Athugið þessi frétt er meira en 2 ára gömul.

Telur tilmæli um netöryggi íþyngjandi

Mynd með færslu
 Mynd:
Jens Pétur Jensson, framkvæmdastjóri ISNIC sem rekur íslenska höfuðlénið .is, segist hafa áhyggjur af því að umhverfis- og samgöngunefnd Alþingis fylgi tilmælum Póst- og fjarskiptastofnunar og breyti frumvarpi um netöryggi sem nefndin hefur til umfjöllunar. Hann telur tilmælin hafa í för með sér íþyngjandi aðgerðir gagnvart fyrirtæki sínu og öllum netnotendum á Íslandi.

Umhverfis- og samgöngunefnd hefur nú frumvarp til laga um öryggi net- og upplýsingakerfa mikilvægra innviða til umfjöllunar. Frumvarpið er lagt fram í tilefni NIS-tilskipunar Evrópusambandsins (ESB) um samþættingu regluverks um netöryggi innan evrópska efnahagssvæðisins.

Umsagnarfrestur um frumvarpið rann út 14. janúar síðastliðinn og vakti umsögn ISNIC athygli en þar er því haldið fram að frumvarpið gangi lengra en tilskipun ESB. Þar eru úrræði netöryggissveitar Póst- og fjarskiptastofnunar sögð íþyngjandi fyrir ISNIC. Orðalag frumvarpsins um hvort netöryggissveitin þurfi að óska eftir eða geti krafist aðgangs að tækjum og upplýsingum er helsta ágreiningsefnið.

Meira: Póst- og fjarskiptastofnun: „Það er ekki verið að hlera eitt eða neitt“

Þegar frumvarpið var lagt í samráðsgátt Stjórnvalda síðasta sumar var netöryggissveitinni veitt heimild til þess að krefjast þess að eftirlitsbúnaður yrði tengdur eða upplýsingum streymt úr mikilvægum upplýsingainnviðum. ISNIC gerði athugasemdir við það og var þessu breytt áður en frumvarpið var lagt fyrir Alþingi. Netöryggissveitin fengi nú aðeins heimild til að óska eftir aðgangi að upplýsingum úr mikilvægum innviðum.

Hvað eru mikilvægir innviðir?

Jens Pétur telur ekki neinar líkur á öðru en að sú þjónusta sem ISNIC rekur, ekki síst Reykjavík Internet Exchange (RIX), falli undir skilgreininguna „mikilvægur innviður“. RIX er eins konar skiptiborð fyrir IP-tölur sem öll netumferð á Íslandi fer um. ISNIC hefur rekið RIX án hagnaðarsjónarmiða síðan fyrirtækið var stofnað og ætlar að gera það þannig áfram nema því fari að fylgja aukinn kostnaður eða virkni skiptiborðsins heftuð vegna öryggiseftirlits.

Póst- og fjarskiptastofnun segir það hins vegar ekki víst hvort starfsemi ISNIC falli undir þessa skilgreiningu og leggur áherslu á að netöryggiseftirlit verði gert í samvinnu við þá sem reka netþjónustu á Íslandi.

Jens Pétur segist vera ánægður með að Póst- og fjarskiptastofnun vilji sinna eftirliti sínu í samstarfi við þau fyrirtæki sem reki netinnviðina. Það sé hins vegar mikilvægt að það sé vel skilgreint og að eftirlitsaðilum sé settur skýr rammi. Það sé ekki gert í frumvarpinu eins og það standi nú.

Ethernet hub.
 Mynd: jadey919 - RGBStock

Segir stofnunina í tilvistarkreppu

„Það sem ég hef áhyggjur af er að nefndin muni hlusta á Póst- og fjarskiptastofnun, stofnunina sem á að framfylgja þessum lögum, og veita stofnuninni þessa heimild og setja þetta aftur inn í frumvarpið,“ segir Jens Pétur. Hann segir ISNIC styðja meira öryggi á netinu og að tilskipun ESB sé jákvætt skref. „Það má ekki nota það til að fara af stað með miklu umfangsmeira eftirlit en tilskipunin segir til um,“ segir Jens Pétur.

„Stofnunin er í tilvistarkreppu því hún veit að hún verður ekki til eftir nokkur ár. Hún er að leita að öðrum geirum til þess að hafa eftirlit með. Þetta er ekkert bara svona hérna á Íslandi. Þetta er svona um allan heim,“ segir Jens Pétur.

IP-umferð inniheldur allt

Í umsögn ISNIC segir meðal annars að ekki sé tilgreint með hvaða þáttum internetsins netöryggissveitin geti haft eftirlit með. Að mati ISNIC þarf að tryggja með skýrum hætti í lögum að innihaldi netumferðar verði ekki safnað, heldur einungis umferðarupplýsingar. Það megi, með öðrum orðum, ekki safna þeim upplýsingum sem sendar eru á milli heldur aðeins skrá það að samskiptin hafi átt sér stað.

Jens Pétur bendir á að ýmis gögn flæði um netið og þar með RIX – ekki bara upplýsingar vefsíðna eða streymisveita á borð við Netflix heldur líka símtöl. „Ég held að fólk átti sig ekki á því að IP-umferð inniheldur allt. Hún inniheldur líka símtölin okkar,“ segir hann.

„Ég held að enginn sem hugsi þetta til enda myndi vilja að einhver eftirlitsstofnun myndi safna allri internettraffík, hafa aðgang að henni undir einhverjum formerkjum,“ segir Jens Pétur. „Og svo getur maður spurt sig: Ef það kemur upp eitthvað hroðalegt atkvik – mikil netárás á Ísland – á stofnunin að bera ábyrgð á því að þetta hafi átt sér stað fyrst hún benti ekki á þetta. Þetta eru kallaðar snemmbúnar viðvaranir í frumvarpinu. Þetta vilja þeir taka þetta enn lengra og segjast geta varað okkur við bara um leið og árás verður,“ segir Jens Pétur.