Mikilvægt að tilkynna alvarleg atvik

Árni Sæberg skrifar 19. júlí 2024 13:51

Fjarskiptastofa brýnir fyrir þeim sem reka mikilvæga innviði að tilkynna öll atvik sem tengjast tölvuvandræðum dagsins. Vísir/Vilhelm

Fjarskiptastofa, sem samhæfingarstjórnvald á grundvelli netöryggislaga, og CERT-IS, minna á mikilvægi þess að mikilvægar innviðir tilkynni um öll alvarleg atvik og áhættu sem tengjast þjónustuútföllum hjá Microsoft.

Þetta segir í tilkynningu á vef Fjarskiptastofu. Þar segir að undanfarin tilvik hafi sýnt fram á nauðsyn þess að bregðast skjótt við til að tryggja öryggi og stöðugleika þjónustu sem getur haft efnahagsleg og samfélag áhrif.

Stofnunin áréttar að lagaskylda hvílir á öllum mikilvægum innviðum sem falla undir gildissvið netöryggislaga og fjarskiptalaga. Auk fjarskiptafyrirtækja sé um að ræða rekstraraðila nauðsynlegrar þjónustu samkvæmt skrá ráðherra.

Þá nái tilkynningarskylda til alla rekstraraðila skýjavinnsluþjónustu, netmarkaða og leitarvéla á netinu, sem eru stærri en örfélög í skilningi laga um ársreikninga.

Eigi síðar en sex klukkustundum eftir að áhættu verður vart

Tilkynna skuli til CERT-IS, sem skuli miðla umræddum skyldutilkynningum til viðeigandi eftirlitsstjórnvalda, sem geti verið Fjarskiptastofa, Embætti landlæknis, Orkustofnun, Samgöngustofa, Umhverfisstofnun og Seðlabanki Íslands.

Tilkynning skuli berast eins fljótt og verða má og eigi síðar en sex klukkustundum eftir að borin hafa verið kennsl á atvik eða áhættu í kerfum rekstraraðila. Í tilkynningu skuli meðal annars veita eftirfarandi upplýsingar:

hvenær atviks eða áhættu varð fyrst vart í net- og upplýsingakerfum;
frummat á eðli og/eða tegund atviks eða áhættu í net- og upplýsingakerfum;
frummat á umfangi atviks eða áhættu;
frummat á mögulegum smitáhrifum;
hver sé rekstraraðili umræddra net- og upplýsingakerfa, t.a.m. ef rekstri þeirra er útvistað.

Liggi ekki allar upplýsingar fyrir við framangreind tímamörk skuli fylgja upprunalegri tilkynningu um atvik eða áhættu eftir með frekari samskiptum við netöryggissveit, eins fljótt og verða má.

Tilkynna skuli ef líklegt þyki að atvik hafi áhrif

Við mat á tilkynningarskyldu skuli meðal annars horft til hvort áhætta eða atvik:

hefur eða líklegt þykir að muni valda þjónusturofi eða ósamfellu í veitingu nauðsynlegrar þjónustu;
raskar eða líklegt þykir að muni raska öryggi og/eða virkni net- og upplýsingakerfa sem eru grundvöllur fyrir veitingu nauðsynlegrar þjónustu;
hefur eða líklegt þykir að muni hafa áhrif yfir landamæri;
hefur eða líklegt þykir að muni hafa áhrif á veitingu þjónustu annarra mikilvægra innviða, þar á meðal vegna viðhalds.

Tækni Netöryggi

Mest lesið

Fleiri fréttir