DR. BAJA FERENC
DR. BAJA FERENC
DR. BAJA FERENC, az MSZP képviselőcsoportja részéről: Elnök Úr! Tisztelt Ház! Tisztelt Államtitkár Úr! Való igaz, többen elmondták már a Házban, hogy egy rendkívüli fontosságú kérdésről beszélünk, még akkor is, ha a kérdésről való beszélgetésünk formája, módja és előkészítése is nagyon érdekes.
Szeretném elmondani azt, hogy ahogyan Répássy államtitkár úr is mondotta, van a kormánynak egy stratégiája az informatikai biztonság területére. Ez a stratégia azonban nincs harmóniában azzal a törvényjavaslattal, amely a Ház előtt fekszik, az a stratégia ugyanis valóban a magyar társadalom egészére vonatkozóan fogalmaz meg - nagyon helyesen egyébként - különféle stratégiai kérdéseket. Mit jelent ez? Ez azt jelenti, hogy ha egy kormány komolyan gondolja a saját országának, állampolgárainak, vállalkozásainak és intézményeinek kibertérben megjelenő biztonságát, szükség van erre a mai körülmények között, még akkor is, ha egyébként ennek olyan intézménye sincs, csak hogy mondjak egy példát, hogy egyáltalán milyen kötelezettségek terhelik a kormányt egy ilyen kibertámadás esetére, hiszen vannak ilyen támadások, mint ahogy államtitkár úr is jelezte, történnek ilyenek, a mai körülmények között is történnek ilyenek, nincs szabályozva például ennek az eljárásrendje, mi ilyenkor a feladat. Ismerjük azt például, hogy akár a honvédelmi törvény, akár a rendvédelmi törvények nagyon jelentős kötelezettségeket hárítanak a kormányra, a parlamentre ilyen esetekben.
Jelen pillanatban, miközben kiberbiztonságról beszélünk, miközben ennek a területnek a szabályozásáról beszélünk, miközben erre vonatkozóan van a kormánynak egy stratégiája, látunk egy előterjesztést, amelyik az egész problémát egy rendkívül szűk szeletben kívánja szabályozni, miközben az összes többi területet szabályozás nélkül hagyja. Ez a mi valódi problémánk ezzel a javaslattal.
Nem látjuk, nem tudjuk, nem értjük egyébként, hogy ennek az úgynevezett stratégiának, amit a kormány elfogadott, milyen egyéb törvényi feltételei lennének még. Ezt nem látja a parlament, államtitkár úr se beszélt arról, hogy ezen törvényen kívül még milyen típusú törvényi szabályozás keretei között fogjuk megvédeni például a magyar állampolgárokat, a magyar állampolgárokat adott esetben az őket ért támadások ellen. Eljár-e például a magyar állam, vagy ki fog eljárni abban az esetben, ha külföldi szereplők például a legnagyobb magyar bankokat megtámadják, onnan a bankok ügyfeleit elektronikus adatbázisokba elviszik? Ki a peres fél? Egy állampolgár? A magyar állam? A bank? Hogyan fogjuk ezeket a területeket, ezeket a rendkívüli fontosságú kérdéseket szabályozni, kezelni, védeni? Ezek nincsenek benne ebben a törvényben, hiszen maga a törvény - ahogyan előttem többen is elmondták - leszűkíti a szabályozás területét a közigazgatásra és az önkormányzatokra. Külön érdekessége, hogy a közigazgatáson belül a kormányra nem tér ki valójában, pontosabban: a kormányra vonatkozóan egy olyan szabályozási lehetőséget teremt meg - és kötelezettséget is szab egyébként -, hogy majd az érintett miniszterek fogják az adott területeken a saját szabályrendszereiket meghatározni.
Tisztelt Államtitkár Úr! Tisztelt Ház! Az informatika és a hálózatosság világában teljesen alkalmatlan ez az eszközrendszer arra, hogy megvédje a magyar társadalmat bármilyen támadástól, történjen az egyébként belülről, tehát hazai oldalról indítva, akár külföldi oldalról. Könnyen belátható egyébként, hogy miért. Ebben a törvényben kialakított szerkezetben a magyar kormány egy tizenkét fejű hadsereg jelen pillanatban, hiszen minden minisztérium, minden államtitkárság, minden önálló intézmény külön, önálló védelmi stratégiát fog magának kialakítani. A törvény erre szab nekik kötelezettségeket és feladatokat, anélkül, hogy a nagy egész védelméről bármit mondana, annak az intézményrendszeréről, annak az infrastruktúrájáról, annak összes többi változatáról.
Hadd mondjak erre egy egyszerű példát! Jelen pillanatban a kormányzati gerinchálózat összeköti azokat az intézményeket, amelyek lényegében az elektronikus kapcsolattartást biztosítják azon intézmények számára, azon minisztériumok és az őket vezető miniszterek számára, akiknek feladatuk lenne például az információk védelme. Szeretném megkérdezni, hogy ezt hogyan fogják csinálni abban az esetben, ha mondjuk, a NISZ, amelyik ezt az intézményt üzemelteti, nem tudja ellátni a feladatát. Jelen állapotban azok a miniszterek, akik felelősek lennének azért, hogy a saját minisztériumukban milyen kapcsolatrendszerekkel és adatkapcsolatokon keresztül, milyen biztonsággal történik a kommunikáció, azoknak erre vonatkozóan semmilyen eszközük nincs jelen pillanatban, hiszen egyébként - az én megítélésem szerint helyesen - a kormány úgy döntött, hogy ezeket a feladatokat egy állami tulajdonban lévő intézmény látja el. Ennek az intézménynek a felelősségéről ebben a törvényben senki nem beszél egy árva szót sem; a miniszterek felelősségéről igen. Na de kérdezem: hogyan fogják tudni ellátni a miniszterek, a minisztériumok ezt a felelősséget?
Ez az igazi problémája ennek a kerettörvény jellegű dolognak, amelyben, én értem természetesen, hogy közigazgatási logikában akár még ez igaznak is vehető, egy régi infrastrukturális logikában, amikor saját infrastruktúrájuk volt ezeknek az intézményeknek, még akár el is fogadható, de kérem tisztelettel, a jelen állapotban a magyar kormányzat mögötti informatikai infrastruktúra, adatbázisrendszer, adatkapcsolati rendszer, végfelhasználói rendszer tökéletesen ellentétesen mozog, mint amit ez a szabályozás itt valamennyiünk számára előír. Ez igaz az államigazgatás egészére és igaz az önkormányzatokra is.
Ez tehát azt jelenti, hogy itt van egy nagyon komoly ellentmondás a jelenlegi infrastrukturális helyzet, a jelenlegi kormányzati stratégia és a jelenleg benyújtott törvény alapján. Egy diszkrepancia van, őszintén szólva nem tudom megérteni, hogy miért jöhetett létre, ez lehet hogy egy jóindulat, hogy a tárca úgy gondolta, hogy mivel szabályozatlan ez a terület… - és ebben az értelemben ezt vissza kell igazoljam, hogy miután megszüntették azokat a jogszabályokat, amelyek ezt a területet szabályozták, itt van egy szabályozatlanság, de ez a szabályozatlanság nem oldódik meg ennek a szabálynak a kialakításával, csak formailag. Értem, hogy van egyfajta ilyen jogi kötelezettség, jogi eljárásrend, nem is bírálom ebben az értelemben államtitkár urat, hogy tenni szeretnének valamit, de ez a valami nem a valódi megoldás, ez a valami a feladat kipipálása, hogy legyen a közigazgatásra egy ilyen típusú szabályozás.
(10.10)
Mi az, amiért ebben a formájában - annak ellenére, hogy indokolt lenne - nem lehet elfogadni ezt a szabályozást? Azért, mert ez az igazgatás területét érinti, de nem biztosítja az informatikai biztonságot teljeskörűen, és különösen nem biztosítja az állampolgárok, a vállalati szereplők, a banki üzemeltetés számára. Ebben az értelemben pedig azt lehet mondani, hogy álfeladatokat, álfelelősségeket telepít, ami eltereli a figyelmet arról, hogy valójában ezekkel a nagyon fontos informatikai biztonsági feladatokkal foglalkozik-e valaki, jelen pillanatban ugyanis ez “szabadon választott”.
Nem látjuk például azt, hogy akár a Külügyminisztériumnak, akár a Belügyminisztériumnak mi a feladata, mi a felelőssége abban az esetben, ha Magyarországot tényleg komolyan úgynevezett informatikai támadás érné. Adott esetben mi akkor a helyzet, mi akkor a feladata, ha bármelyik magyar jelentős vállalatot, legyen az magántulajdonban, állami tulajdonban vagy külföldi tulajdonban, annak az informatikai rendszerét támadás érné, tehát nem állampolgári, hanem úgynevezett vállalati kémkedésről lenne szó? Ismert a világban, hogy ilyen is létezik természetesen, de erre vonatkozóan sincs semmilyen szabályozás.
Ráadásul - azt kell mondanom - a szöveg belső koherenciájában is sok problémát mutat azért, mert a különféle biztonsági osztályokba sorolásoknak nincsenek meg a maguk szakmai elhatárolásai és kompetenciái. De ugyanígy igaz ez egyébként azokra a felelősökre, akiknek felelniük kell majd a törvény elfogadása után az informatikai biztonságért. Értem, amit az államtitkár úr mond, hogy ezeket majd képezni kell, de jelen pillanatban például az alkalmazás feltételrendszere ebben a szabályrendszerben nem világos. Nyilván majd valamilyen kormányrendeletben ezt megpróbálják szabályozni, de akkor is az a helyzet, hogy legalább például az alapelveiről, arról, hogy egyáltalán ki foglalkozhat ilyesmivel, kinek mi lesz a felelőssége, a jogszabály jelen pillanatban egyáltalán nem mond semmit.
Van még egy olyan elem, amire szeretném a vitában felhívni a képviselőtársaim figyelmét. Kétfajta modellben gondolkodik a biztonság területén ma a világban minden közösség, ha tetszik, minden ország és állam. Az egyik az úgynevezett hatósági modell, amelyet jelen pillanatban ez a törvény is tartalmaz, amelyről az államtitkár úr is beszél. És van egy másik, az úgynevezett felügyelet típusú modell, ahol egy másfajta modell szerint történik meg a szükséges biztonsági intézményrendszer kialakítása. A mi megítélésünk szerint a magyarországi helyzetben a felügyelet típusú modell sokkal alkalmasabb ennek a feladatnak az ellátására. Az a helyzet ugyanis, hogy nem felelősöket kell teremteni, akik egyébként nem tudnak csinálni semmit, hanem egy olyan felügyeleti rendszert, amely kellő szankcióval, kellő eszközrendszerrel képes felügyelni a magyar informatikai feltételrendszert, a teljes hálózatot, az adatbázisokat és képes felügyelni, hogy éri-e támadás ezt az intézményrendszert. Lényegében a hatósági modellben a felügyeleti felelősség - még egyszer mondom - olyan embereket fog érinteni, akik tulajdonképpen egyáltalán semmit nem tehetnek egy-egy ilyen támadás elhárítására. Ezért nekünk az a szilárd álláspontunk, hogy ha helyesen egyébként a kormány szabályozni szeretné ezen a területen a kialakult magyarországi körülményeket, akkor át kellene térnie egy felügyelet típusú modell kialakítására.
Az sem elkerülhető, gondolom, kiderült az eddig elmondottakból, hogy a Magyar Szocialista Párt álláspontja szerint az információbiztonságról szóló törvényjavaslatnak át kell fognia a kérdéskör teljes vertikumát, tartalmazva a szolgáltatásokat nyújtó állami és önkormányzati szervek és szervezetek, vállalkozások kötelezettségeit, illetőleg a felhasználó vállalkozások, társadalmi és civil szervezetek, valamint a lakosság ezzel kapcsolatos jogait. Az információbiztonság felügyeletét és az ezzel kapcsolatos feladatok ellátását egységes alapokon nyugvó, ugyanakkor az egyes szervezetek eltérő méreteihez és kockázatviseléséhez alkalmazkodó, szigorúan kockázatarányos és teljesítményelvű szempontok és követelmények alapján, egyetlen kormányzati szereplő elsődleges felelőssége mellett kellene meghatározni, szemben - ahogy jeleztem - a jelenleg megfogalmazott ágazatok szerinti lehetőségekkel.
Többen beszéltek már arról, hogy nincs hatástanulmány ehhez a törvényhez. Ezt azért tartom kicsit problematikusabbnak annál, mint ahogy általában szokott lenni egy-egy törvénynél, merthogy egyébként biztonsági kérdésről van szó. Tehát ez körülbelül azt jelenti, hogy védekezünk vagy úgy támadunk, hogy fogalmunk nincs arról, a hadseregeink éppen merre és hol helyezkednek el. Ezt jelenti, hogy hatásvizsgálat nélkül történik a törvény benyújtása. Nincs tisztázva jelen pillanatban, legalábbis a törvény jelenlegi szövege alapján, csak ezt az egy kérdést szeretném feltenni a képviselőknek: innentől kezdve melyik lesz az az intézményrendszer, nevesítve kérdezem, amelyik megvédi a magyar adatbázisokat, a magyar gerinchálózatot, a magyar állampolgárok adatait. Tudják-e önök ezt? Egy intézménynevet szeretnék kapni. Én nem tudom. (Dr. Kovács Tibor közbeszól.) Értem, amit a képviselőtársaim mondanak, de ezt esetleg viccnek lehetne elfogadni, valódi válaszként nem.
Tehát ez azt jelenti, hogy jelen pillanatban egy olyan keretjellegű szabályozásról beszélgetünk, amely abban a tekintetben ártalmas csak, hogy elfedi azt a problémát, hogy szabályozatlan jelen pillanatban és a következő időszakban is szabályozatlan marad a magyar információvédelem, a magyar infrastruktúra. Vonatkozik ez egyébként, csak hogy egy példát mondjak, a teljes telekommunikációs szektorra. Lévén, hogy a vállalati körre nem terjed ki, meg szeretném kérdezni, hogy fogjuk megteremteni ezt a biztonsági rendszert, ha például a közvetítő három nagy vállalat számára semmilyen kötelezettséget nem ír elő - semmilyet sem. Ez azt jelenti, hogy miközben elektronikusan kommunikálunk, aközben ennek a törvénynek a hatása kifejezetten a minisztériumokra vonatkozik. De hogy fognak a minisztériumok egymással beszélgetni? Postagalambot küldenek az informatikai térben? Nyilván nem. Valamilyen rendszeren beszélgetni fognak. Az egyik a kormányzati gerinchálózat, erről beszéltünk, ott nem állapít meg felelősséget, a másik lehetőség, hogy olyan intézmények végzik el ezt a forgalmat, amelyekre viszont szintén nem vonatkozik jelen pillanatban a törvény. Akkor hogy tudjuk garantálni azoknak az állami adatbázisoknak a védelmét, amiről itt beszélünk?
Maga Koszorús László képviselőtársam, az informatikai bizottság elnöke is beszélt arról - nagyon helyesen -, hogy általában a világban is a bankok, a gazdasági szereplők is kitettjei ennek a rendszernek. Tehát ebben az értelemben nincs szabályozva. Ezért tisztelettel kérném majd államtitkár urat arra, hogy valamilyen menetrendet legalább vázoljon fel a tisztelt Ház előtt, hogy ha egyszer ezt a részterületet már szabályozták, akkor mikor lesz szabályozva ennek az informatikai biztonsági területnek az összes többi része; valamint arra is, hogy ha ez egy keretjellegű szabályozás, akkor mikor, milyen időközökkel fognak megjelenni azok a részlet-jogszabályok - most a technikai kérdésekről már nem beszélek -, amelyek egyébként ezt a kerettörvényt és résztörvényt az egész problémában megpróbálják elhelyezni.
Még egyszer mondom, mivel az államtitkár úr ül itt, ebből következően nem neki akarok kellemetlenséget okozni, azoknak, akik egyébként idehozták ezt a feladatot, csak azt szeretném jelezni, attól még, hogy ezt a feladatot kipipálták, a kormány ezt nem tudja kipipálni. De továbbmegyek: attól még, hogy a kormány kipipálja, sajnos a parlament nem tudja kipipálni, hiszen ha már egyszer erről a dologról beszélünk - és nyilván illik, hogy ebben a Házban komolyan beszéljünk erről a feladatról -, akkor csak azt tudom megfogalmazni, hogy attól még, hogy ezt a törvényt majd a Ház a mi szavazataink nélkül elfogadja, ez a probléma nem fog megoldódni.
Arra szeretnék tehát rávilágítani, hogy jelen pillanatban ugyanúgy, mint egyéb más területeken, itt egy részkérdés részproblémájaként van egy javaslat, de ettől még az egész probléma egyáltalán nem fog megoldódni. És fel szeretnénk hívni a társadalom és a szakma figyelmét is ebben a vitában arra, hogy ilyen értelemben sajnos ez inkább egy részfeladat és egy figyelemelterelés, mint a gond valódi megoldása.
(10.20)
Ugyanakkor azt el kell ismerjem, hogy ennek a problémának az asztalra tétele egy rendkívüli fontosságú kérdés, mert reményeim szerint rávilágít arra mind a parlamenti vita, mind az erről szóló kommunikáció, a szakmai és egyéb más nyilvánossági elemek világossá teszik a társadalom számára, hogy itt lenne a magyar parlamentnek egy nagyon komoly felelőssége és kihívása. Hozzáteszem, én szeretném javasolni, hogy azért jó lenne, ha például a nemzetbiztonsági bizottság - én nem vagyok a nemzetbiztonsági bizottság tagja - foglalkozna egy ilyen kérdéssel, mert azt gondolom, biztosan fontos, hogy az egészségügyi miniszter majd bizonyos munkákat és feladatokat ellásson, de talán a nemzetbiztonsági bizottságnak egy ilyen témával érdemes lenne foglalkoznia, hiszen ott kompetenciák vannak, nemcsak szakmai, hanem államigazgatási kompetenciák is.
Összességében tehát, nem vitatva azt, hogy erre a szabályozásra szükség lenne, nem vitatva a tárca jóindulatát, hogy egy részterületet szabályozni akar, szeretném rögzíteni azt, hogy jelen állapotában, jelen formájában a Magyar Szocialista Párt nem azért nem tudja elfogadni ezt a javaslatot, mert ab ovo ellenzékiként oppozícióban van, hanem azért, mert nem teljesíti a kormány maga által elfogadott kiberstratégiájának a törvényi leképezését, hiszen nem általánosan szabályozza ezt a kérdést, hanem egy részterületében. Ez az az ok, amiért nagy tisztelettel és jóindulatúan azt szeretnénk javasolni, hogy a parlament inkább egy stratégiát fogadjon el. Folytassunk le egy olyan vitát, mintha már a kormány elfogadta ezt a kiberstratégiát (sic!), amely erről a stratégiáról szól, ez hogy érinti az állampolgárokat, intézményeket és a többieket, és ezen stratégia alapján a kormány gondolja újra ennek az egész területnek a törvényi szabályozását.
Államtitkár úr, elnök úr, megtisztelő figyelmüket megköszönve még egyszer szeretném rögzíteni: ebben a formájában így a Magyar Szocialista Párt a javaslatot támogatni nem tudja.
Köszönöm figyelmüket. (Taps az MSZP padsoraiból.)
