Tilraunir til netárása eru svo algengar að líkja mætti því við ef allir sem ganga upp og niður Laugavegin tækju í hurðarhúna til að kanna hvort væri læst. Og margfalda það svo með milljón. Þetta segir forstjóri Persónuverndar. Útilokað sé að finna fullkomið upplýsingaöryggi á netinu.

Stóri Vodafone-lekinn varð tilefni til fundar í umhverfis- og samgöngunefnd Alþingis í dag. Á fundinn voru m.a. boðaðir fulltrúar Ríkislögreglustjóra, Persónuverndar og Póst- og fjarskiptastofnunar (PFS), sem allir voru meira og minna á einu máli um það að Ísland væri vanbúið til að verjast tölvuárásum.

Ríkisstjórnir og leyniþjónustur hakka líka

Hrafnkell V. Gíslason, forstjóri PFS, sagði að netöryggi væri nokkuð sem menn þyrftu að huga að í 24 tíma á sólarhring alla 7 daga vikunnar. „Á þeirri upplýsingaöld sem við lifum í dag eru gríðarlega miklar ógnir sem steðja að öllum upplýsingum á netinu.“

Afar líklegt er að árás, eins og gerð var á Vodafone um helgina, verði gerð aftur, að sögn Hrafnkels. Næst sé hinsvegar ekki víst að á ferðinni verði aðgerðarsinni, sem vilji bara sýna hvað hann geti, eins og tilfellið virðist hafa verið með tyrkneska hakkarann AgentCoOfficial.

„Þó svo að við höfum lent í meintum aktívista núna, þá eru alls konar gerendur á bak við svona árásir. Þar á meðal eru skipulögð glæpasamtök sem hafa úr gríðarlegum fjármunum að spila, og þar eru líka ríkisstjórnir og leyniþjónustur. Aktívistarnir birta flestir það sem þeir stela, en hinir gera það ekki.“

Önnur ríki með forskot á okkur

Hrafnkell sagði að í alþjóðlegu upplýsingaumhverfi nútímans byrjaði Ísland fyrir aftan rásmarkið þegar kæmi að öryggishliðinni.

„Meðal annarra þjóða eru netöryggismál byggð á miklu lengri hefð, sem kemur úr varnarmála- og leyniþjónustuumhverfinu. Við höfum ekki þannig,“ sagði Hrafnkell. Þetta geri það að verkum að við séum eftir á því við þurfum að byrja á að sinna málum sem önnur ríki hafi þegar afgreitt.

Sem dæmi nefndi hann að PFS hefði þurft að byrja á því að gera alþjóðasamning til að geta skipst á leyndarflokkuðum upplýsingum við hin löndin á Norðurlöndum. Sömuleiðis segir Hrafnkell að hlutfallslega sinni mun fleiri starfsmenn netöryggismálum hjá sambærilegum stofnunum hjá nágrannalöndunum.

Hrafnkell sagði í samtali við mbl.is í gær að hann myndi gjarnan vilja að stofnunin gerði heildstæðar vettvangsrannsóknir og hefði meira reglubundið frumkvæðiseftirlit. Vegna niðurskurðar og mannfæðar væri það ekki hægt.

Hann ítrekaði þetta við þingnefndina í dag. „Auðvitað myndum við gjarnan vilja gera meira, en þetta er fámenn stofnun.“

Niðurskurður hamlar eftirliti

Hörður Helgi Helgason, forstjóri Persónuverndar, sagði svipaða sögu. Áður voru reglulegar úttektir hluti af eftirliti stofnunarinnar, en eftir niðurskurð síðustu ára hafi því verið hætt. „Við höfum ekki gert frumkvæðisrannsóknir í á annað ár,“ sagði Hörður.

Hann benti jafnframt á að sú verkaskipting sem væri í kerfinu núna milli PFS og Persónuverndar byggðist á gamalli hugsun sem væri að vissu leyti úrelt.

„Þessi hugmynd um að fjarskiptakerfi séu á einhvern hátt lokuð kerfi er að breytast. Fjarskiptakerfi hafa fleiri og fleiri snertifleti við almenn flutningskerfi,“ sagði hann og að við þyrftum að átta okkur á því að mörkin væru að færast til. 

Miklu meira en bara hleranir

Að sama skapi hefur fjarskiptaréttur ekki að öllu leyti tekið mið af tækniþróun, að sögn Björns Geirssonar, lögmanns PFS.

„Fjarskiptaleynd hefur lengi verið meginreglan í fjarskiptarétti en hún hefur beinst að hefðbundnum skilningi fólks á hlerunum, að vernda hið talaða mál,“ sagði Björn. Í Vodafone málinu birtist hinsvegar annar veruleiki, þar sem upplýsingar voru vistaðar í fjarskiptanetunum.

Björn sagði að árið 2005 hefðu menn áttað sig á að lögin væru ekki nógu fullkomin hvað þetta varðaði. Árið 2007 var ákvæði í fjarskiptalögum útvíkkað til að ná utan um fjarskiptaupplýsingar m.a. í sms-skeytasendingum.

Með sömu lagabreytingu var líka gerð sú krafa að fjarskiptafyrirtæki setji sér öryggisstefnu byggða á áhættumati, til að mæta öryggisógnum. Póst- og fjarskiptastofnun hefur kallað eftir þessum gögnum frá fyrirtækjunum og þau eru ítarleg og flókin að sögn Björns. 

Reglurnar veiti PFS líka heimild til að gera vettvangsathuganir, til að staðreyna að öryggisáætlun fyrirtækjanna sé framkvæmd eins og henni er lýst. Ekki hafi hinsvegar reynst unnt að gera það vegna mannfæðar.