Athugið þessi frétt er meira en 2 ára gömul.

Telur netöryggissveit fá of miklar heimildir

epa05965970 A source code on a computer in Taipei, Taiwan, 13 May 2017 (issued 15 May 2017). According to news reports, Cyber security firm TREND Micro warned that there will be more victims of ransomware 'WannaCry' on Monday when government
 Mynd: EPA
ISNIC, rekstraraðili íslenska höfuðlénsins .is, telur frumvarp samgöngu- og sveitarstjórnarráðherra um netöryggismál ganga allt of langt og veita netöryggissveit Póst- og fjarskiptastofnunar allt of víðtækar heimildir til þess að fylgjast með netumferð á Íslandi.

Í umsögn ISNIC segir að fyrirtækið telji frumvarpið mun veigameira en NIS-tilskipun Evrópusambandsins (ESB) geri ráð fyrir. Það setji þyngri skyldur varðandi neteftirlit og ekki hafi verið færð rök fyrir því að þyngra eftirlit þurfi að vera með netumferð á Íslandi en í öðrum löndum EES.

Póst- og fjarskiptastofnun hefur aftur á móti sagt að frumvarpið gangi of skammt og telur heimildir netöryggissveitar stofnunarinnar ekki nægar til þess að hún geti sinnt skyldum sínum. Stofnunin vill að orðalagi frumvarpsins verði breytt þannig að hún geti óhindrað komið fyrir hlerunarbúnaði á netbeini sem ISNIC rekur og hraðar allri netumferð á Íslandi.

Byggir á fyrstu netöryggislöggjöf ESB

Markmið frumvarpsins er að stuðla að öryggi og viðnámsþrótti net- og upplýsingakerfa miðlægra innviða. Það er að einhverju leyti byggt á NIS-tilskipun ESB um net- og upplýsingakerfi (e. Network and Information Systems, NIS).

Frumvarpið var lagt fyrir Alþingi í byrjun desember á síðasta ári og hefur umhverfis- samgöngunefnd Alþingis málið nú til umfjöllunar. Nefndin óskaði eftir umsögnum um miðjan síðasta mánuð og rann fresturinn til að skila umsögnum út 14. janúar.

Mynd með færslu
 Mynd: Pexels

Meðal þeirra sem skila umsögn um frumvarpið er ISNIC. Þar er bent á að frumvarp ráðherra gangi að mörgu leyti lengra en tilskipun Evrópusambandsins geri ráð fyrir. NIS-tilskipunin hafi verið unnin í samráði við hagsmunaaðila í Evrópu og fyrirtæki sem sjá um netinnviði og höfuðlén Evrópulanda.

Allt snýst um RIX

RIX er skiptistöð íslenskra internetþjónustuaðila, eins konar skiptiborð fyrir IP-tölur sem kemur í veg fyrir að innlandsumferð um netið flæði um útlandasambönd að óþörfu. Með RIX er umferð um netið á Íslandi mun hraðari en hún væri ella. ISNIC hefur hingað til rekið RIX án hagnaðarmarkmiðs en þannig er því ekki farið í nágrannalöndum.

Til útskýringar má líkja RIX við netbeini á heimili fólks. Um netbeininn (sem yfirleitt er kallaður router) fer öll netumferð heimilis. Á sama hátt fer öll netumferð á Íslandi um RIX. Í frumvarpinu er RIX, netbeinirinn sem ISNIC rekur, skilgreindur sem „mikilvægur innviður“ og þannig verða á hann settar kvaðir ef frumvarpið nær fram að ganga.

Mynd með færslu
Reykjavík Internet Exchange er skiptistöð fyrir alla netumferð á Íslandi.

Póst- og fjarskiptastofnun vill geta komið fyrir búnaði til að sækja upplýsingar í RIX sjálfvirkt, en telur frumvarpið ekki kveða nógu fast að orði um hvernig netöryggissveit getur komið því í kring að slíkum hlerunarbúnaði verði komið fyrir. Ákvæðið um að stofnunin geti „óskað eftir“ að koma fyrir búnaði til þess að sækja upplýsingar sjálfvirkt sé allt of óljóst. Stofnunin telur að netöryggissveitin verði að hafa „viðhlítandi verkfæri“ til að sinna hlutverki sínu. Upplýsingar séu nauðsynleg forsenda þess að það sé hægt.

ISNIC mótmælir þessu og telur að viðbótarkvaðir og -kostnaður geti sett rekstur RIX í uppnám, fjárhagslega séð. ISNIC ætlar að hætta rekstri í núverandi mynd ef ákveðið verður að taka tillit til umsagnar Póst- og fjarskiptastofnunar í lögunum. Netverjar munu þá þurfa að greiða fyrir aðgang að RIX með beinum eða óbeinum hætti.

Þjóðaröryggismál að mati Póst- og fjarskiptastofnunar

Í umsögn Póst- og fjarskiptastofnunar um frumvarpið eru það sagðir ríkir þjóðarhagsmunir að stuðla að auknu öryggi netþjónustu fyrir utanaðkomandi ógnum. Að mati stofnunarinnar er nauðsynlegt að tryggja með afdráttarlausum hætti ákveðnar forsendur sem stofnunin telur nauðsynlegar og stuðla að eflingu á starfi netöryggissveitarinnar. Þetta verði aðeins gert með því að „herða upp á frumvarpi því sem nú er til umfjöllunar.“

Netöryggissveit Póst- og fjarskiptastofnunar, CERT-ÍS, hefur starfað á Íslandi frá 2013 í samræmi við reglugerð innanríkisráðuneytisins. Markmið sveitarinnar er að fyrirbyggja og draga úr hættu á netárásum og öðrum svokölluðum öryggisatvikum í netumdæmi hennar. Umdæmi sveitarinnar nær nú til fjarskiptafyrirtækja sem reka almenn fjarskiptanet og veita aðgang að internetinu og internetþjónustu. Almennir notendur eru ekki í umdæmi netöryggissveitarinnar.

Netöryggissveitin hefur svo það hlutverk að greina og meta öryggisatvik innan netumdæmisins. Sveitin á að leiðbeina eða leiða viðbrögð við öryggisatvikum. Í lagafrumvarpinu sem umhverfis- og samgöngunefnd hefur nú til umfjöllunar er netumdæmi sveitarinnar víkkað út og telur Póst- og fjarskiptastofnun mikilvægt að stærra umdæmi fylgi aukið fé til þess að hægt sé að sinna eftirliti með góðu móti.