Netöryggi
Stefna ríkisins um net- og upplýsingaöryggi birtist í netöryggisstefnu Íslands 2022-2037 (útg. febrúar 2022). Netöryggisráð, skipað fulltrúum opinberra aðila, hefur umsjón með innleiðingu hennar og er vettvangur miðlunar upplýsinga og samhæfingar aðgerða á sviði net- og upplýsingaöryggis.
- Netöryggisstefna Íslands 2022-2037
- Icelandic National Cybersecurity Strategy 2022-2037
- Stefnumótandi aðgerðir til eflingar þekkingarsamfélags á Íslandi til ársins 2025
Alþingi samþykkti á vorþingi 2019 lög um öryggi net- og upplýsingakerfa mikilvægra innviða og tóku þau gildi 1. september 2020.
Aðgerðaáætlun stjórnvalda í netöryggi 2022-2027 var kynnt fyrir ríkisstjórn 28. október 2022. Aðgerðaáætlunin samanstendur af 65 fjölbreyttum aðgerðum. Út frá inntaki aðgerða eru þær flokkaðar í sex undirmarkmið sem tengjast meginmarkmiðum Netöryggisstefnu Íslands 2022-2037. Aðgerðirnar eru á ábyrgð átta ráðuneyta.
Mælaborð aðgerðaáætlunarinnar er gagnvirkt og sýnir framgang aðgerðanna á myndrænan hátt. Þar er annars vegar að finna hlutfall þeirra aðgerða sem er í undirbúningi, í vinnslu og lokið, bæði í heild og flokkað út frá ráðuneytum. Hins vegar má finna lista yfir allar aðgerðirnar, sem flokkaðar eru út frá markmiðum Netöryggisstefnu Íslands.
Netglæpir eru afbrot samkvæmt hegningarlögum eða sérrefsilögum sem framin eru með því að nýta Netið eða beinast gegn því. Í netárás er Netið notað til að skaða virkni tölvukerfa eða fá óleyfilegan aðgang að þeim. Hafa þarf í huga að hefðbundin notkun stafrænna lausna og Netsins til að fremja glæp, svo sem að selja ólöglega vöru eða þjónustu eða beita misnotkun eða ofbeldi, telst einnig vera netglæpur.
Netglæpir eru í örum vexti og æ meiri áhersla er lögð á það á alþjóðavísu að bregðast við slíkri brotastarfsemi, enda eru netglæpir ekki aðeins vandamál eins ríkis vegna alþjóðlegs eðlis Netsins. Alþjóðlegt samstarf um aðgerðir gegn netglæpum fer fram á grunni samnings Evrópuráðsins um tölvubrot og á vettvangi Evrópulögreglunnar EUROPOL.
Með gildistöku nýrrar netöryggisstefnu Evrópusambandsins, 27. júní 2019, var Evrópsku netöryggisstofnuninni ENISA gefið nýtt og aukið hlutverk. Jafnframt var ensku heiti stofnunarinnar breytt úr European Union Agency for Network and Information Security í European Union Agency for Cybersecurity. Ísland á fulltrúa í stjórn og tenglahópi ENISA.
Eitt meginverkefna stofnunarinnar verður uppbygging vottun samræmds vottunarkerfis fyrir Hlutanetið, IoT, sem er ein meginstoð fjórðu iðnbyltingarinnar.
ENISA hefur gefið út margar skýrslur um netöryggi, t.d. mat netöryggisógna og hvar sé helst þörf á aukinni áherslu í rannsóknum og þróun.
CERT-IS gegnir hlutverki lansbundins öryggis- og viðbragðsteymis vegna ógna, atvika og áhættu er varðar net- og upplýsingaöryggi (þjóðar-CERT). CERT-IS stuðlar að bættu netöryggi með fyrirbyggjandi aðgerðum eins og ráðgjöf, upplýsingamiðlun, útgáfu leiðbeininga, tilkynninga og, ef við á, tilmælum um ákveðnar aðgerðir vegna atvika og áhættu.
Markmið CERT-IS er að geta gefið sem réttasta mynd af stöðu netöryggis á Íslandi hverju sinni og miðla reglulega stöðumati til netöryggisráðs. CERT-IS leitast eftir að skapa almenna ástandsvitund um ógnir, áhættu og atvik hér á landi með því að miðla viðeigandi upplýsingum til þjónustuhópa CERT-IS og almennings ef þörf er á. Á hverju ári gefur CERT-IS út ársskýrslu þar sem farið er yfir fjölda atvika og þá þróun sem við sjáum borið saman við fyrri ár.
Mikilvægum innviðum ber að tilkynna CERT-IS um öll alvarleg netöryggisatvik eða -áhættu sem kemur upp hjá þeim og fellur undir 8. gr. laga nr. 78/2019 um öryggi net- og upplýsingakerfa of mikilvægra innviða.
CERT-IS sinnir hlutverki í viðbúnaðaráætlun Almannavarnardeildar Ríkislögreglustjóra og virkt samstarf er á milli stofnana um ástandsmat og viðbragð.
CERT-IS er tengiliður íslenskra stjórnvalda í alþjóðlegu og evrópsku samstarfi netöryggissveita. Þar er áhersla lögð á miðlun og móttöku upplýsinga er varða áhættu, atvik, varnir og viðbúnað vegna ógna. CERT-IS er einnig í stöðugri samvinnu við fjölda stofnana á Íslandi til að vinna að fyrirbyggjandi aðgerðum í netöryggismálum.
Lög og reglur um starfsemi CERT-IS:
- Lög nr. 75/2021 um Fjarskiptastofu
- Lög nr. 70/2022 um fjarskipti
- Lög nr. 78/2019 um öryggi net- og upplýsingakerfa mikilvægra innviða
- Reglugerð nr. 480/2021 um netöryggissveit Póst- og fjarskiptastofnunar (CERT-IS)
- Auglýsing nr. 67/2022 um skrá yfir rekstraraðila nauðsynlegrar þjónustu
- Reglugerð nr. 866/2020 um öryggi net- og upplýsingakerfa rekstraraðila nauðsynlegrar þjónustu
- Reglugerð nr. 1255/2020 um öryggi net- og upplýsingakerfa veitenda stafrænnar þjónustu
Lög um öryggi net- og upplýsingakerfa mikilvægra innviða, nr. 78/2019, voru samþykkt af Alþingi í júní 2019 og tóku gildi 1. september 2020. Þau taka m.a. mið af svokallaðari NIS-tilskipun Evrópusambandsins um sameiginlegar kröfur til öryggis net- og upplýsingakerfa innan sambandsins. Tilskipuninni er ætlað að auka hæfni aðilarríkja til að bæta netöryggi og bregðast við aðstæðum þar sem netöryggi er raskað. Henni er einnig ætlað að stuðla að meiri samhæfingu á milli aðildarríkja og eru þar gerðar kröfur um miðlun netöryggisupplýsinga, bæði innan lands og milli bandalagsríkja. Áhersla er einkum á rekstraraðila mikilvægra innviða samfélagsins og í tilskipuninni er tilgreint hvers konar starfsemi beri að vera í þeim flokki.
- Lög um öryggi net- og upplýsingakerfa mikilvægra innviða, nr. 78/2019
- Drög að íslenskri þýðingu á NIS-tilskipuninni
- NIS-tilskipunin - enska
- Auglýsing um skrá yfir rekstraraðila nauðsynlegrar þjónustu
Unnið er að uppfærslu á tilkynningagátt.
Á meðan má tilkynna um öryggisbrest /öryggisatvik:
- Persónuvernd (Öryggisbresstur) https://island.is/tilkynna-oryggisbrest
- Certís (Öryggisatvik) https://cert.is/tilkynna-atvik/
Tilkynningagátt um öryggisatvik auðveldar stofnunum og fyrirtækjum að tilkynna um öryggisatvik sem upp kunna að koma í rekstri þeirra. Öryggisatvikin geta verið netatvik tengd netárásum eða netglæpum, en geta einnig orðið með öðrum hætti hvað varðar vernd persónuupplýsinga.
Í tilkynningagáttinni er á einum stað og með samræmdum hætti hægt að tilkynna um öll öryggisatvik og öryggisbresti. Það er mikils hagræðis fyrir fyrirtæki og stofnanir, sem t.d. kunna að þurfa að tilkynna að stór netinnrás sé hafin, að þurfa ekki að margskrá sömu upplýsingar í mismunandi kerfi.
Tilkynningagáttinni er ætlað að bæta þjónustu við þá aðila sem er skylt að tilkynna öryggisatvik samkvæmt lögum hvort sem þau heyra undir Persónuvernd eða netöryggissveitina CERT-IS sem Póst- og fjarskiptastofnun rekur. Einnig er hægt að tilkynna atvikin til Lögreglunnar.
Gáttin er samvinnuverkefni Persónuverndar, Póst- og fjarskiptastofnunar/CERT-IS og Lögreglunnar undir forystu samgöngu- og sveitarstjórnarráðuneytisins. Tilkynningagáttin var smíðuð af fyrirtækinu Advania með stuðningi ráðuneytisins en hún er rekin sameiginlega af Póst- og fjarskiptastofnun og Persónuvernd. Öryggisúttekt fór fram á gáttinni áður en hún var tekin í notkun – og var hún einnig prófuð af hópi hagsmunaaðila.
Tilkynna öryggisbrest til Persónuverndar (á Ísland.is), nota þarf rafræn skilríki til að skrá sig inn.
Oxford-háskóli var fenginn í júní 2017 til að gera úttekt á stöðu netöryggis í íslensku samfélagi og skilaði ítarlegri úttekt. Þar er að finna ráðleggingar til úrbóta sem ráðuneyti og stofnanir hafa þegar tekið til skoðunar og ákvörðunar varðandi skipulag næstu skrefa. Mikilvægt er að þeim sé fylgt vel eftir því flestir innviðir nútímasamfélags byggja beint eða óbeint á fjarskipta- og upplýsingatækni.
Háskóli Íslands og Háskólinn í Reykjavík bjóða upp á meistaranám í tölvunarfræði með netöryggi sem kjörsvið. Um er að ræða samstarfsverkefni háskólanna tveggja, en með netöryggi sem kjörsvið öðlast nemendur sterka verklega og fræðilega færni til að verja netkerfi, tölvur, forrit og stofnanir gegn tölvuárásum. Rannsóknastofur háskólanna gera nemendum kleift að setja upp aðstæður úr raunheimum til að tileinka sér hagnýta reynslu af öryggismálum. Ásamt námskeiðum á vegum HÍ og HR er boðið upp á fjarkennslunámskeið frá evrópskum háskólum, t.d. NTNU. Allt námið er kennt á ensku.
Norski tækniháskólinn, NTNU
Mikil eftirspurn er fyrirsjáanleg eftir sérfræðingum með menntun í netöryggisfræðum á komandi árum. Komið hefur verið á tengslum við norska tækniháskólann NTNU, en háskólinn býður upp á framhaldsnám í netöryggisfræðum sem hentar vel sem framhald fyrir þá sem hafa lokið BS-prófi í tölvunarfræði eða skyldum greinum.
Sjá nánari upplýsingar um námið og frest til skráningar í meistaranám á vef skólans.
Öryggi Hlutanetsins (IoT):
Leiðbeiningar um örugga notkun snjalltækja á heimilum
Dæmi um einföld snjalltæki á heimilum sem þessar leiðbeiningar ná til eru ljósaperur, reykskynjarar, hitastillar, öryggiskerfi, eftirlitsmyndavélar og læsingar.
Val
Öryggissjónarmið við val á snjalltæki fyrir heimilið
- Er þörf á eiginleikum snjalltækis eða myndi venjulegt tæki duga?
- Sýnið varkárni við kaup á notuðum snjalltækjum, það er erfitt að tryggja að ekki hafi verið átt við þau.
- Kannið öryggisráðstafanir sem sölu- eða þjónustuaðili býður upp á varðandi snjalltæki.
- Ef snjalltæki er knúið rafhlöðu, er rétt að velja tæki sem einnig er hægt að knýja eða hlaða með öðrum hætti í neyð.
Notkun
Örugg notkun snjalltækis á heimili
- Breytið upphaflegu lykilorði Wi-Fi neta og notið trausta dulritun (t.d. WPA2, leitið leiðbeininga hjá þjónustuaðila)
- Breytið upphaflegu lykilorði snjalltækis.
- Þegar ekki er þörf á fjaraðgangi að snjalltæki er rétt að aftengja eða loka fyrir aðgang.
- Notið víratengingar í stað þráðlausra þegar unnt er.
- Breytið persónuverndar- og öryggisstillingum tækis miðað við þarfir ykkar (e. privacy and security settings).
- Gerið þá eiginleika óvirka sem ekki á að nota.
- Setjið inn uppfærslur um leið og þær eru fáanlegar.
- Hafið snjalltæki á sérneti ef unnt er.
- Tryggið að ekki komi upp alvarlegt ástand þótt snjalltæki hætti að virka (t.d. vegna bilunar á nettengingu).
Netþjónusta
Örugg notkun netþjónustu vegna snjalltækja á heimili
- Notið lykilorðaforrit (e. password manager).
- Notið ólík lykilorð fyrir mismunandi þjónustu (þ.e. ekki sama lykilorð).
- Athugið vel hvaða gagnaskipti farið er fram á (eru þau í samræmi við þá þjónustu sem á að veita?)
*Ath. Leiðbeiningarnar eru byggðar á bæklingi Evrópsku netöryggisstofnunarinnar, ENISA:
Securing the IoT / IoT Security: User awareness (ekki er um beina þýðingu að ræða).
Á komandi árum er fyrirsjáanleg brýn þörf á ýmiss konar leiðbeiningum fyrir söluaðila og framleiðendur snjalltækja og annars búnaðar tengdum Hlutanetinu.
Hér er tilvísun í tvær heimildir sem geta nýst:
- Evrópska netöryggisstofnunin, ENISA, hefur sett upp vefsetur þar sem unnt er að nálgast með einföldum hætti margs konar gögn, jafnt leiðbeiningar sem staðla, sem hafa ber hliðsjón af þegar þjónusta byggð á hlutanetinu er þróuð.
- Leiðbeiningarit breskra stjórnvalda, Code of Practice for Consumer IoT Security (október 2018, 24 bls.) þar sem ráð eru gefin til seljenda og framleiðenda margs konar snjalltækja til að geta veitt neytendum sem besta þjónustu.
Það er mikilvægt fyrir stjórnendur að geta kynnt sér undirstöðuatriði varðandi netöryggi. Ýmis rit eru fáanleg, eitt þeirra er Cyber Security Guide for Boardroom Members (hollenskt leiðbeiningarrit á ensku fyrir stjórnendur). World Economic Forum hefur m.a. gefið út: Advancing Cyber Resilience: Principles and Tools for Boards.
Það hefur ekki tekist að skapa alþjóðlega samstöðu um formlegan lagaramma um Netið. Nokkuð góð samstaða er um að almennt skuli lög í raunheimi einnig gilda þar. Samsvörunin er þó ekki alltaf einföld vegna alþjóðlegs eðlis Netsins og t.d. skýjaþjónustu. Áleitnar spurningar um fullveldi og lögsögu á Netinu hafa því vaknað og meðan ekki er almennt samkomulag um túlkun alþjóðalaga hefur annarra leiða verið leitað. Tallinn-handbókin svokallaða er rit sem var tekið saman af fjölþjóðlegum hópi sérfræðinga að beiðni öndvegisseturs NATO um netvarnir (NATO Cooperative Cyber Defence Centre of Excellence), sem hefur aðsetur í Tallinn í Eistlandi. Markmiðið með ritinu var að taka saman álit helstu sérfræðinga á því hvernig rétt væri að túlka alþjóðalög þegar kæmi að hugsanlegum átökum ríkja á Netinu.
Fyrsta útgáfa handbókarinnar var gefin út 2013 og önnur útgáfa (2.0) var gefin út vorið 2017). Heiti fyrstu útgáfu var ("Tallinn Manual on the International Law Applicable to Cyber Warfare", feitletrun okkar), en hún varð formlega séð úrelt þegar útgáfa númer 2.0 kom út ("Tallinn Manual 2.0 on the International Law Applicable to Cyber Operations"). Breyting á heiti ritsins í annarri útgáfu endurspeglar einmitt þá breytingu að í því eru tekin með tilvik á því gráa svæði sem liggur fyrir neðan það sem flokkast sem „stríðsaðgerðir“ að alþjóðalögum. Þar eru tekin með ýmis tilvik misbeitingar netsins, sem geta verið í hernaðarlegum tilgangi en að viðkomandi aðgerð(ir) sé einungis hluti af fleiri aðgerðum þannig að hver aðgerð nái því ekki að teljast til „stríðsaðgerðar“ og um margs konar ólíkar aðgerðir sé að ræða. Þótt Tallinn-handbókin hafi ekki formlegt gildi við túlkun alþjóðalaga, þá hefur hún haft veruleg áhrif og til hennar er litið á meðan formlegan alþjóðlegan lagaramma skortir á þessu sviði.
Október – mánuður netöryggis
Október er á hverju ári helgaður netöryggismálum í mörgum löndum Evrópu. Markmiðið er að vekja athygli á mikilvægi málaflokksins og hvetja til þess að viðburðir á sviði netöryggismála yrðu haldnir í mánuðinum.
Evrópska netöryggisstofnunin (ENISA) hefur framleitt nokkur myndbönd til að vekja fólk til vitundar um netöryggi okkar allra í tilefni af evrópska netöryggismánuðinum, sem haldinn er í október ár hvert.
Sjá einnig:
Lög
- Lög um öryggi net- og upplýsingakerfa mikilvægra innviða, nr. 78/2019
- Reglugerð um netöryggissveit Póst- og fjarskiptastofnunar (CERT-ÍS), nr. 480/2021
- Reglugerð um öryggi net- og upplýsingakerfa veitenda stafrænnar þjónustu, nr. 1255/2020
- Reglugerð um öryggi net- og upplýsingakerfa rekstraraðila nauðsynlegrar þjónustu, nr. 866/2020
- Auglýsing um skrá yfir rekstraraðila nauðsynlegrar þjónustu
Stefnur
Fréttir
Fjarskipti
Ábendingin verður notuð til að bæta gæði þjónustu og upplýsinga á vef Stjórnarráðsins. Hikaðu ekki við að hafa samband ef þig vantar aðstoð.