Krasznay Csaba
Ma már naponta érkeznek tudósítások kisebb-nagyobb IT-biztonsági incidensekről, betörésekről, adatvesztésekről, adatlopásokról stb. Ha az érdeklődő követi az ezekről szóló tudósításokat, könnyen az az érzése támadhat, hogy az Egyesült Államokban sokkal gyakoribbak az ilyen esetek, holott valószínűleg az áll a háttérben, hogy az USA-ban kiterjedt és viszonylag szigorú szabályok írják elő mind az állami, mind a magán-, közösségi szervezetek számára a kompromittálódások bejelentését és nyilvánosságra hozatalát.
Ez Európában – így Magyarországon is – nem így van, legalábbis egyelőre még nem. De akkor mi is a helyzet nálunk? Ennek tisztázására, a keretek felvázolására kértük Krasznay Csaba kiberbiztonsági szakértőt.
Magyarországon milyen törvények és milyen módon írják elő az informatikai biztonsági incidensek bejelentését? És ezek kire, kikre vonatkoznak?
13. § (1) Az elektronikus információs rendszer biztonságáért felelős személy feladata ellátása során a szervezet vezetőjének közvetlenül adhat tájékoztatást, jelentést.
(2) Az elektronikus információs rendszer biztonságáért felelős személy felel a szervezetnél előforduló valamennyi, az elektronikus információs rendszerek védelméhez kapcsolódó feladat ellátásáért. Ennek körében:
a) gondoskodik a szervezet elektronikus információs rendszereinek biztonságával összefüggő tevékenységek jogszabályokkal való összhangjának megteremtéséről és fenntartásáról,
b) elvégzi vagy irányítja az a) pont szerinti tevékenységek tervezését, szervezését, koordinálását és ellenőrzését,
c) előkészíti a szervezet elektronikus információs rendszereire vonatkozó informatikai biztonsági szabályzatot,
d) előkészíti a szervezet elektronikus információs rendszereinek biztonsági osztályba sorolását és a szervezet biztonsági szintbe történő besorolását,
e) véleményezi az elektronikus információs rendszerek biztonsága szempontjából a szervezet e tárgykört érintő szabályzatait és szerződéseit,
f) kapcsolatot tart a hatósággal és a kormányzati eseménykezelő központtal.
(3) Az elektronikus információs rendszer biztonságáért felelős személy e törvény hatálya alá tartozó bármely elektronikus információs rendszerét érintő biztonsági eseményről a jogszabályban meghatározottak szerint tájékoztatni köteles a jogszabályban meghatározott szervet.
(4) Amennyiben a szervezet elektronikus információs rendszereinek mérete vagy biztonsági igényei indokolják, a szervezeten belül elektronikus információbiztonsági szervezeti egység hozható létre, amelyet az elektronikus információs rendszer biztonságáért felelős személy vezet.
(5) Az elektronikus információs rendszer biztonságáért felelős személy biztosítja az e törvényben meghatározott követelmények teljesülését
a) a szervezet valamennyi elektronikus információs rendszerének a tervezésében, fejlesztésében, létrehozásában, üzemeltetésében, auditálásában, vizsgálatában, kockázatelemzésében és kockázatkezelésében, karbantartásában vagy javításában közreműködők,
b) ha a szervezet az adatkezelési vagy az adatfeldolgozási tevékenységhez közreműködőt vesz igénybe, a közreműködők
e törvény hatálya alá tartozó elektronikus információs rendszereit érintő, biztonsággal összefüggő tevékenysége esetén.
(6) Az elektronikus információs rendszer biztonságáért felelős személy e törvény szerinti feladatai és felelőssége az (5) bekezdés szerinti esetekben más személyre nem átruházható.
(7) Az elektronikus információs rendszer biztonságáért felelős személy jogosult az (5) bekezdés szerinti közreműködőktől a biztonsági követelmények teljesülésével kapcsolatban tájékoztatást kérni. Ennek keretében a követelményeknek való megfelelőség alátámasztásához szükséges bekérni a közreműködői tevékenységgel kapcsolatos adatot, illetve az elektronikus információs rendszerek biztonsága tárgyában keletkezett valamennyi dokumentumot.
(8) A szervezetnél csak olyan személy végezheti az elektronikus információs rendszer biztonságáért felelős személy feladatait, aki büntetlen előéletű, rendelkezik a feladatellátáshoz szükséges felsőfokú végzettséggel és szakképzettséggel.
(részlet a 2013. L. számú törvényből )
Jelen pillanatban az incidensbejelentési kötelezettség az állami és önkormányzati szervezetek számára van előírva a 2013. L. számú törvény („az állami és önkormányzati szervek elektronikus információbiztonságáról”) alapján, magyarul: ha ezeknél az intézményeknél történik egy incidens, akkor azt mindenki köteles jelenteni a Kormányzati Eseménykezelő Központ (GovCERT-Hungary) számára. Ez a szerv egyébként folyamatosan készít statisztikákat, a GovCERT-Hungary negyedévente kiad jelentést arról, hogy milyen incidenseket jelentettek. Jelenleg e törvényi előíráson kívül más, a bejelentési kötelezettséget előíró szabályozás Magyarországon nincs.
Mennyire működik hatékonyan ez a rendszer? Mik a tapasztalatok?
Azt lehet mondani, hogy egyre többen tesznek eleget kötelezettségüknek. Egyébként háromféle incidenstípust tartunk nyilván, illetve a GovCERT kissé más módon, több fajtát felállítva osztályoz, de én alapvetően és összegezve három típusba sorolom be az incidenseket. Az elsőbe azok tartoznak bele, melyek nagyon egyszerűen észlelhetőek és kezelhetőek végponti védelemmel, ilyenek például az egyszerű vírusfertőzések vagy a kéretlen elektronikus levelek, a spamek. A második típusú incidenseknek szintén jellemzője, hogy jól láthatóak, de üzemeltetési hiányosságokra vezethetőek vissza (pl. rosszul beállított honlapok, konfigurációs hibák stb.). Ezek esetében is viszonylag egyszerű a védekezés, erőforrásokon és szakmai hozzáértésen múlik. A harmadik típus – szakmailag természetesen ezek a legérdekesebbek –, amelyeknél már az észlelésük (és így a kezelésük) is nagy kihívás, az ezek elleni védekezés már egy fokkal fejlettebb információbiztonsági szintet kíván meg: ide tartoznak például a célzott támadások, adatlopások. Ha a bejelentéseket százalékosan nézzük, a harmadik típusú incidensek alkotják a legkisebb részt, és ennek egyik oka, hogy bár egyre nagyobb számban akadnak olyan szervezetek, ahol képesek észlelni és felderíteni az ilyen támadásokat, de nem ez a jellemző.
Ha az állami, önkormányzati szervezet észlel, átél egy informatikai biztonsági incidenst, és eleget tesz bejelentési kötelezettségének, utána mi történik?
A protokoll alapján minden incidens bejelentése kötelező. Amint az intézmény észleli az incidenst, azt saját maga próbálja kezelni, de ha erre nincs kapacitása, felkészültsége, akkor kérik a Kormányzati Eseménykezelő segítségét. Itt jegyezném meg, hogy bejelentési kötelezettség azért is fontos, mivel ha közel azonos időben több intézményben is hasonló incidens fordul elő, akkor felmerülhet a gyanú, hogy valamiféle összetettebb támadásról van szó. Ilyen esetekben a Nemzeti Kibervédelmi Intézet is, melynek egyébként része a Kormányzati Eseménykezelő, belép a képbe, ők hangolják össze a résztvevők munkáját, hogy elhárítsák a bajt.
És mi a helyzet az ilyen esetekben a nemzetközi együttműködéssel? Van arról szóló megállapodás, hogy mikor és hogyan kell más országok hasonló szervezeteit is értesíteni?
Igen, van. A CERT-ek (Computer Emergency Response Team) együttműködése alapvető fontosságú kritikus helyzetekben, a különböző országokban található CERT-ek meghatározott protokollok alapján tájékoztatják egymást. Ők nem feltétlenül jelentenek egymásnak mindent – főképp azokat nem, melyek nem újak, vannak már gyakorlatok rájuk, ilyenkor legfeljebb visszaigazolást adnak egymásnak. És azokkal az incidensekkel sem terhelik a rendszert, amelyek triviálisak, így a megoldásuk is. Elsősorban az újként megjelenő, ismeretlen, fel nem mért kockázatú incidensekre koncentrál a nemzetközi együttműködés.
Eddig arról volt szó, hogy az incidenst elszenvedők, illetve a hatóságok a védekezésre és a helyreállításra koncentrálnak. De mikor vannak egy adott biztonsági incidensnek bűnügyi következményei?
A rendőrség akkor kerül képbe, ha az adott intézmény úgy ítéli meg, hogy a biztonsági incidensnek lehetnek büntetőjogi következményei. Mondok erre egy triviális példát. Ha például valahol egy ransomware-támadás (zsarolóvírussal elkövetett támadás) történt, akkor abszolút az adott intézményre van bízva, hogy tesz-e rendőrségi feljelentést vagy nem. Ebben az esetben ugyan egyértelmű, hogy a ransomware-támadás bűntett, ám az internet jellegéből adódóan egy ilyen támadás kinyomozása, felderítése igen komoly erőforrásokat, a legtöbbször nemzetközi együttműködést igényel, és egy ilyen eljárás hatékonysága erősen megkérdőjelezhető. Így nem érdemes mindig feljelentést tenni, gyakran nem is teszik ezt meg.
Még egyszer visszatérnék oda, hogy az eddig felvázolt rendszer mennyire működik jól? Igen, vannak előírások, de mennyire tartják be őket a szervezetek?
Minden akkor tud jól működni, ha megvan a megfelelő tudatosság, jelen esetben biztonsági tudatosság, magyarul: az intézmények szervezetileg és protokoll szintjén is fel vannak arra készülve, hogy hogyan kezeljék a biztonsági incidenseket, emellett megvan a kapcsolatrendszer, vagyis tudják hogy jelenteni kell, és azt is, hogy kinek.
No igen: tudnak arról az érintett szervezeteknél, hogy jelenteni kell?
Egyre inkább. Az egyetemen (Nemzeti Közszolgálati Egyetem – NKE) én vagyok a szakfelelőse az információbiztonsági továbbképzésnek – ezt elvileg kötelező elvégeznie mindenkinek, akinek olyan a beosztása, hogy információvédelemért felelős a közszolgálatban. Most ott tartunk, hogy 200 hallgató végzett már nálunk az elmúlt években. Vagyis a jogszabály alá tartozó mintegy ötezer intézményből egyre több helyen képzett szakemberek vannak a megfelelő helyeken. Azt azért elmondhatom, hogy roppant változó az, hogy milyen szakmai hátterű emberek érkeznek a képzésre.
Végül: mint az elején elmondta, törvényi előírás csak az állami szférára létezik. De mi a helyzet a magánszférával? Hiszen a jó példának tartható Egyesült Államokban a magánvállalkozásokat is szigorú kötelezettségek terhelik.
Jelen állapotban egyértelműen azt lehet mondani, hogy a magánszféra nálunk és Európában is szürke terület. De ne feledjük: ha végre véget ér a törvényalkotási és implementációs folyamat, két nagyon fontos EU-s rendelet lép életbe. Az egyik a mostanában sokat emlegetett Általános Adatvédelmi Rendelet (General Data Protection Regulation – GDPR), a másik pedig a hálózati és információs rendszerek biztonságáról szóló irányelv (the directive on security of network and information systems – NIS). Ezek alapvető áttörést kell hogy hozzanak Európában a bejelentési kötelezettséggel kapcsolatban. Az utóbbi a kritikus infrastruktúrák védelmére fókuszál, az előbbi pedig azokra a szervezetekre, akik európai polgárok adatait kezelik. Mindkét rendelet, irányelv előírja az incidensek jelentési kötelezettségét. A GDPR esetében a nemzeti adatvédelmi hatóság, az NIS esetében pedig a kritikus infrastruktúrákért felelős szerv kell hogy megkapja ezt az információt. Az előbbinél Magyarországon ez a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH), az utóbbinál az Országos Katasztrófavédelmi Főigazgatóságon belül működő Létfontosságú Rendszerek és Létesítmények Informatikai Biztonsági Eseménykezelő Központ. Vagyis olyan intézményekhez kell a jelentéseket benyújtani, melyek már léteznek, ugyanakkor jelenleg nincs erre vonatkozó jogszabályi kötelezettség.
Nagyon fontos megjegyezni, hogy a magánszférára is vonatkozik az új bejelentési kötelezettség, és itt a tudatosság kiemelt szintű lesz, ugyanis jelenleg a biztonsági tudatosság nemcsak Magyarországon, hanem egész Európában is rendkívül alacsony mértékű ebben a szegmensben. Ebből következik, hogy az érintett hatóságoknak egy határozott, alapos és széles körű tájékoztató és felkészítő munkát kell elvégezniük. Ez a GDPR esetében már látható is, folynak kampányok, de az NIS esetében valószínűleg kis csúszásra kell számítani. Mindez roppant fontos. Hogy a közelmúltra utaljak: a Petya vírus nagyon sok kisebb-nagyobb magánvállalkozást érintett, de a jelentési kötelezettség előírásának hiányában az adott vállalaton, cégen múlott, hogy a nyilvánosságra hozott adatokkal segíti-e a közös védekezést vagy nem – ráadásul, ha meg is van a jó szándék, ma nincs, akinek jelentsenek. Főként a GDPR esetében érdemes kiemelni, hogy az új rendelkezések értelmében nincs kivétel: mindenki – legyen az kkv vagy multi –, aki személyes adatot kezel, a törvények hatálya alá tartozik majd, jelentenie kell.
