Hoppa yfir valmynd

Netöryggi

Stefna ríkisins um net- og upplýsingaöryggi birtist í netöryggisstefnu Íslands 2022-2037 (útg. febrúar 2022). Netöryggisráð, skipað fulltrúum opinberra aðila, hefur umsjón með innleiðingu hennar og er vettvangur miðlunar upplýsinga og samhæfingar aðgerða á sviði net- og upplýsingaöryggis. 

Alþingi samþykkti á vorþingi 2019 lög um öryggi net- og upplýsingakerfa mikilvægra innviða og tóku þau gildi 1. september 2020.

 

Aðgerðaáætlun stjórnvalda í netöryggi 2022-2027 var kynnt fyrir ríkisstjórn 28. október 2022. Aðgerðaáætlunin samanstendur af 65 fjölbreyttum aðgerðum. Út frá inntaki aðgerða eru þær flokkaðar í sex undirmarkmið sem tengjast meginmarkmiðum Netöryggisstefnu Íslands 2022-2037. Aðgerðirnar eru á ábyrgð átta ráðuneyta.

Mælaborð aðgerðaáætlunarinnar er gagnvirkt og sýnir framgang aðgerðanna á myndrænan hátt. Þar er annars vegar að finna hlutfall þeirra aðgerða sem er í undirbúningi, í vinnslu og lokið, bæði í heild og flokkað út frá ráðuneytum. Hins vegar má finna lista yfir allar aðgerðirnar, sem flokkaðar eru út frá markmiðum Netöryggisstefnu Íslands.

 

 

Netglæpir eru afbrot samkvæmt hegningarlögum eða sérrefsilögum sem framin eru með því að nýta Netið eða beinast gegn því. Í netárás er Netið notað til að skaða virkni tölvukerfa eða fá óleyfilegan aðgang að þeim. Hafa þarf í huga að hefðbundin notkun stafrænna lausna og Netsins til að fremja glæp, svo sem að selja ólöglega vöru eða þjónustu eða beita misnotkun eða ofbeldi, telst einnig vera netglæpur.

Netglæpir eru í örum vexti og æ meiri áhersla er lögð á það á alþjóðavísu að bregðast við slíkri brotastarfsemi, enda eru netglæpir ekki aðeins vandamál eins ríkis vegna alþjóðlegs eðlis Netsins. Alþjóðlegt samstarf um aðgerðir gegn netglæpum fer fram á grunni samnings Evrópuráðsins um tölvubrot og á vettvangi Evrópulögreglunnar EUROPOL.

Með gildistöku nýrrar netöryggisstefnu Evrópusambandsins, 27. júní 2019, var Evrópsku netöryggisstofnuninni ENISA gefið nýtt og aukið hlutverk. Jafnframt var ensku heiti stofnunarinnar breytt úr European Union Agency for Network and Information Security í European Union Agency for Cybersecurity. Ísland á fulltrúa í stjórn og tenglahópi ENISA.

Eitt meginverkefna stofnunarinnar verður uppbygging vottun samræmds vottunarkerfis fyrir Hlutanetið, IoT, sem er ein meginstoð fjórðu iðnbyltingarinnar.

ENISA hefur gefið út margar skýrslur um netöryggi, t.d. mat netöryggisógna og hvar sé helst þörf á aukinni áherslu í rannsóknum og þróun.

CERT-IS gegnir hlutverki lansbundins öryggis- og viðbragðsteymis vegna ógna, atvika og áhættu er varðar net- og upplýsingaöryggi (þjóðar-CERT). CERT-IS stuðlar að bættu netöryggi með fyrirbyggjandi aðgerðum eins og ráðgjöf, upplýsingamiðlun, útgáfu leiðbeininga, tilkynninga og, ef við á, tilmælum um ákveðnar aðgerðir vegna atvika og áhættu.

Markmið CERT-IS er að geta gefið sem réttasta mynd af stöðu netöryggis á Íslandi hverju sinni og miðla reglulega stöðumati til netöryggisráðs. CERT-IS leitast eftir að skapa almenna ástandsvitund um ógnir, áhættu og atvik hér á landi með því að miðla viðeigandi upplýsingum til þjónustuhópa CERT-IS og almennings ef þörf er á. Á hverju ári gefur CERT-IS út ársskýrslu þar sem farið er yfir fjölda atvika og þá þróun sem við sjáum borið saman við fyrri ár. 

Mikilvægum innviðum ber að tilkynna CERT-IS um öll alvarleg netöryggisatvik eða -áhættu sem kemur upp hjá þeim og fellur undir 8. gr. laga nr. 78/2019 um öryggi net- og upplýsingakerfa of mikilvægra innviða.

CERT-IS sinnir hlutverki í viðbúnaðaráætlun Almannavarnardeildar Ríkislögreglustjóra og virkt samstarf er á milli stofnana um ástandsmat og viðbragð. 

CERT-IS er tengiliður íslenskra stjórnvalda í alþjóðlegu og evrópsku samstarfi netöryggissveita. Þar er áhersla lögð á miðlun og móttöku upplýsinga er varða áhættu, atvik, varnir og viðbúnað vegna ógna. CERT-IS er einnig í stöðugri samvinnu við fjölda stofnana á Íslandi til að vinna að fyrirbyggjandi aðgerðum í netöryggismálum. 

Lög og reglur um starfsemi CERT-IS:

Lög um öryggi net- og upplýsingakerfa mikilvægra innviða, nr. 78/2019, voru samþykkt af Alþingi í júní 2019 og tóku gildi 1. september 2020. Þau taka m.a. mið af svokallaðari NIS-tilskipun Evrópusambandsins um sameiginlegar kröfur til öryggis net- og upplýsingakerfa innan sambandsins. Tilskipuninni er ætlað að auka hæfni aðilarríkja til að bæta netöryggi og bregðast við aðstæðum þar sem netöryggi er raskað. Henni er einnig ætlað að stuðla að meiri samhæfingu á milli aðildarríkja og eru þar gerðar kröfur um miðlun netöryggisupplýsinga, bæði innan lands og milli bandalagsríkja. Áhersla er einkum á rekstraraðila mikilvægra innviða samfélagsins og í tilskipuninni er tilgreint hvers konar starfsemi beri að vera í þeim flokki.

 

 

Tilkynningagátt um öryggisatvik, öryggisatvik.island.is, var opnuð 14. maí 2020 en gáttin auðveldar stofnunum og fyrirtækjum að tilkynna um öryggisatvik sem upp kunna að koma í rekstri þeirra. Öryggisatvikin geta verið netatvik tengd netárásum eða netglæpum, en geta einnig orðið með öðrum hætti hvað varðar vernd persónuupplýsinga.

Í tilkynningagáttinni er á einum stað og með samræmdum hætti hægt að tilkynna um öll öryggisatvik og öryggisbresti. Það er mikils hagræðis fyrir fyrirtæki og stofnanir, sem t.d. kunna að þurfa að tilkynna að stór netinnrás sé hafin, að þurfa ekki að margskrá sömu upplýsingar í mismunandi kerfi.

Tilkynningagáttinni er ætlað að bæta þjónustu við þá aðila sem er skylt að tilkynna öryggisatvik samkvæmt lögum hvort sem þau heyra undir Persónuvernd eða netöryggissveitina CERT-IS sem Póst- og fjarskiptastofnun rekur. Einnig er hægt að tilkynna atvikin til Lögreglunnar. 

Gáttin er samvinnuverkefni Persónuverndar, Póst- og fjarskiptastofnunar/CERT-IS og Lögreglunnar undir forystu samgöngu- og sveitarstjórnarráðuneytisins. Tilkynningagáttin var smíðuð af fyrirtækinu Advania með stuðningi ráðuneytisins en hún er rekin sameiginlega af Póst- og fjarskiptastofnun og Persónuvernd. Öryggisúttekt fór fram á gáttinni áður en hún var tekin í notkun – og var hún einnig prófuð af hópi hagsmunaaðila.

Gáttin er vistuð á Ísland.is – oryggisbrestur.island.is – og nota þarf rafræn skilríki til að skrá sig inn.

Oxford-háskóli var fenginn í júní 2017 til að gera úttekt á stöðu netöryggis í íslensku samfélagi og skilaði ítarlegri úttekt. Þar er að finna ráðleggingar til úrbóta sem ráðuneyti og stofnanir hafa þegar tekið til skoðunar og ákvörðunar varðandi skipulag næstu skrefa. Mikilvægt er að þeim sé fylgt vel eftir því flestir innviðir nútímasamfélags byggja beint eða óbeint á fjarskipta- og upplýsingatækni.

Háskóli Íslands og Háskólinn í Reykjavík bjóða upp á meistaranám í tölvunarfræði með netöryggi sem kjörsvið. Um er að ræða samstarfsverkefni háskólanna tveggja, en með netöryggi sem kjörsvið öðlast nemendur sterka verklega og fræðilega færni til að verja netkerfi, tölvur, forrit og stofnanir gegn tölvuárásum. Rannsóknastofur háskólanna gera nemendum kleift að setja upp aðstæður úr raunheimum til að tileinka sér hagnýta reynslu af öryggismálum. Ásamt námskeiðum á vegum HÍ og HR er boðið upp á fjarkennslunámskeið frá evrópskum háskólum, t.d. NTNU. Allt námið er kennt á ensku.

Norski tækniháskólinn, NTNU

Mikil eftirspurn er fyrirsjáanleg eftir sérfræðingum með menntun í netöryggisfræðum á komandi árum. Komið hefur verið á tengslum við norska tækniháskólann NTNU, en háskólinn býður upp á framhaldsnám í netöryggisfræðum sem hentar vel sem framhald fyrir þá sem hafa lokið BS-prófi í tölvunarfræði eða skyldum greinum.

Sjá nánari upplýsingar um námið og frest til skráningar í meistaranám á vef skólans.

 

Öryggi Hlutanetsins (IoT):

Leiðbeiningar um örugga notkun snjalltækja á heimilum

 

 

Dæmi um einföld snjalltæki á heimilum sem þessar leiðbeiningar ná til eru ljósaperur, reykskynjarar, hitastillar, öryggiskerfi, eftirlitsmyndavélar og læsingar.

Val

Öryggissjónarmið við val á snjalltæki fyrir heimilið

  • Er þörf á eiginleikum snjalltækis eða myndi venjulegt tæki duga?
  • Sýnið varkárni við kaup á notuðum snjalltækjum, það er erfitt að tryggja að ekki hafi verið átt við þau.
  • Kannið öryggisráðstafanir sem sölu- eða þjónustuaðili býður upp á varðandi snjalltæki.
  • Ef snjalltæki er knúið rafhlöðu, er rétt að velja tæki sem einnig er hægt að knýja eða hlaða með öðrum hætti í neyð.

Notkun

Örugg notkun snjalltækis á heimili

  • Breytið upphaflegu lykilorði Wi-Fi neta og notið trausta dulritun (t.d. WPA2, leitið leiðbeininga hjá þjónustuaðila)
  • Breytið upphaflegu lykilorði snjalltækis.
  • Þegar ekki er þörf á fjaraðgangi að snjalltæki er rétt að aftengja eða loka fyrir aðgang. 
  • Notið víratengingar í stað þráðlausra þegar unnt er.
  • Breytið persónuverndar- og öryggisstillingum tækis miðað við þarfir ykkar (e. privacy and security settings).
  • Gerið þá eiginleika óvirka sem ekki á að nota.
  • Setjið inn uppfærslur um leið og þær eru fáanlegar.
  • Hafið snjalltæki á sérneti ef unnt er.
  • Tryggið að ekki komi upp alvarlegt ástand þótt snjalltæki hætti að virka (t.d. vegna bilunar á nettengingu).

Netþjónusta

Örugg notkun netþjónustu vegna snjalltækja á heimili

  • Notið lykilorðaforrit (e. password manager).
  • Notið ólík lykilorð fyrir mismunandi þjónustu (þ.e. ekki sama lykilorð).
  • Athugið vel hvaða gagnaskipti farið er fram á (eru þau í samræmi við þá þjónustu sem á að veita?)

 

*Ath. Leiðbeiningarnar eru byggðar á bæklingi Evrópsku netöryggisstofnunarinnar, ENISA: 
Securing the IoT / IoT Security: User awareness (ekki er um beina þýðingu að ræða).

Á komandi árum er fyrirsjáanleg brýn þörf á ýmiss konar leiðbeiningum fyrir söluaðila og framleiðendur snjalltækja og annars búnaðar tengdum Hlutanetinu.
Hér er tilvísun í tvær heimildir sem geta nýst:

- Evrópska netöryggisstofnunin, ENISA, hefur sett upp vefsetur þar sem unnt er að nálgast með einföldum hætti margs konar gögn, jafnt leiðbeiningar sem staðla, sem hafa ber hliðsjón af þegar þjónusta byggð á hlutanetinu er þróuð.

- Leiðbeiningarit breskra stjórnvalda, Code of Practice for Consumer IoT Security (október 2018, 24 bls.) þar sem ráð eru gefin til seljenda og framleiðenda margs konar snjalltækja til að geta veitt neytendum sem besta þjónustu.

Það er mikilvægt fyrir stjórnendur að geta kynnt sér undirstöðuatriði varðandi netöryggi. Ýmis rit eru fáanleg, eitt þeirra er Cyber Security Guide for Boardroom Members (hollenskt leiðbeiningarrit á ensku fyrir stjórnendur). World Economic Forum hefur m.a. gefið út: Advancing Cyber Resilience: Principles and Tools for Boards.

Það hefur ekki tekist að skapa alþjóðlega samstöðu um formlegan lagaramma um Netið. Nokkuð góð samstaða er um að almennt skuli lög í raunheimi einnig gilda þar. Samsvörunin er þó ekki alltaf einföld vegna alþjóðlegs eðlis Netsins og t.d. skýjaþjónustu. Áleitnar spurningar um fullveldi og lögsögu á Netinu hafa því vaknað og meðan ekki er almennt samkomulag um túlkun alþjóðalaga hefur annarra leiða verið leitað. Tallinn-handbókin svokallaða er rit sem var tekið saman af fjölþjóðlegum hópi sérfræðinga að beiðni öndvegisseturs NATO um netvarnir (NATO Cooperative Cyber Defence Centre of Excellence), sem hefur aðsetur í Tallinn í Eistlandi. Markmiðið með ritinu var að taka saman álit helstu sérfræðinga á því hvernig rétt væri að túlka alþjóðalög þegar kæmi að hugsanlegum átökum ríkja á Netinu.

Fyrsta útgáfa handbókarinnar var gefin út 2013 og önnur útgáfa (2.0) var gefin út vorið 2017). Heiti fyrstu útgáfu var ("Tallinn Manual on the International Law Applicable to Cyber Warfare", feitletrun okkar), en hún varð formlega séð úrelt þegar útgáfa númer 2.0 kom út ("Tallinn Manual 2.0 on the International Law Applicable to Cyber Operations"). Breyting á heiti ritsins í annarri útgáfu endurspeglar einmitt þá breytingu að í því eru tekin með tilvik á því gráa svæði sem liggur fyrir neðan það sem flokkast sem „stríðsaðgerðir“ að alþjóðalögum. Þar eru tekin með ýmis tilvik misbeitingar netsins, sem geta verið í hernaðarlegum tilgangi en að viðkomandi aðgerð(ir) sé einungis hluti af fleiri aðgerðum þannig að hver aðgerð nái því ekki að teljast til „stríðsaðgerðar“ og um margs konar ólíkar aðgerðir sé að ræða. Þótt Tallinn-handbókin hafi ekki formlegt gildi við túlkun alþjóðalaga, þá hefur hún haft veruleg áhrif og til hennar er litið á meðan formlegan alþjóðlegan lagaramma skortir á þessu sviði.

Október – mánuður netöryggis

Evrópski netöryggismánuðurinn

Október er á hverju ári helgaður netöryggismálum í mörgum löndum Evrópu. Markmiðið er að vekja athygli á mikilvægi málaflokksins og hvetja til þess að viðburðir á sviði netöryggismála yrðu haldnir í mánuðinum. 

Netöryggismánuðurinn 2022

Viðburðir haldnir í netöryggismánuðinum 2022 eru fjölbreyttir og spennandi. Eins og fyrri ár mun vakningarátakið halda áfram fram í nóvember. Aðilar sem standa að viðburðum eru hvattir til að senda ráðuneyti netöryggismála upplýsingar um þá.

  • 1. október
    Vísindavaka
    Námsbraut í tölvunarfræði Háskóla Íslands stendur fyrir Kahoot! spurningakeppni um tölvuöryggi á Vísindavökunni í Laugardalshöll kl. 13:00-18:00.
  • 5. október
    Ratað um frumskóginn - netöryggi í nýjum heimi: Fræðslufundur Landsbankans í samvinnu við Félag eldri borgara í Reykjavík og nágrenni.
    Landsbankinn í samvinnu við FEB kynnir netsvikara og hvernig má verjast netsvikum. Kl. 10:00-11:30 í sal FEB við Stangarhyl 4.
  • 6. og 7. október
    Landsmót í netöryggi 2022
    SecureIT is excited to announce a collaboration with SANS Institute. Together we are hosting a fun and engaging CTF with players from all across Iceland. A wide range of challenges will be presented, from beginner to more advanced. Solve problems, compete, practice, learn and have fun!
  • 12. október
    Konur, kvár & netöryggi - SecureIT stendur fyrir viðburði þar sem mikilvægum sigrum verður fagnað í formi bubblu quiz (betri útgáfa af pub quiz) þar sem spurt er um konur og kvár í upplýsingatækni, áhugaverðum reynslusögum deilt og gott rými til opinnar umræðu um fjölbreyttari þætti netöryggis og þátttöku allra kynja skapað.
    Takmarkað sætaval er á viðburðinum og öll áhugasöm því hvött til að skrá þátttöku sem fyrst. Athygli er vakin á því að rýmið er sérstaklega fyrir ekki sískynja menn - konur, kvár og trans menn eru velkomið. Viðburðurinn er haldinn á ensku.
  • 12. október
    Netvarnir og viðbrögð við svikatilraunum: Fræðslufundur Landsbankans um netöryggismál fyrir fyrirtæki og stofnanir.
    Netsvikum sem beinast gegn fyrirtækjum hefur fjölgað á undanförnum árum og aðferðirnar breytast í sífellu. Þetta beinist bæði gegn starfsfólki og viðskiptavinum. Á fundinum verður farið yfir nýjar og eldri aðferðir svikaranna, varnir og viðbrögð.
    Viðburðurinn fer fram í Háteigssalnum á Grand Hótel og hefst kl. 08:30. 
  • 20. október
    Komdu að leika með okkur @Taktikal / Come Play With Us @Taktikal
    Í tilefni Netöryggismánuðar bjóðum við þér að bæta öryggisvitund þína á skemmtilegan hátt með því að spila með okkur ,,Hakkara" (okkar útgáfa af varúlfi). Þú þarft ekki að hafa neina þekkingu á netöryggi til að taka þátt. TaktiBARINN verður líka galopinn fyrir þá sem eru þyrstir! Komdu og vertu með, hittu teymið okkar og skemmtu þér í leiðinni!
    For Cybersecurity month we invite you yo increase your security awareness the fun way by joining us in a game of "hackers" (our version of werewolf). No prior knowledge on cybersecurity is necessary. The TaktiBAR will also be wide open for those who are thirsty! Join us - get to know our team and have fun while we are at it!
    Viðburðurinn fer fram kl. 16:00 í Borgartúni 25, 2. hæð.
  • 22. október
    C.S. Technopoly: A Cyber Security Megagame - Tölvunarfræðideild Háskólans í Reykjavík í samstarfi við NTNU.
    C.S. Technopoly is a megagame presented by the Norwegian University of Science and Technology's Cyber Security group, that takes place in a semi-fictional real world some years from now. In the new world there is, as is in today's world, a constant struggle concerning the cyber security solutions that are used to protect digital and physical assets in the global economy. New digital technologies solutions are hyped on the market daily. These solutions promise to cut costs, decrease production time, generate more profits and taxes, and solve user and societal problems without compromising security. However these new digital solutions often solve one problem and create two more.
    In this game you will participate in teams where you will be challenged to decide as a group to either create, buy, invest or even steal, digital solutions to survive different types of cyber events that will occur during the course of the game. At the end of the game the team that has the most money or controls the largest market share can win.
    The goal of the game is to allow participants to explore issues of cyber security strategy at the decision making level. Participants will have to use their analytical skills to get situational awareness through public cyber intelligence security briefings that will be presented in each round in order to determine the best course of action for a winning solution.
  • 26. október
    FailFest 2022 - Hrósum hrakförum!
    Fátt er leiðinlegra en að vera tekin/nn/ð í bakaríið og sárt getur verið að segja frá mistökum sínum. En af mistökunum lærum við og það er sannarlega fjöldi mistaka sem liggur að baki hverjum glæstum árangri. Á þessum viðburði er leitast að því að skapa öruggt rými til að ræða mistök og hvernig/hvað við lærðum af þeim og í leiðinni bjóða öðrum að læra af okkar mistökum. Það krefst hugrekkis að segja frá mistökum sínum en á viðburðinum muinu þrír frábærir einstaklingar deila sinni sögu. Hvernig leið þér að uppgötva að þú hefðir skitið hressilega upp á bak? Eru öll mistök slæm? Hvað myndir þú gera öðruvísi í svipuðum aðstæðum í framtíðinni? Þessum óþægilega spurningum og fleirum til verður svarað á viðburðinum. Hittumst í bakaríinu og förum í kleinu saman!
    SecureIT stendur fyrir þessum viðburði sem fer fram 26. október kl. 17:00 í Brauð&Co á Laugavegi 180.
    Viðburðurinn fer fram á ensku.
  • 26. október
    Komin í skýið - hvað svo?
    Nú er komið að öðrum morgunverðarfundi af þremur í ivðburðaröð Origo um öryggismál í upplýsingatækni. Að þessu sinni verður áherslan á öryggi í skýinu og þar meðal annars rætt um rekstraröryggi, gagnaöryggi og mikilvægi aðgangsstýringa í skýinu.
    Miðvikudagur 26. október kl. 8:45-10:30. Morgunverðarfundurinn fer fram í Hvammi á Grand Hótel Reykjavík.
  • 27. október
    Hakkaravakan
    Hakkaravakan er gagnaglíma (Capture the Flag keppni) fyrir hópa af öllum stærðum og gerðum. Keppnin snýst um að leysa þrautir tengdar netöryggi, með forritunar- og kerfisstjórnunarívafi. Verkefnin í boði verða við allra hæfi, bæði auðveld sem erfið. Allir hópar eru hvattir til að taka þátt, hvort sem það eru fyrirtæki, skólar, vinahópar eða einstaklingar. Engin stærðartakmörk eru á hópum.
    Gagnaglímufélag Íslands sér um rekstur Netöryggiskeppni Íslands, Gagnaglímuna, sem og val og þjálfun á keppnishópi Íslands í Netöryggiskeppni Evrópu. Verkefni Hakkaravökunnar eru samin af keppnisliði Íslands sem nýverið lauk keppni í Netöryggiskeppni Evrópu í Vínarborg.
    Hakkaravakan hefst kl. 12:00 27. október og stendur til kl. 23:59 29. október.
    Gagnaglímufélag Íslands stendur að Hakkaravökunni.
  • 27. október
    Hvernig minnkar þú líkurnar á vefveiðum og að lenda í gagnagíslatöku? Stjórnvísi - Faghópur um upplýsingaöryggi
    Faghópur um upplýsingaöryggi hjá Stjórnvísi vill leggja sitt af mörkum í tilefni Evrópska netöryggismánaðarins og stendur fyrir viðburði þar sem lagðar verða fram einfaldar leiðir og nálgun sem skiðulagsheildir og einstaklingar geta nýtt sér til að varast og bregðast við vefveiðum og gagnagíslatöku.

Evrópska netöryggisstofnunin (ENISA) hefur framleitt nokkur myndbönd til að vekja fólk til vitundar um netöryggi okkar allra í tilefni af evrópska netöryggismánuðinum, sem haldinn er í október ár hvert.

Sjá einnig:

Síðast uppfært: 14.7.2023
Var efnið hjálplegt?
Takk fyrir

Ábendingin verður notuð til að bæta gæði þjónustu og upplýsinga á vef Stjórnarráðsins. Hikaðu ekki við að hafa samband ef þig vantar aðstoð.

Af hverju ekki?

Hafa samband

Ábending / fyrirspurn
Ruslvörn
Vinsamlegast svaraðu í tölustöfum