A nemrégiben megjelent hatalmas méretű törvénytervezet is utalt Kiberbiztonsági Központ és Kutatóintézet létrehozására, amiről azután a médiák is sorban beszámoltak, lényegében összemosva azzal, hogy amennyiben ez a szervezet a kibertér biztonságát fenyegető eseményt érzékel, akkor elrendelheti az elektronikus hírközlő hálózat útján közzétett adat vagy szolgáltatás ideiglenes hozzáférhetetlenné tételét. A magyar internetcenzúra eddigi működéséről, korábbi expanziójáról már többször is írtam.
A pontos szabályok most úgy hangzanak, hogy a hatóság határozatban elrendelheti az ideiglenes hozzáférhetetlenné tételét annak az elektronikus hírközlő hálózat útján továbbított adatnak vagy egyéb információs társadalommal összefüggő szolgáltatásnak, amely a magyar kibertér biztonságára fenyegetést jelent, és amellyel kapcsolatosan az eseménykezelő központ biztonsági eseménykezelést folytat.
Külön szerv rendeli el az ideiglenes hozzáférhetetlenné tételét annak az elektronikus hírközlő hálózat útján közzétett adatnak, amely honvédelmi vagy szövetségi érdeket sért vagy veszélyeztet, vagy honvédelmi célú elektronikus információs rendszer biztonságára fenyegetést jelent.
Az ideiglenes hozzáférhetetlenné tétel az elektronikus adathoz vagy egyéb információs társadalommal összefüggő szolgáltatáshoz való hozzáférés ideiglenes megakadályozása. Az elektronikus adat vagy egyéb információs társadalommal összefüggő szolgáltatás ideiglenes hozzáférhetetlenné tételét a hatóság azonnal végrehajthatónak nyilvánított határozatában rendeli el.
Az elektronikus adat ideiglenes hozzáférhetetlenné tételét a hatóság legfeljebb 90 napra rendeli el, amely indokolt esetben 90 nappal meghosszabbítható. Az ideiglenes hozzáférhetetlenné tétel végrehajtását a Nemzeti Média- és Hírközlési Hatóság az elektronikus hírközlésről szóló törvény alapján szervezi és ellenőrzi.
A hatóság 1 millió forinttól 5 millió forintig terjedő bírsággal sújthatja azt az elektronikus hírközlési szolgáltatót, amely a törvény szerinti kötelezettségének nem tesz eleget. A bírság a kötelezettség teljesítésére megszabott határidő eredménytelen elteleltét követően – újabb határidő megjelölése mellett – ismételten is kiszabható.
A jogszabálytervezet valóban utal a Kiberbiztonsági Központ és Kutatóintézet feladataira, én is idéztem az előző írásomban ezt a részt. Csakhogy az a szöveg csak az indokolásban szerepel, magában a jogszabályban nem. Ez a rész pedig a tervezet 22. §-ra vonatkozik, ami az Nbtv. 56. §-át módosítja. Az Nbtv. 56. §. viszont nem a Kiberbiztonsági Központ és Kutatóintézet feladatairól szól, hanem általánosságban, a Nemzetbiztonsági Szakszolgálat (illetve átfogóbban a nemzetbiztonsági szolgálatok) feladatairól (nyilván az ezek közötti átfedések ettől még triviálisak).
A furcsaság megoldása valahol ott lehet, hogy a szabályok egy része eredetileg a Kiberbiztonsági Központ és Kutatóintézet létrehozásához szükséges jogszabályok módosításáról szóló törvény tervezetében voltak. Ezt támasztja alá, hogy ennek a törvénytervezetnek NAIH általi véleményezésében szerepel az a kitétel, ami szerint a javaslat az Nbtv. 56. §. e) pontját úgy módosítja, hogy a külső engedélyhez kötött titkos információgyűjtésre vonatkozó szabályok között adna lehetőséget a nemzetbiztonsági szolgálatok számára az információs rendszerbe történő beavatkozásra.
Ez a módosítás viszont bekerült a minap elfogadott, a polgárok biztonságát erősítő módosításáról szóló törvénybe. Az e) pont ebből a szempontból azzal egészült ki, hogy „a kibertérből érkező fenyegetés elhárítása céljából az információs rendszerbe beavatkozhatnak.” Ez pedig nyilván túlmutat az eddigi megismerés, rögzítés és elhelyezés cselekményeknél.
Ezzel kapcsolatban viszont a véleményében a NAIH, a korábbi észrevételeire is tekintettel, fenntartotta azon álláspontját, hogy az információs rendszerbe történő beavatkozás lehetőségének jogi szabályozását, az információs rendszerekben kezelt adatok megismerésétől, azok rögzítéséről tehát az információgyűjtésről elválasztva volna szükséges kialakítani. Ez nyilván egy jogtechnikai kérdés.
Ami fontosabb, hogy az információs rendszerbe történő beavatkozás jelenthet kibertámadó műveleteket, mellyel a törvényi szabályozásnak meg kellene teremtenie az alapjogi garanciákat. Ennek megfelelően a NAIH elnöke szükségesnek tartaná az arra vonatkozó szabályrendszer megteremtését is, hogy mely területen, milyen körülmények között, mely célok esetén, mely szervekkel (személyekkel) szemben nem lehet kibertámadó műveleteket végrehajtani.
Úgy tűnik tehát, hogy a Kiberbiztonsági Központ és Kutatóintézet létrehozása kapcsán tervezett törvény indokolásának átmásolásával kerülhetett bele az intézmény neve egyáltalán ebbe a törvénybe, viszont az abba tervezett szabályok egy része már most is megjelent, és amelyek esetében az adatvédelmi hatóság további szabályozási feladatokat vetett fel.
Az már csak egy gondolat a részemről, hogy amennyiben egy információ megszerzésének (akarom mondani: kibertámadás elhárításának) eddig más módja nem volt, akkor vajon történtek-e már ilyen műveletek, illetve talán nem ez lenne az első eset, ha a lassan változó jogszabályi környezet valójában hozzáigazodna és jogi alapot teremtene egy egyébként létező gyakorlathoz.
A cikkhez ITT lehet hozzászólni. Ha tetszett, ne maradj le a következőről:
