Kiberbiztonság a világban és Magyarországon Dr. Ferenc Suba az ENISA alelnöke
1. KIBERTÉR FOGALMA, SAJÁTOSSÁGAI Kibertér = egymástól kölcsönösen függő, összekapcsolt információs rendszerek + rajtuk áramló digitális információk + ezen információkkal és információs rendszerekkel kölcsönhatásba lépő felhasználók A társadalmi és gazdasági folyamatok egyre nagyobb hányada zajlik a kibertérben, ahol - globálisan 2 milliárdnál több, hazánkban 3 millió felhasználó jelenik meg, - az egyének társadalmi életet élnek (Facebook, Twitter), - csoportok és pártok szerveződnek (Anonymus, Kalózpárt), - a gazdasági élet szereplői szolgáltatásokat nyújtanak, pénzt és árukat mozgatnak (Kínában a kibergazdaság éves értéke 1,4 trillió dollár, hazánkban 155 milliárd forint csak az online vásárlások értéke), - államok egymással szövetséget kötnek (NATO Cybersecurity Partnership) vagy titokban háborúznak (észt, grúz, azeri kiberháborúk, APT). Kibertér sajátosságai: eszközeit és infrastruktúráját meghatározó mértékben az üzleti szektor (szoftvergyártók, internetszolgáltatók) tulajdonolja, működteti és ellenőrzi + decentralizált + gyorsan növekvő + államilag nem szabályozott
2. KIBERBIZTONSÁG FONTOSSÁGA A kibertér egyre nagyobb biztonsági problémákat vet fel: - névtelenség + a követhetetlenség = következmények nélküli bűnelkövetés (kémkedés, pénzlopás és mosás, kormányzati és üzleti rendszereket tönkretétele, megzavarása) - a károkozás globális nagyságrendjét évi 340 és 750 milliárd dollár közé taksálják a szakértők A kibertér biztonságának hiánya egyben kihat a fizikai világra is: - a kibertérhez kapcsolódó irányító és ellenőrző rendszerek - a kritikus infrastruktúrák (pl. energia, bank, közlekedés, hírközlés) folyamatos és biztonságos működése egyre jobban függ a kibertér még kialakítandó biztonságától (pl. az iráni urániumdúsítók egyharmada lett üzemképtelen a Stuxnet vírus miatt). 2011-ben globálisan 60 milliárd dollárt költöttek a kiberbiztonságra, valamint 2008 és 2011 között 22 milliárd dollárt fektettek be ebbe az iparágba.
3. KIBERBIZTONSÁG SZABÁLYOZÁSI TERÜLETEI, KÜLFÖLDI PÉLDÁK: A kiberbiztonság mostanra egyszerű technikai kérdésből szabályozási kérdéssé vált. A kiberbiztonság szabályozása kilenc területet fed le: - kormányzati koordinációs szervezet kialakítása (általában a miniszterelnökségek szintjén, erre példa Nagy-Britannia, Franciaország vagy elnöki szinten az USA) - együttműködési fórumok megalapítása a közigazgatás, az üzleti, akadémiai és civil szférák között (pl. EP3R az EU-ban, szektorális és országos ISAC-ok rendszere az USÁ-ban, kormányzati tanácsadó csoport a globális kibertér kormányzását a generikus domain nevek szabályozásán keresztül ellátó ICAAN-ben) - szakosított intézmények működtetése (pl. kiberbiztonsági ügynökségek az EU és a tagállamok szintjén, 259 hálózatbiztonsági központ /ún. CERT-ek/ a világ 55 országában, számítógépes bűnüldöző egységek az Europolnál vagy az FBI-nál, kiberhadviselési hadosztályok az USÁ-ban és Kínában)
3. KIBERBIZTONSÁG SZABÁLYOZÁSI TERÜLETEI, KÜLFÖLDI PÉLDÁK (folyt.): - kiberbiztonsági stratégia megalkotása (NATO, EU, ITU, USA, Németország, Franciaország, Nagy-Britannia, Kína, Malájzia már rendelkezik ezzel) - kiberbiztonsági törvények elfogadása (az USÁ-ban immár 12 szenátusi törvényjavaslat foglalkozik a kiberbiztonság egyes aspektusaival, Szlovákiában közigazgatási körözésen van a vonatkozó törvénytervezet) - nemzetközi együttműködések kialakítása (Common Criteria nemzetközi informatikai biztonsági tanúsítás, Forum of Incident Response Teams, Cyberstorm globális gyakorlatok, kínai és orosz törekvések egy globális viselkedési kódex kialakítására a kibertérben)
3. KIBERBIZTONSÁG SZABÁLYOZÁSI TERÜLETEI, KÜLFÖLDI PÉLDÁK (folyt.): tudatosítás (az USA és Nagy-Britannia pedig miniszteri szintű globális konferencia sorozatot indított a kibertérség szabályozására „Cyberspace Conference” címmel, államilag finanszírozott projektek az egyéni felhasználók és a KKV-k kiberbiztonsági felkészítésére és az online gyermekvédelemre az EU-ban, ) oktatás / K+F (Nagy Britannia kormánya nyolc egyetemen alapított „kiberbiztonsági kiválósági központot”, Kínában a hadsereg finanszírozza az etikus hacker képzést az egyetemeken). - üzleti motivációs rendszerek kialakítása (pl. Cybersecurity Anchor program az USÁ-ban, ahol preferenciális bánásmódot élveznek a kormányzat által meghatározott kiberbiztonsági programot végrehajtó vállalkozások).
4. KIBERBIZTONSÁG MAGYARORSZÁGI HELYZETE Magyarország a kiberbiztonság kilenc szabályozási területéből hatban részleges sikereket tud felmutatni, háromban pedig nincsenek eredmények: - kormányzati koordinációs szervezet: nem létezik (pedig min. 6 + 6 érintett minisztérium és hatóság működik) - együttműködési fórumok: felsővezetői szinten nincsenek, operatív szinten léteznek (NFM által összehívott közigazgatási munkacsoport, CERT-Hungary által működtetett banki és energia munkacsoportok), a magyar kiberteret a hazai domain neveken keresztül szabályozó Internet Szolgáltatók Tanácsa (ISZT) és az állam kapcsolata rendezetlen
4. KIBERBIZTONSÁG MAGYARORSZÁGI HELYZETE (folyt.) - szakosított intézmények: egyre több intézmény alakul, külön kiberbiztonsági hatóság nem létezik, az egyes hatóságok és minisztériumi szervezetek együttműködése nem kielégítő, gyakori az alulfinanszírozott vagy bizonytalan szervezeti keretek között történő működés - kiberbiztonsági stratégia: nem létezik - kiberbiztonsági törvény: van törvénytervezetünk a hálózatbiztonságról, de immár a harmadik változatot készíti elő egy tárcaközi bizottság - nemzetközi együttműködések: európai uniós, NATO és operatív szinten kiváló Magyarország helyzete (az Európai Hálózati és Információ Biztonsági Ügynökség alelnöke magyar, a NATO kiberbiztonságért felelős főtitkárhelyettese magyar, a CERT-Hungary tagja az összes globális és európai CERT együttműködésnek és részt vesz az európai és globális gyakorlatokon)
4. KIBERBIZTONSÁG MAGYARORSZÁGI HELYZETE (folyt.) - tudatosítás: kiváló lehetőséget ígér Magyarország számára a Budapesten 2012-ben tartandó „Cyberspace Conference” a felsővezetői tudatosság kialakítására és hazánk pozícionálására, operatív szinten kiváló eredményeket ért el az online gyermekvédelem terén a Nemzetközi Gyermekmentő Szolgálat (médiakampányok), az egyéni felhasználók és KKV-k tudatosítás terén a CERT-Hungary (felvilágosító honlap, biztonságos e-bankolást oktató honlap) - oktatás, K+F: a kutatás szintjén kiváló Magyarország helyzete (pl. a Stuxnet utódjaként emlegett, világhírű Duqu vírus felfedezője a BME), viszont hiányzik a kiberbiztonság oktatása az általános és középiskolákban, a felsőoktatásban hiányzik az állami szerepvállalás a kiválósági központok kialakítására, hiányos kapcsolat a kutatás és az ipari alkalmazás között - üzleti motivációs rendszerek: nem léteznek.
5. SZABÁLYOZÁSI JAVASLAT - a központi kormányzati koordináció a nem hatékony kormányzati együttműködés javítására (német vagy ISAC modell) - az üzleti, akadémia és civil szférával együttműködve kiberbiztonsági stratégia és akcióterv kialakítása (ld. USA elnöki vhr. tervezetét) - a kilenc szabályozási területet felölelő akcióterv végrehajtása. (brit modell)
7. Kiberterrorizmus, kiberbűnözés „Hagyományos” kiberbűnözés: még kezelhető (rendőri és közig. szervek képzése, eszközbeszerzés) Államilag támogatott kiberterrorizmus: nagy kihívás (erőforrások, használt eszközök, támadási irányok) Támadók jellemzői: életkor (30-40 év), tapasztalat (min. 10 év bank/hírközlés/energetika), csapatépítés (irányító, tervező, fejlesztő, kriptográfus, operátor, elemző, adatfeldolgozó) Magyar válasz: támadókhoz hasonló felkészültségű csapat kialakítása (= külső erőforrások bevonása), új kibervédelmi doktrína ( a megelőzés és reagálás mellett aktív felderítés + válaszcsapás +megelőző támadás)