Í vikunni fjallaði Viðskiptablaðið um netöryggi fyrirtækja, en Mikko Vatanen og Anni Tuulinen sem eru finnskir sérfræðingar í netöryggismálum segja að fyrirtæki og stjórnvöld séu almenn að verða meðvitaðri um þessi mál. Að þeirra sögn ættu fyrirtæki þó almennt að ráðstafa meiri fjármunum til netöryggismála.
Eitt þekktasta dæmið um innbrot inn í tölvukerfi fyrirtækja á Íslandi er vafalaust innbrot í tölvukerfi Vodafone undir lok árs 2013, en þá réðust hakkarar á vef Vodafone og stálu upplýsingum af vefsíðu fyrirtækisins. Samkvæmt ársreikningi Fjarskipta, móðurfélags Vodafone, voru sex stefnur gegn félaginu þingfestar á síðasta ári, en samanlögð stefnufjárhæð er 113 milljónir króna, auk vaxta og málskostnaðar.
Höfðu þegar hafið vottun
Jakob Þór Guðbjartsson, gæða og öryggisstjóri hjá Vodafone, segir að á þeim tíma hafi Vodafone þegar hafið ferli við innleiðingu stjórnkerfis og upplýsingaöryggisferla. „Við vorum byrjaðir á vinnu til að uppfylla svokallaða 27 þúsund vottunina þegar þetta gerðist. Þessi vottun tekur til þess að öryggisferlar séu í lagi,“ segir Jakob. „Það sem við höfum gert í tengslum við innbrotið er að ítra þessa ferla enn frekar. Þetta er ekki eitthvað sem gerist á einni nóttu en þetta er samt eitthvað sem Vodafone hefur verið að vinna í síðan árið 2007. Meginparturinn af því sem við höfum farið í eftir innbrotið er ítrun á flokkun upplýsinga, fræðsla til starfsfólks og uppbygging innviða.“
Jakob segir að Vodafone hafi í raun haldið áfram því ferli sem fyrirtækið hafi þegar hafið þegar innbrotið átti sér stað. „Við horfðum kannski frekar til upplýsingaöryggisþáttarins því að það sem við lentum í var að upplýsingum var stolið, fræðsla til starfsfólks um meðhöndlun upplýsinga og fylgni við lög og reglur um geymslu upplýsinga. Það getur falist í því áhætta að geyma upplýsingar sem þú þarft ekki að geyma, það er mikilvægt í upplýsingaöryggi að gera sér grein fyrir því hvað þarf í raun og veru að geyma.“ Jakob segir að alls kyns stýringar tengist þeirri starfsemi sem Vodafone starfi á. „Ráðningarferlið getur jafnvel verið hluti af upplýsingaöryggi, að maður ráði ekki fólk sem hefur verið dæmt fyrir glæpi sem tengjast því sem við erum að gera. Aðgangsstýringar, neyðaráætlanir og slíkt er allt saman hluti af stýringum sem við þurfum að fylgjast með að séu virkar.“ Jakob segir að eftirfylgni með slíkum stýringum hafi ekki verið ábótavant fyrir innbrotið 2013.
„Af því við vorum að fara í vottunina þá vorum við byrjaðir að ítra öll þessi ferli, en ítrunin felst í því að tryggja að ábyrgðarmenn upplýsinga séu að fylgja þeim ferlum sem þeir segjast vera að fylgja. Heimasíða fyrirtækisins, Vodafone.is, var skotspónninn í innbrotinu en hún var í daglegum rekstri hjá markaðsdeildinni en ekki hjá tæknisviðinu. Þetta vegna kom innbrotið aldrei inn á fjarskiptaumhverfið okkar. Búnaðurinn var ekki á réttum stjórnskipulegum stað í fyrirtækinu og eftirlitið hefði hugsanlega mátt vera betra.“ Jakob segir að þessu hafi verið breytt strax eftir innbrotið.
