„Magyarországon még az idén törvénybe foglalják a távközlési szolgáltatók kötelezettségét, hogy a személyes adatokat érintő biztonsági incidensekről értesítsék a hatóságot és az érintetteket. A jogszabály alapjaiban rendezheti át a hazai IT-biztonsági állapotokat, de még csak találgatni lehet, pontosan hogyan.
Az Európai Parlament még 2009 végén fogadott el egy direktívát, amely többek között kötelezővé teszi a tagországokban működő távközlési szolgáltatók számára, hogy a személyes adatokat érintő biztonsági incidensekről értesítsék az előfizetőket és a kijelölt állami hatóságot. A direktíva értelmében a tagállamoknak 2011. május 25-ig kell törvényt hozniuk erről, Magyarországon ez egyelőre nem történt meg, de előkészítés alatt áll és várhatóan az ősszel lép életbe az elektronikus hírközlésről szóló törvény módosításaként. Hogy az új szabályozásnak milyen hatásai lehetnek, arról Keleti Arthurt, a KFKI IT-biztonsági stratégáját kérdeztük.
HWSW: A hazai és nemzetközi sajtóban az elmúlt hónapokban több nagy horderejű IT-biztonsági incidens is a vezető hírek közé került, a Sonytól több mint százmillió felhasználó személyes adatait lopták el, az RSA-tól pedig a kétfaktoros azonosítási megoldásukkal kapcsolatos információkat zsákmányoltak bűnözők. Magyarországon az Elender több mint tíz évvel ezelőtti feltörése óta egyetlen biztonsági incidensről sem hallani, mi lehet ennek az oka?
Keleti Arthur: Ennek az oka, hogy egyelőre semmi sem kötelezi a szervezeteket arra, hogy az IT-biztonsági incidenseket nyilvánosságra hozzák és Magyarországon nem honosodott meg az a gyakorlat sem, hogy ha szembenézünk a hibákkal, akkor jobban ki tudjuk őket javítani. Tehát sem belső motiváció, sem külső erő nem késztet senkit. Az Egyesült Államokban már 2003-ban hoztak törvényt arról, hogy a személyes adatokat érintő biztonsági incidensekről értesíteni kell az érintetteket, ezt a legtöbb állam kisebb-nagyobb eltérésekkel be is vezette, van, ahol a papíron tárolt adatokra is vonatkozik, van ahol csak az elektronikusan tároltakra.
Ezeknek az intézkedéseknek a vezérelve nem az, hogy az IT-biztonsági szakma jól összekacsinthasson és azt mondhassa, lám-lám, mi tudtuk hogy ez a rendszer sérülékeny és most be is bizonyosodott, hanem hogy a felhasználókat és az adataikat megvédjék…
Egy szóval mivel senki sem kötelezi a szervezeteket, nem tudni arról, milyen biztonsági incidensek történnek, és az érintetteket sem értesítik. Ezért üdvös erre valamilyen szabályt hozni, de ebben nem csak a szankciókat kell rögzíteni, hanem azt is ki kell kötni, hogy a szervezeteknek milyen feltételekhez kell tartaniuk magukat. Az uniós direktívában benne van, hogy a kijelölt hatóságnak azt is meg kell határoznia, mit vár el, és ennek a betartását ellenőriznie is kell – már ettől sokat javulhat az IT-biztonság, nem a szankciók miatt, hanem mert a cégek végre tudni fogják, mihez tartsák magukat.”
Forrás:
Itthon is be kell jelenteni az IT-biztonsági incidenseket, HWSW.hu, Bodnár Ádám, 2011. június 3.
Az Európai Parlament és a Tanács 2009/136/EK irányelve ( 2009. november 25.)
az egyetemes szolgáltatásról, valamint az elektronikus hírközlő hálózatokhoz és elektronikus hírközlési szolgáltatásokhoz kapcsolódó felhasználói jogokról szóló 2002/22/EK irányelv, az elektronikus hírközlési ágazatban a személyes adatok kezeléséről, feldolgozásáról és a magánélet védelméről szóló 2002/58/EK irányelv és a fogyasztóvédelmi jogszabályok alkalmazásáért felelős nemzeti hatóságok közötti együttműködésről szóló 2006/2004/EK rendelet módosításáról
