Hoppa yfir valmynd

Netöryggi

Stefna ríkisins um net- og upplýsingaöryggi birtist í stefnu í fjarskiptum fyrir árin 2019-2033 og fjarskiptaáætlun fyrir árin 2019-2023. Netöryggisráð, skipað fulltrúum opinberra aðila, hefur umsjón með innleiðingu hennar og er vettvangur miðlunar upplýsinga og samhæfingar aðgerða á sviði net- og upplýsingaöryggis. 

Alþingi samþykkti á vorþingi 2019 lög um öryggi net- og upplýsingakerfa mikilvægra innviða. Lögin taka gildi 1. september 2020 að undanskildu ákvæði um netöryggisráð sem þegar hefur tekið gildi.

Nánari upplýsingar um netöryggisráð 

Skilvirkt samstarf

Netógnir snerta fleiri en eitt ráðuneyti og kalla á skilvirkt samstarf:


Verkefni sem stuðla að auknu netöryggi

Evrópska netöryggisstofnunin ENISA

netöryggisstefna Evrópusambandsins var samþykkt þann 10. desember 2018. Með samþykkt þessar nýju netöryggisstefnu var evrópsku netöryggisstofnuninni ENISA (European Union Agency for Network and Information Security) gefið nýtt og aukið hlutverk. Meðal verkefna stofnunarinnar verða:

  • Ráðgjöf og stefnumótun í netöryggismálum.
  • Uppbygging á viðbragðsgetu (getur veitt ríkjum ráðgjöf vegna uppbyggingar)
  • Almenn fræðsla og þekkingaruppbygging
  • Gerð staðla og innleiðing þeirra
  • Rannsóknir og nýsköpun (styðja rannsóknastarf er lýtur að netöryggi, samstarf hins opinbera við einkaaðila)
  • Vottun nettengdra hluta (samræmt vottunarkerfi, mikilvægt vegna þróunar „Internets hlutanna“ (IoT))

Fulltrúi ráðuneytisins tók sæti í stjórn ENISA vorið 2018 og er fyrirséð að það verði mjög gagnlegt til að fylgjast með þeirri öru þróun sem er fram undan og þar sem hlutur ENISA mun fara vaxandi. Fulltrúi Póst- og fjarskiptastofnunar er jafnframt í tenglahópi ENISA (National Liaison Officer).

ENISA hefur gefið út margar skýrslur um netöryggi, t.d. mat netöryggisógna og hvar sé helst þörf á aukinni áherslu í rannsóknum og þróun:

Úttekt Oxford-háskóla á stöðu netöryggis í íslensku samfélagi

Oxford-háskóli var fenginn í júní 2017 til að gera úttekt á stöðu netöryggis í íslensku samfélagi og skilaði ítarlegri úttekt. Þar er að finna ráðleggingar til úrbóta sem ráðuneyti og stofnanir hafa þegar tekið til skoðunar og ákvörðunar varðandi skipulag næstu skrefa. Mikilvægt er að þeim sé fylgt vel eftir því flestir innviðir nútímasamfélags byggja beint eða óbeint á fjarskipta- og upplýsingatækni.

Mat á tæknilegu stigi netöryggis

  • Ýmis alþjóðleg fyrirtæki skima Netið, greina veikleika, flokka þá og meta.
  • Slíkt mat getur verið fyrir ríki í heild (sbr. lánshæfismat), einstakar greinar, fyrirtæki og jafnvel niður á einstaka tölvur.
  • Aðgangur að slíku greiningarmati fyrir Ísland hefur verið keyptur á grunni samnings Netöryggissveitar og stjórnvalda.
  • Matið nýtist stjórnvöldum við mat á tæknilegu öryggisstigi (áður hafði Oxford-háskóli metið netöryggi samfélagsins) og
  • Netöryggissveitinni við að veita aðstoð til að vinna bug á þeim veikleikum sem sjást.

Úttekt á öryggi opinberra vefja

Samhliða hefðbundinni gæðaúttekt á opinberum vefjum var, árið 2015, gerð fyrsta úttekin á öryggi opinberra vefja. Náði hún til 265 vefja ríkis og sveitarfélaga og var henni fylgt eftir m.a. með því að bjóða þeim stofnunum, sem fengu lakasta niðurstöðu, beina aðstoð við að bæta öryggi vefjanna. Allar ríkisstofnanir og sveitarfélög fengu í hendur stutta skýrslu um öryggi sinna vefja og ábendingar um hvað þyrfti að bæta. Öryggisúttekt var gerð aftur á árinu 2017.

Úttektinni var síðan fylgt eftir haustið 2018 hjá tæplega 40 stofnunum þar sem úrbóta var þörf samkvæmt fyrri úttekt. Hjá rúmlega helmingi var þörf úrbóta (þeirra sömu eða nýrra). Fundir hafa verið haldnir með hverri stofnun til að (a) leiðbeina um úrbætur og til að (b) kanna hvort einhverjir kerfislægir þættir standi í vegi fyrir úrbótum.  Í ljós kom að oft hefði samningsviðauki um öryggismál sem búið var þróa og kynna innan verkefnisins um Upplýsingasamfélagið dugað til leysa vandann, sjá:

Samningsviðauki um öryggismál

Vefhandbókin – kafli 6: Öryggi

Vefhandbókin var fyrst gefin út 2008 af forsætisráðuneytinu og birt á vefnum ut.is. Það var hluti verkefnisins um upplýsingasamfélagið og tengd könnunum um „Hvað er spunnið í opinbera vefi?“ Fjármálaráðuneytið ber nú ábyrgð á vefhandbókinni, en þar sem netöryggismál heyra undir SRN er nú unnið að endurskoðun sjötta kafla á vegum samgöngu- og sveitarstjórnarráðuneytisins. Samkvæmt könnun í nóv. 2018 voru tengiliðir opinberra stofnana ánægðir með handbókina, gallinn er að margir vissu ekki af henni. Fyrirhugað er að bæta samningsviðaukanum sem fyrr er vikið að inn í vefhandbókina.

Könnun á öryggisskipulagi opinberra upplýsingakerfa og neta

Gerð var könnun á öryggisskipulagi opinberra upplýsingakerfa og neta haustið 2016. Niðurstöður könnunarinnar sýna að úrbóta er þörf. Aðeins lítill hluti opinberra aðila hefur t.d. mótað sér öryggisstefnu, framkvæmt áhættumat eða úthlutað ábyrgð á upplýsingaöryggi á ásættanlegan hátt. Niðurstöður könnunarinnar verða nýttar til að forgangsraða verkefnum sem stuðla að auknu öryggi opinberra upplýsinga, kerfa og neta.

Tilskipun Evrópusambandsins um net- og upplýsingaöryggi

Ný tilskipun um net- og upplýsingaöryggi, var samþykkt hjá Evrópusambandinu í júlí 2016 og er gert ráð fyrir að hún verði tekin inn í EES-samninginn og innleidd í íslenska löggjöf. Tilskipuninni er ætlað að auka hæfni aðilarríkja til að bæta netöryggi og bregðast við aðstæðum þar sem netöryggi er raskað.  Með tilskipuninni er einnig ætlað að stuðla að meiri samhæfingu á milli aðildarríkja og eru þar gerðar kröfur um miðlun netöryggisupplýsinga, bæði innan lands og milli bandalagsríkja.  Áhersla er einkum á rekstraraðila mikilvægra innviða samfélagsins og í tilskipuninni er tilgreint hvers konar starfsemi beri að vera í þeim flokki. Kröfur NIS-tilskipunarinnar munu hafa áhrif víða og krefjast samhents átaks við innleiðingu.  Undirbúningur að því starfi er hafinn.

Netöryggissveitin

Í NIS-tilskipuninni (tilskipun ESB um net- og upplýsingaöryggi) er gerð krafa um samhæfandi miðlæga netöryggissveit. Netöryggissveit Póst- og fjarskiptastofnunar, CERT-IS, sinnir því hlutverki. Unnið er að samningi á milli stjórnsýslunnar og netöryggissveitarinnar um netöryggisþjónustu (GovCERT-þjónustu) og stefnt að því að þessi samningur geti orðið fyrirmynd samninga við aðra geira rekstraraðila mikilvægra innviða samfélagsins.

Mikilvægt er að hugað sé að netöryggi við uppbyggingu opinberrar rafrænnar þjónustu og það sé hluti hönnunar og viðmiða við innkaup.

Netglæpir

Netið er æ meira nýtt sem hluti skipulagðrar glæpastarfsemi. Sjá nánar um aðgerðir gegn netglæpum.

Vefgátt fyrir tilkynningar um öryggisbresti

Fyrir tilstuðlan SRN og í samvinnu við Póst- og fjarskiptastofnun, Persónuvernd, lögreglu og Þjóðskrá er unnið að vefgátt til að tilkynna um netöryggisbresti til (sumra eða allra þessara aðila eftir því sem við á):

  • Netöryggissveitar
  • Persónuverndar
  • Lögreglu

Vefgáttin verður tilbúin til notkunar vorið 2019.

Þátttaka Íslands í evrópsku netöryggiskeppninni

Síðar á árinu tekur Ísland þátt í fyrsta sinn í evrópsku netöryggiskeppninni sem haldin verður dagana 13.-15. október 2019 í Búkarest,  höfuðborg Rúmeníu. Keppninni er lýst svo af aðstandendum hennar: "Contestants will be challenged in solving security related tasks from domains such as web security, mobile security, crypto puzzles, reverse engineering and forensics and in the process collect points for solving them."

Umsjón með undirbúningi, þjálfun og þátttöku í keppninni í ár er fyrirtækið Syndis. Tengiliður Íslands gagnvart stjórn ENISA er Netöryggisráð (fulltrúi SRN í stjórn ENISA og fulltrúi PFS í tenglahópi, NLO).

Evrópska netöryggiskeppnin (European Cyber Security Challenge)

Menntun og fræðsla

Framhaldsnám við erlenda háskóla

Mikil eftirspurn er fyrirsjáanleg eftir sérfræðingum með menntun í netöryggisfræðum á komandi árum. Komið hefur verið á tengslum við norska tækniháskólann NTNU, en háskólinn býður upp á framhaldsnám í netöryggisfræðum sem hentar vel sem framhald fyrir þá sem hafa lokið BS prófi í tölvunarfræði eða skyldum greinum.  Vorið 2018 kom hópur frá NTNU til landsins í samvinnu við ráðuneytið og kynnti rannsóknir og nám við skólann.

Nemendur frá Íslandi hafa frest til 15. apríl ár hvert til að innrita sig í meistaranám að hausti, sjá nánar á vef skólans. (Sigurður Emil Pálsson,  [email protected], getur einnig veitt nánari upplýsingar um námið)

Námskeið Dr Jassim Happa um netöryggisfræði

Samgöngu- og sveitarstjórnarráðuneytið og Netöryggisráð stóðu í sameiningu að námskeiði í netöryggisfræðum í ágúst 2018 og janúar 2019. Fyrirlesari á námskeiðinu er Dr. Jassim Happa, vísindamaður og kennari við tölvunarfræðideild Oxford-háskóla.
Áhersla var lögð á að gefa fræðilega yfirsýn, út frá áherslum, sem eru í doktorsnámi við Oxford-háskóla, fremur en að þjálfa fólk til að beita ákveðnum tæknilegum aðferðum. Miðað var við að námskeiðið gæti jafnt nýst fólki með tæknilegan bakgrunn, sem vildi kynna sér þróun á þessu sviði, og ýmsum stjórnendum með tæknilegt læsi, sem vildi öðlast skilning á þróun netöryggismála og ýmsum þeim þáttum sem eru á döfinni í netöryggisfræðum. Námskeiðunum var vel tekið, enda var hér einstakt tækifæri til að kynnast hversu breitt sviði netöryggisfræðin spanna í reynd.

Frétt um námskeið Dr. Happa 

Fræðsla fyrir stjórnendur

Það er mikilvægt fyrir stjórnendur að geta kynnt sér undirstöðuatriði varðandi netöryggi. Ýmis rit eru fáanleg, eitt þeirra er Cyber Security Guide for Boardroom Members (hollenskt leiðbeiningarrit á ensku fyrir stjórnendur). World Economic Forum hefur m.a. gefið út: Advancing Cyber Resilience: Principles and Tools for Boards.

Bætt netöryggi í samgöngum

Fyrirhugað er samstarf ráðuneytisins (og á vettvangi Netöryggisráðs eftir því sem við á) við Samgöngustofu og Netöryggissveitina um bætt netöryggi í samgöngum. Hugað verður í upphafi sérstaklega að (a) siglingum annars vegar og (b) flugi hins vegar. Verkefnið er á frumstigi og á eftir að móta það nánar, en stefnt er að þátttöku hagsmunaaðila í hvorri grein. Í upphafi verður væntanlega lögð annars vegar áhersla á að kortleggja stöðu eins og stjórnsýslustofnanir sjá hana (m.a. út frá þróun í alþjóðlegum kröfum) og hins vegar mat hagsmunaaðila.

Netöryggi siglinga

Netöryggi í flugi

Tallinn-handbókin – Túlkun alþjóðalaga um átök á eða með Netinu

Tallinn-handbókin svokallaða er rit sem var tekið saman af hópi alþjóðlegra sérfræðinga að beiðni öndvegisseturs NATO um netvarnir (NATO Cooperative Cyber Defence Centre of Excellence), sem hefur aðsetur í Tallinn í Eistlandi. Fyrsta útgáfa handbókarinnar var gefin út 2013 og önnur útgáfa (2.0) var gefin út vorið 2017). Heiti fyrstu útgáfu var ("Tallinn Manual on the International Law Applicable to Cyber Warfare", feitletrun okkar), en hún varð formlega séð úrelt þegar útgáfa númer 2.0 kom út ("Tallinn Manual 2.0 on the International Law Applicable to Cyber Operations"). Breyting á heiti ritsins í annarri útgáfu endurspeglar einmitt þá breytingu að í því eru tekin með tilvik á því gráa svæði sem liggur fyrir neðan það sem flokkast sem „stríðsaðgerðir“ að alþjóðalögum. Þar eru tekin með ýmis tilvik misbeitingar Netsins, sem geta verið í hernaðarlegum tilgangi en að viðkomandi aðgerð(ir) sé einungis hluti af fleiri aðgerðum þannig að hver aðgerð nái því ekki að teljast til „stríðsaðgerðar“ og um margs konar ólíkar aðgerðir sé að ræða.

Tallinn-handbókin

Netógnir er falla undir önnur ráðuneyti

Netógnir snerta fleiri en eitt ráðuneyti og kalla á skilvirkt samstarf. Auk þeirra mála sem falla undir samgöngu- og sveitarstjórnarráðuneytið, falla mikilvægir þættir einnig undir önnur ráðuneyti:

  • Dómsmálaráðuneyti: Netglæpir (þar á meðal löggæsla og alþjóðlegt samstarf)
  • Utanríkisráðuneyti: Öryggis- og varnarmál

Tenglar

Hér er að finna ýmislegt stoðefni er tengist netöryggi og hefur t.d. verið nýtt vegna verkefna eða kynninga sem starfsfólk ráðuneytis hefur komið að. Þessari samantekt er ekki ætlað að gefa heildarsýn yfir málaflokkinn og tilvísanir hér fela ekki í sér neina viðurkenningu af hálfu ráðuneytisins eða starfsfólks þess á réttmæti eða gildi þeirra upplýsinga sem til er vísað.

Mat Europol á ógn vegna netglæpa - Europol / Internet Organised Crime Threat Assessment (IOCTA)

Netið er æ meira nýtt sem hluti skipulagðrar glæpastarfsemi. Sjá nánar um aðgerðir gegn netglæpum.

Sjá einnig:

Var efnið hjálplegt?Nei
Takk fyrir

Ábendingin verður notuð til að bæta gæði þjónustu og upplýsinga á vef Stjórnarráðsins. Hikaðu ekki við að hafa samband ef þig vantar aðstoð.

Af hverju ekki?

Yfirlit

Hafa samband

Ábending / fyrirspurn
Ruslvörn


Þessi síða notar vafrakökur Lesa meira