A magyar országgyűlés hétfőn elfogadta „az állami és önkormányzati szervek elektronikus információbiztonságáról” szóló törvényjavaslatot, az úgynevezett információbiztonsági törvényt. Ezzel az ország az elsők között adott használható, egységes jogi keretet a digitális veszélyek elleni fellépésre. A kibertámadások ellen gyors reagálású kormányzati szerv jön létre, felmérik az egész állami kritikus infrastruktúrát, és valószínűleg katonai kibervédelmi alakulat is létrejön. Az elmúlt pár év megmutatta, hogy van mitől félni, Magyarország is többször volt kibertámadások elszenvedője.
A magyar kormány eljutott odáig, hogy törvényt alkosson a digitális információk biztonságáról. A vírusfertőzések gyakorlatilag a számítógépekkel egyidősek, 2007 óta pedig azt is tudjuk, milyen egy háború a kibertérben: oroszországi hekkerek napokra lebénították az észtek informatikai rendszerét.
Ehhez jön még, hogy az utóbbi két évben kártevők teljesen új generációja jelent meg: rendkívül kifinomult programok célzottan mennek egyes rendszerekre és adatokra. A legelső ismertté vált eset a Stuxnet: azóta az USA és Izrael elismerték, hogy a kémprogramot kifejezetten az iráni atomprogram tönkretételére fejlesztették ki, csak elszabadult, és ma valószínűleg a legtöbb ipari létesítményben ott tanyázik.
A Stuxnet utódai már Magyarországra is közvetlen fenyegetést jelentettek: a BME-n működő Crysys Lab szakemberei többet itthon fedeztek fel. A Duqu, a Flame, a Gauss magyar célpontokat is támadott. Pár hete pedig egy ezektől különálló, de szintén nagyon kifinomult malware-t, a Teamspyt fülelték le a Nemzeti Biztonsági Felügyelettel közösen. A program NATO- és EU-célpontok mellett több magyar diplomáciai számítógépben is kárt okozott. Az elemzésből kiderült, hogy a Teamspyt már 2004 óta használhatták különböző, kibertérben végrehajtott bűncselekmények elkövetésére.
A fenyegetés tehát egyértelmű, ma már nem elég egy állam fizikai határainak védelme, szükség van a digitális készenlétre, azonnali beavatkozásra, utólagos vizsgálatokra és előzetes felkészítésre is. Ma a kormánynak nincs valós képe arról, hogy az állami infrastruktúrában, illetve a kritikus infrastruktúrához sorolható magáncégeknél pontosan milyen rendszerek működnek, sem arról, hogy azok védelme milyen minőségű, és van mit javítani az intézmények közötti kommunikáción is. Az egész most elfogadott információbiztonsági törvény erre a koncepcióra épül.
Magyarország nemzeti kiberbiztonsági stratégiája alapjaiban a 2001-ben elfogadott Budapest Konvencióig nyúl vissza, amely nemzetközi fontosságú konkrét magyar hozzájárulás a globális kiberbiztonsághoz: az aláíró országok vállalták, hogy megosztják egymás között a kártékony kódokkal, konkrét támadásokkal kapcsolatos információkat. Ez azóta többször a gyakorlatban is segítette a tagokat.
A Stuxnet megmutatta, hogy a kibertámadások a fizikai infrastruktúrát is veszélyeztetik, az interneten elkezdett manipulációk az emberek mindennapjaira lehetnek hatással. A kritikus rendszerek kiesése könnyedén megbéníthat egy teljes országot is. A szakemberek már egészen korán felismerték, hogy viszonylag védtelen a magyar infrastruktúra, a Digitális Mohács című, egyelőre képzeletbeli forgatókönyv alapján órák alatt bedönthető Magyarország.
Ennek megakadályozására történtek már kisebb lépések, de a most elfogadott törvény az első, kormányzati szinten megjelent, átfogó, kötelező jellegű szabályozás, amely valós lépéseket tesz a megfelelő védekezés kialakítására. A törvény indokolása az alábbi veszélyforrásokat azonosítja: állami vagy üzleti hírszerzés, bűnözés, terrorista csoportok, valamint aktivista egyének vagy csoportok, mint például a korábban leszólt Anonymous.
A jogszabályban több elérendő célt is megfogalmaznak a jogalkotók (a javaslat teljes szövege itt olvasható). Az alap „az elektronikus információs rendszerek és rendszerelemek, az azokban tárolt, kezelt információk (adatok) védelme”. Ez az általános megfogalmazás a gyakorlatban majd valószínűleg a megállapított biztonsági szinteknek megfelelő szoftveres és hardveres szabályozást, és egy kifejezetten a biztonságért felelős személy foglalkoztatását jelentik. Erre szükség is van: az Index majdnem pontosan egy évvel ezelőtt készített helyzetfelméréséből kiderült, hogy valóban vannak problémák, sok helyen nagyjából már a kiberbiztonságot mint témát sem igazán értették.
A törvény alapján kötelezően felmérik az állami és önkormányzati szervek elektronikus információs rendszereinek biztonsági állapotát. Ez egy régóta hiányzó dolog, már jóval korábban meg kellett volna lépni. Az Index információi szerint valószínűleg a tökéletes káosz képe rajzolódik majd ki a felmérések után, a különböző intézmények millióféle, sokszor elavult, sőt akár nem eredeti forrásból származó szoftvert használnak.
Sokszor át sem gondolják, mi jelenthet biztonsági kockázatot, Újbuda például fogta magát, és a Google-felhőbe költözött – innentől pedig az amerikai szerveknek még csak jogsegélyre sincs szükségük, ha pont onnan származó adatokra van szükségük. A Google ugyanis amerikai szabályozás alá tartozó cél, egyszerűen ki kell adnia ügyfelei adatait, az USA-ban pedig elég gyakran visszaélnek ezzel.
A most elfogadott törvényt a következő intézményekben kell alkalmazni: államigazgatási szervek, a fővárosi és megyei kormányhivatalok, a helyi és a nemzetiségi önkormányzatok képviselő-testületének hivatalai, a Köztársasági Elnöki Hivatal, az Országgyűlés Hivatala, az Alkotmánybíróság Hivatala, az Országos Bírósági Hivatal és a bíróságok, az ügyészségek, az Alapvető Jogok Biztosának Hivatala, az Állami Számvevőszék, a Magyar Nemzeti Bank, a hatósági igazgatási társulások és a Magyar Honvédség.
A kör elég tág, gyakorlatilag minden fontosabb, kritikus adatokat kezelő állami szerv belekerült. Ráadásul hozzácsapnak még mindenkit, akik ezeknek a szerveknek az adatkezelését végzi, tehát szigorúan a jogszabály szerint az Újbudának segítő Google is.
A törvény szerint a PreDeCo-elvet (megelőző – preventív, felismerő – detektív, elhárító – korrektív) kell használni a biztonsági események kezelésére, amelyből a megelőzés kiemelt szerepet kap. Létrehoznak egy úgynevezett kormányzati eseménykezelő központot, amely 24 órában felügyeli a kritikus infrastruktúrát.
Ez a megoldás mára nemzetközileg elterjedt, ez az úgynevezett CERT-funkció (Computer Emergency Response Team), aminek a feladata, hogy azonnal reagáljon a számítógépes biztonsági incidensekre. Ez a gyakorlatban azt jelenti, hogy amennyiben a megelőzés nem sikerül, az elhárításra illetve a támadók beazonosítására, leállítására kell törekedni. A központ feladata lesz még a hálózatbiztonsági helyzetértékelések elvégzése. A jogi blikkfang valószínűleg adott intézmények hálózatainak biztonsági próbáját jelenti. Ezeket a feladatokat eddig részben a Puskás Tivadar Közalapítvány, illetve a Nemzeti Biztonsági Felügyelet látta el.
Igazán vészhelyzetben viszont – bár egyelőre nincs katonai CERT-ünk – a honvédségé a terep: a törvény szövege szerint „rendkívüli állapot, váratlan támadás és megelőző védelmi helyzet idején a háborús vezetési rend egységességének elvéből kiindulva a Magyar Honvédség látja el a kiberműveleti tevékenységek országos koordinálását”. Ebből következően valószínűleg a most kialakítandó kormányzati CERT mellé kerül majd egy katonai is. Létjogosultsága amúgy is van, a legutóbbi teamspyos támadásnál végül nem cáfolták hivatalosan, hogy kifejezetten NATO-célpontok is voltak.