UMRÆÐAN 27 MORGUNBLAÐIÐ MIÐVIKUDAGUR 14. DESEMBER 2016 Fyrirsögnin vísar í stefnu Evrópusam- bandsins varðandi net- öryggi. Á ensku hljóm- ar þetta „Open, Safe and Secure Cyber- space“. Það er gott að eiga sér stefnu, raunar mikilvægt, því án hennar er ekki vitað hvert er stefnt. Lítið fer á milli mála að netheimar eru orðnir stór þáttur í lífi hvers manns. Ólíkt raunheimum eru engin landamæri, engin takmörk á því hvert er hægt að fara á skot- stundu, takmarkalausir möguleikar á því sem hægt er að gera. Hin hliðin er að það sem lendir inni á net- heimum mun verða þar um aldur og ævi, auðvelt er að sigla þar undir fölsku flaggi og við vitum aldrei hver er að hnýsast í okkar málum, nota myndirnar okkar, kortleggja okkur eða brjótast inn í tækið sem við not- um til að tengjast netinu. Allt gerist mun hraðar en í raunheimi, bæði á leiðinni upp og á leiðinni niður. Evrópusambandið hefur sent frá sér tilskipun nr. 2016/1148 um ráð- stafanir til að ná háu sameiginlegu stigi öryggis, net- og upplýsinga- kerfa innan sambandsins. Tilskip- unin er gefin út vegna mikilvægis netheima fyrir lykilinnviði sam- félaga og að áreiðanleiki og öryggi þeirra eru allt í einu orðin ómissandi fyrir þessa lykilinnviði, en hún nær eingöngu til þeirra. ESB er svo sem ekki eitt um þetta, því Alþjóða- greiðslubankinn hefur einnig nýlega gefið út tilmæli til fjármálafyrir- tækja, sem Seðlabankinn vakti at- hygli á í ritinu Fjármálainnviðir. Og ekki er langt síðan bankarnir þrír sóttu um undanþágu til að leyfa net- stjórum sínum að hafa með sér sam- vinnuvettvang varðandi netöryggi. Ég er mjög ánægður með að þessi tilskipun sé orðin að veruleika. Hún verður vonandi fyrr en seinna leidd í lög á Íslandi. Ég hef lengi talað fyrir því að mikilvægir innviðir landsins væru skilgreindir og í framhaldi af því farið í að kortleggja þarfir þeirra fyrir upplýsingatækni- og upplýs- ingaöryggi. Af þeim sökum átti ég fund með fulltrúum innanríkis- ráðuneytisins fyrir nokkrum árum, þar sem við skiptumst á skoðunum um hvað væri hægt að gera. Tilskipun ESB gengur út á að tryggja að stutt sé við netöryggi inn- an sambandsins. Hún er sett vegna þess að menn óttast að getan til að verjast netógnum sé ekki til staðar. Tilgangurinn er að koma með sam- ræmdar ráðstafanir til að verja neytendur og fyrirtæki. Grunnkvöð tilskipunarinnar er að kortleggja mikilvæga þjónustuinn- viði/veitendur. Þessu skal lokið fyrir 9. nóvember 2018. Val þeirra skal byggt á því að þeir séu mikilvægir fyrir samfélagið, upplýsingatækni sé þeim nauðsynleg og atvik gæti haft verulega truflandi áhrif á veitingu þjónustunnar. Viðkomandi aðilar eiga að innleiða viðeigandi tækni- legar og skipulagslegar ráðstafanir til að stjórna áhættu sem net- og upplýsingakerfi standa frammi fyrir. Þeim ber að grípa til aðgerða til að koma í veg fyrir eða draga úr áhrifum atvika. Í stórum dráttum eru kröfur tilskipunarinnar flestar kunnuglegar þeim sem starfað hafa við öryggismál í skemmri eða lengri tíma. Kröfurnar eru hins vegar sjaldnast vandamálið, heldur er það hve góðar ráðstafanirnar eru. Tilskipunin nær til sjö geira. 1. Orka (rafmagn, olía, gas) 2. Samgöngur (flug, lesta, vatnsflutninga, vega) 3. Bankar 4. Innviðir fjár- málamarkaðar 5. Heilbrigðiskerfi (opinbert, einka) 6. Vatnsveita 7. Netþjónusta Reikna ég með því að hitaveitur myndu falla undir lið 1, Orka. Tilskipunin á að vera orðin að lög- um í aðildarríkjum EES í síðasta lagi 9. maí 2018. Fram að þeim tíma á þó að vera búið að hrinda ákveðnum þáttum í framkvæmd, sem þegar eru til staðar á Íslandi. Ég veit af störfum mínum við ör- yggisráðgjöf að margir innlendir að- ilar eru komnir vel á veg með sín ör- yggiskerfi. Þau eru hins vegar oft rekin meira af vilja en getu, því ör- yggismál eru allt of oft horn- kerlingar. Þau kosta pening og þeg- ar þau virka skilur enginn hvers vegna er verið að eyða öllum þessum peningi í þetta og þegar þau virka ekki er því líka velt fyrir sér. Ekkert í tilskipun ESB er nýtt. Hér á landi er þegar búið að koma upp hluta þess sem tilskipunin gerir kröfu um, þ.e. netöryggissveit Póst- og fjarskiptastofnunar. Flest fyrir- tæki og stofnanir eru að vinna eftir öryggisstaðli á borð við ISO 27001 eða eru að undirbúa innleiðingu hans. Helst er að þau vanti þekkingu á staðlinum og reynslu í notkun hans. Fyrir þá sem ekki eru lagðir af stað er ekki eftir neinu að bíða. Fyrir þá sem eru byrjaðir ferlið er um að gera að ljúka því sem fyrst. Hvort sem tilskipun 2016/1148 verð- ur að lögum fyrir 9. maí 2018 eða ekki ættu allir að huga að kröfum hennar. Opnir, áhyggjulausir og öruggir netheimar Eftir Marinó G. Njálsson Marinó G. Njálsson »ESB hefur sett til- skipun um netöryggi fyrir mikilvæga þjón- ustuinnviði ríkja til að koma í veg fyrir eða draga úr áhrifum at- vika. Höfundur er netöryggisráðgjafi hjá Hewlett Packard Enterprise í Dan- mörku. - með morgunkaffinu

Side 1
Side 2
Side 3
Side 4
Side 5
Side 6
Side 7
Side 8
Side 9
Side 10
Side 11
Side 12
Side 13
Side 14
Side 15
Side 16
Side 17
Side 18
Side 19
Side 20
Side 21
Side 22
Side 23
Side 24
Side 25
Side 26
Side 27
Side 28
Side 29
Side 30
Side 31
Side 32
Side 33
Side 34
Side 35
Side 36
Side 37
Side 38
Side 39
Side 40
Side 41
Side 42
Side 43
Side 44