Új infobiztonsági előírások

Év végén jelent meg az infobiztonsági törvény végrehajtási rendelete, amely egy év felkészülési időt hagy az intézményeknek. Az adatvagyon méretét tekintve a kockázatok osztályozására szabott egyéves határidő feszesnek tűnik.

Tavaly az év egyik utolsó Magyar Közlönyében jelent meg a 2013/L törvény Nemzeti Fejlesztési Minisztérium által kiadott végrehajtási rendelete, amelyben az információbiztonsági szakma részletes útmutatást kap arról, hogyan is kell felzárkóztatni adatvédelmi kérdésekben a kormányzati szektor szereplőit a magánszféra vállalatainak szintjére. A törvény egy év felkészülési időt ad arra, hogy az érintettek létrehozzák információbiztonsági szervezetüket, kialakítsák ezzel kapcsolatos folyamataikat, osztályokba sorolják az általuk kezelt adatokat. Az egyértelmű, hogy a lemaradás mértéke és a kockázatarányos védelem eleve sürgőssé teszi az alkalmazkodást, de elnézve az állami szektornál kezelt adatvagyon méretét, az időkeretek aligha lesz elegendő a feladatok elvégzésére.

Közel 3200 helyi önkormányzatnak, csaknem 300 bíróságnak és a közigazgatás sok más intézményének kell felmérnie év végéig, hogy milyen adatvagyon felett őrködik, és az milyen kockázatnak van kitéve. Ennek elvégzése nélkül nem alakíthatók ki hatékony biztonsági rendszerek, mert esetleg olyasmit védünk nagy erőkkel, ami értéktelen, vagy amit senki sem akar megszerezni. Márpedig a kockázatok értékelése önmagában sem egyszerű feladat, és különösen nem az egy olyan szektorban, amelyben az adatvagyon felhasználása gyorsan változik. A közigazgatás pedig éppen ilyen terület, hiszen a kormány nagy hangsúlyt fektet például az egykapus ügyintézés kialakítására. Ez a rendszer számos olyan bizalmas adatot kezel majd, melyet az állampolgárok joggal akarnak védve tudni. Ezt az igényt már a rendszer tervezésekor is figyelembe kell venni.

Az sem csökkenti a tennivalókat, hogy az adatok egy része bizonyosan már most is megfelelő informatikai védettséggel rendelkezik. A szankciók elkerülése érdekében ugyanis ott is auditálni kell a kockázatkezelési eljárásokat, ahol azok végül megfelelőnek minősülnek. Merthogy a törvény szankciókat, 5 millió forintos bírságot is kilátásba helyez arra az esetre, ha egy érintett szerv, vagy vállalkozás a megadott határidőre nem felelne meg az elvárásoknak, sőt, az állam akár infobiztonsági felügyelőt is kinevezhet a renitens szereplőkhöz.

Az elvégzendő feladatok komplexitása és a feldolgozandó, elképesztő mennyiségű védendő adatvagyon mellett tovább nehezíti a törvénynek való megfelelést, hogy az érintetti kör valós méretét még csak most térképezzük föl. A jogszabály szerint ugyanis az előírt módon kell védeni több stratégiai terület infokommunikációs infrastruktúráját és az általa kezelt adatokat. Ezt az elvet követve a kör tovább tágul olyan közszolgáltatásokkal, mint az energiaellátás, az egészségügy vagy a közlekedés. És ezen a téren már nemcsak informatikai problémáról beszélünk, hanem a tulajdonviszonyokról, és a tulajdonosok hozzáállásáról is.

Kedvelt célpont a kormányzati szektor

A KPMG nemzetközi adatvesztési barométere szerint az összes biztonsági incidens közül a kormányzati szektor a maga 16,4 százalékával ötször olyan kedvelt célpont, mint a támadásokkal kapcsolatban sokszor emlegetett pénzügyi szektor. A biztonsági incidensek 67,2 százaléka hackertámadás, kisebb része gépi másolatokból eredő adatvesztés, azaz adatszivárgás. A kormányzatok nemzetközi szinten is rosszul teljesítenek, mert alulértékelik a fenyegetettséget, és lassan reagálnak a kockázatokra.