Jelentős változások várhatók a hazai kibervédelem területén

kiber

Egy tervezett kormányrendelet-csomag tartami összefoglalója szerint a (kiber)biztonsági események – akár az észlelés hiánya, akár a bejelentés elmaradása miatt – nem, vagy késedelmesen válnak ismertté a Nemzetbiztonsági Szakszolgálat (NBSZ) számára. Emiatt az NBSZ jelenleg nem képes hatékonyan támogatni az incidensek kivizsgálását és elhárítását, valamint figyelmeztetni az esetleges további érintetteket. A jövőben mindez megváltozhat a tervezett kormányzati intézkedések nyomán.

A kormányzati tervek szerint – a kockázatok csökkentése érdekében – szükséges egy korai figyelmeztető rendszer (EWS), amelynek kiépítése folyamatban van. Az EWS működtetésével kapcsolatosan önálló kormányrendelet készül az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény felhatalmazása alapján.

A bejelentés-köteles szolgáltatásokat nyújtó szolgáltatók (például felhőszolgáltatók, vagy épp keresőszolgáltatók) bejelentéseit fogadó eseménykezelő központ a Nemzetbiztonsági Szakszolgálat (a továbbiakban hatóság) szervezetében működő Nemzeti Kibervédelmi Intézet lesz. Ezzel párhuzamosan a törvényjavaslat szerint megszűnik a Kormányzati Eseménykezelő Központ (GovCERT).

A Nemzeti Kibervédelmi Intézetnek olyan biztonsági eseményeket kell majd jelenteni (a bejelentkezést és előzetes regisztrációt követően), amelyek jelentős hatást gyakorolnak a bejelentés-köteles szolgáltatást nyújtó szolgáltatókra. A bejelentés-köteles szolgáltatások nyújtói számára előírt követelmények teljesülését a hatóság ellenőrizni is fogja, szükség esetén bírságot szabhat majd ki.

A hatóság szükség szerint kötelezi a szolgáltatást nyújtókat arra, hogy bocsássák rendelkezésre az elektronikus információs rendszereik biztonságának megállapításához szükséges adatokat, beleértve a biztonsági szabályzataikra vonatkozóakat is, illetve gondoskodjanak megfelelő biztonsági szint biztosításáról, biztonsági esemény megelőzéséről, bejelentéséről, kezeléséről, továbbá a tapasztalt hiányosságok megszüntetéséről.

A hatóság a nyilvánosságot szükség szerint tájékoztatja majd az egyes biztonsági eseményekről, sőt, szükség szerint kötelezheti majd a bejelentés-köteles szolgáltatást nyújtót a nyilvánosság tájékoztatására is.

Az alábbi táblázat tartalmazza a tervezett bírságkategóriákat:

A jogszabálysértés megnevezése A bírság legkisebb mértéke (Ft) A bírság legnagyobb mértéke (Ft)
regisztráció elmulasztása 50.000 100.000
adatváltozás bejelentésének elmulasztása 50.000 500.000
kockázatelemzés készítésének elmulasztása 200.000 500.000
kockázatokkal arányos biztonsági intézkedések bevezetésének és alkalmazásának elmulasztása 300.000 5.000.000
kockázatelemzés és a szükséges biztonsági intézkedések biztonsági eseményt követő haladéktalan, egyéb esetben évente dokumentált felülvizsgálatának elmulasztása, a felülvizsgálat során feltárt hiányosságok alapján a szükséges módosítások végrehajtásának elmulasztása 200.000 2.000.000
biztonsági esemény bejelentésének elmulasztása 300.000 5.000.000
hatóság végleges, végrehajtandó határozatában foglalt kötelezésének nem teljesítése 400.000 5.000.000

Számos egyéb, fontos változás is megismerhető a kormányredelet-tervezetekből. Például a nemzeti minősített adatot kezelő elektronikus rendszert biztonsági területen kívül, adminisztratív zónában, a biztonsági vezető által megjelölt helyszínen, kizárólag személyes felügyelet alatt lehet üzemeltetni.

A Nemzeti „Titkos!” vagy „Szigorúan titkos!” elektronikus rendszer esetén a rendszer elemeinek pedig meg kell felelnie a TEMPEST követelményeknek. A TEMPEST-követelmények fontosságáról és szerepéről ebben a cikkben korábban már írtam.

A minősített adatot elektronikus rendszeren kezelő szerv a Nemzeti Biztonsági Felügyelet (NBF) által jóváhagyott operációs rendszert alkalmazhat és az operációs rendszert havonta frissíteni kell. A minősített adatot elektronikus rendszeren kezelő szerv a vírusok és más rosszindulatú szoftverek azonosítására és eltávolítására az NBF által jóváhagyott vírusvédelmi szoftvert alkalmaz. Utóbbi vélhetően a Kaspersky-üggyel függhet össze.

Módosul a Terrorelhárítási Központ tevékenysége is, amely ezentúl ellátja a felderítési, felszámolási és személyvédelmi feladatkörében felmerülő vegyi, biológiai vagy nukleáris veszélyek felderítésére és elhárítására irányuló tevékenységet, illetve annak koordinálását, ennek keretében elvégzi  az objektumok, járművek, útvonalak és műveleti helyszínek vegyi, biológiai vagy nukleáris veszélyek felderítésére és elhárítására irányuló átvizsgálását.

A rendelet-csomag végére került az egyik legfontosabb rendelkezés: a kormány az E-ügyintézési tv. szerinti kép-, hang, kép- és hangfelvételek központi tárolására tárhelyszolgáltatóként a NISZ Nemzeti Infokommunikációs Szolgáltató Zrt.-t jelöli ki, vagyis oda futnak majd be a térfigyelő kamerarendszerek képei.

A cikk a kormány rendelet-tervezeteinek ismeretében, a 2018.11.18-i konccepció alapján íródott A hatályba lépő szabályok ezért a fentiektől eltérő tartalommal is hatályosulhatnak majd. A koncepció társadalmi vitája még tart,  a véleményezés végső határideje 2018.11.21.

A cikkhez ITT lehet hozzászólni. Ha tetszett, ne maradj le a következőről: