Ísland er í fremstu röð í heiminum þegar kemur að fjarskiptum og stafrænni þjónustu. Öflug fjarskiptanet eru lífæðar samfélagsins og skapa grunn fyrir rafræn samskipti, opinbera þjónustu, viðskipti og daglegt lífi fólks um allt land. Þessi árangur hefur skapað mikil tækifæri, en hann kallar jafnframt á ábyrgð, þ.e. að tryggja að fjarskiptainnviðir landsins séu ekki aðeins öflugir, heldur einnig öruggir og áfallaþolnir.
Ógnirnar sem við stöndum frammi fyrir eru bæði fjölbreyttar og vaxandi. Netárásum fjölgar stöðugt, þjónustukerfi og birgjakeðjur verða sífellt flóknari, gervigreind er komin til sögunnar og óvissa í alþjóðastjórnmálum hefur bein áhrif á öryggi ríkja. Í þessu samhengi er ekki lengur nægilegt að treysta á að kerfin virki vel við eðlilegar aðstæður, heldur verða þau einnig að standast skipulagðar árásir og óvænt áföll.
Netöryggi fjarskipta er víðtækt. Fjarskiptanet teljast net- og upplýsingakerfi í evrópskri netöryggislöggjöf og verndarandlag hennar nær bæði til kerfanna sjálfra sem og raunlægra innviða, svo sem tækjarýma, sendibúnaðar, strengja og varaafls. Gæta þarf að öllum tegundum ógna og áhættu, svo sem náttúruvá, rekstraráhættu, netógna og mögulegra skemmdarverka. Velja verndarráðstafanir og stöðugt uppfæra áhættumat og áhættuvilja.
Áfallaþol er lykillinn að trausti
En netöryggi og áfallaþol felur ekki aðeins í sér að verja kerfi og innviði, heldur að byggja upp getu til að þola áföll, bregðast við þeim og ná upp þjónustu aftur ef til útfalls kemur. Slík geta er ekki sjálfgefin heldur krefst markvissrar stefnu, skipulags, samstarfs og fjárfestinga. Netöryggi og áfallaþol eru grunnforsendur trausts bæði hjá almenningi og hjá þeim sem reiða sig á fjarskipti í rekstri og opinberri þjónustu.
Lagalegar kröfur um netöryggi fjarskipta hafa verið til staðar hér á landi í nær tvo áratugi. Fjarskiptafyrirtækjum ber að hafa virkt stjórnkerfi netöryggis, framkvæma áhættumat, grípa til viðeigandi varna og tilkynna öryggisatvik. Eftirlit Fjarskiptastofu byggir á áhættumiðaðri og gagnadrifinni nálgun, þar sem fyrirtæki leggja fram ítarlegt sjálfsmat sem síðan er staðfest með gögnum, úttektum og tæknilegum prófunum.
Niðurstöður fyrsta heildstæða sjálfsmats hjá mikilvægustu fjarskiptafyrirtækjunum sem framkvæmt var árið 2023 sýndu þó blandaða mynd. Að meðaltali stóðust aðilar ekki viðmið Fjarskiptastofu um ásættanlega stöðu. Vissulega stóðu sum fyrirtæki sig vel en önnur ekki. Það leiddi til bindandi fyrirmæla og úrbóta, sem hafa gengið vel. En sem samfélag verðum við þó að spyrja okkur hvort heildarniðurstaðan sé ásættanleg í ljósi þess hlutverks sem fjarskipti gegna í dag.
Markaðsbrestur í fjarskiptaöryggi
Heildstætt áhættumat Fjarskiptastofu á fjarskiptainnviðum hefur leitt í ljós það sem Fjarskiptastofa kallar markaðsbrest í öryggi fjarskipta. Markaðsaðilar fjárfesta eðlilega í vörnum gegn algengum truflunum, svo sem rafmagnsleysi, DDoS-árásum og strengjaskemmdum, en ganga sjaldnast lengra en viðskiptalegar forsendur bjóða. Afleiðingin er sú að ekki er tryggt að fjarskipti þoli sjaldgæf eða mjög umfangsmikil áföll, þrátt fyrir að slíkt geti haft alvarleg áhrif á almenning, mikilvæga innviði og þjóðaröryggi. Gögn Fjarskiptastofu staðfesta að hér er bil á milli þess sem markaðurinn einn og sér getur staðið undir og þess sem samfélag okkar þarfnast. Að mati Fjarskiptastofu þarf að brúa þetta bil.
Flokka má verkefni sem leiða af þessari stöðu í tvo megin flokka; annars vegar er um að ræða verkefni sem lúta að almannahagsmunum og staðbundnum úrræðum, t.d. að tvítengja byggðakjarna með ljósleiðara sem eru nú eintengdir og hins vegar verkefni er lúta að þjóðaröryggi, t.d. varnir gegn truflunum á þjónustu gervitungla, flókinnar birgja- og þjónustukeðju og endurnýjun NATO hringtengingarinnar með útfærslu sem horfir til krafna nútímans og endurspeglar viðbrögð við breyttu heimsástandi.
Sértækt áhættumat fjarskipta, til dæmis í kjölfar innrásar Rússlands í Úkraínu, hefur dregið þetta enn skýrar fram. Það sýnir bæði styrkleika og veikleika kerfisins og hversu flókið og kostnaðarsamt er að kortleggja áhrif stórfelldra truflana á samfélagið í heild, niður alla virðiskeðju stafrænnar þjónustu. En þessa vinnu þarf að kortleggja og framkvæma.
Sameiginleg ábyrgð og framtíðarsýn
Gögnin sem nú liggja fyrir sýna að netöryggi og áfallaþol fjarskipta þarfnast frekari styrkingar. Núverandi lagaumgjörð tekur ekki nægilega heildstætt á almannahagsmunum og þjóðaröryggi og skilur eftir bil milli krafna samfélagsins og fjárfestinga markaðarins.
Þetta er ekki áskorun sem einn aðili leysir. Hér þurfa stjórnvöld, fjarskiptafyrirtæki og samfélagið allt að móta sameiginlega sýn. Hversu langt viljum við ganga í að tryggja öryggi fjarskipta og hvernig náum við jafnvægi milli kostnaðar, samfélagslegra þarfa og þjóðaröryggis?
Það er mikilvægt í þessu samhengi að horfa til þess að fjárfestingar í öryggi eru ekki aðeins kostnaður, heldur forsenda trausts, stöðugleika og áframhaldandi verðmætasköpunar hér á landi.
Fjarskipti eru grunnstoð okkar samfélags. Til að þau geti áfram gegnt því hlutverki verða þau ekki aðeins að vera öflug, heldur einnig traust.
Höfundur er sviðsstjóri netöryggissviðs Fjarskiptastofu.
