Albert, Lipót
7 °C
14 °C
Index - In English In English Eng

A kiberbiztonságot mindenki dobálja, mint a forró krumplit

2015.09.25. 16:06
Mi az a kiberbiztonság? Kinek kellene foglalkozni vele? Egyáltalán hogyan? Szoftvereket kell venni? Törvényeket alkotni? Mindent egyszerre, sok mindenkinek, ami nem könnyű. Elég a felszínt megkapargatni, hogy lássuk, miért.

Már évek óta van információbiztonsági, divatosabb szóval kibervédelmi konferencia Magyarországon, az ITBN, több hivatal is foglalkozott már ezzel a kérdéssel, új szakterületek, titulusok jöttek létre, de még mindig nehéz megfogalmazni, hogy egyáltalán mi az a kibervédelem. Arról nem is beszélve, hogy a laikusok ráadásul már sokkal korábban lemaradtak: hatalmas űr feszül az állami pénzeken, hatalmas erőforrásokkal fejlesztett, szinte észrevehetetlen kiberfegyverek, kifinomult technikával dolgozó kiberbűnözők és az átlagember között a témában.

És ezek az átlagemberek, akiknél néha még az egér kezelése is problémát jelent (ezt már nem én mondom, hanem az őket felügyelő belső ellenőr) sokszor olyan pozíciókban dolgoznak - például a közigazgatásban - ahol érzékeny adatokhoz férnek hozzá, és bejutási pontot jelenthetnek még fontosabb információkhoz is.

Az ITBN-konferencián két nap alatt végighallgatott számtalan előadás mind foglalkozott ezzel az ellentéttel, aminek fő oka a szakértők szerint az, hogy nagyon gyorsan, 25 év alatt az egész internet a zsebünkbe került, korábban nem látott még ilyen hirtelen fejlődést a világ, és

egyszerűen lehetetlen lekövetni a legújabb technológiákat, ha valakinek nem ez a szakterülete.

Nem egy nyelvet beszélnek a szakértők sem

Nem igazán meglepő az sem, hogy az átlagembernek gőze nincs a digitális fenyegetésekről. Bár egyre több cikk jelenik meg a témában, hiszen egyre több a látványos hekkelés is, gyakran szivárognak privát adatok (itthon mondjuk még nem volt erre hatalmas botrányt kavaró példa), az általános felfogás szerint mindenki csak akkor (és addig) foglalkozik igazán ezekkel, ha maga is áldozat lesz. 

A tisztánlátásra pedig a laikusoknak gyakorlatilag esélyük nincs. Arról, hogy mi a kiberfenyegetettség, kibervédelem, még a szakértők is vitatkoznak, felfogások versenyeznek egymással. Másik cikkünkben már tömören összefoglaltuk, mi az a furcsa halmaz, ami miatt senki nem tudja eldönteni, mi, kihez tartozik:

A kibervédelmet leegyszerűsítve így lehetne összefoglalni:

  • Mivel ma már digitális korban, gazdaságban élünk, az információnak hatalmas értéke van, ezt az információt meg kell védeni (de már az információ definíciója sem egységes);
  • Ez legtöbbször digitális védelmet jelent: antivírusok, tűzfalak, speciális szoftverek - erre vannak a szakkiállítások, piaci alapú cégek, és néha az állam (2014-ig a kibervédelmi központ, ma például a GovCert, akik fejlesztenek, használnak ilyeneket);
  • De a szoftverek önmagukban nem elegendőek: hozzá kell venni még a jogszabályi hátteret, a feladatok megfelelő elosztását, a rendszeres ellenőrzéseket (jogszabály még meglenne, a többivál már gond van);
  • És a fenyegetésekről való folyamatos információcserét a kormányok, techcégek, biztonsági cégek között – ez az, amit most vágott el a kormány.

Praktikus ellentétek

Bár itthon egész jó jogszabályi kereteink vannak a védelem kialakítására, politikai okok is gyakran közbe szólnak, de még ennél is meghatározóbbak egyszerű praktikus indokok. Például egy kórházban fontos lenne, hogy a betegek személyes adatait zártan kezeljék, az sem kihagyható a képletből, hogy amikor gyorsan kell cselekedni, az élet megmentése az elsődleges, sokkal egyszerűbb, ha az ügyeletes nővér ugyanúgy hozzáfér a betegről szóló információkhoz, mint a kezelőorvosa.

Informatikai megoldás nyilván lenne, de látható, hogy nem működik, egyszerűen nem férnek bele plusz körök ilyen esetben. Marad mondjuk a jogszabály, nálunk is: a személyes adattal való visszaélés bűncselekmény – (egyelőre) nem is tudunk iylenről az egészségügyben.  Nyilván a fenti szélsőséges példa, de a legtöbb cégvezető, állami szerv is így gondolkodik, az ITBN kiállítóterében megjelent különböző megoldásokat valószínűleg kevesen alkalmazzák vagy csak részben, pont a fenti dolgok miatt. És amíg az emberek úgy érzik, nincs is szükségük digitális védelemre, ez nem is fog változni.

A kiberterroristák honlapeltérítései, az iráni atomerőmű centrifugájának lassítása kifinomult kiberfegyverrel, egy nemzetközi stúdió összes adatának internetre pakolása egyelőre Magyarországon mind távoli esemény, ami érdekli ugyan az embereket, de nem változtat a hozzáállásán, ha saját biztonságukról van szó - és ez gyűrűzik felfelé, egészen cégvezetői szintekig vagy éppen a kormányig.

Mindenesetre, az autóipar lassan kapcsol, talán majd jönnek a többiek is, és pár év múlva, aztán elindulnak a tudatosítókampányok, amik elérik az átlagembereket, akiknek a szokásaikon kell változtatni a rendes digitális biztonsághoz. Nem lehetetlen, végül is autót vezetni és bekötni magunkat is megtanultunk, pedig régen csak lovaskocsik voltak.

Megkérdeztük a Belügyminisztériumot

Egy a konferencián elhangzott előadás szerint a magyar kibervédelem sokat romlott, és a nemzetközi listákon valószínűleg rosszabb helyre kerülünk az átszervezések, illetve jogszabályi változtatások miatt. Ennek kapcsán kerestük meg kérdéseinkkel a Belügyminisztériumot.

"Magyarország Kormánya 2013. március 21-én kormányhatározatot fogadott el Magyarország Nemzeti Kiberbiztonsági Stratégiájáról. A stratégia megfogalmazott célja, a kibertér biztonsági környezetének elemzése alapján azon nemzeti célok, stratégiai irányok, feladatok és átfogó kormányzati eszközök meghatározása, amelyek alapján hazánk érvényesíteni tudja nemzeti érdekeit a globális kibertér részét képező magyar kibertérben is" – kezdte levelét a Belügyminisztérium, és arról is írtak, hogy a magyar kibervédelmi szervezetrendszer létrejötte óta az alapvetően pozitív hatások mellett a struktúra bonyolultságára, illetve hiányosságaira is fény derült. Ennek orvoslására módosították idén júliusban az állami és önkormányzati szervezetek elektronikus információbiztonságáról szóló 2013. évi L. törvényt, amelynek értelmében október elsején létrejön a Nemzeti Kibervédelmi Intézet. Hasonló szervezet működik például Németországban, Hollandiában és Csehországban is.

"A hazai állami elektronikus információs rendszerek biztonsága az elmúlt években határozott fejlődésnek indult, azonban a kívánatos (teljes körű) biztonsági szint eléréséhez még sok a tennivaló. A kielégítő kiberbiztonság ugyanis nem teremthető meg pusztán a szervezetrendszer kialakítása és az általa működtetett biztonsági rendszerek fejlesztésével és üzemeltetésével" – írják.