Þrír menn eru í netöryggissveit Íslands

Nýtt lagafrumvarp samgönguráðherra á að efla netöryggissveit Póst- og fjarskiptastofnunar og fjölga verkefnum hennar. Frumvarpið nær hins vegar ekki því markmiði sem að er stefnt með því að mati Póst- og fjarskiptastofnunar. Frumvarpið tryggir sérstakri netöryggissveit ekki aðgang að upplýsingum þannig að sveitin geti sinnt hlutverki sínu samkvæmt frumvarpinu.

Póst- og fjarskiptastofnun hefur starfrækt netöryggissveit Íslands frá árinu 2012 en í dag eru þrír einstaklingar í sveitinni. Hlutverk sveitarinnar er annars vegar að fylgjast með og vakta ógnir sem steðja að Íslandi í heild og hins vegar að fyrirbyggja og draga úr hættu á netárásum.

Fyrsta umræða um frumvarp samgönguráðherra um öryggi net- og upplýsingakerfa mikilvægra innviða fór fram á Alþingi í desember síðastliðnum. Frumvarpið mælir meðal annars fyrir um að starfsemi svokallaðrar netöryggissveitar verði efld.

Morgunblaðið vakti í dag athygli á umsögn Póst- og fjarskiptastofnunar um frumvarpið. Í umsögninni kemur fram margþætt gagnrýni á efni þess en þar segir meðal annars: 

„Að mati Póst- og fjarskiptastofnunar tryggir frumvarpið ekki aðgengi netöryggissveitar að upplýsingum sem henni eru nauðsynlegar til að geta uppfyllt hlutverk sitt samkvæmt frumvarpinu.“

Í frumvarpinu er kveðið á um að Póst- og fjarskiptastofnun geti „ ... óskað eftir að komið skuli upp sjálfvirkri upplýsingamiðlun á milli kerfa hlutaðeigandi mikilvœgra innviða og netöryggissveitar. “ Að mati Póst- og fjarskiptastofnunar er þetta ákvæði alltof óljóst. „Hvað felst í því að sveitinni sé heimilt að óska eftir? Er rekstraraðila skylt að verða við slíkri ósk? Ekki er að finna neinar skýringar við ákvæðið í greinargerð frumvarpsins hvað þetta varðar,“ segir í umsögninni.  

Með frumvarpinu er svokallað netumdæmi öryggsveitarinnar útvíkkað og mun það til dæmis ná yfir bankastarfsemi, heilbrigðisþjónustu og orku-, vatns- og hitaveitur.

Hrafnkell V. Gíslason forstjóri Póst- og fjarskiptastofnunar segir að almennt sé frumvarpið mikið framfaraskref í netöryggismálum nái það fram að ganga. Hins vegar telji Póst- og fjarskiptastofnun nauðsynlegt að gera á því þær breytingar sem koma fram í umsögn stofnunarinnar. Ein þessara breytinga lýtur að afhendingu upplýsinga.

„Eins og mál eru að þróast í sambandi við netógnir þá gerast hlutirnir mjög hratt. Til þess að geta uppfært þessa mynd af ógnum hverju sinni þá þurfum við að geta gert það oft á dag. Til þess að geta gert þetta oft á dag þurfum við að fá upplýsingarnar beint inn til okkar. Við óttumst það að ef það er ekki kveðið skýrar að orði varðandi þetta tiltekna atriði (í frumvarpinu) verði viðbrögð netöryggissveitarinnar fyrst og fremst eftir á en ekki samhliða eða fyrirbyggjandi sem væri ef við fengjum upplýsingarnar nógu snemma,“ segir Hrafnkell. 

Þrír einstaklingar eru í netöryggissveitinni í dag líkt og að framan greinir. En er sveitin í stakk búin að sinna hlutverki sínu samkvæmt gildandi lögum? „Það má alltaf deila um það. Netöryggissveitin er afskaplega fámenn og það vantar ýmis tæki og tól til að gera þetta svo vel sé. Ef við horfum til hinna Norðurlandaþjóðanna þá eru sambærilegar sveitir þar hundrað sinnum stærri,“ segir Hrafnkell.