Netöryggisógnir og njósnir Kínverja
Morgunblaðið, laugardagur 5. júlí 2025.
Í ársyfirliti netöryggissveitarinnar CERT-IS fyrir árið 2024 segir að erlendir ógnarhópar sem Bandaríkjamenn hafi tengt kínverskum stjórnvöldum vegna njósna um mikilvæga innviði auk hugverkastuldar hafi athafnað sig á Íslandi. Guðmundur Arnar Sigmundsson, sviðsstjóri CERT-IS, sagði við fjölmiðla að hér væri um raunverulega ógn að ræða en alþjóðlegt samstarf skipti sköpum við varnir á þessu sviði.
Þetta var í annað skiptið á um þremur mánuðum sem opinber embættismaður sem sinnir öryggismálum á vegum íslenska ríkisins vakti máls á njósnum Kínverja hér á landi.
Karl Steinar Valsson, yfirmaður öryggis- og greiningarsviðs ríkislögreglustjóra, sagði undir lok mars tímabært að ræða opið um njósnir Kínverja á Íslandi þótt þær væru viðkvæmt mál. Í nýju stöðumati embættisins um öryggisáskoranir var óvissa sögð ríkja um starfsemi kínverskrar norðurljósarannsóknarstöðvar á Kárhóli í Þingeyjarsýslu.
Talsmaður kínverska sendiráðsins brást illa við orðum Karls Steinars og hvatti embætti ríkislögreglustjóra til að leggja „hrokann og fordóma til hliðar og forðast að senda frá sér tilhæfulausar ásakanir og dreifa sögusögnum“. Í orðum talsmannsins fólst óljós hótun um að svona tal kynni að hafa áhrif á „heildarástand í samskiptum Kína og Íslands“.
Kínverski sendiherrann í Reykjavík efndi nokkrum dögum síðar til pallborðsumræðna með fulltrúum íslensks atvinnulífs og utanríkisráðuneytisins um samstarf Kína og Íslands á sviði viðskipta, menningar og orkumála. Notaði sendiherrann tækifærið til að hafna ásökunum lögreglunnar um njósnir. Kínverjar skiptu sér ekki af innanríkismálum á Íslandi. Þeir hafa þó sett Íslending á svartan lista vegna skoðana hans.
Kínverska sendiáðið í Reykjavík,
Embætti ríkislögreglustjóra ræðir ekki frekar um þetta mál. Næst flytur netöryggissveitin okkur alvarlegar fréttir.
Noti Kínverjar aðstöðuna á Kárhóli til njósna snertir það öryggi okkar óbeint. Tilgangur njósnanna er að fylgjast með því sem gerist í geimnum og leggja þeim lið sem halda úti kínverskum gervitunglum.
Norðurslóðir skipta miklu í öllu sem snertir geimhernað eins og sést af því að fyrir vestan okkur á Grænlandi er nú bandaríska herstöðin Pituffik Space Base, þar sem áður var Thule-ratsjárstöðin. Fyrir austan okkur reka Norðmenn Andøya Spaceport, geimhöfnina á Andeyju. Þaðan er gervitunglum skotið á loft meðal annars í þágu geimvarnaverkefna undir merkjum NATO.
Skilaboðin frá netöryggissveitinni snerta öryggi íslenska stjórnkerfisins, fyrirtækja og almennings beint. Sveitin bendir á ógnarhópa sem eru taldir tengjast Kína og beita mjög þróuðum aðferðum til að njósna og valda skaða í netheimum. Vitað sé að einn þeirra, Salt Typhoon, hafi athafnað sig í íslenska netumdæminu og því verði íslensk fyrirtæki og stofnanir að endurmeta og yfirfara netvarnir sínar reglulega. Sama á við um íslenskan almenning.
Kínverska sendiráðið kvartaði á opinberum vettvangi þegar yfirlögregluþjónn hjá embætti ríkislögreglustjóra sagði nauðsynlegt að opna umræður um kínverskar njósnir hér á landi. Sendiherra Kína notaði síðan pallborðsumræður sem hann stofnaði til með þátttöku fulltrúa íslenska utanríkisráðuneytisins til að lýsa vanþóknun á mati íslensku lögreglunnar. Er ekki að efa að sendiráðið hafi borið fram formleg mótmæli við utanríkisráðuneytið. Óljóst er hvort eða hvernig ráðuneytið brást við þessum kvörtunum Kínverja.
Þegar kemur að netárásunum og yfirlýsingum sviðsstjóra CERT-IS um þær þegja starfsmenn kínverska sendiráðsins, að minnsta kosti á opinberum vettvangi. Það er einkenni netárása að tölvuþrjótar reyna að hylja slóð sína og það þættu mikil tíðindi ef kínversk yfirvöld tækju upp þykkjuna fyrir þá.
Nú horfa mál hins vegar þannig við hér heima fyrir að utanríkisráðuneytið vill að netöryggissveitin CERT-IS flytjist í ráðuneytið frá Fjarskiptastofu sem er vistuð undir innanríkisráðuneytinu.
Frumvarp um þetta liggur fyrir alþingi og er liður í sókn utanríkisráðuneytisins í ný verkefni innan stjórnarráðsins. Ráðuneytið vill einnig fá Schengen-áritunarmál til sín frá dómsmálaráðuneytinu.
Landvinningar af þessu tagi eru flóknir í framkvæmd eins og sjá má af lagafrumvörpunum sem utanríkisráðherra hefur lagt fram vegna þeirra og umsögnum um þau.
Uppbrot á stjórnkerfinu verður að styðjast við augljós rök. Umsögn Fjarskiptastofu um netöryggisfrumvarpið ber ekki merki um nein slík rök. Þvert á móti segir að hætta sé á að breytingin „muni rýra borgaralegt og lögbundið netöryggi á kostnað varnarmálatengdra þátta“. Þetta er alvarleg ábending.
Utanríkisráðuneytið segir að innan ráðuneytisins verði eldveggur milli verkefna sem snúa að varnarmálum annars vegar og borgaralegu öryggi hins vegar. Ráðherra hafi aðeins aðkomu að varnarmálaþættinum. Hvað sem því líður ber ráðherra ávallt ábyrgð á allri starfsemi stofnunar sem undir hann heyrir, annað er óþekkt.
Boðað var við myndun ríkisstjórnarinnar að hlutverk utanríkisráðuneytisins á sviði varnar- og öryggismála yrði styrkt, meðal annars með netöryggissveitinni.
Sveitin var ekki stofnuð til að styrkja ráðuneyti til eins eða neins heldur til að verja íslenskt samfélag gegn netárásum. Vissulega verður að tryggja hernaðarlega vídd í íslenskum netöryggismálum. Það er unnt á mun einfaldari hátt en hér er lýst.
Spyrja má: Hefði utanríkisráðherra samþykkt, í ljósi „heildarástands“ í samskiptum við Kína, að CERT-IS sakaði Kínverja um njósnir í ársyfirliti sínu?