„Nemrégiben készült el Magyarország kiberbiztonsági stratégiája és az állami szféra elektronikus információbiztonságáról rendelkező törvény. Az alapelvekről, a célokról és a módszerekről kérdeztük Zala Mihályt, az NBF elnökét.
– Miért éppen most született meg a stratégia és a törvény? Nem késtünk el ezzel egy kicsit?
– Igen is, meg nem is. Régi adóssága volt ez az államigazgatásnak. Egyrészt jelentősen megerősödött a nemzetközi kiberterrorizmus és -hírszerzés, másrészt a korábbi évek kiszervezett informatikai feladatai után az állam vissza akarja szerezni a kibervédelmi képességeit. Az ország szuverenitásának védelme állami feladat, és az új stratégia ebbe beleérti a kibertér biztonságának garantálását is.Annyira nem is vagyunk elmaradva. A Miniszterelnökség koordinálásával megszületett, nemzeti kiberbiztonsági stratégia elfogadásában még az EU-t is sikerült megelőznünk, szakértőink pedig már több alkalommal dolgoztak az EU-nak vagy éppen a NATO katonai főparancsnokságának.
– Mi a legnagyobb hiányosság az állami szférában?
– Az emberi oldal, amely az összes sérülékenység 85 százalékát is okozhatja. A rendszergazda otthonról, a noteszgépén keresztül lép be a rendszerbe; a felhasználó kiragasztja a jelszavát; a vezető a magántelefonján is intézi a hivatalos levelezését; nem kötelező a jelszavak cseréje vagy az erős jelszavak használata. A technológiai problémák között említeném, hogy a használt rendszerek biztonsága igen sok kívánnivalót hagy maga után. Eddig nem voltak előírások a biztonsági követelményekre: így megmaradhatnak egy rendszerben akár a tesztfelhasználói nevek és tesztjelszavak is.– Hogyan segít ezeken a problémákon az információbiztonsági törvény?
– Követelményeket ír elő, és segítséget is ad, hogy miként lehet elérni a megkívánt biztonsági szintet. A végrehajtási rendeletek szabályozzák az olyan részterületeket, mint a jelszavak kezelése vagy a biztonsági beállítások. Lényeges elem, hogy az NFM-en belül feláll egy hatóság, amely ellenőrzi a szabályok betartatását, és ha hiányosságot talál, kötelező jelleggel előírja annak kijavítását. Végső esetben „informatikai csődgondnokot” is kiküldhet, hogy ő vegye kezébe az ügyeket. Új elem, hogy a szervezetek vezetői személyes felelősséggel tartoznak az információbiztonsági szabályok betartatásáért.– Hogyan alakul a munkamegosztás az NBF, az új hatóság és a felállítandó kormányzati CERT között?
– Továbbra is a mi feladatunk marad a technikai módszertanok lefektetése, a szakmai munka irányítása, a sérülékenységvizsgálatok elvégzése. Törvény adta jogunk lesz a vizsgálódás. A feltárt hibákat kötelező jelleggel javítani kell, elősegítve ezzel az incidensek megelőzését. Az új hatóság végrehajtóként őrködik az előírások, szabályok betartatása felett. Azért hozzák létre az NFM égisze alatt, mert eddig is ez a minisztérium felelt a kormányzati informatikai rendszerekért; ez a feladat most új, hangsúlyos szerepkörrel bővül. A Belügyminisztérium keretein belül működő kormányzati CERT elsődleges feladata pedig a kormányzati rendszerekben megtörtént incidensek észlelése, elhárítása és utólagos elemzése lesz. Ezen három szereplő szoros együttműködése elengedhetetlen, mert csak így lehet előmozdítani az állami szféra elektronikus információbiztonságát.– Mekkora és milyen szerep jut a magánszféra cégeinek az állami szféra biztonságának garantálásában?
– Mindenképpen szükség lesz rájuk a sérülékeny rendszerek javítása, cseréje során. Jó piacot találhatnak a biztonsági tanácsadásban és az oktatásban. Szerintem ezek a tevékenységek ráadásul nem csak itthon űzhetők: a magyar információbiztonsági tudásra alapozva nemzetközi sikereket is el lehet érni.”
Forrás:
A kibertér biztonságáért; Schopp Attila; IT Business; 2013. május 8.
