A napokban megjelent a 2013. évi L. törvényt NIS2 alapokon leváltani hivatott, Magyarország kiberbiztonságáról szóló 2024. évi LXIX. törvény, aminek a tevezetét korábban én is véleményeztem.
Ennek nyomán pedig tegnap hatályosult a Magyarország kiberbiztonságáról szóló törvény végrehajtásáról szóló 418/2024. (XII. 23.) Korm. rendelet is, amely kiegészíti, illetve részleteiben is szabályozza a törvényben meghatározottakat.
A törvény szövege alapján, annak érdekében, hogy a szervezet által kezelt adatok védelme a kockázatokkal arányosan biztosítható legyen, a szervezet köteles az általa az elektronikus információs rendszerben kezelt adatok bizalmasság, sértetlenség és rendelkezésre állás szerinti osztályozására kormányrendeletben foglaltak szerint.
A törvényben megjelölt szervezet az adatosztályozást nem privát felhőszolgáltatás igénybevétele és külföldi adatkezelés megvalósítása esetén köteles elvégezni, a külföldi vagy nem privát felhőszolgáltatás igénybevételével történő adatkezelés kockázatainak felmérése érdekében.
Ezzel összefüggésben egy költség-haszon elemzés keretében a szervezet vizsgálja és kimutatja az aktuálisan alkalmazott technológiához képest a nem privát felhőszolgáltatás igénybevételével járó előnyöket és hátrányokat, a kilépési terv keretében megtervezi a felhőszolgáltatás alkalmazásáról a helyi környezetre vagy privát felhő használatára történő visszaállás lépéseit, annak következményeit és költségvonzatát.
Az egész, új adatosztályozási eljárás alapvető célja, hogy az elektronikus információs rendszerben kezelt adatok bizalmasság, sértetlenség és rendelkezésre állás szempontjából értékelésre kerüljenek és azok biztonsági súlyának megfelelően kerüljön kialakításra a kockázatarányos védelem. Az adatosztályozás emellett hozzájárul az elektronikus információs rendszerben kezelt adatok külföldön vagy felhőben történő kezelésének egyértelmű meghatározásához.
A kialakított normatív keretekkel eddig a pontig aligha lehet vitatkozni, sőt, kifejezetten előremutató a költség-haszon elemzés és a helyi környezetre való visszaállás megtervezésének kötelezettsége, bár ez egyébként a pénzügyi szektorban már évek óta adottság. Ami viszont ezután jön a szabályozásban, azt nagyon nehéz pozitívan értékelni.
Az adatok bizalmasság szerinti besorolása a jövőben így fog kinézni:
B1 szintű adatok
Ezen adatok bizalmasságának sérülése vagy elvesztése nem, vagy csak elhanyagolható mértékű anyagi vagy reputációs veszteséget okozhat a szervezetnek.
B2 szintű adatok
Ezen adatok bizalmasságának sérülése vagy elvesztése csak kis mértékben okozhat anyagi vagy reputációs veszteséget a szervezetnek.
B3 szintű adatok
Ezen adatok bizalmasságának sérülése vagy elvesztése jelentős anyagi vagy reputációs veszteséget okozhat a szervezetnek.
B4 szintű adatok
Ezen adatok bizalmasságának sérülése vagy elvesztése kritikus mértékű anyagi vagy reputációs veszteséget okozhat a szervezetnek.
A jogalkotónak sikerült két olyan mutatót kiválasztani az adatosztályozás alapjául, amit a lehető legnehezebb objektív módon értékelni, különösen incidens hiányában, előzetesen. Az eleve lóg a levegőben, hogy mit kell „kis mértéknek” vagy „jelentősnek” értékelni.
De ez messze nem akkora probléma, minthogy az adatvagyon bizalmasságának sérülése esetén bekövetkező anyagi veszteség előzetes becslésére az intézmények egész egyszerűen nincsenek felkészülve. Még tanácsadói szinten sem triviális ez a kérdés, az érintett intézmények pedig úgy fogják értelmezni, ahogy az érdekükben áll (ennek legfőbb prioritása általában nem a kiberbiztonság erősítése).
A reputációs veszteség még ennyire sem tekinthető objektívnek, gyakorlatilag használhatatlan fogalom, főleg, ha az állami környezetet vesszük alapul. Vegyük példának a VBÜ Zrt. esetét. A bizalmasság sérülése által okozott vagyoni kárt szerintem még most sem tudnák pontosan meghatározni, nemhogy az incidens bekövetkezte előtt.
Hogy reputációs veszteség történt-e arra nyilván van valamiféle válasz, csak épp attól függ, hogy kit kérdeznek és mikor. Ha jól követtem az eseményeket, akkor a kormány és az érintett szervezet szerint nem történt semmi érdemleges. Ez alapján lényegében B1-től B4-ig akármibe be lehetne sorolni az adatokat.
A sértetlenség kapcsán „szerencsére” már csak kétféle állapot létezik:
SR1: az adatok SÉRTETLENSÉGE VAGY RENDELKEZÉSRE ÁLLÁSA NEM KRITIKUS
Az elektronikus információs rendszeren tárolt és kezelt adatok sértetlenségének vagy rendelkezésre állásának sérülése vagy elvesztése a szervezetnek vagy más személynek nem, vagy csak elhanyagolható mértékben okozhat anyagi vagy reputációs veszteséget.
SR2: az adatok SÉRTETLENSÉGE VAGY RENDELKEZÉSRE ÁLLÁSA KRITIKUS
Az elektronikus információs rendszeren tárolt és kezelt adatok sértetlenségének vagy rendelkezésre állásának sérülése vagy elvesztése a szervezetnek vagy más személynek jelentős, vagy kritikus mértékű anyagi vagy reputációs veszteséget okozhat.
Nem ismételném magam, hogy miért tökéletesen alkalmatlan ez a felosztás, de arra hadd mutassak rá, hogy az egész adatosztályozási eljárás célja az (a biztonsági osztályba soroláson túlmenően), hogy segítsen meghatározni azon adatvagyont és ennek nyomán azon rendszereket, amiknek nem lenne szabad külföldi üzemeltetőkhöz vagy épp nem privát felhőszolgáltatásba kerülniük.
De vegyük észre, hogy ennek minden józan ész szerint nem az az elsődleges oka, mert a bizalmasság sérülése kapcsán attól kellene tartani, hogy emiatt vagyoni hátrány, vagy épp reputációs veszteség történik, hanem annak a kockázata, hogy magyar nemzeti adatvagyont külföldi piaci és állami szereplők szétlopják, az ellenérdekelt hírszerző szolgáltatok ezeket az adatokat feldolgozzák és felhasználják.
A cikkhez ITT lehet hozzászólni. Ha tetszett, ne maradj le a következőről: