A jogalkotó a 2013. évi L. törvény módosításával előírja, hogy a hatálya alá tartozó elektronikus információs rendszerek teljes életciklusában meg kell valósítani és biztosítani kell a poszt-kvantumtitkosítás alkalmazásra kötelezett szervezetek esetén a fizikailag elkülönített helyszíneik közötti kormányzati célú hálózaton, továbbá a publikus internet felületen zajló, az elektronikus hírközlési törvény szerinti szolgáltató igénybevételével vagy egyéb információs társadalommal összefüggő szolgáltatásaik igénybevétele során a hagyományos kriptográfiai alkalmazáson felüli biztonságot nyújtó poszt-kvantum titkosítási alkalmazással történő zárt, teljes körű, folytonos és kockázatokkal arányos védelmét.
Ilyen, a poszt-kvantumtitkosítás alkalmazásra kötelezett szervezet lesz a Szabályozott Tevékenységek Felügyeleti Hatósága (a továbbiakban: SZTFH) elnökének rendeletében meghatározott, a kormányzati célú hálózatokról szóló kormányrendelet szerinti igénybevételre kötelezett szervezet, a hitelintézetekről és a pénzügyi vállalkozásokról szóló törvény szerinti bank, valamint bizonyos esetben a közműszolgáltató, és a közszolgáltatást nyújtó szervezet.
| A következő törvények hatálya alá tartozó közműszolgáltató és a következő törvények felhatalmazása alapján kiadott jogszabályok hatálya alá tartozó, közszolgáltatást nyújtó szervezet minősül poszt-kvantumtitkosítás alkalmazására kötelezett szervezetnek: 1. a földgázellátásról szóló törvény, 2. a földgáz biztonsági készletezéséről szóló törvény, 3. a villamos energiáról szóló törvény, 4. a távhőszolgáltatásról szóló törvény, 5. a víziközmű-szolgáltatásról szóló törvény, valamint 6. a hulladékról szóló törvény. |
A poszt-kvantumtitkosítás a törvény definíciója szerint a matematikailag valószínűsíthetően igazolható, kvantumszámítógép által megvalósított támadás ellen a hagyományos kriptográfiai alkalmazáson felüli poszt-kvantum alkalmazást, illetve megoldást nyújtó titkosítás, amely során a két végpont közötti kommunikáció felhasználásával, az adatátvitellel megosztott kulcsot hoz létre a két végfelhasználó között, anélkül, hogy a kulcsot jogosulatlan harmadik fél megismerné.
A poszt-kvantumtitkosítás alkalmazásra kötelezett szervezet a jogszabályban meghatározott feladatainak ellátása körében köteles a fizikailag elkülönített helyszínei közötti kormányzati célú hálózaton, továbbá a publikus internet felületen zajló, az elektronikus hírközlési törvény szerinti szolgáltató igénybevételével vagy egyéb információs társadalommal összefüggő szolgáltatás igénybevétele esetén poszt-kvantumtitkosítás alkalmazást annak kiépítéséhez az alkalmazás nyújtására jogosult, nyilvántartásba vett szervezettől beszerezni, és a kezelésében álló hálózatain a védelmet kialakítani, annak érdekében, hogy az elektronikus úton történő információáramlás a kvantumszámítógép okozta kibertámadás ellen biztosított legyen.
Kizárólag olyan szervezet nyújthat poszt-kvantumtitkosítás alkalmazást a poszt-kvantumtitkosításra kötelezett szervezet számára (a továbbiakban: poszt-kvantumtitkosítás alkalmazást nyújtó szervezet), amely nemzetbiztonsági kockázatot nem jelent és amely által használt informatikai rendszer biztosítja a rendszerelemek zártságát, és megakadályozza az informatikai rendszerhez történő jogosulatlan hozzáférést, valamint észrevétlen módosítását.
A poszt-kvantumtitkosítás alkalmazást nyújtó szervezet informatikai rendszerének a magas információbiztonsági követelményein túl meg kell felelnie az általános információbiztonsági zártsági követelményeknek is. Ennek érdekében a poszt-kvantumtitkosítás alkalmazást nyújtó szervezetnek adminisztratív, fizikai és logikai intézkedésekkel biztosítania kell az általános információbiztonsági zártsági követelmények teljesülését.
Az indokolás szerint az SZTFH feladatköre ilyen módon kiegészül a nemzeti kiberbiztonsági tanúsító hatósági feladatokkal (a hadiipari kutatással, fejlesztéssel, gyártással és kereskedelemmel összefüggő kiberbiztonsági tanúsító hatósági feladatok kivételével), valamint a poszt-kvantumtitkosítás alkalmazás szolgáltatást nyújtó szervezetek nyilvántartásba vételével. Az egyes elektronikus információbiztonsági tárgyú törvények és a végrehajtásukra szolgáló jogszabályok módosításával olyan alkalmazás, poszt-lvantumtitkosítás válik kötelezővé az állami szervek esetében, amely alapján a jövőben fenyegető kvantumszámítógépek okozta kibertámadásokkal szemben előre kialakítható a szükséges védelem.
A szabályozási koncepcióban rengeteg érdekesség rejlik. Kezdve azzal, hogy a szabályok az egyes energetikai és közlekedési tárgyú, valamint kapcsolódó törvények módosításáról szóló 2021. évi CXXXVI. törvényben jelentek meg, ami mindenképp furcsa, de vitán felül, az energetikai ágazat tipikusan célpontja lehet ilyen támadásnak. Aminek forrása manapság meglehetősen behatárolt, hiszen meglehetősen korlátozott számban érhetők el ilyen eszközök, de talán nem tévedek nagyot, ha feltételezem, hogy legalább az amerikai és a kínai kormány hozzáfér ilyen erőforrásokhoz, akár hírszerzési célokra is.
De a normaszöveg természetesen nem a mára, hanem a jövőbe tekint, de azért nem olyan távoli jövőbe. A legfontosabb szabályok hatályba léptetése természetesen nem máról holnapra történik, de azért 2022. július 1-jén hatályba lépnek. Ez pedig igencsak közeli dátum, ha figyelembe vesszük, hogy a területen – nagy általánosságban – még csak a szabványosítás lehetőségeit vizsgálják. A Magyar Szabványügyi Testület két hónappal ezelőtt még azt írta, hogy „nagyjából 10 évre lehetünk a teljesen működőképes kvantumszámítógépektől, amelyek képesek leváltani a jelenlegi kriptográfiai rejtjeleket.”
Az SZTFH felkészülése sem lehet egyszerű, hiszen egyelőre még csak az összeolvadt szervezetek feladatai vannak nála, amik elsődlegesen nem kiberbiztonságot érintő területek (szerencsejáték, dohányipar, bírósági felszámolás és végrehajtás). Természetesen folyamatosan születnek tanulmányok és kutatások a poszt-kvantumtitkosításról, például az Eötvös Loránd Kutatási Hálózathoz (érdekesség, hogy a szervezet nemzetbiztonsági védelmét épp a minap szüntették meg) tartozó Wigner Fizikai Kutatóközpontban működő Kvantuminformatikai Nemzeti Laboratóriumban, de egészen biztosan a Nemzeti Kibervédelmi Intézet is foglalkozott a kérdéssel.
A cikkhez ITT lehet hozzászólni. Ha tetszett, ne maradj le a következőről:
