Honvédelem és nemzetbiztonságInformatika

Magyarország kiberbiztonságáról

jog

Jelenleg a magyar kibervédelem legfontosabb alaptörvénye a 2013. évi L. törvény, azonban a NIS2 által gerjesztett hullámokat meglovagolva hamarosan nyugdíjba küldi a jogalkotó. Az új kibertörvény szövegtervezete pedig egy társadalmi egyeztetés erejéig megismerhetővé vált.

A „Magyarország kiberbiztonságáról” szóló törvény tervezete persze elég vaskos, így átfogó elemzésére nem vállalkoznék. Ellenben van egy-két érdekes eleme, amit érdemes lehet kiemelni belőle. Kezdjük mindjárt az elején: a törvény preambulumánál.

„Az elmúlt években az egész világon megszaporodtak az internetes támadások mind a kormányzati, mind a magánszféra rendszereivel szemben. Az online térben zajló küzdelem eszközrendszerében és hatékonyságában is jelentősen átalakult, így az ezzel szemben zajló védekezést is időről-időre felül kell vizsgálni.”

Ez egy harcias, védelmi célt szolgáló törvény lesz, ami a jelenlegi törvény első bekezdéseiben még jóval árnyaltabban jelenik meg, és a hatályos jogszabály még társadalmi elvárásként fogalmazza meg azt (is), hogy „az állam és polgárai számára elengedhetetlen elektronikus információs rendszerekben kezelt adatok és információk bizalmasságának, sértetlenségének és rendelkezésre állásának, valamint ezek rendszerelemei sértetlenségének és rendelkezésre állásának zárt, teljes körű, folytonos és a kockázatokkal arányos védelmének biztosítása, ezáltal a kibertér védelme.”

Az új törvényben már csak(?) „háború” van a kibertérben, folyamatosak a támadások, előtérbe kerül a védekezés. Ez egyfelől indokolt. Másfelől azonban nekem fájóan hiányzik az a felismerés, hogy az elektronikus információs rendszereket nemcsak a támadásoktól kell megvédeni, hanem a felelőtlen üzemeltetőktől és fejlesztőktől, a kibervédelmet huszadrangú problémaként se kezelő vezetőktől, az olcsójános megmondóemberektől és még ezeregy más dologtól is meg lehet, sőt, meg kell védeni. Ez az új szövegkörnyezetben már nem kap szerepet: itt háború van, a támadásoktól kíván a jogalkotó védelmet biztosítani.

A másik, ami már tényleg egy részletkérdés, az a civil és a honvédelmi kibervédelem kettősségének kezelése. A törvénytervezet X. fejezete alapján kijelenthető, hogy szervezetileg ez a civil oldalon leginkább a nemzeti kiberbiztonsági hatóságot, illetve a nemzeti kiberbiztonsági incidenskezelő központ működtetését végző szervet jelenti.

A honvédelem területén pedig a honvédelmi célú elektronikus információs rendszerek tekintetében a hatósági feladatokat ellátó szervet és a honvédelmi célú kiberbiztonsági incidenskezelő központ működtetését végző szervet. Ebben még nincs semmi különös, csak azért emelem ki, mert a szervezetek elhatárolása lényeges lesz az alábbi okfejtés szempontjából.

A törvénytervezet hatályánál ugyanis máris van egy érdekesség. A hatály szempontjából fontos „azonosítási” eljárás egyik variációja az lesz, hogy nemzetbiztonsági, honvédelmi okból a nemzeti kiberbiztonsági hatóság indokoltnak tarthatja egy szervezet azonosítását.

Ami számomra érdekes (amellett, hogy meglehetősen laza keretet ad ennek az azonosítási eljárásnak), hogy a honvédelmi ok azonosításánál a honvédelmi célú elektronikus információs rendszerek tekintetében hatósági feladatokat ellátó szervnek és a honvédelmi célú kiberbiztonsági incidenskezelő központnak sincs semmilyen, normatívan megfogalmazott feladata vagy szerepe.

A másik, amit kiemelnék, az a „kedvenc” eljárásom, az ideiglenes hozzáférhetetlenné tétel, ami természetesen már most is létezik, a jelenleg hatályos törvényben. Most azonban létrejön egy új formája, az azonnali hatályú ideiglenes hozzáférhetetlenné tétel.

„Jelentős kiberfenyegetettség elhárítása vagy folyamatban lévő kiberbiztonsági incidenssorozat megszakítása érdekében a nemzeti kiberbiztonsági incidenskezelő központ vezetője azonnali hatállyal elrendelheti az ideiglenes hozzáférhetetlenné tételt a kiberbiztonsági hatóság döntéséig vagy legfeljebb hetvenkét óra időtartamban. Az azonnali hatályú ideiglenes hozzáférhetetlenné tételt a technika állása szerinti lehető legrövidebb idő alatt végre kell hajtani.”

Itt ugyanaz a furcsaság esik meg, mint az előző esetben. Ezt az eljárást ugyanis csak a nemzeti kiberbiztonsági incidenskezelő központ vezetője alkalmazhatja a normaszöveg szerint. A honvédelmi célú kiberbiztonsági incidenskezelő központ vezetőjének ilyen jogosultsága a törvénytervezet szerint (az én olvasatomban) nincs.

Meglehetne persze, hogy ugyanilyen jogosultsága más norma alapján lesz, de ezt az érvelést meglehetősen árnyalja, hogy a szövegtervezet szerint a  honvédelmi célú elektronikus információs rendszerek tekintetében hatósági feladatokat ellátó szerv rendeli el az ideiglenes hozzáférhetetlenné tételét annak az elektronikus hírközlő hálózat útján közzétett adatnak, amely honvédelmi érdeket sért vagy veszélyeztet, vagy honvédelmi célú elektronikus információs rendszer biztonságára fenyegetést jelent.

Vagyis az új törvényben a honvédelmi célú elektronikus információs rendszerek tekintetében hatósági feladatokat ellátó szerv a „régi” ideiglenes hozzáférhetetlenné tételnél „egyenrangú” a nemzeti kiberbiztonsági incidenskezelő központtal, az „új” azonnali eljárásban azonban nincs semmilyen normatívan meghatározott szerepe. Én sok más helyen is meglepődtem a normaszövegen, de persze az is lehet, hogy csak én értek félre valamit.

A cikkhez ITT lehet hozzászólni. Ha tetszett, ne maradj le a következőről:

 

Ajánlott tartalom

Informatika

TOTP.APP

Megpróbálom elképzelni, hogy amikor a TOTP.APP használatának széleskörű  ajánlásának kiberbiztonsági vetületeinek kockázatelemzése történt, akkor vajon ...