A Magyarország Nemzeti Biztonsági Stratégiájáról szóló 1035/2012 (II.21.) kormányhatározat előírja az elektronikus információs rendszerek biztonságának erősítését, a létfontosságú nemzeti információs infrastruktúra védelmének fokozását, továbbá a megfelelő kibervédelem kialakítását. A Közigazgatási és Igazságügyi Minisztériumban úgy vélték, hogy a világban a közelmúltban tapasztalt jelenségek indokolják, hogy ennek keretében – szakmai összefogással – elkészüljön egy korszerű magyar információbiztonsági törvény is.
Marosvári Gábor - termékmarketing-menedzser, BalaBit IT Kft.
A BalaBit az IVSZ és a 7pecsét Információbiztonsági Egyesület tagjaként lehetőséget kapott, hogy véleményezze az elektronikus információbiztonságról szóló törvénytervezetet ("kibertörvényt"). A törvény célja a nemzeti adatvagyont és létfontosságú információs rendszereket kezelő állami szervek IT biztonsági követelményeinek meghatározása, illetve ezen rendszerek sérüléséből eredő károk megelőzése.
Mindenekelőtt le szeretnénk szögezni, hogy erre a szabályozásra olyan szüksége van a hazai közigazgatási szférának, mint egy falat kenyérre. Kicsit késve ugyan, de a magyar állam is felismerte, hogy rohamtempóban nőnek a kritikus nemzeti infrastruktúrákat (is) érintő biztonsági fenyegetések. Ráadásul a nemzetközi hadviselés színtere egyre inkább áttevődik a fizikai harctérről a kibertérre. Nyílt titok, hogy a nagyhatalmak, mint pl. USA, Kína vagy Oroszország már régóta több tízezres kiberhadsereggel rendelkeznek, amelyek a kibertámadások elleni védelemre, és ha kell, kibertámadásokra vannak berendezkedve. Persze mondhatjuk azt, hogy mi nem vagyunk tényezők a nagyhatalmak szemében, minket úgysem fognak megtámadni, de gondoljunk csak pl. az Észtország elleni 2007-es sikeres kibertámadásra. Valószínűleg ők is azt gondolták, hogy kis ország lévén relatíve biztonságban vannak....Tévedtek...
Átfogó, nemzetközi gyakorlatoknak megfelelő törvény készül
Miután átrágtuk magunkat a törvénytervezet szövegén, megállapítottuk, hogy egy átfogó, a céloknak megfelelő törvény készül. Egyetértünk az információs rendszerek törvényileg előírt biztonsági osztályba sorolásával, bár ismerve a közigazgatási rendszerek komplexitását és heterogenitását, arra fel lehet készülni, hogy ez egy hosszú és keserves munka lesz. A törvény értelmében az információs rendszerek biztonsági osztályba sorolása mellett meg kell határozni a rendszert kezelő szervezetek biztonsági szintjét is, és a két besorolásnak meg kell felelnie egymásnak – ez a megközelítés mindenképpen jó irány, és egybecseng a nemzetközi legjobb gyakorlatokkal.
Az állami szervekkel szembeni előírások is szigorodnak
Fontos, hogy a törvény az információs rendszerek védelmét ellátó szervezetekkel szemben is szigorú követelményeket állít. A nemzetközi szabványokkal (pl. ISO2700x) is egybecsengő előrelépés a rendszeres kockázatelemzés és a kockázatokkal arányos védelem kialakításának törvénybe foglalása.
Ezáltal talán szakíthat az iparág az adhoc, pillanatnyi igények – és büdzsék – által vezérelt, sokszor kaotikus biztonsági beruházások gyakorlatával, és egy átfogóbb, szisztematikusabb biztonságirányításra térhet át. Nagy kérdés azonban, hogy az érintett szervezetek hogyan fogják ezeket a követelményeket magukra nézve értelmezni. A törvény ugyanis egy általános jogi keretként szolgál, viszonylag kevés benne a definitív előírás, konkrétum. A tervezet például előírja az információs rendszerekben kezelt adatok bizalmasságának, sértetlenségének és rendelkezésre állásának zárt, teljes körű és kockázatokkal arányos védelmét.
Ezek az ún. CIA (Confidentiality, Integrity, Availability) alapelvek, amelyek az információbiztonság alaptéziseinek számítanak a szakmában. Annak a szervezet azonban, amely maximálisan meg akar felelni ezeknek az alapelveknek, mélyen a zsebébe kell nyúlnia, bár nyilván lehetnek – és lesznek – kompromisszumos megoldások is.
Nagy hangsúly a megelőzésen és képzésen
A törvénytervezet olyan logikai, fizikai és adminisztratív védelmi intézkedéseket vár el, amelyek támogatják a megelőzést, a figyelmeztetést, az észlelést, a reagálást és az eseménykezelést.
Értelemszerűen ezek közül a fizikai és adminisztratív intézkedések lesznek a könnyebben megvalósítható elemek, hiszen kézzel fogható, látható dolgokról van szó: házirendeket kell létrehozni, annak megfelelően működtetni a szervezetet, előírt fizikai biztonsági infrastruktúrát kell kialakítani, a felelősségi köröket élesen szét kell választani, képezni kell a munkatársakat stb. A rendszeres biztonságtudatossági képzések előírása nagy erénye a tervezetnek, hiszen végre felismerték a legfelsőbb szinten is, hogy ezen a téren mekkora hiányosságok vannak az államigazgatásban.
A végrehajtási rendeletek és a hatóság „segítheti” a megfelelést
Sokkal nehezebben megfoghatók azonban a logikai szintű intézkedések, amelyek az információs rendszerekhez való hozzáférést felügyelő és szabályozó mechanizmusokat fedik. E körbe tartoznak a tűzfalak, behatolásmegelőző rendszerek, titkosítás, naplózó megoldások, jelszókezelő és tevékenységfelügyelő eszközök stb.
Nehéz a fentiek előírásoknak megfelelő kombinációját megtalálni, megvan tehát a veszélye, hogy sokan sokféleképpen fogják ezeket a szabályokat figyelembe venni (vagy nem venni)... Sokat segíthetnek viszont ezen a végrehajtási rendeletek, illetve a törvény által létrehozott Nemzeti Elektronikus Információvédelmi Hatóság remélhetőleg áldásos tevékenysége.
A törvény szabályozási céljának szempontjából lényeges azonban, hogy ez a hatóság ne csak egy adminisztratív szerv legyen, hanem érdemi felügyeleti munkát is végezzen, és hatásos szankciókat is alkalmazzon szükség esetén.
Mindent egybevetve üdvözöljük a törvénytervezetet, a jogalkotó alapvető céljaival egyetértünk, és a jogszabály mihamarabbi elfogadását támogatjuk.
