Hvað er ECSM? Október mánuður er tileinkaður ECSM (European Cyber Security Month), herferð á vegum ESB/EES til að fá fólk til átta sig á hættunni af net- og upplýsinga árásum með áherslu á menntun, miðlun upplýsinga og hvernig sé best að verjast hættunni. Umsjón með herferðinni hefur ENISA. https://cybersecuritymonth.eu

Hvað er ENISA?

ENISA (European Network and Information Security Agency) er stofnun á vegum ESB með höfuðstöðvar á eyjunni Krít í Grikklandi. Hlutverk stofnunarinnar er að koma í veg fyrir og takast á við vandamál á sviði net- og upplýsingaöryggis. ENISA aðstoðar einnig framkvæmdastjórn ESB við  uppfærslu og þróun á löggjöf ESB á sviði net- og upplýsingaöryggis. Póst og fjarskiptastofnun er samstarfsaðili ENISA á Íslandi. https://www.enisa.europa.eu  www.pfs.is  

Hvað er CECUA?

CECUA er sjálfstæður og óháður félagsskapur sem býður fram sérþekkingu á því hvað varðar skoðanir og áhyggjur notenda upplýsingatækni, bæði einstaklinga og fyrirtækja. Sérþekkingu sem tekur tillit til hagsmuna notenda gagnvart meðborgurum, ríkisstjórnum, iðnaði og fjölbreytileika landa og svæða í Evrópu. CECUA er skrásett í Belgíu með skrifstofu á Íslandi.  CECUA er samstarfsaðili ECSM í Evrópu. www.cecua.eu

Einkunnarorð ECSM í ár er: „STOP, THINK, CONNECT.  Cyber Security is a shared responsibility!“

Eldhúsið og þvottahúsið eru komin á Internetið.

Markmiðið með ECSM mánuðinum er að vekja athygli fólks á net- og upplýsingaöryggismálum almennt og hvetja það til að afla sér þekkingar og kunnáttu á því, hvernig megi varast og bregðast við slíkum árásum [1, 2]. Þessi málaflokkur verður sífellt mikilvægari. Á IFA [3] sýningunni í Berlin sýna framleiðendur heimilistækja nýja kynslóð slíkra tækja sem eru öll tengd Internetinu. Þar með eru öryggismálin komin inn í eldhúsið og þvottahúsið. Ef þau mál eru ekki í lagi getur allt í einu farið að sjóða upp úr pottunum á eldavélinni, þvottavélin þvær endalaust og að tómur kæliskápur segist vera fullur.

Af hverju hefur fólk lítinn áhuga á öryggismálum?

Á fundi í Skýrslutæknifélaginu í fyrra kom fram hjá einum fyrirlesara að aðeins 10% notenda hefði áhuga á net- og upplýsingaöryggismálum. Af hverju er prósentan svona lág? Getur ástæðan verið sú að það sé búið að ofselja internetið á röngum forsendum?  Er Internetið jafn sjálfsagður hlutur í nútímasamfélagi eins og rafmagn og heita vatnið. Fólk hefur yfirleitt ekki áhyggjur af öryggi rafmagns og vatns. Ef rafmagnið fer í smátíma þá er til vasaljós einhvers staðar eða kerti ofan í skúffu. Sama er með heita vatnið. Ef það fer í einhvern tíma klæðir fólk sig bara betur þó inni sé. Og þarna byrja röngu forsendurnar og ofsalan. Fólk setur Internetið í sama flokk og rafmagn og vatn. Engar áhyggjur. En á Internetinu eru tvær hliðar.

Fyrri hliðin er hliðstæð rafmagni og vatni, sambandsleysi eins og þegar rafmagnið fer eða það verður vatnslaust. Ef fólk er sambandslaust í einhvern tíma spjallar fólk bara saman í stað þess að vafra á netinu. Er hér er komið svarið við því hvers vegna 90% notenda hafa engan áhuga á net- og upplýsingaöryggi? Þeir taka það sem gefið að það sé í lagi eins og með rafmagnið og vatnið. Einnig að það sé líka annarra en þeirra að sjá um að svo sé. Þetta sé ekki þeirra mál. Með ECSM vill ENISA breyta þessu viðhorfi. Einkunnarorðið „Cyber Security is a shared responsibility!“ segir einmitt að net- og upplýsingaöryggi er mál allra, ekki bara fárra sérstakra heldur allra. Markmiðið með mánuðinum er að ná til allra og sérstaklega til 90% manna sem láta sig málið engu skipta. Þetta eru um 450 milljónir manna í ESB og EES, s.s. enginn smáhópur. Lögð er áhersla á tölvulæsi, miðlun þekkingar og hvernig megi best tryggja eigið öryggi.  

Ósýnilega seinni hliðin á Internetinu.

Hin hliðin á internetinu er það sem skeður þegar sambandið er á og allt virðist í fínasta lagi. Spurningin er hvað er í gangi bak við tjöldin sem notandinn sér ekki og hefur enga hugmynd um? Þar geta óprúttnir aðilar legið í leyni og stundað iðju sína. Þeir komast yfir notendanöfn og leyniorð sem þeir nota síðan sjálfir eða selja. Þeir eru líka góðir við að lokka upplýsingar upp úr fólki með því að senda því tölvupóst undir fölsku nafni og biðja um upplýsingar. Eða þeir læðast inn í tölvukerfið og hreiðra um sig þar og bíða átekta. Notandinn tekur ekki eftir neinu meðan tölvuþrjóturinn safnar upplýsingum til að selja þær svo. En það eru tiltölulega fáir eða 10% sem láta sig málið skipta og hafa áhuga á net- og upplýsingaöryggismálum. Næstum daglega skýra fjölmiðlar frá innbrotum sem vekja ótta og angist hjá notendum, bæði einstaklingum og fyrirtækjum. Enginn veit hvenær röðin er komin að honum. Dæmi eru um að milliríkjadeilur hafi endað í stórfelldum netárásum. Stafræni innri markaðurinn verður ekki að veruleika meðan svo er.

Stjórnmálamenn hafa brugðist.

Allt of lengi brugðust stjórnvöld ekkert eða lítið við vandanum. Litið var á tölvuárásir sem unglingabrellur. Þetta mundi eldast af unglingunum. CECUA hefur lengi barist fyrir því að flokka tölvuárás sem glæp. Eins og hver annan glæp á að meðhöndla hann sem slíkan, með rannsókn, ákæru og dómi. Sumir hafa sagt að netheimurinn sé alveg sér á parti og kalli á nýja löggjöf. CECUA hefur svarað því að allt sem þurfi að gera sé að túlka löggjöfina eins og hún er með nútímann í huga. Allt annað sé léleg afsökun fyrir aðgerðarleysi. Sem betur fer er þetta skeið að baki, og stjórnmálamenn taka við sér þó hægt og sígandi sé. Gamalt kínverskt spakmæli segir að enginn verði góður læknir nema hafa verið veikur sjálfur. Það mætti snúa þessu upp á nútímann og segja að til að berjast gegn glæpum á netinu þurfa þeir hinir sömu að hafa orðið fórnarlamb sjálfir. Þannig varð Þýska þingið ekki lengi að samþykkja ný tölvulög eftir að hafa orðið fyrir árás.

Ný hugsun í löggjöf gegn tölvuárásum í Evrópu.

Löggjöfin nær til þeirra sem reka hina svokölluðu ómissandi innviði sem eru mikilvægir fyrir samfélagið í heild. Þar er átt við orkufyrirtæki, fjarskiptafyrirtæki, samgöngufyrirtæki, heilbrigðiskerfi, vatnsveitur, matvælaframleiðslufyrirtæki, fjármálafyrirtæki og tryggingarfyrirtæki sem eru mikilvæg fyrir allt samfélagið. Þessum fyrirtækjum eru lagðar sérstakar skyldur á herðar:
•    Koma sér upp öryggiskerfum sem byggja á nýjustu tækni
•    Sýna fram á að öryggiskerfunum hafi verið komið upp.
•    Leggja fram niðurstöður net- og upplýsingaöryggis endurskoðunar þar sem taldir eru upp veikleikar sem komu í ljós í endurskoðuninni.
•    Tilkynna allar árásir sem þau verða fyrir.
•    Viðurlög eru allt að 100.000 Evrur. [4]

ESB er að undirbúa svipaða löggjöf. Fyrr en síðar verður þessi löggjöf hluti af EES samningnum og mun þá taka gildi á Íslandi líka.

Talið er að tap þýskra fyrirtækja vegna tölvuglæpa sé nokkrir milljarðar evra á ári. Tölvuglæpir eru orðnir svo ábatasamir að mafían telur sig hafa meira upp úr þeim en eiturlyfjum og vændi samanlagt. Annað nýtt á nálinni er að tryggingafélög eru farin að bjóða tryggingar gegn tjóni vegna tölvuinnbrota.  Það er ekki spurning hvort, heldur hvenær fyrirtæki verða fyrir slíku tjóni. Tryggingafélögin sjá þarna nýjan og álitlegan markað.

Svifaseinir stjórnmálamenn og háskólar.

Á Íslandi hafa stjórnvöld líka sofið á verðinum. Málið tók smákipp í fyrra þegar Innanríkisráðuneytið skipaði nefnd til að gera tillögur um hvernig yrði staðið að net- og upplýsingaöryggismálum á Íslandi. Nefndin skilaði tillögum þar sem gert er ráð fyrir ráðum og vinnuhópum til að fylgja málinu eftir. Þetta er góð byrjun en framkvæmdin kostar peninga sem ekki fylgdu með. Á hverjum degi verða fjármálafyrirtæki, bankar og opinberar stofnanir á Íslandi fyrir hundruðum árása. Hingað til hefur ekkert stórslys orðið en það er bara spurning um tíma. Það er ekki spurning hvort heldur hvenær tölvuþrjótarnir hafa sigur.

CERT teymið.

Ein lykilstofnun í vörnum gegn tölvuárásum er CERT teymið, CERT stendur fyrir Central Emergency Response Team. CERT er teymi sérfræðinga sem einbeitir sér að  vandamálum á sviði net- og upplýsingaöryggis. CERT  teymið á Íslandi er í dag hluti af Póst og fjarskiptastofnun og getur varla talist starfshæft vegna fjárskorts. Hættan er sú að menn vakni ekki á verðinum fyrir en stórslys hefur orðið. Þá rjúki menn upp til handa og fóta og setji fjármagn í net- og upplýsingaöryggismál. Hér erum við ekki að tala um neina smápeninga og þá er ekki átt við nokkrar milljónir eða jafnvel tugi milljóna. Heldur þarf hundruð milljóna til. Hins vegar þarf meira til en milljónirnar. Það þarf einnig þekkingu og reynslu. Það er athyglisvert að það er engin prófessorsstaða í net- og upplýsingaöryggismálum við neinn af háskólunum á Íslandi. Svo lengi sem það er svo, vantar kjölfestuna í öflun þekkingar og miðlun hennar á háskólastigi á Íslandi.

Hvað getum við lært af annarri smáþjóð?

Margir segja að Ísland er svo lítið að það hafi ekki efni á þessu.  Eistland er einnig lítið land með aðeins fjórum sinnum fleiri íbúa en Ísland. Ég spurði varautanríkisráðherra Eista hvernig þeir hafi farið að 2007 þegar stjórnkerfið í Eistlandi varð fyrir tölvuárás sem margir skrifa á reikning Rússa. Svarið var einfalt: með samstarfi allra, sérfræðinga hins opinbera, sérfræðinga bankanna og háskólanna. Síðan bætti hún við að engin opinber stofnun hefði efni á að borga sérfræðingum sem réðu við svona mál, það væru helst bankarnir sem gætu það. Getum við lært eitthvað af þessu? Við höfum sérfræðinga hins opinbera, líka sérfræðing bankanna en enga háskólasérfræðinga. Það er engin tilviljun að í dag er net- og upplýsingaöryggis stofnun ESB í Tallin í Eistlandi.

Ekkert einkamál Íslands eða Evrópu hvað þá Bandaríkjanna!

Tölvuþrjótar eru alls staðar. Margir þeirra sem stunda iðju sína í Evrópu eru ekki þar til húsa. Þeir geta verið hvar sem er. Þess vegna vekur það furðu að net- og upplýsingaöryggismál eru ekki fyrir löngu komin á dagskrá G7 eða G20 sem sameiginlegt vandamál heimbyggðarinnar. Það hlýtur að vera farið að koma að því. Á meðan þurfa Íslendingar að koma sínum málum í lag, bæði hvað fjármögnun varðar og ekki síður uppbyggingu þekkingar og miðlun hennar. Þar gæti Skýrslutæknifélagið gegnt stóru hlutverki.

Höfundur: Dr. Jón Þór Þórhallsson, forseti CECUA. Fyrrverandi formaður og heiðursfélagi Skýrslutæknifélags Íslands.

Heimildir:
[1] https://www.wnisa.europa.eu[2] www.pfs.is
[3] http://b2b.ifa-berlin.com/
[4] http://www.rt.com/news/273058-german-cyber-security-law/