Öryggismál og upplýsingasamfélagið - skjal lagt fram á IT ráðherrafundi
Aðgerðir, sem snerta öryggismál,
til að koma í veg fyrir tvískiptingu fólks í upplýsingasamfélaginu
27. september 2001/GS
Norrænn ráðherrafundur, ráðherra upplýsingatæknimála (UT) var haldinn í Helsinki 27. september 2001. Löndin lögðu fram hvert um sig skjöl sem voru grundvöllur þeirrar umræðu sem fram fór. Ísland lagði fram eftirfarandi skjal um öryggismál.
I. Staðan á Íslandi
Lagalegt umhverfi
Ríkisstjórn Íslands hefur lagt áherslu á að afnema lagalega tálma gegn rafrænum viðskiptum um leið og neytendavernd og persónuvernd er tryggð. Þannig mælti viðskiptaráðherra fyrir frumvarpi til laga um rafrænar undirskriftir á síðasta þingi. Frumvarpið byggði á tilskipun Evrópubandalagsins um sama efni og varð að lögum á vormánuðum 2001 (lög nr. 28/2001). Í 4. gr. laganna er kveðið á um að fullgild rafræn undirskrift er ætíð jafngild skriflegri. Að auki er kveðið á um að aðrar rafrænar undirskriftir geti haft réttaráhrif að lögum. Þannig hefur löggjöfin á þessu sviði verið skýrð og lagður grundvöllur að notkun rafrænna undirskrifta, sem taldar eru forsenda aukins trausts í rafrænum samskiptum og viðskiptum.
Einnig hefur verið sett á laggirnar nefnd á vegum fjármálaráðuneytis sem gera á tillögur að dreifilyklaskipulagi (e. public key infrastructure, PKI) fyrir ríkið í heild og leggja meginlínur um það hvernig notkun rafrænna undirskrifta skuli hagað í ríkiskerfinu. Nefndin mun skila af sér á haustmánuðum 2001.
Lög um persónuvernd og meðferð persónuupplýsinga voru samþykkt á árinu 2000 (lög nr. 77/2000). Þau byggja á tilskipun Evrópubandalagsins um sama efni. Samkvæmt lögunum er komið á fót nýrri stofnun, Persónuvernd, sem hefur eftirlit með framkvæmd laganna. Þeir sem hafa með höndum vinnslu persónuupplýsinga var gert að tilkynna starfsemi sína til Persónuverndar fyrir 1. júlí 2001.
Í viðskiptaráðuneytinu er nú í vinnslu frumvarp til laga um rafræn viðskipti og aðra rafræna þjónustu, sem byggir á tilskipun Evrópubandalagsins um rafræn viðskipti. Í frumvarpinu er gert ráð fyrir að þjónstuveitendur sem hafa staðfestu á Íslandi þurfi að hlýta íslenskum lögum að því er varðar stofnun og starfrækslu þjónustunnar. Þá eru í frumvarpinu nokkur ákvæði sem miða að því að stuðla enn frekar að trausti þeirra sem njóta rafrænnar þjónustu, t. d. með ákvæðum sem skylda þjónustuveitendur að veita upplýsingar um þá sjálfa og hvernig unnt er að komast í samband við þá.
Loks hefur forsætisráðuneytið sett á stofn nefnd sem á að yfirfara gildandi stjórnsýslulög með tilliti til rafrænnar stjórnsýslu. Fyrirhugað er að nefndin skili af sér á haustmánuðum 2001.
Aðgengi að Interneti - tvískipting samfélagsins
Eftir mikla aukningu síðustu ár mælast nú litlar breytingar á aðgengi Íslendinga að tölvum og Interneti. Svo virðist sem ákveðinni mettun hafi verið náð. Nýjustu kannanir frá apríl 2001 sýna að um 77% Íslendinga hafa aðgang að tölvu með Internettengingu og hefur ekki orðið marktæk breyting frá síðustu könnun sem gerð var í september 2000.
Ekki kemur fram marktækur munur á aðgengi eftir kynjum en fólk eldra en 55 ára hefur síður aðgang en þeir sem yngri eru. Þeir sem lokið hafa framhaldsmenntun hafa frekar aðgang að Internetinu en þeir sem minni menntun hafa. Athygli vekur að yfir 90% stjórnenda, sérfræðinga, tækna og nema hafa aðgang að Internetinu. Og íbúar höfuðborgarsvæðisins hafa frekar aðgang að Internetinu en þeir sem búsettir eru úti á landi.
Fram kemur að karlar nota Netið marktækt oftar í viku en konur. Og ekki kemur á óvart að þeir sem elstir eru fara sjaldnast á Netið. Með hækkandi tekjum og auknu námi eykst Internetnotkun fólks.
Aðgengi almennings að tölvum og Interneti á Íslandi er orðið það almennt að erfitt er að tala um todeling sem stórt vandamál. Eldra fólk, íbúar landsbyggðarinnar og tekjulitlir einstaklingar með litla menntun eru þeir hópar sem þó þarf að gefa sérstakan gaum. Í þessari umræðu verður þó að hafa í huga að sumir hafa ekki áhuga á tölvum og Interneti og kjósa að sniðganga þessa tækni af ýmsum ástæðum.
Rafræn viðskipti og öryggi
Ætla mætti að við aðstæður eins og nú eru á Íslandi yxu netviðskipti hratt og í takti við hið mikla aðgengi sem almenningur hefur að Interneti. Staðreyndin er hins vegar sú að aðeins lítill hluti þeirra sem hefur aðgang að Interneti notar netið til viðskipta enn sem komið er.
Líklegt er að neikvæð umræða um persónuvernd og öryggi Internetsins hafi áhrif á hluta þeirra sem kjósa að nota ekki tölvur yfir höfuð og takmarki notkun margra sem þó eru virkir notendur. Áhyggjur fólks eru margvíslegar svo sem af:
a) hugsanlegum beinum fjárhagslegum skaða (t.d. ef vara sem hefur verið greidd er ekki afhent)
b) óþægindum (t.d. ef loka þarf kreditkorti þegar kortanúmeri er stolið)
c) óljósri réttarstöðu þar sem fólk þekkir ekki þær reglur sem gilda um netviðskipti, s. s. varðandi skil á vöru og ábyrgð
d) personvern þar sem ekki er alltaf ljóst hvernig farið er með þær upplýsingar sem gefnar eru upp vegna ákv. viðskipta
Nýjar íslenskar kannanir sýna að almenningur hefur vaxandi áhyggjur af öryggi netviðskipta. Í könnun sem gerð var í mars 2001 kemur fram að öryggi greiðslna er sá þáttur sem almenningur telur annan af tveimur mikilvægustu þáttunum varðandi verslun á Interneti. Áhyggjur eða meðvitund um öryggismálin (IT-sikkerhed) virðist fara vaxandi þar sem um 30% Internetnotenda nefna öryggi greiðslna í september 2000 en um 39% í sambærilegri könnun frá mars 2001.
Neytendur virðast hafa mun minni áhyggjur af persónuvernd í netviðskiptum þar sem aðeins um 5% nefna það sem annan af tveimur mikilvægustu þáttunum varðandi netviðskipti. Aðrir þættir sem taldir voru mikilvægari voru t.d. tímasparnaður, vöruverð, "opnunartími", vöruúrval og afhendingarmáti vörunnar.
Eru áhyggjur af öryggismálum (IT-sikkerhed) ástæðulausar?
Í allri umræðu um þróun rafrænna viðskipta er rætt um nauðsyn þess að byggja upp traust á þeim viðskiptamáta. Enginn vafi leikur á því að slíkt traust er forsenda þess að allur þorri almennings noti Internetið til annars en upplýsingaöflunar og til að senda e-mail.
Stór hluti fyrirtækja og opinberra stofnana er hins vegar ekki tilbúinn til þess að taka upp gagnkvæm örugg samskipti við notendur Internetsins. Það er því varasamt að ýta fyrirtækjum og stofnunum útí slíka þjónustu ef öryggismálin standa á bauðfótum. Stjórnendur fyrirtækja og opinberra stofnana þurfa að gera sér grein fyrir því að öryggismálin (IT-sikkerhed) eru forsenda þess að hægt sé að stunda rafræn viðskipti eða rafræna stjórnsýslu og hefur þessi þáttur örugglega verið vanmetinn.
Brýnt er að fræða almenning um öryggismálin. En ekki er síður mikilvægt að stjórnendur og starfsmenn fyrirtækja fái fræðslu um öryggismál, þann lagaramma sem í gildi er (og er býsna flókinn), þá staðla sem hægt er að styðjast við og annað sem nauðsynlegt er til að stunda eBusiness.
Ljóst er að það er erfitt fyrir lítil og meðalstór fyrirtæki eða stofnanir að tileinka sér nauðsynlega þekkingu og koma sér upp þeirri tækni sem þarf til að geta hafið örugg rafræn viðskipti.
II. Hlutverk og ábyrgð hins opinbera
Ein af grundvallarskyldum hins opinbera er að tryggja að lagalegt umhverfi sé skynsamlegt. Að því er varðar rafræn viðskipti og samskipti verða lög að vera í samræmi við tækniþróun um leið og réttarstaða neytenda og fyrirtækja er styrk. Hins vegar hefur viðskiptaráðherra lagt áherslu á að ekki skuli vera í gildi fleiri sérreglur á þessu sviði, en brýna nauðsyn ber til.
Hlutverk hins opinber varðandi öryggismálin er margþætt:
- Að tryggja almennt lagalegt umhverfi og réttarstöðu almennings og fyrirtækja með því að þróa löggjöf um rafrænar undirskriftir, rafræn viðskipti, neytendavernd persónuvernd, o.fl.
- Að stuðla að innleiðingu og almennri notkun staðla eins og ISO/IEC 17799 (BS7799).
- Að stuðla að reglusetningu um neytendavernd og fræðslu til neytenda.
En nær hlutverkið lengra? Er æskilegt að hið opinbera ryðji brautina fyrir rafræn viðskipti og innleiði gagnvirk samskipti í stjórnsýslunni, flýti uppsetningu öryggiskerfa og taki rafrænar undirskriftir í notkun? Með því mætti hugsa sér að skapað yrði traust á þessum viðskiptaháttum og sett þau öryggisviðmið sem fyrirtæki og almenningur teldi síðan ásættanleg (og væntanlega yrðu fyrirmynd á öðrum sviðum).
III. Hvaða tækifæri eru fyrir hendi
Í dag er skortur á öryggi ein stærsta hindrunin fyrir áframhaldandi þróun netviðskipta a.m.k. hjá þeim löndum sem náð hafa lengst.
Margt hangir á sömu spýtunni: Ekki er fýsilegt (hvorki fyrir seljendur né kaupendur) að hefja viðskipti eða veita opinbera þjónustu nema lagaleg staða sé skýr, tæknilegt öryggi sé fyrir hendi, ljóst sé hvað verður um persónuupplýsingar sem varða viðskiptin og traust á þessum viðskiptamáta sé fyrir hendi.
Tækifæri eða ávinningur hins almenna borgara varðandi aukið öryggi liggur í því, til lengri tíma litið, að hægt verður að halda áfram að þróa upplýsingaveitur, þjónustu og viðskipti þar sem gengið er frá greiðslum og meðhöndlaðar (viðkvæmar) persónuupplýsingar. Í þessu felst að neytendur hafa aðgang að stærri markaði með aukinni samkeppni, meira vöruúrvali og eru óháðir stað og tíma þegar viðskipti fara fram.
Tækifæri atvinnulífsins liggja í því að hægt er að ná til og þjóna mun stærri hópi viðskiptavina með litlum tilkostnaði ef hægt er að nota rafrænar, öruggar aðferðir. Þar með opnast nýjir markaðir, milliliðum fækkar og mikil hagræðing er möguleg.
Tómt mál er að tala um að færa viðskipti almennt á netið nema búið sé að skapa traust og tryggja viðunandi öryggi samskipta á netinu.
IV. Hvað getur hið opinbera gert?
Hið opinbera verður að sjálfsögðu að þróa lagarammann og setja þær leikreglur sem nauðsynlegar eru á sviði öryggismála. Eins og áður var vikið að eru útbreiðsla rafrænna viðskipta, traust almennings og raunverulegt öryggi viðskiptanna samverkandi þættir. Opinberir aðilar ættu því að stuðla að því að:
a) Í boði verði fjölbreytt fræðsla um öll þau atriði sem varða öryggismál, innleiðingu rafrænna viðskipta og rafrænnar stjórnsýslu - bæði hvað varðar lagarammann, tæknileg úrlausnarmál, staðla o.þ.h.
b) Opinber fyrirtæki og einkafyrirtæki komi sér upp tölvukerfum og verkferlum sem gera þeim kleift að stunda rafræn viðskipti með öruggum hætti. Þar er hægt að styðjast við staðla.
c) Rafrænar undirskriftir komist í almenna notkun.
d) Almennt sé unnið eftir þeim nýju lögum sem sett hafa verið um rafræn viðskipti, rafrænar undirskriftir, neytendavernd og personvern.
Með því að vinna áfram markvisst gegn tvískiptingu samfélagsins og virkja sem flesta í upplýsingasamfélaginu opnast tækifæri til að hraða innleiðingu rafrænnar stjórnsýslu og draga smátt og smátt úr ýmissi óhagkvæmri, "pappírsþjónustu". Hefur þetta í för með sér mikla hagræðingu í ríkisrekstri þegar til lengri tíma er litið auk þess sem hægt er að veita mun betri þjónustu en með gamla laginu. Frá sjónarhóli skattgreiðenda er þetta því mikið hagsmunamál.
Skortur á lagalegum grundvelli og öryggi í rafrænum samskiptum hefur fram til þessa tafið fyrir þróun rafrænnar gagnvirkrar stjórnsýslu en nú ætti að verða breyting þar á.
V. Hvaða verkefni er hægt að vinna að á norrænum vettvangi?
Sérstaða Norðurlanda varðandi aðgengi almennings að tölvum og Interneti gerir það að verkum að raunhæft er að takast á við önnur verkefni en í þeim löndum sem hafa minna aðgengi. Á Norðurlöndunum er unnið að mörgum framsæknum verkefnum á sviði rafrænna viðskipta og rafrænnar stjórnsýslu þar sem verulega reynir á öryggismálin. Sem dæmi um slíkt verkefni mætti nefna tilraunaverkefni á Íslandi um rafrænar kosningar.
Mikilvægt er að greiður aðgangur sé að upplýsingum um niðurstöður slíkra (tilrauna)verkefna þannig að önnur lönd geti lært af þeirri reynslu sem fengist hefur. Æskilegt væri að upplýsingar um slík verkefni væru á samnorrænum vefsíðum en meira þarf til. Skapa þarf vettvang fyrir miðlun þekkingar og reynslu varðandi öryggismál og fleiri mál því tengd. Skapa mætti slíkan vettvang undir merkjum rafrænnar stjórnsýslu sem er risavaxið verkefni sem öll norrænu löndin eru nú að takast á við.
Á ráðherrafundi neytendamála- og viðskiptaráðherra Norðurlanda sem haldinn var í Helsinki 20. júní 2001 lagði íslenski iðnaðar- og viðskiptaráðherrann, Valgerður Sverrisdóttir fram tillögu um stofnun þverfaglegrar embættismannanefndar (EK-Kons og EK-Næring) um neytendamál og viðskiptamál. Nefndinni yrði falið að setja af stað tilraunaverkefni sem stuðlar að aukinni neytendavernd í netviðskiptum og er þar m.a. komið inná öryggismál. Reiknað er með að skýrsla með niðurstöðum þessa verkefnis liggi fyrir að ári liðnu.
Mikilvægt er að MR-IT og (EK-IT) fái þessa skýrslu í hendur og taki til umfjöllunar aðra þætti öryggismála sem þessi hópur fjallar ekki um.
VI. Spurningar til umræðu
a) Eiga opinberir aðilar á Norðurlöndunum að ryðja veginn í öryggismálum - ekki bara varðandi lagasetningu - heldur með því að innleiða öryggisstaðla (s.s. breska staðalinn BS 7799 eða alþjóðlega staðalinn ISO/IEC 17799) og ganga síðan á undan með góðu fordæmi, vinna samkvæmt þessu stöðlum í opinberri stjórnsýslu? Væri með þessu hægt að skapa gott fordæmi í umgengni við hvers kyns upplýsingar?
b) Eiga opinberir aðilar á Norðurlöndum að flýta uppbyggingu rafrænnar stjórnsýslu og innleiðingu rafrænna undirskrifta til að skapa fyrirmynd og það traust sem nauðsynlegt er fyrir þróun rafrænna viðskipta almennt?