Bygythiadau i ddiogelwch TG yn y dyfodol

Rydym wedi bwrw cipolwg ar y dyfodol i weld pa fygythiadau i ddiogelwch TG y gallem fod yn gorfod ymdopi â nhw.

Mae cyfleusterau’r Cwmwl yn cynnig llawer o fanteision dros y dull traddodiadol o fod yn berchen ar rwydwaith o gyfrifiaduron a gorfod ehangu’r rhwydwaith a’i gynnal a’i gadw. Maent hefyd yn achosi cymhlethdodau a risgiau sy’n gysylltiedig â lletya mwy nag un tenant, gweithredu dramor, rhannu adnoddau, ac awdurdodaeth.

Gyda chymaint o dwf yn y maes hwn, mae’n debyg y bydd ymosodwyr yn targedu mwy o wasanaethau Cwmwl a’r platfformau sy’n sail iddynt ac yn manteisio ar eu pŵer prosesu y gellir addasu ei raddfa, e.e. er mwyn torri amgryptiad.

Gall defnyddio deddfau y tu hwnt i diriogaeth y wlad dan sylw, megis Deddf USA PATRIOT yr Unol Daleithiau, danseilio, er enghraifft, hyd yn oed ymddiriedaeth a rheolau’r Undeb Ewropeaidd ym maes diogelu data os yw’r darparwr Cwmwl o fewn terfynau’r gyfraith honno.

Gallai’r peryglon fod yn enfawr pan fyddant yn digwydd, a chaiff y cyfle i archwilio platfformau cymhleth yn fforensig ei gyfyngu’n ddifrifol gan gontractau, hygyrchedd, gallu ac awdurdodaeth, gan rwystro ymchwiliadau ac erlyniadau.

 

Dylai’r sawl sy’n rhoi eu data eu hunain a data eu cwsmeriaid ar wasanaethau Cwmwl sicrhau eu bod yn gallu bodloni eu rhwymedigaethau cyfreithiol, rheoleiddiol a chytundebol i bob parti wrth gontractio, gweithredu, ymateb i ddigwyddiadau a mudo.

Bydd bygythiadau parhaus uwch-dechnolegol, fel y cânt eu galw, neu anwybodaeth barhaus yn parhau. Mae’r rhain yn beryglon mawr, dros gyfnod maith, a allai fod yn cael eu noddi neu’u caniatáu gan wladwriaeth ac y bwriedir iddynt gymryd gwybodaeth sensitif o safbwynt masnachol neu bersonol oddi ar y targedau.

Byddant yn rhagchwilio, yn ymdreiddio, yn sefydlu troedle a drysau cefn, yn cyflawni pa waith ysbïo bynnag sydd ganddynt mewn golwg, ac yna’n tynnu data allan. Gall teilwra cymdeithasol / dwyn, twyllo, gwe-drywanu, blacmelio/llwgrwobrwyo, ymdreiddio, torri i mewn, chwilio drwy hen ddata, bygio, hacio ac ati fod yn rhan o’r repertoire hefyd.

Os gall hyd yn oed newyddiadurwyr ddod o hyd i wybodaeth ar ffonau a chyfrifiaduron enwogion, yr heddlu a gwleidyddion, pa obaith sydd gennych chi yn erbyn ymosodwr sydd â digon o arian a gallu technegol ac sydd wedi’i gymell yn ddigonol?

Bydd y defnydd a wneir o ymosodiadau wedi’u targedu a maleiswedd yn cynyddu; weithiau byddant yn cael eu gwadu ac weithiau byddant yn cael eu defnyddio er mwyn cael cyhoeddusrwydd. Efallai mai rhan fechan o broblem ehangach o lawer oedd Stuxnet a Duqu, ac efallai eu bod yn seiliedig ar becynnau ymosod hyblyg y mae modd eu teilwra ar gyfer targedau penodol ac sy’n cludo llwyth data arbenigol, e.e. er mwyn ysbïo neu amharu.

Mae Hactifiaeth, lle caiff neges benodol ei chyfeirio at y grŵp targed a lle mae achosi embaras a phwysleisio’r neges yr un mor bwysig â pheryglu systemau neu wybodaeth, hefyd yn magu momentwm.

Rhaid i ni beidio ag anghofio am ymosodiadau ar raddfa fawr, lle defnyddir gwendidau sy’n effeithio ar feddalwedd poblogaidd ac sy’n effeithio ar lawer o sefydliadau; mae’r rhain yn dargedau hawdd i ymosodwr.

 

Yn amlwg, nid yw diweddaru patsys yn unig yn ddigon i wrthsefyll y bygythiad hwn, gan fod ymosodiadau diweddar wedi defnyddio llawer o wendidau anhysbys. Os ydych yn defnyddio system sy’n cynnwys data personol a data ariannol cwsmeriaid, mae angen defnyddio technegau amgryptio ac mae angen iddynt fod yn effeithiol.

 

Dylai fod yn ofynnol sicrhau bod system yn cael ei gwarchod gan haenau o ddulliau diogelu sy’n annibynnol ar ei gilydd, oherwydd bydd ymosodwyr cymwys yn cyrraedd yn dawel a byddant yn amyneddgar ac yn dyfalbarhau. Mae angen i’ch sefydliad gael y personél, y polisïau, y dechnoleg a’r gweithdrefnau cywir i synhwyro ymosodiad, ei wrthsefyll, ei ffrwyno ac ymateb iddo, mewn cyfnod byr, er mwyn lleihau’r amser y bydd popeth ar stop, lleihau’r data a gaiff ei golli, lleihau embaras a lleihau costau pan fydd ymosodiad yn digwydd.

 

Bydd esgusodion ynghylch hidlo a blocio’n parhau i gynyddu, gan ychwanegu at y gyfundrefn o gamau aneffeithiol ar gyfer atal mynediad ar y we i ddeunydd sy’n ymwneud â cham-drin plant yn rhywiol, terfysgaeth, casineb yn erbyn crefydd neu hil, annog gwrthryfel, difenwi ac enllib, yn ogystal â blocio gwasanaethau tramor sy’n darparu cyfleusterau gamblo ar-lein, sy’n torri hawlfraint ac sy’n gwerthu nwyddau a reolir neu nwyddau â tholl, megis cyffuriau, alcohol a thybaco.

Mae deddfau a chytundebau â chanlyniadau anfwriadol wedi deillio o gamau i fynd i’r afael â’r symptomau yn hytrach na’r achosion sylfaenol, h.y. y ffynonellau – SOPA, PIPA, HADOPI, ACTA yn ogystal â gorchmynion llys sy’n mynnu bod darparwyr gwasanaethau rhyngrwyd yn blocio gwefannau.

Mae torri’r System Enwau Parth, er enghraifft, er mwyn ei gwneud yn amhosibl cael mynediad i wefannau, yn tanseilio diogelwch y rhyngrwyd ac yn anghymwys o safbwynt technegol. Dim ond drwy dynnu cynnwys neu wasanaethau oddi ar y rhyngrwyd y gellir eu blocio’n wirioneddol.

Dylai rheolau rhyngwladol gydnabod natur drawsffiniol y rhyngrwyd a deall na fydd deddfau lleol efallai yn gweithio’n dda mewn amgylchedd nad oes ganddo ffiniau go iawn.

Mae angen i ni gael cytundebau gwell, cydweithredu gwell a chamau gweithredu gwell i fynd i’r afael â chynnwys a gwasanaethau ar-lein sy’n niweidiol ac yn anghyfreithlon; mae’r sawl sy’n gweithredu ym maes diogelwch plant wedi profi llwyddiant mawr o safbwynt tynnu cynnwys a gwasanaethau oddi ar y rhyngrwyd ac achub y sawl a oedd yn cael eu niweidio, gyda chydweithrediad a chymorth rhyngwladol gan ddarparwyr gwasanaethau rhyngrwyd ac eraill.

Dylid annog y sawl sy’n llunio deddfau i beidio â deddfu mewn meysydd nad ydynt yn eu deall, yn enwedig pan fydd y deddfau’n seiliedig ar ddadleuon unochrog y bydd lobïwyr yn eu cyflwyno. Bydd y broblem yn parhau’n un anodd i’w datrys tra ceir gwahaniaeth rhwng safbwyntiau gwleidyddol a moesol gwledydd.

Yn draddodiadol, mae’r sector milwrol wedi ffafrio twf a chamau i fabwysiadu technolegau newydd: ymerodraeth fwy o faint sydd â mwy o arfau. Nid yw’r sector ‘seiber’ yn wahanol. Y prif wahaniaeth yw’r cwestiwn sy’n ymwneud â phriodoli ymosodiad, nad oes ateb iddo, oherwydd ei bod yn llawer haws gwadu pethau’n gredadwy mewn cyd-destun seiber.

Nid oes angen i gyfrifiaduron ymosodwr ymgasglu wrth ffin, ac ni chânt eu marcio fel bod arsyllwyr annibynnol yn gallu eu hadnabod. Yn wir, gall systemau sydd wedi’u peryglu gael eu defnyddio i ddrysu pethau ymhellach.

Mae arfau seiber yn cael eu datblygu, nid yn unig gan y sawl a ddrwgdybir fel rheol, sef yr Unol Daleithiau, y DU, Rwsia a Tsieina, ond gan Israel, Japan a gwledydd llai o faint.

Mae’r gallu i ryfela drwy ddulliau seiber yn lluosogwr grym, ac mae’n cynnig y potensial ar gyfer rhyfel anghymesur. Mae Israel a gwledydd eraill wedi dweud y byddant yn trin ymosodiad seiber yn yr un modd ag y byddent yn trin ymosodiad ffisegol, ac y gallent ymateb yn ginetig yn hytrach na thrwy dalu’r pwyth yn ôl. Hynny yw, beitiau yn erbyn bomiau.

Mae rheolau gwrthdaro seiber, sy’n weddol debyg i reolau gwrthdaro traddodiadol, yn dechrau ymddangos. Mae angen i hynny barhau, a rhaid sicrhau bod rhai o’r cwestiynau mwy lletchwith yn cael eu hateb.

Bydd y gêm sero-swm ffug, sef diogelwch yn erbyn preifatrwydd, yn parhau i ddigwydd wrth i gamau i rannu data personol ac ariannol gael eu gorfodi, yn enw gwarchod bywyd a rhyddid.

Gan fod pawb yn cael eu drwgdybio a bod angen monitro pawb i sicrhau eu bod yn cydymffurfio, mae angen i ni gael panopticon ar gyfer pob math o ddulliau cyfathrebu – yn ôl nifer gynyddol o lywodraethau sy’n ceisio chwilio drwy bopeth er mwyn dod o hyd i nodwyddau.

Heb dryloywder, goruchwyliaeth a gorfodaeth i gyfiawnhau a chymedroli uchelgeisiau, bydd llywodraethau, asiantaethau gorfodi’r gyfraith ac asiantaethau cudd-wybodaeth yn parhau i ymddwyn yn hy wrth ymdrin â’n preifatrwydd, a bydd unrhyw gamddefnydd yn aros yn y dirgel oni bai bod dinasyddion yn gwneud safiad.

Os caiff drwgweithredwyr eu hadnabod, byddwn yn gweld cynnydd yn y defnydd a wneir o gydgymorth cyfreithiol, gwarantau i arestio ac achosion o estraddodi, hyd yn oed os nad yw’r sawl a ddrwgdybir efallai wedi troseddu yn yr awdurdodaeth y mae ynddi ar y pryd.

Bydd dinasyddion na fyddent yn cael eu hestraddodi gan y wlad y maent yn byw ynddi’n cael eu twyllo i deithio i wledydd mwy cydweithredol lle cânt eu cipio, neu cânt eu dilyn yno. Bydd hynny’n berthnasol nid yn unig i hacwyr a thwyllwyr troseddol ond hefyd i’r sawl sy’n chwythu’r chwiban, y sawl sy’n torri hawlfraint a’r sawl sy’n cynnal gwefannau gamblo ar-lein ac ati.

Dylai rheolau rhyngwladol yn y maes hwn fod yn deg, a dylai ceisiadau i estraddodi fod yn seiliedig ar yr un lefel o dystiolaeth ag y mae ei hangen i erlyn rhywun yn y wlad lle mae’r person dan sylw; a gorau oll os yw’n drosedd a gaiff ei chydnabod yn y fan honno hefyd.

 

Cyfryngau’n cawlio

Bydd ysgrifenwyr yn parhau i gymysgu a drysu rhwng ymosodiad atal gwasanaeth a hacio, a rhwng lawrlwytho a rhannu. Bydd y codwyr bwganod yn ailadrodd hen straeon dychryn am hacwyr sy’n derfysgwyr yn tynnu’r holl dechnoleg a’r holl wasanaethau yr ydym yn eu cymryd yn ganiataol oddi ar y rhyngrwyd. Yn aml, bydd hedyn o wirionedd a ffeithiau’n sail i’r straeon sinistr, tywyll, ond ni ddylid credu pob gair ohonynt heb weld tystiolaeth sy’n eu cefnogi.

Bydd dinasyddion y DU yn methu â mwynhau manteision hunaniaeth ddigidol gadarn sy’n canolbwyntio ar wasanaethau, oherwydd camgymeriadau gan lywodraethau’r gorffennol ynghylch y cerdyn adnabod cenedlaethol, ond yn yr Unol Daleithiau gallai’r strategaeth genedlaethol ar gyfer hunaniaethau y gellir ymddiried ynddynt yn y seiberofod (NSTIC) greu rhyngrwyd ac iddi ddwy haen mewn perthynas â hunaniaeth ar-lein.

Does dim rhaid i gardiau adnabod a hunaniaethau ar-lein fod yn bethau gwael, cyhyd â bod modd ymddiried ym mwriadau’r sawl sy’n eu darparu a chyhyd â bod y systemau gwirio angenrheidiol ar waith a’u bod yn cael eu defnyddio. Bydd problemau’n codi pan fydd eich gwybodaeth yn cael ei chasglu heb gydsyniad clir a deallus ac yna’n cael ei dadansoddi, ei gwerthu a’i defnyddio ‘yn eich erbyn’.

Bydd defnyddwyr yn gallu gwledda ar gwcis, sef y cynnyrch sy’n cael ei farchnata i hysbysebwyr, gan ychwanegu mwyfwy o fanylion personol a gwerth at eu proffiliau cymdeithasol.

Bydd trefniadau rhannu a’r defnydd a wneir o fanylion mewngofnodi i rwydweithiau cymdeithasol er mwyn cael mynediad i wefan trydydd parti yn gwaethygu hynny. Bydd yr opsiwn ‘peidio â dilyn’ yn methu â magu momentwm sylweddol, oherwydd rhesymau technegol a’r ffaith nad yw defnyddwyr yn ei fabwysiadu, yn yr un modd â safonau eraill sy’n ymwneud â phreifatrwydd a diogelwch ar y we. Beth y gellir ei wneud?

Wel, dydw i ddim yn credu bod pobl yn mynd i roi’r gorau yn sydyn i ddefnyddio Google, Facebook, Twitter a LinkedIn, ond gallai diwygiadau newydd yr Undeb Ewropeaidd ym maes Diogelu Data sicrhau o’r diwedd bod endidau nad ydynt yn rhan o’r Undeb Ewropeaidd yn ymdrin yn deg â data sy’n eiddo i ddinasyddion yr Undeb Ewropeaidd.

 

Rydych yn unigryw

Mae pobl yn defnyddio’r un cyfrineiriau ar gyfer llawer o gyfrifon. Mae hynny’n naturiol, yn enwedig pan fo angen cyfrineiriau hir a chymhleth.

Dim ond hyn a hyn o wybodaeth y gall yr ymennydd ymdopi â hi, a dim ond hyn a hyn o le sydd i bapurau nodiadau bach. Wrth gofrestru gydag unrhyw wasanaeth ar-lein, bydd angen i chi gofio bod llawer o ymosodiadau wedi datgelu gwybodaeth am gleientiaid (gan gynnwys manylion personol, cyfrineiriau a manylion cardiau credyd).

Gall hynny arwain at beryglon pellach, yn enwedig pan gaiff cyfeiriad ebost ei ddefnyddio fel yr enw defnyddiwr a phan gaiff y cyfrinair ei ailddefnyddio. Dylech ddefnyddio rheolwr cyfrineiriau. Drwy ddewis cyfrineiriau hir, unigryw a chymhleth a gaiff eu cadw’n ddiogel, byddwch yn creu eich lwc eich hun. Caiff negeseuon i’ch atgoffa o’ch cyfrineiriau a’ch atgoffa i’w hailosod eu hanfon yn aml i’ch cyfrif ebost cofrestredig.

Ni ddylech fyth ddefnyddio cyfrinair eich ebost ar gyfer gwasanaeth ar-lein arall, oherwydd gallai defnyddio’r un cyfrinair fod yn cynnig ffordd arall i mewn i ymosodwr. Os ydych yn rheoli eich enw(au) parth a’ch cyfrifon ebost eich hun, gallwch ddewis defnyddio cyfeiriad ebost gwahanol ar gyfer pob gwasanaeth ar-lein. O gyfuno hynny â manylion mewngofnodi unigryw, mae’n golygu na fydd un cyfrif sydd wedi’i beryglu yn tanseilio eich holl gyfrifon.

Os nad ydych yn siŵr am eich sefyllfa o ran diogelwch, ffoniwch ni ar 01239 712345 neu ebostiwch info@telemat.co.uk