Upplýsingaöryggi á nýjum áratug

Faghópur um Upplýsingaöryggi var nýlega endurvakinn og efndi til fyrsta viðburðar með tveimur fyrirlestrum og fyrirlesurum með ólíka nálgun á upplýsingaöryggi. Markhópur fyrirlestranna eru upplýsingaöryggisstjórar og aðrir ábyrgðar- og umsjónaraðilar upplýsingaöryggis.  

1) Innsýn í gagnaflutnings öryggi um netkerfi.

Farið var ofan í saumana á ferðalagi gagna og hvernig er hægt að stuðla að öryggi á flutningsleiðum. Hvað þurfa vörsluaðilar gagna að hafa í huga? Hvert stefnum við?

Fyrirlesari: Áki Hermann Barkarson er með 20 ára reynslu sem sérfræðingur í gagnaflutningskerfum og netöryggi.  Áki sagði að aðilar sem þurfa að taka ákvarðanir varðandi gagnaöryggi þyrftu að huga að 1. Geymslu gagna, öruggar diskastæður í gagnaverum, dulkóða gögn í ferðavélum. 2. Aðgengi að gögnum, notendanöfn o.fl.  3. Samskipti frá a-ö.  Hverju tengist hvað.  Áki hefur sinnt kennslu sl.10 ár.  Það eru aðallega fjórar tegundir tækja sem tengja okkur við gögn; þráðlausir aðgangspunktar, switchar, routerar og eldveggir. Besta líkingin á tengingum er að það lítur út eins og eitt stórt brokkolí.  En hvernig tengist Ísland umheiminum?  Með Farice-1, Danice og Greenland Connect. En hverju þurfum við að hafa áhyggjur af?  Hvað með að einhver sé að sniffa þráðlausa umferð frá client? Er einhver að hakka tækin í fyrirtækjanetið mitt? Er einhver að sniffa umferð milli mín og þjónustuaðila? Eru Kínverjar að stela gögnunum mínum með Huawei búnað? Eða er Norður Korea að færa sig inn á Farice að sniffa okkur með kafbát?   Og svo er það spurning um gagnaverið?  Ef þetta er einfaldað þá er ekki möguleiki að vera að hafa áhyggjur af öllu.  Ekki er hægt að tryggja öryggi á öllum stöðum.  Algengasta leiðin er að keyra TLS 1.2. og session to https://einkabanki.is þá erum við búin að dulkóða gögnin okkar og þetta er það besta sem er í boði .  Hægt er að sjá það á litla lásnum sem birtist uppi á slóðinni á síðunni okkar.  Ef gögnin eru dulkóðuð er það þá það eina sem þarf?  Ef einhver sendir okkur plattölvupóst og við smellum á það þá förum við inn á einkabanki.is og þá erum við plötuð inn á ranga síðu.  Eldveggur gæti mögulega stoppað þetta en kannski ekki.  Eitt sem gleymist í öruggum samskiptum er að gögnin verða að komast á leiðarenda og því þurfa samskiptaleiðirnar að vera öruggar og virka vel.  Það skiptir engu máli hve örugg gögnin eru ef þau komast ekki á staðinn.  Allt þarf að vera tengt.  Oft gleymist í umræðunni hvort hægt er að afhenda keflið ef tæknimaður er ekki á staðnum eða hættir.  Gott að spyrja sig er auðvelt að senda keflið áfram.  Algengustu hætturnar sem gæði sambanda líður fyrir ef fýsískur búnaður bilar, spennubreytar eru algengasta bilunin, ljósbreytur og ljósleiðarar eru næst algengasta bilunin, eintengingar, tvítengingar, hugbúnaðarvillur og mannleg mistök o.m.fl.

Áki sagði mikilvægt að setja fókus á áhættumat.  Þurfum við vírusvarnir, spam varnir, þurfum við tvöfaldan búnað og tengingar, eldveggi með next-gen features, netvarnir, 24/7/365 þjónustu á öll kerfi. Hef ég hugbúnað eða þjónustur sem þurf internet til að vika? Geta DoS árásir tekið þessi kerfi út? Hvaða áhætta og hagsmunir liggja fyrir vegna niðritíma á þessum þjónustum?  Dæmi er um fyrirtæki þar sem fyrirtæki fékk árásir í 11 daga samfellt.  Mikilvægast er að tvítengja, nota tæki sem hafa tvöfalda spennubreyta (dual PSU), alltaf tvítengja skrifstofur (amk með 4G vara -sambandi), Mikilvægt er að tryggja og prófa, netvarnir er ekki hægt að setja inn eftir á, prófa vara-sambönd, varabúnað, prófa allt reglulega og hafa jákvæð samskipti við birgja og þjónustuaðila.  Mikilvægt er að vera í mjög góðu sambandi við birgja.  Jákvæð samskipti stuðla að öryggi og trausti.  IPv6 væðing er byrjuð, skipta þarf um tölur á öllu alnetinu okkar, nú er byrjað að bjóða allar þjónustur IPv4 og IPv6. Dulkóðun er að koma á allar samskiptaleiðir, gerir mönnum erfiðara fyrir að sjá miðlægt hvaða umferð er að fara um kerfin þeirra, öryggi er að færast í aukan yfir á tæki endanotenda.    

 2) Svipmyndir af innlendum upplýsingaöryggisvettvangi

Hraðyfirlit yfir innlendar fréttir um upplýsingaöryggisatvik í þeim tilgangi að sýna fram á hversu vítt svið stjórnun upplýsingaöryggis nær yfir. Hverju mega öryggisstjórar búast við? Hvað geta þeir haft áhrif á?

Fyrirlesari: Ebenezer Þ. Böðvarsson er með 10 ára reynslu sem upplýsingaöryggisstjóri hjá fjármálafyrirtæki. 

Ebenezer sagði að sama ár og Vodafone var hakkað voru 1000 íslenskar síður hakkaðar.  Visir.is og DV.is hafa lent í að borðar beri með sér vírusa og einnig er mikiðe um DDoS árásir.  Ráðist hefur verið á vef fjölmargra íslenskra fyrirtækja. Ebenezer ræddi um upplýsingaleka af vef.  Óvart hafa verið gerð þau mannlegu mistök að símanúmer alþingismanna birtust, ferilskrár hafa orðið sýnilegar, o.fl.  öryggisvitund er því mikilvæg.  Enn ríkir skeytingarleysi gagnvart uppfærslum á vefum.  Forritunarmistök geta verið mjög dýr.  Lykilorð eiga alltaf að vera dulkóðuð.  Skráningarmistök eru upplýsingaöryggi. 

Ebenezer ræddi um innri ógn.  Sameiginleg drif vaxa og vaxa og enginn veit hvað er þarna inni, því er rekjanleiki mjög mikilvægur.  Fólk á aldrei að hafa meiri aðgang en það þarf starfa sinna vegna. 

Þegar nýir starfsmenn koma inn er mikilvægt að fræða þá um cc og bcc og not reply to all.  Þegar menn senda viðhengi.  Algengasta leiðin fyrir upplýsingaleka er rangt netfang.  Mikilvægt er að fræða fólk um gagnagíslingu.  Mikilvægt er að gera prófanir aftur og aftur.  Rafmagnsleysi veldur miklum usla í tölvukerfi.  Í langvarandi rafmagnsleysi hættir kalt vatn að streyma.  Sæstrengjasambandið hangir á bláþræði og við erum ljónheppin að hafa ekki orðið sambandslaus.  Öll fyrirtæki eru með einhvern einn ómissandi starfsmann og ef hann er ekki í vinnu hvað þá?  Að lokum ræddi Ebenezer um krísustjórnun og ítrekaði mikilvægi þess að segja alltaf satt og rétt frá.  Mikilvægt er að læra af atvikum sem aðrir lenda í og ræða þau. 

 

Um viðburðinn

Upplýsingaöryggi á nýjum áratug

Faghópur um Upplýsingaöryggi var nýlega endurvakinn og efnir til fyrsta viðburðar með tveimur fyrirlestrum og fyrirlesurum með ólíka nálgun á upplýsingaöryggi. Markhópur fyrirlestranna eru upplýsingaöryggisstjórar og aðrir ábyrgðar- og umsjónaraðilar upplýsingaöryggis. 

 

1) Innsýn í gagnaflutnings öryggi um netkerfi.

Farið ofan í saumana á ferðalagi gagna og hvernig er hægt að stuðla að öryggi á flutningsleiðum. Hvað þurfa vörsluaðilar gagna að hafa í huga? Hvert stefnum við?

Fyrirlesari: Áki Hermann Barkarson er með 20 ára reynslu sem sérfræðingur í gagnaflutningskerfum og netöryggi.

 

 2) Svipmyndir af innlendum upplýsingaöryggisvettvangi

Hraðyfirlit yfir innlendar fréttir um upplýsingaöryggisatvik í þeim tilgangi að sýna fram á hversu vítt svið stjórnun upplýsingaöryggis nær yfir. Hverju mega öryggisstjórar búast við? Hvað geta þeir haft áhrif á?

Fyrirlesari: Ebenezer Þ. Böðvarsson er með 10 ára reynslu sem upplýsingaöryggisstjóri hjá fjármálafyrirtæki.

 

Fleiri fréttir og pistlar

Nýkjörin stjórn faghóps um þjónustu-og markaðsstjórnun

Nýlega barst fyrirspurn til Stjórnvísi frá áhugasömum félaga um að endurvekja stjórn faghóps um þjónutu-og markaðsstjórnun.  Í framhaldi var sendur út póstur til félaga þar sem óskað var eftir áhugasömum í stjórn faghópsins. Viðbrögðin létu ekki á sér standa þar sem búið er að mynda 10 manna stjórn sem fundaði á VOX.  Þar kynntu félagara sig og farið var yfir ábyrgð og hlutverk stjórna faghópa Stjórnvísi. Stjórnin kaus Maríu Ágústsdóttur ON sem formann og  Hildi Ottesen sem varaformann.  Áhugasamir eru hvattir til að skrá sig í faghópinn með því að smella hér. 

Stjórn faghópsins skipa:   Ásdís Gíslason Slökkvilið höfuðborgarsvæðisins, Brynja Ragnarsdóttir Veitur, Heiðrún Grétarsdóttir Bananar, Hildur Ottesen Harpa, Hjördís María Ólafsdóttir Happdrætti Háskóla Íslands, Ingibjörg Magnúsdóttir Pílukast ehf, María Ágústsdóttir ON, Sædís Jónasdóttir Samgöngustofa, Unnur Líndal ON og Þórhallur Örn Guðlaugsson Háskóli Íslands.

Nýkjörin stjórn faghóps um verkefnastjórnun

Yfir þrjátíu áhugaverðir aðilar sýndu áhuga á að setjast í stjórn faghóps um verkefnastjórnun, allt afburðarfólk. Úr vöndu var að ráða við að móta stjórn hópsins. Úr varð fjórtán manna stjórn, sem endurspeglar vel fjölbreytileika þeirra sem áhuga sýndu. Fyrsti fundur nýrrar stjórnar var á Kringlukránni í dag þar sem félagar kynntu sig og farið var yfir ábyrgð og hlutverk stjórna faghópa Stjórnvísi. Þar sem helmingur stjórnar var staddur erlendis stefnir stjórnin á að hittast aftur í júní til að móta hugsanlegar áherslur hópsins. Stjórnin kaus Gísla Rafn Guðmundsson sem formann og Aðalstein Ingólfsson sem varaformann.   Áhugasamir eru hvattir til að skrá sig í faghópinn með því að smella hér.  

Stjórn faghópsins skipa:  Aðalsteinn Ingólfsson MT Sport, Auður Íris Ólafsdóttir Hagar, Daníel Sigurbjörnsson Efla, Eygerður Margrétardóttir Ríkislögreglustjóri, Gísli Rafn Guðmundsson Framkvæmdasýslan-Ríkiseignir, Halldóra Traustadóttir Reykjavíkurborg, Hannes Bjarnason Sjúkrahúsið á Akureyri, Íris Elma Guðmann Dómstólasýslan, Lísbet Hannesdóttir Háskólinn á Akureyri, Signý Jóna Hreinsdóttir Landspítali, Sigurður Blöndal Háskólinn á Bifröst, Steinunn Anna Eiríksdóttir Háskóli Íslands, Þóra Kristín Sigurðardóttir Eimskip og Unnur Helga Kristjánsdóttir Strategia. 

 

Aðalfundur Öryggishópur Stjórnvísi - ný stjórn kosin

Fundur haldinn:  4 júní 2025

Aðilar: Vilborg Magnúsdóttir Isavia Innanlands, Lilja Birgisdóttir Marel, Viðar Arason HS Orka, Snorri Páll Davíðsson Háskóli Íslands, Eggert Jóhann Árnason Bætt Öryggi, Erlingur E. Jónasson LSE og Fjóla Guðjónsdóttir Isavia Ohf sem jafnframt ritaði fundargerð.
Gísli Níls Einarsson og Eyþór Víðisson boðuðu forföll.

Dagskrá:

  1. Yfirferð síðasta starfstímabils
  2. Kosning í stjórn og formanns
  3. Drög að viðburðum næsta starfstímabils
  4. Önnur mál

Yfirferð síðasta starfstímabils

Nokkur lægð var í starfsemi hópsins á tímabilinu september 2024 til maí 2025. Þrátt fyrir að drög hefðu verið lögð að viðburðum tímabilsins og margar góðar hugmyndir komu fram til að efla og fjalla um öryggismá á víðum grunni þá raungerðust þær ekki.

Eini viðburðurinn var haldinn í  júní í samstarfi við Öryggishóp Samorku og bar yfirsögnina Orka og Öryggi. Þar var fjallað um helstu áskoranir þeirra starfsvettvangur á við að etja og leiðir sem og aðferðir sem þeir hafa tekið upp. Virkilega áhugavert og verður spennandi að fylgjast með áframhaldandi vinnu.

Hópurinn var sammála um að efling öryggisumræðu væri mikilvæg og þessi vettvangur gæti lagt mikið til. Áríðandi að allir í stjórn séu virkir og taki frumkvæði að því að koma með hugmyndir og setja upp viðburði.

Kosning í stjórn og formanns

Auglýst hafði verið eftir aðilum í stjórn þar sem tveir aðilar hafa hætt á tímabilinu.

Viðbót í stjórn: Viðar Arason HS Orka, Snorri Páll Davíðsson Háskóli Íslands og Eggert Jóhann Árnason Bætt Öryggi hafa því bæst við í stjórn Öryggishóps Stjórnvísi.

Formaður: Fjóla Guðjónsdóttir bauð sig fram til formanns til aðalfundar 2026. Engin mótframboð voru og því framboð samþykkt.

Samsetning stjórnar 2025-2026 er því eftirfarandi:

Vilborg Magnúsdóttir Isavia Innanlands, Lilja Birgisdóttir Marel, Viðar Arason HS Orka, Snorri Páll Davíðsson Háskóli Íslands, Eggert Jóhann Árnason Bætt Öryggi, Erlingur E. Jónasson LSE, Fjóla Guðjónsdóttir Isavia Ohf. Gísli Níls Einarsson Öryggisstjórnun/Alda Öryggi og Eyþór Víðisson Reykjavíkurborg.

Formaður sendir fundarseríu á stjórn fyrir starfstímabil.

Drög að viðburðum næsta starfstímabils

Margar góðar hugmyndir komu fram og stjórnin einhuga um að bjóða upp á fræðandi og flotta dagskrá.

Drög að dagskrá vetrarins:

  1. Öryggi og LEAN á það samleið og eykur LEAN öryggi
    1. Ábyrgð Lilja, september 2025
    2. Hvað er Bætt Öryggi og hvernig vinnur fyrirtækið til að auka öryggi
      1. Ábyrgð Eggert, nóvember 2025
      2. Hvernig eru og fyrir hvað standa Gullnu Reglurnar
        1. Ábyrgð Viðar, október 2025 eða janúar 2026
        2. Vinna í opnu rými, hefur það áhrif á heilsu?
          1. Ábyrgð Vilborg haldið í samvinnu við Vinnís
          2. Tæknin og öryggi, hvernig vinnur Tesla að bættu öryggi með tækni
            1. Ábyrgð Lilja (Fjóla) tími ekki ákveðinn

Önnur mál
Vilborg sagði frá alþjóðlegri ráðstefnu um atferlismiðaða hegðun sem haldin verður þann 9 og 10 október 2025.

 

Aðalfundur faghóps um stjórnun upplýsingaöryggis

Þann 21.maí var haldinn aðalfundur faghóps um stjórnun upplýsingaöryggis. 

Farið var yfir þá viðburði sem haldnir voru á starfsárinu sem var að líða. Rætt var um markmið og tilgang hópsins, hver sé markhópur þeirra kynninga sem hópurinn stendur fyrir og hvort að tækifæri séu til að gera betur. Þessi mál verða rædd nánar á komandi starfsári en hópurinn var sammála um að mörg tækifæri eru fyrir hópa eins og þennan. 

Kosning stjórnar fór fram þar sem Jón Kristinn Ragnarsson var endurkjörinn sem formaður hópsins. Auk hans gáfu Benedikt Rúnarsson, Friðbjörn Steinar Ottósson, Sigurður Bjarnason og Tryggvi Níelsson aftur kost á sér. Hrefna Gunnarsdóttir bættist við hópinn eftir áramót og bauð einnig kost á sér. Auk þeirra voru ný framboð, Auður Íris Ólafsdóttir og Gná Guðjónsdóttir buðu kost á sér í hópinn og eru þær boðnar velkomnar. Fyrirkomulag hópsins er að fjöldi og fjölbreytileiki stjórnar er mikill kostur og þess vegna eru öll boðin velkomin að taka þátt í þessari vinnu. 

Faghópurinn fer nú í sumarfrí en mun hefja skipulagsvinnu að sumri loknu. 

„Framsýn forysta“ er þema ársins hjá Stjórnvísi 2025-2026

Nýkjörin stjórn Stjórnvísi hélt í dag vinnufund stjórnar þar sem m.a. var ákveðið þema fyrir starfárið 2025-2026.  Þemavinnan var unnin í miro.com og var niðurstaðan sú að þemað var valið "Framsýn forysta".  Útfærslan verður kynnt nánar á Kick off fundi í ágúst.    

  1. Samskiptasáttmáli. Fundurinn hófst með því að Anna Kristín Kristinsdóttir formaður stjórnar Stjórnvísi bauð alla velkomna og fór yfir dagskrá og markmið fundarins. Formaður Stjórnvísi kynnti hugmynd að samskiptasáttmála stjórnar 2025-2026 þar sem m.a. var rætt um að:   1. Mæta undirbúin á stjórnarfundi 2. Mæta tímalega 3. Taka ábyrgð á verkefnum  4. Hafa uppbyggilega gagnrýni 5. Samskipti opin og eðlileg 6. Vera á staðnum.  7. Allt stjórnarfólk sé virkt í starfi stjórnar. 8. Stjórn ákveði sameiginlega hvar og hvernig samskipti eiga sér stað.
  2. Í framhaldi kynnti stjórnarfólk sig og sagði örstutt frá sér.  
  3. Yfirferð á framtíðarsýn, stefnu, gildumlögum og siðareglum.  Anna Kristín fór yfir    framtíðarsýn, stefnu, gildi, meginmarkmið lög og siðareglur. 
  4. Áætlun og lykilmælikvarðar. Áætlun félagsins stenst og eru tekjur á áætlun. Áætlun félagsins er uppfærð reglulega allt árið og er aðgengileg stjórnarfólki í Sharepoint. Stjórn var hvött af framkvæmdastjóra félagsins til að fara inn á Sharepoint reglulega.
  5. Farið var yfir aðganga stjórnar að Sharepoint, Teams, Facebook og skráning stjórnar í faghópinn „stjórn Stjórnvísi“.    

 

Fannst þér efnið á síðunni hjálplegt?