Veikt þjóðaröryggi í netheimum
Morgunblaðið, 7. febrúar 2020.
Þjóðaröryggisráð samþykkti í maí 2018 að efna til málþinga um fjölþáttaógnir (e. hybrid threats). Þriðja og lokamálþingið verður nú 27. febrúar og er kynnt á þann veg á vefsíðu Alþjóðamálastofnunar Háskóla Íslands að rætt verði um hugtakið sjálft, varnir gegn fjölþáttaógnunum, vernd lýðræðislegra grunngilda og styrkt áfallaþol samfélagsins.
Ákvörðun Þjóðaröryggisráðs um að efna til umræðna um þetta mál er rökrétt i ljósi þróunar í tækni og upplýsingamiðlun. Þetta málefni snertir auk þess hvern og einn Íslending. Nauðsynlegt er að efla öryggisvitund almennings. Þegar málþingstillagan var samþykkt í ráðinu var rökstuðningurinn meðal annars þessi:
„Hnattvæðing og tækniþróun, einkum með tilkomu netsins, hefur gjörbreytt stöðunni á alþjóðavettvangi undanfarin ár og skapað fjölmörg ný tækifæri en líka ógnir gagnvart öryggi einstaklinga og samfélagsins og grundvallargildum.“
Sagt er að fjölþáttaógnir geti beinst gegn öryggi ríkisins og lýðræðislegri stjórnskipan. Þetta sé gert með því að grafa undan „tiltrú almennings á stjórnvöldum, stjórnskipan og lýðræðislegri framvindu“. Ógnirnar geti birst sem hernaðarlegar aðgerðir, hryðjuverk, skemmdarverk, tölvu- og netárásir og undirróðursherferðir. Þær kunni að birtast sem „kröftugar áróðursherferðir, miðlun rangra eða villandi upplýsinga til að skapa samfélagslegan óróa“.
Oft er talað um fjölþátta- og netógnir (e. hybrid and cyber threats) í sömu andrá, netið er sífellt meira notað til fjölþáttaógna. Fyrir tilkomu þess urðu þjóðir og einstaklingar að sjálfsögðu oft fyrir áreiti til skoðanamyndunar eða við töku ákvarðana – var þá einfaldlega talað um áróður eða innrætingu.
Nú er á ensku einnig talað um strategic communications. Innan ESB heitir til dæmis deildin sem afhjúpar upplýsingafalsanir og erlenda undirróðursstarfsemi The Strategic Communications Division and Information Environments Division. Er deildin hluti af utanríkisþjónustu ESB og birtir vikulega netfréttabréf um það sem ber hæst í þessu efni og beinist gegn ESB eða aðildarþjóðum sambandsins. Kennir þar margra grasa.
Segja má að það sé hluti öryggismálalæsis samtímans að átta sig á því hvað stendur að baki þessum hugtökum. Að mati Þjóðaröryggisráðs skiptir það svo miklu að þríþætt upplýsingamiðlun þess á málþingum snýst um þessi mál.
Hvarvetna er lögð vaxandi áhersla á varnir á þessu sviði. Til dæmis sagði í lokayfirlýsingu leiðtogafundar NATO-ríkjanna 4. desember 2019:
„Við fjölgum nú tækjum okkar til að svara netárásum og styrkja hæfni okkar til að takast á við, halda frá og verjast fjölþátta-aðferðum sem beitt er til að grafa undan öryggi okkar og samfélögum. “
Stafrænt Ísland
Fyrir viku var tilkynnt að Andri Heiðar Kristinsson hefði verið ráðinn stafrænn leiðtogi í fjármála- og efnahagsráðuneytinu. Ráðning hans er sögð hluti af því forgangsmáli ríkisstjórnarinnar að stafræn samskipti verði meginsamskiptaleið almennings við hið opinbera fyrir lok þessa árs. Ráðuneytið hefur sett á fót verkefnastofu um stafrænt Ísland til að tryggja framgang markmiða ríkisstjórnarinnar.
Þetta er löngu tímabært skref fyrir þjóð sem er í efsta sæti við mælingar á netnotkun þjóða Evrópu. Hér höfðu í fyrra 99% aðspurðra, 16-74 ára, notað netið undanfarna þrjá mánuði. Það er sama niðurstaða fyrir Ísland og árið 2018. Næstir koma Svíar og Norðmenn (98%), Danir og Svisslendingar (97%), Bretar, Lúxemborgarar og Hollendingar (96%) og Finnar (95%). Lestina í Evrópu ráku Búlgarar, þar sem netnotkun var 68%.
Þrátt fyrir þessa almennu netnotkun hér á landi höfum við staðið höllum fæti þegar kemur að stafrænni opinberri þjónustu. Nú er boðað átak til að auka hana. Það krefst aukins öryggis og jafnframt að hér er notkun heimabanka mun meiri en almennt í Evrópu, 93%, en meðaltalið innan ESB er 58%.
Netnotkunin endurspeglar að á Íslandi er eitt þróaðasta upplýsingasamfélag í heimi. Háhraða fjarskiptanet eru hér almenn og nánast öll þjóðin er tengd slíkum netum. Á alþjóðamælikvarða er Ísland þar í efsta sæti, næst fyrir ofan Suður-Kóreu. Því miður er myndin þó svört þegar skoðaðir eru alþjóðalistar yfir netöryggismál, þar er Ísland í 58. sæti á milli Brasilíu og Kazaksthan.
Tryggja verður netöryggi
Samhliða því sem ríkisstjórnin leggur áherslu á gera netið að „meginsamskiptaleið almennings við hið opinbera fyrir lok þessa árs“ er óhjákvæmilegt að gera stórátak til að tryggja netöryggi.
Fjölþáttaógnir og varnir gegn þeim snúa að því sem menn setja inn á netið. Með orðinu netöryggi er hér vísað til tölvuárása sem magnast ár frá ári og taka á sig ýmsar myndir.
Íslendingar standa svona illa að vígi á netöryggissviðinu vegna þess að ekki er litið á þetta sem þjóðaröryggismál á sama hátt og gert er í öðrum löndum. Þar skilgreindu öryggis- og leyniþjónustur herja einstakra landa gæslu á þessu sviði sem eitt af meginverkefnum sínum og reistu varnargirðingar í samræmi við það. Ekkert sambærilegt hefur gerst hér.
Þá eru þeir sem sinna öryggisgæslu á þessu sviði hér á landi heftir vegna pólitísks ótta við forvirkar rannsóknarheimildir. Þeir sem eiga að gæta þessa öryggis hafa takmörkuð ef nokkur úrræði til þess sem nefnt er ástandsskoðun. Netverðir hafa ekki lögbundnar heimildir til að fara um netheima og leita að váboðum sem kunna að breytast í ógn. Bent er á að væri veðurfræðingum bannað að nota gervitungl og tölvur við að leggja grunn að langtímaspám stæðu þeir illa að vígi við spár sínar.
Í júní 2019 samþykkti alþingi lög um net- og upplýsingakerfi mikilvægra innviða. Lögin taka gildi 1. september 2020.
NIS-tilskipun ESB að baki lögunum er ætlað að tryggja öryggi sameiginlega EES-markaðarins. Í umsögn Póst- og fjarskiptastofnunar (PFS) um frumvarpið sagði: „Um er að ræða þær lágmarkskröfur sem Evrópusambandið hefur talið sér fært að gera til aðildarríkja sambandsins, til að tryggja skilvirka starfsemi innri markaðsins, án þess að stíga inn á viðkvæmari svið er varðar öryggismál þeirra.“
Lögin fela PFS aukin verkefni og starfsemi netöryggissveitar PFS stóreykst með lögunum. Alþingi fór þó ekki að óskum PFS um nýjar heimildir til að stuðla að auknu netöryggi. PFS eru settar „afgerandi skorður“ í þessu efni. Lögin tryggja netöryggissveitinni ekki heimildir til öflunar nauðsynlegra upplýsinga til að nema ógnir, fyrirbyggja atvik og árásir og til að skapa heildarmynd af netógnum í netumdæmi öryggissveitarinnar.
Tilmæli og viðvaranir PFS um rannsóknarheimildir umfram EES-lágmarkskröfur voru hafðar að engu. Hér er engin viðleitni til sambærilegra varnaraðgerða og í öðrum löndum á þessu sviði. Í framhaldi af málþingum Þjóðaröryggisráðs um fjölþátta ógnir ætti að taka til við lagasmíð í þágu íslensks þjóðaröryggis í netheimum.