Nemzeti Kiberbiztonsági Koordinációs Tanács? Nemzeti Biztonsági Felügyelet? Nemzeti Kiberbiztonsági Fórum? GovCert? Nem hallott még róluk? Pedig fontosak, igaz, összevissza kavargatták őket az elmúlt években. Azért feleltek vagy felelnek, hogy ne lopják el a kormány legféltettebb titkait vagy éppen az ön személyes adatait. A Honvédelmi Minisztérium NATO-jelentésben összegezte, hogy áll a magyar kibervédelem, amit tavaly fenekestől felforgattak. Akkor jól működött, most még nem tudjuk, mi lesz.
Kijött a NATO jelentése [PDF] a tagországok kibervédelmi képességeiről. Magyarország 2010-től pár év alatt az élmezőnybe dolgozta magát, a NATO kibervédelmi munkacsoportját is vezettük, 2014-ben azonban kirántották a talajt a szakemberek alól: az információbiztonsági törvényt inkább átírták, hogy új szervezeti felépítést hozhassanak létre. Sokáig azonban nem történt semmi, a régi intézmények megszűntek, elvesztették szerepüket, ezzel együtt Magyarország lényegében a kibervédelmi képességeit, az újak pedig nem jöttek létre.
A védelem biztosítása ideiglenesen a titkosszolgálatokhoz került, amelyeknek a támadás is feladatuk, így feloldhatatlan dilemma elé kerültek (mondjuk dilemmáik amúgy is vannak, az állami hekkelésről itt és itt olvashat bővebben). A kormány végül október elsején jelentette be, hogy megalakult a Nemzeti Kibervédelmi Intézet. Ilyen előzmények után érkezik a NATO Magyarországról szóló kibervédelmi jelentése, amit a magyar honvédelmi tárca két munkatársa készített.
A jelentés a NATO kibervédelmi összefogása, a Cooperative Cyber Defence Centre of Excellence (NATO CCD COE) keretében készült, több európai tagállam egyenként elkészíti, elkészítette a sajátját. A jelentés az elején leszögezi, hogy maga a riport nem biztos, hogy egyben a központ véleményét is tükrözi – bár ott készült.
A jelentés eleje összegzi Magyarország digitális világgal kapcsolatos viszonyát, elfogadott stratégiáinkat, jogszabályainkat. Mellékesen pedig kiderül belőle néhány, elvileg 2015 októberére aktualizált adat, például, hogy az internet elterjedtsége itthon 75 százalékos (2011 65 százalékához képest), azaz otthonában 7,5 millió ember jut internethez. Ezzel az EU-ban 17.-ek vagyunk a 28 tagállamból. Az internetezők 83 százaléka fér hozzá 10 megabit feletti, 40 százalék 30 megabit feletti internetsebességhez, ami sokkal jobb az EU-átlagnál, Deutsch Tamás örülhet.
Kiderült az is, hogy mára a magyarok 49 százaléka használja a digitális állam valamilyen szolgáltatását, az ügyfélkapunak 2 millió regisztrált felhasználója van, ahol 80 típusú ügyet intézhetnek el elektronikusan.
A jelentés világrendítően új dolgokat nem mond, igazából a képességeinkről sok nem derül ki, viszont feltérképezi a magyar kibervédelem szerkezetét, jogi alapjait. A helyzet nem egyszerű:
Az évek alatt a kibervédelem szerkezete többször átalakult. A koordináló szerv azonban a Belügyminisztérium alá tartozó Nemzeti Kiberbiztonsági Koordinációs Tanács, tagjai a honvédelmi, belügy-, külügy-, pénzügy-, nemzeti fejlesztési minisztérium államtitkárai, valamint a Magyar Nemzeti Bank és az Nemzeti Média- és Hírközlési Hatóság igazgatója. Egy másik hasonló szerv a Nemzeti Kiberbiztonsági Fórum, amelynek tagjai nem állami szereplők, vezérigazgatók is, akik így találkozhatnak a kormányzati döntéshozókkal.
2015-ig működött a Nemzeti Biztonsági Felügyelet is, a gyakorlatban addig ők foglalkoztak az állami rendszerek kibervédelmével, a biztonságos adatkezeléssel. 2011-ben a Nemzeti Biztonsági Felügyeleten belül hozták létre a magyar kibervédelmi hatóságot (Cyber Defence Management Authority – CDMA), egészen 2015 júliusáig ez volt a kapcsolódási pontunk a NATO kibervédelmi központjához.
Az átszervezéssel a Belügyminisztérium lett felelős a magyar kibervédelmi stratégiáért és szabályozásokért. Hogy a fenti jogszabályerdőből és hivatali burjánzásból kicsit visszafogjanak (mondjuk a kibervédelem tényleg több terület együttműködését igényli, és egyelőre mindenki keresi a megoldásokat), az elég furcsa múltú GovCert kapta a központi szerepet. A CERT (cert computer emergency response team) olyan csapat, amely képes gyorsan reagálni a kibertámadásokra, veszélyekre. Ezek közül GovCert minősítést csak állami szervek kapnak, a magyar Cert azonban sokáig az állami megrendeléseket kapó, de egyébként magán Puskás Tivadar Közalapítványnál volt, aki igazából nem lehetett volna GovCert.
2013-ban végül a GovCert funkciókat átvette a belügy, mostanra pedig még tovább erősítették ezt a szervezetet. A NATO-s dokumentum alapján átvette a Nemzeti Biztonsági felügyelet feladatait, és az újonnan létrehozott Nemzeti Kibervédelmi Intézeten belül működik. A katasztrófavédelemmel együtt részt vesz a kritikus infrastruktúra védelmében, a Certek közötti információmegosztásban, malware-eket elemeznek és hálózati forgalmat, válaszolnak a kibervédelmi kihívásokra. Bár a dokumentum nem fogalmaz ennyire világosan, a Nemzeti Kibervédelmi Intézeten keresztül, úgy tűnik, ők lesznek a NATO felé is a kapcsolattartók együttműködésben a 2014 végén létrehozott MilCerttel, amely kifejezetten a katonai kibervédelmi feladatokért felel.
Valószínűleg nemsokára újra értékelik majd Magyarország kibervédelmi képességeit, akkor meglátjuk, hogy mennyire vált be az új szerkezet: a központosítás tényleg jobb, vagy tényleg a halálba küldök a kibervédelmünket. Az biztos, hogy új hivatali szerkezet és jogszabálymódosítás már van.