Hoppa yfir valmynd

Netöryggi

Stefna ríkisins um net- og upplýsingaöryggi birtist í stefnu í fjarskiptum fyrir árin 2019-2033 og fjarskiptaáætlun fyrir árin 2019-2023. Netöryggisráð, skipað fulltrúum opinberra aðila, hefur umsjón með innleiðingu hennar og er vettvangur miðlunar upplýsinga og samhæfingar aðgerða á sviði net- og upplýsingaöryggis. 

Alþingi samþykkti á vorþingi 2019 lög um öryggi net- og upplýsingakerfa mikilvægra innviða. Lögin taka gildi 1. september 2020 að undanskildu ákvæði um Netöryggisráð sem þegar hefur tekið gildi.

 

Netglæpir eru glæpir eða afbrot samkvæmt hegningarlögum eða sérrefsilögum sem framin eru með tilstuðlan netsins. Netglæpir eru í örum vexti og æ meiri áhersla er lögð á það á alþjóða vísu að bregðast við slíkri brotastarfsemi, enda eru þeir ekki vandamál eins lands vegna alþjóðlegs eðlis netsins. Alþjóðlegt samstarf um aðgerðir gegn netglæpum fer fram á grunni samnings Evrópuráðsins um tölvubrot og á vettvangi Evrópulögreglunnar EUROPOL.

Með gildistöku nýrrar netöryggisstefnu Evrópusambandsins, 27. júní 2019, var Evrópsku netöryggisstofnuninni ENISA gefið nýtt og aukið hlutverk. Jafnframt var ensku heiti stofnunarinnar breytt úr European Union Agency for Network and Information Security í European Union Agency for Cybersecurity. Ísland á fulltrúa í stjórn og tenglahópi ENISA.

Eitt meginverkefna stofnunarinnar verður uppbygging vottun samræmds vottunarkerfis fyrir Hlutanetið, IoT, sem er ein meginstoð fjórðu iðnbyltingarinnar.

ENISA hefur gefið út margar skýrslur um netöryggi, t.d. mat netöryggisógna og hvar sé helst þörf á aukinni áherslu í rannsóknum og þróun:

CERT-ÍS er netöryggissveit á vegum Póst- og fjarskiptastofnunar. Hún starfar samkvæmt 47 gr. fjarskiptalaga nr. 81/2003 og reglugerð nr. 475/2013.  Sveitin hóf formlega starfsemi árið 2013.

Með lögum um öryggi net- og upplýsingakerfa mikilvægra innviða, nr. 78/2019 sem samþykkt voru á Alþingi í júní 2019 og taka gildi 1. september 2020 er netöryggissveitinni ætlað víðtækt hlutverk, annars vegar að vera miðlægur samhæfingaraðili innanlands og hins vegar formlegur tengiliður Íslands í evrópsku netöryggissamstarfi. 

lög um öryggi net- og upplýsingakerfa mikilvægra innviða, nr. 78/2019, voru samþykkt af Alþingi í júní 2019 og taka gildi 1. september 2020. Þau taka m.a. mið af svokallaðari NIS-tilskipun Evrópusambandsins um sameiginlegar kröfur til öryggis net- og upplýsingakerfa innan sambandsins. Tilskipuninni er ætlað að auka hæfni aðilarríkja til að bæta netöryggi og bregðast við aðstæðum þar sem netöryggi er raskað. Henni er einnig ætlað að stuðla að meiri samhæfingu á milli aðildarríkja og eru þar gerðar kröfur um miðlun netöryggisupplýsinga, bæði innan lands og milli bandalagsríkja. Áhersla er einkum á rekstraraðila mikilvægra innviða samfélagsins og í tilskipuninni er tilgreint hvers konar starfsemi beri að vera í þeim flokki. Kröfur NIS-tilskipunarinnar munu hafa áhrif víða og krefjast samhents átaks við innleiðingu.  

Lög um öryggi net- og upplýsingakerfa mikilvægra innviða fela meðal annars í sér verulega eflingu Netöryggissveitarinnar og aukið hlutverk eftirlitsstofnana mikilvægra innviða samfélagsins er varðar netöryggi, meðal annars þarf að skilgreina hvaða aðilar muni falla undir ákvæði laganna. Þótt lögin taki ekki gildi fyrr en 1. september 2020, þá þarf að huga að mörgu er varðar undirbúning áður en getur komið að gildistöku, bæði er varðar eiginlegar kröfur laganna og einnig þá nánu samvinnu sem þarf að vera fyrir hendi til að lögin skili tilætluðum árangri.

 

Samgöngu- og sveitarstjórnarráðuneytið hefur í samvinnu við þjónustuaðila og sérstaka úttektaraðila gengist fyrir mismunandi úttektum á netöryggi kerfa hjá ýmsum opinberum aðilum, bæði á þjónustu sem hefur verið í rekstri og á þjónustu sem hefur átt að taka í gagnið. Úttektir hafa verið með ýmsum hætti, fyrirspurnum, skimunum og ítarlegri könnunum. Almenn niðurstaða allra þessara kannana er að full þörf er á því að gera úttektir og helst fá þá annan aðila til verksins en þann sem sá um hönnun eða sér um rekstur viðkomandi kerfis. Þannig eru meiri líkur á að óvæntar veilur uppgötvist eða keðjuverkunarveilur, þar sem veila hjá þjónustuaðila eða viðskiptavini getur haft alvarleg áhrif.

Öryggisúttektir á opinberum vefjum hafa verið gerðar á undanförnum árum, fyrst árið 2015. Sú úttekt náði til 265 vefja ríkis og sveitarfélaga og var henni fylgt eftir m.a. með því að bjóða þeim stofnunum, sem fengu lakasta niðurstöðu, beina aðstoð við að bæta öryggi vefjanna. Allar ríkisstofnanir og sveitarfélög fengu í hendur stutta skýrslu um öryggi sinna vefja og ábendingar um hvað þyrfti að bæta. Öryggisúttekt var gerð aftur á árinu 2017 og var fylgt eftir haustið 2018 hjá tæplega 40 stofnunum þar sem úrbóta var þörf samkvæmt fyrri úttekt. Hjá rúmlega helmingi var þörf úrbóta (þeirra sömu eða nýrra). Fundir voru haldnir með hverri stofnun til að (a) leiðbeina um úrbætur og til að (b) kanna hvort einhverjir kerfislægir þættir standi í vegi fyrir úrbótum.

Á vegum Netöryggisráðs hefur verið útbúið umræðuskjal varðandi upplýsingaöryggi sem opinberir aðilar gætu haft hliðsjón af/notað við samningagerð. Einnig hafa verið mótaðar leiðbeiningar um gerð áhættumats og öryggisráðstafanir ásamt viðeigandi eyðublöðum, sjá nánar hér.

Ýmis alþjóðleg fyrirtæki skima netið, greina veikleika, flokka þá og meta. Slíkt mat getur verið fyrir ríki í heild, einstakar greinar, fyrirtæki og jafnvel einstaka tölvur. Aðgangur að slíku greiningarmati fyrir Ísland hefur verið keyptur á grunni samnings Netöryggissveitar og stjórnvalda. Netöryggissveitin fær jafnframt mikilvægar greiningarupplýsingar frá erlendum og innlendum samstarfsaðilum. Ástandsmat Netöryggissveitarinnar nýtist stjórnvöldum við mat á tæknilegu öryggisstigi og sveitinni við að veita aðstoð til að vinna bug á þeim veikleikum sem finnast.

 

Oxford-háskóli var fenginn í júní 2017 til að gera úttekt á stöðu netöryggis í íslensku samfélagi og skilaði ítarlegri úttekt. Þar er að finna ráðleggingar til úrbóta sem ráðuneyti og stofnanir hafa þegar tekið til skoðunar og ákvörðunar varðandi skipulag næstu skrefa. Mikilvægt er að þeim sé fylgt vel eftir því flestir innviðir nútímasamfélags byggja beint eða óbeint á fjarskipta- og upplýsingatækni.

Fyrir tilstuðlan samgöngu- og sveitarstjórnarráðuneytisins og í samvinnu við Póst- og fjarskiptastofnun, Persónuvernd, lögreglu og Þjóðskrá er unnið að uppsetningu vefgáttar til að tilkynna um netöryggisbresti til (sumra eða allra þessara aðila eftir því sem við á):

  • Netöryggissveitar
  • Persónuverndar
  • Lögreglu
 

Norski tækniháskólinn, NTNU

Mikil eftirspurn er fyrirsjáanleg eftir sérfræðingum með menntun í netöryggisfræðum á komandi árum. Komið hefur verið á tengslum við norska tækniháskólann NTNU, en háskólinn býður upp á framhaldsnám í netöryggisfræðum sem hentar vel sem framhald fyrir þá sem hafa lokið BS-prófi í tölvunarfræði eða skyldum greinum. Vorið 2018 kom hópur frá NTNU til landsins í samvinnu við ráðuneytið og kynnti rannsóknir og nám við skólann og frekara samstarf er fyrirhugað.

Sjá nánari upplýsingar um námið og frest til skráningar í meistaranám á vef skólans.
(Sigurður Emil Pálsson,  [email protected], getur einnig veitt nánari upplýsingar um námið)

Háskólinn í Oxford

Samgöngu- og sveitarstjórnarráðuneytið og Netöryggisráð hafa einnig verið í samstarfi við Háskólann í Oxford og stóðu í sameiningu að námskeiði í netöryggisfræðum í ágúst 2018 og janúar 2019. Fyrirlesari á námskeiðinu er Dr. Jassim Happa, vísindamaður og kennari við tölvunarfræðideild Háskólann í Oxford.
Áhersla var lögð á að gefa fræðilega yfirsýn út frá áherslum sem eru í doktorsnámi við Háskólann í Oxford, fremur en að þjálfa fólk til að beita ákveðnum tæknilegum aðferðum. Miðað var við að námskeiðið gæti jafnt nýst fólki með tæknilegan bakgrunn, sem vildi kynna sér þróun á þessu sviði, og ýmsum stjórnendum með tæknilegt læsi, sem vildi öðlast skilning á þróun netöryggismála og ýmsum þeim þáttum sem eru á döfinni í netöryggisfræðum. Námskeiðunum var vel tekið, enda var hér einstakt tækifæri til að kynnast hversu breitt svið netöryggisfræðin spanna í reynd.

 

Öryggi Hlutanetsins (IoT):

Leiðbeiningar um örugga notkun snjalltækja á heimilum

 

 

Dæmi um einföld snjalltæki á heimilum sem þessar leiðbeiningar ná til eru ljósaperur, reykskynjarar, hitastillar, öryggiskerfi, eftirlitsmyndavélar og læsingar.

Val

Öryggissjónarmið við val á snjalltæki fyrir heimilið

  • Er þörf á eiginleikum snjalltækis eða myndi venjulegt tæki duga?
  • Sýnið varkárni við kaup á notuðum snjalltækjum, það er erfitt að tryggja að ekki hafi verið átt við þau.
  • Kannið öryggisráðstafanir sem sölu- eða þjónustuaðili býður upp á varðandi snjalltæki.
  • Ef snjalltæki er knúið rafhlöðu, er rétt að velja tæki sem einnig er hægt að knýja eða hlaða með öðrum hætti í neyð.

Notkun

Örugg notkun snjalltækis á heimili

  • Breytið upphaflegu lykilorði Wi-Fi neta og notið trausta dulritun (t.d. WPA2, leitið leiðbeininga hjá þjónustuaðila)
  • Breytið upphaflegu lykilorði snjalltækis.
  • Þegar ekki er þörf á fjaraðgangi að snjalltæki er rétt að aftengja eða loka fyrir aðgang. 
  • Notið víratengingar í stað þráðlausra þegar unnt er.
  • Breytið persónuverndar- og öryggisstillingum tækis miðað við þarfir ykkar (e. privacy and security settings).
  • Gerið þá eiginleika óvirka sem ekki á að nota.
  • Setjið inn uppfærslur um leið og þær eru fáanlegar.
  • Hafið snjalltæki á sérneti ef unnt er.
  • Tryggið að ekki komi upp alvarlegt ástand þótt snjalltæki hætti að virka (t.d. vegna bilunar á nettengingu).

Netþjónusta

Örugg notkun netþjónustu vegna snjalltækja á heimili

  • Notið lykilorðaforrit (e. password manager).
  • Notið ólík lykilorð fyrir mismunandi þjónustu (þ.e. ekki sama lykilorð).
  • Athugið vel hvaða gagnaskipti farið er fram á (eru þau í samræmi við þá þjónustu sem á að veita?)

 

*Ath. Leiðbeiningarnar eru byggðar á bæklingi Evrópsku netöryggisstofnunarinnar, ENISA: 
Securing the IoT / IoT Security: User awareness (ekki er um beina þýðingu að ræða).

Á komandi árum er fyrirsjáanleg brýn þörf á ýmiss konar leiðbeiningum fyrir söluaðila og framleiðendur snjalltækja og annars búnaðar tengdum Hlutanetinu.
Hér er tilvísun í tvær heimildir sem geta nýst:

- Evrópska netöryggisstofnunin, ENISA, hefur sett upp vefsetur þar sem unnt er að nálgast með einföldum hætti margs konar gögn, jafnt leiðbeiningar sem staðla, sem hafa ber hliðsjón af þegar þjónusta byggð á hlutanetinu er þróuð.

- Leiðbeiningarit breskra stjórnvalda, Code of Practice for Consumer IoT Security (október 2018, 24 bls.) þar sem ráð eru gefin til seljenda og framleiðenda margs konar snjalltækja til að geta veitt neytendum sem besta þjónustu.

Það er mikilvægt fyrir stjórnendur að geta kynnt sér undirstöðuatriði varðandi netöryggi. Ýmis rit eru fáanleg, eitt þeirra er Cyber Security Guide for Boardroom Members (hollenskt leiðbeiningarrit á ensku fyrir stjórnendur). World Economic Forum hefur m.a. gefið út: Advancing Cyber Resilience: Principles and Tools for Boards.

Það hefur ekki tekist að skapa alþjóðlega samstöðu um formlegan lagaramma um Netið. Nokkuð góð samstaða er um að almennt skuli lög í raunheimi einnig gilda þar. Samsvörunin er þó ekki alltaf einföld vegna alþjóðlegs eðlis Netsins og t.d. skýjaþjónustu. Áleitnar spurningar um fullveldi og lögsögu á Netinu hafa því vaknað og meðan ekki er almennt samkomulag um túlkun alþjóðalaga hefur annarra leiða verið leitað. Tallinn-handbókin svokallaða er rit sem var tekið saman af fjölþjóðlegum hópi sérfræðinga að beiðni öndvegisseturs NATO um netvarnir (NATO Cooperative Cyber Defence Centre of Excellence), sem hefur aðsetur í Tallinn í Eistlandi. Markmiðið með ritinu var að taka saman álit helstu sérfræðinga á því hvernig rétt væri að túlka alþjóðalög þegar kæmi að hugsanlegum átökum ríkja á Netinu.

Fyrsta útgáfa handbókarinnar var gefin út 2013 og önnur útgáfa (2.0) var gefin út vorið 2017). Heiti fyrstu útgáfu var ("Tallinn Manual on the International Law Applicable to Cyber Warfare", feitletrun okkar), en hún varð formlega séð úrelt þegar útgáfa númer 2.0 kom út ("Tallinn Manual 2.0 on the International Law Applicable to Cyber Operations"). Breyting á heiti ritsins í annarri útgáfu endurspeglar einmitt þá breytingu að í því eru tekin með tilvik á því gráa svæði sem liggur fyrir neðan það sem flokkast sem „stríðsaðgerðir“ að alþjóðalögum. Þar eru tekin með ýmis tilvik misbeitingar netsins, sem geta verið í hernaðarlegum tilgangi en að viðkomandi aðgerð(ir) sé einungis hluti af fleiri aðgerðum þannig að hver aðgerð nái því ekki að teljast til „stríðsaðgerðar“ og um margs konar ólíkar aðgerðir sé að ræða. Þótt Tallinn-handbókin hafi ekki formlegt gildi við túlkun alþjóðalaga, þá hefur hún haft veruleg áhrif og til hennar er litið á meðan formlegan alþjóðlegan lagaramma skortir á þessu sviði.

Í vefhandbókinni, handbók um opinbera vefi er m.a. að finna umfjöllun um netöryggismál. Fjallað er um öryggi opinberra vefja, s.s. áhættumat, öryggi veflausna og grunnkerfa auk öryggis við flokkun gagna. Þá er þar að finna hjálpargögn og orðskýringar.

Huga þarf vel að öryggistengdum þáttum við gerð samninga um þjónustu er byggjast á notkun Netsins. Í vefhandbókinni er að finna drög að samningsviðauka vegna upplýsingaöryggis sem samgöngu- og sveitarstjórnarráðuneytið lét taka saman í samvinnu við Netöryggisráð og hægt er að hafa til hliðsjónar varðandi öryggiskröfur við gerð þjónustusamninga við hýsingaraðila, þjónustuaðila og hugbúnaðarhús. Markmiðið er skerpa á þeim öryggiskröfum sem gerðar eru í slíkum samningum og stuðla þannig að því að koma í veg fyrir öryggisbresti, sem m.a. geta komið upp vegna misskilnings. Dæmi eru um að verkkaupar hafi talið ýmsa öryggistengda þætti vera inni í samningi þegar svo var í reynd ekki.

Drög að samningsviðauka vegna upplýsingaöryggis er umræðuskjal og eru allar ábendingar um það sem betur mætti fara afar vel þegnar. Ábendingar sendist til Sigurðar Emils Pálssonar, [email protected].

 

Október – mánuður netöryggis

Október er helgaður netöryggismálum í mörgum löndum Evrópu og í ár tekur samgöngu- og sveitarstjórnarráðuneytið í fyrsta sinn þátt í átakinu. Markmiðið er að vekja athygli á mikilvægi málaflokksins og hvetja til þess að viðburðir á sviði netöryggismála verði haldnir í mánuðinum.
+ Upplýsingar um evrópska netöryggismánuðinn

Samgöngu- og sveitarstjórnarráðuneytið reið á vaðið fimmtudaginn 3. október með netöryggisráðstefnu undir heitinu Netógnir í nýjum heimi. Þar var kynnt ný lagaumgjörð um netöryggismál og samhæfing þeirra á alþjóðavísu. Þá var fjallað um baráttuna við netglæpi, netöryggisvitund ungs fólks, upplýsingaöryggi hjá hinu opinbera og netöryggi í fjórðu iðnbyltingunni.

Viðburðir í netöryggismánuðinum 2019:

 

  • 3. október: Netógnir í nýjum heimi. Sjá upplýsingar og upptöku hér

  • 3. október: Fræðslufundur Landsbankans um netöryggismál fyrir starfsfólk fyrirtækja og stofnana.

  • 9. október: Öryggisráðstefna Reiknistofu bankanna og Syndis.

  • 18. október: Undirbúningur framkvæmdar nýrra laga um netöryggi sem taka gildi haustið 2020.
    Fundur á vegum samgöngu- og sveitarstjórnarráðuneytisins með þeim eftirlitsstofnunum sem skilgreindar eru samkvæmt lögunum.

  • 23. október: Öryggi skýjalausna, hádegisfundur öryggishóps Ský.

  • 30. október: Evrópska netöryggiskeppnin 2020 – kynning á fyrirhugaðri þátttöku Íslands.
    Keppnin er haldin árlega og verður næst haldin haustið 2020. Samkvæmt reglum keppninnar er lið hvers lands tvískipt, annars vegar í yngri flokki (14-20 ára) og hins vegar í eldri flokki (21-25 ára). Öryggisfyrirtækið Syndis mun hafa umsjón með skipulagningu forkeppni og þjálfun fyrir aðalkeppnina, en Syndis hefur áður staðið fyrir ýmsum netöryggiskeppnum.

  • 30. október: Kynningarfundur fyrir framhaldsskólanema á forkeppni vegna þátttöku Íslands í Evrópsku netöryggiskeppninni.
    Form forkeppninnar verður kynnt og sýnt með dæmum hvernig hún fer fram. Jafnframt verður fjallað um hvernig aðalkeppnin hefur farið fram til þessa og hvernig verði staðið að þjálfun þeirra sem valin verða til þátttöku.

  • 31. október: Ráðstefna um netöryggismál. Fyrirlesari frá Norsk Hydro fer yfir reynslu fyrirtækisins af mjög alvarlegri netárás og fulltrúi frá Norska tækniháskólanum (NTNU) fjallar um netöryggissamstarf háskólans við atvinnulífið. 
    Ráðstefnan er samstarfsverkefni samgöngu- og sveitarstjórnarráðuneytisins og Samtaka atvinnulífsins.

  • 31. október: Fundir með fyrirlesara frá Norsk Hydro og fulltrúum stjórnvalda og atvinnulífs þar sem farið verður nánar yfir æskileg viðbrögð þessara aðila við mjög alvarlegum netárásum. 


    Ath. að viðburðir geta tekið breytingum frá því sem hér er áætlað og fleiri viðburðir geta bæst við listann. 

Enn fremur mun lýsing ýmissa viðburða verða ítarlegri er nær dregur.

Öryggi Hlutanetsins (IoT):

Leiðbeiningar um örugga notkun snjalltækja á heimilum

 

 

Dæmi um einföld snjalltæki á heimilum sem þessar leiðbeiningar ná til eru ljósaperur, reykskynjarar, hitastillar, öryggiskerfi, eftirlitsmyndavélar og læsingar.

Val

Öryggissjónarmið við val á snjalltæki fyrir heimilið

  • Er þörf á eiginleikum snjalltækis eða myndi venjulegt tæki duga?
  • Sýnið varkárni við kaup á notuðum snjalltækjum, það er erfitt að tryggja að ekki hafi verið átt við þau.
  • Kannið öryggisráðstafanir sem sölu- eða þjónustuaðili býður upp á varðandi snjalltæki.
  • Ef snjalltæki er knúið rafhlöðu, er rétt að velja tæki sem einnig er hægt að knýja eða hlaða með öðrum hætti í neyð.

Notkun

Örugg notkun snjalltækis á heimili

  • Breytið upphaflegu lykilorði Wi-Fi neta og notið trausta dulritun (t.d. WPA2, leitið leiðbeininga hjá þjónustuaðila)
  • Breytið upphaflegu lykilorði snjalltækis.
  • Þegar ekki er þörf á fjaraðgangi að snjalltæki er rétt að aftengja eða loka fyrir aðgang. 
  • Notið víratengingar í stað þráðlausra þegar unnt er.
  • Breytið persónuverndar- og öryggisstillingum tækis miðað við þarfir ykkar (e. privacy and security settings).
  • Gerið þá eiginleika óvirka sem ekki á að nota.
  • Setjið inn uppfærslur um leið og þær eru fáanlegar.
  • Hafið snjalltæki á sérneti ef unnt er.
  • Tryggið að ekki komi upp alvarlegt ástand þótt snjalltæki hætti að virka (t.d. vegna bilunar á nettengingu).

Netþjónusta

Örugg notkun netþjónustu vegna snjalltækja á heimili

  • Notið lykilorðaforrit (e. password manager).
  • Notið ólík lykilorð fyrir mismunandi þjónustu (þ.e. ekki sama lykilorð).
  • Athugið vel hvaða gagnaskipti farið er fram á (eru þau í samræmi við þá þjónustu sem á að veita?)

 

*Ath. Leiðbeiningarnar eru byggðar á bæklingi Evrópsku netöryggisstofnunarinnar, ENISA: 
Securing the IoT / IoT Security: User awareness (ekki er um beina þýðingu að ræða).

Á komandi árum er fyrirsjáanleg brýn þörf á ýmiss konar leiðbeiningum fyrir söluaðila og framleiðendur snjalltækja og annars búnaðar tengdum Hlutanetinu.
Hér er tilvísun í tvær heimildir sem geta nýst:

- Evrópska netöryggisstofnunin, ENISA, hefur sett upp vefsetur þar sem unnt er að nálgast með einföldum hætti margs konar gögn, jafnt leiðbeiningar sem staðla, sem hafa ber hliðsjón af þegar þjónusta byggð á hlutanetinu er þróuð.

- Leiðbeiningarit breskra stjórnvalda, Code of Practice for Consumer IoT Security (október 2018, 24 bls.) þar sem ráð eru gefin til seljenda og framleiðenda margs konar snjalltækja til að geta veitt neytendum sem besta þjónustu.

Sjá einnig:

Var efnið hjálplegt?Nei
Takk fyrir

Ábendingin verður notuð til að bæta gæði þjónustu og upplýsinga á vef Stjórnarráðsins. Hikaðu ekki við að hafa samband ef þig vantar aðstoð.

Af hverju ekki?

Hafa samband

Ábending / fyrirspurn
Ruslvörn
Vinsamlegast svaraðu í tölustöfum

Þessi síða notar vafrakökur Lesa meira