Stefnumótun um

NET- OG UPPLÝSINGAÖRYGGI

Umræðuskjal - Drög

Innanríkisráðuneyti

Maí 2014

Innanríkisráðuneyti

Efnisyfirlit Efnisyfirlit ............................................................................................................................. 1 Inngangur ............................................................................................................................ 2 Lagaumhverfi, alþjóðlegar kröfur og áherslur grannríkja .................................................... 3 Verkefni hérlendis ................................................................................................................ 4 Sýn og meginmarkmið – almenn atriði ................................................................................ 6

Viðmið stefnumótunarvinnu samkvæmt ENISA .............................................................. 6 Skilgreining gilda og meginmarkmiða hjá grannríkjum .................................................... 6

Skipulag stefnumótunarvinnu og þróun aðgerðaáætlana ................................................... 7 Tímaáætlun ...................................................................................................................... 7 Samráð við hagsmunaaðila ............................................................................................. 8 Með öryggi til sóknar ........................................................................................................ 9

Viðaukar ..................................................................................................................... 11 A: Þróun tölvutækninnar – tækifæri og ógnir .................................................................... 12 B: Staða þekkingar á net og upplýsingaöryggi hérlendis .................................................. 15 C: Net- og upplýsingaöryggi ómissandi innviða samfélagsins .......................................... 16 D: Alþjóðlegt stöðumat, ógnir og tækifæri ......................................................................... 19 E: Lög, reglur, staðlar og varnir gegn netógnum ............................................................... 21 F: CERT-ÍS: Netöryggissveit á landsvísu .......................................................................... 28 G: Almennt alþjóðlegt samstarf ......................................................................................... 30 H: Reynsla Eistlendinga af uppbyggingu net- og upplýsingaöryggis ................................ 31 I: Vitundarvakning, menntun og rannsóknir....................................................................... 34 J: Leiðbeiningar, stefnur ríkja og áhættugreining .............................................................. 37 K: Hugtök ........................................................................................................................... 40

1

Innanríkisráðuneyti

Inngangur

Í júní 2013 var starfshópur um stefnumótun í net- og upplýsingaöryggi settur á fót á vegum innanríkisráðuneytisins. Aðalverkefni hópsins er að móta stefnu stjórnvalda í þessum málaflokki og vernd upplýsingainnviða sem varða þjóðaröryggi.

Samfélagsleg markmið verksins eru sem hér segir:

• Að auka öryggi einstaklinga og þjóðfélagshópa með því að efla net- og upplýsingaöryggi.

• Að stuðla að órofa virkni mikilvægra samfélagsinnviða á þessu sviði með því að auka þol net- og upplýsingakerfa gagnvart áföllum.

• Að efla samstarf og samhæfingu á milli stjórnvalda hér á landi og á alþjóðavettvangi um net- og upplýsingaöryggi.

Um markmið verkefnisins segir enn fremur:

Koma á skilvirku samstarfi stjórnvalda hér á landi og á alþjóðavettvangi og skýra ábyrgðarsvið og verkaskiptingu á sviði net- og upplýsingaöryggis. Útfæra stefnu og aðgerðaáætlun um eflingu net- og upplýsingaöryggis, m.a. byggða á fyrirliggjandi drögum að stefnu stjórnvalda í almannavarna- og öryggismálum ríkisins, fjarskiptaáætlun, stefnu og framkvæmdaáætlun upplýsingasamfélagsins, fjarskiptalögum og reglugerð um netöryggissveit. Auk þess verður tekið mið af stefnum grannríkja á þessu sviði og þeirra alþjóðastofnana sem Ísland er aðili að. Stuðla skal að vitundarvakningu almennings og tilgreindra aðila um net- og upplýsingaöryggi. Meta skal árangur í lok tímabils og gera tillögu um endurskoðaða áætlun.

Í starfshópnum eru: Sigurður Emil Pálsson sérfræðingur í innanríkisráðuneytinu, sem jafnframt er formaður, Guðbjörg Sigurðardóttir skrifstofustjóri upplýsingasamfélagsins, innanríkisráðuneytinu, Páll Heiðar Halldórsson og Ottó V. Winther sérfræðingar í innanríkisráðuneytinu, Jón F. Bjartmarz yfirlögregluþjónn og Ágúst Finnsson (frá janúar 2014) sérfræðingur frá embætti ríkislögreglustjóra, Hrafnkell V. Gíslason forstjóri Póst- og fjarskiptastofnunar, Stefán S. Stefánsson hópstjóri CERT-ÍS, Póst- og fjarskiptastofnun og Jónas Haraldsson sérfræðingur í utanríkisráðuneytinu.

Starfshópurinn hefur haldið tíu fundi. Í störfum hans hingað til hefur verið lögð áhersla á að rýna almennan grunn og ráðleggingar sem stefnumótun á þessu sviði hefur verið byggð á, stefnur nokkurra grannþjóða hafa verið teknar til greiningar og rætt hefur verið við innlenda sem erlenda aðila, ráðgefandi sérfræðinga og opinbera fulltrúa um ýmsa þætti upplýsingaöryggis, ógnir og tækifæri og þá reynslu sem hefur fengist af þeim aðgerðaáætlunum sem hrint hefur verið í framkvæmd í grannríkjum.

Nú er hins vegar komið að stefnumótun og gerð aðgerðaáætlana. Mikilvægt er að unnið verði að því verkefni í nánu samráði við hagsmunaaðila, bæði hjá hinu opinbera og á einkamarkaði. Þessari skýrslu er ætlað að vera umræðuskjal með lýsingu á því verkefni sem þarf að vinna, þeim alþjóðlega grunni sem slík stefnumótunarvinna hvílir á og lýsingu á þeim leiðum sem grannþjóðir okkar hafa farið. Að auki fylgja skýrslunni viðaukar með samantektum sem hópurinn hefur unnið til undirbúnings áframhaldandi starfi. Í þeim er að finna tilvísanir í margt af því efni sem vinnan hefur byggst á.

2

Innanríkisráðuneyti

Lagaumhverfi, alþjóðlegar kröfur og áherslur grannríkja

Notkun net- og upplýsingatækni stendur nú á tímamótum. Tækifærin á þessu sviði hafa farið ört vaxandi, ekki síst vegna þess að tölvutæknin er orðin stór þáttur af nær öllu umhverfi okkar og tölvur, stórar sem smáar verða æ tengdari. Þetta býður upp á umfangsmeiri gagnasöfnun, greiningu og nýtingu upplýsinga en nokkru sinni hefur þekkst. Upplýsingatæknin er grunnur viðskiptalífs og einnig æ mikilvægari markaðsvara í sjálfri sér. Það er ekki nóg með að efnahagslegur og félagslegur ávinningur af tölvutækninni geti verið gríðarlegur - grannþjóðir okkar skilgreina hana sem ómissandi grundvöll framfara og hagvaxtar. Net- og upplýsingaöryggi felur því meðal annars í sér að efla traust viðskiptaumhverfi með baráttu gegn netógnum, að styrkja áfallaþol upplýsingakerfa sem oftar en ekki geta ráðið úrslitum um ótruflað gangverk lykilinnviða þjóðfélagsins, að efla Netið sem frjálsan upplýsingamiðil og auka þekkingu og hæfni á sviði net- og upplýsingaöryggis.

Til þess að net- og upplýsingatæknin geti skilað okkur ofangreindum ávinningi verður notkun hennar að byggjast á trausti. Ýmislegt í þróun síðustu ára getur vegið að þessu trausti, þ.á m. stóraukin söfnun tengjanlegra upplýsinga, netógnir og þróun tækni til að valda skaða. Íslendingar hafa fengið að kenna á vaxandi ógnum sem steðja að net- og upplýsingatækninni. Skipulögð glæpasamtök eru farin að herja á Netið í vaxandi mæli. Þar er um að ræða vel menntaða og upplýsta glæpamenn sem sem hafa mikla getu til að greina veikleika tölvu- og netkerfa og bjóða öflug tól og þjónustu til sölu í því skyni. Mörg innbrot hafa náð athygli fjölmiðla vegna þess að gerandinn hefur auglýst verknaðinn en ætla má að ótilkynnt innbrot séu mun fleiri. Þá láta ýmsar varasamar ógnir lítið yfir sér. Má þar m.a. nefna stuld á upplýsingum (t.d. iðnarleyndarmálum) og ógnir gegn upplýsingakerfum ómissandi innviða í samfélaginu.. Tungumálið og fjarlægð var okkur áður viss vörn gegn mörgum ógnum, svo er ekki lengur.

Mannkynið hefur jafnan þurft að glíma við ýmsar afleiðingar sem fylgja tækninýjungum, hámarka gagnsemi, takmarka áhættu og skaðvænleg áhrif. Sé rétt að takmörkun áhættu og skaða staðið dregur það ekki úr nýtingu eða afrakstri tækninnar - þvert á móti eru slíkar aðgerðir forsenda framfara. Grannþjóðir okkar hafa mótað stefnu og aðgerðaáætlanir til að efla net- og upplýsingaöryggi og að hinu sama er nú unnið hérlendis. Með aukinni innlendri og alþjóðlegri samvinnu má bæta árangurinn í baráttunni gegn netógnum.

Laga- og skipulagsumhverfi hérlendis

Í fjarskiptalögum nr.81/2003 er sérstakt ákvæði, gr. 47. a , sem fjallar um öryggis- og viðbragðshóp til verndar ómissandi upplýsingainnviðum. Með stoð í því og öðrum ákvæðum var gefin út reglugerð nr. 475/2013 um málefni CERT-ÍS netöryggissveitar. Reglugerðin tók gildi 1. júní 2013. CERT-ÍS hafði reyndar hafið starfsemi áður, eða um áramót 2010-2011. Sveitin hefur frá stofnun haft aðsetur hjá Póst- og fjarskiptastofnun en 31. mars 2014 var lagt fram á Alþingi frumvarp um að sveitin skuli færð undir almannavarnadeild ríkislögreglustjóra. Póst- og fjarskiptastofnun hefur sett röð af reglum með stoð í fjarskiptalögum, þ.e. reglur nr. 1221,1222 og 1223/2007, um vernd upplýsinga í almennum fjarskiptanetum, um virkni almennra fjarskiptaneta og um vernd, virkni og gæði IP fjarskiptaþjónustu. Um öryggi persónuupplýsinga gilda ákvæði 11.-13. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga og reglur nr. 299/2001 um öryggi persónuupplýsinga. Ísland hefur jafnframt fullgilt samning Evrópuráðsins um tölvubrot (Convention on Cybercrime) frá 23. nóvember 2001 (Búdapest samninginn).

3

Innanríkisráðuneyti

Alþjóðlegar kröfur og viðmið

Alþjóðlegar kröfur um vernd persónuupplýsinga og rekjanlegt gagnaöryggi eru sífellt að verða strangari. Sumt af þessu hefur beint gildi í íslensku lagaumhverfi og má þar nefna reglugerðir Evrópusambandsins. Þessar kröfur geta falið í sér sóknarfæri því eftirspurn eftir lausnum þar sem unnt er að sýna fram á örugga meðhöndlun gagna mun að öllum líkindum aukast. Það getur jafnframt þurft að sýna fram á hvernig tryggt er að gögnin haldist alltaf í tilgreindri lögsögu (t.d. innan evrópskrar lögsögu) og orðið dýrkeypt ef kröfur og væntingar eru ekki uppfylltar. Að auki má nefna að öruggt net- og upplýsingaumhverfi er ein meginundirstaða þess að bjóða upp á öflugt umhverfi til viðskipta- og tækniþróunar.

Áherslur grannþjóða

Meðal þess sem grannþjóðir okkar hafa tilgreint í stefnum sínum að takast þurfi á við til að efla framfarir eru eftirfarandi atriði:

• Vitund og öryggismenning varðandi tölvu- og netnotkun (svipað og að byggja upp ábyrga umferðarmenningu með öryggi að leiðarljósi).

• Þekking og hæfni sérfræðinga, stjórnenda og almennra notenda á sviði net- og upplýsingaöryggis.

• Vernd upplýsinga, ekki síst persónuupplýsinga Einstaklingar, fyrirtæki og hið opinbera þurfa að vera á varðbergi gagnvart óheimilli söfnun og nýtingu upplýsinga.

• Vernd net- og upplýsingaöryggis ómissandi innviða þjóðfélagsins (þetta er sá þáttur í varnarstefnu margra þjóða sem hefur verið í örustum vexti. Eftir því sem innviðir þjóðfélaga auka notkun upplýsingatækni og verða háðari henni, þeim mun viðkæmari verða þeir gagnvart árásum. Embætti ríkislögreglustjóra sér um almannavarnir hér á landi og hefur lögum samkvæmt það hlutverk að skilgreina ómissandi innviði samfélagsins.

• Getu til að verja tölvukerfi, að greina tilraunir til árása og geta brugðist við þeim (upplýsingar um veikleika tölvu- og netkerfa eru vel þekktar og nýjar upplýsingar dreifast fljótt og til eru mörg árásartól sem nýta þær).

• Getu til að takast á við tölvubrot (hér er átt við glæpi tengda tölvum, hvort sem þeir snúa að tölvu- og netbúnaði sem slíkum eða að tölvum er beitt til annarra glæpa. Skipulögð glæpastarfsemi á þessu sviði er í örum vexti).

• Að grunngildi samfélagsins séu einnig höfð að leiðarljósi í netheimum (t.d. persónufrelsi, frelsi til að afla sér upplýsinga, gagnkvæm virðing og umburðarlyndi).

Verkefni hérlendis

Stefnumótun með víðtækri samvinnu

Efling net- og upplýsingaöryggis er verkefni sem enginn einn aðili í þjóðfélaginu getur tekið að sér. Til að ná sem mestum árangri verður að nálgast verkefnið á heildstæðan hátt og með samstilltu átaki sem flestra sem nýta net- og upplýsingatækni og vísast þar jafnt til opinberra aðila og einkaaðila. Mikilvægt er að hefjast handa strax, skapa sameiginlegan vettvang til framþróunar og til að endurskoða áætlanir eftir því sem verki miðar og sýn skýrist.

4

Innanríkisráðuneyti

Ábati af samvinnu mismunandi aðila á grunni stefnu

Í stefnum ýmissa landa hefur verið reynt að sýna með einföldum hætti hvernig mismunandi aðilar í þjóðfélaginu þurfi að vinna saman og hvernig afrakstur þess samstarfs getur orðið. Í nýlegri endurskoðaðri hollenskri stefnu1 er svipuð mynd og hér er birt til skýringar en hún sýnir samverkan mismunandi aðila (einstaklinga, fyrirtækja og stjórnvalda) í stefnumótun og afrakstur hennar (öryggi, frelsi og félags- og efnahagslegur ábati).

Ábati af samvinnu mismunandi aðila, byggður á sameiginlegri stefnu.

1 https://www.ncsc.nl/english/organisation/about-the-ncsc/background.html

Frelsi

Stefna gegnsæi þekking

eigin stýring

Öryggi

Félags- og efnahagslegur ábati

Stjórnvöld

Einstaklingar Fyrirtæki

Frelsi

Stefna gegnsæi þekking

eigin stýring

Öryggi

Félags- og efnahagslegur ábati

Stjórnvöld

Einstaklingar Fyrirtæki

5

Innanríkisráðuneyti

Sýn og meginmarkmið – almenn atriði

Viðmið stefnumótunarvinnu samkvæmt ENISA

Í verkefnaáætlun starfshópsins er kveðið á um að tekið skuli mið af þeim ráðum sem stofnunin European Network and Information Security Agency (ENISA) leggur til í riti sínu, National Cyber Security Strategies: Practical Guide on Development and Execution2 (19.12.2012), að lögð skuli til grundvallar við stefnumótun.

Þar segir að við stefnumótun skuli hafa í huga eftirfarandi þætti:

1. Sýn, umfang, markmið og forgang (vision, scope, objectives and priorities) 2. Áhættumat (national risk assessment) 3. Gildandi stefnur, reglur og lagagrunn (existing policies, regulations and

capabilities) 4. Stjórnskipan (clear governance structure) 5. Hagsmunaaðila (identification and engagement of stakeholders) 6. Upplýsingaskipti byggða á trausti (trusted information sharing mechanisms) 7. Viðbúnaðaráætlanir (national cyber contingency plans) 8. Æfingar (cyber security exercises) 9. Lágmarks öryggiskröfur (establish baseline security requirements) 10. Skipulag tilkynninga (incident reporting mechanisms) 11. Vitundarvaking notenda (user awareness) 12. Styrkja rannsóknir og þróun (foster R&D) 13. Efla menntun og þjálfun (strengthen training and educational programmes) 14. Auka getu til að takast á við atvik (establish an incident response capability) 15. Efla getu til að takast á við tölvubrot (address cyber crime) 16. Taka þátt í alþjóðlegri samvinnu (engage in international cooperation) 17. Efla samvinnu opinberra aðila og einkaaðila (establish a public-private

partnership) 18. Leita jafnvægis á milli rannsóknarhagsmuna og persónuverndar (balance security

with privacy)

Skilgreining gilda og meginmarkmiða hjá grannríkjum

Tilvísun í almannavarna- og öryggismálastefnu

Flest grannríki telja net- og upplýsingaöryggi svo mikilvægt að um það eigi að fjalla í almennri almannavarna- og öryggismálastefnu ríkja.

Gildi

Dæmi um gildi við stefnumótun sem hafa verið áberandi hjá grannríkjum:

• Áhersla á grunngildi samfélagsins, friðhelgi einkalífsins (persónuvernd), virðingu og umburðarlyndi, tjáningarfrelsi og frelsi til að afla sér upplýsinga

• Stuðla að efnahagsvexti, þjóðfélagsauði og nýsköpun • Altæk nálgun, ekki einungis tæknileg • Áhættumiðuð nálgun (fullkomið öryggi ekki til frekar en í umferðinni, samvinna

allra til að draga úr áhættu)

2 http://www.enisa.europa.eu/activities/Resilience-and-CIIP/national-cyber-security-strategies-ncsss/national-cyber-security-strategies-an-implementation-guide 6

Innanríkisráðuneyti

• Aðgerðir í samræmi við þörf3 (og ekki umfram það), afskipti ríkisins í þeim mæli sem þörf krefur

• Skýr skipting á ábyrgð (á milli einstakra notenda, fyrirtækja og hins opinbera, og á milli aðila innan hvers geira)

• Samvinna (innlend sem erlend, á milli einkaaðila og opinberra) og uppbygging á trausti. Leita sameiginlegra lausna sem tryggja ávinning fyrir alla.

Meginmarkmið og áherslur • Tryggja öryggi ómissandi innviða þjóðfélagsins (jafnt þeirra sem eru í umsjá

ríkisins sem annarra) • Tryggja samhæfingu, t.d. með sérstöku netöryggisráði • Tryggja markviss viðbrögð, t.d. með CERT- netöryggissveitum auk getu til

forvarna, greiningar og viðtækra viðbragða ef þörf krefur • Samvinna (innlend sem erlend, einnig á milli einkaaðila og hins opinbera, með

skilgreindri verkaskiptingu á milli aðila) • Efla löggjöf til að tryggja að stefna sé framkvæmanleg (innlend, samræmi við

alþjóðalög og samninga) • Skýra hlutverk, ábyrgð og skyldur almennra fyrirtækja, stofnana og almennings

varðandi net- og upplýsingaöryggi • Barátta gegn glæpum, innanlands og alþjóðleg samvinna á grunni Búdapest-

samningsins • Tæknilegar lausnir til verndar (auka áreiðanleika og áfallaþol, veita almenningi

traust skilríki til notkunar á Netinu, nýting staðla) • Greina tækifæri til nýsköpunar og útflutnings er felast í net- og upplýsingaöryggi • Vitundarvakning og uppbygging á hæfni við eflingu víðtækrar öryggismenningar,

þjálfun og loks að nýta rannsóknir til að auka þekkingu. Efla traust á notkun Netsins og þeirri þjónustu sem þar er veitt

• Efla netnotkun til nýsköpunar og aukinnar atvinnustarfsemi

Auk þeirra þátta sem taldir eru upp hér að framan leggja sum ríki, t.d. Bretland, áherslu á markaðstækifærin sem felast í öryggi: Að bjóða upp að öruggara umhverfi til rafrænna viðskipta en aðrir og draga þannig að sér viðskipti og einnig að verða í fararbroddi í net- og upplýsingaöryggi og gera það að verðmætri útflutningsvöru. Varnir gegn iðnaðarnjósnum eru einnig mjög mikilvægur þáttur, enda er stór hluti efnahagsskaða af völdum netógna.

Skipulag stefnumótunarvinnu og þróun aðgerðaáætlana

Tímaáætlun

Í byrjun verður áhersla lögð á samráð og fundi með ýmsum aðilum sem þurfa að koma að stefnumótunarvinnunni eins og nánar er tilgreint hér á eftir. Síðan verða drög að stefnu og aðgerðaáætlun unnin og send hagsmunaaðilum til umsagnar og að því loknu leitað samráðs á vef innanríkisráðuneytis. Stefna fyrir árin 2014–2025 og aðgerðaáætlun fyrir árin 2014–2017 verða tilbúnar fyrir lok júní 2014.

3Notað sem þýðing á „Proportionate measures“ 7

Innanríkisráðuneyti

Samráð við hagsmunaaðila

Þá er áætlað að hafa almennan fund með helstu hagsmunaaðilum þar sem vinna við stefnumótun verður kynnt. Þessum fundi verður síðar fylgt eftir gagnvart einstökum hópum og farið yfir hættur og tækifæri sem snúa að hverjum hópi, til hvaða aðgerða sé æskilegt og raunhæft að grípa og hvert geti verið hlutverk hvers og eins, einstakra fyrirtækja, hópa þeirra og ríkisins og stofnana þess. Meðal þess sem vert er að huga að í þessari vinnu er:

• Hvar liggja eðlileg mörk við söfnun upplýsinga hjá fyrirtækjum og opinberum aðilum og að hversu miklu leyti má stýra þeim mörkum með upplýstu samþykki?

• Hvert á hlutverk opinberra aðila að vera í þjónustu og eftirliti varðandi net- og upplýsingaöryggi?

• Hvernig er unnt að stuðla að því að upplýsingar um neytendur og þjónustu séu vel varðveittar og ekki miðlað til annarra án þess að fyrir liggi upplýst samþykki viðkomandi?

• Hvernig er skilvirkast að byggja upp almenna vitundarvakningu á sviði net- og upplýsingaöryggis?

• Hvernig er best að byggja upp viðeigandi hæfni og þekkingu hjá sérfræðingum jafnt sem stjórnendum og almennum notendum?

• Hvernig er unnt að tryggja viðeigandi menntun í skólakerfinu, allt frá byrjun grunnskóla?

• Hvernig má efla og auka framboð á þjónustu á þessu sviði, ekki einungis fyrir stóra viðskiptavini heldur einnig smáa (lítil fyrirtæki og einstaklinga)?

• Hvernig samráðsvettvang og samvinnu er æskilegt og raunhæft að byggja upp? • Hvaða viðbúnaðarskipulag þarf að vera fyrir hendi til að geta mætt áföllum,

sérstaklega þegar áhrifin berast út fyrir þann aðila sem verður fyrir árás eða atviki?

• Hvernig er unnt að efla viðeigandi viðbrögð vegna skaðlegra netógna. Má þar m.a. nefna íslenskar vefsíður sem búið er að sýkja og sem dreifa óværu eða ótrygga uppsetningu netþjóna sem getur valdið öðrum tjóni? Upplýsingar um slík atriði geta verið viðkvæmar og það geta verið lagalegar og samningslegar hindranir í dreifingu þeirra þótt öllum sé í hag að brugðist sé við slíku ástandi.

• Hvernig er best að stuðla að samræmdri notkun hugtaka þar sem það er raunhæft?

• Hvaða raunhæfar aðgerðir eru líklegar til að skila okkur mestum árangri miðað við aðstæður á næstu þremur árum?

Þetta eru dæmi um atriði sem vert er að ígrunda. Eftir að hafa hugað að hvað skuli gera þarf að skoða hvernig það skuli gert, ekki síst að hlutverkaskiptingu og ábyrgð, hvað ríkið skuli hafa forystu um og hvað aðrir aðilar skuli leggja af mörkum. Meðal þessa er að gaumgæfa vel lagaramma net- og upplýsingaöryggis; einnig starfsemi, rekstur og fjármögnun netöryggissveitarinnar (CERT-ÍS) og hugsanlega stofnun net- og upplýsingaöryggissráðs og hvert skuli þá vera verksvið þess?

Spurningar til hagsmunaaðila til undirbúnings samráðs

Þessu skjali er ætlað að styrkja umræðugrundvöll við hagsmunaaðila í stefnumótun um net- og upplýsingaöryggi. Skjal af þessu tagi getur aldrei tekið til allra mögulegra þátta - umfangið yrði einfaldlega allt of mikið. Áður en kemur til samráðs er á hinn bóginn mikilvægt að hagsmunaaðilar greini sjálfir hvort nauðsynlega þætti vegna umræðu kunni að vanta. Eftirfarandi spurningar voru teknar saman til að styðja þá greiningu.

8

Innanríkisráðuneyti

Staðan hérlendis • Telur þú að það fyrirkomulag sem er við lýði hérlendis varðandi útfærslu

netöryggismála dugi til að ná tökum á viðbrögðum við netvá? Ef ekki; hvaða tilögur til úrbóta vilt þú koma á framfæri?

Áherslur grannþjóða • Telur þú að áherslur Íslendinga ættu að vera svipaðar og grannþjóða okkar? • Eru þetta þau atriði sem þú telur að íslensk stjórnvöld ættu að leggja áherslu á? • Eru einhverjar sérstakar aðstæður á hér á landi sem kalla á aðra stefnu eða

nálgun? Samráð við hagsmunaaðila

• Hvaða tillögur til úrbóta vilt þú koma á framfæri til viðbótar þeim sem hér hafa verið nefndar?

Um gildi, meginmarkmið og áherslur • Hver þeirra gilda sem nefnd eru í þessu skjali telur þú eigi við hérlendis eða finnst

þér önnur mikilvægari? • Hver þeirra meginmarkmiða og áhersla sem nefnd eru í þessu skjali telur þú að

eigi við hérlendis eða finnst þér önnur mikilvægari? Viðaukar

• Í viðaukum við þetta skjal er lýst ýmsum atriðum sem ber að hafa í huga við stefnumótun. Telur þú að mikilvægt sé að taka tillit til einhverra þátta sem ekki eru nefndir þar og hverjir eru þá þeir þættir?

Með öryggi til sóknar

Flest ríki leggja aðaláherslu á vitundarvakningu, að byggja upp í sameiningu öryggismenningu svipað því þegar umferðarmenning er byggð upp. Með tiltölulega einföldum ráðum megi draga verulega úr áhættu. Verkkaupar jafnt sem hönnuðir hugbúnaðar þurfa að átta sig á þeim verðmætum og sóknarfærum sem felast í öruggri hönnun fremur en að öryggi sé bætt við eftir á. Sama gildir um vernd persónu-upplýsinga. Þessu má líkja við hönnun bygginga, sé burðargrind tengd húsi eftir á verður það aldrei burðugt, sé burðarvirki hluti grunnhönnunar má hanna skýjakljúfa. Í erlendum stefnum er æ algengara að sjá áherslu á „security by design“ og „privacy by design“. Þetta þurfa einnig að verða grunngildi í íslenskri hönnun.

Með einfaldri vitundarvakningu má einnig ná miklum árangri. Talið er að draga megi verulega úr ógn bæði gagnvart einstaklingum og fyrirtækjum með tiltölulega einföldum varúðaraðgerðum. Til mikils er að vinna í baráttu gegn tölvubrotum (glæpum tengdum tölvum). Reynt hefur verið að meta tjón af þeirra völdum í Bretlandi4 og er talið að það hlaupi á hverju ári á að minnsta kosti milljörðum punda. Sé gert ráð fyrir að kostnaður á íbúa sé sá sami á Íslandi og Bretlandi, þá ætti samsvarandi upphæð fyrir Ísland að hlaupa á að minnsta kosti milljörðum króna. Hér er eingöngu talinn sá kostnaður sem fylgir glæpum, ekki netógnum almennt. Þótt margir óvissuþættir geti verið í slíku mati, þá

4 Í skýrslu sem var gefin út 2011 var þessi kostnaður metinn 27 milljarðar punda á ári. Stutt samantekt skýrslunnar: https://www.gov.uk/government/uploads/system/uploads/attachment_data/file/60942/THE-COST-OF-CYBER-CRIME-SUMMARY-FINAL.pdf Heildartexti: https://www.gov.uk/government/uploads/system/uploads/attachment_data/file/60943/the-cost-of-cyber-crime-full-report.pdf Fleiri greinargerðir hafa verið gerðar og í þeim er matið almennt lægra. Bresk stjórnvöld gáfu út ítarlega skýrslu þann 7. október 2013: „Cyber crime: a review of the evidence“. Þar er komist að þeirri niðurstöðu að nákvæmt mat sé að öllum líkindum illmögulegt, en þó sé raunhæft að áætla að kostnaður vegna tölvubrota hlaupi að minnsta kosti á milljörðum punda á ári (e. „ .. the cost of cyber crime could reasonably be assessed to equate to at least several billion pounds per year“). https://www.gov.uk/government/publications/cyber-crime-a-review-of-the-evidence 9

Innanríkisráðuneyti

er hér um verulegar fjárhæðir að ræða og með aukinni glæpastarfsemi á þessu sviði mun þessi kostnaður halda áfram að vaxa.

Á undanförnu ári hefur ýmislegt áunnist um aukið net- og upplýsingaöryggi. CERT-netöryggissveit á landsvísu tók til starfa sumarið 2013 og aukin umfjöllun um ýmsar netógnir hefur aukið umræðu og vitund í samfélaginu. Með samvinnu um stefnu og aðgerðir, með öryggi að leiðarljósi, getur það ekki aðeins stuðlað að betra netumhverfi, heldur einnig orðið dýrmæt framleiðsluvara, jafnt innanlands sem utan.

Viðaukar

Starfshópurinn hefur undirbúið stefnumótunarvinnuna með því að kynna sér og taka saman upplýsingar um alþjóðleg viðmið stefnumótunar á þessu sviði og aðgerðir og reynslu grannþjóða. Af miklu efni er að taka, jafnvel þótt einungis sé skoðað það sem hefur verið gefið út á undanförnu ári. Nánari lýsingu má fá í viðaukum þessarar skýrslu, sem eru aðgengilegir sem sér tengd skjöl á vef innanríkisráðuneytisins:

A: Þróun tölvutækninnar – tækifæri og ógnir B: Staða þekkingar á net og upplýsingaöryggi hérlendis C: Net- og upplýsingaöryggi ómissandi innviða samfélagsins D: Alþjóðlegt stöðumat, ógnir og tækifæri E: Lög, reglur, staðlar og varnir gegn netógnum F: CERT-ÍS: Netöryggissveit á landsvísu G: Almennt alþjóðlegt samstarf H: Reynsla Eistlendinga af uppbyggingu net- og upplýsingaöryggis I: Vitundarvakning, menntun og rannsóknir J: Leiðbeiningar, stefnur ríkja og áhættugreining K: Hugtök

Sjá einnig efnisyfirlit fremst. Umfjölluninni í tilvísuðum skjölum er ekki ætlað að vera tæmandi, henni er einungis ætlað að veita ákveðinn grunn á viðkomandi sviði.

10

Innanríkisráðuneyti

Viðaukar

11

Innanríkisráðuneyti

A: Þróun tölvutækninnar – tækifæri og ógnir

Tækifæri

Nýting tölvutækni hefur aukist jafnt og þétt á öllum sviðum samfélagsins, það er varla nokkurt svið þar sem hennar gætir ekki. Jafnframt þessu eru tölvurnar að verða æ tengdari, til dæmis í gegnum Netið. Líf okkar mótast æ meir af flæði, geymslu og vinnslu stafrænna upplýsinga allt í kringum okkur. Nýting tölvu- og nettækni opnar einnig mörg ný tækifæri til atvinnu, verðmætasköpunar og breytinga í lifnaðarháttum, nútímaþjóðfélög gætu ekki þrifist án þessarar nýtingar. Þróun heldur áfram, aukin greining gríðargagna5 skapar möguleika að draga niðurstöður úr stærri og fjölþættari gagnasöfnum en áður var mögulegt, tækjanetið6 er einnig að ryðja sér til rúms, þar sem tölvur vinna saman á Netinu, safna og greina upplýsingar og bregðast síðan við án þess að mannshugurinn komi að.

Ógnir

Eins og aðrar tækninýjungar, þá býður Netið einnig upp á mörg tækifæri til misbeitingar, þar á meðal til glæpsamlegrar notkunar. Skipulögð glæpastarfsemi hefur í vaxandi mæli flutt sig frá hefðbundnum glæpum yfir í netheima. Tölvuþrjótar (hakkarar7) gerast æ bíræfnari og sumir segjast njóta stuðnings stjórnvalda, eins og t.d. sýrlenskur hópur8. Í janúar 2014 var skýrt frá því að 16 milljónum lykilorða og tilsvarandi upplýsingum hafi verið stolið í Þýskalandi. Þetta þýðir að fimmtungur þýsku þjóðarinnar hafi getað orðið fyrir barðinu á þessum glæp9. Árásin á Vodafone 30. nóvember 2013 er Íslendingum enn í fersku minni. Þetta eru þó aðeins þær árásir sem hafa ratað í fjölmiðla, ástæða er til að ætla að margar hafi ekki uppgötvast enn og aðrar hafi ekki verið tilkynntar opinberlega.

Þróun tækni til tölvubrota (þ.e. afbrota sem nýta eða beinast að tölvum) hefur einnig fleygt fram og auðvelt er að nálgast hana sem ókeypis eða keypta þjónustu, bæði á opnum markaði og lokuðum markaði skipulegra glæpasamtaka. Samskiptablekkingu10 er gjarnan beitt til að gabba fórnarlambið til að gefa upplýsingar um tölvukerfi og/eða aðgengi að þeim.

Á undanförnu ári hefur verið rætt mikið um upplýsingaöflun ýmissa opinberra aðila erlendis og hvar mörk njósna um persónulega hagi eigi að liggja. Þetta endurspeglar hins vegar aðeins brot af þeirri stafrænu slóð sem allir skilja eftir sig nú með notkun tölvutækninnar og ýmis fyrirtæki hafa verið að nýta sér í vaxandi mæli samkeyrslu upplýsinga til að greina viðskiptavini betur. Vakna þar með spurningar um hversu langt sé gengið að friðhelgi einkalífs. Í snjalltækjum nútímans eru ótal skynjarar sem hægt er að virkja (t.d. GPS), ljósmyndavél og hljóðnemi. Upplýsingar úr ýmsum snjalltækjum eru samkeyrðar, stundum án vitundar og samþykkis viðskiptavinar, í nóvember 2013 var t.d. sagt frá í fréttum11 að upp hafi komist að sjónvarpstæki ákveðinnar tegundar gat safnað upplýsingum um stöðvaval og áhorf. Fyrirtæki kann að telja sig vera að gera þetta viðskiptavini til hagsbóta, því þar með greiði hann óbeint með persónuupplýsingum sínum fyrir þjónustu sem hann þyrfti annars að greiða fyrir með fé. Mikilvægt er að tryggja að þetta sé ætíð upplýst val hjá viðskiptavininum. Það er einnig mikilvægt bæði í einkalífi og viðskiptum, að tryggt sé að ekki sér verið að hnýsast í innihald samskipta með ólögmætum hætti. Traust er lykilþáttur í nýtingu Netsins.

5 Hér notað sem þýðing á enska hugtakinu „big data“. 6 Hér notað sem þýðing á enska hugtakinu „the internet of things“ 7 Enska orðið hacker hafði upphaflega jákvæða merkingu, vísaði til einhvers sem hafði náð svo góðum tökum á búnaði, t.d. með breytingu vél- eða hugbúnaðar, að hann gat gert mun meira með honum en búnaðurinn var hannaður til að geta gert. Ör þróun misnotkunar hefur nú gefið þessu orði neikvæðan blæ, þótt ýmsir hakkarar byggi upp þekkingu á þessu sviði til að geta greint árásir og varist þeim (Kenneth Geers, 2011, Strategic Cyber Security, CCD COE) 8 Syrian Electronic Army braust inn á vef Microsoft í jan. 2014 : http://www.bbc.co.uk/news/technology-25825781 9 http://www.bbc.co.uk/news/technology-25825784 10 Hér notað sem þýðing á enska hugtakinu „social engineering“ þegar það er notað um tölvuöryggi. 11 http://www.bbc.co.uk/news/technology-25018225 12

Innanríkisráðuneyti

Netið er ekki einungis það sem er blasir við okkur dagsdaglega og viðgetum leitað upplýsinga á með leitarvélum. Stundum er sagt að það sé einungis toppurinn á ísjakanum, hulið sjónum er það sem kalla mætti dulnetið, (e. the hidden internet, the deepweb). Þessi hluti Netsins getur verið hulinn vegna þess einfaldlega að ekki sé vísað til viðkomandi efnis frá almennum hluta netsins, en einnig geta verið gerðar sérstakar ráðstafanir til að fela gögn og umferð um Netið, til dæmis með öflugri dulritun. Dulnetið er í vaxandi mæli að verða vettvangur skipulagðrar glæpastarfsemi, þar sem ólögmætur varningur og afbrot eru í boði, verkkaupi og verksali þurfa aldrei að hittast og greiða má fyrir þjónustuna með netmyntinni bitcoins. Hafa ber í huga að tæknin sem að framan er lýst var ekki þróuð í glæpsamlegum tilgangi og margir nota þessa tækni í fullkomlega eðlilegum tilgangi. Hér er einungis verið á benda á vaxandi misnotkun þessarar tækni.

Gildi öryggismenningar

Enda þótt upplýsingatæknibyltingin nú sé að mörgu leyti einstök, þá má margt sækja til sögu tæknibyltinga til að glíma við áskoranir hennar, ekki síst hvernig gera skuli notkun þessarar tækni sem öruggusta. Hér er mótun öryggismenningar lykilatriði. Í fræðigreinum hefur verið bent á að þessi tæknibylting hegði sér svipað og aðrar tæknibyltingar sem mannkynið hefur gengið í gegnum árþúsundum saman. Gamla heilræðið, að hafa ekki öll egg í sömu körfu, er hér í fullu gildi. Mikil samtenging gagna auðveldar einnig að spilla þeim. Í greinum um aðgerðir gegn netárásum er gjarnan vitnað til skrifa Sun Tzu um herkænskuna, sem þykir enn undirstöðurit hernaðar12. Við mótun aðgerða gegn netárásum er nú farið að beita varnarmenningu sem kalla má stigskipt vörn13 (defence-in-depth) og hefur verið beitt öldum saman. Þessi hugsun endurspeglast í gerð miðaldakastala, þar sem hver varnarveggur tekur við af öðrum. Reiknað er með því að óvinurinn komist inn fyrir mismikinn fjölda varnarveggja og það þurfi að eiga við hann þar. Óvinurinn má ná ekrum og jafnvel ytri svæðum kastalans tímabundið, en innstu svæðum má hann aldrei ná. Það er erfitt að vernda allar upplýsingar, vörnin verður auðveldari eftir að búið er að einangra þær mikilvægustu og takmarka aðgang að þeim. Þannig er skilvirkast að skilgreina lykilgögn og veita þeim sem besta vörn, til dæmis með dulritun og öryggismerkingu, þannig að ekki sé unnt að flytja þau út fyrir veggi kerfisins án þess að eftir því verði tekið.

Vörn sem dýrmæt markaðsvara

Fyrirtæki leggja vaxandi áherslu á að geta sýnt fram á traust sinnar vöru og þjónustu. Risarnir í tölvuheiminum hafa fylgst náið með þessari þróun og mótað sína stefnu, bjóða verður neytendum betri vörn á gögnum, enda átta þeir sig á því að með horfnu trausti hverfur markaðurinn. Sem dæmi má nefna að öflugar dulritunarlausnir í venjulegum skrifstofuhugbúnaði og eitt stórfyrirtækið gerði í desember 2013 samning við Evrópuráðið um að styðja baráttu gegn tölvubrotum á grunni Búdapest-samningsins14. Öryggi og örugg meðhöndlun gagna er því orðin lykilatriði hjá framsæknum fyrirtækjum.

Sókn gegn glæpastarfsemi

Netið býður upp á mörg sóknarfæri fyrir skipulagða glæpastarfsemi og þróunin í glæpsamlegri notkun Netsins er það ör að mjög erfitt er fyrir löggæsluaðila að fylgja á eftir. Að sumu leyti má líkja vissum afkimum Netsins við svæði í villta vestrinu,utan seilingar laganna. Það er þó engin ástæða til að örvænta, það tókst að koma lög og reglu á villta vestrið og svipað gildir hér, það verður að tryggja að Netið verði ekki griðastaður glæpamanna. Þótt vissir kimar netsins minni meir á villta vestrið eða búllu á bannárunum, þá má ekki gleyma að þar tókst einnig að koma á lögum og reglu.

12 Skrifað fyrir meir en 2500 árum, varðandi nýtingu í tölvuhernaði sjá Kenneth Geers, 2011, Strategic Cyber Security, CCD COE) 13 Department of Homeland Security í Bandaríkjunum mælir t.d. með því að bandarískar stofnanir og fyrirtæki beiti stigskiptri vörn. 14 https://wcd.coe.int/ViewDoc.jsp?id=2136023 13

Innanríkisráðuneyti

Áskorun: Persónuvernd og rannsóknarhagsmunir

Traust persónuvernd og barátta gegn glæpum eru einar megináskoranir í notkun upplýsingatækni á komandi árum. Það er með ýmis konar dulritunartækni unnt að afmá rafræna slóð og þannig tryggja vissa persónuvernd. En það er jafnframt tækni sem skipulögð glæpasamtök beita til að geta athafnað sig ósýnileg undir huliðshjálmi og farið landa á milli. Í raunheimi skiljum við eftir okkur slóð þar sem við förum, bútunum af slóðinni er þó ekki safnað saman og teknir til rannsóknar nema ástæða þyki til og um það gilda reglur byggðar á lagagrunni. Flest ríki stefna að því að frelsi og öryggi eigi að geta farið saman, persónuvernd og rannsóknarhagsmunir15. Það getur verið áskorun að finna bestu leiðina og það kallar á alþjóðlegt samstarf og sameiginleg alþjóðleg viðmið.

15 http://europa.eu/rapid/press-release_SPEECH-13-436_en.htm 14

Innanríkisráðuneyti

B: Staða þekkingar á net og upplýsingaöryggi hérlendis

Margt hefur verið vel gert í nýtingu tölvu-, net- og upplýsingatækni hérlendis og einstakllingar og fyrirtæki náð að verða í fararbroddi á sínum vettvangi. Öryggi hefur þó ekki verið almennt gefinn sá gaumur sem skyldi. Hérlendis, eins og annars staðar, þarf að auka vitund og þekkingu notenda, þar á meðal almennings. Öryggisfyrirtækið SYNDIS benti síðast liðið haust á eftirfarandi þætti sem mætti huga að til úrbóta:

• Skortur á skilningi á tæknilegum upplýsingaöryggismálum o Skortur á menntun o Skortur á viðhaldi á þekkingu. Upplýsingaöryggismál breytast ört.

• Landfræðileg einangrun hefur engin áhrif á net- og upplýsingaöryggi o Ólíkt raunlegu öryggi hefur internetið engin landamæri o Skortur á teymum með tæknileg öryggismál sem megin starfsvið o Erlend fyrirtæki af sambærilegum stærðum hafa gjarnan slíkt teymi

• Slakt rekstraröryggi (operational security) í íslensku umhverfi o Starfsmenn meðhöndla búnað sem persónulegan o Starfsmenn krefjast hárra réttinda (admin privileges) af búnaði í eigu fyrirtækja o Dulkóðun sjaldan notuð og jafnvel þá á slakan máta o Gögn gjarnan tekin út fyrir netmæri fyrirtækja og stofnana

• Ábyrgð á net- og upplýsingaöryggismálum bæði frá tæknilegum og stjórnunarlegum forsendum er lítil

o Hugarfar varðandi öryggismál er að þau séu vandamál annarra bæði útfrá tæknilegum og stjórnunarlegum aðstæðum.

• Raunlægt öryggi hefur meiri forgang o Reynsla af raunlægu öryggi er meiri

• Öryggisbúnaður er álitin fullnægjandi lausn á net- og upplýsingaöryggismálum o Litið er á eldveggi, netsíur, vefsíur, vírusvarnir, innbrotsvarnarkerfi sem lausn við

öryggismálum o Mörg fyrirtæki og stofnanir tæma fjárheimildir til öryggismála með kaupum á

slíkum búnaði • Þegar atvik eiga sér stað hafa fyrirtæki og stofnanir takmarkaða þekkingu á meðhöndlum

þeirra o Skortur á kunnáttu á meðhöndlun öryggisatvika (incident response) o Skortur á kunnáttu á tölvurannsóknum eftir að atvik hafa átt sér stað (computer

forensics)

Í könnun sem gerð var á vegum KPMG á síðasta ári voru leiddar að því líkur að fjöldi íslenskra fyrirtækja og stofnana hefði litla þekkingu í net- og upplýsingaöryggi (enda fáir sérfróðir á því sviði) og tölvukerfin láku16 oft upplýsingum sem auðvelt var að nýta til innbrota. Könnun sem Deloitte kynnti á UT messu í febrúar 2014, sem byggð var á svörum stjórnenda og tæknimanna, gaf svipaða niðurstöðu og viðræður við fulltrúa annarra ráðgjafafyrirtækja (t.d. Capacent og Stika) gefa til kynna að þörf sé á að efla vitund og þekkingu á svið net- og upplýsingaöryggis hérlendis. Á kynningu hjá Landsbankanum17 kom það álit fram hjá öryggissérfræðingum bankans, að öryggismeðvitund á Íslandi væri mjög vanþróuð. Í stað þess að gera ráð fyrir að einhverjar tölvur kunni að vera sýktar einhvers staðar, þurfi í viðkvæmu umhverfi að gera ráð fyrir að allar tölvur séu sýktar þar til unnt sé að sýna fram á hið gagnstæða.

16 Upplýsingar voru fengnar með því að skanna netkerfi utan frá, rétt er að árétta að það voru ekki gerðar tilraunir til að brjótast inn, einungis var aflað gagna sem kerfin gáfu frá sér án nokkurra takmarkana. 17 Fundur á vegum Dokkunnar, 20.2.2014. 15

Innanríkisráðuneyti

C: Net- og upplýsingaöryggi ómissandi innviða samfélagsins

Skilgreining ómissandi (upplýsinga)innviða

Ómissandi innviðir18 eru þeir þættir sem eru svo mikilvægir í rekstri þjóðfélagsins að röskun mundi hafa mikil áhrif á allt lífið í landinu. Enn fremur eru ómissandi innviðir í flestum tilvikum háðir hverjir öðrum sem gerir röskun enn skaðlegri en í hefðbundnum tilvikum. Þessi kafli fjallar ekki um ómissandi innviði heldur ómissandi upplýsingainnviði sem eru sú upplýsinga- og fjarskiptatækni19 sem stýrir rekstri og notkun eftirtaldra innviða (sjá sundurliðun að neðan). Í lögum um fjarskipti 2003 nr. 81 eru ómissandi upplýsingainnviðir skilgreindir með eftirfarandi hætti:

Ómissandi upplýsingainnviðir20: Upplýsingakerfi þeirra mikilvægu samfélagslegu innviða sem tryggja eiga þjóðaröryggi, almannaheill og margs konar öflun aðfanga í þróuðu og tæknivæddu þjóðfélagi. Um er að ræða þann tækja- og hugbúnað sem nauðsynlegur er til reksturs og virkni kerfisins og þær upplýsingar sem þar eru hýstar eða um kerfið fara. Ríkislögreglustjóri skilgreinir ómissandi upplýsingainnviði.

Samkvæmt ENISA eru ómissandi upplýsingainnviðir :

• Kerfi, þjónusta, net og innviðir sem eru mikilvæg fyrir fjármálakerfið og þjóðfélagið, sem veita ómissandi varning og þjónustu. Rof slíkrar þjónustu myndi hafa alvarleg áhrif á mikilvæga samfélagsþætti21.

Samkvæmt OECD eru ómissandi upplýsingainnviðir skilgreindir með áhættugreiningarferli og innihalda að jafnaði einn eða fleiri eftirfarandi þátta:

• Upplýsingaþætti sem eru nauðsynlegir rekstri ómissandi innviða, og/eða • Upplýsingainnviðum nauðsynlegum grunnþáttum stjórnkerfisins, og/eða • Upplýsingainnviðum nauðsynlegum hagkerfinu

Rétt er að benda á að í nýlegum skýrslum er stundum varað við því að nota hefðbundna nálgun við skilgreiningu ómissandi upplýsingainnviða, þ.e. að miða við fjarskiptatækni, því næstum alls staðar þar sem einhverja rafræna stýringu er að finna getur leynst nettenging sem unnt er að misnota. Í nýjum bandarískum staðli22, sem gefinn var út 12. febrúar 2014, er notað heiti sem þýða mætti sem upplýsingaöryggi ómissandi innviða og er það í anda þess sem að framan er lýst.

Í vinnu á vegum ríkislögreglustjóra hefur eftirfarandi starfsemi verið talin til ómissandi upplýsingainnviða: raforkuframleiðsla, raforkudreifing, fjarskiptakerfi, bankaþjónusta, flugumferðarstjórn, samgöngukerfi, vatnsveitur, stjórnsýsla, stóriðnaður og neyðarþjónusta.

Hvað ómissandi upplýsingainnviði varðar er ljóst að raforkuframleiðsla og -dreifing er sá liður sem mestan forgang hefur. Án rafmagns falla öll önnur kerfi niður, hægt er að forðast algjöra stöðvun með notkun vararafstöðva. Unnt er að gera ráðstafanir vegna vár sem stafar af nátturuhamförum þar sem hættan er þekkt og hægt er að gera viðeigandi ráðstafanir gagnvart þeirri hættu.

18 Sjá tilskipun Evrópusambandsins 2008/114/EC frá 8. desember 2008 um ómissandi innviði og vernd þeirra, þetta er tilskipun sem gildir einnig á EES svæðinu: http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2008:345:0075:0082:EN:PDF 19 Upplýsinga og fjarskiptatækni (ICT – Information and Communications Technology) 20 Varðandi stefnu Evrópusambandsins um ómissandi upplýsingainnviði, sjá: http://ec.europa.eu/digital-agenda/en/news/policy-critical-information-infrastructure-protection-ciip og ráðleggingar OECD: http://www.oecd.org/sti/40825404.pdf 21 The system, services, networks and infrastructures that form a vital part of a nation‘s economy and society, providing essential goods and services. Their disruption or destruction would have a serious impact on vital societal functions. 22 Heiti staðals er „Framework for Improving Critical Infrastructure Cybersecurity“, sjá http://www.nist.gov/cyberframework/upload/cybersecurity-framework-021214-final.pdf 16

Innanríkisráðuneyti

Þannig er því ekki háttað í tilfelli netógna sem eru óútreiknanlegar og breytilegar. Þetta gerir forvarnarstarf og ráðstafanir þar um erfiðara viðfangs.

Ríkislögreglustjóri vinnur að skilgreiningu ómissandi upplýsingainnviða og verður tekið mið af þeirri skilgreiningu við frekari vinnu við stefnumótun og gerð aðgerðaáætlana.Verndun ómissandi upplýsingainnviða23 er mjög flókið ferli vegna þess hversu breytilegar netógnir og aðrar ógnir geta verið. Ómissandi upplýsingainnviðir eru oftast tengdir saman á beinan eða óbeinan hátt og því fylgja oft keðjuverkjandi áhrif ef ógn stafar að einum innviði getur það haft áhrif á annan. Mörgum ómissandi upplýsingainnviðum er stýrt af svo kölluðum ICS/SCADA24 kerfum sem stjórna hinum flóknu kerfum sem er að finna í ómissandi innviðum svo sem stjórnstöðvum, iðnstýringum, nemum og ýmsum öðrum vél- og raftæknibúnaði. Þar sem ICS/SCADA kerfi eru samansett af bæði hugbúnaði og vélbúnaði er verndun þeirra þeim mun flóknara viðfangsefni.

Burtséð frá skilgreiningu hvers ómissandi innviðar hafa flestir þeirra fjóra lykilþætti sem eru: Samtenging, einkavæðing, alþjóðavæðing auk þess sem þeir eru háðir upplýsinga- og fjarskiptatækni.

Samtenging : Flestir ómissandi upplýsingainnviðir eru samtengdir á einn eða annan hátt. Röskun í einum innviði getur haft áhrif á annan og leitt til keðjuverkandi áhrifa. Vegna þess hversu tengdir og flóknir ómissandi upplýsingainnviðir eru getur verið afar erfitt að greina og sjá fyrir samverkandi áhrif. Einkavæðing : Vegna einkavæðingarstefnu sem rekin hefur verið hér á landi á síðustu árum eru margir ómissandi upplýsingainnviðir nú í einkaeign. Áhrif þessa geta verið neikvæð eða jákvæð með tilliti til þess hvernig verndun er framkvæmd með hliðsjón af samkeppnislögmálum og öðrum slíkum þáttum. Háðir upplýsinga- og fjarskiptatækni: Ómissandi upplýsingainnviðir eru mjög háðir upplýsingatækni í rekstri og stjórnun á kerfum og margir einnig fjarskiptatækni. Staðalkerfi á borð við ICS/SCADA iðntölvur eru mikið notuð nú sem gerir verndun kerfa flóknari vegna áhrifa stöðlunar. Alþjóðavæðing25: Í vöxt færist að ómissandi upplýsingainnviðir séu alþjóðavæddir og því nægir ekki að öryggisstefnan sé eingöngu bundin við heimaland heldur þarf hún að vera löguð að alþjóðlegum stöðlum.

Við skilgreiningu ómissandi upplýsinga-innviða þarf að skoða hvaða innviðir eru mikilvægari en aðrir. Til þess að ákvarða það er hægt að notast við viðmiðanir26 Evrópusambandsins sem nefna þrjá stýriþætti í ákvörðun um mikilvægi ómissandi upplýsinga-innviða. Áhrif: Missir ómissandi upplýsinga-innviðar er flokkaður eftir því hversu „mikil vægt“ landsvæði hann myndi hafa áhrif á með tilliti til fólksfjölda, efnahagslegs mikilvægis osfrv. Umfang: Skilgreina má umfang missis ómissandi upplýsinga-innviðar með tilliti til eftirtaldra viðmiðana: áhrif á líf almennings, efnahagsleg áhrif, umhverfisáhrif, samtengi-áhrif (milli annarra ómissandi innviða) og pólitísk áhrif. Tími: Skilgreiningin sem hér á við er á hvaða tímapunkti hefur missir ómissandi innviðar stórtæk áhrif og á hvaða tímapunkti er hægt að lagfæra ástandið.

Skilgreining lykilaðila

Við skilgreiningu lykilaðila þarf að styðjast við forgangsröðun með tilliti til hlutverka lykilaðila gagnvart umræddum ómissandi upplýsinga-innviði. Líkt og sagði hér að framan tengist þetta áður umræddum lykilþáttum. Sá lykilaðili sem best uppfyllir áðurnefnda þætti hefur fyrsta forgang.

Ríkislögreglustjóri vinnur að lista yfir lykilaðila vegna ómissandi upplýsingainnviða og verður sá listi notaður við frekari vinnu við stefnumótun og gerð aðgerðaáætlana.

23 CIIP - Critical Information Infrastructure Protection 24 ICS: Industrial Control Systems; SCADA: Supervisory Control and Data Acquisition. Stýrikerfi fyrir iðnstjórnun og eftirlit. 25 Alþjóðavæðing (Globalization) 26 https://www.nics.uma.es/system/files/papers/Lopez2007.pdf 17

Innanríkisráðuneyti

Skipulag viðbragða við vá

Þegar þessi skýrsla er rituð hefur ekki verið sett upp viðbragðsáætlun varðandi ómissandi upplýsingainnviði. Skilgreining á ómissandi upplýsingainnviðum er enn í vinnslu. Þar af leiðandi er sá kostur einn fyrir hendi að notast við þær viðbragðsáætlanir sem fyrir liggja varðandi ómissandi innviði (einkum varðandi náttúruhamfarir) og taka jafnframt mið af því sem segir í reglugerð um hlutverk CERT-netöryggissveit á landsvísu, en þar eru settar fram ákveðnar kröfur varðandi þá aðila sem þjónusta sveitarinnar tekur til og sveitin fylgir þeim kröfum eftir. Við skipulag viðbragða er mikilvægt að skipting ábyrgðar sé skýr og að þessu þarf að huga við frekari þróun viðbragðsáætlana.

Net- og upplýsingaöryggi ríkisins

Margt í starfsemi ríkisins fellur undir það sem að framan er sagt um ómissandi upplýsingainnviði. Það þarf engu að síður að huga sérstaklega að net- og upplýsingaöryggi ríkisins og stofnana þess og þá t.d. hvort stofna beri sérstakt CERT-Gov teymi til að taka á atvikum sem snúa að kerfum ríkisins og þá, hvar það skuli hafa aðsetur. Capacent hefur unnið skýrslu fyrir innanríkisráðuneytið, Greining á stöðu netöryggismála nágrannaríkja varðandi mögulega stofnun á CERT-Gov viðbragðsteymi innan íslensku stjórnsýslunnar. Í skýrslunni er fjallað um hvernig þessum málum er háttað í ýmsum grannríkjum okkar og hvernig mætti útfæra slíkt teymi hérlendis. Við frekari skipulagningu net- og upplýsingaöryggis ríkisins verður meðal annars höfð hliðsjón af niðurstöðum ofangreindrar skýrslu.

18

Innanríkisráðuneyti

D: Alþjóðlegt stöðumat, ógnir og tækifæri

Greining ógna og veikleika

Greining ógna og veikleika er undirstaða stefnumótunar allra ríkja, enda aðstæður mismunandi. Almennt er eftirfarandi tekið með í þessari greiningu:

• Hversu háð þjóðfélagið (og einstakir þættir þess) eru háðir virkni upplýsinga- og samskiptakerfa

• Eðli og sértækir veikleikar upplýsingainnviða, sérstaklega þeirra mikilvægustu • Almennar ógnir • Sérstakar ógnir

Stöðumat ENISA í árslok 2013

Stofnunin European Network and Information Security Agency (ENISA) birtir reglulega stöðumat á ógnum og þróun í netheimum. Það nýjasta var gefið út 11. desember 2013, í skýrslunni ENISA Threat Landscape 2013 - Overview of current and emerging cyber-threats27. Það skal tekið fram að ENISA einbeitir sér að tæknilegum þáttum, ekki þáttum eins og njósnum. Áhætta var metin vaxandi á nær öllum sviðum.

Neikvæð þróun á árinu var : 1) Árásir eru orðnar mun háþróaðri og sömuleiðis verkfæri til þeirra. 2) Mörg ríki hafa nú komið sér upp getu til að ráðast inn í tölvukerfi annarra ríkja og

einkaaðila. Bæta má við að viðkomandi ríki getur beitt þeirri getu beint eða látið óháð samtök um árásina.28

3) Ógnir hafa í auknum mæli færst yfir í fartölvur og snjalltæki, farið er í vaxandi mæli að beita árásartækni sem var þróuð áður gegn einkatölvum. Með einföldum öryggisráðstöfunum notenda mætti draga úr fjölda netöryggisatvika hnattrænt um helmilng.

4) Tvö ný svið hafa bæst við á hinum stafræna vígvelli, gríðargögn29 og tækjanetið30. Jákvæð þróun á árinu var:

1) Markverður árangur náðist í baráttu gegn glæpastarfsemi: Lögregla handtók glæpahópinn að baki „Police“ vírusnum, þann sem rak SilkRoad vefinn og jafnframt hönnuð og þann sem rak „Blackhole“, vinsælt tæki til árása.

2) Fleiri og betri skýrslum er nú dreift um net-ógnir studdar betri gögnum31. 3) Hugbúnaðarhönnuðir og þjónustuveitendur bregðast nú skjótar við þegar nýjar ógnir

uppgötvast. Megináskoranir eru:

1) Þekkingarleysi hjá einstökum notendurm. Álitð er að með einföldum öryggisaðgerðum mætti koma í veg fyrir um helming net- og upplýsingaöryggisatvika hnattrænt.

27 http://www.enisa.europa.eu/media/press-releases/enisa-lists-top-cyber-threats-in-this-year2019s-threat-landscape-report 28 Sjá skýrsluna CrowdStrike Global Threat Report, 2013 YEAR IN REVIEW Þar er lýst árásum ýmssa hópa, t.d. í Rússlandi og Kína. http://www.crowdstrike.com/sites/all/themes/crowdstrike2/css/imgs/platform/CrowdStrike_Global_Threat_Report_2013.pdf 29 Hér er átt við „Big Data“, verk með það miklu gagnamagni að hefðbundnar úrvinnsluaðferðir duga ekki lengur til, gögn og vinnsla getur því þurft að vera dreifð og því erfiðara að hafa rekjanlegt öryggi. 30 Hér er átt við „The Internet of Things“, tæki sem eru beintengd við netið og skiptast á upplýsingum sín á milli án aðkomu mannsins. Með tækjanetinu getur vél á einum stað brugðist sjálfvirkt við áreiti frá fjarlægum skynjurum og tölvum. Glæpsamlegt inngrip getur þannig haft raunlægan skaða (t.d. alvarleg slys) í för með sér, ekki bara skaða á upplýsingum. 31 Í skýrslunni CrowdStrike Global Threat Report, 2013 YEAR IN REVIEW er t.d. tekið fram sem jákvæður þáttur, að greinendur eru farnir að átta sig á fingraförum mismunandi árásaraðila í netheimum. 19

Innanríkisráðuneyti

2) Það er oft mikil skörun í öflun upplýsinga og greiningu ógna. Meiri samvinna er nauðsyn í upplýsingaöflun, greiningu, mati og sannprófun.

3) Auka þarf hraða í ógnagreiningu og dreifingu upplýsinga.

Áskoranir til lengri tíma

International Cyber Security Protection Alliance (ICSPA) og European Cybercrime Centre (EC3) hjá Europol gáfu sameiginlega út skýrslu („white paper“) um stöðu og þróun net- og upplýsingaöryggis32. Þar er fjallað um tækniþróunina og hvernig nýjar ógnir geti birst vegna nettengds búnaðar æ víðar sem unnt er að brjótast inn á (allt frá gangráðum til flýgilda („drones“)) og nauðsyn þess að lagaramminn fylgi tækniþróuninni og alþjóðlegu eðli Netsins.

Á meðal þeirra atriða sem þarf að skýra eru:

• Hver á gögnin í netum og hversu lengi ? • Hver hefur úrskurðarvald um hvað er eðlileg notkun gagna og hvað óeðlileg ? Er hægt að

tryggja að samræmis verði ætíð gætt ? Hvaða gögn eiga að vera aðgengileg yfirvöldum í baráttu gegn glæpastarfsemi ?

• Hver tekur á sig kostnað við endurheimt gagna ? • Hver tryggir tengingar þjónustu, forrita og neta? Hvernig geta einingar sem nýta

mismunandi tækni unnið með öruggum hætti í sama umhverfi? • Viljum við hafa hnattræna eða svæðisbundna stjórnun Netsins og öryggisþátta ? • Verður mögulegt að breyta til nýrra stjórnunarhátta netsins og viðskiptalíkana (t.d.

varðandi höfundarétt) án þess að skapa alvarleg hnattræn áhrif og fjárhagslegt tjón?

32 https://www.europol.europa.eu/content/project-2020-scenarios-future-cybercrime 20

Innanríkisráðuneyti

E: Lög, reglur, staðlar og varnir gegn netógnum

Tölvubrot og netógnir

Í umfjöllun um netógnir og afbrot tengd tölvum er mikilvægt að átta sig á tenglsum þeirra. Það eru ekki allar netógnir sem tengjast afbrotum og eins eru ekki öll afbrot þar sem tölvur koma við sögu tölvubrot (e. Cybercrime) í lagalegum skilningi. Fremja má mörg hefðbundin afbrot með því að nýta tölvu- eða nettækni. Um slík afbrot gildir nú þegar ákveðinn lagarammi. Tölvutæknin hefur hins vegar gert mögulegt að fremja nýjar gerðir afbrota og jafnframt framkvæma ýmsa hefðbunda glæpi með svo nýjum hætti að hefðbundinn lagarammi dugar ekki lengur til að taka á þeim. Um tölvubrot er fjallað sérstaklega í alþjóðlegum samningi, Búdapest samningnum33, sem Ísland hefur fullgilt og myndar þessi samningur bindandi alþjóðleg viðmið varðandi lagaumhverfi og skilgreiningu tölvubrota. Skilgreiningar á hvað falli undir samninginn eru uppfærðar reglulega og einnig skýringar varðandi hvernig hann skuli túlkaður. Stefnumótunarvinnunni er ekki ætlað að taka til allra tölvutengdra afbrota, heldur einungis þeirra netógna sem teljast til tölvubrota samkvæmt skilgreiningu Búdapest samningsins.

Tölvubrot sem ákveðið sniðmengi netógna og tölvutengdra afbrota

Almennt lagaumhverfi

Gildandi lög og reglugerðir

Ákvæði sem snerta netöryggi einstaklinga, samfélags og persónuvernd koma víða fram í lögum og reglugerðum. Meðal þeirra eru:

• Lög um persónuvernd og meðferð persónuupplýsinga nr. 77/200034 ásamt reglum Persónuverndar nr. 299/200135 um öryggi persónuupplýsinga.

33 Sjá nánar aftar í þessum viðauka 34 Sjá: http://www.althingi.is/lagas/140a/2009055.html 35 http://www.personuvernd.is/log-og-reglur/reglur-og-reglugerdir/nr/35v

Netógnir Tölvutengd afbrot

Tölvubrot

21

Innanríkisráðuneyti

• Lög um sjúkraskrár, nr. 55/200936 ásamt reglugerðum nr. 227/199137 um sjúkraskrár og skýrslugerð varðandi heilbrigðismál og reglugerð um heilbrigðisskrár nr. 548/2008.

• Lög um rafrænar undirskriftir nr. 28/2001 • Lög um Póst- og fjarskiptastofnun nr. 69/2003 • Lög um fjarskipti nr. 81/2003, ásamt reglugerð 475/2013 um málefni CERT-ÍS

netöryggissveitar, reglum 1221/2007 um vernd upplýsinga í almennum fjarskiptanetum, 1222/2007 um virkni almennra fjarskiptaneta og 1223/2007 um vernd, virkni og gæði IP fjarskiptaþjónustu.

• Hegningarlög nr. 19/1940. • Sjá einnig lög um fjármálaeftirlit, raforkulög, o.s.frv.

Starfshópurinn tók og bar saman ákvæði ofangreindra laga. Ástæða er til að gera heildstæða úttekt á þessum lögum og að gera þau aðgengileg sem heild notendum á þessu sviði.

Þróun löggjafar í Evrópu

Upplýsingatækni og fjarskiptatækni þróast hratt og þarf löggjöf á þessum sviðum því að vera í stöðugri endurskoðun. Á vettvangi Evrópusambandsins er unnið að endurskoðun ýmissa laga sem varða netöryggi. Má þar nefna lagaramma um persónuvernd og mótun laga um rafræna auðkenningu.

Staðlar, reglur og viðmið

Efni þessa kafla er m.a. byggt á skýrslu sem forsætisráðuneytið hefur gefið út undir heitinu: Skýrsla um staðla og góðar fyrirmyndir í rafrænni stjórnsýslu (sjá: http://www.ut.is/frettir/nr/3005)

Staðlaráð Íslands skilgreinir staðal á eftirfarandi hátt:

„Staðall er skjal, ákvarðað með sammæli og samþykkt af viðurkenndum aðila, þar sem settar eru fram, til algengrar og endurtekinnar notkunar, reglur, leiðbeiningar eða eiginleikar fyrir starfsemi eða afrakstur hennar í þeim tilgangi að ná fram sem mestri samskipan í tilteknu samhengi. (ÍST EN 45020)”

Skilgreining Staðlaráðs á við staðla sem hafa farið í gegnum formlegt staðfestingarferli. Iðulega er hugtakið „staðall” þó notað í mun víðara samhengi svo sem um ráðleggingar eða tillögur sem gætu átt uppruna sinn í markaðsráðandi tækniskilgreiningu sem hefur náð fótfestu eða sem vinnusamþykkt sem hönnuð hefur verið fyrir eitthvert verkefni.

Meginmarkmið staðlasamtaka er að semja, stýra, rýna, gefa út og viðhalda formlegum stöðlum. Staðlasamtökum má skipta í fjóra flokka þ.e. alþjóðleg , álfu, lands og sérhæfð staðlasamtök (e. standards developing organisations (SDOs)).

Meðal mikilvægustu alþjóðlegu staðlasamtakana eru ISO (International Organization for Standardization), IEC (International Electrotechnical Commission) og ITU (International Telecommunications Union)

• IEC sér um stöðlun á sviði raftækni og rafeindatækni • ITU sér um stöðlun á sviði fjarskiptatækni • ISO sér um staðla á sviðum öðrum en raftækni, rafeindatækni og fjarskiptatækni.

Hér á landi starfa þrjú félög að stöðlun í upplýsingatækni. Þau eru ICEPRO, GS1 og Fagstaðlaráð um upplýsingatækni (FUT) innan Staðlaráðs Íslands. Staðlaráð Íslands er formlegur útgefandi á íslenskum stöðlum.

36 Sjá: http://www.althingi.is/altext/stjt/2009.055.html 37 http://www.reglugerd.is/interpro/dkm/WebGuard.nsf/key2/227-1991 22

Innanríkisráðuneyti

Staðlaráð Íslands

Á vegum Staðlaráðs Íslands er starfandi Fagráð í upplýsingatækni. Á þess vegum starfa nokkrar tækninefndir, m.a. Tækninefnd um upplýsingaöryggi. Meginhlutverk tækninefndarinnar er að stuðla að öruggri og ábyrgri gerð, meðferð og nýtingu upplýsinga í nútímasamfélagi og aukinni notkun stöðlunar á þessu sviði. Einnig að fylgjast með starfi ISO/IEC JTC1/SC27 tækninefndarinnar og tengdra nefnda að því marki sem að hagsmunaaðilar telja nauðsynlegt hverju sinni. Auk þess að kynna, staðfesta og innleiða staðla á þessu sviði eftir því sem við á. Tækninefndin er þeim opin sem hafa hagsmuna að gæta á starfssviði nefndarinnar og eru reiðubúnir til að leggja fram þá vinnu, aðstöðu og/eða fjármagn sem þarf til að standa undir starfi nefndarinnar.

Á vettvangi Skýrslutæknifélagsins eru starfandi nokkrir faghópar og hafa nokkrir þeirra snertifleti við netöryggi. Einn faghópanna fjallar eingöngu um öryggismál og eru markmið hans eftirfarandi:

• Að stuðla að bættu öryggi og öryggisvitund í fjarskipta- og upplýsingatækni. • Að skapa vettvang fyrir faglega umræðu um öryggismál og efla tengsl milli þeirra sem

starfa á sviðinu og hafa áhuga á því. • Að stuðla að góðu siðferði í tengslum við upplýsingaöryggi. • Að efla notkun íslenskrar tungu við umfjöllun um öryggismál. • Að vera öðrum samtökum og faghópum innan handar við að auka öryggisvitund. • Að koma með tillögur til stjórnar Skýrslutæknifélagsins um stefnumörkun þess á sviði

upplýsingaöryggis og vera málsvari þess um öryggistengd mál. • Að vinna með fulltrúa félagsins í fjarskiptaráði í tengslum við öryggismál.

ISO-staðlar

Til greina kemur að nota ýmsa staðla til að efla öryggi en hér á landi hefur ISO 27001:2005 líklega náð mestri útbreiðslu. Sá staðall hefur nú verið uppfærður í ISO 27001:2013 en hann hefur ekki enn verið íslenskaður eða innleiddur sem íslenskur staðall (janúar 2014).

Sem dæmi um val íslenskrar stofnunar á öryggisstöðlum má nefna að Þjóðskrá Íslands fylgir ISO 27001:2005 – og notar staðalinn sem er grundvöll skipulags og viðhaldsaðgerða sem standa vörð um leynd, réttleika og tiltækileika gagna og upplýsingakerfa. Þjóðskrá hefur fengið vottun skv. þessum staðli og leitast við að viðhalda henni.

Öryggisviðmið fyrir opinbera vefi

Í verkefninu Umbætur á opinberum vefjum sem fellur undir stefnuna um upplýsingasamfélagið, Vöxtur í krafti netsins vinnur innanríkisráðuneyti í samstarfi við Samband íslenskra sveitarfélaga að gerð fræðsluefnis (sem verður aðgengilegt á ut.is, sjá: http://www.ut.is/vefhandbok/) og þróun nýrra viðmiða fyrir öryggismál á opinberum vefjum. Stefnt er að því að öryggi opinberra vefja ríkis og sveitarfélaga verði metið annað hvert ár, í fyrsta skipti árið 2015. Verður sú úttekt nýr liður í heildarúttekt sem gerð er á opinberum vefjum annað hvert ár undir heitinu: Hvað er spunnið í opinbera vefi? (http://www.ut.is/konnun2013/).

Staðlar um greiðslumiðlun Á vegum kreditkortafyrirtækja (VISA og MASTERCARD) hefur verið gefinn út nákvæmur tæknilegur staðall38 um hvernig bera að haga upplýsingaöryggi vegna greiðslukorta, svipaða nálgun má hafa á fleiri sviðum. RFC staðlar Um Netið sjálft og virkni þess gilda einnig ákveðnir staðlar, svokallaðir RFC staðlar39, en þeir snúa síður að almennum notendum.

38 PCI-DSS staðall: https://www.pcisecuritystandards.org/security_standards/documents.php? agreements=pcidss&association=pcidss 39 Sjá t.d.: http://en.wikipedia.org/wiki/Request_for_Comments 23

Innanríkisráðuneyti

Nauðsyn endurskoðaðra verkferla Þótt staðlar setji almennt góðan ramma fyrir starfsemi, þá duga þeir ekki til einir sér, sérstaklega ekki þegar glæpatækni þróast jafn hratt og nú. Til viðbótar er nauðsynlegt að fylgjast vel með þróun ógna og endurskoða verkferla til að bregðast við þeim breytingum sem ógnir kunna að taka.

Tölvubrot (glæpsamleg notkun tölvutækni) og varnir gegn þeim

Tölvubrot

Svokölluð tölvubrot, þ.e. afbrot framin með eða beint gegn tölvum eru hér tekin til sérstakrar skoðunar.

Hin hraða þróun á sviði tölvu-, net- og upplýsingatækni hefur haft gríðarleg áhrif á samfélagið og mun sú þróun að öllum líkindum halda áfram um ókomna framtíð. Samskipti manna og fyrirtækja fara í auknum mæli fram á samfélagsmiðlum, tölvupósti og í gegnum netið með öðrum hætti. Aðgangur er auðveldur og leit að upplýsingum í tölvukerfum, gagnabönkum og leitarvélum auk fjölda möguleika til að senda upplýsingar og dreifa þeim án þess að fjarlægðir hafi áhrif, hefur leitt til gríðarlegrar aukningar á magni fáanlegra upplýsinga og aukinnar þekkingar. Oft eru á ferðinni skipulögð glæpasamtök sem beita fjárkúgunum, krefjast lausnargjalds fyrir gögn sem þeir hafa náð yfirhöndinni á o.s.frv. Hins vegar eru mörg dæmi um aðila sem gera netárásir til að vekja athygli á málstað sínum, eða jafnvel valda óskunda með því að sýna fram á hversu auðvelt er að brjótast inn í kerfi sumra fyrirtækja, birta á netinu gögn frá þeim o.s.frv.

Samfara jákvæðum áhrifum þessarar þróunar á efnahagslíf og samfélög manna hefur hún einnig í för með sér nýjar viðsjár og hættur og hefur leitt til nýrra tegunda afbrota auk hefðbundinna afbrota þar sem upplýsinga- og tölvutækni er notuð til brotastarfsemi. Afleiðingar refsiverðrar háttsemi á þessu sviði geta verið geigvænlegar vegna mikilvægis tölvu- og netkerfa í daglegu lífi manna og sökum þess að háttsemi af þessu tagi verður ekki takmörkuð landfræðilega.

Þessi bylting á sviði tölvu-, net- og upplýsingatækni hefur einnig haft áhrif á þróun fjarskiptatækni. Þeim formum og tegundum upplýsinga sem hægt er að senda manna á milli í gegnum fjarskiptakerfi hefur fjölgað verulega með tilkomu texta-, mynd- og hljóðsendinga í gegnum tölvur.

Innleiðing tæknilegra ráðstafana til varnar tölvukerfum verður að eiga sér stað samfara breytingum í löggjöf sem hafa það að markmiði að koma í veg fyrir og hafa varnaráhrif gagnvart háttsemi sem hefur þann tilgang að hafa neikvæð áhrif á rekstur tölvu-, net- og upplýsingakerfa eða valda tjóni.

Samingur Evrópuráðsins um tölvubrot er dæmi um viðleitni ríkja í þessu efni hvað varðar samræmingu refsilöggjafar á þessu sviði.

Samningurinn um varnir gegn tölvubrotum (Búdapest-samningurinn, 2001)

Ísland undirritaði Búdapest-samninginn (Convention on Cybercrime) hinn 30. nóvember 2001 en hann tók gildi hinn 1. maí 2007. Samningurinn er tilraun ríkja til að samræma refsilöggjöf á sviði tölvuglæpa og takast á við vaxandi ógn á heildstæðan og samræmdan hátt. Enskan frumtexta samningsins og íslenska þýðingu (sett upp hlið við hlið) má finna á vef Alþingis40

Í formála samningsins er tekið fram að aðildarríkin telji það forgangsmál að móta sameiginlega stefnu varðandi refsilöggjöf sem hafi það að markmiði að vernda almenning gegn ólögmætri háttsemi sem drýgð er með notkun tölvu- og upplýsingatækni, þ.e. internetsins, með því að setja viðeigandi löggjöf og auka alþjóðlega samvinnu á þessu sviði.

Markmið samningsins eru:

40 http://www.althingi.is/altext/132/s/pdf/1022.pdf 24

Innanríkisráðuneyti

• að samræma almenn efnisskilyrði í refsilöggjöf og tengdri löggjöf að landsrétti á sviði tölvu- og netglæpa,

• að innleiða nauðsynlegar réttarfarsreglur svo hægt sé að rannsaka og saksækja einstaklinga fyrir slík afbrot auk annarra afbrota sem framin eru í gegnum tölvukerfi eða með rafrænum hætti

• að koma upp skilvirku og fljótvirku kerfi alþjóðlegrar samvinnu er varðar tölvu- og netglæpi.

Við gerð samningsins var einnig haft að leiðarljósi að tryggja að eðlilegt jafnvægi ríki milli þeirra samfélagslegu hagsmuna að lögum sé framfylgt og þess að grundvallarmannréttindi séu virt og réttur til tjáningarfrelsis, t.d. frelsis til þess að leita eftir, taka við og láta í té hvers kyns upplýsingar og hugmyndir án tillits til landamæra. Jafnframt var horft til þess að rétturinn til friðhelgi einkalífs manna sé virtur og enn fremur til verndunar persónuupplýsinga til dæmis varðandi vélræna vinnslu persónuupplýsinga. Réttindi barna voru sérstaklega höfð í huga sbr. samning Sameinuðu þjóðanna frá 1989 um réttindi barnsins og samþykkt Alþjóðavinnumálastofnunarinnar frá 1999 um barnavinnu í sinni verstu mynd.

Samningurinn er hugsaður sem viðbót við gildandi samninga Evrópuráðsins um samvinnu á sviði sakamála og sambærilega alþjóðasamninga, sem eru í gildi milli aðildarríkja Evrópuráðsins og annarra ríkja, með það að markmiði að gera rannsókn og málarekstur vegna refsilagabrota, sem tengjast tölvukerfum og -gögnum, skilvirkari og að gera kleift að safna sönnunargögnum í rafrænni mynd sem tengjast refsilagabrotum.

Samningurinn er 48 greinar og skiptist hann í fjóra kafla. Fyrsti kafli fjallar um skilgreiningar hugtaka. Annar kafli fjallar um þær ráðstafanir sem samningurinn gerir ráð fyrir að verði gerðar í landsrétti aðildarríkja. Þriðji kafli fjallar um alþjóðlega samvinnu. Fjórði kafli hefur að geyma lokaákvæði.

Telja upp þau brot sem eru skilgreind í kafla II í samningnum, heitin á greinunum um hvers konar brot séu refsiverð.

Í janúarmánuði 2014 hefur 41 ríki lögleitt samninginn og 11 ríki til viðbótar undiritað hann.

Íslensk löggjöf um tölvubrot

Hið flókna umhverfi net- og upplýsingaöryggis krefst þess að við lagasetningu á þessu sviði verði tekið tillit til margra þátta auk þess sem líta verður til þess að umhverfið er alþjóðlegt í eðli sínu.

Brýnt er að horfa til lagasetningar nágranaríkja, sérstaklega til Evrópusambandsins þar sem þegar er til staðar víðtæk samræming og samstarf ríkja um þessi mál. Í þessu sambandi verður einnig að líta til þess að löggjöf innan EES hefur verið samræmd á sviðum net- og upplýsingaöryggis m.a. hvað varðar rammareglur um fjarskipti (samskipti), um rafræn viðskipti og um rafræna vottun.

Í gildandi löggjöf eru lagðar kvaðir á aðila, sem veita fjarskiptaþjónustu, um að þeir taki tillit til tæknilegra og skipulagslegra þátta til að tryggja að öryggi sé í hæfilegu hlutfalli við áhættu.

Markmið net- og upplýsingaöryggis er m.a:

tryggja aðgengi að þjónustu og gögnum, hindra truflanir og óheimil inngrip í sendingar, tryggja að gögn, send, móttekin eða vistuð, spillist ekki, tryggja leynd gagna, verja upplýsingakerfi gegn óheimilum aðgangi, vernd gegn árásum hugbúnaðar og manna, tryggja áreiðanleika staðfestinga.

Brýnt er að löggjöfin geri kleift að það náist að uppfylla ofangreind markmið.

25

Innanríkisráðuneyti

Í lögum nr. 74/2006 um breytingu á almennum hegningarlögum, lögum um meðferð opinberra mála og lögum um fjarskipti, var lögum breytt vegna fullgildingar Íslands á samningi Evrópuráðsins um tölvubrot/netglæpi (e. Convention on Cybercrime).

Þessar breytingar fela í sér að nýju ákvæði var bætt inn í lög nr. 19/1991, um meðferð opinberra mála (nú lög um meðferð sakamála nr. 88/2008), sem heimilar lögreglu, í þágu rannsóknar opinbers máls, að leggja fyrir þann sem rekur fjarskiptaþjónustu eða fjarskiptanet að varðveita tölvugögn, án þess að afla þurfi undanfarandi dómsúrskurðar, sbr. 87. gr.þessara laga, nú 70. gr. laga um meðferð sakamála nr. 88/2008. Þá voru rýmkuð nokkuð skilyrði fyrir því að lögregla geti aflað dómsúrskurðar í slíkum málum. Umræddar breytingar kölluðu jafnframt á breytingar á hegningalögum, nr. 19 12. febrúar 1940 og fjarskiptalögum, nr. 81 26. mars 2003.

Helstu lög er varða tölvubrot eru: 1) Almenn hegningarlög nr. 19/1940 2) Lög um meðferð sakamála nr. 88/2008 3) Lög um fjarskipti nr. 81/2003. 4) Lög um rafræn viðskipti og aðra rafræna þjónustu nr. 30/2002. 5) Lög um rafrænar undirskriftir nr. 28/2001.

Gildi alþjóðlegs samstarfs gegn tölvubrotum

Netið á sér engin landamæri og því eru netglæpir alþjóðlegt vandamál. Árás getur verið framkvæmd hvaðan sem er í heiminum jafnvel í gegnum þriðja aðila eða fleiri. Það eitt og sér krefst nánari samvinnu og skipta á upplýsingum á alþjóðavettvangi. Vitundarvakning gagnvart alvarleika netglæpa hefur aukist síðustu ár enda hefur netglæpum fjölgað stöðugt.41 Þessi þróun hefur leitt til þess að lögregluyfirvöld víða um heim hafa stofnað sérstakar sveitir42 sem þjálfaðar eru í að berjast gegn og hindra netglæpi.

Áríðandi er að samstarf milli netöryggissveita á alþjóðavettvangi sé traust svo miðlun þekkingar og hæfni verði sem best. Á Íslandi er þetta samstarf þegar hafið og varðandi löggæslu má nefna að á ráðstefnu lögregluyfirvalda Norðurlandana 2014 eru tölvubrot og varnir gegn þeim aðal málefnið.

Mikilvægi alþjóðlegs samstarfs á þessum vettvangi verður ekki dregið í efa. Þetta á sérstaklega við um Ísland því smæð þjóðarinnar gerir að verkum að aðgangur lögregluyfirvalda að sérfræðingum í netöryggismálum og öðru upplýsingatæknimenntuðu fólki er mjög takmarkaður. Þar af leiðandi þurfa íslensk lögregluyfirvöld að koma á traustu samstarfi við erlenda samstarfsaðila þannig að miðla megi þekkingu á þessu sviði43.

Lykilaðilar í alþjóðlegu samstarfi í netöryggismálum eru netöryggissveitir Norðurlandanna, Net- og upplýsingaöryggisstofnun Evrópu (ENISA), Alþjóðalögreglan (Interpol) og Evrópulögreglan (Europol) auk reglubundins lögreglusamstarfs. Leggja þarf áherslu að efla samstarf við þessa lykilaðila með uppbyggingu tengslaneta sérfræðinga þessara landa. Europol átti aðild að samantekt fróðlegrar skýrslu um hugsanlega þróun tölvubrota, Project 2020 Scenarios for the Future of Cybercrime - White Paper for Decision Makers44

Aðgengi að sérhæfðri þekkingu og hæfni

Netglæpum fjölgar stöðugt og því fylgir stóraukin spurn eftir sérfræðingum á sviði netöryggis. Kennsla í netöryggisfræðum fer að mjög takmörkuðu leyti fram í háskólum hér á landi og því þarf að sækja þekkingu til útlanda. Vegna lítils framboðs af sérfræðingum eru launakröfur háar í faginu. Þetta á við um Ísland sem önnur vestræn ríki. Þetta hefur leitt til þess að flestir sérfræðingar leita í einkageirann.

41 2012 Norton CyberCrime Report 42 CyberSecurity Teams 43 Sjá t.d.: https://www.enisa.europa.eu/activities/cert/support/fight-against-cybercrime/supporting-fight-against-cybercrime 44 https://www.icspa.org/activities/work-programmes/project-2020/ 26

Innanríkisráðuneyti

Þetta hefur gert opinberum aðilum erfitt að mynda þá sérfræðiþekkingu sem nauðsynleg er í baráttu gegn netglæpum. Netglæpamenn eru oft mjög hæfir, iðulega eru á ferð háskólamenntaðir einstaklingar. Þetta hefur m.a. í för með sér að háþróuð og flókin spilliforrit eru notuð til netglæpa. Þetta kallar á að löggæsluyfirvöld búi yfir sérfræðiþekkingu í netöryggismálum þannig að barátta gegn netglæpum fari fram á sama stigi þekkingar og netglæpamennirnir ráða yfir. Nú háttar málum svo að netglæpamenn eru jafnan skrefi á undan viðbragðsaðilum og löggæsluyfirvöldum. Því er áríðandi að miðlun þekkingar og hæfni á sviði alþjóðlegrar samvinnu sé sem mest og skilvirkust.

Áríðandi er að mynda hóp sérfræðinga í netöryggi til að efla löggæslu innanlands á þessu sviði. Með því móti verða Íslendingar betur búnir til að taka þátt í því alþjóðlega samstarfi sem fram fer á sviði netöryggis. Þetta krefst þess að senda þarf sérfræðinga til útlanda til að afla þeirrar þekkingar sem til þarf. Einnig þarf að marka stefnu og skilgreina verkferla í baráttu gegn netglæpum. Fyrst um sinn er unnt að notast við fyrirliggjandi stefnu og verkferla nágrannalanda okkar að því gefnu að þau stefnumið og verkferlar henti íslenskum lögregluyfirvöldum. Mikilvægt er að áhersla verði lögð á að auka vitund almennings um alvarleika netglæpa og varnir gegn þeim. Í því efni þarf aukin fræðsla og þekking á netöryggi að vera í fyrirrúmi.

Endurskoðun íslenskrar löggjafar um tölvubrot

Starfshópurinn hefur farið yfir ákvæði íslenskra laga með tilliti til hversu vel þau uppfylla viðmið Búdapestsamningsins frá 2001. Niðurstaða hópsins er að það sé tímabært að endurskoða viðkomandi lagaákvæði og hugsanlega önnur, með það fyrir augum að ná betri tökum á þeirri þróun sem orðið hefur í notkun tölvukerfa og þeirri brotastarfsemi sem óumdeilanlega hefur verið fylgifiskur þeirrar þróunar.

Samvinna á vegum Evrópuráðsins á grunni samnings um varnir gegn tölvubrotum45

Evrópuráðið heldur fundi tvisvar á ári um framkvæmd Búdapest-samkomulagsins og túlkanir á ákvæðum þess. Þarna kemur m.a. fram að úrræði til rannsókna glæpa landa á milli felur enn í sér mörg óleyst mál, sérstaklega varðandi lögsögu í netheimum. Túlkun sumra á hversu langt sé hægt að ganga í að rekja (án innbrots) slóð um netið getur verið mjög takmarkandi, sérstaklega þegar ekki er vitað í hvaða landi netþjónninn er sem hýsir hinn glæpsamlega vef. Mál ýmissa rannsóknadómara var að mjög brýnt væri að leysa úr þessu, glæpamenn væru nú þegar farnir að gera út á flækjustig vegna ákvörðunar á í hvaða lögsögu netþjónar kynnu að vera.

Viðbúnaður og viðbrögð

Samlíking við almannavarnahringrásina

Við skipulag viðbragða við net- eða tölvuárás er æskilegt að nota stjórnkerfi upplýsingöryggis. Þetta felur m.a. í sér að fram þarf að fara áhættugreining og hættumat og síðan þarf að skipuleggja mótvægisaðgerðir og viðbúnað. Við árás (eða æfingu) þarf í senn að takmarka skaða, koma í veg fyrir frekari útbreiðslu hans og varðveita upplýsingar til að hægt sé að greina árásina og þann skaða sem hún kann að hafa valdið. Síðan þarf að reisa aftur við innviði og koma starfsemi aftur af stað. Að lokum þarf að draga þann lærdóm af árásinni sem hægt er og gera þær endurbætur sem eru viðeigandi og unnt er. Netæfingar henta vel til að byggja upp og slípa þennan ferli til.

45 http://www.coe.int/t/DGHL/cooperation/economiccrime/cybercrime/default_en.asp 27

Innanríkisráðuneyti

F: CERT-ÍS: Netöryggissveit á landsvísu

Um netöryggissveitina gilda fjarskiptalög nr. 81/2003, 47. grein46 (breytt skv. lögum nr. 65/2012), og reglugerð nr. 475/201347. Hér að neðan má finna þá þjónustulýsingu CERT-ÍS sveitarinnar sem var í gildi þegar þetta umræðuskjal var tekið saman. Lýsingin var þá í endurskoðun og uppfærð útgáfa mun verða birt á vefsíðunni http://www.cert.is/is/thjonustulysing.html

Þjónustulýsing CERT-ÍS sveitarinnar - Útgáfa 1.1

Inngangur Þjónusta sveitarinnar er margþætt og tekur mið af ákvæðum laga og reglugerðar um starfsemi sveitarinnar. Gert er ráð fyrir stigvaxandi starfsemi við að veita þjónustuna. Kjarnaþjónusta sveitarinnar snýr að fjarskiptafyrirtækjum og þeim aðilum sem gera sérstakan þjónustusamning við sveitina, hér eftir nefndur þjónustuhópur. Ómissandi upplýsingainnviðir þeirra mynda netumdæmi sveitarinnar. Til hliðar við kjarnaþjónustuna veitir sveitin vissa þjónustu fyrir allt landið, svokallaða landsþjónustu. Hér á eftir er hverri þjónustu lýst nánar. Lýsingin getur tekið breytingum á hverjum tíma í takt við tæknibreytingar og fleira.

Kjarnaþjónusta Hér er upptalning á kjarnaþjónustu CERT-ÍS sem er fyrir þjónustuhópinn einvörðungu, að hluta eða öllu leyti. Sveitin starfrækir þjónustuvef sem eykur verulega skilvirkni við vinnslu hvers atviks. Á þjónustuvefnum geta aðilar þjónustuhópsins fengið upplýsingar um viðbrögð, stundað tilkynningaskipti, skoðað tölfræði, viðvaranir o.fl. Meðhöndlun öryggisatvika

Sveitin ráðleggur og/eða aðstoðar við að hrinda ákveðnum viðbrögðum af stað innan netumdæmisins, samræmir aðgerðir sé þess þörf og metur hvort gera þarf öðrum viðvart um atvikið.

Fastmótuð samræming og samhæfing

Í neyðarástandi sinnir sveitin samhæfingar- og samræmingarhlutverki innan netumdæmisins. Slík samvinna er fastmótuð með aðilum þjónustuhópsins sem og almannavarnaraðilum með tilliti til skipulags, undirbúnings og aðstöðu. Nauðsynlegar heimildir til ákvarðanatöku og aðgerða eru fyrirfram skilgreindar.

Samráðsvettvangur er myndaður um tiltekin málefni og/eða innan þess geira þjóðfélagsins sem viðkomandi aðili er í.

Netæfingar og þjálfun

Sveitin stendur fyrir og/eða tekur þátt í netverndar- og þanþolsæfingum (Cyber Exercises) sem fyrst og fremst snúa að netumdæminu. Áhersla í æfingum er breytileg, sem og hverjir innan netumdæmisins taka þátt hverju sinni. Æfingar geta verið alþjóðlegar eða bundnar við Ísland og taka yfirleitt mið af sviðsettu neyðarástandi í netheimum.

Upplýsingaskipti

Öllum aðilum í þjónustuhópnum er jafnóðum haldið upplýstum um það ástand sem kemur fram við gagnaöflun. Á þjónustuvef fá skráðir aðilar innan þjónustuhópsins tilkynningar um

46 http://www.althingi.is/lagas/nuna/2003081.html#G47A 47 http://stjornartidindi.is/Advert.aspx?ID=f5282f2a-6827-4d98-9fc2-0afd611243d6 28

Innanríkisráðuneyti

þau atvik sem snúa að þeim og þar geta þeir jafnframt sent inn tilkynningar um það sem þeir verða áskynja um í sínum innviðum.

Ástandsvitund

Í samvinnu við þjónustuhópinn vinnur sveitin að því að efla sem best ástandsvitund (Situation Awareness), þar sem fylgst er náið með viðbúnaði og ástandi innviða netumdæmisins frá degi til dags. Heildarmynd af ástandi netöryggismála innan netumdæmisins má fá með því að meta fyrirfram áhrif mismunandi öryggisatvika og stóráfalla. Tilgangurinn er að stuðla að réttri ákvarðanatöku þegar á reynir, svo og að virkja nauðsynlegar viðbragðsáætlanir tímanlega.

Landsþjónusta Taka skal fram að landsþjónustan er ekki kjarnaþjónusta hópsins, þ.e. ekki í fyrsta forgangi, heldur styður hún við öryggismál í netumdæminu, jafnframt því að efla almennt netöryggi innanlands. Landstengiliður

CERT-ÍS er landstengiliður (e. National Point of Contact) um CERT-málefni. Þetta þýðir að sveitin vísar upplýsingum og fyrirspurnum sem henni hafa borist um öryggisatvik til hlutaðeigandi aðila hérlendis og erlendis eftir því sem eðli mála gefur tilefni til. Sveitin heldur utan um tengiliða- og þjónustuskrá.

Samráðsvettvangur innanlands

Sveitin tekur þátt í almennri umræðu um netöryggismál m.a. með þátttöku í eða skipan samráðsvettvangs um ýmis tæknileg viðbrögð og skipulag vegna öryggisatvika hérlendis.

Ráðgjöf og leiðbeiningar

Sveitin veitir almenna ráðgjöf um aðgerðir og viðbúnað þegar svo ber undir. Þetta á einnig við um ráðgjöf varðandi undirbúning og uppsetningu á öðrum netöryggissveitum hérlendis. Sveitin gefur út leiðbeiningar í tengslum við alvarleg öryggisatvik sem hætta er á að breiðist út til netumdæmisins, eða ef atvik eða ástand varðar stóran hóp landsmanna, enda er vernd íslenskra fjarskiptaneta eitt af markmiðum sveitarinnar.

Almenn upplýsingaöflun

Sveitin fylgist með ógnum og öryggisatvikum með ýmsu móti, m.a. með upplýsingasöfnun í gegnum samstarfssamninga við ýmsa innlenda og erlenda aðila. Einnig er fylgst með þróun mála hjá systurhópum og öðrum traustum aðilum um nýja veikleika og aðferðir í netárásum. Með þessu hefur sveitin sýn yfir aðsteðjandi ógnir.

Almenn vitundarvakning

Sveitin heldur úti opna vefsetrinu www.cert.is. Jafnframt heldur Póst- og fjarskiptastofnun úti vefsetrinu www.netöryggi.is með almennum upplýsingum um netöryggismál fyrir almenning og smærri fyrirtæki.

Regluleg skýrsla

Árlega birtir netöryggissveitin skýrslu þar sem m.a. er fjallað um ógnir og öryggisatvik hérlendis og almennan fróðleik um netöryggismál.

Alþjóðlegt samstarf

Sem landstengiliður tekur sveitin þátt í alþjóðlegu samstarfi og átaksverkefnum um CERT-málefni og öryggi ómissandi upplýsingainnviða (ÓUI). Enn fremur er hún þátttakandi í norrænu samstarfi CERT-netöryggissveita um gagnkvæm upplýsingaskipti, þar sem skipst er á margs konar gögnum um öryggisatvik, varnir og viðbúnað.

29

Innanríkisráðuneyti

G: Almennt alþjóðlegt samstarf

Netöryggismál eru í eðli sínu alþjóðleg. Samstarf við aðrar þjóðir og alþjóðlegar stofnanir varðandi málaflokkinn verður því að teljast órjúfanlegur hluti þeirra ráðstafanna og aðgerða sem þarf að ráðast í til þess að tryggja netöryggi á Íslandi. Ísland starfar í dag innan fjölmargra alþjóðlegra stofnana, meðal annars Sameinuðu þjóðunum (SÞ) og Norður-Atlantshafsbandalaginu (NATO). Innan þeirra beggja er unnið að málaflokknum og mun Ísland gera sitt besta til þess að sinna honum.

Innan Sameinuðu þjóðanna er meðal annars unnið að almennum notkunarreglum netsins (e. internet governance). Ætlun þeirra er að tryggja öryggi og réttindi bæði einstaklinga og ríkja og búa svo um að allir geti nýtt þau tækifæri sem netið hefur upp á að bjóða. Ísland, ásamt fleiri ríkjum, gengur út frá þeirri grunnreglu að réttindi einstaklinga í raunheimum eigi einnig við í netheimum.

Innan NATO er unnið að beinu öryggi bandalagsins og að því að tryggja öryggi þeirra kerfa sem eru starfsemi þess nauðsynleg. Í því geta einnig falist nauðsynlegir innviðir sem starfsemi NATO í viðkomandi landi reiðir sig á. Ísland getur með þátttöku í þeirri starfsemi unnið að því að tryggja þá innviði sem eru öryggi landsins nauðsynlegir. Þá fara fram upplýsingaskipti á milli ríkja í samstarfinu sem sjá til þess að Ísland geti betur tekist á við hinar ýmsu ógnir í alþjóðakerfinu. Aðrar stofnanir sem Ísland er aðili að vinna einnig í málaflokknum og mun Ísland taka þátt í því starfi eftir því sem við á.

Norrænt samstarf í netöryggismálum á meðal annars rætur sínar að rekja til Stoltenberg skýrslunnar sem kom út í febrúar 2009. Í henni var lagt til að Norðurlöndin taki sig saman og tengi sínar opinberu CERT netöryggissveitir (e. Computer Emergency Response Teams) til þess að geta skipst á upplýsingum og betur varist gegn hverskonar árásum. Árið 2011 gáfu utanríkisráðherrar Norðurlandanna út samstöðuyfirlýsingu og í henni var samstarfið í netöryggismálum áréttað. Netöryggissveitin á Íslandi (CERT-ÍS) hefur tekið þátt í að móta og byggja upp sameiginlegt upplýsingaskiptanet opinberra netöryggissveita Norðurlandanna. Um þessar mundir er unnið er að því innan sveitarinnar að tengjast inn á þetta upplýsingaskiptanet. Hefur norræna samstarfið gengið mjög vel og margs konar reynsla fengist sem nýtist hér heima, bæði við viðbúnað í einstökum málum og við skipulag þessara mála.

Ísland starfar í varnar- og öryggismálum á þeim grundvelli að það sé og verði ávallt herlaust land. Af því leiðir að Ísland ætlar sér ekki að þróa árásargetu í netöryggismálum, heldur byggja upp nauðsynlega getu til þess að verjast og halda aftur af slíkum árásum. Til þess að geta byggt upp þá þekkingu og getu er nauðsynlegt að taka þátt í alþjóðlegri samvinnu. Fjölmargar alþjóðlegar stofnanir, s.s. Netöryggissetur NATO í Tallinn í Eistlandi, bjóða upp á námskeið og/eða æfingar sem geta nýst bæði íslensku starfsfólki og stofnunum sem vinna að málaflokknum. Þá eru ótalin þau tækifæri sem íslenskar menntastofnanir gætu nýtt sér til þess að koma betur að málaflokknum en menntun er ekki síst mikilvæg ef búa á til þá getu sem er starfseminni nauðsynleg.

30

Innanríkisráðuneyti

H: Reynsla Eistlendinga af uppbyggingu net- og upplýsingaöryggis

Eftirfarandi samantekt er byggð á viðtölum í heimsókn formanns starfshópsins til Tallinn, 29.-31. janúar 2014 og ýmsum gögnum henni tengdri.

Eistland varð snemma eitt þeirra ríkja sem tóku forystu í notkun Netsins. Árið 2007 var mikið af stjórnsýslunni komið á Netið og áætlun um uppbyggingu upplýsingasamfélagsins byggðist einkum á aukinni nýtingu net- og upplýsingatækni í samfélaginu og að auka samkeppnishæfni upplýsinga-tækniiðnaðar. Í apríl og maí 2007 urðu stjórnarstofnanir, fréttaveitur, bankar og fjarskiptafyrirtæki fyrir stórfelldum netárásum. Í kjölfarið var strax farið í að móta stefnu varðandi net- og upplýsingaöryggi, jafnframt því sem farið var að styrkja varnir upplýsingakerfa ómissandi innviða þjóðfélagsins. Jafnframt uppbygginu innanlands lögðu Eistar mikla áherslu á alþjóðlegt samstarf, til dæmis uppbyggingu Öndvegisseturs NATO á sviði net- og upplýsingaöryggis í Tallinn og virkrar þátttöku í alþjóðastarfi gegn tölvubrotum, t.d. með því að styrkja ráðstefnur Evrópuráðsins á því sviði. Gildistími stefnunnar voru árin 2008-2013 og hefur hún nú verið til rýni og ný stefna verður kynnt í vor (2014).

Þar sem Eistland er lítið ríki og hefur samt verið í forystu í netöryggismálum, þá var rætt48 við aðila í Eistlandi, innan stjórnsýslu, Öndvegisseturs NATO, sérfræðinga rannsóknastofunar í öryggisfræðum, ráðgjafa og háskóla varðandi reynslu af stefnunni, framkvæmd hennar og netöryggismálum almennt49. Samhljómur var í máli viðmælenda, en þar sem umræðuefnin voru misjöfn þurfa ummælin sem vísað er í að neðan ekki að endurspegla skoðanir allra viðmælenda.

Í upphaflegri stefnu og aðgerðaáætlun var lögð áhersla á (1) víðtækar öryggisráðstafanir, (2) eflingu hæfni og vitundarvakningar, (3) að bæta löggjöf til að styðja víðtæka og trausta notkun upplýsingakerfa, (4) að gera Eistland að leiðandi ríki í alþjóðlegri samvinnu um net- og upplýsingaöryggi og (5) auka vitund almennings á þessu sviði.

Menntun og rannsóknir

Áhersla var strax lögð á menntun á öllum stigum, frá forskóla til háskólastigs. Kennsla til meistaranáms í net- og upplýsingaöryggi hófst árið 2009 og alþjóðleg námsbraut á ensku nú í boði50. Það er þó þörf fyrir fleiri kennara erlendis frá til að geta stutt fleiri doktorsnemendur og kennslu almenn. Stefnt er að efla kennslu á þessu sviði í öðrum námsbrautum (t.d. MBA, viðskiptafræði) og á lægra skólastigum, en til þess þarf fleiri kennara og litið er á háskólanámið í net- og upplýsingafræði sem lykil að því. Öndvegissetur í rannsóknum glæpa á þessu sviði hefur einnig verið byggt upp og boðið verður upp á kennslu á ensku til meistaraprófs frá og með þessu ári (2014).

Vitundarvakning meðal almennings

Á því 5 ára tímabili sem fyrri stefnan tók til hefur verið staðið fyrir ýmsum viðburðum til vitundar-vakningar almennings, en árangur virðist slakari en vonir stóðu til. Samkvæmt ES könnun 2010 var notkun almennings á vírusvarnaforritum neðan meðaltals í bandalaginu. Með vaxandi tíðni tölvubrota var sagt brýnt að leggja meiri áherslu á almenningsfræðslu í Eistlandi.

Þátttaka í alþjóðlegu samstarfi

Mikil áhersla á alþjóðlegt samstarf hefur skilað árangri. Öndvegissetur NATO var byggt upp í Tallinn og á síðasta ári (2013) var Tallinn-handbókin gefin út, sem skilgreinir lagaramma varðandi beitingu net- og upplýsingatækni í átökum. Eistland hefur einnig verið virkt innan Evrópusambandsins,

48 Í lok janúar 2014. 49 Meðal viðmælenda voru Piret Pernik og Emmet Tuohy. Greiningu þeirra á reynslu Eista má sjá í skýrslunni Cyber Space in Estonia: Greater Security, Greater Challenges, útg. 2.9.2013, sjá: http://icds.ee/fileadmin/failid/Piret%20Pernik%20-%20Cyber%20Space%20in%20Estonia.pdf Þessi samantekt styðst við skýrslu þeirra en tekur einnig mið af athugasemdum annarra viðmælanda. 50 www.ttu.ee/cybersecurity 31

Innanríkisráðuneyti

Sameinuðu þjóðanna og Evrópuráðsins, en Eistland er einn meginstuðningsaðili við verkefni ráðsins um baráttu gegn tölvubrotum (samningur Evrópuráðsins um tölvubrot frá 2001 er helsti alþjóðlegi samningur á sínu sviði).

Það sem vantaði í gömlu stefnuna og þörf er að taka á

Í gömlu stefnunni var ekki tekið á skipulagðri glæpastarfsemi, sem er að nýta sér Netið til æ fjölbreyttari fjáröflunar og það var ekki tekið árásum af pólitískum toga á öryggiskerfi ríkisins. Ennfremur var ekki tekið nægilega á njósnum og áfallastjórnun.

Net- og upplýsingaöryggisráð

Almennt þótti þetta hafa gengið eftir, þótt gera megi betur. Þótt einkaaðilar hafi unnið með hinu opinbera, þá hefði samhæfing mátt vera meiri til að unnt væri að hafa betri heildarsýn yfir stöðu mála. Komið var upp net- og upplýsingaöryggisráði, sem er hluti af almennu almannavarnaskipulagi, og í því eru fulltrúar stjórnvalda og helstu hagsmunaaðila (allt að 20 manns alls). Ráðið er undir eins konar almannavarnaráði. Sagt var að ráðið hefði getað verið virkara ef því hefðu verið fengið ákveðin verkefni til úrlausnar við framkvæmd stefnunnar. Nokkrir viðmælendur nefndu gildi þess að geta haft samhæfingarmiðstöð þar sem unnt væri að samhæfa aðgerðir þegar áhrif netárásar geta farið að snerta fleiri en hún upphaflega beinist gegn (þetta er hluti af ráðgjöf sem hefur verið veitt erlendum ríkjum). Atburðarás getur verið hröð og því þurft að bregðast skjótt við, hér getur t.d. net- og upplýsingaöryggisráð gegnt hlutverki.

Nethjálparsveitir

Einskonar netöryggishjálparsveitir voru sagðar hafa vakið athygli erlendra aðila. Það er vettvangur þar sem sérfræðingar á sviði net- og upplýsingaöryggis geta hist og miðlað af reynslu sinni, jafnvel þótt þeir séu í samkeppnisumhverfi. Þetta hefur skapað sérfræðingum ákveðinn sýnileika í þjóðfélaginu og hjá hugsanlegum viðskiptavinum. Sérfræðingarnir hafa veitt ákveðna fræðslu og aðstoð sem samfélagsþjónustu, en allt umfram það er unnið á grunni samnings á milli viðkomandi sérfræðinga (eða fyrirtækis þeirra) og verkkaupa. Við netárás skiptir hver einasti klukkutími máli og sá sem verður fyrir árás þekkir ekki endilega hvaða sérfræðingar gætu komið honum til hjálpar. Netöryggishjálparsveitirnar geta þar hjálpað við að tryggja skjót viðbrögð.

Í þessum netöryggissveitum geta mismunandi aðilar komið saman, frá hinu opinbera (CERT og netöryggisstofnuninni RIA í heild) og frá einkaaðilum, fjarskiptafyrirtækjum, bönkum o.fl.

Í eftirfylgjandi viðræðum við sérfræðinga hér á landi kom fram sú skoðun að það gæti verið gagnlegt að hið opinbera legði til hlutlausan vettvang frekar en þjónustusali eða samtök þeirra, slíkur vettvangur gæti verið á vettvangur nethjálparsveita. Á slíkum vettvangi væri auðveldara að byggja upp traust á milli aðila, hugsanlegra verksala og verkkaupa.

Upplýsingatæknistofnun ríkisins og X-ROAD gagnaveitan

RIHA51, Upplýsingatæknistofun ríkisins, var sett á stofn nýlega og sér um þjónustuveitu ríkisins á sviði upplýsingatækni og gagnagrunna, ríkisgagnaveituna X-ROAD og samhæfingu þjónustu á þessu sviði. Með X-ROAD varð mögulegt fyrir ríkið að samhæfa gagnasnið opinberra upplýsinga, sérstaklega þær sem snúa að einstaklingum. Hver stofnun ber ábyrgð að öruggri varðveislu, en trygg og rekjanleg færsla upplýsinga á milli stofnana er nú orðin mun betri (og ódýrari, lækkun kostnaðar við að ná háu þjónustustigi var einn meginhvatinn að hönnun X-ROAD). Með X-ROAD getur einstaklingur séð hvaða upplýsingar eru geymdar um hann, hver er að nota þær (t.d. hvort sjúkraskýrslur hafi verið skoðaðar og þá af hverjum), jafnframt getur einstaklingur takmarkað notkun upplýsinga um sig. Finnland er nú að undirbúa að taka upp X-ROAD, auk ýmissa annarra landa í Evrópu. Starfsemi RIHA var sögð hafa verið ómetanleg til að bæta net- og upplýsingaöryggi opinberrar þjónustu.

51 Á eistnesku: Riigi Infosüsteemi Amet, á ensku: Estonian Information Systems‘s Authority og til stofnunarinnar er því einnig vísað sem EISA í skjölum á ensku. Sjá vef stofnunarinnar: https://www.ria.ee/ 32

Innanríkisráðuneyti

Þjálfun og æfingar

Þjálfun og æfingar eru lykilþættir við uppbyggingu hæfni. RIHA sér um að skipuleggja æfingar, bæði þátttöku Eistlands í alþjóðlegum æfingum og æfingar, stórar sem smáar innanlands.

Reynsla af framkvæmd stefnu - ráðleggingar

Góður árangur í Eistlandi var meðal annars sagður byggjast á að net- og upplýsingaöryggi er innan almenns almannavarnaskipulags, ekki við hlið þess. Auk þess var gagnlegt að hafa samræmt gagnasnið og samhæfðar öryggisvarnir í X-ROAD gagnaveitu ríkisins.

Ákveðnir veikleikar komu einnig fram við framkvæmd stefnunnar. Hún var ekki nógu vel tengd öðrum stefnum og verkefnum, ábyrgðarskipting var stundum óljós og netöryggisráðið nýttist ekki sem skyldi því það hafði ekkert hlutverk við að fylgjast með framgangi stefnunnar.

Í ljósi reynslunnar var mælt með eftirfarandi: • Tryggja virkan stuðning stjórnmálaleiðtoga í innleiðingu stefnu og eftirfylgni með henni • Tryggja að aðrar stefnur og framkvæmdaáætlanir sem snerta net- og upplýsingaöryggi séu

samhæfðar meginstefnunni. • Skilgreina raunhæfar og mælanlegar vörður og viðeigandi tímaramma • Hafa skilgreiningu ábyrgðar og hlutverka skýra • Taka starf löggæsluaðila með í stefnumótunarvinnu • Leggja áherslu á vernd upplýsingatækni mikilvægra innviða • Notkun netsins byggist á trausti. Nauðsyn þess að byggja upp traust og gera ráðstafanir til

að glata því ekki, í netheimum getur traust glatast á augabragði. • Traust er einnig mikilvægt til að samkeppnisaðilar geti unnið saman í þágu

upplýsingaöryggis. • Traust almennings skiptir öllu: Almenningur þarf að geta treyst að fyrirtæki og stjórnvöld

séu að nýta Netið fyrir almenning, ekki gegn honum. • Gæta sín á hugsanlegri samverkun kerfa. • Hluti þjónustu stjórnvalda við almenning er að koma í veg fyrir glæpavæðingu Netsins • Æfingar mikilvægar, stórar sem smáar, jafnvel má bæta netöryggisþætti inn í aðrar

viðbúnaðaræfingar. Æfingar eru nauðsynlegar hjá öllum sem koma að framkvæmd stefnu um net- og upplýsingaöryggi.

• Hafa víðtæka skilgreiningu á „cyber“, tækniþróun getur komið með samskiptakerfi sem fellur utan skilgreiningar sem takmarkast við stafræn og rafræn gögn. Ekki þótti raunhæft að festa sömu skilgreiningu á „cyber“ fyrir alla notkun, þess í stað yrði að miða við þá skilgreiningu sem samþykkt væri á viðkomandi sviði (t.d. alþjóðasamningi, innan alþjóðastofnunar o.s.frv.).

Almenningur jafnt sem fyrirtæki verða að geta upplifað frelsi, öryggi og traust á Netinu.

Áhugavert á Íslandi: Samhæfingarmiðstöðin

Í viðræðum kom fram að Samhæfingarmiðstöðin í Skógarhlíð þótti vera vettvangur til fyrirmyndar. Það sem þótti áhugavert var að hafa vettvang sem er í reglulegri notkun, viðbragðsaðilar og fjölmiðlar þekkja og þar væri hægt að samhæfa viðbrögð við netatvikum sem væru að þróast út fyrir ramma þess skipulags sem viðbrögð þess sem árásin beinist gegn ráða við. Slíka miðstöð skortir í Eistlandi og í ráðgjöf sinni erlendis hafa eistneskir ráðgjafar hafa mælt með að samanhæfingarmiðstöðvar verði settar upp.

33

Innanríkisráðuneyti

I: Vitundarvakning, menntun og rannsóknir

Fyrirtæki og stofnanir – þjónusta og ábyrgð

Almennt er það svo að fyrirtæki hérlendis bera sjálf ábyrgð á eigin upplýsingaöryggi. Við framkvæmt þess geta þau leitað til annarra fyrirtækja, svo sem um ráðgjöf og stuðning við eigin viðbrögð. Til dæmis getur CERT-ÍS netöryggissveitin veitt fyrirtækjum og stofnunum sem reka ómissandi upplýsingainnviði þjónustu samkvæmt samningi. Tiltekinn hópur fyrirtækja eða ákveðin starfsgrein getur einnig myndað eigin CERT netöryggissveit innan sinnar starfsgreinar og í samstarfi við CERT-ÍS sem starfar á landsvísu (e. National CERT). Jafnframt bjóða ráðgjafafyrirtækli ýmsa þjónustu svo sem fræðslu, áætlanagerð, prófanir og úttektir til að efla netöryggi fyrirtækja og stofnana. Það þarf þó að vera tryggt að þjónusta á þessu sviði sé í boði jafnt fyrir smáa sem stóra, þannig að ekki skapist veikleikar í íslenskum netheimi vegna þess að þjónusta við smáa aðila sé ekki í boði. Fara þarf sérstaklega yfir þarfir og þjónustuframboð með fulltrúum atvinnulífsins og hugsanlega fleiri sem ættu að koma að, t.d. ráðgjafarfyrirtæki. Jafnframt þarf að vera unnt að leggja mat á gæði þjónustunnar.

Öruggara net- og upplýsingaöryggisumhverfi almennings

Mikilvægt er að öryggi sé haft að leiðarljósi allt frá upphafi og það komi ekki eins og ok þegar öllu öðru er lokið. Innanríkisráðuneytið kynnti52 í apríl 2013 nýja stefnu53 um upplýsingasamfélagið 2013 – 2016 og framkvæmdaáætlun54 undir heitinu „Vöxtur í krafti netsins“. Þar er til skoðunar hvernig nýta megi þetta starf til eflingar öryggisvitundar og fræðslu. Nú þegar er búið að semja um námskeið fyrir opinbera starfsmenn til að efla þekkingu á netöryggi.

Hafið er samráð við Persónuvernd og menntamálaráðuneyti, en á vegum ráðuneytisins er verkefni um upplýsingaöryggi í menntun. Meðal vefja um net- og upplýsingaöryggi má nefna : netoryggi.is, netsvar.is, ut.is, og saft.is. Samráð er þegar hafið við skipuleggjendur ýmissa netviðburða.

Samráð við ofangreinda aðila verður nýtt við stefnumótun og gerð aðgerðaáætlana, þar á meðal um hvort unnt sé að ná fram meiri samvirkni í ofangreindri upplýsingamiðlun.

Efling þekkingar og hæfni

Nær öll ríki leggja mikla áherslu á eflingu þekkingar og hæfni innanlands í sinni stefnumótun. Hafa verður samráð við háskóla, ráðgjafafyrirtæki, Staðlaráð og aðra sem kunna að koma að þessu máli. Rætt hefur verið við ýmsa í þessum hópi og ljóst er að það er víða þekkingu og hæfni að finna. Það þarf þó að finna vettvang til samvinnu þegar við á, gera þekkingu sem sýnilegasta og aðgengilegasta og auðvelda öflun frekari þekkingar. Þetta getur verið með ýmsum hætti, t.d. eflingu menntunar, erlendra tengsla, þátttöku í samstarfi og æfingum og nýtingu öndvegsseturs NATO í Tallinn.

Efling samræðu og trausts milli lykilaðila

Víðtækt samstarf nauðsynlegt til að kljást við þær ógnir sem við er að etja en oft eru á ferðinni viðkvæm gögn og viðskiptahagsmunir. Til þess að ná árangri þarf að ríkja traust milli aðila og að menn geti eflt og stundað upplýsingaskipti um netöryggismál. Mikilvægt er að efla hvort tveggja hérlendis.

Koma þarf á samráðsvettvangi um tilteknar ógnir, tækni, viðbúnað og viðbrögð og annað þessu tengt. Tryggja þarf að samstarf af þessu tagi skarist ekki á við samkeppnissjónarmið. Þetta, ásamt æfingum og annarri þjálfun og margs konar samvinnu er mikilvægt til að efla traust milli aðila.

52 http://www.innanrikisraduneyti.is/frettir/nr/28517/ 53 http://www.innanrikisraduneyti.is/media/frettir-2013/Voxtur-i-krafti-netsins-b.pdf 54 http://www.innanrikisraduneyti.is/media/frettir-2013/Voxtur-i-krefti-netsins---framkvaemdaaaetlun.pdf 34

Innanríkisráðuneyti

Fjölmiðlar skipa veigamikið hlutverk í að upplýsa um tækniþróun, ógnir og fleira, og ekki síst hvað beri að varast í netheimum.

Hið opinbera hefur einnig hlutverki að gegna, sem þarf að skilgreina nánar, t.d. að stuðla að margs konar umfjöllun og samræðu á komandi árum. Hvetja þarf fyrirtæki og einstaklinga til að vera virk í umræðunni og fylgjast með hvað ber hæst á hverjum tíma.

Rannsóknir og þróun

Í ljósi þess að netógnir eru síbreytilegar og þróun á þessu sviði er afar hröð er afar mikilvægt að fylgjast vel með stöðu mála og vera í stakk búin að takast hratt á við nýja, óvænta þróun. Kanna þarf kosti þess að efla rannsóknir og þróun t.d. með því að koma slíku starfi fyrir innan vébanda háskólasamfélagsins í samstarfi við fulltrúa markaðarins og stjórnvöld.

Ekki liggur fyrir að hve miklu leyti rannsóknir og þróunarstarf á sviði netöryggismála er sinnt á Íslandi. Þó er líklegt að slíkt sé af skornum skammti. Háskólinn í Reykjavík hefur lagt áherslu á netöryggi. Mikilvægt er að efla þennan þátt og tengja starf þeirra er vinna að netöryggismálum við rannsóknir á háskólastigi og við þau fyrirtæki sem sérhæfa sig á þessu sviði. Ein leið til eflingar er að koma á vísindaráði vegna netöryggis, þar sem fulltrúar háskólasamfélagsins, atvinnulífsins og stjórnvalda ættu aðild. Hlutverk vísindaráðsins gæti verið m.a. að gera tillögur að nauðsynlegu rannsóknarstarfi hérlendis.

Menntun, fræðsla og þjálfun

Innan grunnskólastigsins hafa frjáls félagasamtök stuðlað að eflingu vitandar um netöryggismál og siðferði á Internetinu. Efla og styrkja ber enn frekar þetta starf. Jafnframt þarf að endurskoða námsskrá á grunn- og framhaldsskólastigi með þetta í huga. Einnig þarf að efla menntun og þjálfun kennara hvað þetta varðar.

Skref í þessa átt gæti verið þróun einfalds námsefnis fyrir leikskólakennara og grunnskólakennara, þróaðra námsefni fyrir framhaldsskólastigið og námsefni á háskólastigi fyrir mismunandi notendur upplýsingatækni (þetta verði hluti af almennu tölvulæsi).

Á háskólastigi er mikilvægt að net- og upplýsingaöryggi sé hluti hluti tölvumenntunar, ekki einungis hjá sérfræðingum á þessu sviði. Viðeigandi menntun á þessu sviði þarf einnig að vera hluti menntunar í viðskiptafræði, bókasafns- og upplýsingafræði, MBA-námi, svo dæmi séu tekin.

Upplýsingatækni hjá hinu opinbera - endurmenntun

Í verkefninu Upplýsingatækninámskeið fyrir stjórnendur og sérfræðinga sem fellur undir stefnuna um upplýsingasamfélagið, Vöxtur í krafti netsins, vinnur innanríkisráðuneyti í samstarfi við Samband íslenskra sveitarfélaga og Félag forstöðumanna ríkisstofnana að mótun endurmenntunaráætlunar þar sem m.a. er gert ráð fyrir námskeiðum um öryggismál fyrir starfsmenn sem vinna að upplýsingtæknimálum hjá opinberum stofnunum ríkis og sveitarfélaga. Stefnt er að því að halda fyrstu öryggisnámskeiðin árið 2014.

Einnig er stefnt að því að halda námskeið fyrir vefstjóra opinberra vefja þar sem öryggismál verða hluti af námskeiðinu. Þar verður byggt á fræðsluefni um öryggismál sem nú er í mótun og verður aðgengilegt á ut.is.

Lögregla

Mikilvægt er að lögreglumenn og sérfræðingar á vegum lögreglunnar geti sótt sér viðeigandi menntunar, þjálfunar og endurmenntunar, enda mjög ör þróun á þessu sviði. Slík menntun er bæði í boði á háskólastigi og einnig er Europol mikilvægur samstarfsaðili á þessu stigi.

35

Innanríkisráðuneyti

Dómarar og saksóknarar

Fræðsla fyrir dómara og saksóknara er mjög brýn, þeir yrðu að vera læsir á gögn í tölvubrotamálum og glæpamenn mættu ekki komast upp með að gera út á vankunnáttu dómara og saksóknara. Á vegum Evrópuráðsins er búið að útbúa grunnfræðsluefni55, einnig er unnt að fá ítarlegra efni ef þörf krefur.

Almenn vitundarvakning

Efla þarf þekkingu og vitund almennings um netöryggismál. Stefnt skal að því að þróa tiltekin viðmið (norm) um skynsamlega og siðlega hegðun á Internetinu.

Hið sama gildir um að efla þekkingu almennra fyrirtækja og stofnana á netöryggismálum, þeim ógnum sem við blasa og hvaða ráðstafanir er eðlilegt að gera til að verjast netárásum.

Ein leið til að stuðla að aukinni vitundarvakningu er skiplagning viðburða, eins og víða er gert í öðrum löndum. Sem dæmi um alþjóðlega viðburði má nefna „Cyber security mánuð“ í október, þar sem lönd leggja áherslu á öryggiskynnningar. Af Íslands hálfu árið 2013 var kynning á Hacker Halted ráðstefnunni: http://cybersecuritymonth.eu/ecsm-countries/iceland. Einnig er kynning á „Safer Internet Day“, sem var haldinn 11. febrúar 2014, sjá: http://www.saferinternetday.org/web/iceland/home. Umsjónaraðili hérlendis er SAFT. Sem dæmi um innlenda atburði má nefna UT daginn í nóvember og UT messu SKÝ í febrúar.

55 Sjá: http://www.coe.int/t/dghl/cooperation/economiccrime/cybercrime/Documents/Basic%20Training%20for%20Judges/default_en.asp 36

Innanríkisráðuneyti

J: Leiðbeiningar, stefnur ríkja og áhættugreining

Auk staðla hafa á undanförnum árum verið gefin út ýmis leiðbeiningarrit og skýrslur um net- og upplýsingaöryggi. Fyrst ber að nefna skýrslur ENISA sem fjalla þá gjarnan um tiltekið afmarkað efni. Við stefnumótunarvinnu er hægt að leita að stefnum einstakra ríkja, en einnig má finna ýmsar samantektir þar sem helstu atriði úr stefnum hafa verið tekin saman og þar sem einnig má finna veftengla í viðkomandi stefnurit. Að lokum má nefna ýmis ráðgjafafyrirtæki á sviði net- og upplýsingaöryggis sem birta reglulega greiningarskýrslur, þar sem fjallað um þróun tækni og áhættu á þessu sviði.

Skýrslur ENISA

ENISA hefur nýlega gefið út ýmsar skýrslur um net- og upplýsingaöryggi. Á meðal þeirra eru:

1. National Cyber Security Strategies: Practical Guide on Development and Execution56 (19.12.2012) 2. ENISA Threat Landscape57 (8.1.2013) 3. ENISA Threat Landscape 2013 - Overview of current and emerging cyber-threats58 (11.12.2013) 4. Be Aware, Be Secure. Synthesis of the results of the first European Cyber Security Month59 (17.12.2012) 5. Critical Cloud Computing-A CIIP perspective on cloud computing services60 (14.02.2013) 6. National and International Cyber Security Exercises: Survey, Analysis & Recommendations61

(25.10.2012) 7. Collaborative Solutions For Network Information Security in Education62 (10.12.2012) 8. National Cyber Security Strategies -Setting the course for national efforts to strengthen security in

cyberspace63 (8.5.2012) 9. Cooperation between CERTs and Law Enforcement Agencies in the fight against cybercrime - A first

collection of practices64 (28.2.1012) 10. The Use of Cryptographic Techniques in Europe65 (20.12.2011) 11. Good practice guide for CERTs in the area of Industrial Control Systems - Computer Emergency

Response Capabilities considerations for ICS66 12. Window of exposure… a real problem for SCADA systems?67 13. Large scale UDP attacks: the 2014 trend and how to face it68 14. Recommendations for a methodology of the assessmentof severity of personal data breaches (working

document)69

56 http://www.enisa.europa.eu/activities/Resilience-and-CIIP/national-cyber-security-strategies-ncsss/national-cyber-security-strategies-an-implementation-guide 57 http://www.enisa.europa.eu/activities/risk-management/evolving-threat-environment/ENISA_Threat_Landscape 58 http://www.enisa.europa.eu/media/press-releases/enisa-lists-top-cyber-threats-in-this-year2019s-threat-landscape-report 59 http://www.enisa.europa.eu/activities/cert/security-month/deliverables/2012/ecsm-results 60 http://www.enisa.europa.eu/activities/Resilience-and-CIIP/cloud-computing/critical-cloud-computing 61 http://www.enisa.europa.eu/activities/Resilience-and-CIIP/cyber-crisis-cooperation/cyber-exercises/exercise-survey2012 62 http://www.enisa.europa.eu/activities/stakeholder-relations/nis-brokerage-1/collaborative-solutions-for-network-information-security-in-education 63 http://www.enisa.europa.eu/activities/Resilience-and-CIIP/national-cyber-security-strategies-ncsss/cyber-security-strategies-paper 64 http://www.enisa.europa.eu/activities/cert/support/fight-against-cybercrime/supporting-fight-against-cybercrime/cooperation-between-certs-and-law-enforcement-agencies-in-the-fight-against-cybercrime-a-first-collection-of-practices 65 http://www.enisa.europa.eu/activities/identity-and-trust/library/the-use-of-cryptographic-techniques-in-europe 66 https://www.enisa.europa.eu/activities/cert/support/baseline-capabilities/ics-cerc/good-practice-guide-for-certs-in-the-area-of-industrial-control-systems/at_download/fullReport 67 https://www.enisa.europa.eu/activities/Resilience-and-CIIP/critical-infrastructure-and-services/scada-industrial-control-systems/window-of-exposure-a-real-problem-for-scada-systems/at_download/fullReport 68 https://www.enisa.europa.eu/publications/flash-notes/large-scale-udp-attacks-the-2014-trend-and-how-to-face-it 69 http://www.enisa.europa.eu/activities/identity-and-trust/library/deliverables/dbn-severity/at_download/fullReport 37

Innanríkisráðuneyti

15. Securing personal data in the context of data retention70 16. Inventory of CERT activities in Europe71 17. Brokerage model for Network and Information Security in Education72 18. A Good Practice Collection for CERTs on the Directive on attacks against information systems73 19. Alerts-Warnings-Announcements74

Stefnur ríkja

Evrópusambandið gaf út stefnu sína árið 2013: Cybersecurity Strategy of the European Union: An Open, Safe and Secure Cyberspace - JOIN(2013) 1 final - 7/2/2013

Drög að tilskipun um cyber security liggja einnig fyrir, sjá: http://eeas.europa.eu/policies/eu-cyber-security/cybsec_directive_en.pdf

Á vef Öndvegisseturs NATO um net- og upplýsingaöryggi í Tallinn má finna lista yfir stefnur margra ríkja á þessu sviði: https://www.ccdcoe.org/328.html

Ýmsar aðrar heimildir

Natonal Cyber Security – Framework manual75 (ritstj. Alexander Klimburg, 2012, 253 síður).

Sjá tilskipun Evrópusambandsins 2008/114/EC frá 8. desember 2008 um ómissandi innviði og vernd þeirra, þetta er tilskipun sem gildir einnig á EES svæðinu76

Varðandi stefnu Evrópusambandsins um ómissandi upplýsingainnviði77

Framework for Improving Critical Infrastructure Cybersecurity78

Áhættugreining

Greiningarskýrsla frá CrowdStrike: CrowdStrike Global Threat Report, 2013 YEAR IN REVIEW79

Europol International Cyber Security Protection Alliance (ICSPA) og European Cybercrime Centre (EC3) hjá

70 https://www.enisa.europa.eu/activities/identity-and-trust/library/deliverables/securing-personal-data-in-the-context-of-data-retention/at_download/fullReport 71 https://www.enisa.europa.eu/activities/cert/background/inv/files/inventory-of-cert-activities-in-europe/at_download/fullReport 72 https://www.enisa.europa.eu/activities/stakeholder-relations/nis-brokerage-1/brokerage-model-for-network-and-information-security-in-education/at_download/fullReport 73 https://www.enisa.europa.eu/activities/cert/support/fight-against-cybercrime/the-directive-on-attacks-against-information-systems/at_download/fullReport 74 https://www.enisa.europa.eu/activities/cert/support/awa/at_download/fullReport 75 http://www.ccdcoe.org/369.html 76 http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2008:345:0075:0082:EN:PDF 77http://ec.europa.eu/digital-agenda/en/news/policy-critical-information-infrastructure-protection-ciip og ráðleggingar OECD: http://www.oecd.org/sti/40825404.pdf 78 http://www.nist.gov/cyberframework/upload/cybersecurity-framework-021214-final.pdf 79 http://www.crowdstrike.com/sites/all/themes/crowdstrike2/css/imgs/platform/CrowdStrike_Global_Threat_Report_2013.pdf 38

Innanríkisráðuneyti

Europol gáfu sameiginlega út skýrslu („white paper“) um stöðu og þróun net- og upplýsingaöryggis80

Greiningarskýrslu Symantec fyrir 2013 má finna á Vefnum: 2013 Internet Security Threat Report, Volume 18: http://www.symantec.com/content/en/us/enterprise/other_resources/b-istr_main_report_v18_2012_21291018.en-us.pdf Sjá einnig: http://www.synmatec.com/ Greiningarskýrslur frá TrendMicro: http://www.trendmicro.co.uk/media/misc/trendlabs-q3-2013-security-roundup-en.pdf http://www.trendmicro.co.uk/media/misc/rpt-cashing-in-on-digital-information-en.pdf

Ráðgjafinn Brian Krebs er oft fyrstur til að birta opinberlega greiningu á netógnum og til hans er oft vísað: http://krebsonsecurity.com/

Tilvísanirnar hér að framan eru einungis dæmi um efni sem má finna um net- og upplýsingaöryggi á Vefnum, af fjölmörgu er að taka. Í þessu vali felst ekkert mat á gæðum þessa efnis framyfir annað efni sem er að finna á Vefnum.

80 https://www.europol.europa.eu/content/project-2020-scenarios-future-cybercrime 39

Innanríkisráðuneyti

K: Hugtök

Skilgreining hugtaka er mikilvæg þegar um net- og upplýsingaöryggi er að ræða. Það skiptir augljóslega máli vegna mála sem fara fyrir dóm og alþjóðlegt eðli Netsins skapar vanda ef skilgreiningar hugtaka eru mismunandi á milli landa. Það er enn tölvuverð vinna eftir óunnin á alþjóðavettvangi til samræmingar á þessu sviði. Það er því mikilvægt að fylgst sé grannt með þróun í skilgreiningu lykilhugtaka og skilgreiningar á íslensku og þýðingar endurskoðaðar til samræmis. Þessar skilgreiningar og þýðingar þurfa að vera aðgengilegar miðlægt, til þess að auka líkur á að samræmis sé gætt í þessum málum hérlendis. Undir lok síðasta árs (2013) hófu sænsk stjórnvöld alsherjar úttekt á net- og upplýsingaöryggi í Svíþjóð, eitt meginefnið er skilgreining hugtaka, svo mikilvægur er þessi þáttur metinn.

Við skoðun á þýðingum hugtaka fann starfshópurinn ýmis dæmi sem virtust orka tvímælis og geta verið misvísandi. Það virðist því vera full ástæða til að skoða sérstaklega skilgreiningar hugtaka og tryggja aðgengilega miðlæga vistun.

Sem dæmi má nefna orðið „cyber“, sem er oft skilið sem það vísi til Netsins, merking þess er þó víðtækari. Í riti ENISA National Cyber Contingency Plans – Contents and Lifecycle (apríl 2012) er „cyber“ skilgreint þannig:

„cyber“ refers to the interdependent network of information technology infrastructures and includes technologies such as the Internet, telecommunication network, computer systems, and embedded processors and controllers in critical industries.

Orðið tekur þannig til kerfis upplýsinga sem eru tengjanlegar, í gegnum Netið, fjarskipta- eða tölvukerfi og einnig til slíkra upplýsinga í iðntölvum í mikilvægum innviðum þjóðfélagsins.

Með cyber security er því hér átt við öryggi upplýsingakerfa og með cyber defence, aðgerðir þeim til varnar.

Öndvegissetur NATO í Tallinn, Cooperative Cyber Defence Centre of Excellence81 (CCDCOE), hefur gefið út ýmis rit um öryggi gagna, t.d. CCDCOE National Cyber Security Framework Manual82 (2012, 253 síður). Þetta er ítarlegt rit, þar er tekið á ýmsum grunnþáttum sem vernd upplýsingakerfa byggist á.

Í ritinu er m.a. fjallað um mismun skilgreininga á „cyber“

• Merriam-Webster defines ‘cyber’ as: ‘of, relating to, or involving computers or computer networks (as the Internet). Cyberspace is more than the internet, including not only hardware, software and information systems, but also people and social interaction within these networks.

• The ITU uses the term to describe the ‘systems and services connected either directly to or indirectly to the internet, telecommunications and computer networks.’

• The International Organisation for Standardisation (ISO) uses a slightly different term, defining cyber as ‘the complex environment resulting from the interaction of people, software and services on the internet by means of technology devices and networks connected to it, which does not exist in any physical form.’

• United Kingdom refers to cyberspace as 'all forms of networked, digital activities; this includes the content of and actions conducted through digital networks.' By adding the phrase, 'the content of and actions conducted through,' the government can also address human behaviours that it finds acceptable or objectionable.

81 https://www.ccdcoe.org/ 82 http://www.ccdcoe.org/publications/books/NationalCyberSecurityFrameworkManual.pdf 40