Í tilefni af árásinni á Árvakur fyrir viku sagði Guðrún Hafsteinsdóttir dómsmálaráðherra réttilega við mbl.is: „Þetta er hluti af stríðsrekstri.“

Vettvangur
Björn Bjarnason
bjorn@bjorn.is

Endanleg sönnun á að rússneski netglæpahópurinn Akira hafi staðið að innbrotinu í tölvukerfi Árvakurs fyrir viku er erfið. Laumast er inn í kerfi, finnist á þeim veikleikar, og gerð árás þegar líklegt er að hámarksárangur náist við að útiloka notkun eiganda á gögnum sínum nema gegn greiðslu til tölvuþrjótanna. Hitt er þó sannað að í Rússlandi Pútins er skjól fyrir slíka netglæpamenn og þrjóta.


Umræður um netógnir í framhaldi af árásinni á Árvakur vekja minningar um fundi í öllum norrænu höfuðborgunum í lok árs 2019 og fyrstu mánuði 2020 áður en heimsfaraldurinn stöðvaði öll ferðalög. Safnað var efni í skýrslu og tillögur um nokkra þætti utanríkis- og öryggismála í umboði norrænu utanríkisráðherranna.

Eitt af því sem skyldi kannað var afstaðan til fjölþáttaógna og netógna. Þessi mál bar ekki hátt í íslenskum stjórnmálaumræðum eða fréttum á þessum árum. Við höfðum meira að segja ekki komið okkur niður á hvernig við ættum að íslenska hybrid threats eða hybrid warfare í umræðum um alþjóðastjórnmál. Hér er talað um blendingsbíla eða tvinnbíla sem ganga bæði fyrir jarðefnaeldsneyti og rafmagni. Var þetta fært yfir á hernað með því að tala um blendingsógnir eða blendingsstríð. Að frumkvæði þjóðaröryggisráðs var hins vegar farin sú leið að kalla þetta fjölþáttaógnir eða fjölþáttastríð.

Í norrænu skýrslunni og tillögum sem birtar voru sumarið 2020 og síðan samþykktar af norrænu utanríkisráðherrunum, sem þá sátu, er mælt með norrænu samstarfi gegn fjölþáttaógnum.

Undir slíkar ógnir falla netárásir, misvísandi upplýsingar og upplýsingafalsanir, sem voru fyrir fjórum árum sívaxandi og alvarlegt viðfangsefni annars staðar á Norðurlöndunum. Glæpamenn nýta veikleika í opnum lýðræðissamfélögum til að grafa undan öryggi, velferð og góðum stjórnarháttum.

Fjölþáttaógnir eru tvíræðar og hannaðar þannig að auðvelt er að neita sök. Því er erfitt, en þeim mun mikilvægara, að berjast gegn þeim. Í höfuðborgum Norðurlandanna undirstrikuðu viðmælendur að ríkin gætu mætt þessum ógnum betur saman en hvert fyrir sig.

Norræn samvinna á þessu sviði ætti að vera mun auðveldari nú en áður þegar ríkin eru öll innan NATO. Í grunnstefnu bandalagsins sem var samþykkt í Madrid fyrir réttum tveimur árum, 29. júní 2022, segir að einstök árás eða röð tölvuárása geti komist á það stig að jafngildi vopnaðri árás og verða til þess að Norður-Atlantshafsráðið virkjaði 5. gr. Norður-Atlantshafssáttmálans. Þarna er með öðrum orðum sagt að tölvuárásir kunni að verða til þess að árás á eitt NATO-ríki verði talin árás á þau öll.

Fjölþáttastríð er háð jafnt í raunheimi og í sýndarheimi. Öll helstu atriði þess sem gerist í raunheimi eru þekkt. Í sýndarhlutanum eru aðgerðir á hinn bóginn leynilegar í ósýnilegum heimi tölva og netkerfa. Áhrifin verða hins vegar oft til raunverulegra vandræða og leiða af sér mikinn kostnað. Því hafa eigendur, starfsmenn og lesendur Morgunblaðsins kynnst undanfarið.

Í fyrrnefndri skýrslu segir að við gerð hennar hafi komið fram sterk rök fyrir því að tala frekar um „fjölþáttastríð“ en „fjölþáttaógnir“ þar sem að minnsta kosti sum norrænu ríkjanna liggi undir stöðugum árásum. Við kynningu á skýrslunni var spurt hvort ekki væri of fast að orði kveðið að tala um „stríð“ í þessu sambandi. Svarið var að orðið væri ekki notað af tilviljun, þar væri vísað beint til funda með fulltrúum norrænna lögregluyfirvalda.

Þess ber að minnast að í skýrslunni er tekið mið af ástandi á Norðurlöndunum áður en Rússar hófu stríðið í Úkraínu. Í tilefni af árásinni á Árvakur fyrir viku sagði Guðrún Hafsteinsdóttir dómsmálaráðherra réttilega við mbl.is: „Þetta er hluti af stríðsrekstri.“

Hér gilda lög um netöryggi frá 2019 og er nú unnið að uppfærslu þeirra til að auka gildissvið laganna og styrkja heimildir til forvirkra öryggisaðgerða með öflugra áhættumati, öryggisprófunum og rannsóknum atvika auk þess sem samstarf innan EES, á norrænum vettvangi og með NATO verður aukið.

Þá hefur Hrafnkell V. Gíslason, forstjóri Fjarskiptastofu, nýlega vakið máls á nauðsyn þess að ræða og endurskoða skipulag og stjórnskipan netöryggismála á Íslandi til að samhæfa alla opinbera netöryggistengda starfsemi og tryggja samstarf við almenna markaðinn. Vill hann að til verði heildstæð sýn á netöryggi þvert á samfélagið.

Breytingar á lögreglulögum sem samþykktar voru í þinglok fyrir viku veita skýra lagastoð fyrir frumkvæðisvinnu lögreglu í því skyni að stemma stigu við netglæpum af öllu tagi. Í greinargerð frumvarpsins er bent á að einstakar brotategundir hafi að mestu leyti færst yfir á netið, þar á meðal fjársvikabrot og ýmiss konar kynferðisofbeldi. Þá kunna stafræn brot að ógna mikilvægum innviðum samfélagsins líkt og tíðar netárásir á fyrirtæki og opinberar stofnanir sýna.

Lagafrumvarpið hafði ekki fyrr verið samþykkt en árásin var gerð á Árvakur. Hún beinist ekki aðeins að mikilvægu fyrirtæki heldur er hún liður í að láta reyna á viðnámsþol íslensks samfélags sem er opið og stafrænna en flest önnur samfélög. Líta má á þetta sem lið í „markvissum aðgerðum til að grafa undan fjölþjóðlegum meginreglum og stofnunum og stuðla að einræðislegum stjórnarháttum,“ svo vitnað sé í grunnstefnu NATO.

Stjórnvöld hafa sett sér netöryggismarkmið. Með nýrri löggjöf fikra þau sig inn á sannfærandi leiðir að þeim. Til að árangur náist verður öll tölvuvædda þjóðin að leggja sitt af mörkum.

Höf.: Björn Bjarnason