7.2.2020

Veikt þjóðaröryggi í netheimum

Morgunblaðið, 7. febrúar 2020.

Þjóðarör­ygg­is­ráð samþykkti í maí 2018 að efna til málþinga um fjölþátta­ógn­ir (e. hybrid threats). Þriðja og loka­málþingið verður nú 27. fe­brú­ar og er kynnt á þann veg á vefsíðu Alþjóðamála­stofn­un­ar Há­skóla Íslands að rætt verði um hug­takið sjálft, varn­ir gegn fjölþátta­ógn­un­um, vernd lýðræðis­legra grunn­gilda og styrkt áfallaþol sam­fé­lags­ins.

Ákvörðun Þjóðarör­ygg­is­ráðs um að efna til umræðna um þetta mál er rök­rétt i ljósi þró­un­ar í tækni og upp­lýs­inga­miðlun. Þetta mál­efni snert­ir auk þess hvern og einn Íslend­ing. Nauðsyn­legt er að efla ör­yggis­vit­und al­menn­ings. Þegar málþingstil­lag­an var samþykkt í ráðinu var rök­stuðning­ur­inn meðal ann­ars þessi:

„Hnatt­væðing og tækniþróun, einkum með til­komu nets­ins, hef­ur gjör­breytt stöðunni á alþjóðavett­vangi und­an­far­in ár og skapað fjöl­mörg ný tæki­færi en líka ógn­ir gagn­vart ör­yggi ein­stak­linga og sam­fé­lags­ins og grund­vall­ar­gild­um.“

Sagt er að fjölþátta­ógn­ir geti beinst gegn ör­yggi rík­is­ins og lýðræðis­legri stjórn­skip­an. Þetta sé gert með því að grafa und­an „til­trú al­menn­ings á stjórn­völd­um, stjórn­skip­an og lýðræðis­legri fram­vindu“. Ógn­irn­ar geti birst sem hernaðarleg­ar aðgerðir, hryðju­verk, skemmd­ar­verk, tölvu- og netárás­ir og und­ir­róðurs­her­ferðir. Þær kunni að birt­ast sem „kröft­ug­ar áróðurs­her­ferðir, miðlun rangra eða vill­andi upp­lýs­inga til að skapa sam­fé­lags­leg­an óróa“.

Oft er talað um fjölþátta- og netógn­ir (e. hybrid and cy­ber threats) í sömu andrá, netið er sí­fellt meira notað til fjölþátta­ógna. Fyr­ir til­komu þess urðu þjóðir og ein­stak­ling­ar að sjálf­sögðu oft fyr­ir áreiti til skoðana­mynd­un­ar eða við töku ákv­arðana – var þá ein­fald­lega talað um áróður eða inn­ræt­ingu.

Nú er á ensku einnig talað um stra­tegic comm­unicati­ons. Inn­an ESB heit­ir til dæm­is deild­in sem af­hjúp­ar upp­lýs­ingafals­an­ir og er­lenda und­ir­róðurs­starf­semi The Stra­tegic Comm­unicati­ons Di­visi­on and In­formati­on En­vironments Di­visi­on. Er deild­in hluti af ut­an­rík­isþjón­ustu ESB og birt­ir viku­lega net­frétta­bréf um það sem ber hæst í þessu efni og bein­ist gegn ESB eða aðild­arþjóðum sam­bands­ins. Kenn­ir þar margra grasa.

Cyberthreat-cyber-threat-ts-100703749-largeSegja má að það sé hluti ör­ygg­is­mála­læsis sam­tím­ans að átta sig á því hvað stend­ur að baki þess­um hug­tök­um. Að mati Þjóðarör­ygg­is­ráðs skipt­ir það svo miklu að þríþætt upp­lýs­inga­miðlun þess á málþing­um snýst um þessi mál.

Hvarvetna er lögð vax­andi áhersla á varn­ir á þessu sviði. Til dæm­is sagði í loka­yf­ir­lýs­ingu leiðtoga­fund­ar NATO-ríkj­anna 4. des­em­ber 2019:

„Við fjölg­um nú tækj­um okk­ar til að svara netárás­um og styrkja hæfni okk­ar til að tak­ast á við, halda frá og verj­ast fjölþátta-aðferðum sem beitt er til að grafa und­an ör­yggi okk­ar og sam­fé­lög­um. “

 

Sta­f­rænt Ísland

Fyr­ir viku var til­kynnt að Andri Heiðar Krist­ins­son hefði verið ráðinn sta­f­rænn leiðtogi í fjár­mála- og efna­hags­ráðuneyt­inu. Ráðning hans er sögð hluti af því for­gangs­máli rík­is­stjórn­ar­inn­ar að sta­f­ræn sam­skipti verði meg­in­sam­skipta­leið al­menn­ings við hið op­in­bera fyr­ir lok þessa árs. Ráðuneytið hef­ur sett á fót verk­efna­stofu um sta­f­rænt Ísland til að tryggja fram­gang mark­miða rík­is­stjórn­ar­inn­ar.

Þetta er löngu tíma­bært skref fyr­ir þjóð sem er í efsta sæti við mæl­ing­ar á net­notk­un þjóða Evr­ópu. Hér höfðu í fyrra 99% aðspurðra, 16-74 ára, notað netið und­an­farna þrjá mánuði. Það er sama niðurstaða fyr­ir Ísland og árið 2018. Næst­ir koma Sví­ar og Norðmenn (98%), Dan­ir og Sviss­lend­ing­ar (97%), Bret­ar, Lúx­em­borg­ar­ar og Hol­lend­ing­ar (96%) og Finn­ar (95%). Lest­ina í Evr­ópu ráku Búlgar­ar, þar sem net­notk­un var 68%.

Þrátt fyr­ir þessa al­mennu net­notk­un hér á landi höf­um við staðið höll­um fæti þegar kem­ur að sta­f­rænni op­in­berri þjón­ustu. Nú er boðað átak til að auka hana. Það krefst auk­ins ör­ygg­is og jafn­framt að hér er notk­un heima­banka mun meiri en al­mennt í Evr­ópu, 93%, en meðaltalið inn­an ESB er 58%.

Net­notk­un­in end­ur­spegl­ar að á Íslandi er eitt þróaðasta upp­lýs­inga­sam­fé­lag í heimi. Há­hraða fjar­skipta­net eru hér al­menn og nán­ast öll þjóðin er tengd slík­um net­um. Á alþjóðamæli­kv­arða er Ísland þar í efsta sæti, næst fyr­ir ofan Suður-Kór­eu. Því miður er mynd­in þó svört þegar skoðaðir eru alþjóðal­ist­ar yfir netör­ygg­is­mál, þar er Ísland í 58. sæti á milli Bras­il­íu og Kazakst­h­an.

 

Tryggja verður netör­yggi

Sam­hliða því sem rík­is­stjórn­in legg­ur áherslu á gera netið að „meg­in­sam­skipta­leið al­menn­ings við hið op­in­bera fyr­ir lok þessa árs“ er óhjá­kvæmi­legt að gera stór­átak til að tryggja netör­yggi.

Fjölþátta­ógn­ir og varn­ir gegn þeim snúa að því sem menn setja inn á netið. Með orðinu netör­yggi er hér vísað til tölvu­árása sem magn­ast ár frá ári og taka á sig ýms­ar mynd­ir.

Íslend­ing­ar standa svona illa að vígi á netör­ygg­is­sviðinu vegna þess að ekki er litið á þetta sem þjóðarör­ygg­is­mál á sama hátt og gert er í öðrum lönd­um. Þar skil­greindu ör­ygg­is- og leyniþjón­ust­ur herja ein­stakra landa gæslu á þessu sviði sem eitt af meg­in­verk­efn­um sín­um og reistu varn­argirðing­ar í sam­ræmi við það. Ekk­ert sam­bæri­legt hef­ur gerst hér.

Þá eru þeir sem sinna ör­ygg­is­gæslu á þessu sviði hér á landi heft­ir vegna póli­tísks ótta við for­virk­ar rann­sókn­ar­heim­ild­ir. Þeir sem eiga að gæta þessa ör­ygg­is hafa tak­mörkuð ef nokk­ur úrræði til þess sem nefnt er ástands­skoðun. Net­verðir hafa ekki lög­bundn­ar heim­ild­ir til að fara um net­heima og leita að váboðum sem kunna að breyt­ast í ógn. Bent er á að væri veður­fræðing­um bannað að nota gervi­tungl og tölv­ur við að leggja grunn að lang­tímaspám stæðu þeir illa að vígi við spár sín­ar.

Í júní 2019 samþykkti alþingi lög um net- og upp­lýs­inga­kerfi mik­il­vægra innviða. Lög­in taka gildi 1. sept­em­ber 2020.

NIS-til­skip­un ESB að baki lög­un­um er ætlað að tryggja ör­yggi sam­eig­in­lega EES-markaðar­ins. Í um­sögn Póst- og fjar­skipta­stofn­un­ar (PFS) um frum­varpið sagði: „Um er að ræða þær lág­marks­kröf­ur sem Evr­ópu­sam­bandið hef­ur talið sér fært að gera til aðild­ar­ríkja sam­bands­ins, til að tryggja skil­virka starf­semi innri markaðsins, án þess að stíga inn á viðkvæm­ari svið er varðar ör­ygg­is­mál þeirra.“

Lög­in fela PFS auk­in verk­efni og starf­semi netör­ygg­is­sveit­ar PFS stór­eykst með lög­un­um. Alþingi fór þó ekki að ósk­um PFS um nýj­ar heim­ild­ir til að stuðla að auknu netör­yggi. PFS eru sett­ar „af­ger­andi skorður“ í þessu efni. Lög­in tryggja netör­ygg­is­sveit­inni ekki heim­ild­ir til öfl­un­ar nauðsyn­legra upp­lýs­inga til að nema ógn­ir, fyr­ir­byggja at­vik og árás­ir og til að skapa heild­ar­mynd af netógn­um í netumdæmi ör­ygg­is­sveit­ar­inn­ar.

Til­mæli og viðvar­an­ir PFS um rann­sókn­ar­heim­ild­ir um­fram EES-lág­marks­kröf­ur voru hafðar að engu. Hér er eng­in viðleitni til sam­bæri­legra varn­araðgerða og í öðrum lönd­um á þessu sviði. Í fram­haldi af málþing­um Þjóðarör­ygg­is­ráðs um fjölþátta ógn­ir ætti að taka til við laga­smíð í þágu ís­lensks þjóðarör­ygg­is í net­heim­um.