Netárásir án landamæra: Hvað getum við lært af nýrri netöryggisstefnu Bandaríkjanna? Valdimar Óskarsson skrifar 26. mars 2025 09:31 Í liðinni viku gaf forseti Bandaríkjanna út tilskipun um færslu ábyrgðar á viðbrögðum við netárásum frá alríkisstjórninni til ríkjanna 50 sem mynda Bandaríkin. Þessi áherslubreyting er gerð á sama tíma og netárásir verða sífellt alvarlegri og útbreiddari - og óhætt að segja að hún geti haft varanleg áhrif á þjóðaröryggi Bandaríkjanna. Þetta veldur áhyggjum enda er full ástæða til að hafa áhyggjur af samhæfingu, samræmi og mismunandi getu ríkja til að verjast árásum. En hvað þýðir þetta fyrir okkur á Íslandi? Segja má að þessi þróun sé skýrt merki um að jafnvel tæknivæddustu þjóðir heims eiga í erfiðleikum með að halda í við netógnir. Árásaraðilar sækja í innviði Líkt og aðrar þjóðir standa Bandaríkin frammi fyrir síbreytilegu landslagi netárása. Skipulagðir netglæpahópar hakkara herja á fyrirtæki og stofnanir - og eru óþreytandi uppspretta nýrra árásaraðferða sem erfitt er að halda í við. Á sama tíma eykur flókin virðiskeðja hugbúnaðar - þar sem veikleikar í hugbúnaði sem fyrirtæki kaupa af öðrum eru nýttir til netárása - flækjustig þeirra varna sem grípa þarf til. Þá hafa netárásir óvinveittra þjóðríkja farið ört vaxandi með auknum stríðsátökum og óróleika á alþjóðasviðinu. Árásaraðilar hafa sérstakan áhuga á lykilinnviðum samfélaga, s.s. orkuinnviðum, vatnsveitum, fjármálakerfum, matvælaframleiðslu og innviðum heilbrigðisgeirans, því þannig geta þeir lamað heilu samfélögin án þess að til hefðbundins hernaðar þurfi að koma. Sá skortur á samræmi og samhæfingu sem fylgir dreifðari ábyrgð mun að öllum líkindum auðvelda árásaraðilum að gera netárásir á lykilinnviði einstakra ríkja Bandaríkjanna, enda munu sum ríki vera verr varin en önnur. Fyrir Ísland, sem er mjög háð stafrænum innviðum en hefur takmarkaða fjármuni í samanburði við til dæmis Bandaríkin, ætti þessi áherslubreyting að vera þörf áminning um mikilvægi markvissrar nálgunar við netöryggi. Netöryggi er þjóðaröryggi Ísland þarf að nálgast netöryggi sem hluta af þjóðaröryggi, ekki bara sem tæknimál sem er á ábyrgð tæknifólks. Það er því afar jákvætt að sjá að netöryggismál ríkisins, þar á meðal CERT-IS (Netöryggissveit stjórnvalda), flytjast til utanríkisráðuneytisins og þá áherslu sem lögð verður á miðlæga og samhæfða stefnu um netöryggi á landsvísu. Með þessu móti verður hægt að efla viðbúnað og samhæfingu viðbragða gegn netógnum, og stíga mikilvæg skref í þá átt að styrkja þjóðaröryggi Íslands á stafrænum vettvangi. Stjórnendur bera ábyrgð og þurfa úrræði Á sama tíma er brýnt að valdefla og styðja við þær stofnanir sem bera endanlega ábyrgð á því að lykilinnviðir samfélagsins lamist ekki þegar þeir verða fyrir árásum, enda fullvíst að öll fyrirtæki og stofnanir munu einhverntímann verða fyrir netárásum. Framkvæmd netöryggis og endanleg ábyrgð liggur nefnilega hjá stjórnendum þessara stofnana - og samkvæmt NIS-2 reglugerðinni munu þeir bera persónulega ábyrgð á afleiðingum netárása hafi þeir ekki gripið til nægilegra netöryggisráðstafana. Netöryggið byrjar hjá notandanum Þegar kemur að netöryggi liggur stærsti veikleiki allra þjóða í skorti á vitund um og þekkingu á netöryggi. Fyrirtæki og stofnanir munu ekki geta byggt upp þann mannauð sem þarf til að halda í við veldisvöxt netárása. Við getum hins vegar nýtt bestu mögulegu leiðir sem í boði eru til að fyrirbyggja alvarlegar afleiðingar netárása. Þar skiptir mestu að innleiða stefnu sem byggir á því að ekki sé hægt að treysta aðgerðum, t.d. í gegnum fjartengingar, sjálfkrafa (Zero-Trust). Í því felst meðal annars að aðgangur allra notenda að kerfum fyrirtækja og stofnana er stöðugt sannreyndur - og að gert sé ráð fyrir að hakkari hafi nú þegar komist inn í kerfin í gegnum fjartengingu. Ný hugsun – nýjar varnir Rúmlega 90% gagnagíslaárása eru framkvæmdar í gegnum fjartengingar, sem hakkarar nýta til að komast óséðir inn í kerfi og safna viðkvæmum gögnum yfir lengri tíma. Rannsóknir sýna að hakkarar hafa að meðaltali 280 daga til að athafna sig innan kerfa áður en þeirra verður vart. Fjöldi netárása sem heppnast, þrátt fyrir hefðbundnar öryggislausnir, undirstrikar mikilvægi þess að við séum skrefi á undan netglæpamönnum.Þessi staðreynd segir okkur að fyrirtæki og stofnanir verða að ganga lengra í netöryggi en hefðbundin auðkenningar- og aðgangsstýringarkerfi bjóða upp á. Nauðsynlegt er að innleiða lausnir sem tryggja að raunverulegur notandi – ekki árásaraðili – standi á bak við allar aðgerðir í viðkvæmum kerfum. Slík staðfesting á öllum notendasamskiptum í rauntíma skiptir sköpum við að greina flóknar árásir og stöðva þær áður en þær valda skaða, s.s. gagnagíslatöku og leka persónugreinanlegra upplýsinga um notendur og viðskiptavini, eða yfirtöku á stjórn innviða. Netöryggi er hópíþrótt Það er brýnt að við lítum á netöryggi sem óaðskiljanlegan hluta af þjóðaröryggi og vinnum saman - stjórnvöld, fyrirtæki og stofnanir - að því að nálgast netöryggi með heildstæðum, markvissum og samhæfðum hætti og nýtum til þess bestu mögulegu tæknilausnir. Aðeins þannig getum við mætt vaxandi ógn í síbreytilegu landslagi netárása - sem virða engin landamæri. Höfundur er framkvæmdastjóri og einn stofnenda netöryggisfyrirtæksins Keystrike. Viltu birta grein á Vísi? Sendu okkur póst. Senda grein Netöryggi Mest lesið Hugsum fíknivanda upp á nýtt - Ný nálgun í meðhöndlun fíknivanda og áhættuhegðunar Svala Jóhannesdóttir,Lilja Sif Þorsteinsdóttir Skoðun Við viljum tala íslensku, en hvernig Ólafur Guðsteinn Kristjánsson Skoðun Umbúðir en ekkert innihald í Hafnarfirði Einar Geir Þorsteinsson Skoðun Tímamót í sjálfsvígsforvörnum Ingibjörg Isaksen Skoðun Sumt er bara ekki hægt að rökræða Ása Lind Finnbogadóttir Skoðun Yfirgangur, yfirlæti og endastöð Strætó Axel Hall Skoðun Hættur heimsins virða engin landamæri Tótla I. Sæmundsdóttir Skoðun Halldór 27.03.2024 Halldór Þúsundir kusu Sönnu Anna Bentína Hermansen Einarsdóttir,Ármann Hákon Gunnarsson,Baldvin Björgvinsson,Brynja Guðnadóttir,Haraldur Ingi Haraldsson,Jón Hallur Haraldsson,Kolbrún Erna Pétursdóttir,Ólafur H. Ólafsson,Rakel Hildardóttir,Sigrún Jónsdóttir Skoðun Landið talar Davíð Arnar Oddgeirsson Skoðun Skoðun Skoðun Umbúðir en ekkert innihald í Hafnarfirði Einar Geir Þorsteinsson skrifar Skoðun Við viljum tala íslensku, en hvernig Ólafur Guðsteinn Kristjánsson skrifar Skoðun Mansalsmál á Íslandi Kristján Þórður Snæbjarnarson skrifar Skoðun Hættur heimsins virða engin landamæri Tótla I. Sæmundsdóttir skrifar Skoðun Tímamót í sjálfsvígsforvörnum Ingibjörg Isaksen skrifar Skoðun Yfirgangur, yfirlæti og endastöð Strætó Axel Hall skrifar Skoðun Hugsum fíknivanda upp á nýtt - Ný nálgun í meðhöndlun fíknivanda og áhættuhegðunar Svala Jóhannesdóttir,Lilja Sif Þorsteinsdóttir skrifar Skoðun Háskólinn á Bifröst – Öflugur og sjálfstæður fjarnámsskóli Sólveig Hallsteinsdóttir skrifar Skoðun Það eru fleiri fiskar í sjónum og fleiri sjónarmið í hafstjórn Guðbjörg Ásta Ólafsdóttir skrifar Skoðun Skapandi menntun skilar raunverulegum árangri Bryngeir Valdimarsson skrifar Skoðun Sex ára sáttmáli Davíð Þorláksson skrifar Skoðun Af hverju kynjafræði? Og hvaða greinar hafa fengið svipaðar mótbárur í gegnum tíðina? Guðrún Elísa Friðbjargardóttir Sævarsdóttir skrifar Skoðun Stjórnendur sem mega ekki stjórna Stefán Vagn Stefánsson skrifar Skoðun Stokkhólmseinkenni sem við ættum að forðast Aðalsteinn Júlíus Magnússon skrifar Skoðun Eflum iðnlöggjöfina og stöðvum brotin Hilmar Harðarson skrifar Skoðun Pjattkratar taka til Þorsteinn Sæmundsson skrifar Skoðun Sumt er bara ekki hægt að rökræða Ása Lind Finnbogadóttir skrifar Skoðun Vaxtamunarviðskipti láta aftur á sér kræla Jökull Sólberg Auðunsson skrifar Skoðun Áskorun til ríkisstjórnarinnar: Innleiðum birgðaskyldu á eldsneyti Halla Hrund Logadóttir skrifar Skoðun Rétt skal vera rétt um gatnamót við Höfðabakka og Bæjarháls Dóra Björt Guðjónsdóttir skrifar Skoðun Háskólasamfélagið geri skyldu sína strax, stjórnvöld hafa brugðist Auður Magndís Auðardóttir,Elí Hörpu og Önundar,Eyrún Ólöf Sigurðardóttir,Helga Ögmundardóttir,Íris Ellenberger,Inga Björk Margrétar Bjarnadóttir,Katrín Pálmad. Þorgerðardóttir skrifar Skoðun Þúsundir kusu Sönnu Anna Bentína Hermansen Einarsdóttir,Ármann Hákon Gunnarsson,Baldvin Björgvinsson,Brynja Guðnadóttir,Haraldur Ingi Haraldsson,Jón Hallur Haraldsson,Kolbrún Erna Pétursdóttir,Ólafur H. Ólafsson,Rakel Hildardóttir,Sigrún Jónsdóttir skrifar Skoðun NATO riðar til falls en hvað þýðir það fyrir skilnaðarbarnið Ísland? Steinunn Ólína Þorsteinsdóttir skrifar Skoðun Græðgin í forgrunni Kolbrún Áslaugar Baldursdóttir skrifar Skoðun Greiningar eða lausnir – hvort vegur þyngra? Sigurður Árni Reynisson skrifar Skoðun Sterk staða Hafnarfjarðar Orri Björnsson skrifar Skoðun Bless bless jafnlaunavottun Sigríður Margrét Oddsdóttir skrifar Skoðun Miðstýrt skólakerfi eða fjölbreytni með samræmdu gæðamati? Bogi Ragnarsson skrifar Skoðun Heiðursgestur Viðreisnar vill heimsveldi Hjörtur J. Guðmundsson skrifar Skoðun Veðmál barna – hættulegur leikur sem hægt er að stöðva Jóhann Steinar Ingimundarson skrifar Sjá meira
Í liðinni viku gaf forseti Bandaríkjanna út tilskipun um færslu ábyrgðar á viðbrögðum við netárásum frá alríkisstjórninni til ríkjanna 50 sem mynda Bandaríkin. Þessi áherslubreyting er gerð á sama tíma og netárásir verða sífellt alvarlegri og útbreiddari - og óhætt að segja að hún geti haft varanleg áhrif á þjóðaröryggi Bandaríkjanna. Þetta veldur áhyggjum enda er full ástæða til að hafa áhyggjur af samhæfingu, samræmi og mismunandi getu ríkja til að verjast árásum. En hvað þýðir þetta fyrir okkur á Íslandi? Segja má að þessi þróun sé skýrt merki um að jafnvel tæknivæddustu þjóðir heims eiga í erfiðleikum með að halda í við netógnir. Árásaraðilar sækja í innviði Líkt og aðrar þjóðir standa Bandaríkin frammi fyrir síbreytilegu landslagi netárása. Skipulagðir netglæpahópar hakkara herja á fyrirtæki og stofnanir - og eru óþreytandi uppspretta nýrra árásaraðferða sem erfitt er að halda í við. Á sama tíma eykur flókin virðiskeðja hugbúnaðar - þar sem veikleikar í hugbúnaði sem fyrirtæki kaupa af öðrum eru nýttir til netárása - flækjustig þeirra varna sem grípa þarf til. Þá hafa netárásir óvinveittra þjóðríkja farið ört vaxandi með auknum stríðsátökum og óróleika á alþjóðasviðinu. Árásaraðilar hafa sérstakan áhuga á lykilinnviðum samfélaga, s.s. orkuinnviðum, vatnsveitum, fjármálakerfum, matvælaframleiðslu og innviðum heilbrigðisgeirans, því þannig geta þeir lamað heilu samfélögin án þess að til hefðbundins hernaðar þurfi að koma. Sá skortur á samræmi og samhæfingu sem fylgir dreifðari ábyrgð mun að öllum líkindum auðvelda árásaraðilum að gera netárásir á lykilinnviði einstakra ríkja Bandaríkjanna, enda munu sum ríki vera verr varin en önnur. Fyrir Ísland, sem er mjög háð stafrænum innviðum en hefur takmarkaða fjármuni í samanburði við til dæmis Bandaríkin, ætti þessi áherslubreyting að vera þörf áminning um mikilvægi markvissrar nálgunar við netöryggi. Netöryggi er þjóðaröryggi Ísland þarf að nálgast netöryggi sem hluta af þjóðaröryggi, ekki bara sem tæknimál sem er á ábyrgð tæknifólks. Það er því afar jákvætt að sjá að netöryggismál ríkisins, þar á meðal CERT-IS (Netöryggissveit stjórnvalda), flytjast til utanríkisráðuneytisins og þá áherslu sem lögð verður á miðlæga og samhæfða stefnu um netöryggi á landsvísu. Með þessu móti verður hægt að efla viðbúnað og samhæfingu viðbragða gegn netógnum, og stíga mikilvæg skref í þá átt að styrkja þjóðaröryggi Íslands á stafrænum vettvangi. Stjórnendur bera ábyrgð og þurfa úrræði Á sama tíma er brýnt að valdefla og styðja við þær stofnanir sem bera endanlega ábyrgð á því að lykilinnviðir samfélagsins lamist ekki þegar þeir verða fyrir árásum, enda fullvíst að öll fyrirtæki og stofnanir munu einhverntímann verða fyrir netárásum. Framkvæmd netöryggis og endanleg ábyrgð liggur nefnilega hjá stjórnendum þessara stofnana - og samkvæmt NIS-2 reglugerðinni munu þeir bera persónulega ábyrgð á afleiðingum netárása hafi þeir ekki gripið til nægilegra netöryggisráðstafana. Netöryggið byrjar hjá notandanum Þegar kemur að netöryggi liggur stærsti veikleiki allra þjóða í skorti á vitund um og þekkingu á netöryggi. Fyrirtæki og stofnanir munu ekki geta byggt upp þann mannauð sem þarf til að halda í við veldisvöxt netárása. Við getum hins vegar nýtt bestu mögulegu leiðir sem í boði eru til að fyrirbyggja alvarlegar afleiðingar netárása. Þar skiptir mestu að innleiða stefnu sem byggir á því að ekki sé hægt að treysta aðgerðum, t.d. í gegnum fjartengingar, sjálfkrafa (Zero-Trust). Í því felst meðal annars að aðgangur allra notenda að kerfum fyrirtækja og stofnana er stöðugt sannreyndur - og að gert sé ráð fyrir að hakkari hafi nú þegar komist inn í kerfin í gegnum fjartengingu. Ný hugsun – nýjar varnir Rúmlega 90% gagnagíslaárása eru framkvæmdar í gegnum fjartengingar, sem hakkarar nýta til að komast óséðir inn í kerfi og safna viðkvæmum gögnum yfir lengri tíma. Rannsóknir sýna að hakkarar hafa að meðaltali 280 daga til að athafna sig innan kerfa áður en þeirra verður vart. Fjöldi netárása sem heppnast, þrátt fyrir hefðbundnar öryggislausnir, undirstrikar mikilvægi þess að við séum skrefi á undan netglæpamönnum.Þessi staðreynd segir okkur að fyrirtæki og stofnanir verða að ganga lengra í netöryggi en hefðbundin auðkenningar- og aðgangsstýringarkerfi bjóða upp á. Nauðsynlegt er að innleiða lausnir sem tryggja að raunverulegur notandi – ekki árásaraðili – standi á bak við allar aðgerðir í viðkvæmum kerfum. Slík staðfesting á öllum notendasamskiptum í rauntíma skiptir sköpum við að greina flóknar árásir og stöðva þær áður en þær valda skaða, s.s. gagnagíslatöku og leka persónugreinanlegra upplýsinga um notendur og viðskiptavini, eða yfirtöku á stjórn innviða. Netöryggi er hópíþrótt Það er brýnt að við lítum á netöryggi sem óaðskiljanlegan hluta af þjóðaröryggi og vinnum saman - stjórnvöld, fyrirtæki og stofnanir - að því að nálgast netöryggi með heildstæðum, markvissum og samhæfðum hætti og nýtum til þess bestu mögulegu tæknilausnir. Aðeins þannig getum við mætt vaxandi ógn í síbreytilegu landslagi netárása - sem virða engin landamæri. Höfundur er framkvæmdastjóri og einn stofnenda netöryggisfyrirtæksins Keystrike.
Hugsum fíknivanda upp á nýtt - Ný nálgun í meðhöndlun fíknivanda og áhættuhegðunar Svala Jóhannesdóttir,Lilja Sif Þorsteinsdóttir Skoðun
Þúsundir kusu Sönnu Anna Bentína Hermansen Einarsdóttir,Ármann Hákon Gunnarsson,Baldvin Björgvinsson,Brynja Guðnadóttir,Haraldur Ingi Haraldsson,Jón Hallur Haraldsson,Kolbrún Erna Pétursdóttir,Ólafur H. Ólafsson,Rakel Hildardóttir,Sigrún Jónsdóttir Skoðun
Skoðun Hugsum fíknivanda upp á nýtt - Ný nálgun í meðhöndlun fíknivanda og áhættuhegðunar Svala Jóhannesdóttir,Lilja Sif Þorsteinsdóttir skrifar
Skoðun Háskólinn á Bifröst – Öflugur og sjálfstæður fjarnámsskóli Sólveig Hallsteinsdóttir skrifar
Skoðun Það eru fleiri fiskar í sjónum og fleiri sjónarmið í hafstjórn Guðbjörg Ásta Ólafsdóttir skrifar
Skoðun Af hverju kynjafræði? Og hvaða greinar hafa fengið svipaðar mótbárur í gegnum tíðina? Guðrún Elísa Friðbjargardóttir Sævarsdóttir skrifar
Skoðun Áskorun til ríkisstjórnarinnar: Innleiðum birgðaskyldu á eldsneyti Halla Hrund Logadóttir skrifar
Skoðun Rétt skal vera rétt um gatnamót við Höfðabakka og Bæjarháls Dóra Björt Guðjónsdóttir skrifar
Skoðun Háskólasamfélagið geri skyldu sína strax, stjórnvöld hafa brugðist Auður Magndís Auðardóttir,Elí Hörpu og Önundar,Eyrún Ólöf Sigurðardóttir,Helga Ögmundardóttir,Íris Ellenberger,Inga Björk Margrétar Bjarnadóttir,Katrín Pálmad. Þorgerðardóttir skrifar
Skoðun Þúsundir kusu Sönnu Anna Bentína Hermansen Einarsdóttir,Ármann Hákon Gunnarsson,Baldvin Björgvinsson,Brynja Guðnadóttir,Haraldur Ingi Haraldsson,Jón Hallur Haraldsson,Kolbrún Erna Pétursdóttir,Ólafur H. Ólafsson,Rakel Hildardóttir,Sigrún Jónsdóttir skrifar
Skoðun NATO riðar til falls en hvað þýðir það fyrir skilnaðarbarnið Ísland? Steinunn Ólína Þorsteinsdóttir skrifar
Hugsum fíknivanda upp á nýtt - Ný nálgun í meðhöndlun fíknivanda og áhættuhegðunar Svala Jóhannesdóttir,Lilja Sif Þorsteinsdóttir Skoðun
Þúsundir kusu Sönnu Anna Bentína Hermansen Einarsdóttir,Ármann Hákon Gunnarsson,Baldvin Björgvinsson,Brynja Guðnadóttir,Haraldur Ingi Haraldsson,Jón Hallur Haraldsson,Kolbrún Erna Pétursdóttir,Ólafur H. Ólafsson,Rakel Hildardóttir,Sigrún Jónsdóttir Skoðun