Segir fámenni ógna netöryggi hér á landi

Ógnum vegna netárása fjölgar jafnt og þétt hér á landi en ekki hefur nóg verið að gert til að takast á við þá ógn. Þetta segir Stefán Snorri Stefánsson, hópstjóri netöryggissveitarinnar CERT-ÍS í ársskýrslu sveitarinnar. Ljóst sé að Ísland muni ekki uppfylla Evróputilskipun um netöryggi sem taka eigi gildi hér á landi innan þriggja ára nema mikið verði að gert. „Ljóst er að verulega þarf að bæta úr flestum aðföngum, aðstöðu og því umhverfi sem sveitinni er ætlað að starfa í,“ segir í skýrslunni.

Stefán segir sveitina of fáliðaða til að sinna lögbundnu hlutverki sínu sem netöryggissveit Íslands á landsvísu. Starfsmenn sveitarinnar séu færri en þegar hún tók til starfa árið 2014, tveir í stað þriggja áður. Þá þurfi hugarfarsbreytingu til að takast á við netöryggismál hér á landi. Mikilvægt sé að fyrirtæki verji ekki bara eigin kerfi fyrir árásum, heldur einnig kerfi og búnað viðskiptavina sinna.

Til stóð að færa sveitina frá Póst- og fjarskiptastofnun til embættis ríkislögreglustjóra en innanríkisráðuneytið féll frá þeim áformum undir lok síðasta árs. Stefán segir að fyrirheit hafi verið gefin um að efla sveitina við núverandi lagaskilyrði. „Þó er ljóst að fjárheimildir sveitarinnar í dag rúma ekki nauðsynlega þætti í starfsemi hennar,“ segir hann.

Sveitin geti nú fyrst og fremst sinnt fjarskiptafyrirtækjum sem greiða hlutafall af veltu sinni til rekstursins en eigi lögum samkvæmt að gegna starfi sem netöryggissveit á landsvísu. Auk þess sé hún tengiliður Íslands við erlendar CERT-sveitir. „Í því kristallast mótsögn sem kemur oft upp í daglegu starfi sveitarinnar,“ segir í skýrslunni. Einnig er bent á að ekki hafi verið unnt að halda stóra samhæfða æfingu hér á landi innan þjónustuhóps sveitarinnar frá árinu 2013, meðal annars vegna óvissu um framtíð hennar. Nauðsynlegt sé að slík æfing fari fram í haust.

Sveitinni bárust upplýsingar um nær 800 öryggisatvik hérlendis á síðsta ári, þar á meðal nokkur mál þar sem um alvarlegar langvarandi ógnir var að ræða. Í síkum tilvikum er oftast reynt að ná fótfestu í upplýsingakerfum stjórnvalda eða hátæknifyrirtækja og afla upplýsinga með leynd. Í skýrslunni segir að líkur séu á að alvarlegustu málin sem rannsökuð hafi verið beinist ekki gegn íslenskum aðilum. Þá er bent á að allmargar álagsárásir hafi verið gerðar á íslenska netþjóna á síðasta ári. Ein sú stærsta var í nóvember þegar ráðist var á vefi stjórnarráðsins sem lágu niðri um nokkurn tíma. Árásin er talin vera á ábyrgð Anonymous-samtakanna vegna andstöðu forsprakka hópsins við hvalveiðar Íslendinga.