Lassan szét kell húzni a függönyt
_{(Rajz: Szántói Krisztián)}

• Kapcsolódó írások:
• Az európai bankoknál elégtelen a dokumentumbiztonság
• A közösségi oldalak kiskapukat nyitnak a céges biztonságon

Nem maradhat titokban, ha egy amerikai bank figyelmetlen, vagy éppenséggel rosszindulatú tisztviselője az ügyfelekről szóló információkat, például a bankszámlaszámokat lementi magának. Az Egyesült Államokban ugyanis 2003 óta törvény kötelezi a szervezeteket, hogy közzétegyék a személyes adatokat érintő biztonsági incidenseket. Bár mindeddig kevés más ország követte a példát, a közzétett számok alapján az ilyen események száma és a kiszivárgott adatok mennyisége évről évre aggasztó ütemben növekszik. Az Infowatch elemzőintézet szerint 2009-ben az incidensek mértéke 39 százalékkal nőtt, és az ismertté vált esetekben 754 ezer különböző adathalmaz került illetéktelenekhez.

Az uniós tagállamokban – a kötelező nyilvánosságra hozatalt tavaly bevezető Nagy-Britannia kivételével – keveset tudni arról, hogy a vállalatok informatikai biztonsági felkészültsége megfelelő-e. Így egyfelől az adatvesztéseket elszenvedő, kiberbűnözők potenciális céltáblájává lett állampolgárok nem tudnak arról, hogy adataikkal esetleg visszaélhetnek. Ráadásul a szükséges óvintézkedéseket sem tudják megtenni. Másfelől, a biztonsági incidensek elhallgatása miatt nem is alakulhatott ki eddig az érintettek tájékoztatásának, a problémák orvoslásának megfelelő gyakorlata sem. Mindez jövő májustól megváltozhat az unióban, s ezzel együtt nálunk is, legalábbis a távközlési szolgáltatók esetében. Akkortól ugyanis kötelező lesz közzétenniük, ha az ügyfelek adatai kiszivárogtak.

Ködszurkálás | Ősszel itthon is számos olyan rendezvényt szerveznek, amelyen az informatikai biztonsági iparág színe-java (Informatikai Biztonság Napja), hazai és külföldi hackerek (Hacktivity), az európai és a magyar adatvédelmi biztos (Információbiztonság Napja) vagy éppen IT biztonsági szakemberek (Isaca) osztják meg egymással és az érdeklődőkkel a tapasztalataikat. Azt azonban a magyarországi biztonsági eseményekre vonatkozó hivatalos információk hiányában szinte lehetetlen megállapítani, hogy a vállalatok informatikai rendszerei mennyire biztonságosak – és így megbízhatnak-e bennük az ügyfelek.

A Gyurcsány-kormány, majd a Bajnai-kabinet idején több törvénytervezet készült az informatikai biztonságról, ám azokat végül – politikai akarat hiányában – nem is terjesztették az Országgyűlés elé. Értesüléseink szerint ebben a ciklusban mégis újra nekifut a kormányzó erő az információbiztonsági törvény előkészítésének, emellett pedig külön jogszabályt alkotnának a nemzeti adat- és információvagyonról és az úgynevezett kritikus infrastruktúrákról. Ez utóbbin belül kiemelten a kritikus információs infrastruktúrákkal is foglalkoznának; úgy tudjuk, utóbbi témában már folynak az előkészületek.

A Nyitrai Zsolt szakállamtitkár által szeptemberre ígért – igaz, végleges formába mindeddig nem öntött – kormányzati infokommunikációs stratégia kiemelten foglalkozik majd a biztonság témakörével (Üzembiztosság és spórolás – Figyelő, 2010/26. szám). Ám, mint azt Sík Zoltán Nándortól, a Nemzeti Fejlesztési Minisztérium informatikai biztonsággal foglalkozó tanácsadójától (az első Orbán-kormány informatikai kormánybiztosától) megtudtuk: az efféle incidensek nyilvánosságra hozatalával kapcsolatos regulákat valószínűleg nem ebben a jogszabályban, hanem az elektronikus hírközlési törvény módosításaként terjesztik elő. Ez a rendelkezés azonban csak a telekommunikációs szolgáltatókra lesz kötelező, eleget téve egy uniós vállalásnak.

Az irányelv meglehetősen általánosan fogalmazza meg, milyen eseteket kell jelenteni a hatóságnak. Azon incidensek esnek a kötelezettség hatálya alá, amelyek a „távközlési hálózatok működésére jelentős hatással vannak”. A kisebb jelentőségű, például néhány személy adatait érintő eseményeket tehát 2011 májusa után sem kell jelenteniük a távközlési cégeknek. „Csupán az afféle esetekről van szó, amelyeknél például egy kábellopás vagy egy hackertámadás miatt egy fél pesti kerület szolgáltatása kimarad” – avat be a részletekbe Antal Lajos, a Deloitte Zrt. informatikai biztonság és adatvédelem üzletágának vezetője. Mint hozzáteszi, noha a hazai bankokat és biztosítókat hasonló kötelezettség nem terheli, a gyakorlatban úgy alakult, hogy a komolyabb biztonsági incidenseket jelentik a Pénzügyi Szervezetek Állami Felügyeletének.

Egyelőre még uniós szinten sincs egyetértés abban, mely további területeken – így például a pénzügyi szférában vagy az egészségügyben – kellene hasonló szabályozást bevezetni. Amint azt Jóri András adatvédelmi biztostól megtudtuk, az elektronikus hírközlési adatvédelmi irányelv tavaly őszi módosításának preambulumában is csak annyi szerepel: az Európai Bizottság a telekommunikációs tapasztalatok ismeretében határoz majd az esetleges kiterjesztésről. Erre azonban várhatóan csak több év elteltével kerülhet sor; addig az egyes tagállamok dönthetnek e kérdésben. Jóri mindenesetre óva intene a túlzásoktól, hangsúlyozván: pontosan meg kell majd határozni, milyen mértékű incidenseket szükséges közzétenni.

Megtört a csend | Keleti Arthur, az Informatikai Biztonság Napja rendezvény főszervezője szerint hazánkban mindeddig „nagy csend vette körül” az ilyen problémákat. Statisztikai adatok hiányában ezért az IT biztonsági szakemberek is csak találgatni tudták azok súlyosságát. A szakember támogatja a pontos és gondos szabályozás létrejöttét – amelynek előkészítésében aktív előmozdító szerepet vállalt a szóban forgó rendezvény is. Az új szabályozás azt a célt szolgálná, hogy az állampolgárok biztonságban tudhassák személyes adataikat, továbbá a szervezetek komolyan vegyék végre az adatvédelem ügyét. Ez – mutatott rá Keleti Arthur – végső soron a gazdasági stabilitáshoz és fejlődéshez is alapot teremthet.

(A cikk a Figyelő hetilap 2010/38. számában jelent meg.)