Hogyan vigyáz az állam az adatainkra??

Tavaly tavasszal fogadta el a parlament a kiberbiztonsági törvényt, amely idén július 1-i határidővel egy átfogó kockázatelemzés és biztonsági szabályzat elkészítését írja elő a hatálya alá tartozó állami és önkormányzati szerveknek. Mennyire hackelhető a magyar magán- és közszféra, és alkalmas-e a törvény arra, hogy a helyzeten javítson? Riportunk.

Van egy olyan közkeletű vélekedés, hogy mindent fel lehet törni, de ez szerintem nem igaz” – véli Tamás Bence, az „etikus hackeléssel” foglalkozó Web Biztonság Informatika Kft.ügyvezetője. A cége a megrendelő kérésére és engedélyével tör be annak informatikai rendszerébe – ha tud – és ezután tesz biztonsági javaslatokat. Elmondják, hogy mik azok a súlyos hibák, ahol be tudtak jutni, és hol vannak még gyenge pontok, valamint azt is, hogyan lehet ezeken javítani. Ha ezeket az iránymutatásaik szerint javítják, akkor szinte biztos, hogy addig nem fogják tudni meghackelni, amíg nem történik változás a rendszerben – fejtette ki a Mandiner kérdésére Tamás Bence.

Se a cégek, se az állam nem elég tudatos

Az informatikus azt mondja: Magyarország nagyon rosszul áll kiberbiztonság dolgában. Ez különösen elmondható az állami szektorról, de a magánszférában sem rózsás a helyzet: a hazai cégek nagyjából hetven százaléka feltörhető, míg nyugaton ez az arány húsz százalék körüli. A szakember szerint ennek az az oka, hogy a vállalkozások nem hajlandók információbiztonságra áldozni, és nagyon alacsony szintű a tudatosság: az emberek egyszerűen szórják magukról (és a cégükről) az információkat.

A közszférában sokszor látunk aggasztó jeleket, biztonsági hiányosságokat, és erre esetenként fel is hívjuk az érintett intézmények figyelmét, de ritkán reagálnak hathatósan a problémákra – mondta az informatikus, aki szerint hiányzik a megfelelő tudatosság, határozottság és kapacitás az érintettek részéről.

Bosszúálló alkalmazottak és zsaroló hackerek

Arról, hogy milyen biztonsági rések szoktak jellemzően előfordulni az informatikai rendszerekben, Tamás Bence azt mondta: szét kell választani a külső és a belső biztonságot. Az adatvesztések nagyobb részét ugyanis nem külső hackertámadások, hanem belső hibák okozzák, például saját munkatársak, akár véletlenül, vagy éppen bosszúból. Ezért fontos, hogy csak korlátozottan szabad osztogatni a jogosultságokat, és a pendrive-okkal és egyéb adathordozó eszközökkel is csínján kell bánni – összegezte az informatikus. Emellett legalább ilyen fontosak a megfelelő szabályok, és hogy mindenki tudja, hogy mi a felelőssége.

De mire utaznak a hackerek? Vannak bosszúállást célzó akciók is, amire példa a túlterheléses támadás, de alapvetően az illegális hackerek legnagyobb része zsarolásból él – magyarázta Tamás Bence. Például megszerzik egy vállalat titkos adatait, aztán megzsarolják, hogy ha nem fizet érte, akkor nyilvánosságra hozzák. A cégek sajnos legtöbbször egyszerűen fizetnek a hackereknek, és nem kockáztatják, hogy az adatlopás esetleg nyilvánosságra kerüljön, és így elveszítsék az ügyfeleik bizalmát.

Az adatlopások is súlyosan érinthetnek egy céget, például ha üzleti titkok jutnak így a konkurencia birtokába. De mondjuk egy ügyféllista kikerülése is problémát okozhat, ugyanis sokak személyes adatait érinti, amiknek a biztonságos tárolásáért a cég a felelős, hiszen az érintettek közvetlenül vele állnak szerződéses viszonyban, nem a tárhely vagy weboldal szolgáltatójával.

A szakember szerint utólag már nincs nagyon mit tenni a hackerek ellen, ezért fontos a támadások megelőzése és a megfelelő informatikabiztonság. Legalább ilyen fontosak a belső szabályzatok is, amelyek tisztázzák, hogy kinek milyen adatokhoz van hozzáférése, és azok elvesztéséért vagy kiszivárgásáért ki a felelős. Mint mondta, itt is évről-évre javul a helyzet, de sajnos nem állunk még túl jól, ezért is tűztük ki célul, hogy fejlesszük az informatikabiztonsági tudatosságot Magyarországon.

Törvényben előírt kiberbiztonság

A tavaly tavasszal elfogadott kiberbiztonsági törvény alapján az állami és önkormányzati szerveknek egy átfogó kockázatelemzésen alapuló vizsgálatot és ez alapján szabályzatot kell elkészíteniük 2014. július elsejéig. 

Az új szabályozást Tamás Bence előrelépésnek nevezte: a jogszabály vonatkozik többek között a minisztériumokra, a rendőrségre, az ügyészségekre és a bíróságokra, a kormányhivatalokra, a számvevőszékre, a katonaságra és az önkormányzatokra. Különböző biztonsági szintet írnak elő ezeknek a szerveknek, aszerint, hogy mennyire kényes adatokat kezelnek. Július elsejéig viszont mindenképp kell egy kockázatelemzést készíteni, és ez alapján egy informatikabiztonsági tervet és szabályzatot is le kell tenni az asztalra. A lefuttatott kockázatelemzés alapján sorolják a szervezetet valamelyik biztonsági osztályba: ugyanakkor a szabályozás lényege, hogy a törvény egy elvárt szintet (biztonsági szintet) követel meg a szervezettől. Ezt a szintet kell elérnie és fenntartania, majd évente újravizsgálnia a szervezetnek, vagyis nem támasztanak irreális követelményeket.

A törvényi megfelelés teljesítésére való hajlandóság megvan, de ezt informatikusi, rendszergazdai feladatnak gondolják, és ráfordítások nélkül akarják megoldani, ami a legtöbb esetben irreális vállalás – mondta Tamás Bence, aki szerint a legtöbb helyen ezen okok miatt (néhány előremutató kivételtől eltekintve) az utolsó pillanatra hagyják a szükséges döntéseket. Ezen a téren egy átlagos, a törvényi előírások betartását szolgáló projekt ugyanis 2-3 hónapot is igénybe vehet, a július 1-i határidő pedig közeleg.

A Mandiner megkeresésére több – budapesti és vidéki – önkormányzat jegyzői titkárságán is azt közölték: még nem is hallottak erről a kötelező vizsgálatról, illetve nem tudnak biztosat afelől, hogy elkezdték-e már. Kaptunk néhány pozitív választ is, például Pesterzsébet és Kaposvár önkormányzata is azt közölte, hogy határidőre megfelelnek az előírásoknak és vagy van elkülönített keretük a biztonsági ellenőrzés költségeire, vagy saját informatikusaikkal oldják azt meg. A Józsefvárosi Önkormányzat azt írta, közbeszerzést írnak ki, és már folyik az ajánlatok bekérése, az V. kerületben pedig jórészt már el is végezték a szükséges ellenőrzéseket.

Néhány központi hivatalt is megkérdeztünk, hogy állnak, a kapott válaszok szerint mindenhol időre befejezik majd az ellenőrzést. A legtöbb szerv saját munkatársaival dolgozik, de az NMHH például lehet, hogy be fog vonni külső szakértőket. Az Országos Atomenergia Hivatal azt közölte, hogy inkább csak adminisztratív hiányosságokat kell pótolniuk az előírások teljesítéséhez. A megkérdezettek közül az MNB-nél és az NMHH-nál is előfordult már hackertámadás, amit azonban sikerült kivédeni. A legtöbb hivatal, például a rendőrség és az atomenergia hivatal is hangsúlyozta, hogy eddig is nagy gondot fordítottak az informatikai rendszerüket érintő megelőző védelmi intézkedésekre.

A törvényben előírt biztonsági ellenőrzés folyamatát a Nemzeti Elektronikus Információbiztonsági Hatóság (NEIH) koordinálja, a hivatal közzétett egy segédletet a rendszerek információbiztonsági osztályba sorolásához. A hatóság kérdésünkre azt közölte, hogy jelenleg nincs átfogó információ arról, hogy milyen az állami szervek és önkormányzatok kiberbiztonsága, a július elsejei határidőt követően azonban egységes adatbázist hoznak létre erről és védelmi standardeket állapítanak meg. A NEIH közlése szerint a törvényhez kapcsolódó végrehajtási rendelet, amely a biztonsági vizsgálatot és annak határidejét előírja, szakmai körökben már korábban is ismert volt, így felkészültek az érintettek, van olyan szervezet, ahol már be is fejeződött a vizsgálat. Hozzátették: a hatóság folyamatosan konzultál az érintettekkel, hogy lehetőleg senki ne fusson ki a határidőből. Arra a kérdésre, hogy ha ez mégis megtörténik, fognak-e bírságolni, csak azt közölték: a hatóság nem büntető szervezet.

Ki vigyáz az adatainkra?

Tamás Bence azért is örül a kiberbiztonsági törvénynek, és optimista ezzel kapcsolatban, mert az szerinte előbb-utóbb hatni fog a versenyszférára is, és növelni fogja a tudatosságot. Mint azt a Web Biztonság Informatika Kft. ügyvezetője elmondta, Magyarországon egyelőre még kevés az igény a megelőző „etikus hackelésre”, amit ők csinálnak, de Nyugat-Európában ez már bevált gyakorlat, annak ellenére, hogy ott tízszer annyiba kerül.

Az állami szervekre vonatkozó informatikabiztonsági előírások szigorítása arra is rámutat, hogy eddig mennyire nem voltak biztonságban az adataink ezeknél a szerveknél. (Egy közelmúltbeli esetben szabadalmi titkok váltak például tömegesen elérhetővé úgy, hogy még betörés sem történt.) Elgondolkodtató, hogy az állam számos adatunk átadására még kötelez is bennünket, és azokat nyilvántartja, úgy tűnik azonban, hogy eddig távolról sem tett meg mindent azért, hogy ezek az adatok ne kerüljenek illetéktelen kezekbe. Talán az új törvény által előírt biztonsági ellenőrzések nyomán ez változni fog.

forrás: mandiner.hu