Európa felkészül a kiberháborúra
További Tech cikkek
- Új válság fenyeget: a B-vitamin-hiány már itt van a sarkon, az italpolcok is kiürülhetnek
- Fontos változás jön a Google keresőjében, érdemes résen lenni
- Beperelték a YouTube-ot, súlyos vádakat fogalmaztak meg
- Háborognak a játékosok, órákra leállt a PlayStation szolgáltatása
- A YouTube egy új eszközzel segítene a feltörekvő tartalomgyártóknak
Miközben a társadalmunk egyre elképzelhetetlenebb internet vagy mobileszközök nélkül, és a gazdaság is egyre nagyobb részben támaszkodik digitális infrastruktúrákra, ez a rengeteg pozitívummal járó átalakulás egyben beláthatatlan biztonsági kockázatot is hozott.
Szinte hetente derül fény újabb és újabb durva adatlopásokra, azt pedig mi magunk is teszteltük, hogy még a privát wifihálózatok sincsenek biztonságban. Az utóbbi években viszont az egy-egy céget vagy a felhasználók adatait érintő veszélyek mellett megszaporodtak a kritikus infrastruktúra elleni támadások is. 2007-ben például Észtországot érte átfogó kibertámadás, a kórházakat sorban fertőzik meg a zsarolóvírusok, és tavaly történt az ukrán elektromos hálózat addig példátlan meghekkelése is. Oroszországgal szemben pedig gyakorlatilag jelenleg is folyik a kiberháború.
A példákat persze lehetne még sorolni: egy felmérés szerint 2015-ben 38 százalékkal több kiberbiztonsági incidenst jelentettek globálisan, mint egy évvel korábban. Ezért egyre nagyobb szükség van összehangolt stratégiára és a gyakorlatban is hasznos szabályozásra. Már csak azért is indokolt a közös EU-s fellépés, mert nemcsak a szolgáltatások nyúlnak át ma már rutinszerűen az országhatárokon, de egy-egy hálózat- vagy információbiztonsági incidens is kihathat az egész Unióra.
Az EU kiterjeszti a biztonságot
Ebben a helyzetben nem csoda, hogy az EU a maga bürokratikus megfontoltságával, de sorban fogadja el a biztonságosabb digitális mindennapok megteremtésére hivatott szabályozásokat. Korábban leginkább csak a távközlési és az internetszolgáltatók voltak kénytelenek foglalkozni a kiberbiztonsággal, mert csak rájuk vonatkoztak az EU által 2012-ben bevezetett hálózatbiztonsági, adatvédelmi és incidensbejelentési kötelezettségek. Az új szabályozások egyik célja éppen ennek a kiterjesztése a távközlési piacon túlra is.
Az EU új információbiztonsági rendje két fő pillérre épül. Az egyik a tagországok adatkezelését közös nevezőre hozó általános adatvédelmi rendelet, a GDPR. Ez az európai állampolgárok személyes adatait védi minden eddiginél alaposabban, és egységes működési keretet biztosít az ezeket az adatokat kezelő cégeknek. Ez szintén idén, május végén lépett hatályba, ide kattintva, az akkori cikkünkben olvashatnak róla bővebben.
A másik pillér pedig az augusztus elején frissen életbe lépő, a hálózati és információs rendszerek biztonságáról szóló irányelv, vagyis a NIS. Ez az első uniós szintű kiberbiztonsági szabályozás, amely az EU szerint segíthet megelőzni az európai infrastruktúra elleni kibertámadásokat. Július 6-án hagyta jóvá az Európai Parlament (EP), és augusztus 8-án lép hatályba. Célja közös nevezőre hozni a tagállamok kibervédelmét, meghatározni egy közös biztonsági minimumot, és ehhez közös eszköztárat – intézményi rendszert, szabályozást – adni a kezükbe.
Az irányelv legfontosabb jellemzői dióhéjban:
- Két csoportra vonatkozik: az alapvető szolgáltatást nyújtó szolgáltatókra (vagyis a kritikus infrastruktúrára) és a digitális szolgáltatókra.
- Komolyabb biztonságot követel meg, és kötelező incidensbejelentést ír elő kibertámadások esetén.
- A tagállamoktól saját kiberstratégia és felügyeleti intézmények létrehozását várja el, illetve lefekteti a tagállamok közötti kötelező együttműködés kereteit.
Az európai infrastruktúra védelme
A NIS nem általános szabályozás, hanem két konkrét csoportra vonatkozik, azokra, amelyeknek a megtámadása a legérzékenyebben érinti a társadalmat. Az egyik ilyen halmaz az alapvető szolgáltatást nyújtó szolgáltatóké: digitális infrastruktúrák, energiacégek, ivóvízellátók, közlekedési vállalatok, egészségügyi szolgáltatók, banki szolgáltatások, pénzügyi piaci infrastruktúrák tartoznak bele. Az ide sorolandók pontos körét a tagállamok maguk határozzák meg az alapján, hogy
- az adott szervezet szolgáltatása alapvető-e a társadalom vagy a gazdaság számára,
- ennek a szolgáltatásnak a biztosítása függ-e hálózati és információs rendszerektől, illetve
- egy kiberbiztonsági incidens jelentős zavart okozna-e a szolgáltatásban.
"Ezeken az ágazatokon belül sem mindenre és mindenkire vonatkozik, hanem csak azokra a konkrét szolgáltatásokra, amelyeknek a kiesése komoly társadalmi vagy gazdasági károkat okozna. Ha egy kibertámadás nagyobb fennakadást okoz egy ország áramellátásában, az ide tartozik. Ha a támadás viszont csak az adott áramszolgáltató marketingrészlegét lövi le két-három napra, akkor nem biztos. Az első esetben ugyanis a kritikus infrastruktúra védelme és a lakosság alapvető áramellátása közvetlenül sérülnek, a másodikban viszont csak az adott szolgáltató szenved el némi üzleti kellemetlenséget" – magyarázta az Indexnek Précsényi Zoltán, aki a Symantec biztonsági cég brüsszeli kormányzati kapcsolati menedzsereként részt vett az új szabályozások előkészítésében.
A másik érintett csoportba azok a digitális szolgáltatásokat nyújtó szolgáltatók tartoznak, amelyek ugyan nem nélkülözhetetlen, de fontos társadalmi hatású szolgáltatásokat kínálnak: az online piacterek, a keresőszolgáltatások és a felhőszolgáltatók. (Az irányelv korábbi tervezetében a közösségi oldalak is szerepeltek, de a végleges változatból kikerültek – vagyis kimondatott, hogy Facebook nélkül is van élet.) Fontos, hogy azokra a szolgáltatókra is vonatkozik a NIS, amelyek az EU-n kívüliek, de itt is szolgáltatnak, tehát például az amerikai Amazonra vagy Google-re. Ugyanígy, a brexit ellenére a brit cégeknek is meg kell felelniük az irányelvnek, ha az EU-n belül működni akarnak.
Nagyobb szigor, kötelező jelentés
Mindkét csoport számára két fontos változást hoz az irányelv. Egyrészt a kockázatokkal arányos mértékű hálózat- és rendszerbiztonságot kell garantálniuk, másrészt be kell jelenteniük az illetékes nemzeti hatóságnak, ha mégis valamilyen jelentős biztonsági incidens éri őket. Az alapvető szolgáltatások esetében viszont nagyobb a szigor, náluk a tagállamok hatóságai ellenőrizhetik, hogy milyen biztonsági lépéseket terveznek, és hogy ezeket a gyakorlatba is megfelelően átültetik-e.
Jelentős átfedés van a két új szabályozás, a GDPR és NIS rendelkezései között, hiszen mindkettő meghatároz biztonsági előírásokat és incidensbejelentési kötelezettséget.
A két jogszabály két különböző aspektusból és két különböző cél érdekében támaszt egyébként eléggé hasonló elvárásokat
– mondja Précsényi. "Nagyon leegyszerűsítve az új jogszabályok remélt következménye az lesz, hogy a kötelező adat- és rendszerbiztonsági előírások révén több kibertámadás válik megelőzhetővé, az incidensbejelentéseknek köszönhetően pedig több információhoz juthatnak a bűnüldöző szervek, tehát növekedhet a felderítési arány."
Teljesen más irányból közelít viszont a két szabályozás, és más típusú incidensekre vonatkoznak:
- A GDPR célja a személyes adatok és a magánszféra védelme, ezért a központjában a felhasználó áll. A NIS-ben a hálózatvédelmen van a hangsúly, és a szolgáltatókra hegyezték ki.
- A GDPR minden cégre vonatkozik, amelyik európai állampolgárok személyes adatait kezeli, a NIS hatásköre jóval szűkebb, csak a legfontosabb szolgáltatásokra összpontosít.
- A GDPR szerint akkor kell bejelenteni egy biztonsági incidenst, ha személyes adat forog kockán, a NIS alatt akkor, ha az adott szolgáltatás kerül veszélybe.
- Ha személyes adat kompromittálódik, a GDPR értelmében az adott cég köteles az adat tulajdonosát, vagyis a felhasználót is értesíteni, a NIS hatálya alá tartozó cégeknek elég a felügyelő hatóságnak bejelentést tenni "jelentős hatású" hálózati incidens esetén.
Hogy mennyire számít jelentős hatásúnak egy biztonsági esemény, attól függ, hány embert érint a szolgáltatáskimaradás, mennyi ideig tart, és földrajzilag mennyire kiterjedt; illetve a digitális szolgáltatók esetében még attól is, hogy milyen mértékű zavart okoz a szolgáltatásban, és mekkora hatást gyakorol az adott szolgáltatásra épülő gazdasági és társadalmi tevékenységekre. A tagállamoknak e szempontok szerint kell majd pontosan meghatározniuk a feltételeket, amikor átültetik az irányelvet a maguk nemzeti jogrendjébe.
Szorosabb európai együttműködés
A kibertámadások gyakran egyszerre több tagállamot érintenek, a szétforgácsolt védelem sebezhetővé tesz minket
– mondta Andreas Schwab, az Európai Parlament illetékes jelentéstevője a NIS elfogadásakor, amelynek éppen az a fő célja, hogy szorosabbra fűzze az együttműködést. Ehhez a tagállamoknak több feladatuk is van az irányelv élesedéséig hátralévő 21 hónapos türelmi időben:
- A NIS alapján ki kell dolgozniuk egy nemzeti hálózat- és információbiztonsági stratégiát.
- Ki kell jelölniük egy nemzeti hatóságot, amely felügyeli a NIS átültetését és végrehajtását.
- Ki kell jelölniük egy vagy több gyors reagálású kibervédelmi csapatot, ezek az úgynevezett CSIRT-ek (Computer Security Incident Response Team) vagy CERT-ek (Computer Emergency Response Team). (A kettő ma már szinonimának számít, az EU a CSIRT kifejezést használja, Magyaroszágon inkább a CERT-et preferálják a hatóságok.)
- Szektoronként meg kell határozni, pontosan milyen kritériumok alapján számít egy-egy cég az irányelv hatálya alá, és ezután a konkrét cégeket is ki kell jelölni. Erre a 21 hónapos átültetés után még további 6 hónapja lesz a hatóságnak.
EU-s szinten pedig létre kell hozni a kiberbiztonsági csapatok együttműködését koordináló CSIRT-hálózat, illetve a nemzeti hatóságok együttműködését segítő Együttműködési Csoportot is. Mindkét szervezet felállítására fél éve van az EU-nak – vagyis a tagállamoknak közösen – de érezhetően gyorsan akarnak haladni, ezért ezeket már el is kezdték előkészíteni.
A szabályozás részleteinek a kidolgozására az Európai Bizottság létrehozott egy szakértői csoportot még májusban. Ennek magyar részről a Nemzeti Kibervédelmi Intézet (NKI) a tagja, és általában is az egész kiberbiztonsági szervezkedésben ők képviselnek minket, ezért őket kérdeztük arról, milyen feladatok állnak még Magyarország előtt, és mit várnak az új irányelvtől.
Mi a helyzet itthon?
Itthon is van még hova fejlődni, mert az NKI szerint 2013 óta egyedül az állami és önkormányzati szektor rendszereire vonatkozik egységes szabályozás, és a NIS alá tartozó szektorokból is csak néhánynál léteznek IT-biztonsággal foglalkozó előírások.
Szervezeti szinten viszont már egész jól állunk: tavaly ősszel felállt egy egységes kiberbiztonsági intézményrendszer, középpontban az NKI-val. Ez foglalja magában a NIS felügyeletét is ellátó Nemzeti Elektronikus Információbiztonsági Hatóságot (NEIH) és a Kormányzati Eseménykezelő Központot (GovCERT) is. Utóbbi látja el Magyarországon a NIS által előírt központi CSIRT szerepét.
A NIS alapján tagállamonként csak egy CSIRT kötelező, de akár szektoronként egy-egy is felállítható. Magyarországon már most is több ilyen eseménykezelő csoport működik: a kormányzati rendszerek védelmében a GovCERT-é a központi szerep, de emellett a Honvédelmi Minisztériumnál működik egy külön MilCERT is, a kritikus infrastruktúrákért pedig a belügyminisztérium Országos Katasztrófavédelmi Főigazgatósága felelős. A kormányzati szektoron kívül pedig az önkéntes alapon szerveződő HunCERT az internetszolgáltatók, a NIIF CSIRT pedig az oktatási-kutatási-közgyűjteményi intézmények eseménykezelését látja el.
Az irányelv előírja egy európai CSIRT-hálózat létrehozását is, ez hivatott hatékonyabbá tenni az együttműködést, ha például egy több tagországban is szolgáltatást nyújtó céget ér támadás. A különböző országbeli CSIRT-ek között már eddig is volt valamiféle együttműködés, közvetlenül és különböző CSIRT-szervezeteken keresztül is. Ezek viszont önkéntes szerveződések voltak, és a különböző szervezetekbe más-más tagok, más-más feltételek szerint kerültek be. Az NKI szerint ezért más-más bizalmi szint is alakult ki a tagok között, ami alapjaiban határozta meg az együttműködés jellegét.
Az NKI szerint a most létrehozandó CSIRT-hálózat azért szokatlan, mert kötelezően tagja lesz minden CSIRT, ezeknek viszont még többnyire ki kell építeniük az egymás iránti bizalmat. Ezért az NKI azt várja, hogy a kötelező hálózat csak fokozatosan éri majd el a már létező önkéntes csoportosulások szintjét. Hosszabb távon viszont arra számítanak, hogy gyorsabban tudnak majd együtt reagálni a tagországok a fenyegetésekre.
2018-ig a legfontosabb itthoni tennivaló, hogy meg kell ismertetni az új szabályokat az érintett ágazatok szereplőivel, és együtt kidolgozni a megvalósítás részleteit. Ki kell jelölni a azokat a cégeket is, amelyekre konkrétan vonatkozni fognak itthon az új előírások. Mindeközben a részletek EU-s szintű kidolgozásában is részt kell venni: az Együttműködési Csoport beindításában, illetve az incidensbejelentések pontos menetének meghatározásában.
Itt volt már az ideje
A GDPR-t 2018 májusától kezdik alkalmazni (közvetlenül, hiszen az egy rendelet), és a NIS-t is ugyaneddig kell átültetni a nemzeti jogrendekbe (mivel az csak irányelv). Vagyis a gyakorlatban
Annyi biztos, hogy már épp ideje is lesz, mert a kiberbiztonság gyorsan változó terület, az EU malmai viszont lassan őrölnek: a GDPR-t 2012-ben kezdték kidolgozni, a NIS első tervezete 2013-as, vagyis mire életbe lépnek, már 5-6 évesek lesznek.
"Az eredeti javaslatok évekkel ezelőtti beterjesztése óta végeláthatatlan viták zajlottak Brüsszelben arról, hogy azok életképesek, indokoltak, arányosak-e" – mondja Précsényi. Egyesek sokkal nagyobb szigort követeltek, mások már így is túlszabályozással riogattak. Viszont amikor tavaly decemberben már látszott, hogy milyen lesz a végleges változatuk, akkor a szakmán belül a vitát felváltotta a verseny: ki milyen gyorsan, milyen ügyesen lesz képes alkalmazkodni az új szabályokhoz, és milyen hatékonyan fog élni a bennük rejlő új lehetőségekkel.
Abban viszont ma már minden szakmabeli egyetért Précsényi szerint, hogy ezekre a szabályokra szükség van, mert ha minden tagállam saját hatáskörben próbálná meg rendezni a kérdést, a maga belpolitikai érdekei mentén, még inkább felaprózódna az európai digitális piac, a késlekedés pedig a felhasználókat és a cégeket is még jobban kiszolgáltatná a biztonsági kockázatoknak.
A vita ma már inkább arról folyik, mi lesz a következő lépés. Nagy kérdés például Précsényi szerint, hogy a két szabályozás kellően lefedi-e a Dolgok Internetét, hiszen a hálózatba kötött okoskütyük ma még kevéssé kezelnek érzékeny személyes adatot, és kritikus infrastruktúrának se minősül egy konyhai okoshűtő, a közeljövőben viszont komoly biztonsági kockázatot jelenthet ez a szegmens.
Précsényi arra számít, hogy az újabb uniós szabályozási hullám 2019-ben jön, és főleg a távközlési szektort és a bizalmas elektronikus kommunikációt fogja érinteni: "Annyi bizonyos, hogy a magyar gazdaság digitalizációja szempontjából ezek mindenképp fontos kérdések lesznek, és
sokkal nagyobb figyelmet érdemelnének, mint amennyi a GDPR vagy a NIS brüsszeli vitáinak kijutott.
(Címlap és borítókép illusztráció: szarvas / Index)
Ne maradjon le semmiről!