Új hatóság vigyázná a magyar internet gerincét

A Közigazgatási és Igazságügyi Minisztérium kedden bocsátotta társadalmi vitára az elektronikus információbiztonságról szóló törvény tervezetét, amely szerint a kormány jövő tavasztól egy új hatóságot hozna létre. Ennek neve Nemzeti Elektronikus Információvédelmi Hatóság lenne, és elsősorban a közigazgatásban működő informatikai és távközlési rendszerek épségét és stabil működését felügyelné. Ezen kívül az országos szintű távközlési cégek vagy közműszolgáltatók kritikus rendszereinek biztonságát is vizsgálná, hiszen ezek működésképtelenné válása is komoly károkat okozhat az országnak - mondta az [origo]-nak Krasznay Csaba kibervédelmi szakértő.

Dr. Ormós Zoltán infokommunikációs ügyvéd örvendetesnek tartja az információvédelem fokozását célzó törvényt, azonban kiemelte, hogy annak rendelkezései leginkább a közigazgatási szervekre vonatkoznának. Ennek következtében az új törvény közvetlenül nem védené a magyar állampolgárt és a vállalkozásokat, pedig a szakember szerint erre is szükség lenne, hiszen az átlagemberek többsége nem fordít kiemelt figyelmet számítógépe vagy adatainak védelmére.

Megbírságolnák az adatainkra nem vigyázó cégeket

A szaktárca elképzelései szerint az új hatóság az ország számára nagy jelentőségű szolgáltatásokat működtető szervezeteket és rendszereket több kategóriában is biztonsági szintekbe sorolná. Egytől ötig rangsorolnák a rendszereket, a tárolt adatok sértetlenségének, bizalmas tárolásának, illetve a működés folyamatosságának szükségessége szempontjából. Például egy megyei jogú város valamilyen önkormányzati nyilvántartása még nem tartozna a legjobban védendő, ötös kategóriába, hiszen leállása, vagy az adatok sérülése nem okozna országos szintű problémát. Egy ilyen rendszer sem sorolható azonban a legalacsonyabb kategóriába, hiszen ha egy kémprogramon keresztül illetéktelenek is hozzáférhetnek egy önkormányzati PC-hez, akkor a központi kormányzati rendszerekbe is manipulált adatok kerülhetnek. Az új hatóság egy ilyen szinten nagyjából a vírusvédelmi és biztonsági szoftverek használatát, és a biztonsági mentés gyakori készítését írná elő, ez ugyanis sok kis település önkormányzatán ma még nem bevett gyakorlat.

Infógondnokot küldenének a PC-vel bénázó önkormányzatokhoz

A rendszerek biztonsági auditját az információvédelmi hatóság, a támadhatóságuk vizsgálatát, illetve az incidensek kezelését pedig társszervezetei, a már létező Nemzeti Biztonsági Felügyelet, és a jelenleg Nemzeti Hálózatbiztonsági Központ nevet viselő kormányzati hálózatbiztonsági központon keresztül végezné el, amely a tervezet szerint új néven - Kormányzati Számítástechnikai Sürgősségi Reagáló Egység - folytatná működését.

Ha ezektől a szervezetektől a hatóság úgy értesül, hogy egy országos jelentőségű szolgáltatást működtető piaci cég nem megfelelően védi rendszereit és az azon lévő adatokat, akkor az információvédelmi hatóság a tervek szerint megbírságolhatná. A közigazgatás részét képező szervezetek, így például az önkormányzatok esetén a hatóság nem bírságolna, hanem információvédelmi gondnokot küldene ki az informatikai gondokkal küzdő intézményekhez: az alapvető biztonsági hibák elhárítását elvégző szakértő munkájának költségét azonban azoknak saját büdzséjükből kellene fizetnie.

Krasznay Csaba elmondta, hogy a tervezetben célul tűzték ki azt is, hogy az összes közigazgatási intézménynél és kritikus információs infrastruktúránál kötelező legyen információvédelmi felelőst kijelölni, aki a hatósággal való kapcsolattartásban működne közre: neki kötelező lenne jelentenie a később meghatározásra kerülő informatikai incidenst, amely az adott rendszert érte. A hármas biztonsági szintig, ami példánk alapján egy önkormányzaténak felel meg, egy ilyen felelőst Krasznay szerint néhány hetes, vizsgával záruló tanfolyamon ki tudnának képezni, ennek költségét a pedig az államnak kéne állnia.

A komolyabb, négyes vagy ötös szintű rendszerek - például egy távközlési cég országos hálózata - esetében már sokkal magasabbak az elvárások. A szakértő szerint azonban a felsőbb szinteken érdemes lenne kiválthatóvá tenni a nemzeti kibervédelmi vizsgákat nemzetközileg elismert it-biztonsági vizsgákkal az információvédelmi felelősök számára. Évente viszont számukra is kellene kormányzati képzéseket szervezni, amelyeken például kiberháborús támadások elhárítását is oktatnák, ami a hagyományos tananyagoknak nem része - magyarázta az [origo]-nak Krasznay Csaba.

A felhőbe kerülő magyar adatokat is óvnák

A törvénytervezetben az is szerepel, hogy az információvédelmi hatóság felügyelni kívánja a számítási felhőkben, tehát akár egy másik országban működő szervereken tárolt közigazgatási adatok kezelését is. Ez nem azt jelenti, hogy például a Facebook használatát kötnék hazai engedélyhez, hanem azt, hogy az hatóság engedélyezné, hogy egy-egy kritikus feladatot ellátó szervezet igénybe vehet-e külföldi felhőszolgáltatásokat - ezek ugyanis sokszor költséghatékonyabban használhatók a helyi tárolásnál. Manapság már például az Office programból is létezik interneten keresztül nyújtott, a fájlokat felhőbe mentő változat, míg az Amazon cég például olcsó, felhőalapú biztonsági mentésre alkalmas szolgáltatásokat kínál. Az ilyen szolgáltatásokat a tervezet értelmében csak bizonyos biztonsági szinten engedné használni a hatóság akkor, ha az adott felhőszolgáltató rendelkezik magyarországi képviselővel, akit az esetleges incidensekkel kapcsolatban meg lehet keresni.