Sigurður JónssonSjautján íslenskir sérfræðingar tóku þátt í Locked Shields 2026, stærstu lifandi netöryggisæfingu heims, 21.–24. apríl 2026 í Tallinn, Eistlandi. Ísland tók þátt í fjórða sinn, í liðsfélagi með Noregi og NATO — og þátttaka þeirra kemur á bakgrunni þess að netglæpir og netárásir á íslensk fyrirtæki hafa aukist um 26% frá árinu áður. Hvað þýðir þetta þróun fyrir fyrirtæki þín?
Hvað er Locked Shields?
Locked Shields er árleg lifandi netöryggisæfing sem skipulögð er af NATO Samstarfssetur netsöryggis (CCDCOE) í Tallinn. Árið 2026 tóku yfir 4.000 þátttakendur frá 41 þjóð þátt — mörg gulu blá lið sem verða að verjast samhæfðum netárásum á sýndarþjóð sem nefnist „Berylia".
Liðin verða samhliða að vernda gagnvíðtæk kerfi: fjarskiptakerfi, orkuver, 5G-net, gervihnattastjórnun, rafrænar kosningar og fjármálakerfi. Keppni er einungis í vörn — sýna hvernig á að greina og svara árásum í rauntíma án þess að þjónustur falli.
Íslenska liðið samanstóð af 17 sérfræðingum frá opinberum stofnunum og einkafyrirtækjum, þar á meðal Seðlabanka Íslands, Íslandsbanka, Arion banka, CERT-IS og Utanríkisráðuneytinu. Þetta er breiður þátttakendahópur sem gefur til kynna hversu stofnanabundið samstarf í netöryggi er orðið á Íslandi.
Nánar um Locked Shields-æfinguna er hægt að lesa á opinberri síðu NATO CCDCOE.
Ísland er ekki í hlutlægu öryggi — tölurnar sanna það
Í 2025 voru 5.240 netöryggistilvik tilkynnt til CERT-IS — 26% fleiri en árið áður. Af þessum tilkynningum þurftu 2.312 þeirra aðgerðir, sem er 43% aukning. Þetta eru ekki smávægileg tilfelli: árásir á fjármálafyrirtæki, jafningjur af sviðsljósi hjá Microsoft, Veitur og Ísland.is, og niðurhal á skaðlegum hugbúnaði hafa öll verið í þessum tölum.
Íslenskar netárásir fara oftar einn af þremur leiðum: falskt tölvupóst (phishing) í nafni þekktra stofnana, sveigjanleg lausnarhugbúnaðarárás á lítil fyrirtæki, eða hagnýting á veikleikum í gömlu hugbúnaðarkerfum sem ekki hefur verið uppfært.
Netglæpamenn sem beinast að Íslandi eru jafnan hluti af stærri alþjóðlegum hnetverki. Þetta þýðir að þeir vita hvert þeir eru að leita og nota sömu tækni og verður beitt á stærri þjóðir — aðeins leiðrétt fyrir smærra markhóp.
3 netöryggisaðgerðir sem íslenskar rekstrareiningar þurfa að framkvæma strax
Þátttaka í Locked Shields æfir sérfræðinga — en hvat með þau fyrirtæki sem eru utan þessarar æfingar? Hér eru þrjár aðgerðir sem skipta meginmáli:
1. Skráðu alla notendur með þvítþáttagreiningu (MFA)
Samkvæmt alþjóðlegum netöryggisrannsóknum eru um 80% þeirra innbrota sem takast á hendur fyrirtæki komnar í gegnum stolin lykilorð eða giskar á þau. MFA — tveggja þátta staðfesting — er einfaldasta vörnin gegn þessu. Að koma henni í gagnlega notkun á alla notendur, þar á meðal yfirmenn og kerfisstjóra, er bein forvörn.
2. Skipulagðu reglulegar öryggisprófarannsóknir (penetration testing)
Flest lítil og meðalstór íslensk fyrirtæki hafa aldrei framkvæmt formlegt öryggisprófun á eigin kerfum. Þetta þýðir að veikleikar sem netglæpamenn kunna að nýta sér eru okkar óþekktir. Árleg eða hálfs-árleg öryggispróf af hálfu netöryggissérfræðings geta greint þessa veikleika áður en glæpamennirnir gera það.
3. Gerðu viðbragðsáætlun gegn lausnarhugbúnaðarárásum
Lausnarhugbúnaður (ransomware) — hugbúnaður sem dulkóðar gögn og krefst greiðslu — hefur eyðilagt rekstur margra fyrirtækja. Viðbragðsáætlunin þarf að svara: Hverjir taka ákvarðanir? Hvenær greiðum við ekki? Hvernig er varðveisla afritataka? Hvar eru tæknilegar tengiliðaupplýsingar? Án þessarar áætlunar tekur ákvarðanaferli klukkustundir í streituástandi.
NIS2-tilskipunin og áhrif hennar á Ísland
Frá og með 2024 er ESB NIS2-tilskipunin í gildi meðal aðildarríkja ESB — hún krefst strangari netöryggisstaðla hjá stjórnenda eigna í mikilvægum geirum. Ísland er ekki aðildarríki ESB en er bundið hluta af þessum reglum í gegnum EES-samninginn.
NIS2 mun líklega hafa áhrif á íslensk fyrirtæki í þessum geirum: orku og vatn, sjúkrahús og heilbrigðiskerfi, samgöngur, fjármál og banka, stafræn innviðaþjónusta. Fyrirtæki í þessum geirum þurfa að meta hvort þau uppfylli þær kröfur sem NIS2 setur og hvort þjálfun starfsmanna og öryggisferlar séu í samræmi.
Lestu greinina okkar um NIS2 og hvernig hún hefur áhrif á íslensk fyrirtæki til að fá nánari útlistun á skyldum þinna fyrirtækja.
Hvað lærir Ísland af Locked Shields?
Locked Shields 2026 kenndi þátttakendum í rauntíma hvernig á að greina samsett netárásir á fjölmörg kerfi samtímis — örugg rafmagnsflutningur, bankakerfi og ríkisgagnagrunn eru öll í hættu þegar samræmd árás fer af stað. Íslenska liðið, sem starfaði í liðsfélagi með Norðmenn og NATO-sérfræðinga, kynnti sér þar meðal annars hvernig þriðja aðilar og birgjakeðjur geta orðið innkomusvæði fyrir árásarmenn.
Þessi þekking er gagnleg ekki aðeins fyrir stórar stofnanir — heldur fyrir öll þau fyrirtæki sem eru hluti af birgjavirðiskeðjum banka, orkufyrirtækja og ríkisstofnana. Í rafrænum viðskiptum er allir tengdir og veikleiki eins tengils getur lamað heilt kerfi.
Hvað þýðir þátttaka Íslands í Locked Shields?
Utanríkisráðherra Þorgerður Katrín Gunnarsdóttir sagði í kjölfar æfingarinnar að þátttaka Íslands styrki þjóðaröryggi og samstarf milli geira. En æfing einstakra sérfræðinga verður að umbreytast í víðtækari menningarbreytingu í fyrirtækjum landsins.
Þátttaka Íslands í Locked Shields gefur skýrt til kynna hvar ríkið telur netöryggisógnina standa. Fyrirtæki sem ganga enn fram með gamaldags hugbúnað, enga MFA og enga viðbragðsáætlun eru að bíða í biðröðinni.
Netöryggissérfræðingur getur hjálpað þér að útfæra einfaldar en áhrifaríkar breytingar sem munu gera mikinn mun — áður en árás á þín kerfi reynist á leiðinni.
Expert Zoom tengir þig við IT-sérfræðinga sem geta ráðlagt um netöryggi, NIS2-samræmi og viðbragðsáætlanir sniðnar að þínum rekstri.
Þessi grein er til almennrar fræðslu. Hafðu samband við netöryggissérfræðing til að fá sniðnar ráðleggingar fyrir þinn rekstur.
