Megjelent Magyarország hálózati és információbiztonsági stratégiája

Kibervédelmi stratégia

A hálózati és információs rendszerek biztonságára vonatkozó stratégia Magyarországra terjed ki, és célja “a szabad, biztonságos és innovatív kibertér megteremtése, Magyarország versenyképességének növelése, az innovációk, az új technológiai megoldások biztonságos módon történő bevezetése, illetve adaptálása a digitalizálódott államigazgatási, kormányzati és gazdasági területeken, a biztonságosabb elektronikus közigazgatási rendszer létrehozása, illetve az állami szolgáltatások innovatív fejlesztése, valamint a kiberbiztonság, a tudatosság növelése, a felkészültség szintjének emelése a társadalom minden területén.”

Ahogy a stratégiában olvasható, Magyarország a kibertér védelemével összefüggő feladatok ellátását eddig is felelősséggel vállalta, ami – jogi értelemben – a 1139/2013. (III. 21.) Korm. határozatban (Nemzeti Kiberbiztonsági Stratégia) manifesztálódott. A területet eddig szabályozó stratégia célja az volt, hogy az Alaptörvény elveivel összhangban, az értékek és érdekek számbavétele, valamint a kibertér biztonsági környezetének elemzése alapján meghatározza azon nemzeti célokat, stratégiai irányokat, feladatokat és átfogó kormányzati eszközöket, amelyek alapján Magyarország érvényesíteni tudja nemzeti érdekeit a globális kibertér részét képező magyar kibertérben is.

Az új stratégia célja, hogy a Nemzeti Kiberbiztonsági Stratégiában megfogalmazott értékeket megtartva, annak eredményeire építve, de az új kihívásokra, fenyegetésekre reagálva, az új lehetőségek és célok azonosításával kell erősíteni a hálózati és információs rendszerek védelmét annak érdekében, hogy az minden tekintetben megfeleljen a modern kor kihívásainak.

A kihívások nagysága kapcsán elmondható, hogy a nagyszabású kibertámadások egyre gyakoribbak. “Nő a kiberfenyegetések komplexitása és volumene, és a különféle csoportok, szervezetek is egyre intenzívebb módon használják fel a kiberteret ideológiák terjesztésére. A kiberbűnözés fő célja emellett a károkozás, a pénzügyi és a személyes adatok tömeges megszerzése, illetve a gazdasági, pénzügyi, politikai befolyásolás.”

Az adatlopáson túl elterjedt az elektronikus szolgáltatások károkozási célú megbénítása, illetve kéretlen levelek és kártékony kódok terjesztése, robothálózatok kialakítása. Jelentős fenyegetés a hacktivizmus, mely gyakran ideológiai motivációjú támadásokat takar valamilyen ideológiai cél elérése vagy valamilyen ideológia közvetítése érdekében. Egyre növekvő veszélyt jelentenek azok a – jellemzően kiberkémkedés célú – kifinomult, rejtett támadások, melyek mögött feltételezhetően állami támogatás áll.”

A stratégia a magyar helyzetet elemezve kiemeli, hogy az Eurostat. gazdasági társaságok informatikai biztonsági felkészültségére vonatkozó 2016-os adatai szerint Magyarország lemaradással küzd az Európai Unió országai körében, ugyanis a kis- és középvállalkozási szektor mindössze 9%-a rendelkezik információbiztonsági politikával, míg a magyar nagyvállalatok esetében ez az arány 53%. A Világbank 2016. évi adatai alapján ráadásul a magyarországi internetes kiszolgálók (szerverek) jóval kisebb arányban alkalmaznak biztonságos titkosítási megoldásokat, mint az Európai Unió, vagy akár az OECD országainak átlaga.

Mindez nem pusztán elméleti károkat okozott. A Magyar Nemzeti Bank (MNB) adatai alapján 2016-ban a pénzintézeteknek 1.300.000.000 forint kára keletkezett elektronikus pénzforgalombeli visszaélésekből,  túlnyomó többségében interneten és mobiltelefonon keresztül kezdeményezett tranzakciókból. A felismert kísérletek közel 90%-a meghiúsult, de a kárértékben ez így is csak 50% körüli csökkenést eredményezett, ráadásul az elektronikus rendszerekre visszavezethető káresetek száma és összértéke is növekvő tendenciát mutat az MNB által vizsgált 2008. és 2016. közötti időszakban.

Ennek ellenére nincs jelentős felhasználói nyomás sem a szolgáltatókon, mert “a kiszolgált ügyfelek digitális attitűdjében nem bír központi szereppel a biztonság, így nem is támasztanak magas kiberbiztonsági elvárásokat a szolgáltatókkal szemben.” Ebben a környezetben egyáltalán nem meglepő tehát, hogy a bűncselekmények száma növekvő tendenciát mutat, bár a statisztikát a rendbeliség kérdésköre és a latencia jelentősen torzíthatja.

Utóbbi mértékét talán érzékelteti, hogy a legújabb Nemzetbiztonsági Szemlében megjelent egy érdekes adat, miszerint 2017. évben a Létfontosságú Rendszerek és Létesítmények Informatikai Biztonsági Eseménykezelő Központ (LRLIBEK) mindösszesen három darab (!) incidensről kapott bejelentést. Mindenesetre a regisztrált bűncselekmények száma az általános ügyekkel és értékeléssel foglalkozó európai uniós munkacsoport (a továbbiakban: GENVAL) definíciói alapján így alakult:

Regisztrált bűncselekmények
száma GENVAL definíciók
alapján
2013. 2014. 2015. 2016. 2017.
Kizárólag az információs
rendszereket érintő – elsősorban
az informatikai támadásokkal
kapcsolatos – cselekmények
3554 2398 2819 4187 5098
Cselekmények, amelyeknél a
számítógépes/informatikai
rendszerek eszközként vagy
célpontként szolgálnak,
különösen az online
bankkártyacsalás esetében
3959 917 873 23439 1120
Összesen: 7513 3315 3692 27626 6218

A kiberbiztonsággal kapcsolatos jelenlegi és jövőbeni kihívások csak hatékony módon kezelhetők és ehhez hatékony nemzeti kiber-irányítási rendszer szükséges, amit a Nemzeti Kiberbiztonsági Koordinációs Tanács, mint a kormány javaslattevő, véleményező szerve koordinál. Márpedig a hazai kibervédelem területén  számos intézmény található:

  • Kormányzati Eseménykezelő Központ (GovCERT-Hungary)
  • Nemzeti Kibervédelmi Intézet (NKI)
  • Nemzeti Elektronikus Információbiztonsági Hatóság (NEIH)
  • IH önálló incidenskezelő (IntCERT)
  • KNBSZ önálló incidenskezelő (KNBSZ)
  • a Belügyminisztérium Országos Katasztrófavédelmi Főigazgatóság (BM OKF/LRLIBEK)
  • MTA-SZTAKI működtet információbiztonsági eseménykezelő szervezetet (HunCERT)
  • a Kormányzati Informatikai Fejlesztési Ügynökség számítógépes biztonsági esemény-kezelő szervezete (NIIF CSIRT)

A kidolgozott cselekvési terv szerint felül kell vizsgálni a kormányzati, piaci, oktatási és civil szereplők együttműködésének eddig létrejött fórumain történő együttműködés hatékonyságát, továbbá olyan fórumot kell biztosítani, ahol lehetőség nyílik a társadalmi párbeszédre és a széleskörű tájékoztatásra, az etikus hackerek szerepének, illetve a társadalom és az etikus hackerek viszonyának tisztázására.

Azonosítani kell továbbá, hogy mely területen szükséges javítani a meglévő együttműködésen, a hatóságok, az állami és civil szervezetek, valamint az eseménykezelő központok közötti információ-megosztás, illetve a kölcsönös segítségnyújtás lehetővé tételéhez pedig elengedhetetlen az összehangolt megelőzési, feltárási, mérséklési és reagálási mechanizmusok létrehozása.

Ösztönözni szükséges a piaci és államigazgatási szervezetek által indított „Bug Bounty”, vagyis „Hibavadász” programokat, amelyek keretében az informatikai rendszerek gyengeségeit feltárni kívánó szereplők rendezett feltételek és egyértelmű szabályok keretei között tudják felhívni a szervezetek figyelmét a biztonsági hibákra, időközönként kiberbiztonsági gyakorlatot kell tartani. Végül, de nem utolsó sorban: szükséges a köz- és magánszféra közös felelősségvállalásának tudatosítása.

Magyarország számára – a digitális világ ellenőrzéséhez – kiemelkedően fontos cél, hogy hiteles adat álljon a Kormány rendelkezésére a lakosság és a gazdasági szereplők tájékozottságáról, tudatosságáról, felkészültségéről, illetve fenyegetettségi helyzetéről, a lakosság és gazdasági szereplők pedig legyenek tudatában annak, hogy hol juthatnak hiteles információhoz és hova fordulhatnak segítségért.

Ehhez ki kell jelölni vagy létre kell hozni a NIS irányelv hatálya alá tartozó szektorokban szükséges szakosított intézményeket (CSIRT-ek és hatóságok) az irányelvben megfogalmazott követelményeknek megfelelően, továbbá létre kell hozni az Információbiztonsági törvény szerinti eseménykezelő központ mellett – a hatályos kibervédelmi szabályozás kiterjesztésének vizsgálatával – a nemzeti eseménykezelő központot.

A kibertérből érkező fenyegetések veszélyességének erősödése miatt a hagyományos, észlelőkövető magatartás meghaladott. Alapvető nemzeti érdek ezért a megfelelő kibervédekezési, elhárítási és reagálási képességek koncentrált rendelkezésre állásának biztosítása. “A cél a meglévő bázison a kiber-védekező, elhárító és reagáló képességek passzív és aktív eszközeinek széleskörű kialakítása és alkalmazása.A stratégia egyébként a Magyarország hálózati és információs rendszerek biztonságára vonatkozó Stratégiájáról szóló 1838/2018. (XII. 28.) Korm. határozat alapján készült.

A cikkhez ITT lehet hozzászólni. Ha tetszett, ne maradj le a következőről: