16.10.2020

Útilokun veikasta hlekksins

Morgunblaðið, föstudagur 16. október.

Norska rík­is­stjórn­in tók af skarið þriðju­dag­inn 13. októ­ber og lýsti sök á hend­ur Rúss­um fyr­ir tölvu­árás á norska stórþingið 24. ág­úst 2020 þegar ráðist var inn í póst­hólf nokk­urra þing­manna og starfs­manna þings­ins.

Ine Erik­sen Sørei­de, ut­an­rík­is­ráðherra Nor­egs, sagði: „Með vís­an til upp­lýs­inga sem rík­is­stjórn­in hef­ur erum við þeirr­ar skoðunar að Rúss­ar standi að baki þess­um aðgerðum. Þetta er mjög al­var­legt at­vik sem snert­ir mik­il­væg­ustu lýðræðis­stofn­un okk­ar.“

Rúss­neska sendi­ráðið í Osló mót­mælti þess­ari niður­stöðu harka­lega og hafnaði henni sem „al­var­legri ögr­un“. Ein­hver full­trúi rúss­neskra stjórn­valda í Moskvu reyndi að gera málið hlægi­legt með því að segja frá­leitt að rúss­nesk­ir tölvuþrjót­ar teldu eft­ir ein­hverju merki­legu að slægj­ast í póst­hólf­um norskra þing­manna.

Tveir þing­menn úr ut­an­rík­is­póli­tískri nefnd danska þings­ins sem gegn­ir stjórn­ar­skrár­bundnu hlut­verki til ráðgjaf­ar rík­is­stjórn­inni efndu fyr­ir tíu dög­um (6. októ­ber) til fjar­fund­ar í því skyni að ræða við Svetlönu Tsik­hanovskaju, leiðtoga stjórn­ar­and­stæðinga í Hvíta-Rússlandi.

Þegar fund­ur­inn hófst áttu Tsik­hanovskaja og aðstoðar­menn henn­ar í vand­ræðum með mynda­vél­ina á tölvu henn­ar og þess vegna sást hún ekki í mynd. Fund­in­um var slitið þegar ljóst var að boðflenna hafði brotið sér leið inn á hann og þótt­ist vera hví­trúss­neski gest­ur­inn. Tveir rúss­nesk­ir tölvuprakk­ar­ar gáfu sig fram og sögðust hafa brot­ist inn á fund dönsku þing­mann­anna sér og öðrum til skemmt­un­ar.

Dönsk­um yf­ir­völd­um var ekki skemmt og hafa netör­ygg­is­ráðstaf­an­ir verið aukn­ar í danska þing­inu.

Í Dan­mörku starfar Center for Cy­bersikk­er­hed, Netör­ygg­is­miðstöð, og teng­ir ut­an­rík­is- og varn­ar­málaráðuneyt­in. Danska leyniþjón­ust­an, For­sva­rets Ef­ter­retn­ing­stjeneste, og danska ör­ygg­is­lög­regl­an, Politiets Ef­ter­retn­ing­stjeneste (PET), koma einnig að mál­um sem þess­um.

Í frétt­um um að inn­rás­araðil­inn í norska stórþingið hefði fund­ist voru nokkr­ar norsk­ar ör­ygg­is­stofn­an­ir nefnd­ar til sög­unn­ar: Norska ör­ygg­is­lög­regl­an, PST, og leyniþjón­usta hers­ins eru rót­grón­ar norsk­ar stofn­an­ir.

Vegna net­væðing­ar­inn­ar og gæslu þjóðarör­ygg­is í net­heim­um hafa nýj­ar norsk­ar stofn­an­ir komið til sög­unn­ar. Hér skulu nefnd­ar tvær: Nasjonal sikk­er­hets­myndig­het (NSM), und­ir dóms­málaráðuneyt­inu og í tengsl­um við varn­ar­málaráðuneytið, sem miðlar upp­lýs­ing­um, veit­ir ráðgjöf og gef­ur leiðbein­ing­ar um for­varn­ir gagn­vart netógn­um. Nasjonalt cy­bersikk­er­hets­senter (NCSC), netör­ygg­is­stofn­un­in sem skipu­legg­ur varn­ir í þágu grunn­starf­semi rík­is­ins, op­in­berr­ar stjórn­sýslu og at­vinnu­lífs gegn net- og tölvu­árás­um.

Hvert ríki skip­ar þess­um mál­um á þann veg sem lög heim­ila. Öll ríki eru hins veg­ar jafnop­in fyr­ir árás­um af þessu tagi. Grípi þau ekki til viðeig­andi gagn­ráðstaf­ana eru þau auðveld bráð og unnt að ógna þeim á marg­vís­leg­an hátt.

 

Netör­ygg­is­sveit PFS

Nú í októ­ber er evr­ópski netör­ygg­is­mánuður­inn, Europe­an Cy­ber­secu­rity Month (ECSM). Til hans var fyrst stofnað árið 2012 af Evr­ópu­sam­band­inu til að efla vit­und stjórn­valda, fyr­ir­tækja, fé­laga og al­menn­ings um gildi netör­ygg­is.

Í evr­ópska netör­ygg­is­mánuðinum efn­ir sam­göngu- og sveit­ar­stjórn­ar­ráðuneytið, ís­lenska netráðuneytið, til nokk­urra viðburða. Var sá fyrsti 2. októ­ber und­ir heit­inu: Netör­yggi okk­ar allra.

Research-900Í álykt­un um stefnu í fjar­skipt­um 2019-2033 sem alþingi samþykkti 3. júni 2019 seg­ir að ör­ugg fjar­skipti og upp­lýs­inga­tækni verði ein meg­in­stoð hag­sæld­ar á Íslandi, hún skuli studd af öfl­ugri ör­ygg­is­menn­ingu og traustri lög­gjöf. Jafn­framt verði sam­fé­lagið vel búið til að greina og bregðast við netógn­um og taka á net­glæp­um, árás­um, njósn­um og mis­notk­un per­sónu- og viðskipta­upp­lýs­inga.

Talið er nauðsyn­legt að koma á skil­virkri stjórn­skip­un varðandi netör­ygg­is­mál inn­an stjórn­kerf­is­ins og skipu­lagi er tryggi nauðsyn­lega sam­vinnu á milli mis­mun­andi geira sam­fé­lags­ins. Efla verði getu til að tak­ast á við net­atvik og net­vá.

Lögð verði áhersla á heild­stætt netör­ygg­is­nám á há­skóla­stigi og því verði jafn­framt fylgt eft­ir með sam­hæfðri vit­und­ar­vakn­ingu og stuðningi við ný­sköp­un, þróun og rann­sókn­ir á sviði netör­ygg­is.

Enn er mikið starf óunnið í þessu efni og má full­yrða að við stönd­um hér langt að baki ná­grannaþjóðum okk­ar. Eng­inn aðili í ís­lenska stjórn­kerf­inu hef­ur sam­bæri­leg­ar laga­heim­ild­ir til aðgerða og þær sem nefnd­ar eru hér að ofan þegar lýst er stöðunni í Dan­mörku og Nor­egi.

Í fjár­laga­frum­varpi næsta árs og fjár­laga­áætl­un næstu ára er að miklu leyti komið til móts við ósk­ir Póst- og fjar­skipta­stofn­un­ar (PFS) um fjár­veit­ing­ar til að búa í hag­inn fyr­ir netör­ygg­is­gæslu. Er stefnt að því að 16 manns sinni henni í sér­stakri netör­ygg­is­sveit PFS und­ir hand­ar­jaðri netör­ygg­is­ráðs.

PFS ger­ir þetta í krafti nýrra netör­ygg­is­laga sem alþingi samþykkti í fyrra og gengu í gildi 1. sept­em­ber 2020. Lög­in eru skýrt dæmi um gildi EES-sam­starfs­ins. Íslenska stjórn­kerfið hefði ekki eitt haft burði til að semja lög­gjöf um jafn­flókið viðfangs­efni og þetta. Þarna er um svið að ræða sem skipt­ir æ meira máli í alþjóðasam­skipt­um og viðskipt­um. Lög og regl­ur um það þurfa því að njóta trausts meðal allra viðskiptaþjóða lands­manna.

Hitt skipt­ir ekki minna máli að fram­kvæmd lag­anna sé í sam­ræmi við alþjóðleg­ar kröf­ur. CERT-nefnd­ir eða netör­ygg­is­nefnd­ir eins og sú sem starfar hér á landi hafa þó aðeins vald­heim­ild­ir á þröngu sviði. PFS er ráðgef­andi eft­ir­lits­stjórn­vald og gegn­ir því allt öðru hlut­verki en stofn­an­ir sem hafa lög­reglu­vald.

Í frá­sögn Morg­un­blaðsins 10. októ­ber sagði að glæpa­menn hefðu verið fljót­ir að nýta sér heims­far­ald­ur­inn til net­veiða, nets­vindls og til að dreifa fals­frétt­um.

Gísli Jök­ull Gísla­son, rann­sókn­ar­lög­reglumaður net­glæpa, sagði blaðamann­in­um að svo virt­ist sem fólk væri orðið mót­tæki­legra fyr­ir fjár­festa­svik­um og öðru vegna Covid-19-far­ald­urs­ins.

Til að minnka hætt­una af netárás­um þarf að stunda stöðuga skimun í net­heim­um. Heim­ild­in til að leita af sér grun um kór­ónu­veiruna með skimun er víðtæk. Á hinn bóg­inn er heim­ild­in þrengri hér þegar kem­ur að net­veir­um. Íslenskt ástands­mat vegna netör­ygg­is er ein­fald­lega alltof þröngt. Vitn­eskja um smit­hætt­una inn­an ís­lenska stjórn­kerf­is­ins er lít­il.

 

Búnaður­inn

Grunn­virkið í netteng­ingu hér er ljós­leiðara­kerfið, inn­an lands og neðan­sjáv­ar til annarra landa. Að verja þetta kerfi er mik­il­væg­ur þátt­ur þjóðarör­ygg­is. Það verður ekki gert á hafs­botni án ná­ins sam­starfs við banda­menn í NATO og ekki á landi nema gerðar séu nauðsyn­leg­ar ör­ygg­is­ráðstaf­an­ir.

Vegna 5G-væðing­ar­inn­ar hef­ur ör­yggi far­kerf­anna sjálfra verið mikið til umræðu. Varn­ar­mála­nefnd breska þings­ins skilaði til dæm­is skýrslu í fyrri viku þar sem seg­ir að fyr­ir liggi „skýr vitn­eskja um leyni­makk“ milli kín­verska há­tækn­iris­ans Huawei og Komm­ún­ista­flokks Kína.

Ut­an­rík­is­ráðherra skipaði ný­lega starfs­hóp til að gera heild­stæða út­tekt á ljós­leiðara­mál­um á Íslandi með til­liti til þjóðarör­ygg­is og þjóðrétt­ar­legra skuld­bind­inga Íslands.

Í fjar­skipta­stefn­unni seg­ir að grunnn­et fjar­skipta verði byggt upp með hliðsjón meðal ann­ars af aðgengi og ör­yggi, teng­ingu milli byggða og teng­ingu Íslands við um­heim­inn. Örygg­isþátt­ur­inn veg­ur sí­fellt þyngra í öll­um umræðum um fjar­skipti og far­net. Þeir sem leggja ekki ríka rækt við hann verða veik­ur hlekk­ur sem eng­inn treyst­ir og úti­lokast.