5.7.2025

Netöryggisógnir og njósnir Kínverja

Morgunblaðið, laugardagur 5. júlí 2025.

Í árs­yf­ir­liti netör­ygg­is­sveit­ar­inn­ar CERT-IS fyr­ir árið 2024 seg­ir að er­lend­ir ógn­ar­hóp­ar sem Banda­ríkja­menn hafi tengt kín­versk­um stjórn­völd­um vegna njósna um mik­il­væga innviði auk hug­verkastuld­ar hafi at­hafnað sig á Íslandi. Guðmund­ur Arn­ar Sig­munds­son, sviðsstjóri CERT-IS, sagði við fjöl­miðla að hér væri um raun­veru­lega ógn að ræða en alþjóðlegt sam­starf skipti sköp­um við varn­ir á þessu sviði.

Þetta var í annað skiptið á um þrem­ur mánuðum sem op­in­ber emb­ætt­ismaður sem sinn­ir ör­ygg­is­mál­um á veg­um ís­lenska rík­is­ins vakti máls á njósn­um Kín­verja hér á landi.

Karl Stein­ar Vals­son, yf­ir­maður ör­ygg­is- og grein­ing­ar­sviðs rík­is­lög­reglu­stjóra, sagði und­ir lok mars tíma­bært að ræða opið um njósn­ir Kín­verja á Íslandi þótt þær væru viðkvæmt mál. Í nýju stöðumati embætt­is­ins um ör­ygg­is­áskor­an­ir var óvissa sögð ríkja um starf­semi kín­verskr­ar norður­ljós­a­rann­sókn­ar­stöðvar á Kár­hóli í Þing­eyj­ar­sýslu.

Talsmaður kín­verska sendi­ráðsins brást illa við orðum Karls Stein­ars og hvatti embætti rík­is­lög­reglu­stjóra til að leggja „hrok­ann og for­dóma til hliðar og forðast að senda frá sér til­hæfu­laus­ar ásak­an­ir og dreifa sögu­sögn­um“. Í orðum tals­manns­ins fólst óljós hót­un um að svona tal kynni að hafa áhrif á „heild­ar­ástand í sam­skipt­um Kína og Íslands“.

Kín­verski sendi­herr­ann í Reykja­vík efndi nokkr­um dög­um síðar til pall­borðsum­ræðna með full­trú­um ís­lensks at­vinnu­lífs og ut­an­rík­is­ráðuneyt­is­ins um sam­starf Kína og Íslands á sviði viðskipta, menn­ing­ar og orku­mála. Notaði sendi­herr­ann tæki­færið til að hafna ásök­un­um lög­regl­unn­ar um njósn­ir. Kín­verj­ar skiptu sér ekki af inn­an­rík­is­mál­um á Íslandi. Þeir hafa þó sett Íslend­ing á svart­an lista vegna skoðana hans.

1268933Kínverska sendiáðið í Reykjavík,

Embætti rík­is­lög­reglu­stjóra ræðir ekki frek­ar um þetta mál. Næst flyt­ur netör­ygg­is­sveit­in okk­ur al­var­leg­ar frétt­ir.

Noti Kín­verj­ar aðstöðuna á Kár­hóli til njósna snert­ir það ör­yggi okk­ar óbeint. Til­gang­ur njósn­anna er að fylgj­ast með því sem ger­ist í geimn­um og leggja þeim lið sem halda úti kín­versk­um gervi­tungl­um.

Norður­slóðir skipta miklu í öllu sem snert­ir geim­hernað eins og sést af því að fyr­ir vest­an okk­ur á Græn­landi er nú banda­ríska her­stöðin Pituffik Space Base, þar sem áður var Thule-rat­sjár­stöðin. Fyr­ir aust­an okk­ur reka Norðmenn Andøya Spaceport, geim­höfn­ina á And­eyju. Þaðan er gervi­tungl­um skotið á loft meðal ann­ars í þágu geim­varna­verk­efna und­ir merkj­um NATO.

Skila­boðin frá netör­ygg­is­sveit­inni snerta ör­yggi ís­lenska stjórn­kerf­is­ins, fyr­ir­tækja og al­menn­ings beint. Sveit­in bend­ir á ógn­ar­hópa sem eru tald­ir tengj­ast Kína og beita mjög þróuðum aðferðum til að njósna og valda skaða í net­heim­um. Vitað sé að einn þeirra, Salt Typ­hoon, hafi at­hafnað sig í ís­lenska netumdæm­inu og því verði ís­lensk fyr­ir­tæki og stofn­an­ir að end­ur­meta og yf­ir­fara net­varn­ir sín­ar reglu­lega. Sama á við um ís­lensk­an al­menn­ing.

Kín­verska sendi­ráðið kvartaði á op­in­ber­um vett­vangi þegar yf­ir­lög­regluþjónn hjá embætti rík­is­lög­reglu­stjóra sagði nauðsyn­legt að opna umræður um kín­versk­ar njósn­ir hér á landi. Sendi­herra Kína notaði síðan pall­borðsum­ræður sem hann stofnaði til með þátt­töku full­trúa ís­lenska ut­an­rík­is­ráðuneyt­is­ins til að lýsa vanþókn­un á mati ís­lensku lög­regl­unn­ar. Er ekki að efa að sendi­ráðið hafi borið fram form­leg mót­mæli við ut­an­rík­is­ráðuneytið. Óljóst er hvort eða hvernig ráðuneytið brást við þess­um kvört­un­um Kín­verja.

Þegar kem­ur að netárás­un­um og yf­ir­lýs­ing­um sviðsstjóra CERT-IS um þær þegja starfs­menn kín­verska sendi­ráðsins, að minnsta kosti á op­in­ber­um vett­vangi. Það er ein­kenni netárása að tölvuþrjót­ar reyna að hylja slóð sína og það þættu mik­il tíðindi ef kín­versk yf­ir­völd tækju upp þykkj­una fyr­ir þá.

Nú horfa mál hins veg­ar þannig við hér heima fyr­ir að ut­an­rík­is­ráðuneytið vill að netör­ygg­is­sveit­in CERT-IS flytj­ist í ráðuneytið frá Fjar­skipta­stofu sem er vistuð und­ir inn­an­rík­is­ráðuneyt­inu.

Frum­varp um þetta ligg­ur fyr­ir alþingi og er liður í sókn ut­an­rík­is­ráðuneyt­is­ins í ný verk­efni inn­an stjórn­ar­ráðsins. Ráðuneytið vill einnig fá Schengen-árit­un­ar­mál til sín frá dóms­málaráðuneyt­inu.

Land­vinn­ing­ar af þessu tagi eru flókn­ir í fram­kvæmd eins og sjá má af laga­frum­vörp­un­um sem ut­an­rík­is­ráðherra hef­ur lagt fram vegna þeirra og um­sögn­um um þau.

Upp­brot á stjórn­kerf­inu verður að styðjast við aug­ljós rök. Um­sögn Fjar­skipta­stofu um netör­ygg­is­frum­varpið ber ekki merki um nein slík rök. Þvert á móti seg­ir að hætta sé á að breyt­ing­in „muni rýra borg­ara­legt og lög­bundið netör­yggi á kostnað varn­ar­mála­tengdra þátta“. Þetta er al­var­leg ábend­ing.

Ut­an­rík­is­ráðuneytið seg­ir að inn­an ráðuneyt­is­ins verði eld­vegg­ur milli verk­efna sem snúa að varn­ar­mál­um ann­ars veg­ar og borg­ara­legu ör­yggi hins veg­ar. Ráðherra hafi aðeins aðkomu að varn­ar­málaþætt­in­um. Hvað sem því líður ber ráðherra ávallt ábyrgð á allri starf­semi stofn­un­ar sem und­ir hann heyr­ir, annað er óþekkt.

Boðað var við mynd­un rík­is­stjórn­ar­inn­ar að hlut­verk ut­an­rík­is­ráðuneyt­is­ins á sviði varn­ar- og ör­ygg­is­mála yrði styrkt, meðal ann­ars með netör­ygg­is­sveit­inni.

Sveit­in var ekki stofnuð til að styrkja ráðuneyti til eins eða neins held­ur til að verja ís­lenskt sam­fé­lag gegn netárás­um. Vissu­lega verður að tryggja hernaðarlega vídd í ís­lensk­um netör­ygg­is­mál­um. Það er unnt á mun ein­fald­ari hátt en hér er lýst.

Spyrja má: Hefði ut­an­rík­is­ráðherra samþykkt, í ljósi „heild­ar­ástands“ í sam­skipt­um við Kína, að CERT-IS sakaði Kín­verja um njósn­ir í árs­yf­ir­liti sínu?