CERT-IS

CERT-IS er netöryggissveit á vegum Póst- og fjarskiptastofnunar. Hún starfar samkvæmt lögum nr. 69/2003 en hlutverk hennar er afmarkað í lögum nr. 81/2003 um fjarskipti og lögum nr. 78/2019 um öryggi net- og upplýsingakerfa.  Sveitin hóf formlega starfsemi árið 2013. Nánar má lesa um starfsemi CERT-IS á heimasíðu sveitarinnar https://www.cert.is.

Starfsemi sveitarinnar snýr að fjarskiptafyrirtækjum ásamt mikilvægum innviðum sem saman mynda þjónustuhóp hennar, en hún gegnir einnig hlutverki netöryggissveitar fyrir Ísland (e. National CERT/CSIRT) Markmið CERT-IS er að fyrirbyggja, draga úr og bregðast við hættu vegna netárása eða hliðstæðra öryggisatvika í þeim tölvukerfum sem falla undir starfssvið hennar. Starfsemin felst í að greina atvik af þessu tagi, takmarka útbreiðslu þeirra og tjón af þeirra völdum. Við útbreidd og alvarleg öryggisatvik skal sveitin samhæfa viðbrögð og aðgerðir. Netöryggissveitin veitir þjónustuhópi sínum ráðgjöf um varnir og viðbúnað og kemur upplýsingum á framfæri opinberlega ef þurfa þykir.  

CERT-IS er þátttakandi og tengiliður íslenskra stjórnvalda í innlendu og alþjóðlegu samstarfi um viðbrögð og varnir á þessu sviði og er landstengiliður vegna netöryggisatvika innan íslenskrar netlögsögu (e. National Point-of-Contact).

CERT-IS gegnir meðal annars hlutverki við upplýsingamiðlun varðandi netöryggisatvik og fyrirbyggjandi aðgerðir gegn slíkum ógnum. Hvað þjónustuhópinn varðar eru samskipti skipulögð í sviðshópum, eins og sýnt er hér fyrir neðan. Einnig ber CERT-IS skylda að eiga ákveðin samskipti við aðra aðila, s.s. löggæslu og eftirlitsstjórnvöld, en þau samskipti eru skilgreind í lögum. CERT-IS leggur áherslu á að halda trúnað við þjónustuhóp sinn og fylgir í því hefðbundnu verklagi sambærilegra viðbragðshópa erlendis. Því til stuðnings má nefna að CERT-IS hefur þegar hlotið vottun FIRST samtakanna og er stefnt á vottun Trusted-Introducer samtakanna fyrir árslok 2020.

Sem CSIRT gegnir CERT-IS trúnaðarhlutverki við sinn þónustuhóp. Mikilvægt er að aðgreina hlutverk CERT-IS sem viðbragðsaðila frá hlutverki Póst og fjarskiptastofnunar og annarra eftirlitsstjórnvalda, en frumhlutverk CERT-IS er að aðstoða sinn þjónustuhóp bæði í viðbragði við raungerðum öryggisatvikum og í forvarnarstarfsemi. Samskipti CERT-IS við eftirlitsstjórnvöld takmarkast við þá upplýsingaskyldu sem er í lögum og varðar umfang og áhrif tilkynningaskyldra atvika.