Tryggja netið gegn glæpamönnum

Nýlega tók netöryggissveit Íslands formlega til starfa undir merkjum Póst- og fjarskiptastofnunar. Forstjórinn segir netöryggi skipta æ meira máli við netvæðingu samfélagsins. Mikilvægt sé að auka umræðu um netöryggismál. Þau séu á ábyrgð okkar allra.

Netöryggi er hugtak sem hefur skotið upp kollinum síðustu misseri og snertir sífellt fleiri eftir því sem rafræn samskipti leika stærra hlutverk í lífi og störfum almennings.

Annars vegar tekur netöryggi til þess hve mikilvægt er að vernda innviði upplýsingasamfélagsins fyrir áföllum af völdum náttúruhamfara eða veðurs, til dæmis þar sem línur rofna og mannvirki skemmast.

Hins vegar eru það ógnir sem eru af mannavöldum þar sem tilgangurinn er fjárhagslegur ávinningur með glæpsamlegu framferði eða pólitískur, þar sem reynt er að klekkja á andstæðingum.

Áhersla á glæpavarnir

„Við horfum að sjálfsögðu til beggja atriða í netöryggismálum en í dag er eilítið meiri áhersla á síðara atriðið, því að það eru þau mál sem eru í uppbyggingu einmitt sem stendur. Hitt atriðið er þó það sem er líklegra til að valda búsifjum hér á landi,“ segir Hrafnkell V. Gíslason, forstjóri Póst- og fjarskiptastofnunar sem hefur þau mál á sinni könnu.

Þar er meðal annars rekin sérstök netöryggissveit, CERT-ÍS, sem sjá á um viðbúnað gegn netógnum af mannavöldum. Sveitin telur þrjá starfsmenn sem vinna eftir skýrt skilgreindum reglum sem koma fram í nýrri reglugerð.

Netglæpamönnum vex ásmegin

Aðspurður segir Hrafnkell að nokkurn vöxt megi merkja í skipulögðum netárásum á alþjóðlegum vettvangi. „Þeim aðilum sem standa í þessum málum er líka að vaxa ásmegin og þeir eru að ná sífellt betri tökum á sinni árásartækni. Síðan er hitt sem gleymist oft að netið er orðinn svo mikilvægur hluti af lífi fólks að það er orðið nauðsynlegt fyrir þjóðfélagið að þessi mál séu í góðu lagi.“

Hrafnkell segir að í ljósi þessa aukna mikilvægis megi líkja netöryggi við umferðaröryggi, þar sem hlutverk netöryggissveitarinnar sé að auka umferðaröryggi á netinu.

„Ef okkur berast til dæmis upplýsingar um að öryggisgloppu sé að finna í netbeini hjá einu fjarskiptafyrirtækinu, þá komum við tilmælum til þeirra um að það væri gott að bregðast við því með einhverjum hætti. Margt af því sem sveitin gerir miðar að því að lyfta almennt upp öryggisstiginu einmitt vegna mikilvægis netsins í okkar daglega lífi.“

Sýktar vefsíður

Samkvæmt reglugerðinni er hlutverk netöryggissveitarinnar að fyrirbyggja, draga úr og bregðast við netárásum og öðrum öryggisatvikum eins og kostur er. Sérstakt vægi er lagt á að vernda ómissandi upplýsingainnviði, sem enn eru ekki skilgreind að fullu en eru meðal annars fjarskiptafyrirtæki, orkufyrirtæki, stjórnsýslan, heilbrigðiskerfið og fleira.

Netöryggissveitin er í beinum samskiptum við fjarskiptafyrirtækin og aðstoðar þau við að greina öryggisatvik sem koma upp, takmarka útbreiðslu þeirra og tjón og að samræma viðbrögð og aðgerðir. Í því sjónarmiði hefur sveitin meðal annars sett upp æfingar með innlendum og erlendum aðilum.

Sem landstengiliður sambærilegra netöryggissveita um heim allan fær CERT-ÍS upplýsingar víða að, um mál sem tengjast Íslandi, hvort sem orðið hefur vart við árásir á íslenska aðila, eða hvort Ísland sé notað sem árásarstöð. Hrafnkell segir enda að Ísland þurfi að taka til í sínum ranni gagnvart öðrum löndum.

„Algengasta leiðin til að dreifa vírusum áður fyrr var í gegnum tölvupóst en í dag er helsta aðferðin að sýkja vefsíður, þar sem notendur fara inn og smella ef til vill á hlekk og tölvan sýkist umsvifalaust við það án þess að notandinn verði nokkurs var. Við fáum upplýsingar um hvaða síður eru sýktar og við getum komið þeim upplýsingum til eiganda síðunnar. Þannig getum við sem dæmi hækkað heilbrigðisstig kerfisins í heild.“

Ónýttar lagaheimildir

Hluti af starfsemi netöryggissveitarinnar felst í því að vakta ómissandi upplýsingainnviði en Hrafnkell tekur skýrt fram að ekkert í starfi sveitarinnar felist í því að koma á staðinn og taka yfir netöryggismál hjá skjólstæðingum. „Hins vegar gætum við sagt viðkomandi að eitthvað sé opið hjá þeim og ráðlagt að loka því.“

Hrafnkell segir að sveitin fái upplýsingar um ýmis atvik, bæði frá innlendum og erlendum aðilum.

„Svo höfum við lagaheimild sem við höfum ekki nýtt okkur enn þá. Annars vegar höfum við heimild til að gera samning við þriðja aðila um að setja upp búnað sem fylgist með því sem fer fram og til baka hjá viðkomandi og hins vegar höfum við heimild til að mæla umferðarþunga á netkerfum. Hugsunin með þeim mælingum er að geta brugðist fyrr við álagsárásum. Varðandi fyrri kostinn er slíkt háð samþykki viðkomandi og þarf sá samningur að vera í samræmi við reglur Persónuverndar. Þar væri heldur ekki verið að skima með tilliti til efnisinnihalds fjarskiptasendinga heldur yrði þetta ekki ósvipað því sem ruslpóstsíur gera í dag. Lög og reglur kveða skýrt á um að við megum ekki skoða efnisinnihald almennra fjarskiptasendinga á fjarskiptanetum. Það er einfaldlega ekki heimild fyrir slíku og við sækjumst ekki eftir slíkri heimild,“ segir Hrafnkell.

Öryggismál eru jafnvægislist

Hrafnkell bætir þó við að þessar heimildir séu til að byrja með ekki fyrsti forgangur netöryggissveitarinnar, heldur sé áherslan almennt á að auka heilbrigði netsins og koma upp verkferlum hjá samstarfsaðilum um viðbrögð við hugsanlegum öryggisatvikum.

Í allri þessari umræðu um öryggi og ógnir segir Hrafnkell að um sé að ræða mikla jafnvægislist.

„Þetta miðar allt að því að finna jafnvægi milli þess að geta raunverulega tekist á við verkefni án þess að ganga á rétt almennings; að finna jafnvægi milli þess að ná fram þeirri vernd sem við viljum og þess hversu mikið inngrip það er í umhverfið. Í þessari nýju reglugerð um netöryggissveitina var reynt að koma niður á þennan hnífsodd.“

Hrafnkell leggur áherslu á að fyrirtæki, stofnanir og einstaklingar beri ábyrgð á heilbrigði netsins með ábyrgri hegðun. Hér á landi hafi orðið mikil vitundarvakning síðustu ár, Ísland sé þegar á allt er litið ágætlega á vegi statt og opinberir aðilar vinni að því að bæta enn frekar úr.

„Nú erum við að hefja vinnu í að setja saman allsherjar netöryggisstefnu fyrir Ísland og ætti hún að vera komin í gegn um þetta leyti á næsta ári,“ segir forstjóri Póst- og fjarskiptastofnunar.