37 notendum, bæði einstaklingum og fyrirtækjum. Enginn veit hvenær röðin er komin að honum. Dæmi eru um að milliríkjadeilur hafi endað í stórfelldum netárásum. Stafræni innri markaðurinn verður ekki að veruleika meðan svo er. STJÓRNMÁLAMENN HAFA BRUGÐIST. Allt of lengi brugðust stjórnvöld ekkert eða lítið við vandanum. Litið var á tölvuárásir sem unglingabrellur. Þetta mundi eldast af unglingunum. CECUA hefur lengi barist fyrir því að flokka tölvuárás sem glæp. Eins og hver annan glæp á að meðhöndla hann sem slíkan, með rannsókn, ákæru og dómi. Sumir hafa sagt að netheimurinn sé alveg sér á parti og kalli á nýja löggjöf. CECUA hefur svarað því að allt sem þurfi að gera sé að túlka löggjöfina eins og hún er með nútímann í huga. Allt annað sé léleg afsökun fyrir aðgerðarleysi. Sem betur fer er þetta skeið að baki, og stjórnmálamenn taka við sér þó hægt og sígandi sé. Gamalt kínverskt spakmæli segir að enginn verði góður læknir nema hafa verið veikur sjálfur. Það mætti snúa þessu upp á nútímann og segja að til að berjast gegn glæpum á netinu þurfa þeir hinir sömu að hafa orðið fórnarlamb sjálfir. Þannig varð þýska þingið ekki lengi að samþykkja ný tölvulög eftir að hafa orðið fyrir árás. NÝ HUGSUN Í LÖGGJÖF GEGN TÖLVUÁRÁSUM Í EVRÓPU. Löggjöfin nær til þeirra sem reka hina svokölluðu ómissandi innviði sem eru mikilvægir fyrir samfélagið í heild. Þar er átt við orkufyrirtæki, fjarskiptafyrirtæki, samgöngufyrirtæki, heilbrigðiskerfi, vatnsveitur, matvælaframleiðslufyrirtæki, fjármálafyrirtæki og tryggingarfyrirtæki sem eru mikilvæg fyrir allt samfélagið. Þessum fyrirtækjum eru lagðar sérstakar skyldur á herðar: • Koma sér upp öryggiskerfum sem byggja á nýjustu tækni • Sýna fram á að öryggiskerfunum hafi verið komið upp. • Leggja fram niðurstöður net- og upplýsingaöryggis endurskoð- unar þar sem taldir eru upp veikleikar sem komu í ljós í endurskoðuninni. • Tilkynna allar árásir sem þau verða fyrir. • Viðurlög eru allt að 100.000 Evrur.4 ESB er að undirbúa svipaða löggjöf. Fyrr en síðar verður þessi löggjöf hluti af EES samningnum og mun þá taka gildi á Íslandi líka. Talið er að tap þýskra fyrirtækja vegna tölvuglæpa sé nokkrir milljarðar evra á ári. Tölvuglæpir eru orðnir svo ábatasamir að mafían telur sig hafa meira upp úr þeim en eiturlyfjum og vændi samanlagt. Annað nýtt á nálinni er að tryggingafélög eru farin að bjóða tryggingar gegn tjóni vegna tölvuinnbrota. Það er ekki spurning hvort, heldur hvenær fyrirtæki verða fyrir slíku tjóni. Tryggingafélögin sjá þarna nýjan og álitlegan markað. SVIFASEINIR STJÓRNMÁLAMENN OG HÁSKÓLAR. Á Íslandi hafa stjórnvöld líka sofið á verðinum. Málið tók smákipp í fyrra þegar innanríkisráðuneytið skipaði nefnd til að gera tillögur um hvernig yrði staðið að net- og upplýsingaöryggismálum á Íslandi. Nefndin skilaði tillögum þar sem gert er ráð fyrir ráðum og vinnuhópum til að fylgja málinu eftir. Þetta er góð byrjun en framkvæmdin kostar peninga sem ekki fylgdu með. Á hverjum degi verða fjármálafyrirtæki, bankar og opinberar stofnanir á Íslandi fyrir hundruðum árása. Hingað til hefur ekkert stórslys orðið en það er bara spurning um tíma. Það er ekki spurning hvort heldur hvenær tölvuþrjótarnir hafa sigur. CERT TEYMIÐ. Ein lykilstofnun í vörnum gegn tölvuárásum er CERT teymið, CERT stendur fyrir Central Emergency Response Team. CERT er teymi sérfræðinga sem einbeitir sér að vandamálum á sviði net- og upplýsingaöryggis. CERT teymið á Íslandi er í dag hluti af Póst- og fjarskiptastofnun og getur varla talist starfshæft vegna fjárskorts. Hættan er sú að menn vakni ekki fyrir en stórslys hefur orðið. Þá rjúki menn upp til handa og fóta og setji fjármagn í net- og upplýsinga- öryggismál. Hér erum við ekki að tala um neina smápeninga og þá er ekki átt við nokkrar milljónir eða jafnvel tugi milljóna. Heldur þarf hundruð milljóna til. Hins vegar þarf meira til en milljónirnar. Það þarf einnig þekkingu og reynslu. Það er athyglisvert að það er engin prófessorsstaða í net- og upplýsingaöryggismálum við neinn af háskólunum á Íslandi. Svo lengi sem það er svo, vantar kjölfestuna í öflun þekkingar og miðlun hennar á háskólastigi á Íslandi. HVAÐ GETUM VIÐ LÆRT AF ANNARRI SMÁÞJÓÐ? Margir segja að Ísland er svo lítið að það hafi ekki efni á þessu. Eistland er einnig lítið land með aðeins fjórum sinnum fleiri íbúa en Ísland. Ég spurði varautanríkisráðherra Eista hvernig þeir hafi farið að 2007 þegar stjórnkerfið í Eistlandi varð fyrir tölvuárás sem margir skrifa á reikning Rússa. Svarið var einfalt: með samstarfi allra, sérfræðinga hins opinbera, sérfræðinga bankanna og háskólanna. Síðan bætti hún við að engin opinber stofnun hefði efni á að borga sérfræðingum sem réðu við svona mál, það væru helst bankarnir sem gætu það. Getum við lært eitthvað af þessu? Við höfum sérfræðinga hins opinbera, líka sérfræðing bankanna en enga háskólasérfræðinga. Það er engin tilviljun að í dag er net- og upplýsingaöryggis stofnun ESB í Tallin í Eistlandi. EKKERT EINKAMÁL ÍSLANDS EÐA EVRÓPU HVAÐ ÞÁ BANDARÍKJANNA! Tölvuþrjótar eru alls staðar. Margir þeirra sem stunda iðju sína í Evrópu eru ekki þar til húsa. Þeir geta verið hvar sem er. Þess vegna vekur það furðu að net- og upplýsingaöryggismál eru ekki fyrir löngu komin á dagskrá G7 eða G20 sem sameiginlegt vandamál heimbyggðarinnar. Það hlýtur að vera farið að koma að því. Á meðan þurfa Íslendingar að koma sínum málum í lag, bæði hvað fjármögnun varðar og ekki síður uppbyggingu þekkingar og miðlun hennar. Þar gæti Skýrslutæknifélagið gegnt stóru hlutverki. 1 https://www.enisa.europa.eu 2 www.pfs.is 3 http://b2b.ifa-berlin.com/ 4 http://www.rt.com/news/273058-german-cyber-security-law/

Síða 1
Síða 2
Síða 3
Síða 4
Síða 5
Síða 6
Síða 7
Síða 8
Síða 9
Síða 10
Síða 11
Síða 12
Síða 13
Síða 14
Síða 15
Síða 16
Síða 17
Síða 18
Síða 19
Síða 20
Síða 21
Síða 22
Síða 23
Síða 24
Síða 25
Síða 26
Síða 27
Síða 28
Síða 29
Síða 30
Síða 31
Síða 32
Síða 33
Síða 34
Síða 35
Síða 36
Síða 37
Síða 38
Síða 39
Síða 40
Síða 41
Síða 42
Síða 43
Síða 44