Kiberháborúra készül a Szabadság tér környéke?

TEMPEST

Az utóbbi napokban egyre több információ látott napvilágot a Magyar Nemzeti Bank (MNB) védelmét ellátó biztonsági szolgálat fejlesztéséről, és ami talán még ennél is fontosabb, arról is, hogy az MNB biztonságáért olyan személyek felelnek ezentúl, mint Göbölös László, az Alkotmányvédelmi Hivatal (AH) előző főigazgatója, Görög Sándor, az AH volt műveleti főigazgató-helyettese, a Katonai Biztonsági Hivatal (KBH) volt igazgatója és Dobra Tibor, az AH egykori jogi igazgatója.

Nem tudni, hogy véletlen egybeesés-e, de az MNB székhelyének környezetében, vagyis a Szabadság tér környékén egyébként is szokatlan mértékben megnövekedtek a titokvédelmi kiadások. Az utóbbi néhány hónapban több, a közelben található épületben is kiépítésre került, illetve kiépítés alatt van TEMPEST követelményeknek megfelelő szerverszoba. A TEMPEST szabályok és az elektronikus információbiztonsági követelmények meglehetősen régóta ismertek, ezért is furcsa, hogy a Közbeszerzési Értesítő szerint, eddig, mindössze két épületben végeztek kifejezetten ilyen fejlesztéseket.

Természetesen a TEMPEST követelményeknek megfelelő környezet több intézményben eleve adott lehet, mint például a Magyar Honvédség, vagy épp a nemzetbiztonsági szolgálatok egyes épületeinél, így a valóságban egészen bizonyos, hogy ennél több épület ki- vagy átalakítása során is tekintettel voltak ennek a hírszerzési forrásnak a kiküszöbölésére. Az írásban azonban a nem nemzetbiztonsági, rendészeti vagy honvédelmi feladatokat ellátó intézményekről van szó.

A TEMPEST mérés a nemzeti „Titkos!” és „Szigorúan titkos!”, illetve a külföldi „Bizalmas!”, vagy annál magasabb minősítési szintű adat elektronikus kezelésére kijelölt helyiség és annak környezete megfelelőségének mérésére szolgáló eljárás. A TEMPEST minősítésnek három szintje van, az ezzel kapcsolatos árnyékolástechnológiai megoldások pedig lehetővé teszik (a megfelelő eszközök alkalmazásával) annak a megakadályozását, hogy az elektronikus eszközökből kisugárzott jelekből reprodukálható legyen az eredeti adat.

Az ilyen jellegű védelem kialakítására két, egymástól igen eltérő lehetőség van. Az egyik esetben az informatikai eszközök külön-külön TEMPEST minősítésűek, ez esetben azok mobilan hordozhatók, telepíthetők, de a speciális képességekre tekintettel drágák. Nagyon drágák. Ilyen eszközbeszerzésre eddig is számtalan példát lehet találni a Közbeszerzési Értesítőkben. A másik lehetőség során, nagyobb számú, helyhez kötött informatikai eszköz esetén, inkább magát a helyiséget teszik TEMPEST követelményeknek megfelelővé, hiszen így az alkalmazott informatikai eszközök, normál költséggel beszerezhetőek, szervizelhetőek.

Ezzel a módszerrel történő információszerzésre – teljesen nyilvánvalóan – elsősorban jelentős anyagi erőforrással rendelkező, vélhetően állami irányítás alatt álló, ellenérdekelt hírszerző szolgálatok számára van lehetőség, tehát itt nem feltétlenül a Magyar Helsinki Bizottságban talált lehallgató eszközökre kell gondolni, hanem annál jóval kifinomultabb és költségesebb eljárásokra. Megfelelően érzékeny vevővel egyébként akár távoli monitorok képét is vissza lehet állítani, sőt ma már képesek Wi-Fi eszközökkel megmondani a szomszéd helyiségben tartózkodó emberek pulzusát is.

Egyelőre szűk körben védekeznek az intézmények

Ellentétben azonban a TEMPEST eszközökkel, egész TEMPEST termek kialakítására mindössze néhány példát lehet találni, ráadásul épp a közelmúltból. A Szabadság térrel szomszédos utcába nyíló Magyar Államkincstár 2016. március 25-én szerződött le az állami tulajdonban levő HM Elektronikai, Logisztikai és Vagyonkezelő Zrt-vel (HM EI Zrt.) egy 105 nm alapterületű TEMPEST helyiség (ami két biztonsági területre lett bontva) kialakítására a NATO SDIP-27 szinteknek megfelelően. A költségek – a terem méretéhez képest – igen magasnak tűnhetnek, mivel elérték a nettó 289.275.000 forintot.

A beszerzés közvetlen előzménye vélhetően az volt, hogy az Állami Számvevőszék súlyos információbiztonsági hiányosságokat tárt fel az intézményben.  Akkor az egész szervezet informatikai biztonsági szintjének meghatározást is tévesnek találta az ellenőrzés. A Magyar Államkincstár intézménye ugyanis nem felelt meg még a legalapvetőbb, azaz 1. biztonsági szintnek sem, mert nem rendelkezett még informatikai biztonsági stratégiával, illetve kockázatelemzési eljárásrenddel sem.

Így működik a megfigyelés kevésbé ismert módja
(Forrás: APICorporate/Youtube)

Pár hónappal korábban, és néhány méterrel arrébb a Magyar Energetikai és Közmű-szabályozási Hivatal (MEKH) is felmérést készített, a TMSI Kft. segítségével. A 14 millió forintba kerülő biztonsági kockázatelemzés eredménye természetesen nem ismert, az azonban igen, hogy a szerződéskötést megelőző napokban a BANKTRADE Banktechnika Kft., 13 millió forint értékben, “Biztonsági zónát” kezdett el az épületben létrehozni, aminek a befejezési határideje 2016. február 28-a volt.

Utóbbi szerződésnek – furcsa módon – nincs nyoma a Közbeszerzési Értesítőben, azonban a MEKH szerződés-kimutatásában mégis szerepel. Ebből természetesen még nem következne, hogy ott is TEMPEST helyiség kialakítása történik, de pár nappal ezelőtt egy újabb szerződés került fel a Közbeszerzési Értesítőbe, miszerint a BANKTRADE Banktechnika Kft., 2016. július 25-e óta már “Tempest biztonsági zóna építése” feladatokat lát el a MEKH épületében.

Most ugyanis nettó 52.530.445 forintért vállalták el, egy 78 nm-es felület, TEMPEST szempontok szerinti átalakítását. Érdekes, hogy az állami tulajdonban levő, kivitelezési gyakorlattal rendelkező HM EI Zrt., ezen az eljáráson nem indult. A beszerzés mindenesetre sürgősnek tűnik, mivel “csak” 50%-ban volt fontos tényező a pályázatok elbírálásánál az ár, ugyanekkora fontosságú volt a kivitelezés vállalt határideje is. Az elvégzendő feladat nyomán lehetővé válik majd “Magyar szigorúan titkos/EU titkos!” vagy annál magasabb szintű elektronikus minősített adat kezelése és feldolgozása is.

Hátra van még a talán legérdekesebb kérdés, vagyis, hogy miért épp ezekben az épületekben lett ilyen sürgős a TEMPEST követelményeknek megfelelő környezet kialakítása? Az egész jogterületet szabályozó, az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény már évek óta hatályban van, az abban foglalt felkészülési határidők is bőven elteltek már.

Még különösebb a kérdés, ha a minősített adat elektronikus biztonságának, valamint a rejtjeltevékenység engedélyezésének és hatósági felügyeletének részletes szabályairól szóló 161/2010. (V. 6.) Korm. rendelet változásával vetjük össze az eseményeket. A ma is hatályos szöveg 2015. november 7-én lépett életbe, mindössze egyetlen nappal azután, hogy a MEKH megindította a biztonsági kockázatelemzésről szóló, már említett közbeszerzését.

A módosított kormányrendelet pedig épp a TEMPEST követelményeken változtatott, de nem egészen úgy, ahogy gondolnánk. Korábban ugyanis a nemzeti “Bizalmas” minősítésű (vagyis a kevésbé titkos) adatkezelést is TEMPEST követelmények szerint kellett (volna) védeni, ennek a kötelezettségét szüntették meg. A Belügyminisztériumhoz kötődő módosítás hatástanulmánya szerint ez lényegében költséghatékonysági okokból történt, illetve úgy fogalmaz, hogy “szigorú és felesleges” ezeknek a követelményeknek minden esetben megfelelni.

Mindez még különösebbé és egyben érthetetlenebbé teszi a beruházásokat. Ha a TEMPEST követelmények már évek óta adottak, akkor hogyan lehetséges, hogy eddig alig volt ilyen tárgyban közbeszerzési eljárás az országban? Pedig nyilvánvaló, hogy több tucat, de inkább több száz intézmény és ezzel együtt épület lehet érintett. Mint ahogy az is furcsa, hogy még a Magyar Nemzeti Bankban sincs nyoma TEMPEST szerverterem kialakításának a közbeszerzési eljárásokban.

A Magyar Nemzeti Bank természetesen rendelkezik a minősített adatkezelésre dedikált helyiséggel, a MANYI-val (Minősített Adat Nyilvántartó Iroda), azonban annak TEMPEST megfelelőssége nem ismert, és a 2011-ben lefolytatott MANYI-projekt során is “csak” TEMPEST minősítésű eszközök beszerzése történt meg, vagyis kérdés, hogy maga a terem, milyen adottságokkal rendelkezik. A 2011-ben lefolytatott TEMPEST eszközbeszerzés összege is mindössze csak 18.500.000 forint volt, szemben például a Magyar Államkincstár, 300 milliós beruházásával.

Összességében tehát elmondható, hogy jelenleg a Szabadság tér környékén történnek a legkomolyabb titokvédelmi beruházások, amelyekben nem az a furcsa, hogy vannak, hanem az, hogy miért csak most történnek meg és miért csak ezen a környéken. A TEMPEST eljárással  történő hírszerzés ötletét, például az Amerikai Egyesült Államok, már az 1950-es években is alkalmazta, melynek előzményeiről egy, a titkosítás alól 2007-ben feloldott NSA dokumentumból lehet a legpontosabb betekintést nyerni. A probléma tehát nem új és a megoldás is régóta ismert már.

Ha tetszett az írás, akkor ne maradj le a következőről: