Internetközigazgatási informatika

Felkészült-e Magyarország egy kibertámadásra?

Szerző: 2013. május 6.No Comments

„Az E-közszolgálati Fejlesztési Intézet és az E-közszolgálati TDK szervezésében 2013. április 24-én tartott kerekasztal-beszélgetés meghívott vendégei Dr. Péterfalvi Attila főiskolai docens, a NAIH elnöke, Dr. Muha Lajos mk. alezredes, főiskolai tanár, Dr. Krasznay Csaba adjunktus, a HP Magyarország informatikai biztonsági tanácsadója, Dr. Szádeczky Tamás adjunktus, IT biztonsági és audit tanácsadó, valamint Törley Gábor egyetemi tanársegéd voltak.

A beszélgetés fő témái a következők voltak:

Adatvédelem és/vagy információbiztonság
Meghívott szakértőink mindannyian egyetértettek abban, hogy a két fogalmat nem lehet egymással szembeállítani, azok csak együttesen értelmezhetőek. A NAIH ilyen kérdések vizsgálatakor elsősorban az alapjogvédelmi funkcióját emeli ki.

Fontos a személyes adat, üzleti titok és egyéb titkok védelme, de a biztonság mellett a sérthetetlenséget is védeni kell (valós és hiteles legyen az adat).

Mindig kényes kérdés a szabályozása, ha megengedő a jogszabály, akkor felmerülhetnek aggályok, hogy nem nyújt elég védelmet, ha túl szigorúak a szabályok, akkor a túlzott állami kontroll, megfigyelés ellen hallhatók ellenérvek.

Adatvédelmi auditálás
Megtudhattuk, hogy az adatvédelmi auditálást a NAIH is végezhet. Ez egy piaci szolgáltatás, amelyet Európában csak kevés országban végezhet hatóság. A NAIH kérelemre ellenőrzi a piaci szereplő, vagy akár hivatal meglévő vagy tervezett adatkezelésének védelmét (a vizsgálat összege maximum 5 millió forint, amely a NAIH saját bevételének minősül). Magyarországon az ír megoldást adaptálta, 2013. január 1. óta az adatkezelést a Hatóság jogszabályi szempontból vizsgálja, azonban 2014. január 1-től adatbiztonsági auditálást is végezhet.

Ellenvéleményként megismerhettük a piaci adatvédelmi auditálás módját, amely jelenleg hatékonyabb, mint a Hatóság által végzett munka, mivel jelenleg a piaci szereplők egyszerre vizsgálhatják az adatvédelem jogi megfelelőségét és az IT biztonságot is. Erre a feladatra különböző hagyományos, műszaki szabványokból állítottak össze egy követelményrendszert, amely alapján le lehet vezetni az auditálás módszertanát. Ezen felül jogszabályokban nehéz meghatározni az adatvédelmi auditálás követelményrendszerét, mivel nem elég egyes funkciók megléte, hanem a rendszer együttes működőképessége a legfontosabb.

Kibertámadás
Megtudhattuk, hogy Magyarországon a belső támadás elhárításáért a Belügyminisztérium, míg a külső támadásért a Honvédelmi Minisztérium a felelős. Ezen felül legalább 11 különböző szerv foglalkozik hasonló védelemmel. A kibertámadás elleni védekezést nagyban hátráltatja, hogy nincs jogszabály, ami definiálná, hogy mit is takar pontosan ez a fogalom. Kibertámadás jellege sokrétű lehet, ide sorolhatjuk kiberbűnözést, kiberkémkedést, kiberhadviselést. Ezeket a kategóriákat nehéz jogilag definiálni, de a nemzetközi jogban már akadnak próbálkozások (NATO doktrina, Tallin Manual) További probléma, hogy ezek a támadások látszólag ártalmatlan IP címről történnek. Ilyen támadások ellen a CERT lép fel, informális módon működik ezen tevékenysége és akár 8 órán belül képes megszüntetni a támadást. Muha Lajos példának említette, hogy ha ilyen esetben a rendőrség járna el, az eljárás 6-9 hónapig is eltarthatna.

Felhőben tárolt adatok biztonsága
A felhőben tárolt adatok védelmére jelenleg nincs nemzetközi egyezmény, valamint az adatvédelem is nehezen biztosítható (például hazai felhőben tárolt adatok külföldi szerveren futnak). A saját felhőben tárolt adat biztonságát tudjuk csak garantálni.

A közigazgatás számára nagy haszonnal járna, ha a felhő előnyeit ki tudná használni (az új Infóbiztonsági törvény megteremti ennek alapjait), de ehhez két feltétel szükséges: auditálás, valamint olyan műszaki megoldások, amelyeket garantálják a biztonságot (naplózás, titkosítás).

A közösségi hálók veszélyei
A NAIH a jövőben reklámkampányt fog indítani a biztonságos internethasználatért. A közösségi hálók legnagyobb veszélye az, hogy ide mindenki önként tölt fel magáról információt. Ezek az információk később kikerülhetnek a közösségi hálón kívülre is, ami gondokat okozhat. Ennek kapcsán megismerhettük a „mém-képzés” fogalmát is. A legfontosabb az empátia lenne, hogy mindenki gondoljon bele, hogy vajon ő fordított helyzetben hogyan reagálna.

Nagy veszélye a közösségi hálók használatának, hogy a HR-esek állásinterjú előtt begyűjtenek a potenciális alkalmazottról minden lehetséges információt (ami egyébként jogellenes), és így egyesek hátrányba kerülhetnek állásinterjún, vagy akár a munkahelyükön is.

Az előadók az egyes témáknál több jó témát is javasoltak TDK kutatómunkához. A rendezvényt sikeresnek tekintjük, az NKE több karáról érkezett hallgatókat és oktatókat egyaránt érdekelte a téma.”

Forrás:
Felkészült-e Magyarország egy kibertámadásra?; Nemzeti Közszolgálati Egyetem; 2013. április 24.