Netöryggi til fram­tíðar

Netöryggi er ekki lengur valkostur heldur lykilþáttur í öryggi íslensks samfélags. Hér á landi eru margar grundvallarþjónustur háðar virkni upplýsinga- og fjarskiptakerfa, og öflugt netöryggi er því nauðsynlegt fyrir stöðugleika og virkni samfélagsins.

Alþingi samþykkti nýverið lög sem breyta Varnarmálalögum með þeim hætt að þau færa CERT-IS, landsbundið öryggis- og viðbragðsteymi vegna netatvika og áhættu, frá Fjarskiptastofu og undir stjórn utanríkisráðuneytisins. Markmiðið laganna er að efla varnartengda þætti á sviði netöryggis. Áfram mun CERT-IS sinna lögbundnu hlutverki sínu á grundvelli netöryggislaga.

Þrátt fyrir þessar breytingar er mikilvægt að undirstrika að netöryggisábyrgð stjórnvalda nær langt út fyrir CERT-IS. Innviðaráðherra fer áfram með málefni netöryggis á grundvelli forsetaúrskurðar þar um og þá gegnir netöryggissvið Fjarskiptastofu og önnur eftirlitsstjórnvöld áfram kjarnahlutverki í fyrirbyggjandi netöryggisvörnum samfélagsins. Sviðið gegnir samhæfingar- og ráðgjafarhlutverki gagnvart öðrum eftirlitsstjórnvöldum varðandi framkvæmd netöryggislaganna og er tengiliður íslenskra stjórnvalda á sviði netöryggis og tekur þátt í stefnumarkandi samstarfi Evrópusambandsins á þessu sviði, Norðurlandasamstarfi og í nefndarstarfi NATO.

Heildstæð og áhættumiðuð sýn: Netöryggisstjórnun í nýju landslagi

Netöryggissviðið Fjarskiptastofu ber ábyrgð á eftirliti með netöryggi gagnvart kjarnainnviðum stafræns samfélags og eru verkefni þess víðtæk – allt frá áhættugreiningum, úttektum og prófunum á netvörnum til stefnumótunar og samstarfs við innlend og erlend stjórnvöld. Þetta felst í framkvæmd sjálfsmata til að meta stöðu netöryggis hjá aðilum, dýpri úttektum á stjórnkerfi netöryggis sem og prófunum á netvörnum aðila. Þá framkvæmdir netöryggissvið ýmsar áhættugreiningar t.a.m. vegna sérstakra ógna á borð við innrás Rússa í Úkraínu og/eða sérstakra kerfa líkt og 5G kerfa.

Öll þessi verkefni miða að því að greina áhættur þannig að hægt sé að grípa til fyrirbyggjandi aðgerða og auka þannig netöryggi samfélagsins. Í flestum tilvikum er aðilum gefin bindandi fyrirmæli um úrbætur til að bæta heildarnetöryggi aðila og eru í gildi í dag, tugir slíkra fyrirmæla hjá mismunandi mikilvægum innviðum.

Með samræmdri nálgun, virku samstarfi og gagnadrifnu eftirliti vinnur netöryggissvið að því að efla viðnámsþol íslensks samfélags gagnvart sífellt flóknari netógnum. En virkar og vandaðar öryggisráðstafanir lágmarka þá áhættu sem steðjar stöðugt að öryggi net- og upplýsingakerfa. Í flóknu pólitísku alþjóðaumhverfi nútímans og með vaxandi netógnum verður fyrirbyggjandi netöryggi síst ofmetið. Formföst og virk umgjörð og stjórnun netöryggis leika ekki einungis lykilhlutverk við að tryggja virkni þjónustu og vernda upplýsingar fyrirtækja, heldur er það fyrsta varnarlínan til að gæta þjóðarhagsmuna, tryggja efnahagslegan- og samfélagslegan stöðugleika og vernda borgaranna.

Sviðið fer einnig með eftirlit með rafrænum auðkenningum, rafrænum undirritunum og öðrum traustþjónustum. Þegar fram líða stundir mun það einnig sinna eftirliti tengdu stafræna auðkennisveskinu (EU Identity Wallet). Þetta er ekki síður mikilvægt verkefni þegar kemur að öryggi þeirrar stafrænu þróunar sem nú á sér stað hér á landi.

Til viðbótar þá hýsir netöryggissvið Fjarskiptastofu Eyvöru – hæfnissetur Íslands í netöryggi. Eyvör er öflugur vettvangur fyrir fræðslu, þjálfun og samstarf sem miðar að því að efla færni, sérfræðiþekkingu og getu á sviði netöryggis.

Tímamótalöggjöf Evrópusambandsins

Í þessu tilliti er jafnframt nauðsynlegt að nefna nýja netöryggistilskipun Evrópusambandsins – almennt kölluð NIS2-tilskipun. Hún markar tímamót í netöryggismálum á Evrópska efnahagssvæðinu og mun hafa veruleg áhrif á hvernig aðildarríki skipuleggja og framfylgja netöryggi. Tilskipunin setur ríkari kröfur bæði á aðildarríkin sjálf sem og mikilvæga innviði um formlega stjórnun netöryggis, áhættumiðaða nálgun og upplýsingaskyldu um alvarleg atvik. Þá krefst hún samræmdra aðgerða innan ríkja og styrkrar samvinnu milli netöryggisstofnana á vettvangi ESB. Með NIS2 eykst einnig ábyrgð stjórnenda og skýrari krafa er gerð um að lönd hafi virka yfirsýn, framkvæmd og eftirfylgni með stöðu netöryggis í samfélagslega mikilvægu kerfum. Netöryggissvið Fjarskiptastofu hefur gegnt lykilhlutverki við undirbúning og innleiðingu NIS2 hér á landi.

Mikilvægi samþættingar upplýsinga fyrir netöryggi Íslands

Í krafti samhæfingarhlutverks síns leiðir netöryggissvið Fjarskiptastofu einnig uppbyggingu og framkvæmd aðferðafræði eftirlits hjá öðrum eftirlitsstofnunum. Þannig vinnur sviðið með Samgöngustofu, Umhverfis- og orkustofnun, Embætti landlæknis og Seðlabanka Íslands á þessu sviði. Saman eiga framangreind stjórnvöld að ná heildarmynd af netöryggisgetu samfélagsins. Með samræmdri nálgun og virku samstarfi tryggir sviðið að netöryggiskröfur séu útfærðar með samræmdum hætti milli greina. Í dag stendur netöryggissviðið t.a.m. að framkvæmd samhæfðs sjálfsmats allra aðila sem falla undir netöryggislögin. Markmiðið er að fá heildstæða mynd af stöðu netöryggis mikilvægra innviða í samfélaginu og styðja við forgangsröðun í úrbótum þar sem veikleikar kunna að finnast.

Til að tryggja netöryggi íslenskra samfélags- og efnahagslegra mikilvægra innviða þarf að byggja á heildstæðri mynd af netöryggisstöðu þeirra. CERT-IS gegnir auðvitað mikilvægu hlutverki með því að m.a. veita stjórnvöldum stöðugt uppfærðar upplýsingar um stöðumynd ógna á hverjum tíma, sem er liður í áhættumiðaðri stjórnun og eftirliti netöryggis. Með slíkum upplýsingum, auk upplýsinga sem stjórnvöld búa yfir um stöðu aðilanna sjálfra, sem byggja á niðurstöðum sjálfsmata, úttekta, prófana og áhættugreininga stjórnvalda, er hægt að meta stöðu netöryggis hér á landi á nokkuð heildstæðan hátt.

Með áhættumiðuðu eftirliti og samhæfingu og samvinnu annarra eftirlitsstjórnvalda er lagður grundvöllur fyrir því að viðeigandi aðgerðir séu settar í gang þar sem veikleikar eða brotalamir koma í ljós. Þannig er stöðugt unnið að því að efla varnir og undirbúa kerfi mikilvægra innviða fyrir þær ógnir sem geta stafað af netárásum eða öðrum netógnunum.

Netöryggisstjórnun hérlendis á því að byggja á sterkri samvinnu milli þeirra sem greina og birta ógnarmyndina og þeirra sem framkvæma eftirlit og setja fram kröfur og ráðstafanir gagnvart rekstraraðilum. Enda er slík ógnarmynd og upplýsingar um aðferðafræði árásaðila lykilatriði í því að verjast þeim. Þá er mikilvægt að efla og virkja samstarf við aðra aðila líkt og Ríkislögreglustjóra og önnur lögregluyfirvöld sem fara með greiningar á öryggi ríkisins, viðbrögð í almannavarnarástandi og rannsókn mála, að ógleymdum mikilvægu innviðunum sjálfum. Þessi samtenging er lífsnauðsynleg til að viðhalda varnargetu og viðnámi íslenskra innviða gagnvart sífellt flóknari og öflugri netógnum.

Varnir Íslands liggja í traustum og virkum netvörnum mikilvægra innviða, þar sem netöryggisstjórnun og áhættustýring eru lykilþættir til að tryggja samfellu og öryggi samfélagsins alls. Með fyrirbyggjandi aðgerðum, reglubundnu áhættumiðuðu eftirliti, samvinnu og samtengdu viðbragði við ógnarmyndum er tryggt með sem bestum hætti að við stöndumst þær áskoranir sem stafræn samfélög standa frammi fyrir – nú og til framtíðar.

Höfundur er sviðsstjóri netöryggissviðs Fjarskiptastofu.