Hoppa yfir valmynd

Netöryggi

Stefna ríkisins um net- og upplýsingaöryggi 2015-2026, sem var kynnt í lok apríl 2015, og er byggð á víðtæku samráði við hagsmunaaðila í þjóðfélaginu. Stefnunni fylgdi áætlun um 16 aðgerðir fyrir árin 2015-2018. Netöryggisráð, skipað fulltrúum opinberra aðila, var skipað í október 2015 og hefur það umsjón með innleiðingu stefnunnar.  

Í stefnunni eru fjögur meginmarkmið sem miða að því að efla netöryggi:

  • Efld geta. Almenningur, fyrirtæki og stjórnvöld búi yfir þeirri þekkingu, getu og tækjum sem þarf til að verjast netógnum.
  • Aukið áfallaþol. Bætt geta til greiningar, viðbúnaðar og viðbragða eru lykilþættir í bættu áfallaþoli. Áfallaþol upplýsingakerfa samfélagsins og viðbúnaður verði aukinn þannig að hann standist samanburð við áfallaþol upplýsingakerfa á Norðurlöndum. Þetta sé t.d. gert með bættri getu við greiningu á ógnum, samvinnu og með því að öryggi verði órjúfanlegur þáttur í þróun og viðhaldi net- og upplýsingakerfa.
  • Bætt löggjöf. Íslensk löggjöf sé í samræmi við alþjóðlegar kröfur og skuldbindingar á sviði netöryggis og persónuverndar. Jafnframt styðji löggjöfin við nýsköpun og uppbyggingu þjónustu sem byggir á öryggi, t.d. hýsingu.
  • Traust löggæsla. Lögregla búi yfir eða hafi aðgang að faglegri þekkingu, hæfni og búnaði til að leysa úr málum er varða net- og upplýsingaöryggi.

Fyrir Alþingi liggur nú þingsályktunartillaga um stefnu í fjarskiptum fyrir árin 2019 – 2033 en sú stefna inniheldur m.a. nýja stefnu um netöryggi. Jafnframt liggur fyrir þingsályktunartillaga stjórnartillaga um fimm ára fjarskiptaáætlun fyrir árin 2019–2023, sem inniheldur netöryggistengda þætti. Loks hefur verið lagt fram frumvarp til laga um öryggi net- og upplýsingakerfa mikilvægra innviða.

Netöryggisráð

Hlutverk Netöryggisráðs er að vera samstarfsvettvangur stjórnvalda um málefni er snerta net- og upplýsingaöryggi, að fylgja eftir innleiðingu á stefnu stjórnvalda á hverjum tíma og að vera vettvangur miðlunar upplýsinga og samhæfingar aðgerða á sviði net- og upplýsingaöryggis.

Verkefni sem stuðla að auknu netöryggi

Evrópska netöryggisstofnunin ENISA

netöryggisstefna Evrópusambandsins var samþykkt þann 10. desember 2018. Með samþykkt þessar nýju netöryggisstefnu var evrópsku netöryggisstofnuninni ENISA (European Union Agency for Network and Information Security) gefið nýtt og aukið hlutverk. Meðal verkefna stofnunarinnar verða:

  • Ráðgjöf og stefnumótun í netöryggismálum.
  • Uppbygging á viðbragðsgetu (getur veitt ríkjum ráðgjöf vegna uppbyggingar)
  • Almenn fræðsla og þekkingaruppbygging
  • Gerð staðla og innleiðing þeirra
  • Rannsóknir og nýsköpun (styðja rannsóknastarf er lýtur að netöryggi, samstarf hins opinbera við einkaaðila)
  • Vottun nettengdra hluta (samræmt vottunarkerfi, mikilvægt vegna þróunar „Internets hlutanna“ (IoT))

Fulltrúi ráðuneytisins tók sæti í stjórn ENISA vorið 2018 og er fyrirséð að það verði mjög gagnlegt til að fylgjast með þeirri öru þróun sem er fram undan og þar sem hlutur ENISA mun fara vaxandi. Fulltrúi Póst- og fjarskiptastofnunar er jafnframt í tenglahópi ENISA (National Liaison Officer).

ENISA hefur gefið út margar skýrslur um netöryggi, t.d. mat netöryggisógna og hvar sé helst þörf á aukinni áherslu í rannsóknum og þróun:

Úttekt Oxford-háskóla á stöðu netöryggis í íslensku samfélagi

Oxford-háskóli var fenginn í júní 2017 til að gera úttekt á stöðu netöryggis í íslensku samfélagi og skilaði ítarlegri úttekt. Þar er að finna ráðleggingar til úrbóta sem ráðuneyti og stofnanir hafa þegar tekið til skoðunar og ákvörðunar varðandi skipulag næstu skrefa. Mikilvægt er að þeim sé fylgt vel eftir því flestir innviðir nútímasamfélags byggja beint eða óbeint á fjarskipta- og upplýsingatækni.

Mat á tæknilegu stigi netöryggis

  • Ýmis alþjóðleg fyrirtæki skima Netið, greina veikleika, flokka þá og meta.
  • Slíkt mat getur verið fyrir ríki í heild (sbr. lánshæfismat), einstakar greinar, fyrirtæki og jafnvel niður á einstaka tölvur.
  • Aðgangur að slíku greiningarmati fyrir Ísland hefur verið keyptur á grunni samnings Netöryggissveitar og stjórnvalda.
  • Matið nýtist stjórnvöldum við mat á tæknilegu öryggisstigi (áður hafði Oxford-háskóli metið netöryggi samfélagsins) og
  • Netöryggissveitinni við að veita aðstoð til að vinna bug á þeim veikleikum sem sjást.

Úttekt á öryggi opinberra vefja

Samhliða hefðbundinni gæðaúttekt á opinberum vefjum var, árið 2015, gerð fyrsta úttekin á öryggi opinberra vefja. Náði hún til 265 vefja ríkis og sveitarfélaga og var henni fylgt eftir m.a. með því að bjóða þeim stofnunum, sem fengu lakasta niðurstöðu, beina aðstoð við að bæta öryggi vefjanna. Allar ríkisstofnanir og sveitarfélög fengu í hendur stutta skýrslu um öryggi sinna vefja og ábendingar um hvað þyrfti að bæta. Öryggisúttekt var gerð aftur á árinu 2017.

Úttektinni var síðan fylgt eftir haustið 2018 hjá tæplega 40 stofnunum þar sem úrbóta var þörf samkvæmt fyrri úttekt. Hjá rúmlega helmingi var þörf úrbóta (þeirra sömu eða nýrra). Fundir hafa verið haldnir með hverri stofnun til að (a) leiðbeina um úrbætur og til að (b) kanna hvort einhverjir kerfislægir þættir standi í vegi fyrir úrbótum.  Í ljós kom að oft hefði samningsviðauki um öryggismál sem búið var þróa og kynna innan verkefnisins um Upplýsingasamfélagið dugað til leysa vandann, sjá:

Samningsviðauki um öryggismál

Vefhandbókin – kafli 6: Öryggi

Vefhandbókin var fyrst gefin út 2008 af forsætisráðuneytinu og birt á vefnum ut.is. Það var hluti verkefnisins um upplýsingasamfélagið og tengd könnunum um „Hvað er spunnið í opinbera vefi?“ Fjármálaráðuneytið ber nú ábyrgð á vefhandbókinni, en þar sem netöryggismál heyra undir SRN er nú unnið að endurskoðun sjötta kafla á vegum samgöngu- og sveitarstjórnarráðuneytisins. Samkvæmt könnun í nóv. 2018 voru tengiliðir opinberra stofnana ánægðir með handbókina, gallinn er að margir vissu ekki af henni. Fyrirhugað er að bæta samningsviðaukanum sem fyrr er vikið að inn í vefhandbókina.

Könnun á öryggisskipulagi opinberra upplýsingakerfa og neta

Gerð var könnun á öryggisskipulagi opinberra upplýsingakerfa og neta haustið 2016. Niðurstöður könnunarinnar sýna að úrbóta er þörf. Aðeins lítill hluti opinberra aðila hefur t.d. mótað sér öryggisstefnu, framkvæmt áhættumat eða úthlutað ábyrgð á upplýsingaöryggi á ásættanlegan hátt. Niðurstöður könnunarinnar verða nýttar til að forgangsraða verkefnum sem stuðla að auknu öryggi opinberra upplýsinga, kerfa og neta.

Tilskipun Evrópusambandsins um net- og upplýsingaöryggi

Ný tilskipun um net- og upplýsingaöryggi, var samþykkt hjá Evrópusambandinu í júlí 2016 og er gert ráð fyrir að hún verði tekin inn í EES-samninginn og innleidd í íslenska löggjöf. Tilskipuninni er ætlað að auka hæfni aðilarríkja til að bæta netöryggi og bregðast við aðstæðum þar sem netöryggi er raskað.  Með tilskipuninni er einnig ætlað að stuðla að meiri samhæfingu á milli aðildarríkja og eru þar gerðar kröfur um miðlun netöryggisupplýsinga, bæði innan lands og milli bandalagsríkja.  Áhersla er einkum á rekstraraðila mikilvægra innviða samfélagsins og í tilskipuninni er tilgreint hvers konar starfsemi beri að vera í þeim flokki. Kröfur NIS-tilskipunarinnar munu hafa áhrif víða og krefjast samhents átaks við innleiðingu.  Undirbúningur að því starfi er hafinn.

Netöryggissveitin

Í NIS-tilskipuninni (tilskipun ESB um net- og upplýsingaöryggi) er gerð krafa um samhæfandi miðlæga netöryggissveit. Netöryggissveit Póst- og fjarskiptastofnunar, CERT-IS, sinnir því hlutverki. Unnið er að samningi á milli stjórnsýslunnar og netöryggissveitarinnar um netöryggisþjónustu (GovCERT-þjónustu) og stefnt að því að þessi samningur geti orðið fyrirmynd samninga við aðra geira rekstraraðila mikilvægra innviða samfélagsins.

Mikilvægt er að hugað sé að netöryggi við uppbyggingu opinberrar rafrænnar þjónustu og það sé hluti hönnunar og viðmiða við innkaup.

Netglæpir

Netið er æ meira nýtt sem hluti skipulagðrar glæpastarfsemi. Sjá nánar um aðgerðir gegn netglæpum.

Meira ítarefni um netöryggismál mun birtast á næstu dögum en um er að ræða talsvert efni af UT-messunni sem haldin var 8. febrúar 2019.

Sjá einnig:

Var efnið hjálplegt?Nei
Takk fyrir

Ábendingin verður notuð til að bæta gæði þjónustu og upplýsinga á vef Stjórnarráðsins. Hikaðu ekki við að hafa samband ef þig vantar aðstoð.

Af hverju ekki?

Yfirlit

Hafa samband

Ábending / fyrirspurn


Þessi síða notar vafrakökur Lesa meira