Hoppa yfir valmynd

Netöryggi

Stefna ríkisins um net- og upplýsingaöryggi birtist í stefnu í fjarskiptum fyrir árin 2019-2033 og fjarskiptaáætlun fyrir árin 2019-2023. Netöryggisráð, skipað fulltrúum opinberra aðila, hefur umsjón með innleiðingu hennar og er vettvangur miðlunar upplýsinga og samhæfingar aðgerða á sviði net- og upplýsingaöryggis. 

Alþingi samþykkti á vorþingi 2019 lög um öryggi net- og upplýsingakerfa mikilvægra innviða. Lögin taka gildi 1. september 2020 að undanskildu ákvæði um Netöryggisráð sem þegar hefur tekið gildi.

 

Netglæpir eru glæpir eða afbrot samkvæmt hegningarlögum eða sérrefsilögum sem framin eru með tilstuðlan netsins. Netglæpir eru í örum vexti og æ meiri áhersla er lögð á það á alþjóða vísu að bregðast við slíkri brotastarfsemi, enda eru þeir ekki vandamál eins lands vegna alþjóðlegs eðlis netsins. Alþjóðlegt samstarf um aðgerðir gegn netglæpum fer fram á grunni samnings Evrópuráðsins um tölvubrot og á vettvangi Evrópulögreglunnar EUROPOL.

Með gildistöku nýrrar netöryggisstefnu Evrópusambandsins, 27. júní 2019, var Evrópsku netöryggisstofnuninni ENISA gefið nýtt og aukið hlutverk. Jafnframt var ensku heiti stofnunarinnar breytt úr European Union Agency for Network and Information Security í European Union Agency for Cybersecurity. Ísland á fulltrúa í stjórn og tenglahópi ENISA.

Eitt meginverkefna stofnunarinnar verður uppbygging vottun samræmds vottunarkerfis fyrir Hlutanetið, IoT, sem er ein meginstoð fjórðu iðnbyltingarinnar.

ENISA hefur gefið út margar skýrslur um netöryggi, t.d. mat netöryggisógna og hvar sé helst þörf á aukinni áherslu í rannsóknum og þróun:

CERT-ÍS er netöryggissveit á vegum Póst- og fjarskiptastofnunar. Hún starfar samkvæmt 47 gr. fjarskiptalaga nr. 81/2003 og reglugerð nr. 475/2013.  Sveitin hóf formlega starfsemi árið 2013.

Með lögum um öryggi net- og upplýsingakerfa mikilvægra innviða, nr. 78/2019 sem samþykkt voru á Alþingi í júní 2019 og taka gildi 1. september 2020 er netöryggissveitinni ætlað víðtækt hlutverk, annars vegar að vera miðlægur samhæfingaraðili innanlands og hins vegar formlegur tengiliður Íslands í evrópsku netöryggissamstarfi. 

lög um öryggi net- og upplýsingakerfa mikilvægra innviða, nr. 78/2019, voru samþykkt af Alþingi í júní 2019 og taka gildi 1. september 2020. Þau taka m.a. mið af svokallaðari NIS-tilskipun Evrópusambandsins um sameiginlegar kröfur til öryggis net- og upplýsingakerfa innan sambandsins. Tilskipuninni er ætlað að auka hæfni aðilarríkja til að bæta netöryggi og bregðast við aðstæðum þar sem netöryggi er raskað. Henni er einnig ætlað að stuðla að meiri samhæfingu á milli aðildarríkja og eru þar gerðar kröfur um miðlun netöryggisupplýsinga, bæði innan lands og milli bandalagsríkja. Áhersla er einkum á rekstraraðila mikilvægra innviða samfélagsins og í tilskipuninni er tilgreint hvers konar starfsemi beri að vera í þeim flokki. Kröfur NIS-tilskipunarinnar munu hafa áhrif víða og krefjast samhents átaks við innleiðingu.  

Lög um öryggi net- og upplýsingakerfa mikilvægra innviða fela meðal annars í sér verulega eflingu Netöryggissveitarinnar og aukið hlutverk eftirlitsstofnana mikilvægra innviða samfélagsins er varðar netöryggi, meðal annars þarf að skilgreina hvaða aðilar muni falla undir ákvæði laganna. Þótt lögin taki ekki gildi fyrr en 1. september 2020, þá þarf að huga að mörgu er varðar undirbúning áður en getur komið að gildistöku, bæði er varðar eiginlegar kröfur laganna og einnig þá nánu samvinnu sem þarf að vera fyrir hendi til að lögin skili tilætluðum árangri.

 

Samgöngu- og sveitarstjórnarráðuneytið hefur í samvinnu við þjónustuaðila og sérstaka úttektaraðila gengist fyrir mismunandi úttektum á netöryggi kerfa hjá ýmsum opinberum aðilum, bæði á þjónustu sem hefur verið í rekstri og á þjónustu sem hefur átt að taka í gagnið. Úttektir hafa verið með ýmsum hætti, fyrirspurnum, skimunum og ítarlegri könnunum. Almenn niðurstaða allra þessara kannana er að full þörf er á því að gera úttektir og helst fá þá annan aðila til verksins en þann sem sá um hönnun eða sér um rekstur viðkomandi kerfis. Þannig eru meiri líkur á að óvæntar veilur uppgötvist eða keðjuverkunarveilur, þar sem veila hjá þjónustuaðila eða viðskiptavini getur haft alvarleg áhrif.

Öryggisúttektir á opinberum vefjum hafa verið gerðar á undanförnum árum, fyrst árið 2015. Sú úttekt náði til 265 vefja ríkis og sveitarfélaga og var henni fylgt eftir m.a. með því að bjóða þeim stofnunum, sem fengu lakasta niðurstöðu, beina aðstoð við að bæta öryggi vefjanna. Allar ríkisstofnanir og sveitarfélög fengu í hendur stutta skýrslu um öryggi sinna vefja og ábendingar um hvað þyrfti að bæta. Öryggisúttekt var gerð aftur á árinu 2017 og var fylgt eftir haustið 2018 hjá tæplega 40 stofnunum þar sem úrbóta var þörf samkvæmt fyrri úttekt. Hjá rúmlega helmingi var þörf úrbóta (þeirra sömu eða nýrra). Fundir voru haldnir með hverri stofnun til að (a) leiðbeina um úrbætur og til að (b) kanna hvort einhverjir kerfislægir þættir standi í vegi fyrir úrbótum.

Á vegum Netöryggisráðs hefur verið útbúið umræðuskjal varðandi upplýsingaöryggi sem opinberir aðilar gætu haft hliðsjón af/notað við samningagerð. Einnig hafa verið mótaðar leiðbeiningar um gerð áhættumats og öryggisráðstafanir ásamt viðeigandi eyðublöðum, sjá nánar hér.

Ýmis alþjóðleg fyrirtæki skima netið, greina veikleika, flokka þá og meta. Slíkt mat getur verið fyrir ríki í heild, einstakar greinar, fyrirtæki og jafnvel einstaka tölvur. Aðgangur að slíku greiningarmati fyrir Ísland hefur verið keyptur á grunni samnings Netöryggissveitar og stjórnvalda. Netöryggissveitin fær jafnframt mikilvægar greiningarupplýsingar frá erlendum og innlendum samstarfsaðilum. Ástandsmat Netöryggissveitarinnar nýtist stjórnvöldum við mat á tæknilegu öryggisstigi og sveitinni við að veita aðstoð til að vinna bug á þeim veikleikum sem finnast.

 

Oxford-háskóli var fenginn í júní 2017 til að gera úttekt á stöðu netöryggis í íslensku samfélagi og skilaði ítarlegri úttekt. Þar er að finna ráðleggingar til úrbóta sem ráðuneyti og stofnanir hafa þegar tekið til skoðunar og ákvörðunar varðandi skipulag næstu skrefa. Mikilvægt er að þeim sé fylgt vel eftir því flestir innviðir nútímasamfélags byggja beint eða óbeint á fjarskipta- og upplýsingatækni.

Fyrir tilstuðlan samgöngu- og sveitarstjórnarráðuneytisins og í samvinnu við Póst- og fjarskiptastofnun, Persónuvernd, lögreglu og Þjóðskrá er unnið að uppsetningu vefgáttar til að tilkynna um netöryggisbresti til (sumra eða allra þessara aðila eftir því sem við á):

  • Netöryggissveitar
  • Persónuverndar
  • Lögreglu
 

Norski tækniháskólinn, NTNU

Mikil eftirspurn er fyrirsjáanleg eftir sérfræðingum með menntun í netöryggisfræðum á komandi árum. Komið hefur verið á tengslum við norska tækniháskólann NTNU, en háskólinn býður upp á framhaldsnám í netöryggisfræðum sem hentar vel sem framhald fyrir þá sem hafa lokið BS-prófi í tölvunarfræði eða skyldum greinum. Vorið 2018 kom hópur frá NTNU til landsins í samvinnu við ráðuneytið og kynnti rannsóknir og nám við skólann og frekara samstarf er fyrirhugað.

Sjá nánari upplýsingar um námið og frest til skráningar í meistaranám á vef skólans.
(Sigurður Emil Pálsson,  [email protected], getur einnig veitt nánari upplýsingar um námið)

Háskólinn í Oxford

Samgöngu- og sveitarstjórnarráðuneytið og Netöryggisráð hafa einnig verið í samstarfi við Háskólann í Oxford og stóðu í sameiningu að námskeiði í netöryggisfræðum í ágúst 2018 og janúar 2019. Fyrirlesari á námskeiðinu er Dr. Jassim Happa, vísindamaður og kennari við tölvunarfræðideild Háskólann í Oxford.
Áhersla var lögð á að gefa fræðilega yfirsýn út frá áherslum sem eru í doktorsnámi við Háskólann í Oxford, fremur en að þjálfa fólk til að beita ákveðnum tæknilegum aðferðum. Miðað var við að námskeiðið gæti jafnt nýst fólki með tæknilegan bakgrunn, sem vildi kynna sér þróun á þessu sviði, og ýmsum stjórnendum með tæknilegt læsi, sem vildi öðlast skilning á þróun netöryggismála og ýmsum þeim þáttum sem eru á döfinni í netöryggisfræðum. Námskeiðunum var vel tekið, enda var hér einstakt tækifæri til að kynnast hversu breitt svið netöryggisfræðin spanna í reynd.

 

Það er mikilvægt fyrir stjórnendur að geta kynnt sér undirstöðuatriði varðandi netöryggi. Ýmis rit eru fáanleg, eitt þeirra er Cyber Security Guide for Boardroom Members (hollenskt leiðbeiningarrit á ensku fyrir stjórnendur). World Economic Forum hefur m.a. gefið út: Advancing Cyber Resilience: Principles and Tools for Boards.

Það hefur ekki tekist að skapa alþjóðlega samstöðu um formlegan lagaramma um Netið. Nokkuð góð samstaða er um að almennt skuli lög í raunheimi einnig gilda þar. Samsvörunin er þó ekki alltaf einföld vegna alþjóðlegs eðlis Netsins og t.d. skýjaþjónustu. Áleitnar spurningar um fullveldi og lögsögu á Netinu hafa því vaknað og meðan ekki er almennt samkomulag um túlkun alþjóðalaga hefur annarra leiða verið leitað. Tallinn-handbókin svokallaða er rit sem var tekið saman af fjölþjóðlegum hópi sérfræðinga að beiðni öndvegisseturs NATO um netvarnir (NATO Cooperative Cyber Defence Centre of Excellence), sem hefur aðsetur í Tallinn í Eistlandi. Markmiðið með ritinu var að taka saman álit helstu sérfræðinga á því hvernig rétt væri að túlka alþjóðalög þegar kæmi að hugsanlegum átökum ríkja á Netinu.

Fyrsta útgáfa handbókarinnar var gefin út 2013 og önnur útgáfa (2.0) var gefin út vorið 2017). Heiti fyrstu útgáfu var ("Tallinn Manual on the International Law Applicable to Cyber Warfare", feitletrun okkar), en hún varð formlega séð úrelt þegar útgáfa númer 2.0 kom út ("Tallinn Manual 2.0 on the International Law Applicable to Cyber Operations"). Breyting á heiti ritsins í annarri útgáfu endurspeglar einmitt þá breytingu að í því eru tekin með tilvik á því gráa svæði sem liggur fyrir neðan það sem flokkast sem „stríðsaðgerðir“ að alþjóðalögum. Þar eru tekin með ýmis tilvik misbeitingar netsins, sem geta verið í hernaðarlegum tilgangi en að viðkomandi aðgerð(ir) sé einungis hluti af fleiri aðgerðum þannig að hver aðgerð nái því ekki að teljast til „stríðsaðgerðar“ og um margs konar ólíkar aðgerðir sé að ræða. Þótt Tallinn-handbókin hafi ekki formlegt gildi við túlkun alþjóðalaga, þá hefur hún haft veruleg áhrif og til hennar er litið á meðan formlegan alþjóðlegan lagaramma skortir á þessu sviði.

Í vefhandbókinni, handbók um opinbera vefi er m.a. að finna umfjöllun um netöryggismál. Fjallað er um öryggi opinberra vefja, s.s. áhættumat, öryggi veflausna og grunnkerfa auk öryggis við flokkun gagna. Þá er þar að finna hjálpargögn og orðskýringar.

Erlendir og innlendir sérfræðingar fjalla um IoT, hver frá sínu sjónarhóli, á ráðstefnu á vegum Staðlaráðs Íslands og Háskólans í Reykjavík, með stuðningi samgöngu- og sveitarstjórnarráðuneytisins og Símans.

Sjá einnig:

Var efnið hjálplegt?Nei
Takk fyrir

Ábendingin verður notuð til að bæta gæði þjónustu og upplýsinga á vef Stjórnarráðsins. Hikaðu ekki við að hafa samband ef þig vantar aðstoð.

Af hverju ekki?

Hafa samband

Ábending / fyrirspurn
Ruslvörn


Þessi síða notar vafrakökur Lesa meira