Morgunblaðið - 31.05.2018, Blaðsíða 26
26 FRÉTTIRInnlent
MORGUNBLAÐIÐ FIMMTUDAGUR 31. MAÍ 2018
HURÐIR
Tunguháls 10, 110 Reykjavík, sími 567 3440, vagnar@vagnar.is, vagnar.is
• Stuttur afhendingartími
• Hágæða íslensk
framleiðsla
• Val um fjölda lita í
RAL-litakerfinu
• Vindstyrktar hurðir
Bílskúrs- og iðnaðarhurðir
Iðnaðarhurðir
Iðnaðarhurðir með gönguhurð
Bílskúrshurðir
Hurðir í trékarma
Tvískiptar hurðir
Smíðað eftir máli
Fyrsta flokks þjónusta og ráðgjöf
VIÐTAL
Erna Ýr Öldudóttir
ernayr@mbl.is
Netöryggisvika Fulbright-
stofnunarinnar fór fram nýlega í
Reykjavík. Tilefnið var ný Ful-
bright-styrkjaáætlun á sviði net-
öryggismála í samstarfi við Vís-
indastofnun Bandaríkjanna (NSF).
Dagskránni lauk með opnum fundi
um netöryggismál, sem haldinn
var í samstarfi Lagastofnunar HÍ
og bandaríska sendiráðsins í Há-
skóla Íslands.
Eileen M. Decker var gestur
Fulbright og hélt stutt námskeið
og erindi í Reykjavík fyrir aðila úr
dómsmála- og utanríkisráðuneyt-
inu, netöryggisráði og lögreglu-
fræðideild Háskólans á Akureyri.
Decker er lögfræðingur sem
hefur starfað við netöryggismál
allt frá árinu 1995 þegar hún hóf
störf sem saksóknari en hún hefur
einnig verið alríkissaksóknari og
aðstoðarborgarstjóri Los Angeles.
Hún kennir nú á námskeiði um
netöryggismál við University of
Southern California í Bandaríkj-
unum.
Decker metur stöðuna hérlendis
svo eftir heimsóknina að íslensk
stjórnvöld sýni netöryggismálum
mikinn áhuga og vilji vanda til
verka.
Breyttur heimur
með interneti
„Það er erfitt að segja til um
upphaf netöryggismála, en heim-
urinn breyttist með almennri
notkun internetsins. Þegar ég hóf
störf sem saksóknari var varla um
netglæpi að ræða, en þegar ég
hætti voru nánast allir glæpir
orðnir netglæpir,“ segir Decker,
sem segir vandamálið víðtækt og
aðkallandi í dag. Í upphafi hafi int-
ernetið verið til að skiptast á hug-
myndum og upplýsingum og ekki
hafi verið gert ráð fyrir glæpum
við hönnun og uppsetningu tækja
og kerfa, sem síðar áttu svo eftir
að koma í ljós.
„Þegar ég var saksóknari í Kali-
forníu þurftum við að fást við
mjög stór netglæpamál. Hryðju-
verkaárásin í desember árið 1999
reyndist til dæmis afar lærdóms-
rík varðandi öflun tæknilegra
sönnunargagna og einnig þegar
stórfyrirtækið Sony var nánast
lagt í rúst af hökkurum í nóvem-
ber 2014,“ segir Decker.
„Ég einbeiti mér að hinum ýmsu
netöryggisáætlunum stjórnvalda,
stefnumótun, upplýsingagjöf til al-
mennings og lagaumhverfi. Oftast
snýst þetta ekki um tæknina held-
ur um fólkið, hvernig við eigum
samskipti. Fólk gleymir oft að að-
ilinn sem það á samskipti við í
gegnum netið gæti verið að reyna
að blekkja það,“ segir Decker.
Ýmsar áskoranir bíði stjórnvalda
við að koma upp góðu netöryggi
og fá aðila til að vinna saman.
„Annarsvegar þróast tæknin
mjög hratt. Kapphlaupið er enda-
laust, það mun aldrei koma sá tími
að netöryggi sé náð. Um leið og
við teljum okkur vera orðin nægi-
lega örugg þá kemur eitthvað
nýtt. Hinsvegar er heimurinn svo
samofinn að það sem gerist á ein-
um stað hefur áhrif annars staðar.
Af þeim sökum er góð netöryggis-
samvinna á milli landa svo mikil-
væg.“
Spurð hvort stjórnvöld eigi ekki
í erfiðleikum í kapphlaupi við öra
tækniþróun og útsjónarsama net-
glæpamenn, segir Decker að
stjórnvöld þurfi að sjá til þess að
lagaumhverfið aðlagist í takt. Að
það sé t.d. mögulegt að lögsækja
netglæpamenn og dæma þá. Þarna
geti samvinna á milli ríkja skipt
höfuðmáli því netglæpir séu landa-
mæralausir og það verði að vera
hægt að afla sönnunargagna. Til
dæmis séu sönnunargögn í málum
oft vistuð á netþjónum erlendis og
þá geti verið erfitt eða útilokað
fyrir rannsakendur að fá leitar-
heimildir eða gögnin afhent.
„Lagaumhverfi ríkja endur-
speglar enn ekki nægilega vel
landamæraleysi internetsins, jafn-
vel þótt stjórnvöld leggi sig fram,“
að sögn Decker. Löggjafinn sé
svifaseinn miðað við hraða breyt-
inga og jafnvel tæknifólk sé dag-
lega í basli með sífellt ný uppá-
tæki netglæpamanna.
Mannlegi þátturinn veikur
„Svo er það mannlegi þátturinn,
það þarf að huga að því hvernig
fólk umgengst tækni. Það þarf
ekki nema ein mannleg mistök,
t.d. að smella á vírussmitaðan
hlekk eða að átta sig ekki á því við
hvern maður er að eiga sam-
skipti,“ segir Decker sem vill
leggja áherslu á að áætlanir
stjórnvalda feli í sér að upplýsa al-
menning um hvað beri að varast
við notkun nettengdra tækja til að
ná árangri í netöryggismálum.
Hún mælir með að nota mennta-
kerfið og segir lögreglu í Banda-
ríkjunum notast mikið við sam-
skiptamiðla í þessum tilgangi með
góðum árangri.
Nú sé helsta vandamálið þar
falskir tölvupóstar sem eru að
valda miklu fjárhagslegu tjóni hjá
fyrirtækjum og einstaklingum.
Um ógnir sem steðja beinlínis
að stjórnvöldum segir Decker þær
vera helst venjulegt fólk að fikta
við að brjótast inn í kerfi, í öðru
lagi njósnir ríkja og annarra og í
þriðja lagi netglæpir í hagnaðar-
skyni. Varnir hjá mikilvægum inn-
viðum séu einnig mikið lykilatriði.
Varðandi nána framtíð segir
Decker að ástæða sé til að hafa
áhyggjur af nettengdum tækjum
sem ekki hafa notendaviðmót eða
varnir á við tölvur, eins og t.d.
heimilis- og skrifstofutæki. Hægt
sé að brjótast inn í þau eða sýkja
án þess að notendur átti sig á því.
Einnig eigi eftir að koma í ljós
hvaða glæpir og varnir gætu orðið
til með gervigreindartækninni.
Vilja vanda til verka í netöryggi
Styrkjaáætlun Fulbright í netöryggismálum hleypt af stokkunum Sérfræðingurinn Eileen M.
Decker var gestur netöryggisviku Stjórnvöld hugi að lagaumhverfi, tækniþróun og upplýsingagjöf
Morgunblaðið/Eggert
Gestur Fulbright Eileen M. Decker er lögfræðingur sem hefur starfað lengi við að rannsaka netglæpi en kennir nú og veitir stjórnvöldum ráðgjöf.
Samgöngu- og sveitarstjórnar-
ráðuneytið stóð nýlega fyrir
samráðsfundi um stöðu net- og
upplýsingaöryggis og mótun
nýrrar löggjafar þar að lútandi.
Stjórnvöld hafa hafið endur-
skoðun á stefnu um net- og
upplýsingaöryggi, unnið er að
mótun stjórnskipulags fyrir
málaflokkinn og mótun lög-
gjafar með því að innleiða svo-
kallaða NIS-tilskipun sem fjallar
um net- og upplýsingaöryggi.
Fjallað var m.a. um mótun
frumvarps um net- og upplýs-
ingaöryggi sem nú er í vinnslu í
ráðuneytinu og á að leggja fram
í haust að undangengnu sam-
ráði á netinu.
Endurskoðun
á netöryggi
FRUMVARP NET- OG UPP-
LÝSINGAÖRYGGIS Í MÓTUN
Persónuvernd gerir alvarlegar at-
hugasemdir við að Borgarhólsskóli á
Húsavík hafi ekki útbúið öryggis-
kerfi um persónuupplýsingar sem
unnar eru í skólanum og vinnubrögð
tölvuþjónustufyrirtækisins Advania
í ákvörðun stjórnar Persónuverndar,
sem birt var í gær.
Vegna mistaka Advania við gagna-
flutning yfir í skýjalausn 1. nóvem-
ber sl. fengu allir nemendur skólans
tímabundinn aðgang að trúnaðar-
gögnum um aðra nemendur, en
gögnin innihéldu m.a. viðkvæmar
persónuupplýsingar, til að mynda í
eineltismáli. Upp komst um mistökin
rúmum sólarhring eftir að gögnin
urðu aðgengileg. Skólinn hafði strax
samband við Advania, sem lokaði
fyrir aðganginn og hóf rannsókn á
atvikinu. Upplýsingaöryggisfyrir-
tækið Syndis var fengið til að leggja
mat á umfang atviksins. Atvika-
skýrsla Syndis sýnir að tiltekin skjöl
voru opnuð, og ekki sé hægt að úti-
loka að fleiri skjöl hafi verið opnuð
eða mynduð. Unnt hefði verið að
skrá skjalaaðgang í atburðaskrá, en
slökkt var á þeirri stillingu.
Ámælisverð vinnubrögð
Persónuvernd bendir á að mikil-
vægt sé að atburðaskrá sé í kerfum
þar sem viðkvæmar persónuupplýs-
ingar geta verið skráðar. Mikilvægt
sé að sannreyna að aðgangur sé með
þeim hætti sem ætlað er, þegar gögn
séu flutt eða aðgangsheimildum
breytt, eins og verið var að gera í
þessu tilfelli.
„Verður að telja verulega ámælis-
vert að fyrirtæki, sem veitir sér-
fræðiþjónustu á þessu sviði, skuli
viðhafa slík vinnubrögð,“ segir í
ákvörðun Persónuverndar.
Persónuvernd telur Borgarhóls-
skóla það til tekna að hafa brugðist
strax við. Foreldrar voru upplýstir
fljótt um atvikið með tölvupósti og
gerðar voru ráðstafanir til að tak-
marka tjón og gera ráðstafanir til að
koma í veg fyrir að upplýsingarnar
yrðu aðgengilegar fleiri óviðkom-
andi. Því muni stofnunin ekki aðhaf-
ast frekar, en beindi því þó til
Borgarhólsskóla að sannreyna að
Advania gæti framkvæmt fullnægj-
andi öryggisráðstafanir og að gera
úrbætur á vinnslusamningi sínum
við Advania.
Ámælisverð vinnubrögð
Persónuvernd gerir athugasemdir vegna mistaka Borgar-
hólsskóla og Advania Trúnaðargögn opin í sólarhring