Hoppa yfir valmynd

Ný tilkynningagátt um öryggisatvik hefur verið opnuð

Tungumál EN
Heim

Ný tilkynningagátt um öryggisatvik hefur verið opnuð

14. maí 2020

Ný tilkynningagátt um öryggisatvik hefur verið opnuð

Gáttin, oryggisbrestur.island.is, sem Sigurður Ingi Jóhannsson, samgöngu- og sveitarstjórnarráðherra, opnaði með formlegum hætti í dag, mun auðvelda tilkynningar fyrirtækja og stofnana um öryggisatvik í rekstri þeirra. Gáttin er samvinnuverkefni Persónuverndar, Póst- og fjarskiptastofnunar/CERT-IS og Lögreglunnar undir forystu samgöngu- og sveitarstjórnarráðuneytisins.

Í sameiginlegri fréttatilkynningu frá samgöngu- og sveitarstjórnarráðuneytinu, Persónuvernd, Póst- og fjarskiptastofnun (PFS) og Lögreglunni kemur fram að í gáttinni sé á einum stað og með samræmdum hætti hægt að tilkynna um öll öryggisatvik og öryggisbresti hvort sem þau heyra undir Persónuvernd eða netöryggissveitina CERT-IS sem Póst- og fjarskiptastofnun rekur. Einnig er hægt að tilkynna atvikin til Lögreglunnar. 
Öryggisatvikin geta verið netatvik, tengd netárásum eða netglæpum, en geta einnig birst í öðrum miðlum, einkum atvik sem varða vernd persónuupplýsinga. Gáttinni er ætlað að bæta þjónustu við þá aðila sem er skylt að tilkynna öryggisatvik samkvæmt lögum. 

Í ræðu sem Hrafnkell V. Gíslason, forstjóri PFS hélt við opnun gáttarinnar fjallaði hann m.a. um hvaða borgaralegu aðilar innan samfélagsins geta orðið fyrir netárás og hvaða stjórnvöld fara með viðbragð við netatburðum þá má e.t.v. flokka fórnarlömb netárása í 2 megin flokka: 

  • Annars vegar hinn almenna borgara og almenn fyrirtæki í landinu, en þar gegna Lögreglan og Persónuvernd mikilvægu hlutverki, auk ýmissa markaðsaðila sem veita þjónustu á sviði netöryggis. 
  •  Hins vegar mikilvæg innviðafyrirtæki, en til að stuðla að sérstakri vernd þeirra hafa verið sett hin svo kölluðu NIS lög sem taka gildi 1. september nk. Fyrirtækjunum sem falla undir lögin mun samkvæmt ákvæðum laganna bera skylda til að gera víðtækar ráðstafanir til að stuðla að auknu netöryggi og fer Póst og fjarskiptastofnun með framkvæmd laganna. 

Undirbúningur undir innleiðingu laga um net- og upplýsingaöryggi mikilvægra innviða (NIS laganna) stendur nú yfir. Segja má að innleiðingin skiptist í tvær megin greinar, annars vegar að efla netöryggissveitina CERT-IS og hins vegar samræmingarhlutverk til að efla raun- og kerfislægt öryggi net- og upplýsingakerfa mikilvægra innviða. Þeir mikilvægu innviðir sem lögin tilgreina eru fjármálastarfsemi, samgöngur, orka, veitur, heilbrigðisþjónusta, stafrænir innviðir, stafrænir markaðir auk fjarskipta og stjórnarráðsins. Samkvæmt lögunum er þessum aðilum skylt að tilkynna alvarleg öryggisatvik í net- og upplýsingakerfum til CERT-IS, netöryggissveitar Póst og fjarskiptastofnunar.  

Tilkynningagáttin hefur verið tekin í notkun m.a. til að styðja við það hlutverk og auðvelda þessar skyldubundnu tilkynningar til CERT-IS og annarra. 
Gáttin er ein fjölmargra tóla sem netöryggissveitin mun þurfa að koma sér upp til þess að fá vitneskju um stöðu netöryggis og um netöryggisatvik hérlendis. Það má segja að þessi gátt ásamt öðrum tólum sé eins og veðurmælar Veðurstofunnar, án þeirra getur Veðurstofan ekki fylgst með veðri eða gert spár. Sama á við um gáttina og önnur tól, án upplýsinga um netaburði getur netöryggissveitin ekki fylgst með stöðu netatvika né varað aðra við aðsteðjandi vá.  

Reynslan sýnir að netþrjótar nota langoftast þekktar leiðir til að brjóta af sér. Því skiptir verulegu máli að læra af reynslu þeirra sem lenda í netatviki til þess að aðrir aðilar í netumdæminu lendi ekki í því sama.

Hvað netöryggissveitina varðar er gáttinni fyrst og fremst ætlað að þjóna rekstraraðilum mikilvægra innviða og auðvelda að tilkynna þau atvik sem þeim ber lögum samkvæmt. PFS og CERT-IS leggja þó áherslu á að fá frekar fleiri tilkynningar en færri, bæði um stór atvik sem ber samkvæmt lögum að tilkynna og einnig smærri atvik. Öll tilkynnt öryggisatvik eru dýrmætt innlegg í ástandsvitund sem er nauðsynleg til að hægt sé að móta aðgerðir til að verja betur mikilvæga innviði og aðra rekstraraðila.

 

Til baka