Lykilkerfi Íslendinga, sem flokkuð eru sem mikilvægir innviðir hins opinbera eða partur af stórum einkareknum þjónustum á netinu, eru í hættu vegna stafræna gallans Log4j.

Þetta segir Guðmundur Arnar Sigmundsson, sviðsstjóri netöryggissveitarinnar CERT-IS, í samtali við Fréttablaðið.

Guðmundur Arnar segir almenning ekki þurfa bregðast við. Gallinn sé hins vegar gífurlega víðtækur, „hann opnar svo svakalega stóra holu sem er hægt að misnota á svo fjölbreytilegan máta.“

Þess vegna hafi verið gripið til þess ráðs að færa Almannavarnir yfir á óvissustig líkt og greint var frá fyrr í kvöld. „Það er í raun gert til þess að ítreka svolítið alvarleika málsins,“ segir Guðmundur Arnar.

Líkir gallanum við ólæstar útidyrahurðir

Að sögn Guðmundar Arnars er gallinn svolítið eins og ef það uppgötvaðist allt í einu að allar útidyrahurðir í bænum væru opnar, ekki læstar. Þannig gætu allir sem vildu labbað inn hvar sem er, „og eftir að þeir eru komnir inn er ómögulegt að segja til um hvað þeir gera inni, hvort þeir ræni hlutum, skemmi ljósmyndir eða steli peningum.

Það er hægt að gera svo mikið eftir að þeir koma inn. Núna eru allir í kapphlaupi við það að laga hurðina, læsa henni aftur.“

Persónulegar upplýsingar ekki í hættu

Aðspurður hvort upplýsingar fólks líkt og banka-, tölvupósts-, eða símaupplýsingar séu í hættu segir Guðmundur Arnar svo ekki vera.

„Nei við höfum ekki vísbendingar um það. Miðað við hversu fjölþættar netvarnir eru innan fjármála- og fjarskiptageirans, tel ég mjög hæpið að þær upplýsingar séu í mikilli hættu. Þessir aðilar hafa líka verið algjörlega á tánum.“

Gætu þurft að taka á sig högg

Guðmundur Arnar segir að í sumum tilfellum þurfi rekstraraðilar að bíða eftir uppfærslum frá erlendum birgjum sem eru líka í kapphlaupi við að laga gallann.

Þar sem uppfærslan er ekki komin þurfi rekstraraðilar að vera á tánum og bíða eftir að uppfærslan berist. Á meðan beðið er þurfi rekstraraðilar annað hvort að vakta kerfin í þaula eða hreinleika slökkva á þeim tímabundið og taka á sig þjónustuhöggið sem því fylgir, segir Guðmundur Arnar.

Á meðan kerfin eru opið og þangað til að búið er að bregðast við og uppfæra þau, geta óprúttnir aðilar komist inn í þau og breytt þeim eða skemmt þau segir Guðmundur Arnar jafnframt.

Hann segir mismunandi hvað sé undir þá, allt frá háum fjárhæðum fyrir einstaka aðila alveg yfir í rekstraröryggi heilbrigðiskerfisins eða orkukerfisins.