ÖryggiLárus Hjartarson

ISO 27001 áhættuskráin þín er líklega með úrelt áhættumat

ISO 27001 áhættuskráin þín er líklega með úrelt áhættumat

Flest íslensk fyrirtæki halda ISO Management-fundi tvisvar á ári. Umfang áhættu upplýsingaöryggis hefur hins vegar breyst mikið frá því í febrúar. Þetta tvennt fer ekki saman.

Vottun frá 2025 lýsir þeirri UT mynd sem var 2025. Á sama tíma hefur fyrirtækið þitt innleitt Copilot í markaðsdeildinni, ChatGPT í þjónustuveri, og innri erindreka í þróunardeild. Vottunin lýsir einu fyrirtæki. Raunveruleg starfsemi lýsir öðru.

Þetta er ekki vankunnátta eða leti. Þetta er vandamál innbyggt í ferlið sjálft: áhættumatsferlið er hannað fyrir hægari þróun og virkar varla fyrir þann hraða sem gervigreind er að þróast á. Næsti management fundur er kannski í haust. Umfangið á áhættum mun líklega margfaldast þar til þá.

Þessi grein er sú uppfærsla á áhættuskrá sem ég myndi sjálfur leggja til. Hún tekur til þriggja líkindamata sem nú eru úrelt, fjögurra nýrra færslna sem vantar, kortlagningar á ISO 27001:2022 greinar sem þegar ná yfir efnið, og loks aðferðar til að réttlæta breytt áhættumat fyrir úttektaraðila.

Hvað hefur í raun breyst

Áhættuskrár frá 2023 byggðust á einni undirstöðu sem aldrei er minnst á: að hæfir árásaraðilar væru fáir og dýrir. Þú þurftir tíma, þekkingu og innviði til að skrifa „exploit", til að senda sannfærandi phishing-bréf, til að greina einkenni netkerfis. Líkindamat á árásum endurspeglaði þennan kostnað.

Sú undirstaða er horfin.

Gervigreind hefur lækkað þröskuldinn verulega fyrir þá sem hafa grunnþekkingu, vilja og tíma til að prófa veikleika, skrifa trúverðugleg skilaboð og safna upplýsingum úr opnum heimildum. Gervigreindin hefur nánast þurrkað út „þekkingarhraðahindrunina" til að gera árásir. Fyrir 20 dollara á mánuði geturðu fengið módel sem hjálpar til við að greina veikleika, útbúa árásarleiðir og skrifa sannfærandi samskipti á mínútum, semur persónuleg phishing-bréf á tíu tungumálum, og hjálpar þér að ráðast á netkerfi. Þessi geta er ekki lengur takmarkandi þáttur. Hún er ódýr. Hún er öllum aðgengileg. Og hún batnar á hverjum ársfjórðungi.

Þetta breytir ekki einungis hver getur ráðist á þig. Það breytir líka hversu margir munu reyna það. Hópurinn sem getur grætt á ódýrri árás — sá sem áður þurfti að velja milli skotmarka — getur nú dreift árásum og keyrt fleiri tilraunir í einu. Hópurinn sem getur ráðist á fyrirtækið þitt er ekki lengur „ríkisreknar einingar og skipulagðir hópar". Hópurinn er nánast allir með grunnþekkingu á upplýsingaöryggi.

Sem þýðir: áhættumatið frá 2023 (eða frá því í fyrra) var ekki rangt. En það er svo sannarlega úrelt núna.

Þrennt sem þarfnast hækkunar á áhættumati

Hugbúnaðaröryggisveikleikar í eigin kóða

Þetta er fyrsta og augljósasta hækkunin. Þú framleiðir nú meiri kóða með sama mannafla. AI-aðstoðuð forritun hefur ekki bara hraðað hugbúnaðarþróun, hún hefur stækkað kóðagrunninn sem þú berð ábyrgð á.

Þrjú lögmál fylgja:

  • Meiri kóði þýðir meiri yfirborð til árása.
  • Endurtekin mynstur — það sem módelið skrifar — endurtaka sömu villurnar á mörgum stöðum.
  • Margföldun á PR þýðir verri yfirferð per PR, því yfirferð starfsfólks vex ekki samhliða.

Þriðja lögmálið er það sem flestir vanmeta. Tími þróunardeildarinnar færðist frá því að skrifa kóða yfir í að lesa hann. Sá lestur fer ekki fram á þeim hraða sem AI getur framleitt PR.

Áhættuminnkunin (Mitigation) þarf að uppfærast samhliða. SAST í CI er ekki valkostur lengur, hann er nauðsyn. Mannleg endurskoðun á AI-framleiddum kóða þarf að vera ítarlegri en á handskrifuðum kóða, ekki minni.

Í áhættuskrá: tíðni hækkar úr „1 alvarlegt atvik á 2–3 ára fresti" í „2–3 alvarleg atvik á ári" — u.þ.b. sex-föld hækkun, sem passar við lögmálin þrjú hér að framan (kóðamagn ~2–3×, mynstrun villna ~2×, yfirferðargæði ~1,5×). Metið eftir mikilvægi kerfis; afleiðing ræðst af því hvar kóðinn lendir.

Phishing

Phishing var áður vandamál út af tveim ástæðum: það var ódýrt fyrir árásaraðila að senda hundruð bréfa, og það var oft einhver hluti starfsfólks sem féll fyrir einu þeirra. Vörnin var blanda af tæknilegum síum og þjálfun starfsmanna.

Gervigreind hefur breytt báðum hliðum jöfnunnar. Bréfin eru ekki lengur of „skrítin" til að sleppa því að taka mark á þeim — þau eru AI-framleidd, persónuleg, með betri íslensku en flest fyrirtæki framleiða sjálf. Þau geta verið hluti af lengri samskiptasögu: símhringingum, fundarbeiðnum, óskráðum MS Teams-skilaboðum, allt til að „sanna að þetta séu veruleg samskipti". Það sem áður greindi phishing frá lögmætum samskiptum er nánast horfið.

Á sama tíma getur árásaraðilinn framkvæmt þúsundfaldan fjölda tilrauna með sömu fyrirhöfn.

Áhættuminnkun: tæknilegar varnir (DMARC, e-mail authentication, phishing-resistant MFA) þurfa að vera til staðar, en mikilvægara er að endurskoða viðmið um þjálfun. Hin gamla aðferð „kenndu starfsfólki að þekkja phishing" virkar ekki lengur vegna þess að phishing er nú óaðgreinanleg frá raunverulegum samskiptum. Aðferðin þarf að færast í átt að ferlum — staðfesting á öllum mikilvægum aðgerðum gegnum aðra rás, óháð því hversu sannfærandi beiðnin lítur út.

Í áhættuskrá: tíðni færist úr „1–2 alvarlegar tilraunir á ári" í „mánaðarlegar tilraunir, einn smellur á ári" hjá fyrirtæki í meðalstærð. Sérstaklega á fjárhagslegum og rekstrarlegum aðgerðum.

Birgjakeðjuárás

„Slop-squatting" er nýtt orð sem lýsir gömlu vandamáli í nýjum búning. Þegar AI-módel sem aðstoðar þróunaraðila notar pakka sem ekki er til (eða var ekki til), getur árásaraðili þegar verið búinn að búa pakkann með ranga nafninu til, fyllt hann af „sinni útgáfu" af sama kóða, og beðið.

Sömu lögmál eiga við um skjölun: gervigreind getur framleitt sannfærandi rangar leiðbeiningar sem benda á rangar þjónustur, ranga endapunkta, rangar aðferðir.

Áhættuminnkun: „vendor due diligence" sem þú gerðir 2024 dugar ekki. Innleidd dependencies þarfnast skoðunar á upprunaprófíl, ekki bara virkni. Audit-trail á nýjum dependencies í CI er ný regla.

Í áhættuskrá: tíðni færist úr „atvik á nokkurra ára fresti" í „1+ atvik á ári" hjá meðalstóru tæknifyrirtæki, og bæta við sérstakri undirfærslu fyrir AI-framleiddan kóða í dependencies.

Fjórar nýjar áhættur

Gagnaleki gegnum prompts

Þetta er áhættan sem allir vita af en fáir hafa skráð. Starfsfólk setur viðskiptavinargögn, kóðabrot, lykilorð, samninga inn í ChatGPT án þess að hugsa um hvar þau enda.

Í ISO 27001:2022 grein A.5.14 (information transfer) er þetta þegar utan ramma. Prompt ER upplýsingaflutningur. Að senda gögn til þjónustuveitanda gæti endað sem þjálfunarefni þeirra eða þjónustuveitenda þeirra, byggt á skilmálum sem fáir innkaupasérfræðingar lesa.

Áhættuminnkun: áskriftir með „no-training" skilmálum, DLP á svörum, þjálfun starfsfólks í því hvað má og hvað má ekki, og uppfærður listi af samþykktum tólum. Síðasti hlutinn skiptir mestu — ef þú segir starfsfólki „ekki nota ChatGPT" án þess að bjóða upp á sambærilegt verkfæri, mun fólk samt nota það, þau segja bara engum frá því.

Gervigreindarbirgjar

Anthropic, OpenAI, Mistral, Google Vertex — þetta eru birgjar. Þeir falla undir A.5.19-23 (supplier relationships) eins og hver annar þjónustuveitandi. En þeir hafa eitthvað sem hefðbundnir birgjar hafa ekki: þeir geta haldið gögnunum þínum eftir, þjálfað á þeim (ef þú leyfir), og notað þau í framtíðarmódeli.

Þetta er ekki staðlað birgjasamband. Þetta er nýtt fyrirbæri sem flestir hefðbundnir samningar ná ekki utan um.

Áhættuminnkun: lesa skilmála, sérstaklega data-retention og training-use ákvæðin. Velja áskriftarstig sem útilokar þjálfun á gögnunum þínum. Búa til exit-plan: hvað gerist ef birgi breytir skilmálum, fer í þrot, eða verður stöðvaður af einhverju regluverki?

Í áhættuskrá: ný færsla með áherslu á áframhaldandi due diligence, ekki einu sinni á ári heldur við hverja uppfærslu á líkani eða notendaskilmálum.

Aðgangstýringar í erindrekum (agents)

Þetta er falin áhætta. Innri erindrekar byrja oft með takmarkað aðgengi — að lesa eitt API, skrifa á eitt skjal. En eftir nokkra mánuði eru þeir oft komnir með víðtækari aðgang en upphaflega var ætlað, vegna þess að það var auðveldara að gefa þeim meiri réttindi en að endurhanna ferlana. MCPs gera þetta sérstaklega auðvelt: ný tenging, nýr aðgangur, fáar spurningar.

Erindrekar með MCPs og API-lykla eru forréttindanotendur. Grein A.8.2 nær þegar yfir þá ef við setjum hana upp á réttan hátt. En flestir gera það ekki vegna þess að erindrekar líta út eins og innri tól, ekki eins og notendur.

Áhættuminnkun: regluleg endurskoðun á aðgangsréttindum erindreka (ársfjórðungslega), least-privilege haft sem viðmið, og audit-log á hverri viðbót — sérstaklega á MCP-tengingum.

Í áhættuskrá: ný færsla. Tíðni: 1–2 atvik á ári, vaxandi með fjölda erindreka og MCPs sem fyrirtækið rekur. Afleiðing: háð því hvaða kerfi erindrekinn hefur aðgang að.

Breytingar á hegðun líkanna

Síðasta nýja færslan, og kannski sú lúmskasta. Birgi uppfærir módelið sitt. Notendaviðmótið breytist ekki. Aðgangurinn breytist ekki. En módelið svarar sömu beiðni öðruvísi. Eftirlitið sem þú smíðaðir á gamla módelinu — input validation, output filtering, confidence thresholds — getur brotnað án þess að þú vitir.

Þetta er nýr flokkur af áhættu sem hefur enga beina samsvörun í eldri staðla.

Áhættuminnkun: regression testing á AI-tengdum ferlum, vendor change-notification SLA, version-pinning þar sem hægt er, og virk vöktun á módel-frammistöðu yfir tíma.

Í áhættuskrá: ný færsla. Tíðni: 2–4 sinnum á ári per módel sem þú reiðir þig á. Afleiðing: háð notkuninni.

Hvað er þegar í ISO 27001:2022

Það sem flestir átta sig ekki á er að ramminn nær þegar yfir flestar þessar áhættur. Ekki orðrétt — staðallinn frá 2022 nefnir ekki LLM beint — en eftir ítarlegri lestur:

  • A.5.14 (information transfer): nær yfir prompts.
  • A.5.19-23 (supplier relationships): nær yfir AI-birgja.
  • A.6.3 (awareness, education, training): nær yfir AI-þjálfun starfsfólks.
  • A.8.2 (privileged access): nær yfir erindreka með MCPs og API-lykla.
  • A.8.10 (information deletion): nær yfir model-retention og þjálfunargögn.
  • A.8.16 (monitoring activities): nær yfir vöktun á prompt-og-output samskiptum.
  • A.8.28 (secure coding): nær yfir endurskoðun á AI-framleiddum kóða.

Þetta þýðir að þú þarft ekki nýjan ramma. Þú þarft að beita þeim sem þú ert þegar með, en á nýrra og stærra umfang.

ISO 42001 er önnur hlið á teningnum — sá staðall er fyrir AI sem þú smíðar, ekki AI sem þú notar. Ef þú smíðar AI-vörur sjálfur, þá kemur 42001 til viðbótar; ef þú notar AI-tól, dugar 27001 með réttum umfangsbreytingum.

Hvernig réttlætirðu breytt mat fyrir næstu endurskoðun?

Úttektaraðilar eru ekki andstæðingar þínir í þessari uppfærslu. Þeir eru að spyrja sömu spurninga og þú. En þeir vilja sjá að breytt mat byggist á einhverju.

Þrennt sem virkar:

Vísan í rannsóknir. ENISA, netöryggisstofnun ESB, birti Threat Landscape 2025 þar sem 4.875 atvik voru greind frá júlí 2024 til júní 2025. Lykilniðurstöður: meira en 80% af social engineering-árásum á heimsvísu eru nú AI-stýrðar phishing-herferðir, og phishing eitt og sér er 60% af öllum atvikum. WEF Global Cybersecurity Outlook 2025 bætir við: 66% fyrirtækja telja AI muni hafa mest áhrif á netöryggi næsta árið, en aðeins 37% hafa ferli til að meta öryggi AI-tóla áður en þau eru tekin í notkun. Þetta eru tilvitnanir sem þú getur sýnt og úttektaraðilinn metið.

Skilgreining á umfangi. Byggðu á opnum stöðlum eins og MITRE ATLAS og OWASP fyrir LLM-áhættur. Ekki ákveða að „tíðni tvöfaldast" — sýndu þá þróun gegnum staðla sem úttektaraðilinn þekkir. Áhættumat byggt á tölulegum mælieiningum (atvik á ári) er auðveldara að rökstyðja en einföld Medium/High mæling, einmitt vegna þess að þú getur borið saman tölurnar við gögnin.

Þín eigin gögn. Hvað hefur þú séð innri kerfum á síðustu 12 mánuðum? Phishing-tilraunir? Failed login-tilraunir? AI-tengd atvik? Tölurnar þínar segja meira en þúsund fullyrðingar.

Aðferðin sem virkar ekki er að mæta með „AI breytir öllu, hækkum allt." Úttektaraðilinn vill rökstuðning, ekki hækkun á kvíða.

Næsta skref — ársfjórðungslega, ekki tvisvar á ári

Efnið í þessari grein er ekki einsskiptisverkefni. Umfang áhættu vegna gervigreindar hreyfist hratt. Áhættumatið þitt þarf að endurskoða ársfjórðungslega, ekki tvisvar á ári.

Áhættuskrá frá 2023 var rétt fyrir 2023. Áhættuskrá frá 2024 var rétt fyrir 2024 með nokkrum uppfærslum. Áhættuskrá fyrir 2026 og fram á við þarf nýtt umfang og nýja tíðni.

Þetta er vel skilgreint verkefni — ekki nýr rammi, ekki ný vottun. Bara nýtt umfang á þeim ramma sem þú ert þegar með, með aðferð sem úttektaraðilinn þinn getur metið.

Það fyrirtæki sem ræðir þetta á næsta Management fundi mun standa betur að vígi en það sem ætlar að bíða eftir næstu úttekt.