Miközben a társadalmunk egyre elképzelhetetlenebb internet vagy mobileszközök nélkül, és a gazdaság is egyre nagyobb részben támaszkodik digitális infrastruktúrákra, ez a rengeteg pozitívummal járó átalakulás egyben beláthatatlan biztonsági kockázatot is hozott.



Szinte hetente derül fény újabb és újabb durva adatlopásokra, azt pedig mi magunk is teszteltük, hogy még a privát wifihálózatok sincsenek biztonságban. Az utóbbi években viszont az egy-egy céget vagy a felhasználók adatait érintõ veszélyek mellett megszaporodtak a kritikus infrastruktúra elleni támadások is. 2007-ben például Észtországot érte átfogó kibertámadás, a kórházakat sorban fertõzik meg a zsarolóvírusok, és tavaly történt az ukrán elektromos hálózat addig példátlan meghekkelése is. Oroszországgal szemben pedig gyakorlatilag jelenleg is folyik a kiberháború.

A példákat persze lehetne még sorolni: egy felmérés szerint 2015-ben 38 százalékkal több kiberbiztonsági incidenst jelentettek globálisan, mint egy évvel korábban. Ezért egyre nagyobb szükség van összehangolt stratégiára és a gyakorlatban is hasznos szabályozásra. Már csak azért is indokolt a közös EU-s fellépés, mert nemcsak a szolgáltatások nyúlnak át ma már rutinszerûen az országhatárokon, de egy-egy hálózat- vagy információbiztonsági incidens is kihathat az egész Unióra.


Az EU kiterjeszti a biztonságot

Ebben a helyzetben nem csoda, hogy az EU a maga bürokratikus megfontoltságával, de sorban fogadja el a biztonságosabb digitális mindennapok megteremtésére hivatott szabályozásokat. Korábban leginkább csak a távközlési és az internetszolgáltatók voltak kénytelenek foglalkozni a kiberbiztonsággal, mert csak rájuk vonatkoztak az EU által 2012-ben bevezetett hálózatbiztonsági, adatvédelmi és incidensbejelentési kötelezettségek. Az új szabályozások egyik célja éppen ennek a kiterjesztése a távközlési piacon túlra is.

Az EU új információbiztonsági rendje két fõ pillérre épül. Az egyik a tagországok adatkezelését közös nevezõre hozó általános adatvédelmi rendelet, a GDPR. Ez az európai állampolgárok személyes adatait védi minden eddiginél alaposabban, és egységes mûködési keretet biztosít az ezeket az adatokat kezelõ cégeknek. Ez szintén idén, május végén lépett hatályba, ide kattintva, az akkori cikkünkben olvashatnak róla bõvebben.

A másik pillér pedig az augusztus elején frissen életbe lépõ, a hálózati és információs rendszerek biztonságáról szóló irányelv, vagyis a NIS. Ez az elsõ uniós szintû kiberbiztonsági szabályozás, amely az EU szerint segíthet megelõzni az európai infrastruktúra elleni kibertámadásokat. Július 6-án hagyta jóvá az Európai Parlament (EP), és augusztus 8-án lép hatályba. Célja közös nevezõre hozni a tagállamok kibervédelmét, meghatározni egy közös biztonsági minimumot, és ehhez közös eszköztárat – intézményi rendszert, szabályozást – adni a kezükbe.

Az irányelv legfontosabb jellemzõi dióhéjban:
Két csoportra vonatkozik: az alapvetõ szolgáltatást nyújtó szolgáltatókra (vagyis a kritikus infrastruktúrára) és a digitális szolgáltatókra.
Komolyabb biztonságot követel meg, és kötelezõ incidensbejelentést ír elõ kibertámadások esetén.
A tagállamoktól saját kiberstratégia és felügyeleti intézmények létrehozását várja el, illetve lefekteti a tagállamok közötti kötelezõ együttmûködés kereteit.
Az európai infrastruktúra védelme

A NIS nem általános szabályozás, hanem két konkrét csoportra vonatkozik, azokra, amelyeknek a megtámadása a legérzékenyebben érinti a társadalmat. Az egyik ilyen halmaz az alapvetõ szolgáltatást nyújtó szolgáltatóké: digitális infrastruktúrák, energiacégek, ivóvízellátók, közlekedési vállalatok, egészségügyi szolgáltatók, banki szolgáltatások, pénzügyi piaci infrastruktúrák tartoznak bele. Az ide sorolandók pontos körét a tagállamok maguk határozzák meg az alapján, hogy
az adott szervezet szolgáltatása alapvetõ-e a társadalom vagy a gazdaság számára,
ennek a szolgáltatásnak a biztosítása függ-e hálózati és információs rendszerektõl, illetve
egy kiberbiztonsági incidens jelentõs zavart okozna-e a szolgáltatásban.

"Ezeken az ágazatokon belül sem mindenre és mindenkire vonatkozik, hanem csak azokra a konkrét szolgáltatásokra, amelyeknek a kiesése komoly társadalmi vagy gazdasági károkat okozna. Ha egy kibertámadás nagyobb fennakadást okoz egy ország áramellátásában, az ide tartozik. Ha a támadás viszont csak az adott áramszolgáltató marketingrészlegét lövi le két-három napra, akkor nem biztos. Az elsõ esetben ugyanis a kritikus infrastruktúra védelme és a lakosság alapvetõ áramellátása közvetlenül sérülnek, a másodikban viszont csak az adott szolgáltató szenved el némi üzleti kellemetlenséget" – magyarázta az Indexnek Précsényi Zoltán, aki a Symantec biztonsági cég brüsszeli kormányzati kapcsolati menedzsereként részt vett az új szabályozások elõkészítésében.

A másik érintett csoportba azok a digitális szolgáltatásokat nyújtó szolgáltatók tartoznak, amelyek ugyan nem nélkülözhetetlen, de fontos társadalmi hatású szolgáltatásokat kínálnak: az online piacterek, a keresõszolgáltatások és a felhõszolgáltatók. (Az irányelv korábbi tervezetében a közösségi oldalak is szerepeltek, de a végleges változatból kikerültek – vagyis kimondatott, hogy Facebook nélkül is van élet.) Fontos, hogy azokra a szolgáltatókra is vonatkozik a NIS, amelyek az EU-n kívüliek, de itt is szolgáltatnak, tehát például az amerikai Amazonra vagy Google-re. Ugyanígy, a brexit ellenére a brit cégeknek is meg kell felelniük az irányelvnek, ha az EU-n belül mûködni akarnak.
Nagyobb szigor, kötelezõ jelentés

Mindkét csoport számára két fontos változást hoz az irányelv. Egyrészt a kockázatokkal arányos mértékû hálózat- és rendszerbiztonságot kell garantálniuk, másrészt be kell jelenteniük az illetékes nemzeti hatóságnak, ha mégis valamilyen jelentõs biztonsági incidens éri õket. Az alapvetõ szolgáltatások esetében viszont nagyobb a szigor, náluk a tagállamok hatóságai ellenõrizhetik, hogy milyen biztonsági lépéseket terveznek, és hogy ezeket a gyakorlatba is megfelelõen átültetik-e.

Jelentõs átfedés van a két új szabályozás, a GDPR és NIS rendelkezései között, hiszen mindkettõ meghatároz biztonsági elõírásokat és incidensbejelentési kötelezettséget.

A két jogszabály két különbözõ aspektusból és két különbözõ cél érdekében támaszt egyébként eléggé hasonló elvárásokat

– mondja Précsényi. "Nagyon leegyszerûsítve az új jogszabályok remélt következménye az lesz, hogy a kötelezõ adat- és rendszerbiztonsági elõírások révén több kibertámadás válik megelõzhetõvé, az incidensbejelentéseknek köszönhetõen pedig több információhoz juthatnak a bûnüldözõ szervek, tehát növekedhet a felderítési arány."

Teljesen más irányból közelít viszont a két szabályozás, és más típusú incidensekre vonatkoznak:
A GDPR célja a személyes adatok és a magánszféra védelme, ezért a központjában a felhasználó áll. A NIS-ben a hálózatvédelmen van a hangsúly, és a szolgáltatókra hegyezték ki.
A GDPR minden cégre vonatkozik, amelyik európai állampolgárok személyes adatait kezeli, a NIS hatásköre jóval szûkebb, csak a legfontosabb szolgáltatásokra összpontosít.
A GDPR szerint akkor kell bejelenteni egy biztonsági incidenst, ha személyes adat forog kockán, a NIS alatt akkor, ha az adott szolgáltatás kerül veszélybe.
Ha személyes adat kompromittálódik, a GDPR értelmében az adott cég köteles az adat tulajdonosát, vagyis a felhasználót is értesíteni, a NIS hatálya alá tartozó cégeknek elég a felügyelõ hatóságnak bejelentést tenni "jelentõs hatású" hálózati incidens esetén.

Hogy mennyire számít jelentõs hatásúnak egy biztonsági esemény, attól függ, hány embert érint a szolgáltatáskimaradás, mennyi ideig tart, és földrajzilag mennyire kiterjedt; illetve a digitális szolgáltatók esetében még attól is, hogy milyen mértékû zavart okoz a szolgáltatásban, és mekkora hatást gyakorol az adott szolgáltatásra épülõ gazdasági és társadalmi tevékenységekre. A tagállamoknak e szempontok szerint kell majd pontosan meghatározniuk a feltételeket, amikor átültetik az irányelvet a maguk nemzeti jogrendjébe.
Szorosabb európai együttmûködés

A kibertámadások gyakran egyszerre több tagállamot érintenek, a szétforgácsolt védelem sebezhetõvé tesz minket

– mondta Andreas Schwab, az Európai Parlament illetékes jelentéstevõje a NIS elfogadásakor, amelynek éppen az a fõ célja, hogy szorosabbra fûzze az együttmûködést. Ehhez a tagállamoknak több feladatuk is van az irányelv élesedéséig hátralévõ 21 hónapos türelmi idõben:
A NIS alapján ki kell dolgozniuk egy nemzeti hálózat- és információbiztonsági stratégiát.
Ki kell jelölniük egy nemzeti hatóságot, amely felügyeli a NIS átültetését és végrehajtását.
Ki kell jelölniük egy vagy több gyors reagálású kibervédelmi csapatot, ezek az úgynevezett CSIRT-ek (Computer Security Incident Response Team) vagy CERT-ek (Computer Emergency Response Team). (A kettõ ma már szinonimának számít, az EU a CSIRT kifejezést használja, Magyaroszágon inkább a CERT-et preferálják a hatóságok.)
Szektoronként meg kell határozni, pontosan milyen kritériumok alapján számít egy-egy cég az irányelv hatálya alá, és ezután a konkrét cégeket is ki kell jelölni. Erre a 21 hónapos átültetés után még további 6 hónapja lesz a hatóságnak.

Andreas Schwab
Fotó: NurPhoto

EU-s szinten pedig létre kell hozni a kiberbiztonsági csapatok együttmûködését koordináló CSIRT-hálózat, illetve a nemzeti hatóságok együttmûködését segítõ Együttmûködési Csoportot is. Mindkét szervezet felállítására fél éve van az EU-nak – vagyis a tagállamoknak közösen – de érezhetõen gyorsan akarnak haladni, ezért ezeket már el is kezdték elõkészíteni.

A szabályozás részleteinek a kidolgozására az Európai Bizottság létrehozott egy szakértõi csoportot még májusban. Ennek magyar részrõl a Nemzeti Kibervédelmi Intézet (NKI) a tagja, és általában is az egész kiberbiztonsági szervezkedésben õk képviselnek minket, ezért õket kérdeztük arról, milyen feladatok állnak még Magyarország elõtt, és mit várnak az új irányelvtõl.
Mi a helyzet itthon?

Itthon is van még hova fejlõdni, mert az NKI szerint 2013 óta egyedül az állami és önkormányzati szektor rendszereire vonatkozik egységes szabályozás, és a NIS alá tartozó szektorokból is csak néhánynál léteznek IT-biztonsággal foglalkozó elõírások.

Szervezeti szinten viszont már egész jól állunk: tavaly õsszel felállt egy egységes kiberbiztonsági intézményrendszer, középpontban az NKI-val. Ez foglalja magában a NIS felügyeletét is ellátó Nemzeti Elektronikus Információbiztonsági Hatóságot (NEIH) és a Kormányzati Eseménykezelõ Központot (GovCERT) is. Utóbbi látja el Magyarországon a NIS által elõírt központi CSIRT szerepét.

A NIS alapján tagállamonként csak egy CSIRT kötelezõ, de akár szektoronként egy-egy is felállítható. Magyarországon már most is több ilyen eseménykezelõ csoport mûködik: a kormányzati rendszerek védelmében a GovCERT-é a központi szerep, de emellett a Honvédelmi Minisztériumnál mûködik egy külön MilCERT is, a kritikus infrastruktúrákért pedig a belügyminisztérium Országos Katasztrófavédelmi Fõigazgatósága felelõs. A kormányzati szektoron kívül pedig az önkéntes alapon szervezõdõ HunCERT az internetszolgáltatók, a NIIF CSIRT pedig az oktatási-kutatási-közgyûjteményi intézmények eseménykezelését látja el.

Az irányelv elõírja egy európai CSIRT-hálózat létrehozását is, ez hivatott hatékonyabbá tenni az együttmûködést, ha például egy több tagországban is szolgáltatást nyújtó céget ér támadás. A különbözõ országbeli CSIRT-ek között már eddig is volt valamiféle együttmûködés, közvetlenül és különbözõ CSIRT-szervezeteken keresztül is. Ezek viszont önkéntes szervezõdések voltak, és a különbözõ szervezetekbe más-más tagok, más-más feltételek szerint kerültek be. Az NKI szerint ezért más-más bizalmi szint is alakult ki a tagok között, ami alapjaiban határozta meg az együttmûködés jellegét.

Az NKI szerint a most létrehozandó CSIRT-hálózat azért szokatlan, mert kötelezõen tagja lesz minden CSIRT, ezeknek viszont még többnyire ki kell építeniük az egymás iránti bizalmat. Ezért az NKI azt várja, hogy a kötelezõ hálózat csak fokozatosan éri majd el a már létezõ önkéntes csoportosulások szintjét. Hosszabb távon viszont arra számítanak, hogy gyorsabban tudnak majd együtt reagálni a tagországok a fenyegetésekre.

2018-ig a legfontosabb itthoni tennivaló, hogy meg kell ismertetni az új szabályokat az érintett ágazatok szereplõivel, és együtt kidolgozni a megvalósítás részleteit. Ki kell jelölni a azokat a cégeket is, amelyekre konkrétan vonatkozni fognak itthon az új elõírások. Mindeközben a részletek EU-s szintû kidolgozásában is részt kell venni: az Együttmûködési Csoport beindításában, illetve az incidensbejelentések pontos menetének meghatározásában.
Itt volt már az ideje

A GDPR-t 2018 májusától kezdik alkalmazni (közvetlenül, hiszen az egy rendelet), és a NIS-t is ugyaneddig kell átültetni a nemzeti jogrendekbe (mivel az csak irányelv). Vagyis a gyakorlatban
2018-ra áll össze az új európai kiberpáncélzat.

Annyi biztos, hogy már épp ideje is lesz, mert a kiberbiztonság gyorsan változó terület, az EU malmai viszont lassan õrölnek: a GDPR-t 2012-ben kezdték kidolgozni, a NIS elsõ tervezete 2013-as, vagyis mire életbe lépnek, már 5-6 évesek lesznek.

"Az eredeti javaslatok évekkel ezelõtti beterjesztése óta végeláthatatlan viták zajlottak Brüsszelben arról, hogy azok életképesek, indokoltak, arányosak-e" – mondja Précsényi. Egyesek sokkal nagyobb szigort követeltek, mások már így is túlszabályozással riogattak. Viszont amikor tavaly decemberben már látszott, hogy milyen lesz a végleges változatuk, akkor a szakmán belül a vitát felváltotta a verseny: ki milyen gyorsan, milyen ügyesen lesz képes alkalmazkodni az új szabályokhoz, és milyen hatékonyan fog élni a bennük rejlõ új lehetõségekkel.

Abban viszont ma már minden szakmabeli egyetért Précsényi szerint, hogy ezekre a szabályokra szükség van, mert ha minden tagállam saját hatáskörben próbálná meg rendezni a kérdést, a maga belpolitikai érdekei mentén, még inkább felaprózódna az európai digitális piac, a késlekedés pedig a felhasználókat és a cégeket is még jobban kiszolgáltatná a biztonsági kockázatoknak.

A vita ma már inkább arról folyik, mi lesz a következõ lépés. Nagy kérdés például Précsényi szerint, hogy a két szabályozás kellõen lefedi-e a Dolgok Internetét, hiszen a hálózatba kötött okoskütyük ma még kevéssé kezelnek érzékeny személyes adatot, és kritikus infrastruktúrának se minõsül egy konyhai okoshûtõ, a közeljövõben viszont komoly biztonsági kockázatot jelenthet ez a szegmens.

Précsényi arra számít, hogy az újabb uniós szabályozási hullám 2019-ben jön, és fõleg a távközlési szektort és a bizalmas elektronikus kommunikációt fogja érinteni: "Annyi bizonyos, hogy a magyar gazdaság digitalizációja szempontjából ezek mindenképp fontos kérdések lesznek, és

sokkal nagyobb figyelmet érdemelnének, mint amennyi a GDPR vagy a NIS brüsszeli vitáinak kijutott.