fjarskipti .
Forseti. Mýtan um að við séum bara að nota 10% af heilanum er gríðarlega lífsseig. Að sjálfsögðu er það ekki þannig. Ég vil bara ítreka það, skýrt og greinilega. Við erum afsprengi milljón ára þróunar og það væri vita gagnslaust að búa til fullt af risastórum heila svona tegundalega séð og nota ekki nema 10% af honum. Það væri þvílík eyðsla á dóti og ekkert rosalega gagnlegt. En þessi heili leyfir okkur að búa til bækur af flóknu regluverki upp á einhverjar 130 blaðsíður og setja þær í hendurnar á 63 þingmönnum til að vega og meta hversu gott og gáfulegt það er fyrir alþjóð að undirgangast. Þó að þetta sé að mestu leyti fyrir fyrirtæki og eftirlitsaðila þá er þetta líka mikið neytendaréttindamál og það er það sem ég ætla að beita athygli minni að í þessari ræðu.
Til að byrja með ætla ég að fjalla um alþjónustuna. Alþjónusta er tiltölulega nýtt fyrirbæri á Íslandi og kemur frá evrópsku regluverki að sjálfsögðu, því að við gerum þetta ekkert rosalega mikið sjálf. Við fáum bestu hugmyndirnar innfluttar og málum þær oft upp í íslenskum litum eins og við höfum fengið hugmyndina sjálf. En, nei, í raun og veru voru það einhverjir aðrir einhvers staðar annars staðar sem fengu hugmyndina og við útfærum hana á okkar hátt og ekkert endilega á góðan hátt, eins og ég kem aðeins að undir öðrum atriðum seinna. En alþjónusta virkar á þann hátt að ef það eru einhver svæði á Íslandi sem enginn þjónustuaðili er tilbúinn til þess að taka að sér, af því að út af markaðslegum forsendum þá borgar það sig ekki o.s.frv., þá getur ríkið í rauninni boðið út eða sagt við ákveðinn þjónustuaðila bara: Þú skalt veita þessa þjónustu þarna. Við erum búnir að reikna að kostnaðarverðið á því sé þetta hérna og þú færð þá það verð fyrir þetta. Og án þess að það sé nokkuð vesen. Svo má alltaf deila um hvort það sé rétt útreiknað verð fyrir þá kvöð að veita þá þjónustu, en það er annað mál. Alla vega er þetta gagnreynd aðferðafræði við að koma á þjónustu á dreifðari svæðum þar sem eru ekki markaðsforsendur fyrir samkeppni og ýmsu svoleiðis. Þetta gerðum við t.d. í póstþjónustunni og þetta er í þriðja orkupakkanum, nákvæmlega sama fyrirkomulag. Ekkert óeðlilegt í gangi hérna. En svo er það 11. kaflinn hérna — eða XI. kaflinn, við notum enn þá rómverska tölustafi í þessu, merkilegt nokk, við erum svo þróuð — og þar er fjallað um neytendavernd. Þar vildi ég byrja á því að fjalla um nethlutleysi í 71. gr. Það segir í 3. mgr.:
„Fjarskiptafyrirtæki sem veitir netaðgangsþjónustu skal meðhöndla alla fjarskiptaumferð jafnt án mismununar, takmarkana eða truflunar og óháð sendanda eða móttakanda, því efni sem sótt er eða miðlað, þeirri þjónustu sem notuð er eða boðin fram og þeim búnaði sem er notaður.“
Þetta er gríðarlega mikilvægt mál. Fyrir nokkrum árum síðan, sérstaklega í Bandaríkjunum, vildi löggjafinn, að áeggjan ýmissa stórfyrirtækja, geta takmarkað netumferð frá öllum nema þeim aðilum sem borguðu betur, segjum t.d. Amazon eða Netflix, þótt Netflix hafi að vísu ekki verið til á þeim tíma. Stórfyrirtæki í þjónustuveitingu, YouTube t.d., voru þá rukkuð fyrir að útvega svona mikið af efni og þá fékk neytandinn aðgang að því efni á miklu greiðari hátt en ef hann fór á Metatube eða eitthvað því um líkt. Þá var nettengingin við þá þjónustu miklu minni, tífalt minni kannski. Þetta býr til gríðarlega skekktar samkeppnisaðstæður. En í Bandaríkjunum er ákveðinn strúktúr varðandi það að sumir borga þingmönnum gegnum alls konar fyrirtæki o.s.frv. til að styðja þá til framboðs og það var ekkert rosalega jákvætt lýðræðislega séð hvernig það allt fór. Sem betur fer þá leystist nú aðeins úr því — ég held samt að það sé enn þá eitthvert vesen í Bandaríkjunum — og við fáum þetta nethlutleysi t.d. í gegnum Evrópu. Píratar börðust einmitt fyrir nethlutleysi á Evrópuþingi og það fengum við sem betur fer. En það eru takmarkanir á þessu. Ráðherra getur sett reglugerð um framkvæmd nethlutleysis, m.a. um leyfilegan tilgang umferðarstýringar, ákveðin skilyrði fyrir beitingu umferðarstýringar o.s.frv. Þetta er atriði sem þarf alltaf að fylgjast með að sé gert á skiljanlegum og málefnalegum forsendum. Ég ætla ekkert að fara neitt nánar út þetta. Þetta er atriði sem ég býst fastlega við að komi fram í umfjöllun nefndarinnar. Ég skil satt best að segja ekki hvernig nefndin ætlar að fara yfir þetta á þeim tíma sem eftir er því að það er mikið að skoða.
Síðan örstutt um birtingu skilmála og gjaldskrár. Þetta er ótengt nákvæmlega þessu en varpar dálítið ljósi á vandamál sem við eigum við á öðrum vettvangi á Íslandi. Hérna er skilyrði um það hvernig fjarskiptafyrirtæki eiga að birta skilmálasamninga sína og gjaldskrár. Ég vil taka tryggingafélagabransann á Íslandi út fyrir sviga. Hver sá sem getur farið inn á vefsíður tryggingafélaganna og fundið skilmála eða gjaldskrár þeirrar þjónustu sem þau félög veita geri það. Ég held við þurfum að yfirfæra þetta regluverk aðeins yfir á þann vettvang líka til þess að þetta verði allt skiljanlegra. Réttara sagt á t.d. Fjármálaeftirlitið að vera með ákveðið eftirlit með gjaldskrám og þess háttar hjá tryggingafélögum en bara gerir það ekki og kannski af því að lögin eru einfaldlega ekki nægilega skýr hvað það varðar.
Svo ætla ég að fjalla um netöryggissveitina, eins og ég hef gert í nokkrum andsvörum: Öryggi upplýsinga, fjarskiptaneta og fjarskiptaþjónustu. Netöryggissveit. Þetta er XII. kafli, 78. gr. Þar er ýmislegt kunnuglegt. Ég var í umhverfis- og samgöngunefnd á síðasta kjörtímabili og þá fengum við þetta í hendurnar. Við fengum breytingartillögur eða útfærslu sem þá Póst- og fjarskiptastofnun vildi fá í þessi lög um að þeim eða netöryggissveitinni væri heimilt að setja einfaldan — eða ekkert einfaldan heldur flókinn eftirlitsbúnað á tæki fjarskiptafyrirtækja, á tölvur þeirra í rauninni sem sjá um fjarskiptaþjónustuna. Þetta gengur einfaldlega gegn þeirri reglugerð sem þessi lög eiga að byggja á. Það er ekkert flóknara en það að mínu mati, því að fyrirkomulag netöryggissveitanna eins og það er dregið upp í Evrópureglugerðinni er að vera samhæfingaraðili, þ.e. að sjá til þess að taka við ábendingum um netöryggisógnir og koma þeim upplýsingum til allra sem þau eru í samskiptum við. Þá eru það bæði samskipti við aðrar netöryggissveitir, þ.e. flæði á milli landa, og í hverju landi fyrir sig til allra þjónustuveitenda. Þetta ákveðna stjörnunet upplýsingadreifingar á að koma upplýsingum um netárás frá einhverjum aðila einhvers staðar á því svæði sem þetta þjónustunet er í gangi, þar sem þetta öryggissvæði er í gangi, til allra hinna á eins stuttum tíma og hægt er.
Vandamálið sem var bent á hérna síðast þegar var verið að sinna þessu er að ef netöryggissveitin er með eftirlitsbúnað hjá fjarskiptafyrirtækjunum þá sjá fjarskiptafyrirtækin engan tilgang í því að fylgjast með hvort það sé einhver netárás í gangi. Þau geta fríað sig algjörlega ábyrgð. Af hverju ættu þau að vilja taka þá áhættu að sjá ekki vegsummerki um netárás þegar það er netöryggissveitin sem er sérhæfð í því? Það er einfaldlega áhætta sem þau vilja ekki taka, að segjast vera að fylgjast með því en ná síðan ekki að vera á undan netöryggissveitinni, sem þau ættu samt að geta gert ef þau væru með þjónustuna á réttum forsendum. Þannig að í staðinn fyrir að reyna er miklu auðveldara að fría sig ábyrgð: Við gáfum aðgang að þessu, þið getið fylgst með því eins og þið viljið og við bara borum í nefið á meðan. Vandinn er sá að þá er einfaldlega búið að færa allt eftirlit með netöryggi til netöryggissveitarinnar sem er þá í ákveðnu eftirliti með sjálfri sér af því að hún á að hafa eftirlit með því að fyrirtækin séu að sinna sínu og séu með viðbragðsáætlanir o.s.frv. og viðbragðsáætlanirnar hjá þeim eru bara: Netöryggissveitin sér um þetta. Við þurfum ekki að gera neitt. Svo er það líka að þegar við þjöppum saman þekkingunni eða ábyrgðinni á einn stað þá drögum við úr líkunum á því að það verði einhver var við netárásina. Þegar hún er á mörgum stöðum er verið að fylgjast með netinu á margvíslegan hátt á mörgum stöðum í mörgum tegundum af kerfum og þá er líklegra að það verði einhver var við eitthvað óvenjulegt. Af því að í netárásum er yfirleitt reynt að hafa áhrif á t.d. ákveðinn búnað sem virkar þá ekki á annan búnað eða um er að ræða einfaldlega mannlegar árásir, svona veiðiárásir þar sem er sagt: Þú varst að fá arf frá nígerískum kóngi eða prinsi eða eitthvað svoleiðis. — Tíminn líður allt of hratt. — Það eru árásir sem engin netöryggissveit getur fylgst með enda má hún það í rauninni ekki samkvæmt þeim skilmálum sem eru fyrir því hvernig gögn um fjarskipti eru geymd. Ég næ því kannski á eftir, sjáum til.
Þetta er líka mjög mikilvægt af því að búnaðurinn sem netöryggissveit setur á fjarskiptabúnaðinn getur valdið óöryggi. Fjarskiptabúnaðurinn er hannaður til þess að virka á ákveðinn hátt, þetta er bara forrit og tæknibúnaður sem gerir sitt og ef öðru forriti eða tæknibúnaði er bætt ofan á hann, sem er ekki endilega hannaður til þess að vinna með þeim búnaði, þá getur það valdið truflunum. Það getur valdið töfum á meðan verið að lesa upplýsingarnar sem getur valdið ýmsum óvæntum og ófyrirséðum afleiðingum. Það bætir einnig við, af því að þetta er nú einu sinni njósnabúnaður, öðrum stað til að ráðast á netið, einmitt í gegnum njósnabúnaðinn. Það er út af fyrir sig varhugavert.
Það sem hefur verið komist að víðs vegar þar sem netöryggissveitir eru í framkvæmd er þetta upplýsingamiðlunarkerfi til að það sé hægt að glíma við vandann á hverjum stað fyrir sig í staðinn fyrir að reyna að hrúga saman sérþekkingu á einn stað sem er kannski að glíma við mismunandi tækni hjá þjónustufyrirtækjunum. Það er bara allt of þunglamalegt. Kannski er það þess vegna sem þau vilja geta takmarkað hvaða búnað má nota. Þá eru bara allir með sama búnað sem þýðir að ef það er gerð netárás sem virkar á slíkan búnað er allt farið, ekki bara hjá þeim sem eru með þann búnað en er svo í lagi hjá hinum af því að þeir eru með öðruvísi búnað. Það er líka öryggi í því að dreifa tæknilausnunum, útfærslunni á þeim, sem myndi gera eftirlitið þunglamalegra því að netöryggissveitin þarf sérþekkingu á hverjum og einum búnaði fyrir sig og göllunum, öryggisgöllunum á þeim búnaði. Hún þarf að vera að fylgjast með á miklu fleiri stöðum hvaða upplýsingum þarf að fylgjast með. Þjónustuaðili sem er bara með sinn Cisco-búnað eða eitthvað svoleiðis er bara að fylgjast með öryggisuppfærslum á þeim búnaði. Hann þarf ekki líka að vera að fylgjast með Huawei eða Nokia eða fullt af öðrum mismunandi tegundum. Hann er aðeins að fylgjast með öllu sem varðar sérstaklega hans eigin búnað, sérhæfing hvað það varðar.
Tíminn er að verða búinn og ég er ekki búinn með í gagnageymdina. Ég geymi þá gagnageymdina þar til í næstu ræðu.
