„Több szervezet is osztozik abban a felelősségben, amely Magyarország kiberbiztonságának szavatolását jelenti. Az alábbi cikkben áttekintjük – legalábbis nagy vonalakban –, hogy melyek ezek a szervezetek és milyen feladatokat látnak el.
◼︎ Sokan egy célért
Január 1-jén hatályba lépett a „Magyarország kiberbiztonságáról” címet viselő törvény, amely egységes keretbe rendezi a több korábbi törvény és rendelet által szabályozott védelmi tevékenységet. Része ennek az állami intézményrendszer és a feladatok, felelősségek átgondolása és átszervezése is.
Nézzük meg, hogy kinek milyen feladata van a nagy képet tekintve! (Az alábbi felsorolásból természetesen hiányoznak mindazok a piaci szereplők, amelyek szolgáltatóként látják el egy-egy vállalat vagy szervezet első szintű kiberbiztonsági védelmét.)
Nemzeti Kiberbiztonsági Munkacsoport
A legfelsőbb, stratégiai szinten a 2013 óta létező Nemzeti Kiberbiztonsági Koordinációs Tanács áll, amely ebben a formájában hamarosan megszűnik. A Tanács tagjait az egyes minisztériumok és a kiberbiztonsági hatóságok delegálták, egyik legfontosabb feladata a mindenkori nemzeti kiberbiztonsági stratégia kidolgozása, a végrehajtás részfeladatokra bontása és nyomon követése volt. Szintén a Tanácsot jelölték ki arra, hogy kiberbiztonsági témákban tanácsokkal szolgáljon a kormány számára.
Az új törvény hatályba lépése után újjáalakuló szervezet neve Nemzeti Kiberbiztonsági Munkacsoport lesz, amelyet a kiberbiztonságért felelős biztos vezet majd; a biztost az informatikáért felelős miniszter jelöli ki. Hasonlóan elődjéhez, a Munkacsoport kiberbiztonsági kérdésekben a kormány javaslattevő és véleményező szerve lesz, valamint gondoskodik a törvényben és a rendeletekben meghatározott tevékenységek összehangolásáról. A tervek szerint kiberbiztonsági témájú jogszabály módosítását vagy új jogszabály kezdeményezését csak a Munkacsoport és a kiberbiztonságért felelős biztos véleményét kikérve lehessen megtenni. (Pontos feladatait az új törvény végrehajtási kormányrendelete szabályozza.)
Munkáját segítik majd az almunkacsoportok, és feláll egy operatív törzs is. Utóbbinak fontos szerep jut: ez a szervezet jogosult arra, hogy egy bekövetkezett nagyszabású kiberbiztonsági incidenst magasabb szintre eszkaláljon és kiberbiztonsági válsághelyzetté nyilvánítson, amely számos azonnali intézkedés bevezetését teszi lehetővé. Válsághelyzetet idézhet elő egy hazai kormányszervet vagy kritikus infrastruktúrát érintő jelentős támadás, vagy egy enyhébb incidens, ha az Magyarországon kívül még legalább egy EU-tagországot érint. Az operatív törzsben helyet kap a Védelmi Igazgatási Hivatal képviselője is: a hivatal az általános válságkezelésben játszik fontos szerepet, így ebbéli minőségében vállal részt a kiberbiztonsági válságok elhárításában.
Szintén a munkacsoport keretein belül működik majd az eddig is létezett Nemzeti Kiberbiztonsági Fórum, amely a nem kormányzati szereplőkkel való együttműködés megvalósítására szolgál.
Nemzeti Kibervédelmi Koordinációs Központ
Viszonylag friss, és egyelőre kissé hányatott sorsú szereplője a kibervédelemnek a tavaly létrehozott Nemzeti Kibervédelmi Koordinációs Központ (NKK-HU). A központ feladata, hogy magyar tagja és kapcsolattartó pontja legyen az európai Nemzeti Koordinációs Központok Hálózatának, és az Európai Kibervédelmi Kompetencia Központtal (ECCC-vel) együtt fejlessze és erősítse a kiberbiztonságot nemzeti és európai szinten.
A tavalyi kormányrendelet a Kormányzati Informatikai Fejlesztési Ügynökséget (KIFÜ-t) jelölte ki a központ létrehozására, azonban a KIFÜ tavaly december 31-én megszűnt, feladatait más szervezetek vették át. Az új törvény alapján a végrehajtási kormányrendelet a Nemzetbiztonsági Szakszolgálatot jelölte ki az NKK-HU feladatainak átvételére.
Szabályozott Tevékenységek Felügyeleti Hatósága
Az SZTFH egy évvel ezelőtt került reflektorfénybe, amikor megkezdődött a NIS2 irányelv gyakorlatba való átültetése: ennek lebonyolítása – legalábbis a piaci szereplők tekintetében – a hatóság feladata.
Sokrétű feladatkör hárul az SZTFH-ra. Befogadta és elbírálta a NIS2 hatálya alá tartozó szervezetek regisztrációs kérelmeit – 2024. januárjától mostanáig 3000-3500 kérelmet bíráltak el, és a későbbiekben a hatóság kötelessége lesz, hogy az irányelv hatálya alá bekerülő szervezeteket regisztrálja. Hatóságként alapvetően nem végez majd ellenőrzéseket az érintetti körnél az SZTFH – ez a kijelölt auditorokra hárul majd, de ezeknek az auditoroknak a felügyelete már a hatóságra tartozik. Hasonlóképpen felügyeli az SZTFH a sérülékenységvizsgálatra és az incidenskezelésre jogosult szervezeteket. A fenti szervezetek között lehetnek majd átfedések – az auditorok minden bizonnyal végezhetnek majd sérülékenységvizsgálatot, de ez fordítva ritkán működik majd, mert az auditorokra szigorúbb szabályok vonatkoznak.
Gyakorlat indul!
Az NKI már évek óta szervez kibervédelmi gyakorlatokat – az új törvény annyi újdonságot hoz ebbe, hogy a gyakorlat kötelezően előírható lesz. Ezek során elsősorban az embereket és a védelmi eljárásokat, vagyis az incidenskezelési képességeket tesztelik, nem annyira a technikai sérülékenységet. A gyakorlatozó szervezet szakembereivel egyeztetve, védett, zárt környezetben előidéznek egy incidenst, amelyet a csapatnak meg kell oldania. A gyakorlat végén az NKI részletes visszajelzést ad, de ennél is fontosabb, hogy a résztvevők egymás között megbeszéljék és értékeljék a tapasztalatokat. Nagy előny ennek, hogy biztonságos körülmények között teszi lehetővé a csapatok összecsiszolódását és az eljárások tesztelését. A gyakorlatok a leghatékonyabb eszközök egyike a szervezeti kiberbiztonság tesztelésére és növelésére.
Az új törvény bizonyos szervezetek számára előírhatja, hogy csak tanúsított IKT-termékeket és szolgáltatásokat vásárolhat, illetve vehet igénybe. Az ezeket tanúsító vállalkozásokat szintén az SZTFH felügyeli. Ugyancsak lesz feladata az SZTFH-nak a posztkvantum-titkosítással kapcsolatban is. A törvény megjelöl olyan szervezeteket, amelyek kötelesek posztkvantum (azaz kvantumszámítógéppel sem feltörhető) titkosítást alkalmazni. Emellett léteznek szervezetek, amelyek ilyen titkosítást szolgáltathatnak, mellettük pedig azok a tanúsítók, amelyek igazolják, hogy kínálhatnak ilyen szolgáltatást. A két utóbbi vállalati kör felügyelete is az SZTFH alá tartozik majd.
Alkotmányvédelmi Hivatal
Közvetett, de fontos szerep jut az AH-nak a hazai kibervédelemben. Számos olyan szervezet, személy, amelyet és akit az SZTFH felügyel hatóságként, az AH alapos vizsgálata után kerülhetnek a nyilvántartásba. Mindenképpen ilyenek a kiberbiztonsági auditorcégek (belőlük jelenleg kilenc van). Ezeknek komoly előírásoknak kell megfelelni, és nemzetbiztonsági megfelelésüket az AH igazolja. Hasonlóan jár el a sérülékenységvizsgálatra és a posztkvantum-titkosításra jogosult szervezetek esetén is.
Nemzetbiztonsági SzakszolgálatA négy kijelölt kiberbiztonsági hatóság közül az NBSZ – némi leegyszerűsítéssel – az állami szereplők védelmét látja el (kivéve, ha a honvédelem kötelékébe tartoznak). Feladatköre hármas: hatósági tevékenységek, incidenskezelés és sérülékenységvizsgálat. Szélesebb feladatkörrel bír, mint az SZTFH, hiszen ez utóbbi nem maga végzi az auditálást, a sérülékenységvizsgálatot és az incidenskezelést sem, míg az NBSZ mindhárom tevékenységet folytatja.
– Hatósági tevékenységek
Alapvetően bürokratikus jellegű tevékenység, a hatóság ellenőrzi, hogy az érintettnél megtörténtek-e a jogszabályban előírt védelmi intézkedések, elkészültek-e a szükséges dokumentációk, kijelölték-e a felelősöket.
– Sérülékenységvizsgálat
Sérülékenységvizsgálatot kétféle hatáskörben is folytathat az NBSZ-NKI. Hatóságként joga van ilyet végeztetni az ügyfeleinél (illetve azok is kezdeményezhetik a vizsgálatot). Ugyanakkor a törvény az NBSZ-t kijelölte állami sérülékenységvizsgáló szervezetnek is – ebbéli minőségében bármilyen vállalatnál, szervezetnél végezhet vizsgálatot, ha azt indokoltnak tartja.
Az általában egy-egy rendszerre kiterjedő, alapos, de manuális sérülékenységvizsgálatot más módszerekkel is kiegészíti az NBSZ. Működtet egy automatizált sebezhetőségdetektáló rendszert és szolgáltatást, amelyet a hozzá tartozó érintetti kör ingyenesen igénybe vehet. A rendszer havonta automatikusan ellenőrzi az internetről elérhető rendszerek legfontosabb sérülékenységeit, és erről rendszeres visszajelzést ad; ennek használatával a szervezetek jelentősen tudják csökkenteni kitettségüket.
Az új törvény egyik újítása, hogy az állami szektorban és az állami befolyás alatt álló szervezeteknél már a fejlesztési projekt során, az előírt pontokon kötelező lesz sérülékenységvizsgálatot végezni – ezt is az NBSZ-NKI folytatja le. Így nem egy kész rendszert kell esetleg utólag, nagy költséggel kijavítani, hanem már menet közben kiderülhetnek a gondok.
– Incidenskezelés
Az NBSZ-NKI a kijelölt nemzeti kiberbiztonsági incidenskezelő központ, más néven a nemzeti CSIRT (Computer Security Incident Response Team). Ez azért is fontos, mert nemzeti CSIRT-ből definíció alapján csak egy lehet, amely tartja a kapcsolatot a külföldi társszervekkel. (Ágazati CSIRT-ek létrehozására lenne lehetőség, de egyelőre csak egy ilyen létezik, a tudományos közösségben – ez a HUNCERT, amely a HUN-REN SZTAKI keretein belül működik.)
A nemzeti CSIRT egyik fontos feladata, hogy fogadja az érintettektől jövő incidensbejelentéseket. Az NBSZ saját (állami és önkormányzati) ügyfelei minden incidenst kötelesek jelenteni, az SZTFH felügyelete alatt állóknak csak a jelentős incidensekről kell számot adniuk. A NIS2 irányelv értelmében ez azt jelenti, hogy 24 órán belül a legfontosabb adatokat le kell jelenteni – ehhez az NBSZ űrlapot készít majd, megkönnyítve az adatszolgáltatást és -feldolgozást. 72 órán belül részletesebb jelentéssel kell szolgálni, amely már technikai információkat is tartalmaz, hogy azok alapján megelőző intézkedéseket lehessen hozni. Végül 30 napon belül le kell tenni az asztalra egy igen részletes jelentést, amely már az incidens óta foganatosított védelmi intézkedéseket is tartalmazza.
A másik fontos feladat a tényleges incidenskezelés. A szakemberek itt azonban hangsúlyozzák, hogy a cél nem az, hogy a nemzeti CSIRT legyen a teljes állami szektor incidenskezelő központja. Az incidensek elhárítása alapvetően az érintettek feladata lesz, akár saját csapattal, akár külső szolgáltatók igénybevételével. Ugyanakkor, ha az érintett nem tudja elhárítani az incidenst, kérhet segítséget, illetve a CSIRT is dönthet úgy, hogy beszáll a védekezésbe. Ugyancsak a CSIRT funkció részeként bonyolít le kiberbiztonsági gyakorlatokat a szakszolgálat. (Erről lásd keretes írásunkat!)
A honvédelmi szféra
A honvédelemmel kapcsolatos szervezetek esetében a hatályos jogszabályok alapján a hatósági feladatokat az idei évtől a honvédelmi miniszterhez rendelik, míg a Katonai Nemzetbiztonsági Szolgálat incidenskezelő szervként lép fel az ágazat tekintetében, valamint ellátja a sérülékenységvizsgálattal kapcsolatos feladatokat is, mint ahogy a termék- és szolgáltatástanúsítást is.
A Magyar Honvédség Kiberműveleti Parancsnoksága az egyik legfiatalabb szervezet ezen a listán, két évvel ezelőtt hozták létre a korábbi szemlélőségből. A szervezet fő tevékenysége, hogy a kibervédelem és a kiberműveletek területén meghatározza az MH képességeinek fejlesztéséhez szükséges stratégia irányokat, illetve hogy hadműveleti szinten vezesse a kiber- és információs műveleteket. Közvetlen alárendeltségében működik az MH Kiber- és Információs Műveleti Központja, amely egyebek mellett vezeti és irányítja a kiber- és az információs műveletekbe bevont erőket, együttműködik a szövetségesek hasonló szervezeteivel, valamint tervezi és irányítja a komplex információs környezetben történő feladat-végrehajtást.
Magyar Nemzeti Bank
A negyedik hazai kiberbiztonsági hatóság, amelynek hatásköre a hazai bankokra, pénzintézetekre terjed ki. A kiberbiztonsággal kapcsolatos előírásokat és feladatokat a DORA rendelet felhatalmazása és annak rendelkezései alapján végzi.”
Forrás:
Így épül fel Magyarország kibervédelme; Schopp Attila; IT Business; 2025. január 14.
