Faghópur um vefstjórnun hjá Ský efndi til fundar um öryggismál á vefnum 21. október. Þetta var mjög tímabær fundur og mig grunar að hann muni marka ákveðin tímamót í umræðu um öryggismál á vefnum sem hefur ekki risið hátt fram til þessa.

Það verður að viðurkennast að öryggismálin hafa aldrei kveikt neinn neista hjá mér en eftir þennan fund finnur maður til ábyrgðar. Ég sem ráðgjafi verð að taka þennan þátt inn í vefverkefni sem ég kem að og vefstjórar verða að taka öryggismálin alvarlega.

Ábyrgðin liggur víða . Vefstjórar bera ekki beina ábyrgð á öryggismálunum enda hafa þeir sjaldnast nægilega tæknilega þekkingu til að geta svarað fyrir öryggismálin. Þeir, hins vegar sem eigendur vefsins, þurfa að koma því á hreint hver ber ábyrgðina og vekja máls á öryggi vefsins.

Stjórnendum þarf að vera ljóst mikilvægi þess að hafa öryggismálin í lagi. Það þarf að gera tölvudeild (UT) eða þeim sem annast kerfisþjónustu fyrir vefinn fyrir sinni ábyrgð og/eða vefstofunni hver ábyrgð hennar er. Það þarf að vera ákvæði í samningi um þessi mál frá upphafi viðskiptasambands.

Á fundinum kom skýrt fram hjá fleiri en einum fyrirlesara að nauðsynlegt væri að fá óháða úttekt á vefnum. Fá ábyrgan aðila sem hefur getið sér gott orð á þessu sviði til að vinna slíka úttekt.

Guðný fundarstjóri og fyrirlesararnir Sveinbjörn, Guðbjörg, Theódór og Hildur. Mynd Einar Haukur Reynis
Guðný fundarstjóri og fyrirlesararnir Sveinbjörn, Guðbjörg, Theódór og Hildur. Mynd Einar Haukur Reynis

 

Öryggismál skapa viðskiptatækifæri fyrir vefstofur

Miðað við þátttöku á fundinum má álykta að það sé áhugi á þessu efni. Það var nokkuð breytt samsetning frá fyrri fundum faghópsins. Þarna voru vefstjórar, tæknifólk og eitthvað um stjórnendur. Fulltrúar stærstu vefstofa landsins létu flestir viðburðinn fram hjá sér fara. Ég sá aðeins fulltrúa einnar vefstofu á fundinum en það var talsvert rætt um hlutverk þeirra á fundinum og margt sem þær hefðu getað dregið lærdóm af umræðunni. En eins og Theodór frá Syndis benti á þá liggur gott viðskiptatækifæri í því hjá þeim sem taka þessi mál föstum tökum og bjóða upp á skýran valkost þegar kemur að öryggismálum vefsins.

Það er mál til komið að vakna, ekki bara fyrir vefstjóra heldur einnig þá sem þjónusta vefmálin. Ég lærði heilmikið sjálfur af því að sitja þennan fund og langar til að draga fram það sem stóð upp úr að mínu mati.

Theódór R. Gíslason, eða Teddi, frá Syndis kom með marga góða punkta um það sem vefstjórar þurfa að huga að í öryggismálum. Hann nefndi að það væri mikið af „bulli“ í bransanum, hann væri stútfullur af vitleysu eins og hann orðaði það. Ekki væri alltaf að marka allt sem sagt væri.

Teddi sagði að mikilvægt væri að meta þörf eftir aðstæðum. Svara þarf spurningum á borð við:

  • Inniheldur vefurinn viðkvæm gögn?
  • Hefur vefurinn tengingu við önnur kerfi?
  • Er nauðsynlegt að uppfylla staðla eða tilteknar kröfur?
  • Er nauðsynlegt að fá öryggisúttekt?

Að mati Tedda þurfa vefstjórar að sækja sér þekkingu og leita ráða en á hinn bóginn má ekki treysta öllu í blindi sem sérfræðingar segja. Teddi ráðlagði fólki að fá sannanir, því ef viðkomandi sérfræðingur getur ekki fært sannanir þá skiptir það sem hann segir ekki máli.

Hann taldi ennfremur að það ætti að vera ákvæði í samningum um öryggismál. Fyrirtæki sem annast hýsingu og rekstur vefja eiga að hafa þessi mál í lagi og viðskiptavinurinn á ekki að þurfa að borga t.d. fyrir öryggisuppfærslur.

Öryggi á opinberum vefjum

Opinberir vefir eru með öryggismálin í sérstakri skoðun á þessu ári. Guðbjörg Sigurðardóttir hjá innnanríkisráðuneytinu fjallaði um stöðu öryggismála á opinberum vefjum. Hún sagði að margt væri búið að gera, t.d. hefur verið unnið að vefhandbók, námskeið verið haldin og öryggismálin sérstaklega tekin fyrir í könnuninni ‘Hvað er spunnið í opinbera vefi?’ á þessu ári. Markmið með þessum aðgerðum er að auka öryggi opinberra vefja vegna vaxandi ógna á netinu.

Guðbjörg gat þess sérstaklega að þrátt fyrir auknar kröfur til vefja og vefstjóra væri ekki verið að gera kröfu um að vefstjórar væru tæknilegir sérfræðingar. Þeir hafi hins vegar aðgang að fræðsluefni á ut.is um öryggismál á mannamáli.

Hvað getur vefstjóri svo gert þegar hann er kominn með ábendingar um alvarlega veikleika? Guðbjörg sagði að aðalatriðið væri að vefstjórinn færi með málið áfram, til tölvudeildar eða þjónustuaðila, sem þurfa að sjá niðurstöðurnar. Það þarf að kynna málið fyrir yfirstjórnendum og til þeirra sem raunverulega halda utan um vefumsjónarkerfið, netmálin og kerfismálin.

Guðbjörg lagði áherslu á að vert væri að líta á þetta sem langtímaverkefni. Mikilvægt væri að gera ráð fyrir öryggismálum þegar samningar væru gerðir.

Hvernig auðkennum við vefi og notendur?

Sveinbjörn Óskarsson frá Advania fjallaði í sínu erindi um hvernig við auðkennum vefi og notendur en hann hefur unnið við mörg stór verkefni meðal annars hjá Auðkenni og Þjóðskrá.

Það augljósa sem þarf að gera er að vefurinn hafi svokallað SSL skilríki (https) sem vottar eiganda lénsins og dulkóðar samskipti milli notanda og miðlara. Það er hins vegar ekki nóg að kveikja á þessum https rofa heldur þurfa eigendur vefja að vera jafnframt vakandi því margir veikleikar hafi komið í ljós síðustu ár sem ógni vefjum.

Sveinbjörn fjallaði um mismunandi aðferðir við að auðkenna notendur svo sem með notandanafni og lykilorði, rafrænum skilríkjum, OTP auðkenningu og Token auðkenningu eins og fólk þekkir í gegnum Facebook, Google eða island.is.

Nauðsynslegt væri að meta gæði auðkenningar og vottunarstigs en afar mismunandi er hve auðkenningin er sterk og hann fjallaði um fjögur stig í gæðum í þessu sambandi sem má nánar lesa um í glærum frá fundinum.

Hvernig líður vefstjóra eftir öryggisúttekt?

Reynslusaga Hildar Óskarsdóttir vefstjóra Flugfélags Íslands var afar lærdómsrík fyrir vefstjóra og marga aðra í bransanum.

Hún fór í gegnum persónulega reynslu af því að fara í gegnum öryggisúttekt og vildi boða fagnaðarerindið. Hildur sagðist sjálf hafa verið óörugga í þessu, þessi mál hefðu ekki beint verið á sínu borði en hún vissi að hún ætti að vera að skoða málin.

Vodafone atvikið sem flestir þekkja vakti stjórnendur Flugfélagsins til umhugsunar um upplýsingaöryggi enda fer félagið með viðkvæm gögn t.d. kortaupplýsingar og ferðaupplýsingar þúsunda farþega. Það var því ákveðið að verja meiri fjármunum í upplýsingaöryggi.

Fyrir var ekki eitt orð um öryggi í samningi við sænska vefstofu sem Flugfélagið skiptir við. Hildur skoraði á allar vefstofur að setja klausu um öryggismálin í samninga og bað fyrirtæki um að skoða sín mál. Þetta gæti haft mikil áhrif. Sömu kröfu ætti að gera á hýsingaraðila.

Flugfélagið gerði ýmsar ráðstafanir í kjölfar útttektar sem Syndis annaðist t.d.:

  • Innri nethögun var endurskipulögð og aðgengi vefvéla á innra neti takmarkað til muna
  • Leitað var aðstoðar sérfræðinga
  • Netföng voru tekin út af vefnum og upplýsingar úr formum yfirfarnar
  • Allir vefir fóru á https slóð
  • Gerðar voru reglulegar öryggisskýrslur (Qualys)
  • Úttekt var gerð á öllu umhverfi og vefjum
  • IP læsing var sett á vefumsjónarkerfi og aðeins haft aðgengi frá innraneti flugfélagsins eða í gegnum VPN

Flugfélagið fór í samstarf við Syndis og í kjölfarið var gerð PEN innbrotspróf (test) á ytri vef sem vefstofan í Svíþjóð var meðvituð um. Kóðinn var skoðaður innan frá, fengin var skýrsla og settar í gang lagfæringar í kjölfarið. Skýrslan var kynnt fyrir framkvæmdastjórn og vefstofu. Það fundust innbrotsglufur sem brugðist var við.

Að mat Hildar styrkti þessi aðgerð sambandið við vefstofuna. Hún setti þessi mál í forgang og lagfærði veikleika á eigin kostnað og gerði í kjölfarið áætlun um að bæta sína innviði, t.d. varðandi menntun forritara.

Hildur dró ýmsa lærdóma af þessari vinnu. Hún gerði sér ljóst að þetta væri ekki sér að kenna því hún hefði ekki þekkingu á kóða eða sérþekkingu á öryggismálunum. En hún væri í dag orðin mjög öryggissinnuð í nýjum verkefnum. Mikilvægt væri að minnka áhættuna og finna gullna meðalveginn á milli öryggis og nytsemi vefja.

Í dag liði henni mun betur með þessi mál og væri í þeirri vissu að hún væri að gera allt sem í hennar valdi stæði. Þetta væri jafnframt eilifðarverkefni en hún væri búinn að sjá ljósið og þá verður allt viðráðanlegra í framhaldi. Að lokum kom Hildur með nokkrar ráðleggingar til vefstjóra:

  • Passið að vera alltaf með síðustu uppfærslur
  • Leitið til sérfræðinga
  • Fáið þriðja aðila til að taka út vefinn ykkar
  • Hafið alltaf öryggismál í huga, spyrjið þjónustuaðila og gerið prófanir reglulega

Eftir þennan pistil stendur eftir spurningin: Hver er staða öryggismála á þínum vef?

Mynd í haus: Flickr – Creative Commons

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.