Sigurður JónssonCERT-IS, netöryggisstofa ríkisins á Íslandi, birti í apríl 2026 árlega skýrslu sína um netógnir ársins 2025. Niðurstöðurnar eru áhyggjufullar: samtals 5.240 tilkynningar um netöryggisatvik — hækkun um 26% frá árinu 2024 — og tölvuinnbrot og innbrotstilraunir í kerfi fyrirtækja jukust um 388% á sama tíma. Þetta er stærsta aukning sem mælst hefur í íslensku netöryggi.
Hvað kemur fram í CERT-IS skýrslunni 2025?
Samkvæmt skýrslunni leiddu tilkynningarnar til 2.312 mála sem þurftu frekari íhlutun — 43% fleiri en árið áður. Hér eru helstu tölurnar:
- 5.240 tilkynningar um netöryggisatvik (+26%)
- 2.312 mál sem þurftu íhlutun (+43%)
- 1.304 phishing-mál — algengasta tegund (+47%)
- 257 mál tengd spilliforritum (malware)
- 388% aukning í tölvuinnbrotum og innbrotstilraunum
Phishing — sviksamleg tölvupóstsamskipti þar sem árásarmenn líkja eftir þekktum stofnunum — er enn algengasta tegund árása. Stofnanir sem árásarmenn líktu eftir voru Microsoft, Veitur, Ísland.is, Pósturinn og skattyfirvöld.
Hvað eru tölvuinnbrot og af hverju er 388% aukning svona alvarleg?
Tölvuinnbrot þýðir að óviðkomandi aðili nær aðgangi að innri kerfum fyrirtækis eða stofnunar. Samkvæmt CERT-IS á island.is er þetta meðal alvarlegustu tegunda netárása vegna þess að þjófurinn getur dvalist lengi í kerfum áður en hann er uppgötvaður — oft í margar vikur eða mánuði.
Þegar innrásarmaðurinn hefur náð aðgangi að tölvupósti eða samskiptakerfum getur hann beðið eftir tækifæri til að fremja fjársvik. Dæmið er þekkt: Reikningur kemur frá "birgja" sem lítur alveg eins og gamli birgirinn — en bankareikningurinn er annar. Fyrirtæki hafa misst milljóna króna með þessum hætti.
Af hverju er þetta sérlega varúðarmerki fyrir íslensk fyrirtæki?
Ísland er í sérstakri stöðu. Hlutfallslega lítið þjóðfélag þar sem margar stofnanir treysta sér á lítinn IT-stuðning, oft án sérfræðings í netöryggi. Sumar middel-stórar verktakafyrirtæki og verslanir reka enn gamlar útgáfur af hugbúnaði sem ekki er uppfærður, sem gerir þær að auðveldum skotmárum.
Phishing-árásirnar þróast einnig: hér er ekki lengur um einfalt "sendingarvandamál" að ræða. Menn-í-miðjunni-árásir (man-in-the-middle) eru í vexti, þar sem tölvuþrjótur setur sig í samskiptin milli tveggja aðila og nær að millifæra pening án þess að neinn taki eftir því fyrr en of seint.
Fimm skref sem hvert íslenskt fyrirtæki ætti að taka núna
Netöryggisstjóri eða utanaðkomandi IT-sérfræðingur getur hjálpað þér að innleiða eftirfarandi aðgerðir í þessari röð:
1. Tvíþátta auðkenning (2FA) á alla kerfia: Ef lykilorð lekur út, kemur 2FA í veg fyrir óleyfilegan aðgang. Þetta er einfaldasta og áhrifaríkasta aðgerðin.
2. Uppfærsla á öllum hugbúnaði og stýrikerfum: Flest netinnbrot nýta þekktar veikleika í gamalli hugbúnaði. Uppfærðu stýrikerfi, vafra og forrit reglulega.
3. Þjálfun starfsmanna í phishing-greiningu: Starfsmenn eru oft veikasta hlekkurinn. Stuttar æfingar þar sem gervi-phishing-tölvupóstar eru sendir geta auðkenna þá sem þurfa meiri þjálfun.
4. Öryggisafrit (backup) utan netsins: Ransomware getur dulkóðað alla skrá á netkerfi. Ef öryggisafrit eru geymd offline eða í skýi með aðskildum aðgangi, er hægt að endurheimta gögn án þess að greiða lausnargjald.
5. Neyðaráætlun í tilfelli netárásar: Hvert fyrirtæki ætti að hafa skráðar leiðbeiningar um hvað gera ef netárás á sér stað — hvernig einangra kerfi, hverja hringja í og hvernig tilkynna til CERT-IS.
Hvenær þarftu utanaðkomandi sérfræðing?
Ekki öll fyrirtæki þurfa fullt starf netöryggisstjóra. En það eru aðstæður þar sem utanaðkomandi IT-sérfræðingur er nauðsynlegur:
- Ef þú ert að setja upp nýtt netkerfi eða uppfæra þáverandi
- Ef starfsmaður hefur smellt á phishing-hlekk og það er óljóst hvað hafi gerst
- Ef kvörtun berst um óvæntann aðgang að kerfum
- Ef þú ert að taka við gögnum frá þriðja aðila (birgir, samstarfsaðili) og ert óviss um öryggi þeirra
Kostnaður við eina netöryggisathugun er oft lítill hluti af þeim kostnaði sem fylgir einum netárás.
Hvað er verðlag á netöryggisúttekt?
Margir eigendur lítilla og meðalstórra fyrirtækja eru að undrast hvort þeir geti leyft sér netöryggisúttekt. Reynslan sýnir hins vegar að úttekt kostar oft á bilinu 50.000 til 200.000 krónur, eftir stærð og flækjustigi kerfanna. Samanborið við meðalskurð netárásar á íslenskt fyrirtæki — sem getur numið milljónum króna í bætur, tapaðar tekjur og lagfæringar — er þessi fjárfesting lítill hluti af hugsanlegum kostnaði.
Í mörgum tilfellum greiðir viðskiptavinur einungis þar sem vandamál er uppgötvað — og mörg útgáfur af netöryggisþjónustu eru í boði sem áskrift eða mánaðarleg eftirlit.
Rannsóknarskylda og persónuvernd
Ísland fellur undir GDPR-reglur Evrópusambandsins um persónuvernd. Ef gögn viðskiptavina leka vegna netárásar getur fyrirtækið þurft að tilkynna það til Persónuverndar og í alvarlegum tilfellum greiða sektir. Skv. GDPR getur sekt numið allt að 20 milljónum evra eða 4% af árlegri veltu fyrirtækisins.
Þetta þýðir að netöryggi er ekki eingöngu tæknileg áhætta — það er fjárhagsleg og lagaleg áhætta. IT-sérfræðingur sem þekkir bæði tæknilega og lagalega hlið GDPR getur hjálpað þér að tryggja að kerfin uppfylli kröfurnar.
Niðurstaðan
CERT-IS skýrslan 2025, birt í apríl 2026, sýnir að netárásir á Ísland eru að vaxa bæði í fjölda og flækjustigi. 388% aukning í tölvuinnbrotum er skýrt merki um að grundvallendaröðun netöryggis — tvíþátta auðkenning, uppfærður hugbúnaður og þjálfaðir starfsmenn — þarf að vera á öllum íslenskum fyrirtækjum. GDPR-skuldbindingar bæta svo við lagalegar afleiðingar gagna-lekaáréttingar. IT-sérfræðingur getur hjálpað þér að meta stöðuna, meta GDPR-samræmi og grípa til réttra ráðstafana áður en vandinn kemur upp.
Athugið: Þessi grein er skrifuð til upplýsingar og kemur ekki í stað faglegrar netöryggisráðgjafar eða lagalegrar ráðgjafar. Leitaðu til sérfræðings vegna eigin aðstæðna.
