Mikill fjöldi fyrirtækja með ófullnægjandi netvarnir Lovísa Arnardóttir skrifar 8. október 2024 13:47 Unnur Kristín Sveinbjarnardóttir, sviðsstjóri stafræns öryggis hjá Fjarskiptastofu segir mikla aukna ábyrgð á stjórnendum fylgja tilskipuninni. Mynd/Valgarður Gíslason Sviðsstjóri hjá Fjarskiptastofu segir nýja Evróputilskipun um netöryggi setja ríkari skyldur á stjórnendur stofnanna og fyrirtækja að tryggja að fram fari áhættumat á netöryggi. Gert er ráð fyrir að innleiðingu ljúki á Íslandi 2026. Hér á landi er talið að lítið sé vitað um fjölda netárása á ári. Ný Evróputilskipun um netöryggi (NIS2) tekur gildi í aðildarríkjum Evrópusambandsins 18. október næstkomandi. Með tilkomu hennar verða fyrirtæki og stofnanir sem falla undir nauðsynlega og mikilvæga starfsemi skyldug til að tryggja að birgjar og þjónustuaðilar fylgi ströngum öryggiskröfum og stjórnendur bera ábyrgð á því að svo sé gert. Netöryggisráðstefna Fjarskiptastofu fór fram á Hilton Reykjavík Nordica. Í opnunarávarpi sínu sagði Hrafnkell V. Gíslason, forstjóri Fjarskiptastofu, það hlutverk stofnunarinnar að framfylgja regluverki varðandi netöryggi á Íslandi. Hann sagði undirbúning við innleiðingu NIS2 vera hafinn hér á landi, Fjarskiptastofa leggi áherslu að innleiðing muni vonandi eiga sér stað árið 2026. Hrafnkell sagði í ávarpi sínu mikilvægt að auka samstarf aðila sem koma að netöryggi á Íslandi, um þjóðaröryggismál sé að ræða. Sem dæmi segir Hrafnkell að um þriðjungur þeirra fyrirtækja sem falla undir fyrri tilskipunina, NIS1, sé með ófullnægjandi stöðu varðandi stjórnunarkerfi netöryggis. Þau fyrirtæki sem féllu undir fyrri tilskipun eru um 80 en í nýju tilskipuninni margfaldast fjöldinn. Þá sagði Hrafnkell nágrannaríki okkar greina um 100 APT nettatvik á ári og hérlendis uppgötvist um fimm slík atvik árlega. Ástæðan sé ekki að fjöldi árása sé fátíðari hér, heldur vitum við bara ekki af þeim. APT netatvik eru árásir vel skipulagðra hópa sem nota háþróaðar aðgerðir til að komast inn í mikilvæg kerfi, stela upplýsingum og valda tjóni. Meira samstarf „Þetta er tilskipun sem er sett í desember 2022 og er grundvallarlöggjöf sem er sett til að fylgja eftir nýrri netöryggisstefnu Evrópusambandsins, sem er sett á sama tíma. Henni er ætlað að lyfta netöryggisstigi álfunnar upp,“ segir Unnur Kristín Sveinbjarnardóttir, sviðsstjóri stafræns öryggis hjá Fjarskiptastofu. Hér er yfirlitstafla yfir svið atvinnulífsins sem falla undir. Ath skiptist í tvo flokka en sömu kröfur gilda um þá en eftirlit með þeim er eilítið ólíkt. Það er meira fyrir „nauðsynlega aðila“ Hún segir tilskipunina ekki bara ná til krítískra innviða á markaði heldur setji hún einnig kröfur á aðildarríkin sjálf. „Þá gerir hún einnig kröfu um nokkuð mikið samstarf milli aðildarríkja og netöryggisstofnanna í stórum netatvikum eða netárásum.“ Unnur segir að nýja tilskipunin margfaldi umfang aðila á markaði miðað við fyrri tilskipun. Það séu settar auknar kröfur á margfalt fleiri aðila. Í dag séu um 70 til 80 fyrirtæki skilgreind sem mikilvægir innviðir en með innleiðingu þessarar tilskipunar verðiþau mörg hundruð. „Það er verið að taka alla opinbera aðila, opinberar stofnanir og einhverjar stofnanir á sveitarstjórnarstigi inn í þetta líka. Þetta verður einhver bylgja,“ segir Unnur og sömuleiðis fyrirtæki innan ákveðinna sviða sem eru með fleiri en 50 í vinnu, en sum fyrirtæki falli undir hana óháð stærð. Eins og til dæmis fjarskiptafyrirtæki og fyrirtæki sem veita þjónustu á sviði rafrænna undirskrifta. Innleiðing síðar á Íslandi Tilskipunin tekur gildi í Evrópu í næstu viku, 18. október, og er að sögn hennar sem dæmi gert ráð fyrir að við það muni 30 þúsund fyrirtæki í Þýskalandi falla undir hana og fleiri á Ítalíu. Unnur segir flest aðildarríki Evrópusambandsins ljúka innleiðingu tilskipunarinnar um áramót en Ísland muni gera það aðeins síðar. Það sé verið að vinna í frumvarpsdrögum en málið sé til dæmis ekki á þingmálaskrá ráðherra. Það sé því óljóst hvenær það gerist á Íslandi. „Tilskipunin mun hafa gríðarleg áhrif og í raun á alla sem eru að nýta sér einhverja upplýsingatækni í veitingu á sinni þjónustu,“ segir hún og nefnir sem dæmi heilbrigðisþjónustu, lyfjaframleiðslu, matvæladreifingu og öll fjarskiptafyrirtæki og gagnver. Um 300 manns sóttu ráðstefnuna sem fór fram í dag. Aðsend Unnur segir að í tilskipuninni sé einnig að finna ákvæði sem kveður á um skyldur stjórnenda. Að þeir beri ábyrgð á öllum netöryggisráðstöfunum eða -skipulagi og hafi yfirumsjón á innleiðingu. Þetta sé nýtt ákvæði. „Það er gerð krafa um að þeir hafi ákveðna getu og þekkingu til þess að meta áhættu og áhrif af netógnum á reksturinn.“ Hún segir þung viðurlög við þessu eins og hefðbundnar sektir eða fyrirmæli en stjórnvöld geti líka leyst frá skyldum á meðan er verið að bæta úr. „Það er verið að setja þetta á annað stig innan Evrópu.“ Símboðaárásin dæmi um alvarlega birgjakeðjuárás Netöryggisráðstefnan var tvískipt. Í fyrri hluta var fjallað um ábyrgð stjórnenda en í seinni hluta, eftir hádegi, var fjallað um netöryggi innan stjórna fyrirtækja og birgjakeðjuöryggi. „Öryggi birgjakeðju eru kannski orð sem fólk skilur ekki í fyrstu en það eru allir þjónustuaðilarnir sem þú hefur. Fyrir til dæmis fjarskiptafyrirtækin eru það Huawei og Ericson,“ segir Unnur. Hún segir Crowdstrike árásina í sumar vera árás á birgi. „Við finnum að það þarf að árétta að sá sem rekur þjónustuna ber að fullu ábyrgð á því að áhættumeta alla þjónustuaðila inni í sína virðiskeðju þjónustu. Þú ert að veita þjónustu og ert með þrjá til fimm birgja og þú getur ekki valið þetta blind. Þú þarft að taka þetta inn í netöryggisskipulagið þitt og áhættumatið. Símboðaárásin í Líbanon er kannski nýjasta á alvarlegasta dæmi um birgjakeðjuárás, þar sem birgjakeðjunni var stofnað í hættu einhver staðar á leiðinni. Þetta er ekki bara kerfið, þetta er líka allur búnaðurinn.“ Hvað varðar upplýsingar og fræðslu um tilskipunina segir Unnur Fjarskiptastofnun á fleygiferð við að útbúa efni. Það sé mikil eftirspurn eftir upplýsingum og sem dæmi hafi verið um 300 skráðir á ráðstefnuna í dag. „Eins og er þetta bara leiðinlegur lagatexti á heimasíðu Evrópusambandsins en við erum að reyna að bregðast við með viðburðum eins og þessum.“ Tækni Fjarskipti Evrópusambandið Netglæpir Netöryggi Mest lesið Biður vini og vandamenn um að taka sérstaklega eftir gólflistunum Atvinnulíf Segir ótækt að fámennur hópur geti lokað landinu Viðskipti innlent Smáríki græða á tá og fingri á þjóðarlénum í lénaleikjum Viðskipti erlent Persónuleg reynsla varð að atvinnurekstri Samstarf Kalla inn kjúklingalæri vegna gruns um salmonellu Neytendur Latabæjarnammið vel þekkt um allan heim Viðskipti innlent „Menn trúðu því um tíma að hægt væri að semja við skrattann“ Atvinnulíf Hefur áhyggjur af stöðu Sýnar og boðar fjölmiðla til samráðs Viðskipti innlent Segjast taka ábendingum alvarlega og hafa verðlagningu til skoðunar Neytendur Origo kaupir Kappa Viðskipti innlent Fleiri fréttir Segir ótækt að fámennur hópur geti lokað landinu Hefur áhyggjur af stöðu Sýnar og boðar fjölmiðla til samráðs Nokkrum sagt upp eftir afkomuviðvörun Sýnar Origo kaupir Kappa Fyrrverandi fréttastjóri til Gímaldsins Gengi Sýnar í frjálsu falli Erlent flugfélag eitt þriggja sem vill niðurgreiðslu á losun frá íslenska ríkinu Íslenskt hugvit verndar fólk fyrir djúpfölsun Sýn gefur út afkomuviðvörun Hagar högnuðust um 3,7 milljarða króna Brjóti mögulega samkeppnislög með því að tjá sig um dóminn Icelandair hleypur í skarðið fyrir Play ASÍ ítrekar ákall til stjórnvalda um að bregðast við lokun PCC á Bakka Gengi Icelandair hrapar Hærri kostnaður en áætlanir gerðu ráð fyrir Landsbankinn setur lánaumsóknir á ís vegna dómsins Sveitarfélagið og útgerðarmenn byggja nýjan miðbæ á Höfn Skilmálar Arion frábrugðnir en áhrifin væru óveruleg Gera ráð fyrir að fjárhagsleg áhrif muni nema innan við milljarði króna Ballið búið hjá Bankanum bistró Ómögulegt að meta áhrifin á bankana Vextirnir hækkuðu minna en stýrivextir þrátt fyrir ólögmæta skilmála Niðurstaðan sigur fyrir neytendur og lántakendur Skilmálarnir umdeildu ógiltir Vaktin: Dómur kveðinn upp í Vaxtamálinu Kristín Hrefna tekur við sem framkvæmdastjóri Hopp Ríkisstjórnin búin undir báðar niðurstöður Stórir skellir geri ekki boð á undan sér Hlutu risastyrk til að stofna miðstöð um gervigreind Dómur kveðinn upp í Vaxtamálinu á morgun Sjá meira
Ný Evróputilskipun um netöryggi (NIS2) tekur gildi í aðildarríkjum Evrópusambandsins 18. október næstkomandi. Með tilkomu hennar verða fyrirtæki og stofnanir sem falla undir nauðsynlega og mikilvæga starfsemi skyldug til að tryggja að birgjar og þjónustuaðilar fylgi ströngum öryggiskröfum og stjórnendur bera ábyrgð á því að svo sé gert. Netöryggisráðstefna Fjarskiptastofu fór fram á Hilton Reykjavík Nordica. Í opnunarávarpi sínu sagði Hrafnkell V. Gíslason, forstjóri Fjarskiptastofu, það hlutverk stofnunarinnar að framfylgja regluverki varðandi netöryggi á Íslandi. Hann sagði undirbúning við innleiðingu NIS2 vera hafinn hér á landi, Fjarskiptastofa leggi áherslu að innleiðing muni vonandi eiga sér stað árið 2026. Hrafnkell sagði í ávarpi sínu mikilvægt að auka samstarf aðila sem koma að netöryggi á Íslandi, um þjóðaröryggismál sé að ræða. Sem dæmi segir Hrafnkell að um þriðjungur þeirra fyrirtækja sem falla undir fyrri tilskipunina, NIS1, sé með ófullnægjandi stöðu varðandi stjórnunarkerfi netöryggis. Þau fyrirtæki sem féllu undir fyrri tilskipun eru um 80 en í nýju tilskipuninni margfaldast fjöldinn. Þá sagði Hrafnkell nágrannaríki okkar greina um 100 APT nettatvik á ári og hérlendis uppgötvist um fimm slík atvik árlega. Ástæðan sé ekki að fjöldi árása sé fátíðari hér, heldur vitum við bara ekki af þeim. APT netatvik eru árásir vel skipulagðra hópa sem nota háþróaðar aðgerðir til að komast inn í mikilvæg kerfi, stela upplýsingum og valda tjóni. Meira samstarf „Þetta er tilskipun sem er sett í desember 2022 og er grundvallarlöggjöf sem er sett til að fylgja eftir nýrri netöryggisstefnu Evrópusambandsins, sem er sett á sama tíma. Henni er ætlað að lyfta netöryggisstigi álfunnar upp,“ segir Unnur Kristín Sveinbjarnardóttir, sviðsstjóri stafræns öryggis hjá Fjarskiptastofu. Hér er yfirlitstafla yfir svið atvinnulífsins sem falla undir. Ath skiptist í tvo flokka en sömu kröfur gilda um þá en eftirlit með þeim er eilítið ólíkt. Það er meira fyrir „nauðsynlega aðila“ Hún segir tilskipunina ekki bara ná til krítískra innviða á markaði heldur setji hún einnig kröfur á aðildarríkin sjálf. „Þá gerir hún einnig kröfu um nokkuð mikið samstarf milli aðildarríkja og netöryggisstofnanna í stórum netatvikum eða netárásum.“ Unnur segir að nýja tilskipunin margfaldi umfang aðila á markaði miðað við fyrri tilskipun. Það séu settar auknar kröfur á margfalt fleiri aðila. Í dag séu um 70 til 80 fyrirtæki skilgreind sem mikilvægir innviðir en með innleiðingu þessarar tilskipunar verðiþau mörg hundruð. „Það er verið að taka alla opinbera aðila, opinberar stofnanir og einhverjar stofnanir á sveitarstjórnarstigi inn í þetta líka. Þetta verður einhver bylgja,“ segir Unnur og sömuleiðis fyrirtæki innan ákveðinna sviða sem eru með fleiri en 50 í vinnu, en sum fyrirtæki falli undir hana óháð stærð. Eins og til dæmis fjarskiptafyrirtæki og fyrirtæki sem veita þjónustu á sviði rafrænna undirskrifta. Innleiðing síðar á Íslandi Tilskipunin tekur gildi í Evrópu í næstu viku, 18. október, og er að sögn hennar sem dæmi gert ráð fyrir að við það muni 30 þúsund fyrirtæki í Þýskalandi falla undir hana og fleiri á Ítalíu. Unnur segir flest aðildarríki Evrópusambandsins ljúka innleiðingu tilskipunarinnar um áramót en Ísland muni gera það aðeins síðar. Það sé verið að vinna í frumvarpsdrögum en málið sé til dæmis ekki á þingmálaskrá ráðherra. Það sé því óljóst hvenær það gerist á Íslandi. „Tilskipunin mun hafa gríðarleg áhrif og í raun á alla sem eru að nýta sér einhverja upplýsingatækni í veitingu á sinni þjónustu,“ segir hún og nefnir sem dæmi heilbrigðisþjónustu, lyfjaframleiðslu, matvæladreifingu og öll fjarskiptafyrirtæki og gagnver. Um 300 manns sóttu ráðstefnuna sem fór fram í dag. Aðsend Unnur segir að í tilskipuninni sé einnig að finna ákvæði sem kveður á um skyldur stjórnenda. Að þeir beri ábyrgð á öllum netöryggisráðstöfunum eða -skipulagi og hafi yfirumsjón á innleiðingu. Þetta sé nýtt ákvæði. „Það er gerð krafa um að þeir hafi ákveðna getu og þekkingu til þess að meta áhættu og áhrif af netógnum á reksturinn.“ Hún segir þung viðurlög við þessu eins og hefðbundnar sektir eða fyrirmæli en stjórnvöld geti líka leyst frá skyldum á meðan er verið að bæta úr. „Það er verið að setja þetta á annað stig innan Evrópu.“ Símboðaárásin dæmi um alvarlega birgjakeðjuárás Netöryggisráðstefnan var tvískipt. Í fyrri hluta var fjallað um ábyrgð stjórnenda en í seinni hluta, eftir hádegi, var fjallað um netöryggi innan stjórna fyrirtækja og birgjakeðjuöryggi. „Öryggi birgjakeðju eru kannski orð sem fólk skilur ekki í fyrstu en það eru allir þjónustuaðilarnir sem þú hefur. Fyrir til dæmis fjarskiptafyrirtækin eru það Huawei og Ericson,“ segir Unnur. Hún segir Crowdstrike árásina í sumar vera árás á birgi. „Við finnum að það þarf að árétta að sá sem rekur þjónustuna ber að fullu ábyrgð á því að áhættumeta alla þjónustuaðila inni í sína virðiskeðju þjónustu. Þú ert að veita þjónustu og ert með þrjá til fimm birgja og þú getur ekki valið þetta blind. Þú þarft að taka þetta inn í netöryggisskipulagið þitt og áhættumatið. Símboðaárásin í Líbanon er kannski nýjasta á alvarlegasta dæmi um birgjakeðjuárás, þar sem birgjakeðjunni var stofnað í hættu einhver staðar á leiðinni. Þetta er ekki bara kerfið, þetta er líka allur búnaðurinn.“ Hvað varðar upplýsingar og fræðslu um tilskipunina segir Unnur Fjarskiptastofnun á fleygiferð við að útbúa efni. Það sé mikil eftirspurn eftir upplýsingum og sem dæmi hafi verið um 300 skráðir á ráðstefnuna í dag. „Eins og er þetta bara leiðinlegur lagatexti á heimasíðu Evrópusambandsins en við erum að reyna að bregðast við með viðburðum eins og þessum.“
Tækni Fjarskipti Evrópusambandið Netglæpir Netöryggi Mest lesið Biður vini og vandamenn um að taka sérstaklega eftir gólflistunum Atvinnulíf Segir ótækt að fámennur hópur geti lokað landinu Viðskipti innlent Smáríki græða á tá og fingri á þjóðarlénum í lénaleikjum Viðskipti erlent Persónuleg reynsla varð að atvinnurekstri Samstarf Kalla inn kjúklingalæri vegna gruns um salmonellu Neytendur Latabæjarnammið vel þekkt um allan heim Viðskipti innlent „Menn trúðu því um tíma að hægt væri að semja við skrattann“ Atvinnulíf Hefur áhyggjur af stöðu Sýnar og boðar fjölmiðla til samráðs Viðskipti innlent Segjast taka ábendingum alvarlega og hafa verðlagningu til skoðunar Neytendur Origo kaupir Kappa Viðskipti innlent Fleiri fréttir Segir ótækt að fámennur hópur geti lokað landinu Hefur áhyggjur af stöðu Sýnar og boðar fjölmiðla til samráðs Nokkrum sagt upp eftir afkomuviðvörun Sýnar Origo kaupir Kappa Fyrrverandi fréttastjóri til Gímaldsins Gengi Sýnar í frjálsu falli Erlent flugfélag eitt þriggja sem vill niðurgreiðslu á losun frá íslenska ríkinu Íslenskt hugvit verndar fólk fyrir djúpfölsun Sýn gefur út afkomuviðvörun Hagar högnuðust um 3,7 milljarða króna Brjóti mögulega samkeppnislög með því að tjá sig um dóminn Icelandair hleypur í skarðið fyrir Play ASÍ ítrekar ákall til stjórnvalda um að bregðast við lokun PCC á Bakka Gengi Icelandair hrapar Hærri kostnaður en áætlanir gerðu ráð fyrir Landsbankinn setur lánaumsóknir á ís vegna dómsins Sveitarfélagið og útgerðarmenn byggja nýjan miðbæ á Höfn Skilmálar Arion frábrugðnir en áhrifin væru óveruleg Gera ráð fyrir að fjárhagsleg áhrif muni nema innan við milljarði króna Ballið búið hjá Bankanum bistró Ómögulegt að meta áhrifin á bankana Vextirnir hækkuðu minna en stýrivextir þrátt fyrir ólögmæta skilmála Niðurstaðan sigur fyrir neytendur og lántakendur Skilmálarnir umdeildu ógiltir Vaktin: Dómur kveðinn upp í Vaxtamálinu Kristín Hrefna tekur við sem framkvæmdastjóri Hopp Ríkisstjórnin búin undir báðar niðurstöður Stórir skellir geri ekki boð á undan sér Hlutu risastyrk til að stofna miðstöð um gervigreind Dómur kveðinn upp í Vaxtamálinu á morgun Sjá meira