Ahogy nő az elektronikusan intézhető ügyek száma, személyes adataink egyre többször és többet mozognak a világhálón, miközben az internetes bűnözők módszerei is egyre kifinomultabbak és alkalmasabbak arra, hogy hozzáférjenek az adatátviteli hálózatra került információkhoz, és ellopják, esetleg megváltoztassák őket. Az utóbbi években az internethez kapcsolódó biztonsági kérdések a világon mindenhol felértékelődtek, ennek ellenére törvényi szinten korábban sehol nem szabályozták az informatikai biztonságot. E tekintetben világviszonylatban is élenjáró kezdeményezésnek tekinthető a várhatóan ősszel a parlament elé kerülő hazai törvényjavaslat.
Személyiséglopástól az adathalászatig
Bár egyre több szolgáltatás intézhető elektronikusan, a magyarok jelentős része ódzkodik ezek igénybevételétől; az európai átlagnál például jóval kevesebben vásárolnak vagy fizetnek interneten keresztül. Az okok között az első helyen szerepel a bizalmatlanság.
Vannak, akik szerint a hazai e-ügyintézés elterjedését jelentősen segítette volna, ha az informatikai biztonságot szabályozó törvény korábban, akár az elektronikus kormányzás bevezetésének első lépéseként elkészül, mások viszont úgy vélik, hogy most van szükség erre a minőségi változásra, mivel a hazai szélessávú internethasználat elérte azt a szintet. Ez utóbbiak szerint az internetes bűnözés is most jutott arra a technikai szintre, amikor már összehangolt védekezésre is szükség van.
- A törvény tervezete többek között definiálja a személyiséglopás fogalmát, és ennek tükrében egyidejűleg módosítja a büntető törvénykönyvet is - mondta el lapunknak dr. Dedinszky Ferenc kormány-főtanácsadó, informatikai biztonsági felügyelő. - Másik fontos eleme a mostanában egyre több problémát okozó botnet büntethetővé tétele. A botnet lényege, hogy egy távoli szerverről trójai falovat küldenek - leggyakrabban spameken keresztül - egyes számítógépekre szerte a világon. Egy vezérlőgép az adott pillanatban aktivizálja az akár több százezer gépre szétküldött programot, amely gépek így egyszerre támadják a célként kiválasztott szervert, vagy gyűjtenek be számos felhasználói információt a személyi adatoktól a bankszámlaszámon át a különböző szolgáltatásokhoz tartozó jelszavakig. A közelmúltban például így bénították meg több napra Észtországban a közigazgatás egész rendszerét, súlyos károkat okozva ezzel. Mivel a jelenség mára határokon átnyúló üzletággá fejlődött - egyes csoportok pénzért árulják a támadást mint szolgáltatást -, a probléma kezelése is komoly nemzetközi összefogást igényel. A magyar informatikai biztonsági törvény részletesen kitér az itt telepített és használt botnet gépek lokalizálására és a működtető felelősségre vonhatóságára. A készülő jogszabály bűncselekménnyé nyilvánítja az összefoglalóan "social engineering" néven emlegetett csalásokat is, például a célzott adathalászatot vagy a különböző e-mailes csalásokat.
A biztonságnak ára van
A törvény tervezete tehát felöleli az informatikai biztonság minden kérdését, kezdve a kritikus infrastruktúrákkal - amelyeket ugyan az Európai Unió már korábban definiált, ám most fogalmazódik meg először hazai jogszabályban -, emellett kitér a hálózatbiztonságra, az interneten keresztül érkező támadások figyelésére, szűrésére; mindezt nemzetközi összehangolással. A törvény külön foglalkozik az önkormányzatokkal, figyelembe véve azt, hogy jövőre megkezdődik a regionális szolgáltató központok (ASP - Application Service Provider) kiépítése.
A kapcsolódó végrehajtási rendeletekben részletesen szabályozzák az elektronikus közszolgáltatások biztonságát. A tervezet szerint minden e-szolgáltatáshoz el kell készíteni az alapvető biztonsági dokumentumokat, eljárásrendeket, informatikai biztonsági szabályzatot és a katasztrófatervet, amelyet a szolgáltatást nyújtó intézmény dolgozóinak nem csupán leírniuk, hanem ismerniük is kell. Az előírt feltételek teljesülését, a dokumentumokban foglaltak megvalósíthatóságát egy független, akkreditált szakértői szervezet fogja ellenőrizni.
- A tervezet kimondja, hogy elektronikus közszolgáltatást kizárólag auditált rendszeren keresztül lehet nyújtani. Ma körülbelül négyszáz olyan szolgáltatás van, amelyre ez vonatkozik, és a számuk folyamatosan nő. A törvényhez kapcsolódó kormányrendeletben részletesen előírt követelmények teljesítésére - például a már működő szolgáltatások auditálására - a szervezetek várhatóan egy évet kapnak, hiszen az alkalmazkodás nem megy egyik napról a másikra. Ezt követően azonban új elektronikus közszolgáltatás már csak úgy indítható, ha a kormányrendeletben szabályozott eljárás keretében kiválasztott auditáló cég valamelyike tanúsítja azt - hangsúlyozza Dedinszky Ferenc, aki szerint előfordulhat, hogy a szolgáltatóktól pénzt és energiát követelő auditálási kötelezettség némileg fékezni fogja az elektronikus közszolgáltatások bővülési dinamikáját.
Mindez azonban attól is függ, hogy a költségeket milyen módon, központi költségvetésből vagy esetleg az intézmények saját forrásából sikerül finanszírozni, és a kormányzat mely variáció mellett voksol majd.
Szolgáltatók feladatai
A most készülő kerettörvény mottója, hogy senki ne okozhasson se szándékosan, se gondatlanságból kárt a másiknak e-szolgáltatás használata során.
A tudatlanságból bekövetkező károk jelentős része ugyanis nem a törvényi előírásokkal, hanem elsősorban a felhasználók odafigyelésével védhető ki. Éppen ezért a törvény az internetszolgáltatók számára is tartalmaz előírást: a hatálybalépést követően azon túl, hogy az internetes kártevők ellen kötelesek lesznek elsődleges szűrőket beépíteni - ezt amúgy a legtöbb szolgáltató már eddig is megtette -, rendszeresen tájékoztatniuk kell ügyfeleiket az újabb és újabb veszélytípusokról és azok lehetséges elkerülési módozatairól.
