Samráð fyrirhugað 23.04.2021—07.05.2021
Til umsagnar 23.04.2021—07.05.2021
Niðurstöður í vinnslu frá 07.05.2021
Niðurstöður birtar

Grænbók um net- og upplýsingaöryggi

Mál nr. 102/2021 Birt: 23.04.2021
  • Samgöngu- og sveitarstjórnarráðuneytið
  • Annað
  • Málefnasvið:
  • Samgöngu- og fjarskiptamál

Niðurstöður í vinnslu

Umsagnarfrestur er liðinn (23.04.2021–07.05.2021). Umsagnir voru birtar jafnóðum og þær bárust. Skoða umsagnir. Niðurstöður samráðsins verða birtar þegar unnið hefur verið úr þeim ábendingum og athugasemdum sem bárust.

Málsefni

Samgöngu- og sveitarstjórnarráðuneytið leggur fram grænbók til samráðs vegna mótunar nýrrar stefnu um net- og upplýsingaöryggi.

Vorið 2015 kynnti þáverandi innanríkisráðherra ríkisstjórn og Alþingi stefnu um net- og upplýsingaöryggi og í kjölfarið var unnið að innleiðingu hennar. Víðtækt samráð fór fram og voru stefnur grannríkja á sviði netöryggismála á þeim tíma hafðar til hliðsjónar. Alþingi samþykkti í júní 2019 nýja stefnu ríkisins um net- og upplýsingaöryggi, sem birtist sem hluti af stefnu í fjarskiptum fyrir árin 2019-2033 og fjarskiptaáætlun fyrir árin 2019-2023. Samhliða samþykkti Alþingi 2019 fyrstu heildstæðu lög á Íslandi um netöryggi, að fyrirmynd samevrópsks regluverks. Í þeim er kveðið á um að ráðherra skuli marka stefnu um net- og upplýsingaöryggi, sem endurskoða ber reglubundið. Í stefnu skal m.a. greina frá markmiðum og ráðstöfunum stjórnvalda í því skyni að stuðla að öryggi og viðnámsþrótti net- og upplýsingakerfa mikilvægra innviða.

Netöryggi hefur því þróast frá því að vera nær eingöngu tæknilegt viðfangsefni tölvusérfræðinga í að vera þverfaglegt viðfangsefni sem krefst víðtækrar samvinnu í samfélaginu. Með gríðarlegri aukningu í notkun (og misnotkun) Netsins hafa öryggisáskoranir aukist að sama skapi. Sé þeim ekki sinnt getur það leitt til illbætanlegs tjóns, traust til netháðrar þjónustu getur hrunið og uppbyggingarstarf komið að litlum notum.

Meðal helstu netöryggisáskorana samtímans er þróun og notkun hlutanetsins (e. Internet of Things - IoT) því með tilkomu þess getur tölvutengdur búnaður valdið skaða (jafnvel banvænum) án þess að mannshöndin eða mannshugurinn hafi tækifæri til að grípa inn í. Með notkun gervigreindar magnast netöryggisþörfin enn frekar, því þá fær tölvubúnaður getu til að taka ákvarðanir og hrinda þeim í framkvæmd. Ein áskorunin sem við blasir snýr svo að því að í dómsmálum þarf að vera unnt að ákvarða hvar lögsaga mála er. Skipulögð glæpastarfsemi nútímans byggir í æ ríkara mæli á að finna og notafæra sér ekki bara tæknilega veikleika, heldur einnig lagalega og lögsögulega óvissu, siðferðileg álitamál og margt fleira. Aukin misnotkun á Netinu kallar á að hugað sé sérstaklega að vernd viðkvæmra hópa, ekki síst barna. Þar sem þessi misnotkun getur verið margslungin, þá er brýn þörf á samvinnu mismunandi aðila til að viðunandi árangur náist. Með skammtatölvum mun verða stökkbreyting í reiknigetu og ýmsar öryggislausnir á Netinu verða úreltar. Í alþjóðlegri samvinnu er aukin áhersla á að ríki taki þátt í samstarfi um þær öryggisáskoranir sem fylgja skammtatölvum, t.d. með tilliti til öryggis, flutnings og geymslu trúnaðargagna.

Hér er mikilvægt að allir vinni saman, stjórnvöld og atvinnulífið, samtök og einstaklingar. Áhersla á netöryggi skilar sér ekki einungis í minni líkum á skaða (sem getur hlaupið á tug milljarða króna í íslensku samfélagi og fer vaxandi), heldur er framboð á netöryggistækni og þjónustu ört vaxandi atvinnugrein erlendis. Þeirri nýju stefnu um net- og upplýsingaöryggi sem hér er í mótun er ætlað að vera grunnur víðtæks samráðs, samhæfingar og samstarfs um netöryggi, sem ekki einungis getur skapað nauðsynlegt öryggi um stafrænar lausnir framtíðar heldur einnig lagt grunn að ábatasömum iðnaði og þjónustu. Til að þetta gangi vel þarf öflugt samstarf stjórnvalda, atvinnulífs og annarra hagaðila, í reynd alls samfélagsins.

Innsendar umsagnir

Afrita slóð á umsögn

#1 Grímur Kjartansson - 26.04.2021

Allir mikilvægir innviðir ættu að vera innan stjórnkerfis upplýsingaöryggis og árlega ætti fylgni stjórnkerfisins við ISO27001 að vera vottað af viðurkenndum aðila. Í þessu sambandi þá ætti löggjafinn að átta sig á að mun meiri þörf er á að til staðar sé stjórnandi sem ber ábyrgð á daglegum rekstri á stjórnkerfi upplýsingaöryggis en að persónuverndarfulltrúi sé tilgreindur.

Það er mikið af alskyns uppblásnum fréttum um hrun í vörnum sem má oftar en ekki má svo rekja til gamalla kerfa sem komin eru úr þjónustu og/eða stöðvunar á hugbúnaðaruppfærslum eins og t.d.

"Góðan daginn, hér með tilkynnist breytingarbann í öllum tölvukerfum Reykjavíkurborgar frá og með mánudaginn 16.3.2020 um óákveðin tíma til að minka rekstraráhættu og álagi á meðan neyðarástand vegna covid-19 er í gangi" enda var tilkynnt til Persónuverndar þá um sumarið að skjalavistunarkerfið Hlaðan hafi farið á hliðina í prófun hjá Syndis.

Því hefur löngum verið haldið fram að stuttar boðleiðir séu einn helsti styrkur íslenskrar stjórnsýslu.

Flestir sem sýsla með upplýsingaöryggi á Íslandi þekkjast og vita um styrk og kunnáttu hvers annars svo einhvers konar lokaður samstarfshópur þeirra sem sjá um daglegan rekstur stjórnkerfa upplýsingaöryggis á Íslandi gæti styrkt þá aðila verulega í proactive verkefnastjórnun sem er grundvöllur þess að stjórnkerfi upplýsingaöryggis sé skilvirkt.

Afrita slóð á umsögn

#2 Samtök fjármálafyrirtækja - 06.05.2021

Viðfest er umsögn Samtaka fjármálafyrirtækja um Grænbók um net- og upplýsingaöryggi.

Virðingarfyllst, fyrir hönd SFF,

Elvar Orri Hreinsson, sérfræðingur í greiningum og upplýsingamiðlun.

Viðhengi
Afrita slóð á umsögn

#3 Samband íslenskra sveitarfélaga - 07.05.2021

Meðfylgjandi er umsögn Sambands íslenskra sveitarfélaga.

Virðingarfyllst,

Bryndís Gunnlaugsdóttir

Viðhengi