Varðberg, samtök um vestræna samvinnu og alþjóðamál Varðberg, samtök um vestræna samvinnu og alþjóðamál
Ólöf Nordal innanríkisráðherra lagði nýlega fram skýrslu á alþingi um net- og upplýsingaöryggi. Þar er kynnt það markmið að Íslendingar „búi við Net sem þeir geti treyst og þar séu í heiðri höfð mannréttindi, persónuvernd ásamt frelsi til athafna, efnahagslegs ávinnings og framþróunar. Örugg upplýsingatækni sé ein meginstoð hagsældar á Íslandi, studd af öflugri öryggismenningu og traustri löggjöf. Jafnframt sé samfélagið vel búið til að taka á netglæpum, árásum, njósnum og misnotkun persónu- og viðskiptaupplýsinga“.
Í skýrslunni er gerð gerin fyrir hættum sem að steðja í netheimum og leiðum til að verjast þeim. Bent er að tiltölulega fámennur hópur glæpamanna geti valdið miklu tjóni með því að beita þekkingu sinni á ólögmætan hátt. Tungumálið og fjarlægð hafi áður verið Íslendingum „viss vörn gegn mörgum ógnum“, svo sé ekki lengur. Glæpasamtök kunni einnig vel að nýta sér veilur í lagalegu umhverfi einstakra þjóðríkja eða á alþjóðavettvangi. Þau láti til skarar skríða þar sem eftir sem mestu sé að slægjast og þar sem varnir séu veikastar.
Um stöðuna hér landi segir að afla þurfi varnir mikilvægra innviða samfélagsins. Það sé fjölþætt verkefni. Lagt er til að netöryggissveit almannavarna komi til sögunnar hinn 1. september 2015. Hún sé virk allan sólarhringinn alla daga ársins. Sérstök áhersla verði lögð á fjarskipta-, veitu- og fjármálafyrirtæki og þau kerfi sem eru mikilvæg vegna flugsamgangna við umheiminn.
Þá segir í skýrslunni:
„Meginstoðir í stefnu Íslands í öryggis og varnarmálum byggja á samstarfi við NorðurAtlantshafsbandalagið (NATO), virku samstarfi við grannríki og varnarsamningnum við Bandaríkin. […] Að verja þá innviði sem þessi starfsemi hér á landi reiðir sig á er því eitt af mikilvægustu atriðum í vörnum landsins. Af því tilefni var nýverið skrifað undir samkomulag við NATO Cyber Defence Management Board sem mun leiða til aukins samstarfs á þessu sviði. Til marks um áherslu bandalagsins á netöryggi var ákveðið á nýafstöðnum leiðtogafundi þess [í Wales í september 2014] að netárás gæti fallið undir fimmtu grein stofnsáttmálans [árás á einn er árás á alla].“
Starfshópurinn sem samdi skýrsluna var skipaður á vegum innanríkisráðuneytisins í júní 2013 og var Sigurður Emil Pálsson, sérfræðingur í innanríkisráðuneytinu, formaður hans.
Í þeim kafla skýrslunnar sem ber fyrirsögnina: Vaxandi ógn vegna glæpa og óheimillar söfnunar og nýtingar upplýsinga segir:
„Eðli netárása og innbrota hefur verið að breytast undanfarin ár. Það eru ekki lengur einstaklingar sem eru að smíða veirur og brjótast inn sem eru mest áberandi, skipulögð glæpasamtök og jafnvel ríki hafa tekið við. Ör þróun hefur verið í skipulagðri glæpastarfsemi á Netinu. Þetta geta verið glæpir sem eru hefðbundnir í eðli sínu, en sem taka á sig annað og mun stærra form vegna Netsins. Dæmi um þetta eru blekkingar eða stuldur sem beint er gegn mjög stórum hópi. Segja má að innan alþjóðlegrar glæpastarfsemi á þessu sviði hafi orðið viss iðnbylting. Starfsemin byggist ekki lengur á að hafa mjög hæfa handverksmenn á þessu sviði. Árásartækni, viðkvæmar upplýsingar og gagnaþýfi eru orðin að torrekjanlegri söluvöru á svörtum alþjóðlegum markaði. Glæpamenn þurfa ekki að hafa mikla tækniþekkingu, hana má kaupa frá sérhæfðum aðilum auk búnaðar og ýmissar annarrar þjónustu. Fullkomin árásar- eða njósnakerfi geta því verið samsett úr einingum sem koma frá mismunandi löndum. Þetta getur valdið því að erfiðara er að greina uppruna tiltekinna árása. Álitið er að tiltölulega lítill vel menntaður hópur, jafnvel aðeins um hundrað manns, standi á bak við þróun öflugasta búnaðarins. Háþróað neðanjarðarhagkerfi þýðir hins vegar að þessi búnaður stendur mörgum til boða. Mörg innbrot hafa náð athygli fjölmiðla vegna þess að gerandinn hefur auglýst verknaðinn en ætla má að ótilkynnt innbrot séu mun fleiri. Þá láta ýmsar varasamar ógnir lítið yfir sér. Má þar m.a. nefna stuld á upplýsingum (t.d. iðnaðarleyndarmálum) og ógnir gegn upplýsingakerfum mikilvægra innviða í samfélaginu. Tungumálið og fjarlægð voru okkur áður viss vörn gegn mörgum ógnum en svo er ekki lengur. Glæpasamtökin kunna einnig vel að nýta sér veilur í lagalegu umhverfi, bæði hjá einstökum þjóðríkjum og hvað snertir alþjóðlega samvinnu. Þau láta til skarar skríða þar sem eftir sem mestu er að slægjast og þar sem varnir eru veikastar. Europol gaf út skýrslu 2. mars 2015, þar sem lýst er mati á hvernig skiplögð glæpastarfsemi sé að taka stakkaskiptum um þessar mundir og færa sig yfir á Netið í æ ríkari mæli. Lýst er hvernig ný tegund glæpamanna sé að verða algengari, menn sem bjóði ýmsa þjónustu á Netinu og noti það til afbrota, samskipta og greiðslumiðlunar.
Öryggisfyrirtækið McAfee gaf út skýrslu í júní 2014 um mat á hnattrænum kostnaði vegna glæpa á sviði net- og upplýsingaöryggis. Þar kemur fram það mat að flest ríki og fyrirtæki vanmeti þessa ógn og þann kostnað sem henni fylgi, beinan sem óbeinan. Jafnframt sé vanmetið hversu hratt þessi ógn getur aukist. Kostnaðurinn geti hæglega verið 1% þjóðarframleiðslu. Hann einn segi ekki alla söguna, því þessir glæpir beinist iðulega að þeim sviðum þjóðfélagsins þar sem nýsköpun og þróun ætti að vera mest. Glæpirnir hafi því áhrif á vinnumarkaðinn og skaði atvinnuþróunartækifæri. Tækni- og þekkingarstörfum fækki. Þetta getur einnig leitt til atgervisflótta úr landi. Auka þurfi upplýsingaflæði um netárásir, en nú kjósa flest fyrirtæki að tilkynna þær ekki. Vanmat á hættu verður til þess að ekki er gripið til nauðsynlegra varna og það eru skipulögð glæpasamtök að nýta sér í vaxandi mæli því þeim finnst lítil áhætta fylgja glæpum á þessu sviði enn sem komið er. Lamandi áhrif skipulagðrar glæpastarfsemi getur því gætt víðar en ætla mætti í fyrstu.
Fullyrt hefur verið að ýmis ríki standi á bak við innbrot í tölvukerfi, sérstaklega þegar um er að ræða tölvukerfi mikilvægra innviða annarra ríkja. Erfitt getur verið að sanna slíkt, jafnvel þegar um stórtæka netárás er að ræða því hún getur verið gerð frá tölvubúnaði þriðja aðila, jafnvel að honum óafvitandi. Ýmis stórfyrirtæki sem bjóða þjónustu á Netinu fjármagna hana með því að selja upplýsingar notenda sinna. Vaxandi umræða er víða um lönd hvar sé rétt að draga mörkin í þessum efnum, jafnvel þegar notandi hefur samþykkt skilmála sem hafa verið gerðir honum aðgengilegir. Í allri þessari söfnun og nýtingu upplýsinga er mikilvægt að tryggja að ekki sé brotið á einstaklingum, fyrirtækjum og stofnunum, t.d. á sviði persónuverndar. Alþjóðlegar kröfur um vernd persónuupplýsinga og rekjanlegt gagnaöryggi eru sífellt að verða strangari. Sumt af þessu hefur beint gildi í íslensku lagaumhverfi og má þar nefna reglugerðir Evrópusambandsins.“
