SCHÖN PÉTER
SCHÖN PÉTER
SCHÖN PÉTER, a Jobbik képviselőcsoportja részéről: Tisztelt Elnök Úr! Tisztelt Képviselőtársaim! Az informatika és a kommunikációs technológia a XXI. század motorja, napjainkra életünk meghatározó része lett. Számítástechnikai rendszerek működtetik a közlekedést, a telefonhálózatokat, a televízió- és rádióadókat, gyárakat, minden nagyobb cég saját informatikai hálózattal rendelkezik, s napjainkra már lakásunkat is behálózzák az informatikai rendszerek. A fejlődés üteme szédítő, és ezen szédületes iramban sokszor elfeledkezünk az árnyoldalakról. Sokszor nem is vesszük észre, mennyire életünk része lett az informatika, legfeljebb akkor, amikor valami nem működik.
Az internet kezdetekben egy zárt hálózat volt, amelynek célja az volt, hogy egy esetleges atomcsapást is túlélve biztosítsa az Amerikai Egyesült Államok kommunikációs rendszereit. Idővel azonban az internet kiszabadult ebből a zárt térből, elkezdtek oktatási intézmények, cégek, végül magánszemélyek is rácsatlakozni. Ennek során azonban a fejlődés, a terjeszkedés nem szigorú központi koordináció mellett történt, hanem a résztvevők döntöttek a fejlesztésekről, a technikai paraméterekről, a felhasznált technológiáról. Ez kezdetben hozzájárult a fejlődés szédítő üteméhez, azonban a 2000-es években elkezdtek sokasodni a figyelmeztető jelek.
Napjainkra eljutottunk oda, hogy akár a nappalinkból is üzemeltethetünk honlapokat különösebb technikai előképzettség nélkül. Ennek során érzékeny személyes és üzleti adatokat kezelve potenciális célponttá válunk. Mobiltelefonunk segítségével bárhol és bármikor rácsatlakozhatunk az internetre, hozzáférhetünk bankszámlánkhoz, munkahelyi rendszerünkhöz, ügyfélkapu-regisztráció esetén pedig az állami nyilvántartó rendszerekhez is. Ha az eléréshez használt technikai eszközök nincsenek megfelelően védve, akkor azokhoz hozzáférve értékes adatokat szerezhetnek meg a rosszindulatú elkövetők.
Az informatika hőskorában komoly szakértelemmel rendelkező programozók alkották meg az első vírusokat, amelyek célja eleinte nem feltétlenül a károkozás vagy a nyereségvágy volt, hanem az alkotók ezzel kívánták demonstrálni technikai képzettségüket. Később elkezdtek terjedni az immár valódi, komoly károkat okozó vírusok, féregprogramok, melyek célja immár az adatok tönkretétele, megszerzése vagy anyagi ellenszolgáltatás kizsarolása volt.
Napjainkra eljutottunk oda, hogy egy kis keresgéléssel szinte bármelyik, minimális informatikai képzettséggel rendelkező tinédzser automatizált programok segítségével létrehozhat vírusokat, féregprogramokat, és ezek segítségével adatokat lophat, vagy túlterheléses támadást indíthat állami, önkormányzati, céges rendszerek ellen. Egyes államok informatikusokból álló hadsereget állítanak fel, mert felismerték, hogy az internet egy új hadszíntér, ahol egy kisebb, megfelelő tudás birtokában lévő, akár fejletlenebb állam is térdre kényszerítheti a nagyobbat.
A helyzet egyértelműen súlyos, és intézkedésre van szükség. Az előttünk fekvő törvényjavaslat az állam részéről erre próbál választ adni. A törvényjavaslat első fele a használt fogalmakat tisztázza, majd pedig a törvény személyi és tárgyi hatályát szabályozza. Közismert az a mondás, hogy minden lánc csak olyan erős lehet, amennyire a leggyengébb láncszem. Ennek tükrében meglepő, hogy a törvényjavaslat személyi és tárgyi hatálya nem terjed ki a kormányra és a kormánybizottságokra mint potenciális célpontokra.
A javaslat kitér arra, hogy a szükséges védelmi intézkedések megtervezéséhez az állami informatikai rendszerek biztonsági osztályba sorolása alapvető fontosságú. A törvényjavaslat ezt a szervezeti vezető feladatává teszi, azzal kiegészítve, hogy a megállapított biztonsági szinttől indokolt esetben eltérhet. Az eltérések lehetséges okait azonban nem rendezi a javaslat, így egy-egy szervezet biztonsági besorolását ennek megfelelően szubjektív szempontok befolyásolhatják.
A javaslat szerint a biztonsági besorolást a törvény hatálybalépését követő egy éven belül meg kell tenni, amelyet a szervezet vezetője felülbírálhat, így mire a hatóság a biztonsági osztályba sorolás felülvizsgálata során megállapítja, hogy például túl alacsony biztonsági osztályba lett besorolva a szervezet, rengeteg hasznos idő, akár másfél-két év is eltelhet a valódi biztonsági szint megállapításáig és a szükséges lépések elkezdéséig. Maga a javaslat is megemlíti, hogy egy olyan központi államigazgatási szervnél, ahol nincs információbiztonsági szabályozás, akár négy év is rendelkezésre áll a követelmények teljesítéséhez - ez eltúlzott.
Arra szintén nem tér ki a javaslat, hogy a biztonsági osztályba sorolás során kockázati tényezőként kell figyelembe venni azt, ha az adott szerv az adatok kezelésére zárt forráskódú rendszereket használ. Ezen szoftverek esetén a fejlesztés módjáról, irányáról, üteméről a szoftver készítője dönt, ebbe az államnak nincs beleszólása. Ez érinti a termék biztonsági szolgáltatásait és a termék biztonsági frissítéseit is. Ez komoly nemzetbiztonsági kockázatot jelent. Szintén nem rendelkezik arról a javaslat, hogy az állam által használt rendszereknek meg kell felelniük nemzetközi nyílt szabványoknak. Zárt formátumok és szabványok használata az adatvédelmi követelmények és az archiválási követelmények - azaz hogy az adatok akár 20 év múlva is elérhetőek legyenek - okán nem megengedhető.
A törvényjavaslat megemlíti az adatok külső szolgáltatók általi kezelését, a manapság oly népszerű cloudrendszereket is. Szabályozza, hogy ebben az esetben is az adatgazda felelőssége a szükséges biztonsági szint betartása, arról azonban nem rendelkezik, hogy amennyiben sok szervezet él a kiszervezés ezen lehetőségével, akkor a rendszert üzemeltető szolgáltatónak az általa üzemeltetett rendszerek biztonsági besorolásától függetlenül magasabb minősítést kell kapnia, hiszen egy meghibásodás, szolgáltatáskimaradás vagy egy sikeres támadás esetén szolgáltatások sokasága maradhat ki.
A javaslat jelzi, de kötelezővé nem teszi az informatikai biztonságért felelős személyek nemzetbiztonsági átvilágítását, pedig ez szintén alapvető kritérium, hiszen nemzetközi tanulmányok is megállapítják, semmit sem ér a védelem, ha a támadás belülről, a támadás elhárításáért felelős személy közreműködésével érkezik.
A szükséges biztonsági szint elérése és megtartása egy folyamat része, amely során elengedhetetlen a résztvevők szükséges képzése és továbbképzése. A javaslat sajnos ezen a téren is hiányos, hiszen mindössze pár sorban, a szükséges konkrétumok nélkül rendelkezik arról, hogy a résztvevők továbbképzéséről a Nemzeti Közszolgálati Egyetem gondoskodik.
Összefoglalva: fontos, szükséges, de sajnos nem elégséges az előttünk fekvő javaslat, fontos alapkérdéseket nem rendez, másokat, talán a legfontosabbakat pedig majd a törvény végrehajtási rendeleteiben szándékozik rendezni. Így a javaslatot jelenleg jó szívvel támogatni nem tudjuk.
Köszönöm, hogy meghallgattak. (Taps a Jobbik soraiból.)
