Arnar S. Gunnarsson
Forstöðumaður Öryggislausna / Gæða- og öryggisstjóri | CISO
Fyrir rétt rúmum fimmtíu árum stóð Ísland í fararbroddi þjóða þegar landið útvíkkaði fiskveiðilandhelgi sína í 200 sjómílur, djarft skref sem breytti alþjóðlegum hafrétti og tryggði fullveldi þjóðarinnar yfir eigin auðlindum. Í dag stendur Ísland frammi fyrir nýrri tegund veiða sem eru vefveiðar (e. phishing) og spurningin er:
Hvers vegna erum við ekki jafn metnaðarfull þegar kemur að verndun starfsmanna og borgara gegn stafrænum ógnum?
Tölurnar tala sínu máli og þær eru alvarlegar. Vefveiðar hafa aukist um 49% frá árinu 2021 og yfir milljón vefveiðaárásir voru á fyrsta ársfjórðungi 2025 samkvæmt APWG (Anti-Phishing Working Group). Um 88% fyrirtækja verða fyrir a.m.k. einni vefveiðaárás á ári hverju og 65% árása beinast að fyrirtækjum, en restin að einstaklingum. Meðalkostnaður á heimsvísu fyrir hvert öryggisbrot sem rekja má til vefveiða er um 600 milljónir króna, sem er um 10% aukning frá fyrra ári. Svokölluð „Business Email Compromise“ (BEC) svindl, þar sem hermt er eftir forstjórum eða birgjum, ollu 340 milljarða króna tapi á árinu 2024 samkvæmt FBI og þetta eru ekki fréttir ótengdar okkur en Ísland var í sjöunda sæti á lista yfir skotmörk vefveiða á heimsvísu á öðrum ársfjórðungi 2024, með 7% allra tilrauna.
Raunin er að algengasta aðferðin er mjög einföld en óprúttnir aðilar eru að herma eftir þekktum vörumerkjum eins og Microsoft (yfir helmingur allra vefveiðasvindla 2025 var að þykjast vera frá Microsoft), DHL eða jafnvel að þykjast vera mannauðsdeild viðkomandi fyrirtækis, allt til að lokka fólk í gildru. Gervigreind hefur einnig gjörbreytt áhættunni og rannsóknir sýna að hlutfall þeirra sem smella á vefveiðaskilaboð sem eru búin til af gervigreind eru um 54%, samanborið við aðeins 12% hjá hefðbundnum slíkum skilaboðum og raddveiðar (e. vishing), þar sem raddgervill hermir eftir röddum, jukust um 442% milli fyrri og seinni hluta ársins 2024. Þetta er ekki lengur vandamál sem hægt er að leysa með einföldum síum eða tæknilegum lausnum.
Afleiðingarnar af þessu öllu eru alvarlegar og kostnaðarsamar en yfir helmingur (54%) af öllum árásum á tölvukerfi hefjast með vefveiðum og um 58% af öllum vefveiðum eru send frá raunverulegum notendum þar sem búið er að stela lykilorðum notenda, sem gerir þær enn erfiðari að greina, en meðaltími frá innbroti í tölvukerfi og þar til það er uppgötvað og lokað á það er 254 dagar eða yfir átta mánuðir þar sem árásaraðili hefur frjálsan aðgang að kerfum fyrirtækis. Án þjálfunar eru einn þriðji starfsmanna líklegir til að falla fyrir vefveiðum og starfsmenn lítilla fyrirtækja (undir 100 manns) verða fyrir 350% fleiri vefveiðaárásum en starfsmenn stórfyrirtækja.
Þrátt fyrir þessar staðreyndir leggja of mörg íslensk fyrirtæki ekki nægilega áherslu á öryggismenntun starfsmanna og að byggja upp öryggismenningu en staðreyndin er að láta starfsmenn horfa á 130 myndbönd á aðeins sex vikum í árlegum „öryggismánuði“ eða sækja eitt tveggja klukkutíma námskeið einu sinni á ári er einfaldlega ekki að skila árangri og hér er Ísland langt á eftir nágrannalöndum sínum. Öryggismenntun verður að vera stöðug en ekki átaksverkefni og helst þarf hún að vera aðlöguð að hlutverkum starfsmanna og vera sjálfvirk og endurtekin reglulega og prófanir á vefveiðum þurfa að vera órjúfanlegur hluti af öryggismenningu fyrirtækja.
Ísland sýndi heiminum hvað lítil þjóð getur gert þegar hún stendur fast á sínu í landhelgismálum. Nú er tíminn kominn til að setja sama metnað í stafræna „veiðilandhelgi“ og verja okkur gagnvart þeim sem vilja veiða okkur á netinu.
Vefveiðar eru ekki eingöngu tæknilegt vandamál heldur líka mannlegt og lausnin liggur í þjálfun og uppbyggingu á öryggismenningu sem nær til allra.
Ef við gátum tekist á við breska sjóherinn, þá getum við líka tekist á við þessa vefveiðara.
Höfundur
Arnar S. Gunnarsson leiðir öryggislausnir hjá OK og gegnir hlutverki CISO. Hann leggur áherslu á uppbyggingu öryggismenningar og raunhæfar varnir gegn vefveiðum og stafrænum ógnum.
