Kibervédelem Magyarországon: áldás vagy átok?
A magyar Országgyűlés április 15-én elfogadta az állami és önkormányzati szervek elektronikus információbiztonságáról szóló törvényt, becenevén az infobiztonsági törvényt. Hosszú idő óta ez az első tisztán informatikai tárgyú jogszabály, így sokan várták a megjelenését. És érthetően, érezhetően megjelentek azok a kérdések is, melyekre válaszokat kell adni.
A törvény akkor sikerült jól, ha a jogszabályt és annak hatásait mindenki megérti és megérzi, legyen az állami szerv, piaci szereplő vagy állampolgár. Következzen tehát egy szubjektív elképzelés arról, mit is fog mindannyiunknak jelenteni a 2013. évi L. törvény a következő tíz évben!
Miért volt rá szükség?
Az első kérdés általában az, hogy mi indokolta a szabályozást? A válasz egyszerű: a helyzet. Magyarország a világ számos országához hasonlóan kiemelt nemzetbiztonsági kérdésként tekint a kiberbiztonságra. Nem véletlen, hogy az USA és Kína között jelenleg folyó tárgyalások egyik fontos eleme ez a terület, és hogy a szakértők folyamatosan figyelmeztetnek arra, hogy a két Korea közötti konfliktus akár komoly informatikai háborúba is torkollhat – utolsó lépésként egy esetleges fegyveres összecsapás előtt. Függünk tehát informatikai rendszereinktől, még akkor is, ha ezt közvetlenül nem érezzük.
Magyarországon egyébként legalább 30 évre tekint vissza az információbiztonság szabályozása, adott volt tehát minden ahhoz, hogy ezt a tradíciót folytatva a világon elsők között jöjjön létre egy kimondottan az elektronikus információs rendszerek védelméről szóló törvény. Már csak azért is, mert ezt megelőzően nem volt érvényben egyetlen olyan jogszabály sem, ami a közigazgatás informatikai biztonságáról rendelkezett volna. Ráadásul van egy viszonylag friss kritikus infrastruktúra védelmi ("létfontosságú rendszerelem védelmi") törvényünk is, melyhez jól passzolt a kritikus információs infrastruktúrák ("létfontosságú információs rendszerelemek") szabályozása. És volt nekünk néhány olyan szervünk, amelyek a kibervédelemmel foglalkoztak, igazából szabályozatlanul. Az új törvény legfontosabb rövid távú hatása az, hogy jogalapot teremt a közigazgatás és a kritikus információs infrastruktúrák védelmére.
De vajon kibervédelemről szól-e ez a törvény? Részben igen, de nem egészen. A parlamenti vitában az ellenzék részéről elhangzott legfontosabb szakmai kritika az volt, hogy ez a jogszabály nem fedi le a teljes kibervédelmet. Részben igazuk van, de megnyugtatásként jegyezzük meg, hogy ezt eddig a világon sehol sem oldották meg, ráadásul a biztonságpolitikai helyzet sem olyan Magyarországon, hogy ez azonnali feladat lenne. A szabályozás jó alapot ad arra, hogy kiépüljön az a kultúra, az a szervezetrendszer és az a műszaki védelem, amire néhány éven belül nagy biztonsággal rá lehet ültetni azt a kibervédelmi szabályozást, mely a hiányzó elemeket, így az ország összehangolt támadása során szükséges lépéseket tartalmazza.
Ünnepi mix a bértranszparenciától a kódoló vezetőkig Négy IT karrierrel kapcsolatos, érdekes témát csomagoltunk a karácsonyfa alá.
Itt érdemes megjegyezni, hogy a nemzetközi jogi szabályozás sem érett még erre, hiszen az idén márciusban kiadott, a kiberháborús jogot részletező Tallin Manual is egyelőre csak a jogászok ötletelése. Jobban is tesszük, ha ezzel a résszel megvárjuk az amerikai vagy az EU mintákat és csak utána lépünk! Addig is tegyünk nagyon sokat a klasszikus biztonsági incidensek, a kiberkémkedés, a kiberbűnözés és a kiberterrorizmus ellen! A kiberháborús készülődés még ráér.
Ki érintett?
A következő kérdés, hogy kire terjed ki a szabályozás? A teljes közigazgatásra, ahogy a címe is mutatja. És még a kis „meglepetésekre”, melyekről hajlamosak vagyunk megfeledkezni, pedig a törvény lényegét ezek a szervek adják. Mindenkire, aki az állam és az önkormányzatok számára adatkezelést végez. Mindenkire, aki a nemzeti adatvagyon adatfeldolgozója. És mindenkire, aki kritikus információs infrastruktúra (pardon, létfontosságú rendszerelem). Azaz mindenkire, akiktől az ország működése függ.
Az egyik legkomolyabb kérdés, hogy pontosan kikből is áll ez utóbbi kör? Egyelőre nem lehet tudni, hiszen még nincsen kataszter a kritikus információs infrastruktúrákról, de az állam ezzel a szabályozással olyan lépéskényszerbe került, ami évek óta érik: ki kell ezeket jelölni! Ráadásul a jogszabály finomsága az is, hogy a megfogalmazás szerint nem csak informatikai rendszerekről van szó, az elektronikus információs rendszerek közé tartozik a távközlési hálózat, a telemetria, az ipari termelésirányítás rendszerei (SCADA), a GPS rendszerek - minden, amitől az ország gazdasága és társadalma működőképessé válik. A törvény tehát nagy hatással lesz az intézmények széles körére, ha a jogalkotó eredeti szándékai teljesülnek- de erre még visszatérünk.
Szintén a parlamenti vita egyik sarkalatos pontja volt a „Nagy Testvér” effektus felemlegetése. Érdekes felvetés, bár mérnök ésszel nehéz belelátni ezt a jogalkotói (hátsó) szándékot. Mivel az erre jogosult hatóságnak jelenleg is megvannak a törvényes keretei bizonyos állampolgárok elektronikus tevékenységének megfigyelésére, semmi sem indokolja, hogy ez a jogszabály további jogokat adjon az államnak. Nem is ad. Sőt, a szervezeteknél a jól működő információbiztonsági rendszer olyan kontrollt jelent, mely éppen hogy elősegítheti a szervezet működésének transzparensebbé válását, ezzel az információszabadságról és információs önrendelkezésről szóló jogszabály egyik lábát hatásosan tudja támogatni, ha erre igény és akarat mutatkozik. De feltétlenül oda kell figyelni minden jogvédőnek arra, hogy ezek az adatvédelmi aggályok ne következhessenek be.
Végül még egy érdekes aspektusa volt a vitának, ez pedig az olyan új technológiák, mint a felhő szabályozásának hiánya. A helyzet az, hogy a cloud használata megengedett, lásd a törvénynek azt a részét, mely „az Európai Unió tagállamainak területén belül üzemeltetett elektronikus információs rendszerekre” vonatkozik. Azonban jogtechnikailag az a szó, hogy "cloud", nem leírható. A törvényt pedig időtállónak szánták, ki tudja, néhány év múlva mi lesz a legújabb buzzword? Három fontos megkötés van tehát a clouddal kapcsolatban. Egyrészt a felhőszolgáltató adatközpontjának az EU területén belül kell lenni, másrészt a szolgáltatónak magyar képviselővel kell rendelkeznie, harmadrészt a kockázatok megismerése után a hatóságnak a cloudhasználatra engedélyt kell adnia. Jelen ismereteink szerint ezek az intézkedések nem fogják megakadályozni a cloud használatát, egy majdani közigazgatási felhő pedig kimondottan jól illeszkedne a törvény szellemiségéhez.
Mit várhatunk a törvénytől?
Egyelőre sok és felelősségteljes munkát. Ez egy nagyon nehezen megszületett alap, amire nem mindegy, hogy milyen épületet húz fel a szakma és az állam közösen. Jelen pillanatban a magyar információbiztonsági piacot a sok éhes eszkimó állapotával lehet jellemezni, akiknek feltűnt néhány sovány fóka a távolban. Ha mindenki, az állam, a piac, a politika, a média és aki még érintett, türelmes és egymással együttműködő lesz, akkor néhány éves távlatban nem csak az ország kiberbiztonsága lesz mintaértékű másokhoz képest, de olyan járulékos előnyöket is elérhetünk, mint a biztonságtudatos társadalom (amit a szervezetnél megtanulunk, otthonra is átszivárog), a piaci életpálya-kilátással is rendelkező közigazgatási informatikusok (nemzetközileg is értékelhető oktatás a felelősöknek) és a nemzetközileg is versenyelőnnyel bíró magyar informatikai ipar (ami képes a biztonságos fejlesztésre, ami egyre inkább elvárás a világ minden részén).
A jogszabály tervezhető pályát kínál a szervezeteknek. Nem azonnal kell minden követelménynek megfelelni, erre évek állnak rendelkezésre, és az állam ígéretet tett arra, hogy ezt a felkészülést oktatással és beszerzési támogatással is támogatja. Az elvárások ráadásul abba az irányba mutatnak, hogy védelmi intézkedéseket pontosan a szervezetre lehet majd szabni, azaz egy kis önkormányzatnak nem kell csillagháborús terveket szőnie, akár ingyenes és nyílt forráskódú szoftverekkel is megoldhatja a védelmét. Ezért sokkal nagyobb hangsúlyt kap az, hogy a megfelelő szervezeti kultúra és belső szabályozás létrejöjjön. Na, ehhez kell sok türelem és segítség!
Hosszú felkészülésről írtunk, de nem szabad elfeledni azt, hogy az azonnali beavatkozás lehetősége is adott. Ha a nemzet biztonságát egy szervezet nem megfelelő kibertérbeli működése veszélyezteti, akkor az állam akár azonnal beavatkozhat. A hatóság auditálással, a Nemzeti Biztonsági Felügyelet pedig sebezhetőség-vizsgálatokkal folyamatosan nyomon fogja követni a felkészülés folyamatát. Jelen tudásunk szerint tehát, a jelenlegi szervezeti rendszerrel, melybe a CERT Hungary is beletartozik, a potenciálisan veszélyes szituációkat bizonyos mértékig már most is kezelni tudja az ország. A megfelelő, célzott képességfejlesztéssel ez a védelmi szint rövid távon növelhető.
Megemlékeztünk már a transzparenciáról. A jogszabály az információvédelemért való felelősségeket a szervezeten belül tartja, azok külső szolgáltatónak nem adhatók át. Ráadásul a külsősök szerződéses kötelmei között meg kell jelenniük az információbiztonsági szabályoknak is. Ez lehetőséget ad arra, hogy a biztonságos működés mellett egyfajta kulturális változás is létrejöhessen, hiszen minden összetevő adott lesz egy kontrollált működési környezet létrehozásához a teljes közigazgatási szférában. Az már csak politikusainkon múlik, hogy erre a kontrollra mennyire kívánnak építeni.
A buktatókról
Természetesen a lehetséges buktatókat is fel kell sorolni, úgyhogy nézzük meg, mi a pesszimista jóslatunk: nem vitás, hogy az ilyen típusú törvényeknek az érintett szervek egy része megpróbál „keresztbefeküdni”. Eszerint a rossz forgatókönyv szerint a szervek elkezdenek ellenállni, nehézségeket emlegetni, aminek hatására a követelmények a gyakorlatban elkezdenek puhulni. Erre jönnek majd a „trükkös megoldások” a megfelelés érdekében, amit egyes piaci szereplők még segíteni is fognak. A papíron megfelelő védelem mellett mégis történnek majd incidensek, amikről jobb lesz nem beszélni. De mivel az incidensek hatása számottevő, a politika rájön, hogy a szabályozás rossz, és újat kell alkotni. Évek telnek el, milliárdok úsznak el, a célt mégsem sikerült elérni.
Mi az optimista jövőkép? Ahogy írtuk, türelem és együttműködés. Most az előttünk álló legfontosabb feladat a végrehajtási rendeletek megalkotása, melynek véleményezésébe az eddigi tapasztalatok szerint a mérvadó civil szervezeteket is bevonják. Miután ezek elkészültek, elkezd működni az intézményrendszer és beindulnak az oktatások is. Ezeket egy-két éven keresztül biztosan finomhangolni kell, így különösen a hatóság által megfogalmazott követelmények lesznek érdekesek. Ebben a folyamatban szorosan együtt kell működnie minden szereplőnek, annak érdekében, hogy az építmény erős és mutatós legyen. Ha ez az együttműködés nem történik meg, akkor az egész rendszer kártyavárként omolhat majd össze, legalábbis az eredeti célokat nem lehet vele elérni.
És ugyanez fog megtörténni akkor is, ha a szereplők nem lesznek elég türelmesek. A sok éhes eszkimó pillanatok alatt le tudja vadászni azt a néhány sovány fókát, de akkor azok már nem fognak tudni meghízni és szaporodni. Mind a piaci szereplők, mind az intézmények képesek olyan helyzetet teremteni, ami beindítja az intézményi ellenállást, és ezzel elindul a buktatók ördögi köre. Egy olyan lehetőség van országunk előtt, mely kiemelkedően sikeres minta lehet egy érezhetően forró területen a világ számos országának. Sokan, sok munka árán megtették az első fontos lépést. Innen következik a neheze. Kérjük, ne rontsuk el!
Dr. Muha Lajos, Dr. Krasznay Csaba