Umsagnarfrestur er liðinn (29.06.2023–18.08.2023).
Umsagnir voru birtar jafnóðum og þær bárust. Skoða umsagnir.
Niðurstöður samráðsins verða birtar þegar unnið hefur verið úr þeim ábendingum og athugasemdum sem bárust.
Háskóla-, iðnaðar- og nýsköpunarráðuneytið leggur fram tillögu um samstarf stjórnvalda og atvinnulífs á sviði netöryggis með það að markmiði að hvetja til umræðu framtíðarfyrirkomulag slíks vettvangs.
Eitt af lykilviðfangsefnum netöryggisstefnu Íslands 2022-2037 og leiðarljós ýmissa verkefna háskóla-, iðnaðar- og nýsköpunarráðuneytisins er að auka samstarf á sviði netöryggis. Ein af áherslum stjórnvalda er að þróa vettvang um víðtækt samstarf stjórnvalda og atvinnulífs á sviði netöryggis, þ. á m. er varðar upplýsingamiðlun, þannig að stjórnvöld og atvinnulíf vinni saman, miðli upplýsingum sín á milli, leiðbeini um net- og upplýsingaöryggismál og vinni markvisst að bættu netöryggi.
Tillaga um formgerð samstarfs stjórnvalda og atvinnulífs á sviði netöryggis er umræðuskjal sem ætlað er að hvetja til umræðu um formgerð samstarfsins og möguleg áhrif þess á íslenskt samfélag. Niðurstöður samráðsins verða nýttar til frekari mótunar á samstarfsvettvangi.
Undanfari tillögunnar var m.a. vinnustofa sem ráðuneytið stóð að og haldin var 13. apríl 2023. Mörgum af helstu hagaðilum netöryggismála var boðið á vinnustofuna þar sem markmiðið var að fá fram sjónarmið um fyrirkomulag og hlutverk samráðsvettvangs stjórnvalda og atvinnulífs á sviði netöryggis. Tillaga um formgerð samstarfs stjórnvalda og atvinnulífs byggir á þeim fjölmörgu sjónarmiðum sem fram komu á vinnustofunni.
Samhliða samráði um tillögu um formgerð samstarfs stjórnvalda og atvinnulífs á sviði netöryggis hafa verið lögð fram drög að reglugerð um netöryggisráð. Tillagan og reglugerðadrögin eru hluti af endurskoðun háskóla-, iðnaðar- og nýsköpunarráðuneytisins á stjórnskipulagi netöryggismála.
Ljóst verður að vera í þessu verkefni, að það er ríkið, sem ber ábyrgð á netöryggi almennings. Gæta verður þess, að fari eitthvað úrskeiðis, geti ríkisvaldið ekki fríað sig ábyrgð með því að benda á aðra, samstarfsvettvang o.s.frv. Ríkið verður að vera í forystu fyrir verkefninu og taka á því fulla ábyrgð. Ábyrgð ríkisins má ekki útvista. Þessi atriði verða að koma skýrt fram í öllum gögnum málsins. Það er ekki nægilegt, að ríkisvaldið hafi forystu í málinu, ábyrgðin verður verður að vera þess óskoruð, Auðvitað eiga einstakir aðilar, fyrirtæki og einstaklingar, að gera allt, sem í þeirra valdi stendur, til þess að tryggja eigið öryggi - á eigin kostnað. En heildarumgerð netöryggis þjóðarinnar verður að vera hjá ríkisvaldinu. Svona samstarf á heldur ekki að nota til að velta kostnaði yfir á ríkið, sem einstakir notendur eiga með réttu að bera. Og svo þarf ekki að leita að einhverjum gæðingum til að maka krókinn í framkvæmd á þessu verkefni. Í þessu eru mikilir peningar umleikis og enginn skortur á gæðingum, sem telja sig sjálfskipaða til fá "sinn skeerf". Málefnið er verðugt, en hætturnar eru margar, og koma ekki allar utanfrá.
Virðingarfyllst,
Hörður Einarsson
Góðan dag. Þetta er ein af þeim hugmyndum sem sýnist virkar vel en er ekki að virka. Eins og allir vita tekur ríkið og nefndir þess marga mánuði að taka einfalda ákvörðun. Er ekkert upptrekktur mótmælandi, svona er þetta bara. ALLT sem þarf að virka og vera fljótt að koma fram verður að vera á vegum margra (einkaframtak). Þar eru menn að vinna við þetta alla daga. Þetta kostaði þar að auki lítið fyrir ríkið. Samráðnefnd getur hinsvegar verið til bóta sem hefði yfirsýn og gæti varað við og mælt með hinu og þessu.
Geri að minni tillögu að:
Nefnd með 4-6 mönum fjalli um þetta.
Helmingur verði beint frá atvinnulífinu og hver og einn í 2-3 ár í senn. Jafnvel styttri tími.
Ástæðan er að allt sem varðar tölvur og netöryggi uppfærist 3-4 sinum á ÁRI.
Kveðja
Guðmundur Gíslason
Góðan dag
Meðfylgjandi er umsögn Sambands íslenskra sveitarfélaga.
f.h. sambandsins,
Valgerður Rún
ViðhengiGóðan dag,
Það er afar gott mál að vinna að netöryggi með því að reyna að verja einstaklinga, stofnanir og fyrirtæki gegn árásum netþrjóta (hakkara). Hinsvegar eru gríðarlegar hættur fólgnar í því að ríki og atvinnulíf fari að hlutast til um hvað teljast réttar upplýsingar og hvað rangar - það sem í daglegu tali hefur verið kallað vinna gegn upplýsingaóreiðu.
Við lifum í kaótískum heimi. Hvað eru réttar upplýsingar og hvað rangar er ekki alltaf einfalt að meta. Það sem er talið rangt í dag getur orðið rétt á morgun vegna þess að nýjar upplýsingar koma í ljós eða uppgötvanir eru gerðar. Þá er öllum frjálsum einstaklingum frjálst að hafa skoðanir hvort sem þær teljast réttar eða rangar skv. vísindum, trúabrögðum eða öðru.
Lög skyldu alltaf taka mið af því að slæmt fólk getur komist til valda. Lög sem veita yfirvöldum rétt til að þagga niður raddir eða skoðanir borgaranna bjóða gríðarlegum hættum heim. Svo lengi sem ekki er verið að æsa fólk til glæpa og illvirkja (og til eru lög sem taka á slíku) eru skoðanaskipti aldrei hættuleg heldur eðlileg og sjálfsögð í frjálsu samfélagi manna.
Föllum ekki í þá gryfju að halda að það að veita yfirvöldum vald til að hefta tjáningafrelsi sé góð hugmynd. Alveg sama hversu vel meinandi slíkt yfirvald væri það hefur hvorki umboð til slíks né forsendur til að geta ákveðið hvað er rétt og hvað er rangt á hverjum tíma.
Hin svokallaða "upplýsingaóreiða" er birtingarmynd frelsis. Ekkert annað. Hún er ekki hættuleg neinum öðrum en þeim sem hefur eitthvað að fela eða þeim hafa ekki umburðalyndi fyrir því að við erum ekki öll eins.
Verum skynsöm og látum ekki telja okkur trú um að ritskoðun og frelsisskerðing tjáningar sé framfaraskref fyrir Ísland.
bk
Sig.
Sjá í viðhengi umsögn Fjarskiptastofu um tillögu að samstarfsvettvangi um netöryggi.
ViðhengiMeðfylgjandi er umsögn Samtaka iðnaðarins um tillögu um formgerð samstarfs stjórnvalda og atvinnulífs á sviði netöryggis.
ViðhengiUmsögn um tillögu um formgerð samstarfs stjórnvalda og atvinnulífs á sviði netöryggis
Í stefnu um net- og upplýsingaöryggi sem var þróuð fyrir tæpum áratug og birt í apríl 2015 (sjá tilvísun “Netöryggisstefna 2015“) var lagt til að tvenns konar samráði yrði komið á til að efla netöryggi hérlendis, annars vegar netöryggisráði sem yrði samráðsvettvangur opinberra aðila og hins vegar víðtækari samstarfshópi atvinnulífs og opinberra aðila. Netöryggisráði var komið á sama ár og kannað var erlendis hvaða víðtækari samstarfsform væru notuð. Hollendingar voru komnir hvað lengst og buðu samvinnu. Þar komu bæði opinberir aðilar og atvinnulíf að stjórnun samstarfsins og framkvæmdastjóri sá um daglegan rekstur. Á þessum tíma og á næstu árum var hins vegar takmarkaður áhugi íslensks atvinnulífs á samstarfi við opinbera aðila á þessu sviði vegna ýmissa ástæðna. Nú eru hins vegar gjörbreyttar aðstæður, það hefur tekist að byggja upp öfluga netöryggissveit (CERT-IS) sem hefur áunnið sér traust innan lands sem utan og flestum er orðið ljóst að það er ekki unnt að bregðast við fjölþættari netógnum samtímans án samvinnu. Tillaga um mótun samstarfsvettvangs og jákvæð viðbrögð atvinnulífs, sbr. tilvísaða vinnustofu, er því fagnaðarefni og gott spor fram á við.
Góð hæfni á sviði netöryggis hefur byggst upp í samfélaginu, þótt átaks sé víða enn þörf. Einstaklega góður árangur Íslendinga í alþjóðlegum æfingum í netöryggi síðasta árið sýnir að góða hæfni er víða að finna og hún er að byggjast upp enn frekar. Lið íslenskra ungmenna varð í öðru sæti (sænskt lið í því fyrsta) í keppninni “Cyber Battle of Nordics-Baltics 2022” sem norræna ráðherranefndin studdi og haldin var í Tartu í Eistlandi 29. október 2022. Árangur sameinaðs liðs Íslands og Svíþjóðar í æfingunni “Skjaldborg” (“Locked Shields”) sem haldin var 17. - 21. apríl í ár er hins vegar einstakur, liðið varð efst að stigum og höfðu þó mörg ríki lagt mikið undir í mannafla og tækjabúnaði til að reyna að ná efsta sæti (sjá tilvísanir undir “Netvarnaæfingin Skjaldborg”). Æfingin Skjaldborg er umfangsmesta alþjóðlega æfing sinnar tegundar og er eitt af meginverkefnum (“flagship projects”) Öndvegisseturs NATO um netvarnarsamvinnu, í Tallinn í Eistlandi (NATO CCDCOE). Í ár tóku hátt í þrjú þúsund sérfræðingar frá 38 löndum þátt í æfingunni og allt að fjögur hundruð tóku þátt í undirbúningi (og var ég einn þeirra). Það sem gerir æfinguna einstaka er ekki einungis umfangið, heldur hvernig æfðar eru varnir gegn fjölþættum breiðvirkum netárásum sem beitt er skipulega til að valda samfélagslegum skaða. Til að verjast dugar ekki tækniþekking ein sér, það þarf samvinnu fjölbreytts hóps sérfræðinga til að ná árangri. Frábær árangur sænsk-íslenska liðsins vakti verðskuldaða athygli hér í öndvegissetrinu og fulltrúar ýmissa ríkja ræddu óformlega skýringar á hvað kunni að hafa hamlað árangri þeirra eigin liða. Algengasta skýring var að það hafi ekki verið hæfni eða búnaður sem skorti, heldur getu til fjölþættrar og samstilltrar samvinnu. Þar hafa Svíar mikla reynslu, bæði á grunni heildræns varnarmálaskipulags (“Totalförsvaret”, sem byggir á samvinnu hers og borgaralegra stjórnvalda) og langrar reynslu í að skipuleggja fjölþættar stórar æfingar. Við getum því glaðst yfir frábærum árangri íslenska liðsins, en við megum ekki gleyma að án einstaks samvinnuskipulags Svía hefðum við ekki náð langt. Enn sem komið er höfum við ekki eigið stjórnskipulag um samvinnu þessara sérfræðinga sem eru dreifðir um samfélagið, mörg ríki glíma við sama vanda.
Stríðsaðgerðir Rússlands gegn Úkraínu hafa haft varanlega breytingu samfélagslegra netógna í för með sér og það mun frekar taka áratugi en ár að nálgast eðlilegt ástand á ný. Netið er burðarvirki nútíma samfélaga og það er einnig hluti af af vígvelli og miðtaugakerfi nútíma hernaðar. Einkafyrirtæki reka að verulegu leyti þetta tæknilega umhverfi og Netið á sér engin landamæri, á Netinu eru öll ríki grannríki. Þetta skapar margar tæknilegar og lögfræðilegar áskoranir, fyrir stórfyrirtæki og ríkisstjórnir og einnig fyrir mörg minni fyrirtæki.
Annað meginverkefni öndvegissetursins í Tallinn er árlega ráðstefnan CyCon (“International Conference on Cyber Conflict”) sem er leiðandi ráðstefna um átök og Netið. Breytt öryggisumhverfi kom greinilega fram við skipulagningu ráðstefnunnar í vor og einnig í fyrra. Áhugi stórfyrirtækja á að styrkja og taka virkan þátt í ráðstefnunni með ýmsum hætti hefur stóraukist, ekki komast allir að sem vilja. Hvort sem alþjóðlegt netfyrirtæki lendir í þeirri stöðu að vera leiðandi í stríðsaðgerðum eða ekki, þá verður varanlega breytt öryggisumhverfi ekki umflúið hversu stórt sem fyrirtækið er. Margar hliðar (tæknilegar, lögfræðilegar, skipulagslegar) þessa breytta umhverfis hafa verið til umfjöllunar á undanförnum tveimur CyCon ráðstefnum og verða án efa á þeirri næstu. Upptökur af efni ráðstefnanna og ítarleg ráðstefnurit eru aðgengileg án endurgjalds (sjá tilvísun “CyCon”).
Nokkur íslensk netöryggisfyrirtæki hafa náð langt, meira að segja alþjóðlega. Þau búa yfir þekkingu og hæfni sem er nauðsynleg til netvarna íslensks samfélags. Sú hæfni er nauðsynleg en þó ekki nægileg ein sér þegar um víðtæka samfélagslega ógn er að ræða. Ýmsar af þeim upplýsingum sem þarf til ástandsvitunar netógna gegn íslensku samfélagi eru einungis fáanlegar á grunni varnarmálasamstarfs og slíkt samstarf er einnig forsenda þess að verja stafrænt fullveldi Íslands og að það geti þegið aðstoð vegna alvarlegra netógna. Utanríkisráðuneytið hefur stóraukið áherslu á þessi mál á undanförnum árum og á samvinnu við innlenda aðila þar sem við á. Í fylgiskjali tillögunnar, “Sjónarmið frá vinnustofu - Samstarf stjórnvalda og atvinnulífs í netöryggi” kom fram að í svari við spurningu 1 hafi m.a verið svarað að vettvang vantaði til að ræða sértæk mál, t.d varnarmálavitund.
Lagt er til að varnarmálaþætti netöryggis verði gefinn viðeigandi gaumur í því þarfa samstarfi sem nú er verið að byggja upp, enda snertir þessi þáttur fleiri en margir ætla og með alvarlegri hætti. Þetta er vaxandi samfélagsleg ógn sem þarf að vera með í umræðunni um bætt áfallaþol íslensks samfélags gegn netvá, hvort sem hún er ein sér eða samtvinnuð annarri vá.
Dr Sigurður Emil Pálsson
Fræðimaður á vegum utanríkisráðuneytisins á aðgerðafræðasviði Öndvegisseturs Atlantshafsbandalagsins um netvarnarsamvinnu, í Tallinn í Eistlandi, formaður undirbúningsnefndar CyCon ráðstefnanna 2023 og 2024 og áður formaður Netöryggisráðs.
Þær skoðanir sem hér koma fram eru alfarið höfundar og þurfa ekki að endurspegla stefnu eða skoðanir núverandi eða fyrrverandi vinnuveitenda.
Tilvísun “Netöryggisstefna 2015”:
https://www.stjornarradid.is/media/innanrikisraduneyti-media/media/frettir-2015/Netoryggisstefna_2015_april.pdf
Tilvísun “Netvarnaæfingin Skjaldborg”
https://ccdcoe.org/exercises/locked-shields/
https://ccdcoe.org/news/2023/sweden-iceland-joint-team-emerges-on-top-of-locked-shields-2023-cyber-defense-exercise/
https://www.stjornarradid.is/efst-a-baugi/frettir/stok-frett/2023/05/03/Sameiginlegt-lid-Islands-og-Svithjodar-sigurvegari-netvarnaraefingar-Atlantshafsbandalagsins/
https://www.visir.is/g/20232405231d/is-land-og-svi-thjod-i-fyrsta-saeti-a-gridar-storri-net-varna-r-aefingu
https://disa.mil/en/NewsandEvents/2022/DISA-to-lead-US-Team-for-LS2023 (um mat Bandaríkjamanna á gagnsemi af þátttöku í æfingunni)
Tilvísun “CyCon”
https://cycon.org/