Anton Már Egilsson, forstjóri Syndis, segir gríðarlega mikið af gögnum sem tengjast íslenskum fyrirtækjum séu keypt og seld á huldunetinu (e. Dark Web). Lykilorð eða notendanöfn endi þá oft í höndum netþrjóta sem gætu síðan notað þau gegn fyrirtækinu.
Hann segir í samtali við Viðskiptablaðið að netþrjótar séu sífellt að verða betri í að verða sér úti um slíkar upplýsingar.
„Það eru tvær meginástæður fyrir því að fólk lendi í þessu. Í fyrsta lagi getur verið að það séu einhverjir veikleikar í tölvukerfi þar sem það er ekki verið að viðhalda tölvubúnaðinum nægilega vel og í öðru lagi getur það verið óábyrg notkun.“
Anton nefnir þar hina algengu venju tölvunotenda að vista lykilorð sín í netvafranum, hvort sem það er á Chrome eða Firefox. „Svo hleypir þú krakkanum þínum í vinnutölvuna til að spila Roblox og hann halar niður einhverju fyrir leikinn en hefur enga hugmynd um að það sem var halið niður gæti verið mögulegt spilliforrit sem stelur síðan lykilorðinu af tölvunni.“
Hann segir slíkan þjófnað vera algengan hjá netþrjótum sem séu að undirbúa sig fyrir mögulega netárás, hvort sem það er í fjárhagslegum eða pólitískum tilgangi. Netþrjótar fá þá lykilorðið og byrja síðan að rannsaka hvort mögulegt mynstur sé á því til að geta giskað á það nýja.
Aðspurður um fjölda íslenskra fyrirtækja sem hafi mögulega misst upplýsingar sínar til hulduvefsins segir Anton engan vera óhultan. „Ég myndi segja að þar séu fótspor sem tengjast sennilega flestum fyrirtækjum á Íslandi.“
Handhófskennt en alvarlegt
Þegar netárás var gerð á Árvak síðasta sumar ræddi Viðskiptablaðið við Björn Orra Guðmundsson, forstjóra Aftra, sem taldi að sú árás hafi verið handhófskennd. Árásin hafði verið framkvæmd með sjálfvirkum aðferðum og var þá Árvakur einfaldlega næsta númer í símaskránni. Anton tekur í sama streng og segir flestar netárásir vera handhófskenndar.
„Hinn almenni fyrirtækjaeigandi, hvort sem hann er á Íslandi eða annars staðar, áttar sig ekki á því hversu mikið af gögnum fyrirtækisins gætu hafa lekið. Þú telur þig ekki vera neitt merkilegur og ert bara í einhverjum iðnaði hérna á Íslandi. Samt sem áður getur verið að það sé þegar búið að stela þínum gögnum.“
Til að sporna við þessu mælir Anton með að fyrirtæki og einstaklingar átti sig betur á því hvaða gögn um þau gætu mögulega verið á opinberum vettvangi. Þá er einnig gott ráð að blanda ekki vinnupóstfangi sínum við einkalífið.
„Fólk á það oft til að nota vinnupóstinn sinn til að skrá sig á vefsíður eins og Paypal en síðan lendir Paypal kannski í leka eða netárás og þar með gætu þín gögn fylgt með. Við erum mikið að aðstoða fyrirtæki við þetta en fólk sem lifir ekki og hrærist í þessu umhverfi áttar sig kannski ekki á því hvernig landið liggur þegar kemur að þessu.“
