Az új 2013. L törvény az információbiztonságról

Előtérben a megelőzés, a nemzeti információs vagyon biztonságba helyezése

A magyar országgyűlés 2013 áprilisában elfogadta az állami és önkormányzati szervek elektronikus információbiztonságáról szóló törvényt, az úgynevezett információbiztonsági törvényt. Ezzel az ország az elsők között adott használható, egységes jogi keretet a digitális veszélyek elleni fellépésre. A kibertámadások ellen gyors reagálású kormányzati szerv jött létre, mely felméri az egész állami kritikus infrastruktúrát, és katonai kibervédelmi alakulat is létrejön. Az elmúlt pár év megmutatta, hogy van mitől félni, Magyarország is többször volt kibertámadások elszenvedője.

Az IT Business Consulting egy olyan üzleti tanácsadó vállalat, mely évek óta segíti a vállalati és intézményi gazdálkodó szervezetek informatikai rendezettségének, a munkafeladatok megbízható és biztonságos elvégzését.

Új haditechnika: kifinomult kémprogramok
- a vírusfertőzések gyakorlatilag a számítógépekkel egyidősek, 2007 óta pedig azt is tudjuk, milyen egy háború a kibertérben: oroszországi hekkerek napokra lebénították az észtek informatikai rendszerét.
- az utóbbi két évben kártevők teljesen új generációja jelent meg: rendkívül kifinomult programok célzottan mennek egyes rendszerekre és adatokra: a Stuxnet óta az USA és Izraelelismerték, hogy a kémprogramot kifejezetten az iráni atomprogram tönkretételére fejlesztették ki, csakelszabadult, és ma valószínűleg a legtöbb ipari létesítményben ott tanyázik.
- a Stuxnet utódai már Magyarországra is közvetlen fenyegetést jelentettek: a BME-n működő Crysys Lab szakemberei több kémprogramot itthon fedeztek fel, melyek magyar célpontokat is támadtak. Pár hete pedig egy ezektől különálló, de szintén nagyon kifinomult vírust fülelték le a Nemzeti Biztonsági Felügyelettel közösen. A program NATO- és EU-célpontok mellett több magyar diplomáciai számítógépben is kárt okozott.

Valós veszély
A fenyegetés egyértelmű, ma már nem elég egy állam fizikai határainak védelme, szükség van a digitális készenlétre, azonnali beavatkozásra, utólagos vizsgálatokra és előzetes felkészítésre is. Ma a kormánynak nincs valós képe arról, hogy az állami infrastruktúrában, illetve a kritikus infrastruktúrához sorolható magáncégeknél pontosan milyen rendszerek működnek, sem arról, hogy azok védelme milyen minőségű, és van mit javítani az intézmények közötti kommunikáción is. Az egész most elfogadott információbiztonsági törvény erre a koncepcióra épül.
A Stuxnet megmutatta, hogy a kibertámadások a fizikai infrastruktúrát is veszélyeztetik, az interneten elkezdett manipulációk az emberek mindennapjaira lehetnek hatással. A kritikus rendszerek kiesése könnyedén megbéníthat egy teljes országot is. A szakemberekmár egészen korán felismerték, hogy viszonylag védtelen a magyar infrastruktúra, a Digitális Mohács című, egyelőre képzeletbeli forgatókönyv alapján órák alatt bedönthető Magyarország.
Ennek megakadályozására történtek már kisebb lépések, de a most elfogadott törvény az első, kormányzati szinten megjelent, átfogó, kötelező jellegű szabályozás, amely valós lépéseket tesz a megfelelő védekezés kialakítására. A törvény indokolása az alábbi veszélyforrásokat azonosítja: állami vagy üzleti hírszerzés, bűnözés, terrorista csoportok, valamint aktivista egyének vagy csoportok.

A törvény egyértelmű dokumentációs kötelezettséget ír elő az állami és önkormányzati szervek részére:
1)    a szervezet biztonsági felelősének kijelölése,
2)    a szervezet elektronikus információs rendszereire vonatkozó informatikai biztonságpolitikájának és
3)    a szervezet elektronikus információs rendszereinek informatikai biztonsági stratégiájának meghatározása,
4)    a szervezet elektronikus információs rendszerei védelmének felelőseire, feladataira és az ehhez szükséges hatáskörökre, felhasználókra vonatkozó szabályok meghatározása, illetve ki kell adni az úgynevezett informatikai biztonsági szabályzatot.

A jogszabály a következőkben rendelkezik ezek elmulasztása esetén bírságot, valamint a központi kormányzat információbiztonsági felügyelőt jelöl ki az önkormányzati szerv élére.

Referenciáink:
- NFM (illetve jogelőd minisztériumai) – a miniszter irányítása alá tartozó intézményeknél Állami Számvevőszék módszertan alapú, a beszámoló készítését támogató informatikai rendszer auditja (14 audit)
- NKH – Informatikai Biztonsági Irányítási Rendszer kidolgozása (CobiT alapokon)
- BM – országos informatikai rendszer auditálása (ÁSZ és CobiT módszertan alapján)

Elérhetőségeink:
Hallai Szabolcs - Senior Consultant

Tel.: 06 (20) 550-0002

e-mail: hallai.szabolcs kukac itbc.hu