Athugið þessi frétt er meira en 2 ára gömul.

„Það er ekki verið að hlera eitt eða neitt“

Mynd með færslu
 Mynd: Guðmundur Bergkvist - RÚV
Þorleifur Jónasson, forstöðumaður tæknideildar hjá Póst- og fjarskiptastofnun, segir mikilvægt að netöryggissveit stofnunarinnar fái heimildir í lögum sem tryggi að hún geti sinnt eftirliti sínu og tryggt netöryggi á Íslandi. Frumvarp til laga um öryggi net- og upplýsingakerfa mikilvægra innviða er nú til umfjöllunar í umhverfis- og samgöngunefnd Alþingis.

Póst- og fjarskiptastofnun hefur beint þeim tilmælum til umhverfis- og samgöngunefndar að auka heimildir netöryggissveitar til þess að safna upplýsingum um netumferð og stafræn kerfi á Íslandi. Það hefur sætt gagnrýni, ekki síst frá ISNIC, rekstraraðila höfuðlénsins .is, sem segir auknar heimildir geta verið íþyngjandi fyrir rekstur internetþjónustu og skapa nýjar ógnir við öryggi á netinu.

Frumvarpið er lagt fram í tilefni NIS-tilskipunar Evrópusambandsins (ESB) um samþættingu regluverks um netöryggi innan evrópska efnahagssvæðisins. Umsagnarfrestur um frumvarpið rann út 14. janúar síðastliðinn og gerir Póst- og fjarskiptastofnun tillögur að fimm breytingum. Orðalag frumvarpsins um hvort netöryggissveitin þurfi að óska eftir eða geti krafist aðgangs að tækjum og upplýsingum er helsta ágreiningsefnið.

Þegar frumvarpið var lagt í samráðsgátt Stjórnvalda síðasta sumar var netöryggissveitinni veitt heimild til þess að krefjast þess að eftirlitsbúnaður yrði tengdur eða upplýsingum streymt úr mikilvægum upplýsingainnviðum. ISNIC gerði athugasemdir við það og var þessu breytt áður en frumvarpið var lagt fyrir Alþingi. Netöryggissveitin fengi nú aðeins heimild til að óska eftir aðgangi að upplýsingum úr mikilvægum innviðum. Þessu vill Póst- og fjarskiptastofnun breyta aftur.

„Í meginatriðum er það eitt atriði sem við höfum lagt áherslu á að breyta og það er í rauninni það netöryggissveit geti ákveðið, eftir eðli mikilvægs innviðar, að koma upp sjálfvirkri upplýsingamiðlun milli hlutaðeigandi innviðar og netöryggissveitar,“ segir Þorleifur. „Þetta er það sem við viljum ná fram, það er að það sé skylda að koma þessari sjálfvirku upplýsingamiðlun fyrir.“

Líkir eftirlitinu við eldgosaeftirlit

Þorleifur segir mikilvægt að eftirlitið geti verið sjálfvirkt að því leyti að það safni upplýsingunum úr þessum helstu kerfum fyrir netöryggissveitina. Eftirlitið verði þannig ekki ósvipað eftirliti Veðurstofu Íslands með helstu eldfjöllum hér á landi. Eldgos eru þá netárásir í þessari líkingu Þorleifs.

„Á Kötlu er komið fyrir vöktunarbúnaði sem er svo fylgst með á Veðurstofunni. Búnaðurinn sendir svo frá sér merki, eða vísa, sem framkallar eitthvað mynstur og það getur gefið til kynna að það sé eldgos á leiðinni. Þannig er hægt að vara við eldgosi með einhverjum fyrirvara. Þetta er nákvæmlega það sem sjálfvirku upplýsingaskiptin sem við erum að tala um gerir.“

epaselect epa06053461 A mirror reflects a computer screen displaying binary code in Taipei, Taiwan, 28 June 2017. Kaspersky Lab reported that the malware, despite resembling 'Petya' malware that affected computers last year, is believed to be a
 Mynd: EPA

Umdæmi netöryggissveitarinnar víkkað út

Með nýja frumvarpinu er netumdæmi netöryggissveitarinnar víkkað út og það látið taka til fleiri innviða sem reiða sig á stafræna stjórnun. Undir stærra umdæmi munu til dæmis falla bankastarfsemi, fjármálamarkaðir, orkuveitur, heilbrigðisþjónusta og vatnsveitur.

Í umdæmið falla einnig „stafræn grunnvirki“ sem samkvæmt skilgreiningu lagafrumvarpsins eru tengi- og skiptipunktar þjónustuveitenda lénsheitakerfis og skráningarstofur höfuðléna. ISNIC telur rekstur sinn falla undir þennan lið, og þá sérstaklega Reykjavík Internet Exchange, RIX, sem er einskonar skiptiborð fyrir IP-tölur og öll netumferð á Íslandi fer um.

Þorleifur segir það ekki víst að RIX falli undir umdæmi netöryggissveitarinnar. Þaðan af síður muni netöryggissveitin vilja tengja búnað við RIX. „Þetta á ekkert sérstaklega við um RIXinn. Við höfum sett fyrirvara um það hvort RIXinn falli þarna undir,“ segir hann og undirstrikar að eftirlitið þurfi að gerast í samvinnu við þau fyrirtæki eða stofnanir sem eiga í hlut. „Það fylgir því ekki að verið sé að setja upp einhvern búnað sem er á vegum netöryggissveitarinnar, það getur verið búnaður sem er til staðar hjá þessum aðilum. Það getur verið RIXinn eða kerfi orkufyrirtækja.“

 „Við viljum koma á sjálfvirkum upplýsingaskiptum. Það er ekki verið að skoða umferðina, ekki verið að hlera eitt eða neitt, og ekki verið að fara fram á persónugreinanleg gögn. Heldur vakta ákveðna vísa sem vírusvarnarkerfi, eldveggir og annað slíkt senda frá sér þegar þeir verða varir við eitthvað óeðlilegt.“

Mynd með færslu
 Mynd: Ragnar Visage - RÚV

Eitt atriði gangi lengra en tilskipun ESB

Í frumvarpinu sem nú er til umfjöllunar í umhverfis- og samgöngunefnd er Stjórnarráð Íslands fellt undir eftirlit netöryggissveitarinnar. Það er að sögn Þorleifs eina atriðið sem gengur lengra en NIS-tilskipunin frá ESB.

Spurður hvers vegna þetta hafi verið gert segir hann það hafa verið ákvörðun ríkisstjórnarinnar að líta á rekstur upplýsingakerfa stjórnarráðsins sem einn af þessum mikilvægu innviðum. „Þannig má tryggja öryggi æðstu stjórnar ríkisins.“

Á Norðurlöndunum hefur stjórnarráðið fyrir löngu verið fellt undir netöryggissveitina. Í Evrópu starfa netöryggissveitirnar að jafnaði undir leyniþjónustum ríkjanna. Hér hefur verið ákveðið að Póst- og fjarskiptastofnun hafi umsjón með þessum málaflokki.

Þorleifur segir mikilvægt að Ísland tileinki sér sameiginlegt regluverk Evrópuríkja um netöryggi til þess að við getum verið í samskiptum við önnur lönd. „Það er horft til þess hvernig Ísland er að verja sig. Ef við erum ekki að verja okkur getum við skapað ógn gagnvart okkar bandamönnum. Það er þess vegna mikilvægt að við séum samanburðarhæf í okkar vörnum.“

„Það er alveg nákvæmlega sama hætta á netárásum á Ísland og annars staðar. Við getum ekki í dag skýlt okkur á bak við það að við séum eitthvað eyland. Á internetinu er enginn eyland og það er engin ástæða til að ætla annað en að sama ógn standi að Íslandi og öðrum ríkjum í kringum okkur,“ segir Þorleifur.