Kiberbiztonság képzés

Kellenek-e informatikus jogászok a kibervédelem területén?

Pár nappal ezelőtt részt vettem a Stefánia Palotában megrendezésre kerülő Biztonságpolitikai előadás-sorozat legutóbbi eseményén, amely a “Háború a virtuális térben?” címet kapta a szervezőktől. Az előadók Dr. Krasznay Csaba, aki az NKE Kiberbiztonsági Akadémiájának programigazgatója, az Elektronikus Közszolgálati Intézet adjunktusa és Dr. Lattmann Tamás, az NKE Nemzetközi Intézetének docense voltak.

Az előadás tematikája lényegében azt a kérdéskört foglalta át, hogy vajon az államilag szervezett kibertámadások behelyezhetők-e a nemzetközi jog eddigi rendszerébe, és ha igen, akkor milyen értékelést kell, hogy kapjanak. Összességében tehát egy áttekintő jellegű program volt, melyben Dr. Krasznay Csaba inkább informatikai, míg Dr. Lattman Tamás inkább jogászi jellegű “szemüvegen” át vizsgálta a kérdéskört.

Most azonban nem az előadásokról írnék összefoglalót, hanem egy, az előadást követő hallgatói kérdésről és annak megválaszolásáról. Az első kérdező felvetette ugyanis, hogy “a jogászok, illetve az informatikusok nem értenek egymás területéhez,” emiatt lehetséges-e a az előadók szerint, hogy “újfajta informatikus-jogászok” jelennek meg a jogászpiacon? A kérdés és a válasz azért is volt különösen érdekes számomra, mert a két előadó elsődleges professziója is ehhez a két területhez kapcsolódik.

Dr. Krasznay Csaba válaszát azzal kezdte, hogy az elmúlt egy évben európai szintű kutatást, kitekintést végzett, hogy mások hogyan valósítják meg a kiberbiztonsági képzéseket. Ennek során azt tapasztalta, hogy ma, Európában műszaki jellegű a kiberbiztonsági oktatás, nagyon kevés joggal.

Azonban egy éledező másik “iskola” szerint szükség van olyan szakemberekre, akik ugyan nem informatikusok, de értik valamilyen szinten az informatikát. Fontos, hogy minél több hallgató értse a nemzetközi kapcsolatokat, de fontos az is, hogy minél több hallgatónak legyen lehetősége például egy számítógépes laborban megvizsgálni egy túlterheléses támadást.

Meglátása szerint nem kell minden technikai részletét megérteniük egy kibertámadásnak, például a jogászoknak, vagy épp az NKE bármely, nem szakirányú hallgatójának. Elegendő ugyanis, ha a fő mechanizmust megértik és látják annak hatását. Tapasztalata szerint a jogászok általában nem is feltétlenül akarják a legalsó szintig megérteni az informatikai problémákat.

Dr. Lattmann Tamás szerint vélhetően lesznek a jövőben jogászok, akik informatkus végzettség után szereznek majd jogi diplomát. Ők eldöntik majd, hogy informatikához értő jogászként, vagy joghoz értő informatikusként szeretnének elhelyezkedni, mert szerinte ezt a döntést meg kell hoznia mindenkinek.

“Nem úgy működik, hogy egyszerre ez is meg az is.”

Véleménye alapján a piac eldönti, hogy ki mivel keres majd több pénzt. A piacon ugyanis komoly igény van az informatikához készség szinten értő jogászokra, mert fizetőképes kereslet is van az ilyen jellegű jogi szolgáltatásokra. Ezért a jogászok is nyitottak erre. Mindazonáltal szerinte is minden szakterületnek értenie kell(ene) valamilyen szinten az informatikához.

Érdekes válaszok, amikben közös pontok éppúgy felfedezhetők, mint ellentétek. A kérdéssel kapcsolatban a személyes tapasztalatom az, hogy amióta informatika létezik, a két területnek mindig is voltak “aktuális” találkozási pontjai. Ezek a pontok viszont a véleményem szerint csak egy rövidebb-hosszabb időszakot ölelnek át. Vagyis a kezdeti “útkeresés” és a megfelelő szabályozási környezet kialakítása után a két terület közötti átfedések rendszerint csökkennek.

Talán az első ilyen nagyobb terület volt a szerzői jog és az informatika találkozása. A fenti értelembe vett “időszak” utolsó néhány évében én is ezt a területet vizsgáltam például a diplomamunkámmal, mely “A digitális adattartalmak szerzői jogi védelme” címet kapta.

A szakdolgozatom tehát a DRM (digitális jogkezelő) rendszerek tündöklésének (és bukásának?) mezsgyéjén született, a jog és informatika területén a legfontosabb kapcsolódási pontot nem sokkal később viszont már inkább az adatvédelmi kérdések jelentették, különösen az adatvédelem terén magas szintű elvárásokat megfogalmazó hazai jogszabályi környezetre reflektálva.

Utóbbi terület már egy informatikai projekt menedzselése nyomán ért utol a GDPR életbelépésének előszobájában, sőt abban a helyzetben vagyok, hogy már az is biztos, hogy a következő munkahelyem kapcsán is egy informatika projekt menedzsmentje lesz a feladatom. Talán a személyes példám alapján elmondható, hogy lehet, hogy ritka, atipikus esetben, de most is vannak ilyen pozíciók, és persze ilyen emberek is a munkaerőpiacon.

Azzal szerintem lehet vitatkozni, hogy szükséges-e választani a két terület között. Szerintem ez legfeljebb akkor igaz, ha minden jogászt és informatikust a saját szakterületén omnipotens, kutatói szintű entitásnak tekintünk, ami a véleményem szerint távol áll a valóságtól. Bizonyos részterületeken ugyanis a megfelelő szintű tudás párhuzamosan is megszerezhető és művelhető, akár olyan mélységig is, amely egy kizárólag az egyik területtel foglalkozó szakember tudásának is megfeleltethető.

A legösszetettebb, speciális kérdéseket ugyanis a véleményem szerint elegendő, ha az érintett szakterületet képviselő team képes megválaszolni. A két terület közötti megértést és kommunikációt pedig egy, mindkét területet értő projekt manager segíti. Azzal ugyanis tökéletesen egyet lehet érteni, hogy a két terület képviselő – általában – nem értik a másik terület működési elvét, illetve gondolkodásmódját, gyakran pedig magát a problémát sem.

Egy másik fontos tényező, amit a véleményem szerint a kérdéskör kapcsán figyelembe kell venni, hogy a jog változása jellemzően követő jellegű ezeken a területen. A változások közvetlen okai ugyanis jellemzően az informatika területén keletkeztek (DRM, P2P fájlcsere, torrent technológia, személyes adatok tömeges feldolgozása, összekapcsolása, adatbányászat, automatizált döntéshozatal, profilalkotás, Big Data stb…). A jogalkotó pedig (néha talán megkésve) ezekre tekintettel alkotott szabályozási keretet, gyakran korlátokat a már kialakult gyakorlatnak.

Azonban nem öncélú volt a jogalkotó beavatkozása, hanem épp fordítva: a jog által egyébként korábban már szabályozott területe(ke)n jelentek meg nóvumként az új technológiák, informatikai megoldások. Az első kérdés tehát az (visszatérve az előadások tematikájához), hogy a kibervédelemel összefüggő kérdések milyen jogterületet érintenek elsődlegesen.

Itt egyből mutatkozik egy különbség a korábbi gyakorlathoz képest: a kibervédelem, kiberbiztonság kérdésköre a véleményem szerint csak hunyorítva helyezhető el a nemzetközi jog területén és szabályrendszerében, azt behatárolni egyelőre nem is igazán lehet. Hogy mást ne említsek: az előadók által többször is vizsgált kérdés épp az volt, hogy egyáltalán szükséges-e a jelenlegi nemzetközi jogi normákat módosítani a kiberbiztonságot fenyegető veszélyek miatt, vagy sem?

A dilemma szerintem nagyon hasonló a szerzői jog találkozásához a digitális technológiák fejlődésével, ahol a digitális megoldások jogi szabályozása azonos dilemmákat szült: vajon elegendő az egyébként jól működő, évszázados jogi keretrendszert “ráerőszakolni” a problémákra, vagy speciális, új szabályokat igényel a kérdéskör? Globális áttekintés alapján a megoldási koncepció az első megközelítéssel indult, majd végül mégis megszülettek a speciális szabályok is.

Érdemes azt is megvizsgálni, hogy jelenleg vannak-e más kapcsolódási pontjai a hagyományos hadviselés területén a jognak más tudományágakkal? Például egy nukleáris támadás során kibocsátott anyag elemzéséből következtetni lehet a hasadóanyag forrására, videofelvétel elemzéséből egy szakértő mérnök megmondhatja, hogy Észak-Korea ukrán RD-250 rakétahajtómű-variánst épített-e be a rakétájába, vagy sem. De van-e szükség jogász-vegyészre, vagy épp jogász-mérnökre?

A gyakorlat szerint nincs, mert a jogászi professzió vezérfonalát, vagyis a jogos-jogtalan értékpárost nem ezek a vegyészi, vagy épp mérnöki kérdések vezérlik. A kialakult gyakorlat szerint ugyanis az ilyen jellegű – vagyis a nem jogi szakkérdéseket – az igazságügyi szakértők válaszolják meg. Más kérdés, hogy épp a szerzői jogsértések esetén vált gyakorlattá, hogy az informatikai igazságügyi szakértők (tehát itt természetesen nem az SZJSZT-re gondolok) jogkérdésekben is állás próbálnak foglalni.

Csakhogy a kiberháború nem a tárgyalóteremben, hanem a “háttérben” zajlik, nincsen jól behatárolható (írott) speciális jogi keretrendszere (egyelőre marad tehát az analógia), miközben – lássuk be – nincs bírósági joggyakorlat sem (és vélhetően nem is lesz). Ebben a környezetben kellene tehát megítélni azt a kérdést, hogy szükség van-e a kibervédelem területén informatikus jogászokra? Vagy jogász-informatikusokra.

A válasz szerintem az, hogy jelenleg igen, méghozzá legalább addig, amíg nincsenek lefektetve a kiberhadviselés írott szabályai, vagy legalább nincs az analógiák értelmezésében és használatában egységes gyakorlat. Mivel azonban a kibertér egy rendkívül dinamikusan változó terület, így aligha lehet majd hátradőlni, ezért az ilyen informatikus jogászokra mutatkozó igény vélhetően tartós marad.

Más kérdés, hogy mindez hosszabb távon generál-e igényt tömeges informatikus jogász képzésre, vagy elegendő a néhány szakértő mellett kiegészítő, pusztán betekintő képzést adni a kibertámadások megértésére olyan szakok hallgatói számára, amelyek egyébként más területeket érintenek (klasszikus jogász, rendészeti, katonai képzések). Ez utóbbit én a legkevesebbnek tartom, amit a jelenlegi helyzetben tenni lehet, illetve kell.

Ha tetszett, ne maradj le a következőről: