Rajnai Zoltán, Magyarország kiberkoordinátora tartott előadást szerdán a ITBN budapesti IT-biztonsági konferencián. Ebből az is kiderült, hogy a kiberkoordinátor megnevezés ugyan nagyon menőn hangzik, valójában nem a hazai robotzsaru-egységek bevetését irányítja, sokkal prózaibb feladatai vannak. Rajnai a magyar kibervédelem állapotáról beszélt, méghozzá szokatlanul önkritikusan, és több meglepő megjegyzést is elejtett menet közben.
Kezdjük mindjárt a jó hírrel:
Az elmúlt időszakban nem történt nagy veszteséget okozó kár a kormányzati hálózatokban
– mondta még az előadása elején Rajnai Zoltán, Magyarország kiberkoordinátora. Az ezt biztosító magyar kibervédelem gyakorlati oldala éppen egy évvel ezelőtt alakult át és vette fel a mai formáját, középpontban a Nemzeti Kibervédelmi Intézettel.
Rajnai erről ezúttal nem beszélt, inkább a jogalkotói oldalt mutatta be. A lényeg röviden:
Olajozottan hangzik, igaz? A gyakorlatban persze ennél döcögősebb a történet:
Ha most azt mondják, hogy már megint csak egy szervezetet hozunk létre, ami ráadásul nem technikai oldalon próbál meg védelmet biztosítani, akkor egy kicsit talán igazuk van
– mondta Rajnai, de hozzátette, hogy itt azért a sztori kormányzati oldaláról van csak szó, nem a – fentebb linkelt korábbi cikkünkben bemutatott – technikai megvalósításról.
A tanácsban többek között nyolc minisztérium képviselője ül, és Rajnai szerint "nem is mondondhatni, hogy feltétlenül ők a legnagyobb szakemberek, akik a minisztériumokban dolgoznak, hiszen ők elsősorban a politikai szintet képviselik". Az ő feladatuk a minisztériumok érdekeinek érvényesítése és közben jobb esetben a közös kormányzati álláspont kialakítása.
Gondolhatnák, hogy ezzel ki is merítettük a tanácskozáshoz szükséges testületek sorát. Pedig még csak most jönnek a munkacsoportok! A konkrét részproblémákra ugyanis hat ilyen munkacsoport keres megoldást, amelyek mindegyikében kormányzati szereplők és szakértők munkacsoportulnak: a belbiztonsági, az e-közigazgatási, az energiabiztonsági, a pénzügyi, a gyermekvédelmi és az egészségügyi munkacsoport. Sebaj, legalább minden területet alaposan lefednek így, ugye? Hát hogy is mondjam – sehogy, mondta maga Rajnai:
Ebből a hat munkacsoportból, azt kell mondjam, elsősorban a belbiztonsági az, amelyik viszonylag rendszeresen ülésezik. A másik csoport, amelyik érezhetően dolgozik, a gyermekvédelmi. Ami nem igazán sikerült az elmúlt időben, az a többi munkacsoport összehívása.
Ezek 2013 után "egy-két alkalommal még üléseztek, aztán széthullottak a világban" a kiberkoordinátor szerint. Ez részben annak köszönhető szerinte, hogy az új szervezeti felépítés 2013-as létrejöttekor rögtön lett ugyan egy kiberkoordinátor, de Szemerkényi Réka 2014-ben átült az amerikai nagyköveti székbe, így "majd másfél év telt el úgy, hogy nem volt kibervédelmi koordináció Magyarországon", ezért nem folyt munka a munkacsoportokban. (Rajnait 2016 elején nevezték csak ki.)
Ezért most a cél, hogy átnézzék ezt a rendszert, és megállapítsák, hogy tényleg szükség van-e a külön munkacsoportokra, pláne, hogy ezekben néhány kivétellel ugyanazok az emberek ülnek – mondta Rajnai. Nekem ott helyben volt egy tippem arra, milyen megállapításra juthatnak, de Rajnai ezt is kimondta hangosan: a szétaprózottság helyett jobb lenne, ha lenne egyetlen munkacsoport, amely az összes területet kezeli, és a jogszabály-alkotási és a technikai megoldásokat is tudja kezelni, illetve joga is van kezelni, és a cselekvési terv kidolgozását is ők végeznék. (Magát a cselekvést persze nem, hiszen ezt a már említett Nemzeti Kibervédelmi Intézet és társai végzik.)
A tanácsnak viszont csak tanácsadási, javaslattételi jogköre van, még hat munkacsoportostól is. Konkrét technikai tanácsot nem adnak, hiszen
miniszterek, államtitkárok, valljuk be őszintén, talán a legkevesebbet fognak érteni ahhoz, hogy technikailag milyen megoldásokat lehet alkalmazni.
Ezért hozta létre az a bizonyos kormányrendelet a tanács mellett a Kibervédelmi Fórumot is. Itt keresik a technikai megoldásokat a problémákra, de itt már nem a kormányzati oldal, hanem a magánszektor, a szakma tesz javaslatokat a konkrét technikai megvalósításokra. A kiberkoordinátor, vagyis most Rajnai feladata pedig éppen a két oldal: a politikai és a piaci szereplők közötti közvetítés. Ha önnek ez kicsit lassúnak hangzik, akkor nem egyedül gondolja ezt, hanem Rajnai Zoltánnal együtt:
Már most elkéstünk, amikor a legújabb kibervédelmi módszereket kell a támadások ellen kidolgozni
– mondta a kiberkoordinátor.
Rajnai szerint a vállalati szféra elsősorban abban érdekelt, hogy legyen minél könnyebben használható, így minél eladhatóbb ez a védelem, vagyis a hozzáférés az elektronikus adatokhoz. "Sajnos néha a cégek szándékosan gyengítik azt az információbiztonsági szintet, ami jogszabályi oldalról elvárt lenne" – mondta a cégek képviselői előtt állva. "Két éve épp az ITBN zárásaként hangzott el, hogy ha nem történik valami nagy változás,
Magyarország a személyes adatai kétharmadát nem fogja tudni megvédeni.
Újabb pontban érthet egyet a kiberkoordinátorral, ha ön is azt gondolja, hogy ez óriási probléma. Rajnai szerint ha nem tudjuk megvédeni az adatainkat, úgy járhatunk, mint az Egyesült Államok, ahol tavaly sok millió társadalombiztosítási adatot tudtak ellopni a hekkerek. De említhette volna éppen a több amerikai állam választói adatbázisa elleni támadásokat is, amelyekből legalább az egyik bevallottan sikeres volt. Abba most ne is gondoljunk bele, hogy mi lenne velünk, ha a magyar adatokat övezné olyan érdeklődés, mint az amerikaiakat.
Rajnai többször visszatért arra, hogy a vállalati oldalon néha megmutatkozó könnyítési szándék nehezíti a kormányzati oldal biztonsággal kapcsolatos törekvéseit. Mint mondta, ahogy az már közhely, hogy egy irodában ne sárga cetlivel ragassza a monitorra a jelszavát a kedves felhasználó, az is elvárható lenne például, hogy igenis legyen muszáj időközönként jelszót is változtatni, hiába kényelmetlen. "A rendszergazdáktól követeljük meg, hogy a nyitott hátsó bejáratokat, a tűzfalakon a réseket zárják be, a szoftverfrissítéseket végezzék el" – mondta, hozzátéve, hogy a kormány értelemszerűen lassabban mozdul, mint a szakma, ezért utóbbinak kell olyan biztonsági megoldásokat mutatnia, amelyeket a kormányzat alkalmazni tud.
Ez már csak azért is érdekes megjegyzés, mert a magyar kormány épp ezzel ment volna szembe, amikor a brüsszeli terrortámadás után bejelentett terrorizmus elleni intézkedéscsomagban belengette, hogy ellehetetlenítené a titkosított mobilkommunikációt. Ezt egyébként épp a szakmai körökben sokat kritizált hátsó ajtók megnyittatásával érhette volna el.
A biztonság növeléséhez mindenesetre elengedhetetlen a tudatosságra nevelés Rajnai szerint. Ehhez fontos a Deutsch Tamás-féle Digitális Jólét Program, a digitális írástudatlanság csökkentése, szélesebb rétegek rávétele a digitális felületek és az e-közigazgatás használatára. A Digitális Oktatási Stratégia már óvodás kortól elkezdené a digitális megoldások megismertetését a gyerekekkel. Ezt pedig egészen felnőttkorig, a felsőoktatásban is folytatni kell. Nyilván ott már nem arról kell, hogy szó legyen, hogyan kell facebookozni, hanem hogy a mérnök-informatikusoknak a képzése milyen irányba menjen, mennyire kapjon szerepet a piac vagy a kormány annak a meghatározásában, hogy mire kell képesnek lennie egy diplomásnak – mondja a főállásban az Óbudai Egyetemen oktató Rajnai. Aki viszont oktatóként az látja, hogy “a vállalati oldal részvétele a követelményrendszer kidolgozásában minimális. A vállalati oldal nem tudja megmondani, hogy mit szeretne pontosan egy mérnök-informatikustól. Sajnos ma még nem sikerült kipréselni a piaci szereplőkből, hogy szerintük globálisan mire készítse fel egy egyetem a hallgatóit.” Márpedig
valljuk be őszintén, nem biztos, hogy az a legjobb, ha a kormányzati oldal mondja meg, hogy mik legyenek egy mérnök-informatikus képességei.
Rajnai beszélt még arról, hogy szintén nagyon fontos a kritikus infrastruktúrák kibervédelme. Ezt elsősorban az Országos Katasztrófavédelmi Főigazgatóság látja el, de a kiberkoordinátor szerint nem szabad magára hagyni ebben a katasztrófavédelmet, mert ott nincs meg az a szakmai tudás, ami önmagában elég lenne a szükséges védelem biztosításához.
Szintén fontos még az információmegosztás, ami Rajnai szerint az amerikai kibervédelem első számú pillére, itthon viszont még van hova előrelépni ebben. Kell is hova, hiszen a hálózati és információs rendszerek biztonságáról szóló NIS-irányelvet a közelmúltban fogadta el az Európai Unió, és ennek az elemeit 2018-ig át kell ültetni a hazai kibervédelembe is.