Tölvumál - 01.11.2015, Síða 37

Tölvumál - 01.11.2015, Síða 37
37 notendum, bæði einstaklingum og fyrirtækjum. Enginn veit hvenær röðin er komin að honum. Dæmi eru um að milliríkjadeilur hafi endað í stórfelldum netárásum. Stafræni innri markaðurinn verður ekki að veruleika meðan svo er. STJÓRNMÁLAMENN HAFA BRUGÐIST. Allt of lengi brugðust stjórnvöld ekkert eða lítið við vandanum. Litið var á tölvuárásir sem unglingabrellur. Þetta mundi eldast af unglingunum. CECUA hefur lengi barist fyrir því að flokka tölvuárás sem glæp. Eins og hver annan glæp á að meðhöndla hann sem slíkan, með rannsókn, ákæru og dómi. Sumir hafa sagt að netheimurinn sé alveg sér á parti og kalli á nýja löggjöf. CECUA hefur svarað því að allt sem þurfi að gera sé að túlka löggjöfina eins og hún er með nútímann í huga. Allt annað sé léleg afsökun fyrir aðgerðarleysi. Sem betur fer er þetta skeið að baki, og stjórnmálamenn taka við sér þó hægt og sígandi sé. Gamalt kínverskt spakmæli segir að enginn verði góður læknir nema hafa verið veikur sjálfur. Það mætti snúa þessu upp á nútímann og segja að til að berjast gegn glæpum á netinu þurfa þeir hinir sömu að hafa orðið fórnarlamb sjálfir. Þannig varð þýska þingið ekki lengi að samþykkja ný tölvulög eftir að hafa orðið fyrir árás. NÝ HUGSUN Í LÖGGJÖF GEGN TÖLVUÁRÁSUM Í EVRÓPU. Löggjöfin nær til þeirra sem reka hina svokölluðu ómissandi innviði sem eru mikilvægir fyrir samfélagið í heild. Þar er átt við orkufyrirtæki, fjarskiptafyrirtæki, samgöngufyrirtæki, heilbrigðiskerfi, vatnsveitur, matvælaframleiðslufyrirtæki, fjármálafyrirtæki og tryggingarfyrirtæki sem eru mikilvæg fyrir allt samfélagið. Þessum fyrirtækjum eru lagðar sérstakar skyldur á herðar: • Koma sér upp öryggiskerfum sem byggja á nýjustu tækni • Sýna fram á að öryggiskerfunum hafi verið komið upp. • Leggja fram niðurstöður net- og upplýsingaöryggis endurskoð- unar þar sem taldir eru upp veikleikar sem komu í ljós í endurskoðuninni. • Tilkynna allar árásir sem þau verða fyrir. • Viðurlög eru allt að 100.000 Evrur.4 ESB er að undirbúa svipaða löggjöf. Fyrr en síðar verður þessi löggjöf hluti af EES samningnum og mun þá taka gildi á Íslandi líka. Talið er að tap þýskra fyrirtækja vegna tölvuglæpa sé nokkrir milljarðar evra á ári. Tölvuglæpir eru orðnir svo ábatasamir að mafían telur sig hafa meira upp úr þeim en eiturlyfjum og vændi samanlagt. Annað nýtt á nálinni er að tryggingafélög eru farin að bjóða tryggingar gegn tjóni vegna tölvuinnbrota. Það er ekki spurning hvort, heldur hvenær fyrirtæki verða fyrir slíku tjóni. Tryggingafélögin sjá þarna nýjan og álitlegan markað. SVIFASEINIR STJÓRNMÁLAMENN OG HÁSKÓLAR. Á Íslandi hafa stjórnvöld líka sofið á verðinum. Málið tók smákipp í fyrra þegar innanríkisráðuneytið skipaði nefnd til að gera tillögur um hvernig yrði staðið að net- og upplýsingaöryggismálum á Íslandi. Nefndin skilaði tillögum þar sem gert er ráð fyrir ráðum og vinnuhópum til að fylgja málinu eftir. Þetta er góð byrjun en framkvæmdin kostar peninga sem ekki fylgdu með. Á hverjum degi verða fjármálafyrirtæki, bankar og opinberar stofnanir á Íslandi fyrir hundruðum árása. Hingað til hefur ekkert stórslys orðið en það er bara spurning um tíma. Það er ekki spurning hvort heldur hvenær tölvuþrjótarnir hafa sigur. CERT TEYMIÐ. Ein lykilstofnun í vörnum gegn tölvuárásum er CERT teymið, CERT stendur fyrir Central Emergency Response Team. CERT er teymi sérfræðinga sem einbeitir sér að vandamálum á sviði net- og upplýsingaöryggis. CERT teymið á Íslandi er í dag hluti af Póst- og fjarskiptastofnun og getur varla talist starfshæft vegna fjárskorts. Hættan er sú að menn vakni ekki fyrir en stórslys hefur orðið. Þá rjúki menn upp til handa og fóta og setji fjármagn í net- og upplýsinga- öryggismál. Hér erum við ekki að tala um neina smápeninga og þá er ekki átt við nokkrar milljónir eða jafnvel tugi milljóna. Heldur þarf hundruð milljóna til. Hins vegar þarf meira til en milljónirnar. Það þarf einnig þekkingu og reynslu. Það er athyglisvert að það er engin prófessorsstaða í net- og upplýsingaöryggismálum við neinn af háskólunum á Íslandi. Svo lengi sem það er svo, vantar kjölfestuna í öflun þekkingar og miðlun hennar á háskólastigi á Íslandi. HVAÐ GETUM VIÐ LÆRT AF ANNARRI SMÁÞJÓÐ? Margir segja að Ísland er svo lítið að það hafi ekki efni á þessu. Eistland er einnig lítið land með aðeins fjórum sinnum fleiri íbúa en Ísland. Ég spurði varautanríkisráðherra Eista hvernig þeir hafi farið að 2007 þegar stjórnkerfið í Eistlandi varð fyrir tölvuárás sem margir skrifa á reikning Rússa. Svarið var einfalt: með samstarfi allra, sérfræðinga hins opinbera, sérfræðinga bankanna og háskólanna. Síðan bætti hún við að engin opinber stofnun hefði efni á að borga sérfræðingum sem réðu við svona mál, það væru helst bankarnir sem gætu það. Getum við lært eitthvað af þessu? Við höfum sérfræðinga hins opinbera, líka sérfræðing bankanna en enga háskólasérfræðinga. Það er engin tilviljun að í dag er net- og upplýsingaöryggis stofnun ESB í Tallin í Eistlandi. EKKERT EINKAMÁL ÍSLANDS EÐA EVRÓPU HVAÐ ÞÁ BANDARÍKJANNA! Tölvuþrjótar eru alls staðar. Margir þeirra sem stunda iðju sína í Evrópu eru ekki þar til húsa. Þeir geta verið hvar sem er. Þess vegna vekur það furðu að net- og upplýsingaöryggismál eru ekki fyrir löngu komin á dagskrá G7 eða G20 sem sameiginlegt vandamál heimbyggðarinnar. Það hlýtur að vera farið að koma að því. Á meðan þurfa Íslendingar að koma sínum málum í lag, bæði hvað fjármögnun varðar og ekki síður uppbyggingu þekkingar og miðlun hennar. Þar gæti Skýrslutæknifélagið gegnt stóru hlutverki. 1 https://www.enisa.europa.eu 2 www.pfs.is 3 http://b2b.ifa-berlin.com/ 4 http://www.rt.com/news/273058-german-cyber-security-law/

x

Tölvumál

Beinleiðis leinki

Hvis du vil linke til denne avis/magasin, skal du bruge disse links:

Link til denne avis/magasin: Tölvumál
https://timarit.is/publication/239

Link til dette eksemplar:

Link til denne side:

Link til denne artikel:

Venligst ikke link direkte til billeder eller PDfs på Timarit.is, da sådanne webadresser kan ændres uden advarsel. Brug venligst de angivne webadresser for at linke til sitet.