Öryggisógnir í breyttum heimi Jóhann Friðrik Friðriksson skrifar 19. apríl 2024 07:31 Ein af grundvallarskyldum stjórnvalda á hverjum tíma er að tryggja öryggi borgaranna. Fjölmargir þættir falla þar undir sem flestum eru kunnir en stjórnvöld þurfa einnig að vera vakandi fyrir nýjum hættum sem kunna að ógna íslensku samfélagi. Svokallaðar fjölþáttaógnir falla þar undir en hugtakið vísar til samstilltra aðgerða óvinveittra ríkja eða aðila tengdum þeim sem nýta sér kerfislæga veikleika lýðræðisríkja, stofnana og hópa samfélagsins með það að markmiði að veikja áfallaþol samfélagsins, grafa undan lýðræði, trausti og samfélagslegri samheldni til að ná pólitískum, efnahagslegum og/eða hernaðarlegum markmiðum. Þessar aðgerðir geta falist í dreifingu falsfrétta, netárásum, íhlutun í lýðræðislegt ferli og kosningar og erlendar fjárfestingar í mikilvægum innviðum þar sem annarlegar hvatir búa að baki, en aðstaða fjárfesta getur haft áhrif á virkni mikilvægra innviða á grundvelli beins eða óbeins eignarhalds. Fjölþáttaógnir gera greinarmun á stríði og friði óskýrari. Því getur verið erfitt að verjast fjölþáttaógnum og -aðgerðum, enda virða þær hvorki landamæri, skil á milli stofnana innan ríkja né mörk hins opinbera og einkageirans. Nýjar leiðir til að valda skaða Segja má að með þeim aðferðum sem beitt er séu farnar leiðir sem valda skaða án þess að beita hefðbundnum hernaði. Árásir geta verið fjölbreyttar og hægt er að beita þeim í skjóli leyndar og afdráttarlausrar neitunar á ábyrgð. Sú aðferð sem helst hefur borið á hér á landi eru netógnir hvers konar. Gleggsta dæmið er nýleg netárás á tölvukerfi háskólans í Reykjavík en á málþingi Defence Iceland sem fór fram í Grósku fimmtudaginn 11. apríl fjallaði Jacky Mallett, lektor í tölvunarfræði við háskólann um rússneska hakkarahópinn Akira sem bar ábyrgð á netárásinni og innbrotinu í kerfi skólans, hvernig hópurinn virkar, þau tól og tæki sem hann nýtir sér og þá veikleika kerfa sem helst er herjað á. Þá fjallaði Gunnar Jakobsson, varaseðlabankastjóri fjármálastöðugleika um varnir fjármálakerfisins og þá miklu vinnu sem Seðlabankinn hefur ráðist í á undanförnum árum til þess að mæta netógnum. Á opnum fundi efnahags-og viðskiptanefndar Alþingis þann sama dag þar sem skýrsla Seðlabankans til Alþingis um fjármálastöðugleika var til umræðu kom fram í máli Gunnars að ein helsta ógnin í dag við fjármálastöðugleika fælist í netárásum á fjármálainnviði hér á landi. Sú fullyrðing ásamt mýmörgum dæmum þar sem ráðist hefur verið gegn fyrirtækjum og stofnunum hér á landi sýnir glögglega hversu mikilvægt það er fyrir íslenskt samfélag að stórefla netvarnir hér á landi. Áhætta vegna netárása eykst Netárásum getur verið beitt t.a.m. með árásum á mikilvæga innviði og/eða samfélagslega mikilvæga þjónustu. Veikleikar í rekstri net- og upplýsingakerfa þeirra geta haft lamandi áhrif á mikilvæga samfélagslega starfsemi og dregið úr almanna- og þjóðaröryggi. Netárásir geta ekki bara lamað fyrirtæki og stofnanir og valdið fjárhagslegum skaða heldur geta netþrjótar komist yfir viðkvæm gögn sem síðan er lekið með ómældum skaða fyrir þá sem um ræðir. Slík gögn geta verið persónuupplýsingar, trúnaðarupplýsingar af ýmsum toga, viðskiptaleyndarmál, rannsóknargögn og svo má lengi telja. Netárásir geta líka falist í gíslatöku gagna þar sem farið er fram á lausnargjald, valdið skemmdum á netkerfum þannig að starfsemi s.s. bankastarfsemi og ýmis mikilvæg starfsemi hins opinbera stöðvast. Þar sem áhættan á netárásum hefur aukist hafa tryggingafélög boðið upp á tryggingarvernd fyrir netárásum sem sýnir í hnotskurn þá alvarlegu ógn sem stafar af athæfinu. Í dæmi Háskólans í Reykjavík er talið fullvíst að netþrjótar njóti verndar og jafnvel liðsinnis og samstarfs við óvinveitt ríki. Netógnir eru því alls ekki einkamál fyrirtækja og einstaklinga heldur miklu frekar sameiginleg ógn við þjóðina í heild. Mikil samhæfingarvinna nauðsynleg Ísland er mjög netvætt samfélag sem reiðir sig á virkni mikilvægra innviða á ábyrgð ríkisins, opinberra stofnana og fyrirtækja á almennum markaði. Virkni þessara innviða byggist í auknum mæli á samvirkni skipulags, mannvirkja og net- og upplýsingakerfa. Aðgerðir stjórnvalda sem miða að því að styrkja net- og upplýsingakerfi og áfallaþol samfélagsins falla undir málefnasvið margra ráðuneyta hér á landi. Netglæpir eru rannsakaðir af lögreglu sem fellur undir málefnasvið dómsmálaráðuneytisins, varnarmál landsins falla undir ráðuneyti utanríkismála, fjarskipti og netöryggi falla undir háskóla,- iðnaðar- og nýsköpunarráðuneyti, Stafrænt pósthólf í miðlægri þjónustugátt stjórnvalda fellur undir fjármálaráðuneyti, orkumál og orkuöryggi fellur undir umhverfis-, orku- og loftslagsráðuneyti og heilbrigðiskerfið undir heilbrigðisráðuneytið svo eitthvað sé nefnt. Mikil samhæfingarvinna er því nauðsynleg til þess að ná ásættanlegum árangri til styrkingar á áfallaþoli samfélagsins. Netöryggisheimurinn fer ört vaxandi hér á landi og því fer þekking á málaflokknum jafnframt ört vaxandi. Ásamt því að taka þátt í öndvegissetri um netöryggismál í Tallin í Lettlandi og um fjölþáttaógnir í Helsinki er starfrækt sérstök netöryggissveit undir Fjarskiptastofu sem í daglegu tali er kölluð CERT-IS. Ísland tekur að auki þátt í netöryggiskeppnum hérlendis og erlendis og fór ein slík keppni fram nýverið er nefnist Gagnaglíman og er stefnan sett á að senda íslenskt lið í Netöryggiskeppni Evrópu (European Cyber Security Challenge, ECSC) sem haldin verður á Ítalíu í haust. Forvarnir skipta máli Íslensk fyrirtæki hafa verið að hasla sér völl á sviði forvarna gegn netglæpum á undanförnum árum. Eitt þeirra fyrirtækja er AwereGO sem hjálpar fyrirtækjum og stofnunum við að efla öryggi sitt út frá fræðslu og forvörnum. Stór ástæða innbrota í tölvukerfi gengur út á misnotkun á mannlegum þáttum þar sem starfsmenn eru plataðir með einhverju móti eða glæpamenn nýta sér veikleika ef þekkingu skortir á ábyrgri tölvu-og netnotkun. Má þar nefna vanþekkingu á því hvernig má greina fölsk skilaboð og tölvupósta, skort á uppfærslu lykilorða og tveggja þátta auðkennis, vanþekkingu á mögulegum gagnastuld og svo má lengi telja. Rétt eins og með aðrar forvarnir er alltof algengt að fyrirtæki og stofnanir vanræki þá þætti í starfsemi sinni. Kostnaðurinn við að tryggja tölvukerfi og örugga tölvunotkun er óverulegur samanborið við þann skaða sem innbrot í tölvukerfi getur haft. Þörf á vitundarvakningu Stjórnvöld vinna í dag eftir netöryggisstefnu fyrir árin 2022-2037 en í stefnunni er birt framtíðarsýn og markmið stjórnvalda á sviði netöryggis ásamt mælikvörðum og áherslum. Annað af tveimur markmiðum stefnunnar er að efla þekkingu og hæfni með aukinni áherslu á almannafræðslu, menntun, rannsóknir, þróun og alþjóðlega samvinnu. Hitt lýtur að öruggu netumhverfi, þ.e. að til staðar sé öruggt netskipulag sem geti með skilvirkum hætti brugðist við netöryggisatvikum sem ógnað geta þjóðaröryggi, mikilvægum innviðum og réttindum einstaklinga. Ör þróun netöryggismála og síbreytilegar aðstæður krefjast lagaumhverfis sem stuðlar að vernd einstaklinga, atvinnulífs og samfélagsins í heild og að því sé fylgt eftir með löggæslu, þar á meðal með viðeigandi samfélagslegri samvinnu. Mikilvægt er að taka sérstaklega fram að í stefnunni er lögð áhersla á vernd þeirra sem kunna að vera í viðkvæmri stöðu. Tryggja þarf vernd barna á Netinu með stefnu, skýrri löggjöf og ábyrgð á framkvæmd og eftirfylgni. Í því samhengi telur undirritaður afar mikilvægt að stjórnvöld standi einnig fyrir vitundarvakningu um netöryggi og örugg netnotkun verði tekin inn í aðalnámskrá skóla. Öryggisógnir á netinu eru komnar til að vera og það er afar mikilvægt að við öll aðlögum okkur að breyttum heimi. Höfundur er þingmaður framsóknar og situr í Þjóðaröryggisráði. Viltu birta grein á Vísi? Sendu okkur póst. Senda grein Jóhann Friðrik Friðriksson Netöryggi Netglæpir Öryggis- og varnarmál Mest lesið Carnivore: Kransæðastífla og skínandi fínir kviðvöðvar? Guðrún Nanna Egilsdóttir ,Dögg Guðmundsdóttir Skoðun Pawel og bronsið Ragnar Þór Pétursson Skoðun Stýrivextir verða að lækka Fjóla Einarsdóttir Skoðun Heilbrigð skynsemi Einar Scheving Skoðun Hver er hún þessi drusla? Guðmunda G. Guðmundsdóttir Skoðun Börn eða bissness Bryndís Jónsdóttir Skoðun Hvar endar þetta? Reynir Böðvarsson Skoðun Hæstvirtur forsætisráðherra Opið bréf til Sigmundar Davíðs Gunnlaugssonar Kári Stefánsson Skoðun Veistu þitt skýjaspor? Hólmfríður Rut Einarsdóttir,Þóra Rut Jónsdóttir Skoðun Hættustig Gauti Kristmannsson Skoðun Skoðun Skoðun Hver er hún þessi drusla? Guðmunda G. Guðmundsdóttir skrifar Skoðun Börn eða bissness Bryndís Jónsdóttir skrifar Skoðun Carnivore: Kransæðastífla og skínandi fínir kviðvöðvar? Guðrún Nanna Egilsdóttir ,Dögg Guðmundsdóttir skrifar Skoðun Pawel og bronsið Ragnar Þór Pétursson skrifar Skoðun Stýrivextir verða að lækka Fjóla Einarsdóttir skrifar Skoðun Heilbrigð skynsemi Einar Scheving skrifar Skoðun Hvar endar þetta? Reynir Böðvarsson skrifar Skoðun Höfðu algerlega rétt fyrir sér Hjörtur J. Guðmundsson skrifar Skoðun Íslenskar getraunir og ólögleg veðmálafyrirtæki Pétur Hrafn Sigurðsson skrifar Skoðun Hættustig Gauti Kristmannsson skrifar Skoðun Minnkandi ábati stýrivaxta á verðbólgu Aron Heiðar Steinsson skrifar Skoðun Hún var kölluð drusla Guðmunda G. Guðmundsdóttir skrifar Skoðun Til fyrirmyndar? Sverrir Björnsson skrifar Skoðun Tölum endilega íslensku, takk Ólafur Guðsteinn Kristjánsson skrifar Skoðun Les(mis)skilningur Miðflokksmanna Helgi Brynjarsson skrifar Skoðun Kennarinn sem breytti lífi þínu Þorbjörg Sigríður Gunnlaugsdóttir skrifar Skoðun Tímabært að stokka spilin og gefa upp á nýtt Maarten Haijer skrifar Skoðun Cut The Crap! Davíð Bergmann skrifar Skoðun Hvað finnst þér? Bryndís Víglundsdóttir skrifar Skoðun Víðátta og margbreytni hins sjötta skilningarvits Matthildur Björnsdóttir skrifar Skoðun Þegar kennarinn verður dómari Pawel Bartoszek skrifar Skoðun Tíminn vinnur ekki með þeim Hjörtur J. Guðmundsson skrifar Skoðun Frestun á afgreiðslu Samgönguáætlunar er fagnaðarefni Björn Bjarki Þorsteinsson skrifar Skoðun Tvíeggja tækni: Hvernig má nýta stafræna tækni í kennslu? Halldóra Lillý Jóhannsdóttir skrifar Skoðun Blekking goðsagna Matthildur Björnsdóttir skrifar Skoðun Í sambandi við Suðurnesin Steinunn Þorsteinsdóttir skrifar Skoðun Fyrirhyggja er besta vörnin - vegna CrowdStrike atviksins 19. júlí 2024 Arnar Freyr Guðmundsson skrifar Skoðun 466 milljarðir í vasa norskra eldisrisa Gunnlaugur Stefánsson skrifar Skoðun Opið bréf til ráðherra Kristján Hreinsson skrifar Skoðun Flestir barðir til bana með steini eða skotnir í tætlur með haglabyssu Ole Anton Bieltvedt skrifar Sjá meira
Ein af grundvallarskyldum stjórnvalda á hverjum tíma er að tryggja öryggi borgaranna. Fjölmargir þættir falla þar undir sem flestum eru kunnir en stjórnvöld þurfa einnig að vera vakandi fyrir nýjum hættum sem kunna að ógna íslensku samfélagi. Svokallaðar fjölþáttaógnir falla þar undir en hugtakið vísar til samstilltra aðgerða óvinveittra ríkja eða aðila tengdum þeim sem nýta sér kerfislæga veikleika lýðræðisríkja, stofnana og hópa samfélagsins með það að markmiði að veikja áfallaþol samfélagsins, grafa undan lýðræði, trausti og samfélagslegri samheldni til að ná pólitískum, efnahagslegum og/eða hernaðarlegum markmiðum. Þessar aðgerðir geta falist í dreifingu falsfrétta, netárásum, íhlutun í lýðræðislegt ferli og kosningar og erlendar fjárfestingar í mikilvægum innviðum þar sem annarlegar hvatir búa að baki, en aðstaða fjárfesta getur haft áhrif á virkni mikilvægra innviða á grundvelli beins eða óbeins eignarhalds. Fjölþáttaógnir gera greinarmun á stríði og friði óskýrari. Því getur verið erfitt að verjast fjölþáttaógnum og -aðgerðum, enda virða þær hvorki landamæri, skil á milli stofnana innan ríkja né mörk hins opinbera og einkageirans. Nýjar leiðir til að valda skaða Segja má að með þeim aðferðum sem beitt er séu farnar leiðir sem valda skaða án þess að beita hefðbundnum hernaði. Árásir geta verið fjölbreyttar og hægt er að beita þeim í skjóli leyndar og afdráttarlausrar neitunar á ábyrgð. Sú aðferð sem helst hefur borið á hér á landi eru netógnir hvers konar. Gleggsta dæmið er nýleg netárás á tölvukerfi háskólans í Reykjavík en á málþingi Defence Iceland sem fór fram í Grósku fimmtudaginn 11. apríl fjallaði Jacky Mallett, lektor í tölvunarfræði við háskólann um rússneska hakkarahópinn Akira sem bar ábyrgð á netárásinni og innbrotinu í kerfi skólans, hvernig hópurinn virkar, þau tól og tæki sem hann nýtir sér og þá veikleika kerfa sem helst er herjað á. Þá fjallaði Gunnar Jakobsson, varaseðlabankastjóri fjármálastöðugleika um varnir fjármálakerfisins og þá miklu vinnu sem Seðlabankinn hefur ráðist í á undanförnum árum til þess að mæta netógnum. Á opnum fundi efnahags-og viðskiptanefndar Alþingis þann sama dag þar sem skýrsla Seðlabankans til Alþingis um fjármálastöðugleika var til umræðu kom fram í máli Gunnars að ein helsta ógnin í dag við fjármálastöðugleika fælist í netárásum á fjármálainnviði hér á landi. Sú fullyrðing ásamt mýmörgum dæmum þar sem ráðist hefur verið gegn fyrirtækjum og stofnunum hér á landi sýnir glögglega hversu mikilvægt það er fyrir íslenskt samfélag að stórefla netvarnir hér á landi. Áhætta vegna netárása eykst Netárásum getur verið beitt t.a.m. með árásum á mikilvæga innviði og/eða samfélagslega mikilvæga þjónustu. Veikleikar í rekstri net- og upplýsingakerfa þeirra geta haft lamandi áhrif á mikilvæga samfélagslega starfsemi og dregið úr almanna- og þjóðaröryggi. Netárásir geta ekki bara lamað fyrirtæki og stofnanir og valdið fjárhagslegum skaða heldur geta netþrjótar komist yfir viðkvæm gögn sem síðan er lekið með ómældum skaða fyrir þá sem um ræðir. Slík gögn geta verið persónuupplýsingar, trúnaðarupplýsingar af ýmsum toga, viðskiptaleyndarmál, rannsóknargögn og svo má lengi telja. Netárásir geta líka falist í gíslatöku gagna þar sem farið er fram á lausnargjald, valdið skemmdum á netkerfum þannig að starfsemi s.s. bankastarfsemi og ýmis mikilvæg starfsemi hins opinbera stöðvast. Þar sem áhættan á netárásum hefur aukist hafa tryggingafélög boðið upp á tryggingarvernd fyrir netárásum sem sýnir í hnotskurn þá alvarlegu ógn sem stafar af athæfinu. Í dæmi Háskólans í Reykjavík er talið fullvíst að netþrjótar njóti verndar og jafnvel liðsinnis og samstarfs við óvinveitt ríki. Netógnir eru því alls ekki einkamál fyrirtækja og einstaklinga heldur miklu frekar sameiginleg ógn við þjóðina í heild. Mikil samhæfingarvinna nauðsynleg Ísland er mjög netvætt samfélag sem reiðir sig á virkni mikilvægra innviða á ábyrgð ríkisins, opinberra stofnana og fyrirtækja á almennum markaði. Virkni þessara innviða byggist í auknum mæli á samvirkni skipulags, mannvirkja og net- og upplýsingakerfa. Aðgerðir stjórnvalda sem miða að því að styrkja net- og upplýsingakerfi og áfallaþol samfélagsins falla undir málefnasvið margra ráðuneyta hér á landi. Netglæpir eru rannsakaðir af lögreglu sem fellur undir málefnasvið dómsmálaráðuneytisins, varnarmál landsins falla undir ráðuneyti utanríkismála, fjarskipti og netöryggi falla undir háskóla,- iðnaðar- og nýsköpunarráðuneyti, Stafrænt pósthólf í miðlægri þjónustugátt stjórnvalda fellur undir fjármálaráðuneyti, orkumál og orkuöryggi fellur undir umhverfis-, orku- og loftslagsráðuneyti og heilbrigðiskerfið undir heilbrigðisráðuneytið svo eitthvað sé nefnt. Mikil samhæfingarvinna er því nauðsynleg til þess að ná ásættanlegum árangri til styrkingar á áfallaþoli samfélagsins. Netöryggisheimurinn fer ört vaxandi hér á landi og því fer þekking á málaflokknum jafnframt ört vaxandi. Ásamt því að taka þátt í öndvegissetri um netöryggismál í Tallin í Lettlandi og um fjölþáttaógnir í Helsinki er starfrækt sérstök netöryggissveit undir Fjarskiptastofu sem í daglegu tali er kölluð CERT-IS. Ísland tekur að auki þátt í netöryggiskeppnum hérlendis og erlendis og fór ein slík keppni fram nýverið er nefnist Gagnaglíman og er stefnan sett á að senda íslenskt lið í Netöryggiskeppni Evrópu (European Cyber Security Challenge, ECSC) sem haldin verður á Ítalíu í haust. Forvarnir skipta máli Íslensk fyrirtæki hafa verið að hasla sér völl á sviði forvarna gegn netglæpum á undanförnum árum. Eitt þeirra fyrirtækja er AwereGO sem hjálpar fyrirtækjum og stofnunum við að efla öryggi sitt út frá fræðslu og forvörnum. Stór ástæða innbrota í tölvukerfi gengur út á misnotkun á mannlegum þáttum þar sem starfsmenn eru plataðir með einhverju móti eða glæpamenn nýta sér veikleika ef þekkingu skortir á ábyrgri tölvu-og netnotkun. Má þar nefna vanþekkingu á því hvernig má greina fölsk skilaboð og tölvupósta, skort á uppfærslu lykilorða og tveggja þátta auðkennis, vanþekkingu á mögulegum gagnastuld og svo má lengi telja. Rétt eins og með aðrar forvarnir er alltof algengt að fyrirtæki og stofnanir vanræki þá þætti í starfsemi sinni. Kostnaðurinn við að tryggja tölvukerfi og örugga tölvunotkun er óverulegur samanborið við þann skaða sem innbrot í tölvukerfi getur haft. Þörf á vitundarvakningu Stjórnvöld vinna í dag eftir netöryggisstefnu fyrir árin 2022-2037 en í stefnunni er birt framtíðarsýn og markmið stjórnvalda á sviði netöryggis ásamt mælikvörðum og áherslum. Annað af tveimur markmiðum stefnunnar er að efla þekkingu og hæfni með aukinni áherslu á almannafræðslu, menntun, rannsóknir, þróun og alþjóðlega samvinnu. Hitt lýtur að öruggu netumhverfi, þ.e. að til staðar sé öruggt netskipulag sem geti með skilvirkum hætti brugðist við netöryggisatvikum sem ógnað geta þjóðaröryggi, mikilvægum innviðum og réttindum einstaklinga. Ör þróun netöryggismála og síbreytilegar aðstæður krefjast lagaumhverfis sem stuðlar að vernd einstaklinga, atvinnulífs og samfélagsins í heild og að því sé fylgt eftir með löggæslu, þar á meðal með viðeigandi samfélagslegri samvinnu. Mikilvægt er að taka sérstaklega fram að í stefnunni er lögð áhersla á vernd þeirra sem kunna að vera í viðkvæmri stöðu. Tryggja þarf vernd barna á Netinu með stefnu, skýrri löggjöf og ábyrgð á framkvæmd og eftirfylgni. Í því samhengi telur undirritaður afar mikilvægt að stjórnvöld standi einnig fyrir vitundarvakningu um netöryggi og örugg netnotkun verði tekin inn í aðalnámskrá skóla. Öryggisógnir á netinu eru komnar til að vera og það er afar mikilvægt að við öll aðlögum okkur að breyttum heimi. Höfundur er þingmaður framsóknar og situr í Þjóðaröryggisráði.
Carnivore: Kransæðastífla og skínandi fínir kviðvöðvar? Guðrún Nanna Egilsdóttir ,Dögg Guðmundsdóttir Skoðun
Skoðun Carnivore: Kransæðastífla og skínandi fínir kviðvöðvar? Guðrún Nanna Egilsdóttir ,Dögg Guðmundsdóttir skrifar
Skoðun Tvíeggja tækni: Hvernig má nýta stafræna tækni í kennslu? Halldóra Lillý Jóhannsdóttir skrifar
Skoðun Fyrirhyggja er besta vörnin - vegna CrowdStrike atviksins 19. júlí 2024 Arnar Freyr Guðmundsson skrifar
Skoðun Flestir barðir til bana með steini eða skotnir í tætlur með haglabyssu Ole Anton Bieltvedt skrifar
Carnivore: Kransæðastífla og skínandi fínir kviðvöðvar? Guðrún Nanna Egilsdóttir ,Dögg Guðmundsdóttir Skoðun