A magyar elektronikus közigazgatás biztonsága Krasznay Csaba doktorandusz Zrínyi Miklós Nemzetvédelmi Egyetem

• Jogi háttér • Infrastruktúra • E-közigazgatás, mint KII • Kockázatok • Lehetséges védelmi intézkedések • Védelemért felelős szervek

• • Biztonságos szolgáltatások – A magánszemélyek és az üzleti szféra szereplői számára kényelmes, megbízható és egymással együttműködő közszolgáltatásokat kell nyújtani. Biztonságos és egymással kommunikálni képes, átjárható rendszereket kell létrehozni, amelyek lehetővé teszik az elektronikus személyazonosítást tartózkodási helytől függetlenül; • A hatóság az eljárása során – a biztonságos és átlátható ügyintézés érdekében – az elektronikus ügyintézés informatikai támogatásával gondoskodik az ügyfél által elektronikus úton előterjesztett és a hatóság által készített dokumentumok biztonságos kezeléséről, megőrzéséről. • A modern kormányzatnak – mind a politikaformálás, mind a szolgáltatások nyújtása terén – pontos és időszerű információkkal kell rendelkeznie az állampolgárokról, a vállalkozásokról. E követelmény megvalósításához az információ, az információ hatékony menedzselése és az információbiztonság alapvető követelmény.

• Az informatika, információtechnológia és a távközlés fejlődésével, a rendszerek egyre nagyobb számban történő alkalmazásba vételével párhuzamosan egyre nagyobb jelentőségűvé válik a biztonsági szempontok érvényesítése. A tárolt és kezelt adatok, információk egyre nagyobb mértékben tartalmaznak érzékeny, a személyiségi jog vagy más jogszabály rendelkezése által védett információkat. A közigazgatási ügyeket intéző hivatalok egyre nagyobb mértékben támaszkodnak az elektronikusan tárolt és kezelt információkra, és egyre inkább csak elektronikusan lesz majd elkérhető az információ, ami egyben függést is jelent az elektronikus információk rendelkezésre állásától. • A korábbi években – elsősorban költségvetési okok miatt – a biztonsági kérdések háttérbe szorultak. A legszükségesebb védelmi intézkedések (vírusvédelem, mentések) mellett a közigazgatásban általában kevés figyelmet fordítottak az informatikai biztonság többi tényezőjére. Az Állami Számvevőszék júniusi e-kormányzati monitoring jelentése is megerősíti, hogy a kormányzaton belül alapvető hiányosságok tapasztalhatók az informatikai biztonság terén.

• 84/2007. (IV. 25.) Korm. rendelet a Központi Elektronikus Szolgáltató Rendszer és a kapcsolódó rendszerek biztonsági követelményeiről • 195/2005. (IX. 22.) Korm. rendelet az elektronikus ügyintézést lehetővé tevő informatikai rendszerek biztonságáról, együttműködési képességéről és egységes használatáról • 182/2007. (VII. 10.) Korm. rendelet a központi elektronikus szolgáltató rendszerről • + Adatvédelmi törvény, Büntető törvénykönyv, stb.

• Közigazgatási ajánlások: • KIB 25. ajánlás (MIBIK, MIBÉTS, IBIX) • KIB 28. ajánlás (Az E-Közigazgatási Keretrendszer projekt eredményeként létrehozott Követelménytár) • Ezek viszonylag koherens követelményeket támasztanak • Alapvető gond viszont az egységes (műszaki) kivitelezés hiánya -> nincs egyenszilárdságú védelem! • Friss ajánlásokról beszélünk, a es fejlesztések tapasztalatait felhasználva a gondok kiküszöbölhetők

Forrás: KIB 21. ajánlás

Forrás: KIB 28. ajánlás

• 2080/2008. (VI. 30.) Korm. Határozat a Kritikus Infrastruktúra Védelem Nemzeti Programjáról • Célkitűzés: • Megelőzés és védelem • Felkészülés és jelzés • Üzemfolytonosság és ellenálló képesség • A felsorolásban 12. a kormányzati informatikai, elektronikus hálózatok • Felelős: MeH EKK, KHEM

• „A nemzeti keretjogszabályon és programon alapulva a központi államigazgatási szervek feladata: •... • együttműködés az ágazati infrastruktúra tulajdonosokkal, üzemeltetőkkel, veszély és sebezhetőségek tekintetében információt szolgáltató állami szervekkel az ágazati programok kidolgozása és végrehajtása során, ágazati elemzések lefolytatása során; • kormányzati és magánszféra közötti együttműködés elmozdítása ágazaton belüli biztonsági vonatkozású információ és tapasztalatok cseréjét biztosító konzultáción keresztül; • A Kritikus Információs Infrastruktúrák védelme közügy (ld. később!)

• Jól megszabott fejlesztési irányok, egyedi, példa nélküli fejlesztési igények -> fejlesztési hibák • Komplex szolgáltatások, összetett, egymásra épülő rendszerek -> belső támadások • Centralizáció infrastruktúra oldalon, decentralizáció szabályozási, ellenőrzési oldalon -> külső támadások • Növekvő felhasználói bázis, növekvő médiafigyelem, folyamatos imázs és bizalomvesztés -> rendelkezésre állási incidensek

• Megfelelő kezdeményezés: • Kockázatarányos besorolás  • IT biztonság a közbeszerzésben  • Biztonságos tervezés: • Tervezési útmutatók irányelvek  • Tervezési sablonok  • Jógyakorlatok publikálása  • Ellenőrizhető fejlesztés: • Kódolási követelmények  • Tesztelési elvárások  • Értékelési módszertan 

• Folyamatos üzemeltetés: • Szervezetbiztonsági követelmények  • Rendszeres ellenőrzés  • Biztonságos kivonás: • Hibátlan migrálás  • Visszavonhatatlan megsemmisítés  • Szabályozási szempontből tehát elvarratlan a közvetlen fejlesztés, az üzemeltetés ellenőrzése és a kivonási fázis. • Mind a fejlesztésben, mind az üzemeltetésben jelentős szerepe van a külső szereplőknek -> megrendelői szempontból nincs meg a tökéletes kontroll!

• Kinél legyen a kontroll békeidőben? • MeH EKK: kézenfekvő, de nem ez a feladata • A Kormány Informatikai Biztonsági Felügyelője: jogszerűen az ő feladata, de az eszközei erősen korlátozottak • Megoldás 1.: KIB 25. szerinti értékelőszervek, akik akkreditált, de piaci alapon működő szervezetek, ellenőrzik a jogszabályban előírt biztonsági kötelmek teljesülését a közigazgatási szerveknél • Megoldás 2.: Külön apparátus felállítása (8-10 fő) valamelyik jelenlegi hivatal keretein belül

• Ki reagáljon válság idején? • NNI: nyomozó hatóság, túl „lassan” tud csak reagálni az informatikai incidensekre • NBH: a törvény szerint elsősorban ő felel a támadások elhárításáért, de vajon műszakilag felkészült erre? • NBSZ: műszakilag meg tudná oldani, de nem feladata • Magyar Honvédség: sem műszakilag, sem szervezetileg nem felkészült az informatikai támadások elhárítására, ráadásul nem is tisztázott, hogy egy informatikai támadás az ország elleni támadásnak minősül-e • CERT-Hungary: mind műszakilag, mind szervezetileg felkészült, de nem hivatalos szerv, „csak” egy alapítvány része • Megoldás: a CERT-Hungary ellátása a szükséges jogosítványokkal (információbiztonsági törvény)

• s773/text • „America’s failure to protect cyberspace is one of the most urgent national security problems facing the country.” • Tanácsadó testület létrehozása kormányzati, ipari és civil tagokból • Valósidejű tájékoztató rendszer kiépítése • Tudatossági oktatások non-profit szervezeteken keresztül • Nemzeti szabványok és ajánlások

• A biztonsági szakértők minősítésének kidolgozása • Tudatossági oktatás az állampolgároknak • Szövetségi kutatás-fejlesztési támogatások az információbiztonság területén • Felsőktatási képzési programok támogatása • Versenyek az IT biztonságban diákok és szakemberek számára • Kormányzati és ipari együttműködés!!!

• Az információbiztonság megtalálta az őt megillető helyet a közigazgatásban • Néhány fontos részfeladat azonban még nem megoldott • Ez a terület klasszikus PPP – úgy kell bevonni a civil és üzleti szférát, hogy a Magyar Köztársaság érdekei és titkai ne sérüljenek • De mégsem szabad elbújni a külvilág elől – „security by obscurity”