Tölvukerfi fyrirtækja eru ekki skotmörk netglæpamanna lengur – netglæpir snúast nú aðallega um að hafa áhrif á starfsmenn fyrirtækja og fá þá til að greiða út fjármuni inn á reikninga glæpamannanna. Fyrirtæki geta gripið til margvíslegra aðgerða til að verjast slíkum brotum. Þetta var á meðal þess sem fram kom á morgunverðarfundi Félags atvinnurekenda í morgun, „Hvernig geta fyrirtæki varist netglæpum?“. Hægt er að horfa á upptöku af fundinum í spilaranum hér að neðan.
Íslensk fyrirtæki geta ekki treyst á smæðina eða tungumálamúrinn
Guðný Hjaltadóttir, lögfræðingur FA, sagði í erindi sínu á fundinum að til væri orðin háþróuð og fagmannleg svikastarfsemi sem gengi út á að blekkja fólk til að framkvæma venjulegar aðgerðir, sem glæpamennirnir hagnýttu sér síðan. Tjón íslenskra aðila vegna slíkra svika næmi að líkindum tugum eða jafnvel hundruðum milljóna króna á ári. „Það er ágætt að hafa í huga að þeir sem að þessari starfsemi standa spyrja hvorki um stærð né þjóðerni og íslenskir aðilar geta því ekki treyst á smæð sína eða framandi tungumál,“ sagði Guðný.
Hún fór yfir nokkur nýleg dæmi um gildrur sem netglæpamenn lögðu fyrir fyrirtæki í milliríkjaviðskiptum með fölskum greiðslufyrirmælum eða reikningum í tölvupósti. Í tveimur tilvikum gengu fyrirtæki í gildruna og töpuðu umtalsverðum fjárhæðum.
Guðný ræddi jafnframt um réttarstöðu fyrirtækja í slíkum tilvikum en yfirleitt væri um tapað fé að ræða. Í tilviki svokallaðs reikningasvindls, þar sem raunveruleg krafa kröfuhafa stendur eftir ógreidd, gæti skapast ágreiningur á milli greiðanda og kröfuhafa um hvor þeirra skuli bera tjónið. Oft halli á greiðanda en það skipti þó máli hvaðan breytt greiðslufyrirmæli berast, svo sem ef þau berast beint úr netfangi raunverulegs kröfuhafa.
Lykilorð leka á netið
Valdimar Óskarsson, framkvæmdastjóri Syndis, sagði að ef netglæpamenn vildu brjótast inn í fyrirtæki tækist þeim það yfirleitt. Ekkert væri til sem héti 100% öryggi. „Það sem við þurfum að hafa í huga er að það eru ekki tölvukerfin lengur sem eru skotmark. Eldveggir og þetta raunlæga öryggi – þetta er bara í lagi hjá 99,9% fyrirtækja. Þetta snýst um fólk – af hverju ætti ég að brjóta eldvegg ef ég get brotið fólk?“ sagði Valdimar.
Hann sagði algengt að fólk veitti viðkvæmar upplýsingar óafvitandi. Jafnframt hefðu lykilorð inn í einkatölvupóst milljóna netnotenda lekið á netið í stórum gagnalekum og miklar líkur væru á að fólk væri að nota svipuð lykilorð inn á vinnutölvupóstinn sinn. Þetta gætu netglæpamenn nýtt sér.
Hvaða varnir eru til?
Á meðal þeirra varna sem Valdimar taldi upp gegn netglæpum var að beita almennri skynsemi, fræða lykilstarfsmenn um aðferðir glæpamanna, skoða vel póstfang sendanda tölvupósta með reikningum eða greiðslufyrirmælum, skoða vel reikningsnúmer og eldri yfirfærslur og athuga hvort eitthvað hefði breyst og hvert væri móttökuland greiðslunnar.
Valdimar sagði að jafnframt ættu fyrirtæki að skoða hvort breyta ætti verklagi vegna greiðslna yfir ákveðinni upphæð, skoða orðalag tölvupósta, nota flókin aðgangsorð, virkja tvíþætta auðkenningu inn á viðkvæm kerfi og gæta þess að samnýta ekki aðgangsorð inn á mörg kerfi.
Fyrirtæki tilkynni brot eða tilraunir til brota
Daði Gunnarsson, lögreglufulltrúi í netbrotadeild Lögreglunnar á höfuðborgarsvæðinu, tók undir með Valdimar að fyrirtæki yrðu að hafa ákveðnar forvarnir í huga, eins og að setja mörk á upphæðir sem væru greiddar út án sérstakra ráðstafana, að tveir starfsmenn yrðu að koma að útgreiðslu fjármuna, að nota tveggja þátta auðkenningu og skoða vel sendanda greiðslufyrirmæla eða reikninga. Daði hvatti fyrirtæki til að tilkynna tilraunir til netsvika eða fullframin brot til netbrotadeildarinnar á cybercrime@lrh.is.
Lögreglan í fyrirbyggjandi aðgerðum með fjármálafyrirtækjum
Daði sagði að lögreglan væri nú komin í samstarf við fjármálafyrirtækin og Fjármálaeftirlitið um ráðstafanir til að fyrirbyggja netglæpi. Fái lögreglan tilkynningar um tölvupóstsvik, sem hafa gengið það langt að sent er númer á bankareikningi til að greiða inn á, tilkynnir hún reikningsnúmerið til Fjármálaeftirlitsins og á þá að vera hægt að tryggja að ekki sé hægt að greiða inn á þann reikning í gegnum íslenskar fjármálastofnanir. Með þessari aðferð hefði tekist að stöðva háar færslur. Daði sagði að þetta kerfi væri betra en ekkert, en lögreglan vildi koma á meiri sjálfvirkni í stað þess að treysta á upplýsingamiðlun með tölvupósti. Hugmyndin væri sú að inn á svokallaðan MISP-vefþjón yrðu settar upplýsingar á stöðluðu formi þegar þær berast lögreglunni og fjármálastofnanir myndu þá sjálfkrafa flagga viðkomandi reikning.
Viðtal Bylgjunnar/Vísis við Valdimar Óskarsson