Netöryggi til framtíðar Unnur Kristín Sveinbjarnardóttir skrifar 14. júlí 2025 12:01 Netöryggi er ekki lengur valkostur heldur lykilþáttur í öryggi íslensks samfélags. Hér á landi eru margar grundvallarþjónustur háðar virkni upplýsinga- og fjarskiptakerfa, og öflugt netöryggi er því nauðsynlegt fyrir stöðugleika og virkni samfélagsins. Alþingi samþykkti nýverið lög sem breyta Varnarmálalögum með þeim hætt að þau færa CERT-IS, landsbundið öryggis- og viðbragðsteymi vegna netatvika og áhættu, frá Fjarskiptastofu og undir stjórn utanríkisráðuneytisins. Markmiðið laganna er að efla varnartengda þætti á sviði netöryggis. Áfram mun CERT-IS sinna lögbundnu hlutverki sínu á grundvelli netöryggislaga. Þrátt fyrir þessar breytingar er mikilvægt að undirstrika að netöryggisábyrgð stjórnvalda nær langt út fyrir CERT-IS. Innviðaráðherra fer áfram með málefni netöryggis á grundvelli forsetaúrskurðar þar um og þá gegnir netöryggissvið Fjarskiptastofu og önnur eftirlitsstjórnvöld áfram kjarnahlutverki í fyrirbyggjandi netöryggisvörnum samfélagsins. Sviðið gegnir samhæfingar- og ráðgjafarhlutverki gagnvart öðrum eftirlitsstjórnvöldum varðandi framkvæmd netöryggislaganna og er tengiliður íslenskra stjórnvalda á sviði netöryggis og tekur þátt í stefnumarkandi samstarfi Evrópusambandsins á þessu sviði, Norðurlandasamstarfi og í nefndarstarfi NATO. Heildstæð og áhættumiðuð sýn: Netöryggisstjórnun í nýju landslagi Netöryggissviðið Fjarskiptastofu ber ábyrgð á eftirliti með netöryggi gagnvart kjarnainnviðum stafræns samfélags og eru verkefni þess víðtæk – allt frá áhættugreiningum, úttektum og prófunum á netvörnum til stefnumótunar og samstarfs við innlend og erlend stjórnvöld. Þetta felst í framkvæmd sjálfsmata til að meta stöðu netöryggis hjá aðilum, dýpri úttektum á stjórnkerfi netöryggis sem og prófunum á netvörnum aðila. Þá framkvæmdir netöryggissvið ýmsar áhættugreiningar t.a.m. vegna sérstakra ógna á borð við innrás Rússa í Úkraínu og/eða sérstakra kerfa líkt og 5G kerfa. Öll þessi verkefni miða að því að greina áhættur þannig að hægt sé að grípa til fyrirbyggjandi aðgerða og auka þannig netöryggi samfélagsins. Í flestum tilvikum er aðilum gefin bindandi fyrirmæli um úrbætur til að bæta heildarnetöryggi aðila og eru í gildi í dag, tugir slíkra fyrirmæla hjá mismunandi mikilvægum innviðum. Með samræmdri nálgun, virku samstarfi og gagnadrifnu eftirliti vinnur netöryggissvið að því að efla viðnámsþol íslensks samfélags gagnvart sífellt flóknari netógnum. En virkar og vandaðar öryggisráðstafanir lágmarka þá áhættu sem steðjar stöðugt að öryggi net- og upplýsingakerfa. Í flóknu pólitísku alþjóðaumhverfi nútímans og með vaxandi netógnum verður fyrirbyggjandi netöryggi síst ofmetið. Formföst og virk umgjörð og stjórnun netöryggis leika ekki einungis lykilhlutverk við að tryggja virkni þjónustu og vernda upplýsingar fyrirtækja, heldur er það fyrsta varnarlínan til að gæta þjóðarhagsmuna, tryggja efnahagslegan- og samfélagslegan stöðugleika og vernda borgaranna. Sviðið fer einnig með eftirlit með rafrænum auðkenningum, rafrænum undirritunum og öðrum traustþjónustum. Þegar fram líða stundir mun það einnig sinna eftirliti tengdu stafræna auðkennisveskinu (EU Identity Wallet). Þetta er ekki síður mikilvægt verkefni þegar kemur að öryggi þeirrar stafrænu þróunar sem nú á sér stað hér á landi. Til viðbótar þá hýsir netöryggissvið Fjarskiptastofu Eyvöru – hæfnissetur Íslands í netöryggi. Eyvör er öflugur vettvangur fyrir fræðslu, þjálfun og samstarf sem miðar að því að efla færni, sérfræðiþekkingu og getu á sviði netöryggis. Tímamótalöggjöf Evrópusambandsins Í þessu tilliti er jafnframt nauðsynlegt að nefna nýja netöryggistilskipun Evrópusambandsins – almennt kölluð NIS2-tilskipun. Hún markar tímamót í netöryggismálum á Evrópska efnahagssvæðinu og mun hafa veruleg áhrif á hvernig aðildarríki skipuleggja og framfylgja netöryggi. Tilskipunin setur ríkari kröfur bæði á aðildarríkin sjálf sem og mikilvæga innviði um formlega stjórnun netöryggis, áhættumiðaða nálgun og upplýsingaskyldu um alvarleg atvik. Þá krefst hún samræmdra aðgerða innan ríkja og styrkrar samvinnu milli netöryggisstofnana á vettvangi ESB. Með NIS2 eykst einnig ábyrgð stjórnenda og skýrari krafa er gerð um að lönd hafi virka yfirsýn, framkvæmd og eftirfylgni með stöðu netöryggis í samfélagslega mikilvægu kerfum. Netöryggissvið Fjarskiptastofu hefur gegnt lykilhlutverki við undirbúning og innleiðingu NIS2 hér á landi. Mikilvægi samþættingar upplýsinga fyrir netöryggi Íslands Í krafti samhæfingarhlutverks síns leiðir netöryggissvið Fjarskiptastofu einnig uppbyggingu og framkvæmd aðferðafræði eftirlits hjá öðrum eftirlitsstofnunum. Þannig vinnur sviðið með Samgöngustofu, Umhverfis- og orkustofnun, Embætti landlæknis og Seðlabanka Íslands á þessu sviði. Saman eiga framangreind stjórnvöld að ná heildarmynd af netöryggisgetu samfélagsins. Með samræmdri nálgun og virku samstarfi tryggir sviðið að netöryggiskröfur séu útfærðar með samræmdum hætti milli greina. Í dag stendur netöryggissviðið t.a.m. að framkvæmd samhæfðs sjálfsmats allra aðila sem falla undir netöryggislögin. Markmiðið er að fá heildstæða mynd af stöðu netöryggis mikilvægra innviða í samfélaginu og styðja við forgangsröðun í úrbótum þar sem veikleikar kunna að finnast. Til að tryggja netöryggi íslenskra samfélags- og efnahagslegra mikilvægra innviða þarf að byggja á heildstæðri mynd af netöryggisstöðu þeirra. CERT-IS gegnir auðvitað mikilvægu hlutverki með því að m.a. veita stjórnvöldum stöðugt uppfærðar upplýsingar um stöðumynd ógna á hverjum tíma, sem er liður í áhættumiðaðri stjórnun og eftirliti netöryggis. Með slíkum upplýsingum, auk upplýsinga sem stjórnvöld búa yfir um stöðu aðilanna sjálfra, sem byggja á niðurstöðum sjálfsmata, úttekta, prófana og áhættugreininga stjórnvalda, er hægt að meta stöðu netöryggis hér á landi á nokkuð heildstæðan hátt. Með áhættumiðuðu eftirliti og samhæfingu og samvinnu annarra eftirlitsstjórnvalda er lagður grundvöllur fyrir því að viðeigandi aðgerðir séu settar í gang þar sem veikleikar eða brotalamir koma í ljós. Þannig er stöðugt unnið að því að efla varnir og undirbúa kerfi mikilvægra innviða fyrir þær ógnir sem geta stafað af netárásum eða öðrum netógnunum. Netöryggisstjórnun hérlendis á því að byggja á sterkri samvinnu milli þeirra sem greina og birta ógnarmyndina og þeirra sem framkvæma eftirlit og setja fram kröfur og ráðstafanir gagnvart rekstraraðilum. Enda er slík ógnarmynd og upplýsingar um aðferðafræði árásaðila lykilatriði í því að verjast þeim. Þá er mikilvægt að efla og virkja samstarf við aðra aðila líkt og Ríkislögreglustjóra og önnur lögregluyfirvöld sem fara með greiningar á öryggi ríkisins, viðbrögð í almannavarnarástandi og rannsókn mála, að ógleymdum mikilvægu innviðunum sjálfum. Þessi samtenging er lífsnauðsynleg til að viðhalda varnargetu og viðnámi íslenskra innviða gagnvart sífellt flóknari og öflugri netógnum. Varnir Íslands liggja í traustum og virkum netvörnum mikilvægra innviða, þar sem netöryggisstjórnun og áhættustýring eru lykilþættir til að tryggja samfellu og öryggi samfélagsins alls. Með fyrirbyggjandi aðgerðum, reglubundnu áhættumiðuðu eftirliti, samvinnu og samtengdu viðbragði við ógnarmyndum er tryggt með sem bestum hætti að við stöndumst þær áskoranir sem stafræn samfélög standa frammi fyrir – nú og til framtíðar. Höfundur er sviðsstjóri netöryggissviðs Fjarskiptastofu. Viltu birta grein á Vísi? Kynntu þér reglur ritstjórnar um skoðanagreinar. Senda grein Netöryggi Tækni Mest lesið Maðurinn sem treysti þjóðinni, en ekki lengur Halldór Jörgen Olesen Skoðun UT-mál Reykjavíkurborgar Haukur Arnþórsson Skoðun Hræðslubandalag elítunnar í fílabeinsturninum Sveinn Atli Gunnarsson Skoðun Prófessorinn, hagfræðingurinn og fullveldið Gunnar Ármannsson Skoðun Þegar allt verður forgangsmál Hjálmar Bogi Hafliðason Skoðun Er Ísland tilbúið fyrir dánaraðstoð? Ingrid Kuhlman Skoðun Upptaka evru áhættusöm fyrir lítil hagkerfi Kristinn Sv. Helgason Skoðun Úr gráu yfir í grænt með hjálp 50.000 trjáa Margrét Rós Sigurjónsdóttir Skoðun Varnarsamningurinn og fullveldið Jóhannes Hraunfjörð Karlsson Skoðun Já, áfram Ísland! Óli Rúnar Ástþórsson Skoðun Skoðun Skoðun UT-mál Reykjavíkurborgar Haukur Arnþórsson skrifar Skoðun Er Ísland tilbúið fyrir dánaraðstoð? Ingrid Kuhlman skrifar Skoðun Þolendur sem vitni í eigin málum Inga Valgerður Henriksen Bergdal skrifar Skoðun Maðurinn sem treysti þjóðinni, en ekki lengur Halldór Jörgen Olesen skrifar Skoðun Mælanlegt sjálfstæði þjóðar Sigurður Friðleifsson skrifar Skoðun Af hverju er netöryggisfræðsla grunninnviður? Margrét Valgerður Helgadóttir skrifar Skoðun Ferðaþjónustan er ekki endalaus tekjulind fyrir ríkissjóð Björn Ragnarsson skrifar Skoðun Hlustum á börn – líka þegar þau eru ósammála okkur Tótla I. Sæmundsdóttir skrifar Skoðun Stærsta hópverkefni Íslands Einar Örn Einarsson skrifar Skoðun Úr gráu yfir í grænt með hjálp 50.000 trjáa Margrét Rós Sigurjónsdóttir skrifar Skoðun Er Ísland að undirbúa nemendur fyrir framtíðina? Íris Þóra Birgisdóttir skrifar Skoðun Laugavegur 1: Húsvernd á villigötum Þórður Magnússon skrifar Skoðun Hræðslubandalag elítunnar í fílabeinsturninum Sveinn Atli Gunnarsson skrifar Skoðun Mikilvægi Fjarðarheiðarganga Steinar Björgvinsson skrifar Skoðun Prófessorinn, hagfræðingurinn og fullveldið Gunnar Ármannsson skrifar Skoðun Varnarsamningurinn og fullveldið Jóhannes Hraunfjörð Karlsson skrifar Skoðun Já, áfram Ísland! Óli Rúnar Ástþórsson skrifar Skoðun Þegar allt verður forgangsmál Hjálmar Bogi Hafliðason skrifar Skoðun Sjálfstætt Grænland hefði bæði víðtækari rétt og meiri möguleika en Ísland innan ESB Júlíus Valsson skrifar Skoðun Takk, en NEI takk Jón Pétur Zimsen skrifar Skoðun Reyndi að hindra að Ísland nyti réttlætis Hjörtur J. Guðmundsson skrifar Skoðun Upptaka evru áhættusöm fyrir lítil hagkerfi Kristinn Sv. Helgason skrifar Skoðun Reikningsdæmi handa Ögmundi Arnar Sigurðsson skrifar Skoðun Eilífðar smáblóm... Móheiður Hlíf Geirlaugsdóttir skrifar Skoðun „Eigðu sjálfur þinn helvítis tjakk!“ Ólafur Hauksson skrifar Skoðun Komið með skólabörnin í heimsókn á gamla leikskólann Elína Hallgrímsdóttir skrifar Skoðun Að tala tungum tveim Ingólfur Sverrisson skrifar Skoðun Hver á íslenska fánann? Berglind Guðmundsdóttir skrifar Skoðun Huh eða ro? Freyja Rut Emilsdóttir skrifar Skoðun Vaðlaheiðargöng: greiðsluvilji er allt sem þarf Hilmar Gunnlaugsson skrifar Sjá meira
Netöryggi er ekki lengur valkostur heldur lykilþáttur í öryggi íslensks samfélags. Hér á landi eru margar grundvallarþjónustur háðar virkni upplýsinga- og fjarskiptakerfa, og öflugt netöryggi er því nauðsynlegt fyrir stöðugleika og virkni samfélagsins. Alþingi samþykkti nýverið lög sem breyta Varnarmálalögum með þeim hætt að þau færa CERT-IS, landsbundið öryggis- og viðbragðsteymi vegna netatvika og áhættu, frá Fjarskiptastofu og undir stjórn utanríkisráðuneytisins. Markmiðið laganna er að efla varnartengda þætti á sviði netöryggis. Áfram mun CERT-IS sinna lögbundnu hlutverki sínu á grundvelli netöryggislaga. Þrátt fyrir þessar breytingar er mikilvægt að undirstrika að netöryggisábyrgð stjórnvalda nær langt út fyrir CERT-IS. Innviðaráðherra fer áfram með málefni netöryggis á grundvelli forsetaúrskurðar þar um og þá gegnir netöryggissvið Fjarskiptastofu og önnur eftirlitsstjórnvöld áfram kjarnahlutverki í fyrirbyggjandi netöryggisvörnum samfélagsins. Sviðið gegnir samhæfingar- og ráðgjafarhlutverki gagnvart öðrum eftirlitsstjórnvöldum varðandi framkvæmd netöryggislaganna og er tengiliður íslenskra stjórnvalda á sviði netöryggis og tekur þátt í stefnumarkandi samstarfi Evrópusambandsins á þessu sviði, Norðurlandasamstarfi og í nefndarstarfi NATO. Heildstæð og áhættumiðuð sýn: Netöryggisstjórnun í nýju landslagi Netöryggissviðið Fjarskiptastofu ber ábyrgð á eftirliti með netöryggi gagnvart kjarnainnviðum stafræns samfélags og eru verkefni þess víðtæk – allt frá áhættugreiningum, úttektum og prófunum á netvörnum til stefnumótunar og samstarfs við innlend og erlend stjórnvöld. Þetta felst í framkvæmd sjálfsmata til að meta stöðu netöryggis hjá aðilum, dýpri úttektum á stjórnkerfi netöryggis sem og prófunum á netvörnum aðila. Þá framkvæmdir netöryggissvið ýmsar áhættugreiningar t.a.m. vegna sérstakra ógna á borð við innrás Rússa í Úkraínu og/eða sérstakra kerfa líkt og 5G kerfa. Öll þessi verkefni miða að því að greina áhættur þannig að hægt sé að grípa til fyrirbyggjandi aðgerða og auka þannig netöryggi samfélagsins. Í flestum tilvikum er aðilum gefin bindandi fyrirmæli um úrbætur til að bæta heildarnetöryggi aðila og eru í gildi í dag, tugir slíkra fyrirmæla hjá mismunandi mikilvægum innviðum. Með samræmdri nálgun, virku samstarfi og gagnadrifnu eftirliti vinnur netöryggissvið að því að efla viðnámsþol íslensks samfélags gagnvart sífellt flóknari netógnum. En virkar og vandaðar öryggisráðstafanir lágmarka þá áhættu sem steðjar stöðugt að öryggi net- og upplýsingakerfa. Í flóknu pólitísku alþjóðaumhverfi nútímans og með vaxandi netógnum verður fyrirbyggjandi netöryggi síst ofmetið. Formföst og virk umgjörð og stjórnun netöryggis leika ekki einungis lykilhlutverk við að tryggja virkni þjónustu og vernda upplýsingar fyrirtækja, heldur er það fyrsta varnarlínan til að gæta þjóðarhagsmuna, tryggja efnahagslegan- og samfélagslegan stöðugleika og vernda borgaranna. Sviðið fer einnig með eftirlit með rafrænum auðkenningum, rafrænum undirritunum og öðrum traustþjónustum. Þegar fram líða stundir mun það einnig sinna eftirliti tengdu stafræna auðkennisveskinu (EU Identity Wallet). Þetta er ekki síður mikilvægt verkefni þegar kemur að öryggi þeirrar stafrænu þróunar sem nú á sér stað hér á landi. Til viðbótar þá hýsir netöryggissvið Fjarskiptastofu Eyvöru – hæfnissetur Íslands í netöryggi. Eyvör er öflugur vettvangur fyrir fræðslu, þjálfun og samstarf sem miðar að því að efla færni, sérfræðiþekkingu og getu á sviði netöryggis. Tímamótalöggjöf Evrópusambandsins Í þessu tilliti er jafnframt nauðsynlegt að nefna nýja netöryggistilskipun Evrópusambandsins – almennt kölluð NIS2-tilskipun. Hún markar tímamót í netöryggismálum á Evrópska efnahagssvæðinu og mun hafa veruleg áhrif á hvernig aðildarríki skipuleggja og framfylgja netöryggi. Tilskipunin setur ríkari kröfur bæði á aðildarríkin sjálf sem og mikilvæga innviði um formlega stjórnun netöryggis, áhættumiðaða nálgun og upplýsingaskyldu um alvarleg atvik. Þá krefst hún samræmdra aðgerða innan ríkja og styrkrar samvinnu milli netöryggisstofnana á vettvangi ESB. Með NIS2 eykst einnig ábyrgð stjórnenda og skýrari krafa er gerð um að lönd hafi virka yfirsýn, framkvæmd og eftirfylgni með stöðu netöryggis í samfélagslega mikilvægu kerfum. Netöryggissvið Fjarskiptastofu hefur gegnt lykilhlutverki við undirbúning og innleiðingu NIS2 hér á landi. Mikilvægi samþættingar upplýsinga fyrir netöryggi Íslands Í krafti samhæfingarhlutverks síns leiðir netöryggissvið Fjarskiptastofu einnig uppbyggingu og framkvæmd aðferðafræði eftirlits hjá öðrum eftirlitsstofnunum. Þannig vinnur sviðið með Samgöngustofu, Umhverfis- og orkustofnun, Embætti landlæknis og Seðlabanka Íslands á þessu sviði. Saman eiga framangreind stjórnvöld að ná heildarmynd af netöryggisgetu samfélagsins. Með samræmdri nálgun og virku samstarfi tryggir sviðið að netöryggiskröfur séu útfærðar með samræmdum hætti milli greina. Í dag stendur netöryggissviðið t.a.m. að framkvæmd samhæfðs sjálfsmats allra aðila sem falla undir netöryggislögin. Markmiðið er að fá heildstæða mynd af stöðu netöryggis mikilvægra innviða í samfélaginu og styðja við forgangsröðun í úrbótum þar sem veikleikar kunna að finnast. Til að tryggja netöryggi íslenskra samfélags- og efnahagslegra mikilvægra innviða þarf að byggja á heildstæðri mynd af netöryggisstöðu þeirra. CERT-IS gegnir auðvitað mikilvægu hlutverki með því að m.a. veita stjórnvöldum stöðugt uppfærðar upplýsingar um stöðumynd ógna á hverjum tíma, sem er liður í áhættumiðaðri stjórnun og eftirliti netöryggis. Með slíkum upplýsingum, auk upplýsinga sem stjórnvöld búa yfir um stöðu aðilanna sjálfra, sem byggja á niðurstöðum sjálfsmata, úttekta, prófana og áhættugreininga stjórnvalda, er hægt að meta stöðu netöryggis hér á landi á nokkuð heildstæðan hátt. Með áhættumiðuðu eftirliti og samhæfingu og samvinnu annarra eftirlitsstjórnvalda er lagður grundvöllur fyrir því að viðeigandi aðgerðir séu settar í gang þar sem veikleikar eða brotalamir koma í ljós. Þannig er stöðugt unnið að því að efla varnir og undirbúa kerfi mikilvægra innviða fyrir þær ógnir sem geta stafað af netárásum eða öðrum netógnunum. Netöryggisstjórnun hérlendis á því að byggja á sterkri samvinnu milli þeirra sem greina og birta ógnarmyndina og þeirra sem framkvæma eftirlit og setja fram kröfur og ráðstafanir gagnvart rekstraraðilum. Enda er slík ógnarmynd og upplýsingar um aðferðafræði árásaðila lykilatriði í því að verjast þeim. Þá er mikilvægt að efla og virkja samstarf við aðra aðila líkt og Ríkislögreglustjóra og önnur lögregluyfirvöld sem fara með greiningar á öryggi ríkisins, viðbrögð í almannavarnarástandi og rannsókn mála, að ógleymdum mikilvægu innviðunum sjálfum. Þessi samtenging er lífsnauðsynleg til að viðhalda varnargetu og viðnámi íslenskra innviða gagnvart sífellt flóknari og öflugri netógnum. Varnir Íslands liggja í traustum og virkum netvörnum mikilvægra innviða, þar sem netöryggisstjórnun og áhættustýring eru lykilþættir til að tryggja samfellu og öryggi samfélagsins alls. Með fyrirbyggjandi aðgerðum, reglubundnu áhættumiðuðu eftirliti, samvinnu og samtengdu viðbragði við ógnarmyndum er tryggt með sem bestum hætti að við stöndumst þær áskoranir sem stafræn samfélög standa frammi fyrir – nú og til framtíðar. Höfundur er sviðsstjóri netöryggissviðs Fjarskiptastofu.
Skoðun Sjálfstætt Grænland hefði bæði víðtækari rétt og meiri möguleika en Ísland innan ESB Júlíus Valsson skrifar