Tölvumál - 01.11.2015, Blaðsíða 37
37
notendum, bæði einstaklingum og fyrirtækjum. Enginn veit hvenær
röðin er komin að honum. Dæmi eru um að milliríkjadeilur hafi endað í
stórfelldum netárásum. Stafræni innri markaðurinn verður ekki að
veruleika meðan svo er.
STJÓRNMÁLAMENN HAFA BRUGÐIST.
Allt of lengi brugðust stjórnvöld ekkert eða lítið við vandanum. Litið var
á tölvuárásir sem unglingabrellur. Þetta mundi eldast af unglingunum.
CECUA hefur lengi barist fyrir því að flokka tölvuárás sem glæp. Eins og
hver annan glæp á að meðhöndla hann sem slíkan, með rannsókn,
ákæru og dómi. Sumir hafa sagt að netheimurinn sé alveg sér á parti og
kalli á nýja löggjöf. CECUA hefur svarað því að allt sem þurfi að gera sé
að túlka löggjöfina eins og hún er með nútímann í huga. Allt annað sé
léleg afsökun fyrir aðgerðarleysi. Sem betur fer er þetta skeið að baki,
og stjórnmálamenn taka við sér þó hægt og sígandi sé. Gamalt
kínverskt spakmæli segir að enginn verði góður læknir nema hafa verið
veikur sjálfur. Það mætti snúa þessu upp á nútímann og segja að til að
berjast gegn glæpum á netinu þurfa þeir hinir sömu að hafa orðið
fórnarlamb sjálfir. Þannig varð þýska þingið ekki lengi að samþykkja ný
tölvulög eftir að hafa orðið fyrir árás.
NÝ HUGSUN Í LÖGGJÖF GEGN
TÖLVUÁRÁSUM Í EVRÓPU.
Löggjöfin nær til þeirra sem reka hina svokölluðu ómissandi innviði sem
eru mikilvægir fyrir samfélagið í heild. Þar er átt við orkufyrirtæki,
fjarskiptafyrirtæki, samgöngufyrirtæki, heilbrigðiskerfi, vatnsveitur,
matvælaframleiðslufyrirtæki, fjármálafyrirtæki og tryggingarfyrirtæki
sem eru mikilvæg fyrir allt samfélagið. Þessum fyrirtækjum eru lagðar
sérstakar skyldur á herðar:
• Koma sér upp öryggiskerfum sem byggja á nýjustu tækni
• Sýna fram á að öryggiskerfunum hafi verið komið upp.
• Leggja fram niðurstöður net- og upplýsingaöryggis endurskoð-
unar þar sem taldir eru upp veikleikar sem komu í ljós í
endurskoðuninni.
• Tilkynna allar árásir sem þau verða fyrir.
• Viðurlög eru allt að 100.000 Evrur.4
ESB er að undirbúa svipaða löggjöf. Fyrr en síðar verður þessi löggjöf
hluti af EES samningnum og mun þá taka gildi á Íslandi líka.
Talið er að tap þýskra fyrirtækja vegna tölvuglæpa sé nokkrir milljarðar
evra á ári. Tölvuglæpir eru orðnir svo ábatasamir að mafían telur sig
hafa meira upp úr þeim en eiturlyfjum og vændi samanlagt. Annað nýtt
á nálinni er að tryggingafélög eru farin að bjóða tryggingar gegn tjóni
vegna tölvuinnbrota. Það er ekki spurning hvort, heldur hvenær fyrirtæki
verða fyrir slíku tjóni. Tryggingafélögin sjá þarna nýjan og álitlegan
markað.
SVIFASEINIR STJÓRNMÁLAMENN OG
HÁSKÓLAR.
Á Íslandi hafa stjórnvöld líka sofið á verðinum. Málið tók smákipp í fyrra
þegar innanríkisráðuneytið skipaði nefnd til að gera tillögur um hvernig
yrði staðið að net- og upplýsingaöryggismálum á Íslandi. Nefndin skilaði
tillögum þar sem gert er ráð fyrir ráðum og vinnuhópum til að fylgja
málinu eftir. Þetta er góð byrjun en framkvæmdin kostar peninga sem
ekki fylgdu með. Á hverjum degi verða fjármálafyrirtæki, bankar og
opinberar stofnanir á Íslandi fyrir hundruðum árása. Hingað til hefur
ekkert stórslys orðið en það er bara spurning um tíma. Það er ekki
spurning hvort heldur hvenær tölvuþrjótarnir hafa sigur.
CERT TEYMIÐ.
Ein lykilstofnun í vörnum gegn tölvuárásum er CERT teymið, CERT
stendur fyrir Central Emergency Response Team. CERT er teymi
sérfræðinga sem einbeitir sér að vandamálum á sviði net- og
upplýsingaöryggis. CERT teymið á Íslandi er í dag hluti af Póst- og
fjarskiptastofnun og getur varla talist starfshæft vegna fjárskorts.
Hættan er sú að menn vakni ekki fyrir en stórslys hefur orðið. Þá rjúki
menn upp til handa og fóta og setji fjármagn í net- og upplýsinga-
öryggismál. Hér erum við ekki að tala um neina smápeninga og þá er
ekki átt við nokkrar milljónir eða jafnvel tugi milljóna. Heldur þarf hundruð
milljóna til. Hins vegar þarf meira til en milljónirnar. Það þarf einnig
þekkingu og reynslu. Það er athyglisvert að það er engin prófessorsstaða
í net- og upplýsingaöryggismálum við neinn af háskólunum á Íslandi.
Svo lengi sem það er svo, vantar kjölfestuna í öflun þekkingar og miðlun
hennar á háskólastigi á Íslandi.
HVAÐ GETUM VIÐ LÆRT AF ANNARRI
SMÁÞJÓÐ?
Margir segja að Ísland er svo lítið að það hafi ekki efni á þessu. Eistland
er einnig lítið land með aðeins fjórum sinnum fleiri íbúa en Ísland. Ég
spurði varautanríkisráðherra Eista hvernig þeir hafi farið að 2007 þegar
stjórnkerfið í Eistlandi varð fyrir tölvuárás sem margir skrifa á reikning
Rússa. Svarið var einfalt: með samstarfi allra, sérfræðinga hins opinbera,
sérfræðinga bankanna og háskólanna. Síðan bætti hún við að engin
opinber stofnun hefði efni á að borga sérfræðingum sem réðu við svona
mál, það væru helst bankarnir sem gætu það. Getum við lært eitthvað
af þessu? Við höfum sérfræðinga hins opinbera, líka sérfræðing
bankanna en enga háskólasérfræðinga. Það er engin tilviljun að í dag er
net- og upplýsingaöryggis stofnun ESB í Tallin í Eistlandi.
EKKERT EINKAMÁL ÍSLANDS EÐA EVRÓPU
HVAÐ ÞÁ BANDARÍKJANNA!
Tölvuþrjótar eru alls staðar. Margir þeirra sem stunda iðju sína í Evrópu
eru ekki þar til húsa. Þeir geta verið hvar sem er. Þess vegna vekur það
furðu að net- og upplýsingaöryggismál eru ekki fyrir löngu komin á
dagskrá G7 eða G20 sem sameiginlegt vandamál heimbyggðarinnar.
Það hlýtur að vera farið að koma að því. Á meðan þurfa Íslendingar að
koma sínum málum í lag, bæði hvað fjármögnun varðar og ekki síður
uppbyggingu þekkingar og miðlun hennar. Þar gæti Skýrslutæknifélagið
gegnt stóru hlutverki.
1 https://www.enisa.europa.eu
2 www.pfs.is
3 http://b2b.ifa-berlin.com/
4 http://www.rt.com/news/273058-german-cyber-security-law/