Netöryggi til framtíðar Unnur Kristín Sveinbjarnardóttir skrifar 14. júlí 2025 12:01 Netöryggi er ekki lengur valkostur heldur lykilþáttur í öryggi íslensks samfélags. Hér á landi eru margar grundvallarþjónustur háðar virkni upplýsinga- og fjarskiptakerfa, og öflugt netöryggi er því nauðsynlegt fyrir stöðugleika og virkni samfélagsins. Alþingi samþykkti nýverið lög sem breyta Varnarmálalögum með þeim hætt að þau færa CERT-IS, landsbundið öryggis- og viðbragðsteymi vegna netatvika og áhættu, frá Fjarskiptastofu og undir stjórn utanríkisráðuneytisins. Markmiðið laganna er að efla varnartengda þætti á sviði netöryggis. Áfram mun CERT-IS sinna lögbundnu hlutverki sínu á grundvelli netöryggislaga. Þrátt fyrir þessar breytingar er mikilvægt að undirstrika að netöryggisábyrgð stjórnvalda nær langt út fyrir CERT-IS. Innviðaráðherra fer áfram með málefni netöryggis á grundvelli forsetaúrskurðar þar um og þá gegnir netöryggissvið Fjarskiptastofu og önnur eftirlitsstjórnvöld áfram kjarnahlutverki í fyrirbyggjandi netöryggisvörnum samfélagsins. Sviðið gegnir samhæfingar- og ráðgjafarhlutverki gagnvart öðrum eftirlitsstjórnvöldum varðandi framkvæmd netöryggislaganna og er tengiliður íslenskra stjórnvalda á sviði netöryggis og tekur þátt í stefnumarkandi samstarfi Evrópusambandsins á þessu sviði, Norðurlandasamstarfi og í nefndarstarfi NATO. Heildstæð og áhættumiðuð sýn: Netöryggisstjórnun í nýju landslagi Netöryggissviðið Fjarskiptastofu ber ábyrgð á eftirliti með netöryggi gagnvart kjarnainnviðum stafræns samfélags og eru verkefni þess víðtæk – allt frá áhættugreiningum, úttektum og prófunum á netvörnum til stefnumótunar og samstarfs við innlend og erlend stjórnvöld. Þetta felst í framkvæmd sjálfsmata til að meta stöðu netöryggis hjá aðilum, dýpri úttektum á stjórnkerfi netöryggis sem og prófunum á netvörnum aðila. Þá framkvæmdir netöryggissvið ýmsar áhættugreiningar t.a.m. vegna sérstakra ógna á borð við innrás Rússa í Úkraínu og/eða sérstakra kerfa líkt og 5G kerfa. Öll þessi verkefni miða að því að greina áhættur þannig að hægt sé að grípa til fyrirbyggjandi aðgerða og auka þannig netöryggi samfélagsins. Í flestum tilvikum er aðilum gefin bindandi fyrirmæli um úrbætur til að bæta heildarnetöryggi aðila og eru í gildi í dag, tugir slíkra fyrirmæla hjá mismunandi mikilvægum innviðum. Með samræmdri nálgun, virku samstarfi og gagnadrifnu eftirliti vinnur netöryggissvið að því að efla viðnámsþol íslensks samfélags gagnvart sífellt flóknari netógnum. En virkar og vandaðar öryggisráðstafanir lágmarka þá áhættu sem steðjar stöðugt að öryggi net- og upplýsingakerfa. Í flóknu pólitísku alþjóðaumhverfi nútímans og með vaxandi netógnum verður fyrirbyggjandi netöryggi síst ofmetið. Formföst og virk umgjörð og stjórnun netöryggis leika ekki einungis lykilhlutverk við að tryggja virkni þjónustu og vernda upplýsingar fyrirtækja, heldur er það fyrsta varnarlínan til að gæta þjóðarhagsmuna, tryggja efnahagslegan- og samfélagslegan stöðugleika og vernda borgaranna. Sviðið fer einnig með eftirlit með rafrænum auðkenningum, rafrænum undirritunum og öðrum traustþjónustum. Þegar fram líða stundir mun það einnig sinna eftirliti tengdu stafræna auðkennisveskinu (EU Identity Wallet). Þetta er ekki síður mikilvægt verkefni þegar kemur að öryggi þeirrar stafrænu þróunar sem nú á sér stað hér á landi. Til viðbótar þá hýsir netöryggissvið Fjarskiptastofu Eyvöru – hæfnissetur Íslands í netöryggi. Eyvör er öflugur vettvangur fyrir fræðslu, þjálfun og samstarf sem miðar að því að efla færni, sérfræðiþekkingu og getu á sviði netöryggis. Tímamótalöggjöf Evrópusambandsins Í þessu tilliti er jafnframt nauðsynlegt að nefna nýja netöryggistilskipun Evrópusambandsins – almennt kölluð NIS2-tilskipun. Hún markar tímamót í netöryggismálum á Evrópska efnahagssvæðinu og mun hafa veruleg áhrif á hvernig aðildarríki skipuleggja og framfylgja netöryggi. Tilskipunin setur ríkari kröfur bæði á aðildarríkin sjálf sem og mikilvæga innviði um formlega stjórnun netöryggis, áhættumiðaða nálgun og upplýsingaskyldu um alvarleg atvik. Þá krefst hún samræmdra aðgerða innan ríkja og styrkrar samvinnu milli netöryggisstofnana á vettvangi ESB. Með NIS2 eykst einnig ábyrgð stjórnenda og skýrari krafa er gerð um að lönd hafi virka yfirsýn, framkvæmd og eftirfylgni með stöðu netöryggis í samfélagslega mikilvægu kerfum. Netöryggissvið Fjarskiptastofu hefur gegnt lykilhlutverki við undirbúning og innleiðingu NIS2 hér á landi. Mikilvægi samþættingar upplýsinga fyrir netöryggi Íslands Í krafti samhæfingarhlutverks síns leiðir netöryggissvið Fjarskiptastofu einnig uppbyggingu og framkvæmd aðferðafræði eftirlits hjá öðrum eftirlitsstofnunum. Þannig vinnur sviðið með Samgöngustofu, Umhverfis- og orkustofnun, Embætti landlæknis og Seðlabanka Íslands á þessu sviði. Saman eiga framangreind stjórnvöld að ná heildarmynd af netöryggisgetu samfélagsins. Með samræmdri nálgun og virku samstarfi tryggir sviðið að netöryggiskröfur séu útfærðar með samræmdum hætti milli greina. Í dag stendur netöryggissviðið t.a.m. að framkvæmd samhæfðs sjálfsmats allra aðila sem falla undir netöryggislögin. Markmiðið er að fá heildstæða mynd af stöðu netöryggis mikilvægra innviða í samfélaginu og styðja við forgangsröðun í úrbótum þar sem veikleikar kunna að finnast. Til að tryggja netöryggi íslenskra samfélags- og efnahagslegra mikilvægra innviða þarf að byggja á heildstæðri mynd af netöryggisstöðu þeirra. CERT-IS gegnir auðvitað mikilvægu hlutverki með því að m.a. veita stjórnvöldum stöðugt uppfærðar upplýsingar um stöðumynd ógna á hverjum tíma, sem er liður í áhættumiðaðri stjórnun og eftirliti netöryggis. Með slíkum upplýsingum, auk upplýsinga sem stjórnvöld búa yfir um stöðu aðilanna sjálfra, sem byggja á niðurstöðum sjálfsmata, úttekta, prófana og áhættugreininga stjórnvalda, er hægt að meta stöðu netöryggis hér á landi á nokkuð heildstæðan hátt. Með áhættumiðuðu eftirliti og samhæfingu og samvinnu annarra eftirlitsstjórnvalda er lagður grundvöllur fyrir því að viðeigandi aðgerðir séu settar í gang þar sem veikleikar eða brotalamir koma í ljós. Þannig er stöðugt unnið að því að efla varnir og undirbúa kerfi mikilvægra innviða fyrir þær ógnir sem geta stafað af netárásum eða öðrum netógnunum. Netöryggisstjórnun hérlendis á því að byggja á sterkri samvinnu milli þeirra sem greina og birta ógnarmyndina og þeirra sem framkvæma eftirlit og setja fram kröfur og ráðstafanir gagnvart rekstraraðilum. Enda er slík ógnarmynd og upplýsingar um aðferðafræði árásaðila lykilatriði í því að verjast þeim. Þá er mikilvægt að efla og virkja samstarf við aðra aðila líkt og Ríkislögreglustjóra og önnur lögregluyfirvöld sem fara með greiningar á öryggi ríkisins, viðbrögð í almannavarnarástandi og rannsókn mála, að ógleymdum mikilvægu innviðunum sjálfum. Þessi samtenging er lífsnauðsynleg til að viðhalda varnargetu og viðnámi íslenskra innviða gagnvart sífellt flóknari og öflugri netógnum. Varnir Íslands liggja í traustum og virkum netvörnum mikilvægra innviða, þar sem netöryggisstjórnun og áhættustýring eru lykilþættir til að tryggja samfellu og öryggi samfélagsins alls. Með fyrirbyggjandi aðgerðum, reglubundnu áhættumiðuðu eftirliti, samvinnu og samtengdu viðbragði við ógnarmyndum er tryggt með sem bestum hætti að við stöndumst þær áskoranir sem stafræn samfélög standa frammi fyrir – nú og til framtíðar. Höfundur er sviðsstjóri netöryggissviðs Fjarskiptastofu. Viltu birta grein á Vísi? Kynntu þér reglur ritstjórnar um skoðanagreinar. Senda grein Netöryggi Tækni Mest lesið Reykjavík er að byrja á röngum enda Brynhildur Heiðar- og Ómarsdóttir Skoðun Þegar ,,ríkið” yfirgaf byggðina Ragnar Sigurðsson Skoðun Meira afl fyrir orkuna Gunnar Guðni Tómasson Skoðun Tvær flugur í einu höggi: Einkavætt og réttarríkið vængstíft! Ögmundur Jónasson Skoðun Húsnæðispakkinn Magnea Gná Jóhannsdóttir Skoðun Meira íslenskt grænmeti er velferðarmál Þórarinn Ingi Pétursson Skoðun Bruninn á Stuðlum, skýrsla HMS Ingibjörg Einarsdóttir Skoðun Varðskipið Þór: Frá samtakamætti til upphafs Landhelgisgæslu Íslands Íris Róbertsdóttir Skoðun „Biðlisti“ Rannveig Haraldsdóttir Skoðun Réttur barna til tvítyngis: íslenskt táknmál og íslenska Júlía Guðný Hreinsdóttir Skoðun Skoðun Skoðun Landhelgisgæslan til taks - í heila öld Þorbjörg S. Gunnlaugsdóttir skrifar Skoðun Þegar ,,ríkið” yfirgaf byggðina Ragnar Sigurðsson skrifar Skoðun Húsnæðispakkinn Magnea Gná Jóhannsdóttir skrifar Skoðun Varðskipið Þór: Frá samtakamætti til upphafs Landhelgisgæslu Íslands Íris Róbertsdóttir skrifar Skoðun Lýðræðisveislan í ágúst - Upplýsingar, fullveldi og framtíðarsýn fullvalda þjóðar Sigurður Sigurðsson skrifar Skoðun Meira íslenskt grænmeti er velferðarmál Þórarinn Ingi Pétursson skrifar Skoðun „Biðlisti“ Rannveig Haraldsdóttir skrifar Skoðun Meira afl fyrir orkuna Gunnar Guðni Tómasson skrifar Skoðun Reykjavík er að byrja á röngum enda Brynhildur Heiðar- og Ómarsdóttir skrifar Skoðun Tvær flugur í einu höggi: Einkavætt og réttarríkið vængstíft! Ögmundur Jónasson skrifar Skoðun Hanna Katrín Friðriksson og hvalveiðar — Frelsi eða forræðishyggja? Hjörvar Sigurðsson skrifar Skoðun Nokkur orð um samkennd Ari Allansson skrifar Skoðun Bruninn á Stuðlum, skýrsla HMS Ingibjörg Einarsdóttir skrifar Skoðun Réttur barna til tvítyngis: íslenskt táknmál og íslenska Júlía Guðný Hreinsdóttir skrifar Skoðun Öruggt ferðasumar hefst með góðum brunavörnum Methúsalem Hilmarsson skrifar Skoðun Hvernig lesum við skoðanagreinar? Hilmar Kristinsson skrifar Skoðun Stjórnsýsla Íslands er ekki „allt of lítil“, hún er „lítil og skilvirk“ Halldór Jörgen Olesen skrifar Skoðun Vatnaskil í markaðssetningu Íslands Pétur Þ. Óskarsson skrifar Skoðun Af hverju hunsa Samfylkingin og Vinstrið umboðsmann barna? Þórður Halldórsson skrifar Skoðun Dómar sem eru ekkert annað en „one way ticket“ á Litla-Hrauni Davíð Bergmann skrifar Skoðun Spyrjum við áfram nýrra spurninga? Þorsteinn Siglaugsson skrifar Skoðun Sigurjón Þórðarson og sannleikurinn Sigurgeir B. Kristgeirsson skrifar Skoðun Er ekki kominn tími til að endurskoða áfengisgjaldið? Einar Bárðarson skrifar Skoðun Þegar dýravelferð víkur fyrir hagnaði Kolbrún Áslaugar Baldursdóttir skrifar Skoðun Hver vill borða brauðið? Jón Óskar Hinriksson skrifar Skoðun Hvað varð um planið? Pétur Óskarsson skrifar Skoðun Íslensk stjórnvöld eiga að virða Árósasamninginn Árni Finnsson,Björg Eva Erlendsdóttir skrifar Skoðun Sami hræðsluáróðurinn: EES á Íslandi 1993 og ESB í Svíþjóð 1994 Yngvi Ómar Sigrúnarson skrifar Skoðun Mannréttindi þarf ekki að endurhugsa — þau þarf að virða Alma Ýr Ingólfsdóttir skrifar Skoðun Hvalveiðar sem vopn til að berjast gegn aðild að ESB Micah Garen skrifar Sjá meira
Netöryggi er ekki lengur valkostur heldur lykilþáttur í öryggi íslensks samfélags. Hér á landi eru margar grundvallarþjónustur háðar virkni upplýsinga- og fjarskiptakerfa, og öflugt netöryggi er því nauðsynlegt fyrir stöðugleika og virkni samfélagsins. Alþingi samþykkti nýverið lög sem breyta Varnarmálalögum með þeim hætt að þau færa CERT-IS, landsbundið öryggis- og viðbragðsteymi vegna netatvika og áhættu, frá Fjarskiptastofu og undir stjórn utanríkisráðuneytisins. Markmiðið laganna er að efla varnartengda þætti á sviði netöryggis. Áfram mun CERT-IS sinna lögbundnu hlutverki sínu á grundvelli netöryggislaga. Þrátt fyrir þessar breytingar er mikilvægt að undirstrika að netöryggisábyrgð stjórnvalda nær langt út fyrir CERT-IS. Innviðaráðherra fer áfram með málefni netöryggis á grundvelli forsetaúrskurðar þar um og þá gegnir netöryggissvið Fjarskiptastofu og önnur eftirlitsstjórnvöld áfram kjarnahlutverki í fyrirbyggjandi netöryggisvörnum samfélagsins. Sviðið gegnir samhæfingar- og ráðgjafarhlutverki gagnvart öðrum eftirlitsstjórnvöldum varðandi framkvæmd netöryggislaganna og er tengiliður íslenskra stjórnvalda á sviði netöryggis og tekur þátt í stefnumarkandi samstarfi Evrópusambandsins á þessu sviði, Norðurlandasamstarfi og í nefndarstarfi NATO. Heildstæð og áhættumiðuð sýn: Netöryggisstjórnun í nýju landslagi Netöryggissviðið Fjarskiptastofu ber ábyrgð á eftirliti með netöryggi gagnvart kjarnainnviðum stafræns samfélags og eru verkefni þess víðtæk – allt frá áhættugreiningum, úttektum og prófunum á netvörnum til stefnumótunar og samstarfs við innlend og erlend stjórnvöld. Þetta felst í framkvæmd sjálfsmata til að meta stöðu netöryggis hjá aðilum, dýpri úttektum á stjórnkerfi netöryggis sem og prófunum á netvörnum aðila. Þá framkvæmdir netöryggissvið ýmsar áhættugreiningar t.a.m. vegna sérstakra ógna á borð við innrás Rússa í Úkraínu og/eða sérstakra kerfa líkt og 5G kerfa. Öll þessi verkefni miða að því að greina áhættur þannig að hægt sé að grípa til fyrirbyggjandi aðgerða og auka þannig netöryggi samfélagsins. Í flestum tilvikum er aðilum gefin bindandi fyrirmæli um úrbætur til að bæta heildarnetöryggi aðila og eru í gildi í dag, tugir slíkra fyrirmæla hjá mismunandi mikilvægum innviðum. Með samræmdri nálgun, virku samstarfi og gagnadrifnu eftirliti vinnur netöryggissvið að því að efla viðnámsþol íslensks samfélags gagnvart sífellt flóknari netógnum. En virkar og vandaðar öryggisráðstafanir lágmarka þá áhættu sem steðjar stöðugt að öryggi net- og upplýsingakerfa. Í flóknu pólitísku alþjóðaumhverfi nútímans og með vaxandi netógnum verður fyrirbyggjandi netöryggi síst ofmetið. Formföst og virk umgjörð og stjórnun netöryggis leika ekki einungis lykilhlutverk við að tryggja virkni þjónustu og vernda upplýsingar fyrirtækja, heldur er það fyrsta varnarlínan til að gæta þjóðarhagsmuna, tryggja efnahagslegan- og samfélagslegan stöðugleika og vernda borgaranna. Sviðið fer einnig með eftirlit með rafrænum auðkenningum, rafrænum undirritunum og öðrum traustþjónustum. Þegar fram líða stundir mun það einnig sinna eftirliti tengdu stafræna auðkennisveskinu (EU Identity Wallet). Þetta er ekki síður mikilvægt verkefni þegar kemur að öryggi þeirrar stafrænu þróunar sem nú á sér stað hér á landi. Til viðbótar þá hýsir netöryggissvið Fjarskiptastofu Eyvöru – hæfnissetur Íslands í netöryggi. Eyvör er öflugur vettvangur fyrir fræðslu, þjálfun og samstarf sem miðar að því að efla færni, sérfræðiþekkingu og getu á sviði netöryggis. Tímamótalöggjöf Evrópusambandsins Í þessu tilliti er jafnframt nauðsynlegt að nefna nýja netöryggistilskipun Evrópusambandsins – almennt kölluð NIS2-tilskipun. Hún markar tímamót í netöryggismálum á Evrópska efnahagssvæðinu og mun hafa veruleg áhrif á hvernig aðildarríki skipuleggja og framfylgja netöryggi. Tilskipunin setur ríkari kröfur bæði á aðildarríkin sjálf sem og mikilvæga innviði um formlega stjórnun netöryggis, áhættumiðaða nálgun og upplýsingaskyldu um alvarleg atvik. Þá krefst hún samræmdra aðgerða innan ríkja og styrkrar samvinnu milli netöryggisstofnana á vettvangi ESB. Með NIS2 eykst einnig ábyrgð stjórnenda og skýrari krafa er gerð um að lönd hafi virka yfirsýn, framkvæmd og eftirfylgni með stöðu netöryggis í samfélagslega mikilvægu kerfum. Netöryggissvið Fjarskiptastofu hefur gegnt lykilhlutverki við undirbúning og innleiðingu NIS2 hér á landi. Mikilvægi samþættingar upplýsinga fyrir netöryggi Íslands Í krafti samhæfingarhlutverks síns leiðir netöryggissvið Fjarskiptastofu einnig uppbyggingu og framkvæmd aðferðafræði eftirlits hjá öðrum eftirlitsstofnunum. Þannig vinnur sviðið með Samgöngustofu, Umhverfis- og orkustofnun, Embætti landlæknis og Seðlabanka Íslands á þessu sviði. Saman eiga framangreind stjórnvöld að ná heildarmynd af netöryggisgetu samfélagsins. Með samræmdri nálgun og virku samstarfi tryggir sviðið að netöryggiskröfur séu útfærðar með samræmdum hætti milli greina. Í dag stendur netöryggissviðið t.a.m. að framkvæmd samhæfðs sjálfsmats allra aðila sem falla undir netöryggislögin. Markmiðið er að fá heildstæða mynd af stöðu netöryggis mikilvægra innviða í samfélaginu og styðja við forgangsröðun í úrbótum þar sem veikleikar kunna að finnast. Til að tryggja netöryggi íslenskra samfélags- og efnahagslegra mikilvægra innviða þarf að byggja á heildstæðri mynd af netöryggisstöðu þeirra. CERT-IS gegnir auðvitað mikilvægu hlutverki með því að m.a. veita stjórnvöldum stöðugt uppfærðar upplýsingar um stöðumynd ógna á hverjum tíma, sem er liður í áhættumiðaðri stjórnun og eftirliti netöryggis. Með slíkum upplýsingum, auk upplýsinga sem stjórnvöld búa yfir um stöðu aðilanna sjálfra, sem byggja á niðurstöðum sjálfsmata, úttekta, prófana og áhættugreininga stjórnvalda, er hægt að meta stöðu netöryggis hér á landi á nokkuð heildstæðan hátt. Með áhættumiðuðu eftirliti og samhæfingu og samvinnu annarra eftirlitsstjórnvalda er lagður grundvöllur fyrir því að viðeigandi aðgerðir séu settar í gang þar sem veikleikar eða brotalamir koma í ljós. Þannig er stöðugt unnið að því að efla varnir og undirbúa kerfi mikilvægra innviða fyrir þær ógnir sem geta stafað af netárásum eða öðrum netógnunum. Netöryggisstjórnun hérlendis á því að byggja á sterkri samvinnu milli þeirra sem greina og birta ógnarmyndina og þeirra sem framkvæma eftirlit og setja fram kröfur og ráðstafanir gagnvart rekstraraðilum. Enda er slík ógnarmynd og upplýsingar um aðferðafræði árásaðila lykilatriði í því að verjast þeim. Þá er mikilvægt að efla og virkja samstarf við aðra aðila líkt og Ríkislögreglustjóra og önnur lögregluyfirvöld sem fara með greiningar á öryggi ríkisins, viðbrögð í almannavarnarástandi og rannsókn mála, að ógleymdum mikilvægu innviðunum sjálfum. Þessi samtenging er lífsnauðsynleg til að viðhalda varnargetu og viðnámi íslenskra innviða gagnvart sífellt flóknari og öflugri netógnum. Varnir Íslands liggja í traustum og virkum netvörnum mikilvægra innviða, þar sem netöryggisstjórnun og áhættustýring eru lykilþættir til að tryggja samfellu og öryggi samfélagsins alls. Með fyrirbyggjandi aðgerðum, reglubundnu áhættumiðuðu eftirliti, samvinnu og samtengdu viðbragði við ógnarmyndum er tryggt með sem bestum hætti að við stöndumst þær áskoranir sem stafræn samfélög standa frammi fyrir – nú og til framtíðar. Höfundur er sviðsstjóri netöryggissviðs Fjarskiptastofu.
Varðskipið Þór: Frá samtakamætti til upphafs Landhelgisgæslu Íslands Íris Róbertsdóttir Skoðun
Skoðun Varðskipið Þór: Frá samtakamætti til upphafs Landhelgisgæslu Íslands Íris Róbertsdóttir skrifar
Skoðun Lýðræðisveislan í ágúst - Upplýsingar, fullveldi og framtíðarsýn fullvalda þjóðar Sigurður Sigurðsson skrifar
Skoðun Hanna Katrín Friðriksson og hvalveiðar — Frelsi eða forræðishyggja? Hjörvar Sigurðsson skrifar
Skoðun Stjórnsýsla Íslands er ekki „allt of lítil“, hún er „lítil og skilvirk“ Halldór Jörgen Olesen skrifar
Skoðun Íslensk stjórnvöld eiga að virða Árósasamninginn Árni Finnsson,Björg Eva Erlendsdóttir skrifar
Skoðun Sami hræðsluáróðurinn: EES á Íslandi 1993 og ESB í Svíþjóð 1994 Yngvi Ómar Sigrúnarson skrifar
Varðskipið Þór: Frá samtakamætti til upphafs Landhelgisgæslu Íslands Íris Róbertsdóttir Skoðun