Tals­verður fjöldi upp­fylli ekki lág­marks­kröfur um netöryggi

Þetta eru niðurstöður svokallaðs sjálfsmats rekstraraðila nauðsynlegrar þjónustu. Matið var unnið á grundvelli netöryggislaga sem tóku gildi á Íslandi í september 2020 eftir að NIS-Evróputilskipunin um netöryggi var innleidd.  Lögin ná yfir 68 tilnefnda rekstraraðila mikilvægrar þjónustu. Þetta eru fyrirtæki og stofnanir sem teljast „krítískir innviðir“, svo sem fjarskipti, orka, samgöngur, heilbrigðisþjónusta o.fl.

Unnur Kristín Sveinbjarnardóttir, sviðsstjóri netöryggissviðs Fjarskiptastofu í samtali við Vísi að sjálfsmatið veiti stjórnvöldum í fyrsta sinn mælanlega og samanburðarhæfa yfirsýn yfir alla helstu netinnviði landsins.

„Við erum fimm árum eftir gildistöku laganna og þetta er staðan: Talsverður hluti þessara rekstraraðila er ekki að ná þeim viðmiðum sem Fjarskiptastofa setur,“ segir Unnur Kristín. Hún vill þó ekki gefa upp hvaða rekstraraðilar standi sig ekki í stykkinu, eða hvers vegna, þar sem það geti beinlínis ógnað innviðum og þjóðaröryggi.  

Þjónusta gjarnan sótt til þriðju aðila

Unnur segir að stofnunin hafi aftur á móti skilað ítarlegum niðurstöðuskýrslum til allra eftirlitsstjórnvalda og niðurstöðubréfum til rekstraraðila. Eftirlitsstjórnvöldin eru, auk Fjarskiptastofu, Embætti landlæknis, Seðlabanki, Samgöngustofa og Umhverfis- og orkustofnun, og sinnir hver stofnun sínu sviði.

Unnur bendir á að netárásir hafi á undanförnum árum færst í aukana og orðið flóknari. Stafræn þjónusta og kerfi verða sífellt flóknari, einkum þar sem einn rekstraraðili noti gjarnan þjónustu frá þriðju aðilum.

„Þannig að bæði þjónustan og samsetningin á henni er að aukast með fleiri fyrirtækjum eða þjónustuaðilum, sem eykur kannski árásarflöt.“

Mikið verkefni að uppfylla kröfurnar

Lögin sem um ræðir gera kröfu um að innleiða þurfi svokallaða áhættustýringu fyrir netöryggi, sem er umtalsvert verkefni.

„Í því felst að þú þarft að tilgreina allar þínar mikilvægu eignir og þú þarft að áhættumeta þau með formlegum og reglubundnum hætti. Þú þarft að velja þér mismunandi öryggisráðstafanir fyrir allar þær áhættur sem steðja að þínum rekstri og innleiða þær og hafa virkt utanumhald um þær,“ útskýrir Unnur og heldur svo upptalningunni áfram:

„Þú þarft að hafa ákveðið agaferli ef eitthvað kemur upp. Þarna er líka inni áhættumat á þínum þjónustuaðilum og birgjum og allt öryggi birgjakeðjunnar í rauninni. Þarna eru líka bara kerfislægar stýringar eins og aðgangsheimildir inn í kerfin, afgreining og aðskilnaður á milli kerfa, eldveggir og annað slíkt, allar þessar tæknilegu ráðstafanir.“ Þá þurfi samkvæmt þessu einnig að innleiða svokallaða breytingastjórnun svo yfirsýn sé á því hvenær stýrikerfi er t.d. uppfært.

„Stjórnarráðið, margar opinberar stofnanir, lykilaðilar eins og Auðkenni eða Stafrænt Ísland og annað slíkt. Þetta eru aðilar sem eru ekki í þessum hópi,“ segir Unnur. Það muni þó líklega breytast ef ný NIS-Evróputilskipun, sem ber það einfalda NIS2, verði innleidd á Íslandi.