vissza a főoldalra

 2015.10.30. 

Kibervédelem

Egyetemi képzés indul

A kritikus rendszerek esetében nem pusztán az adatlopás, az adatszivárgás jelent valós veszélyt, hanem ezen rendszerek, kritikus infrastruktúrák megrongálása, szabotálása is, amelyre az elmúlt években számos példa akadt. Tasnádi László államtitkárt arról faggattuk, hogy mennyire van hazánk kitéve a kiberfenyegetésnek.

 Mik a magyarországi elektronikus információbiztonság legfőbb jellemzői?

 – Magyarország információbiztonsági szempontból a világ más részein is ismert kihívásokkal áll szemben. A társadalom, a gazdaság és a kormányzat is egyre nagyobb mértékben támaszkodik az információs technológiára, egyre több és több informatikai szolgáltatás járul hozzá az ország fejlődéséhez. A technológiák és szolgáltatások rohamos fejlesztését azonban nem követte hasonló ütemben a biztonsági képességek kialakítása. Ennek oka elsősorban a nehezen észlelhető és a laikusok számára nehezen érthető kiberfenyegetések ismeretének hiánya és alábecslése, továbbá a szükséges szándék, szaktudás és motiváció hiánya.

 Érték már a hazai kormányzati infrastruktúrát támadások?

 – Más, nagyobb fenyegetettségű államokkal ellentétben a magyar gazdasági, kormányzati és kritikus infrastruktúrát még nem érték olyan megrendítő erejű támadások, amelyek már az állampolgárok számára is megkerülhetetlen kérdéssé tennék az információbiztonságot. A magyar Országgyűlés azért alkotta meg 2013-ban az elektronikus információbiztonságról szóló törvényt és kapcsolódó intézményrendszert, illetve azért jött létre 2015-ben a Nemzeti Kibervédelmi Intézetet, hogy – tanulva más országok hibáiból – az elektronikus információs infrastruktúránkat még azelőtt megerősítsük, mielőtt minket is komoly támadások és komoly veszteségek érnének. Még sok a tennivaló, a hathatós kibervédelem számos feltétele erősítésre szorul. Kevés – de az utóbbi években létrejött képzéseknek köszönhetően egyre több – az informatikai biztonsági szakember. A beruházásoknak még csak kis százalékát költik biztonságra, a kialakított rendszerek biztonságának fenntartására, biztonsági felügyeletére, különösképpen az ehhez kapcsolódó személyi költségekre sok esetben nem fordítanak kellő forrást.

 Melyek az új intézet legfontosabb feladatai, működésének előnyei?

 – Az új intézet egyesíti a korábbi struktúrában elkülönülten működő Kormányzati Eseménykezelő Központot (GovCERT), a Nemzeti Elektronikus Információbiztonsági Hatóságot (NEIH), és a Nemzeti Biztonsági Felügyelet sérülékenységvizsgálati feladatait ellátó CDMA csoportot. Az új szervezeti keretek lehetővé teszik, hogy ezeknek a szervezeteknek megvalósuljon a racionalizált irányítása, illetve a közvetlen kommunikáció által jelentősen növekedjen az információbiztonsági reagáló képesség és hatékonyság.

 Akár a titkosszolgálatoktól kényes információk tömege szivároghat ki, ha valahol rés keletkezik az elektronikus pajzson?

 – Nem létezik olyan elektronikus információs rendszer, amely nem kompromittálható, ezért tévhit az, hogy az internettel össze nem kötött rendszerek – mint a kérdésben hivatkozott szervezetek rendszerei – ne lennének kitéve a globális kibertérben létező fenyegetéseknek. Az ilyen rendszerek esetében pusztán a megfertőzés metodológiája más, mint az internettel közvetlen összeköttetésben lévő rendszereké. Éppen ezért az információbiztonsági törvény a logikai védelmi intézkedéseken túl fizikai, személyi és adminisztratív követelményeket is támaszt a kormányzati rendszerek üzemeltetőivel szemben. A kritikus rendszerek esetében ugyanis nem pusztán az adatlopás, az adatszivárgás jelent valós veszélyt, hanem ezen rendszerek, kritikus infrastruktúrák megrongálása, szabotálása is, amelyre az elmúlt években számos példa akadt (iráni urándúsító centrifugák megrongálása a Stuxnet vírussal, vagy az Észtország teljes infrastruktúrája elleni szabotázs).

 Hogyan válogatták ki a Nemzeti Kibervédelmi Intézet munkatársait? Át kellett-e esniük valamilyen nemzetbiztonsági szűrőn?

 – Az intézet munkatársait olyan szakmai kiválasztási rendszer alapján alkalmazzuk, amely biztosítja, hogy az intézet a megfelelő kompetenciákkal rendelkezzen az informatikai, a jogi és a biztonsági területen is. Az intézet munkatársait többlépcsős felvételi eljárás során választják ki, amelynek egyik eleme a nemzetbiztonsági ellenőrzés.

 Bizonyára lényeges, hogy sokáig fennmaradjon az NKI. A Nemzeti Közszolgálati Egyetemen elindítottak már kiberbiztonsági képzést?

 – A Nemzeti Kibervédelmi Intézet hosszú távú működtetése szempontjából kiemelten fontos, hogy rendelkezzen mindazokkal az IT-biztonsággal kapcsolatos kompetenciákkal, amelyek az Ibtv. hatálya alá tartozó intézményeknél a védelmet hathatósan támogatni tudja. Ennek érdekében az intézet elsődleges feladatának tartja, hogy a szakemberei képzését minél szerteágazóbban, folyamatosan végezze. Másrészről az Ibtv. (információbiztonsági törvény) hatálya alá tartozó szervezetek IT-biztonsági felelőseinek a Nemzeti Közszolgálati Egyetemen évente kétszer informatikai biztonsági felelős képzés indul, amely segít felkészíteni a szervezetek kijelölt munkatársait a törvényi keretrendszer megismerésére és a kibertérben előforduló, szervezetspecifikus veszélyek leküzdésére.

 Technikai eszközökkel megvalósíthatók az állami elektronikus rendszerek védelme?

 – Az állami informatikai rendszerek védelménél olyan komplex védelmi megközelítés került kialakításra, amelynek egyik pillérét a technikai eszközök, védelmi rendszerek fejlesztése, integrálása, működtetése jelenti. A második pillér az intézmények, a szervezetek közötti folyamatos információáramlás. A harmadik pillért a korábban már említett szakemberképzés jelenti mind az intézetben, mind az állami és önkormányzati szerveknél. Fontos továbbá az informatikai rendszerekkel dolgozó felhasználók IT-biztonsági tudatosságának folyamatos növelése képzések, workshopok, tájékoztató kampányok, gyakorlatok keretében.

 Ilyen típusú intézet működik máshol is az EU-ban, vagy ez egy magyar kuriózum?

 – Ehhez hasonló, az erőforrásokkal hatékonyan gazdálkodó modellt alkalmaznak többek közt Németországban (BSI), Hollandiában (NCSC), Franciaországban, de Közép-Kelet Európában is van erre példa, Csehországban (NBU).

 Mekkora forrás jut a magyar kibervédelemre, illetve az NKI működésére?

 – A magyar államigazgatási szervek részére számos – különösen európai uniós támogatású – program, forrás áll rendelkezésre az információbiztonság magasabb szintjének eléréséhez, illetve az IT-fejlesztések során kiemelt figyelmet kapnak a biztonsági célú beruházások. A 2014–2020 közötti programozási időszak e-közigazgatási fejlesztései esetében alapkövetelmény a közigazgatási szervekkel szemben a védelmi intézkedések kialakítása és a fejlesztések információbiztonsági szempontból történő bevizsgálása az intézet részéről. A Nemzeti Kibervédelmi Intézet (NKI) működése a költségvetési törvényben jóváhagyott forrásokból biztosított. Az NKI fejlesztésére ugyanakkor Európai Uniós források is rendelkezésre állnak.