A Hétpecsét Információbiztonsági Egyesület 2016. március 16-i rendezvénye az informatikai vezető gyakorlati teendőit,  az operációs rendszerek adatkezelési gyakorlatát, és egy banki levelező-rendszer esettanulmányt vette programjára. 

A Hétpecsét Információbiztonsági Egyesület 2016. március 16-i rendezvénye az informatikai vezető gyakorlati teendőit,  az operációs rendszerek adatkezelési gyakorlatát, és egy banki levelező-rendszer esettanulmányt vette programjára. 

Tarján Gábor, az Egyesület alelnöke bevezetőjében az aktuális információvédelmi aktualitásokat tekintette át.  

Rajnai Zoltán professzor, Magyarország kinevezett kiber-koordinátora  „Kibervédelem és kiberkoordináció vállalati aspektusai" címmel tartott előadást.   

Elmondta, Magyarország a kibervédelemben jelentős szerepet kíván játszani, ill. ezen a területen, legalábbis országos viszonylatban, szeretné erősíteni álláspontját, a hazai kibervédelmet.  Az elmúlt években az információvédelmi törvény létrehozta  a kibervédelmi koordinátori funkciórendszert.  

A koordinátor nem rendelkezik irodával, vagy szervezettel, megbízatása társadalmi jellegű. Feladata törvényben, ill. kormányrendeletben meghatározott. A megbízást a belügyminisztertől kapta Rajkai Zoltán, azzal az útmutatóval, hogy próbálja meg a kormányzati oldalt és a civil oldalt közelíteni egymáshoz, s a kibervédelemben oly módon koordinálni a feladatokat és a munkát, hogy a kibervédelem ebből a munkából nyertesként kerüljön ki.   

 Az elmúlt időszakban a hazai és nemzetközi téren egyaránt tapasztalható kibervédelmi támadások és a kiber-bűnözés, kiber-zsarolás egyre erősödő folyamatban jelentek meg. Az idevágó védekezés szervezeti oldalról, legalábbis kormányzati oldalról, már megtalálható, a kormányzati oldal azonban a civil szolgáltatók támogatása nélkül semmit nem fog érni.   

 A fent említett törvény létrehozta a Nemzeti Kibervédelmi Koordinációs Tanácsot, amelynek a kormányzati oldal szerepvállalását kell megvalósítania. A Tanács nem annyira a szakma, mint inkább a jogszabály oldaláról igyekszik a kibervédelmet segíteni, támogatni szabályzókkal, egyeztetésekkel.   

 Az egységes kormányzati álláspont kialakításában segít ez a Tanács. Kormányzati vezetője és a minisztériumi  képviselők különböző munkacsoportokban látják el funkciójukat. A Tanács felel azért, többek között, hogy félévente a Nemzetbiztonsági Kabinetnek beszámoljon a nemzeti kiberbiztonsági stratégia céljainak, feladatainak ellátásáról. 

Bemutatja azokat a kihívásokat, trendeket és a rájuk adandó válaszokat, amelyek a hazai kiberbiztonsági stratégiából adódnak. A Tanács tehát nem csak egy adminisztratív szervezet, hanem feladata olyan válaszlépések kidolgozása is, melyek a nemzeti kiberbiztonsági stratégiából adódó kérdésekre adnak megoldási lehetőségeket.  

 A Tanács alatt úgynevezett munkacsoportok működnek, amelyek zömében kormányzati oldalról, néhány speciális területen igyekeznek megvizsgálni a kibervédelem feladatait, külön-külön néhány szegmensben. Ezeknek a munkacsoportoknak a kormányzati és nem-kormányzati együttműködés bázisát kialakító szervezetként kell funkcionálniuk, és a működési rendszerben többnyire a javaslatok, véleményezések kidolgozása feladatuk.

 A Kiberbiztonsági Fórum kifejezetten azoknak a civil szolgáltatóknak, szervezeteknek kíván fórum-lehetőséget biztosítani, amelyek a szakmai megoldási lehetőségeket adják a kibervédelemben. Pontosan azokat a kiberbiztonsági, kibervédelmi megoldási lehetőségeket várják ettől a szakmai fórumtól, ami a munkacsoportok és a Nemzeti Kiberbiztonsági Koordinációs Tanács munkáját segítik.  

 A kiber-koordinátornak feladata, hogy ezt a kormányzati oldalt és a nem-kormányzati szakmai oldalt megpróbálja összehozni egyeztetni, és segítsen a kormányzati oldalnak a szakmai oldal bevonásával, ill. a szakmai oldalnak segítsen kormányzati megoldási lehetőségeket kínálni és felkínálni azokat a szakmai kérdésekre keresendő válasz-utakat, amelyeket a kiberkoordinációban a szakmai szervezetektől, civil szervezetektől várják.   

 A fenti törvény, ill. a kormány-rendelet az, ami meghatározza magának a Nemzeti Kiberbiztonsági Koordinációs Tanácsnak a funkciórendszerét, feladatait és magának a kiberkoordinátornak a szerepkörét is.  

Kormányzati oldalról nyolc minisztérium, együtt a kiberkoordinátorral, alakítja a nemzeti kibervédelmet. Ennek a Nemzeti Kiberbiztonsági Koordinációs Tanácsnak azon minisztériumok tagjai, amelyeknek a kibervédelemben bármilyen formában is szerepet kell kapniuk.   

 Magát a Tanácsot a Miniszterelnökséget vezető miniszter vezeti, a minisztériumok részéről vagy a miniszter, vagy az általa delegált valamelyik államtitkár az, aki ebben a Tanácsban szerepet vállal.  

Egy államtitkár, vagy miniszter természetesen nem számít szakembernek a kiberbiztonságban, de a Tanácsnak nem is az a szerepe, hogy miniszterek mondják meg, mit kell tenni a kibervédelem területén, hanem ők azok a felelős kormányzati vezetők, akiknek a kibervédelemben felmerülő kérdésekre adandó válaszokra a szervezetet, minisztériumot megmozgatják. Vagyis, a szakemberek szerepét a törvény alapján a miniszterek és államtitkárok mögött álló kormányzati szervezetek töltik be. 

 A kiberkoordinátor feladata egyrészt, hogy ennek a nyolc minisztériumnak, ill. az ebben dolgozóknak a munkáját koordinálja a civil szervezetekkel és szolgáltatókkal. Ez egyfajta minisztériumok közötti szerepvállalást jelent, de a kibervédelmért egyébként sem egy minisztérium felelős, számos olyan minisztérium és kormányzati szervezet van, amelynek a kibervédelemben kötelező a szerepvállalása.    

Másfelől, a koordinátornak olyan össztársadalmi funkciórendszernek kell megfelelnie, amely kormányzati oldalról és civil oldalról is a kibervédelemre jellemző össztársadalmi kihívásokra ad választ.

 A koordinátori munkakörben eltöltött eddigi idő tapasztalatai, a migráns válságból adódó kibervédelmi feladatok azt mutatják, hogy a megjelenő, átvonuló, beszivárgó migránsok között számos olyan akad, aki a kiberbiztonság területén veszélyt jelent az országra. 

A migránsválság óta megtöbbszöröződött a hálózatok elleni rosszindulatú támadások száma. Ezekre a meghatározó kibervédelmi eljárások többsége megoldást ad, de láthatóan megnő azon problémák száma, amelyekre védelmi mechanizmusokat kell kidolgozni.  

Az ide érkező migránsokról naívság lenne azt gondolni, hogy ők az arab világból ide munkavégzést keresni érkeznek csak. Sokan beszélnek tökéletes angolsággal, nagyon jó informatikai ismeretekkel rendelkeznek.  

A határ menti vonulási útvonalukon számtalan okostelefont dobnak el az átérés után. Úgy érkeznek, hogy minden országra megvan a vonatkozó telefon-rendszerük, feltöltött térképük, kapcsolati bázisuk, s minden egyéb, amivel kibertámadásokkal gyengíteni képesek azt az országot, amelybe belépnek.   

 Az össztársadalmi funkció rendszer a kibervédelemben tehát nem csak a kormányzati oldalról, és nem csak a kritikus, vagy létfontosságú infrastruktúrákra igaz. Kormányzati és nem-kormányzati weboldalak feltörésével, módosított adatok feltöltésével, s számos más kibertámadási megoldással veszélyeztetik a kiber-oldalakat. 

 A törvény megszületése után, a kibervédelmi koordinátori szerepkör első ellátója, dr.Szemerkényi Réka volt, aki jelenleg az Egyesült Államokban nagyköveti beosztásban munkálkodik. Utóbbi kinevezés után a kibervédelmi koordinátori munkakör gyakorlatilag egyévnyi időtartamra megszűnt, ezt a tevékenységet kell most megújítva felgyorsítani.  

 A törvény megalkotása és a Tanács megalakulása óta létrejött munkacsoportok közül stabilan működik a gyermekvédelmi munkacsoport, amely az informatikai veszélyforrásoktól igyekszik megvédeni a gyermekkorúakat hozzáférés-korlátozással, elsősorban jogszabályi oldalról.  

Erőteljes működésben van a pénzügyi munkacsoport is, ami bankszámláink netes biztonsága szempontjából fontos mindannyiunknak.   

Az e-közigazgatási munkacsoport munkássága személyes adataink biztonsága miatt nagy körültekintést igényel a koordinációs biztos oldaláról is. Az összes munkacsoportban való részvételre minden minisztériumból általában egyetlen személyt neveznek ki.

Jelenlegi törekvés, hogy a kellő áttekintés biztosítására a Tanács munkáját segítő kormányzati oldal szakembereit egy munkacsoportba hozzák össze. Célszerű, hogy a civil vállalkozások és szolgáltatók oldaláról szereplők jelenjenek meg, hiszen a szakmai munkát, szakmai lehetőségeket ők tudják megadni a kormányzati oldal számára.  Ennek a munkacsoportnak feladata az is, hogy olyan cselekvési tervet dolgozzon ki, ami hosszabb távra számonkérhető, követhető, tervezhető folyamatokat ad a kibervédelem területén.  

 Vállalati vonatkozásban, a bankszektort és a közigazgatást éri a legtöbb kibertámadás, de éppen ezek a szereplők azok, akik a kibervédelem oldaláról egyre több enyhítést igyekeznek behozni. Pl.; a dolgozók számára kellemetlen, hogy 30 naponként jelszót kell cserélni, ezzel szemben ezt az időtartamot változtatja az intézkedés 90, vagy 120 napra.     

A vezeték nélküli hálózatok alkalmazási lehetőségei a bankrendszeri hálózatokban és más megoldások is a kibervédelem gyengítésének irányába hatnak. Amennyiben ez a tendencia tovább folytatódik, akkor olyan támadási felületeket adunk a kibertámadóknak, amely ellen csak óriási erőfeszítések árán tudunk később a korábban elért, működésképes szintre jutni.

 A hálózatokban működő aktív és passzív elemek engedélyezése is kritikus tényező, láthatjuk ezt a Juniper botrány során, amikor a routereken olyan hátsó kapuk váltak szabaddá, melyeken át a védelem nélküli, vagy gyengén védett hálózatok hozzáférhetővé váltak.   

 A személyes adatok védelme a netes bankolásnál is nagy jelentőségű az adathalász próbálkozások miatt. Kormányzati és vállalati oldalról szükség van ebben a vonatkozásban is a közös tevékenységre.  

 A terrorizmus felbukkanó lehetősége is olyan netes veszélyekkel, csökkenő biztonsággal fenyeget, amelyek elleni védelem szükségszerű és időszerű napjainkban. A védelmi eszközök valódi védelmi ellenőrzése nagyon fontos, úgy az egyes elemek, mint a rendszergazda (hálózatmenedzsment) oldaláról. Vannak olyan megoldandó feladatok, amelyekre rátekintést kell nyújtani a kibervédelemnek.  

 A jövőbeni célok szempontjából, az Internet Mindenkinek program olyan veszélyforrásokat hoz, amelyekre fel kell készítenünk a felhasználókat és a Tanácsnak is fel kell készülnie. Olyan biztonság-tudatosságot kell kialakítani, amelyben az iskolák szerepe kiemelkedő. Az egyetemi oktatásba olyan elemeket kell bevinni, amelyek a biztonság-tudatosságra készítenek fel, így a mostani egyetemisták néhány év múlva, családjukban segíthetik ezt érvényesülni.  

Az egyetemeknek olyan mérnökinformatikusokat, vagy probléma-megoldó informatikusokat kell kibocsátaniuk, akik később éppen a civil szektorban elhelyezkedve segítik a kibervédelem szakmai feladatainak megoldását.  

 A kritikus infrastuktúrák szervezeti oldalán a feladatokat a civil szervezetekkel együttműködve az Országos Katasztrófavédelmi Főigazgatóság kezeli, a kiberkoordinátor által biztosított fórum révén. A vonatkozó felügyeletet, ellenőrzést, működtetést azonban nem ez a szervezet végzi.

 A NATO-kibervédelemmel kapcsolatos feladatokat a Honvédelmi Minisztérium látja el, amely az elmúlt hetekben alapította meg saját vonatkozó CERT ágazati központját, ez végzi majd az eseménykezelési feladatokat.  

http://www.cert-hungary.hu 

Ebben a vonatkozásban is hangsúlyozandó, hogy kibervédelmi kérdésekben a kormányzat (HM) és a civilek együttműködése szükséges, ennek összehangolása is feladata a koordinátornak.   

 Nemzetközi téren Magyarország az elmúlt néhány évben a kibervédelem terén egészen jó pozíciót harcolt ki, köszönhetően a jogszabályi környezet változásának, ill. a megalakult kormányzati CERT központnak. Az elmúlt egy-másfél évben azonban visszaesés következett be a ranglistán a kibervédelmi koordinációban előállt hiátusnak köszönhetően. Ezen a helyzeten kívánnak változtatni hazai és nemzetközi vonatkozásban, akár a V4-ek körében, megtalálni ezeket a területeket, kapocsként beékelődni az info-tér és a szakmai rendezvények közé.   

 2016 őszére hazai konferenciát szerveznek a kibervédelem összefogására, a szolgáltatók, a civil szervezetek és a kormányzati oldal szereplőinek összehozásával. 

 Az információ-megosztás a kibervédelemmel mindig gyengül némileg, ennek ellenére ez nagy fontosságú a kibervédelmi koordinációban. Az USA kibervédelmi politikájának ez képezi elsődleges tartóoszlopát; a nagyon gyors információ-megosztás nagyban segíti a kibervédelmet. A veszélyforrások, a kibertámadások detektálása, a vírusfertőzések, az újabb támadási módokról szóló infók gyors elterjesztése az ágazati CERT-ek és a szakmai szervezetek felé óriási jelentőségű.  

A KKV-k esetében; a szolgáltatást nyújtó szervezeteknél informatikai, infokommunikációs területen az is előfordulhat, hogy saját CERT rendszert üzemeltetnek, amiben a kormányzati oldal is igyekszik támogatást nyújtani.

 A Nemzeti Kibervédelmi Intézet 2015.október 1-én alakult meg, a kormányzati CERT központ és a hatósági szerepkör fölé emelt védőernyővel. Ellátja mindazon feladatokat, amelyek a kibervédelemnek nemcsak kormányzati, hanem egyéni, vagy vállalkozások oldali védelmét, védelmi lehetőségeit is lefedik.  

A Nemzeti Kibervédelmi Intézet és a GovCERT nem csak kormányzat elleni támadások ellen védi hálózatainkat, vetít előre védelmi eljárásokat, hanem lehetőséget ad, hogy egyének is bejelentéseket tegyenek netes támadásról, vírusfertőzésről, nemkívánatos csatolmányokról, stb. Ezeket minden esetben kivizsgálják, javaslatot tesznek, vagy továbbítják a védelmi mechanizmusok kidolgozására hivatott CERT felé.   

 Összességében; Magyarország kibervédelme a különböző jogszabályi feltételekkel viszonylag jól felépített és erős kormányzati rendszert eredményezett. Ennek működtetése, funkciórendszere azonban csak akkor valósulhat meg, ha a kormányzati, szolgáltatói, vállalkozási és a civil oldal összefogva segíti egymást a kibervédelem különböző aspektusaiban és területein. Az oldalak közötti átjárás, a kibervédelmi koordinátor nélkül nem fog működni, ezért ezt a szerepkört, feladatrendszert kívánja felvállalni az előadó Rajnai Zoltán.

A koordinátornak nincs tanácsadási, vagy intézkedési jogköre, koordinációs feladatkörében elsősorban a Nemzeti Kiberbiztonsági Koordinációs Tanács munkáját koordinálja, de szerepköréhez tartozik a kormányzat és a civil oldal egymáshoz való közelítése.

 Pflanzner Sándor (BCM-Software Kft.) fejlesztési igazgató az  ISO 22301 szabvány kevéssé ismert területeire, az üzletmenet-folytonosságra irányította a figyelmet, az informatikai vezető gyakorlatában.

 dr. Kiss Attila (Nemzeti Közszolgálati Egyetem Államtudományi és Közigazgatási Kar) egyetemi tanársegéd, infokommunikációs szakjogász, „Az operációs rendszerek adatkezelési gyakorlata az EU adatvédelmi reformjának tükrében" címmel tartott előadást.

Jakab Péter  (MKB BANK Zrt.) vezető szaktanácsadó Banki levelező rendszer a felhőben"  címmel ismertetett  esettanulmányt.

  Harmat Lajos

Vélemény, hozzászólás?

Az email címet nem tesszük közzé. A kötelező mezőket * karakterrel jelöltük