi síða notar vafrakökur Lesa meira