Vasárnapi bejegyzésében Gyömbér Béla IT-szakjogász, a jogalappal.hu oldal gazdája arra hívta fel a figyelmet, hogy készül egy kormányrendelet-csomag, mely jelentős mértékben átalakítaná a magyar kiberbiztonsági védelem tevékenységének kereteit.
A még csak javaslat szintjén létező szöveg – melyhez november 21-ig még várják hozzászólásokat – rendeletmódosításokat tartalmaz. A változtatások indoklása azt emeli ki, hogy a jelenlegi rendszer elégtelen a hatékony működéshez, ezért a struktúra megváltoztatása elengedhetetlen.
Átszervezés és koncentráció
Mint írják, „a (kiber)biztonsági események – akár az észlelés hiánya, akár a bejelentés elmaradása miatt – nem, vagy késedelmesen válnak ismertté a Nemzetbiztonsági Szakszolgálat (NBSZ) számára. Emiatt az NBSZ jelenleg nem képes hatékonyan támogatni az incidensek kivizsgálását és elhárítását, valamint figyelmeztetni az esetleges további érintetteket”. A kormányzati tervek szerint – a kockázatok csökkentése érdekében – szükséges egy korai figyelmeztető rendszer (EWS), amelynek kiépítése folyamatban van. Az EWS működtetésével kapcsolatosan önálló kormányrendelet készül az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény felhatalmazása alapján.
Nagyon fontos változtatás lehet, hogy beolvadással megszűnik az eddigi legfőbb szervezet: „A bejelentésköteles szolgáltatásokat nyújtó szolgáltatók (például felhőszolgáltatók, vagy épp keresőszolgáltatók) bejelentéseit fogadó eseménykezelő központ a Nemzetbiztonsági Szakszolgálat szervezetében működő Nemzeti Kibervédelmi Intézet lesz.” Ezzel párhuzamosan a törvényjavaslat szerint megszűnik a Kormányzati Eseménykezelő Központ (GovCERT).
A Nemzeti Kibervédelmi Intézetnek olyan biztonsági eseményeket kell majd jelenteni (a bejelentkezést és előzetes regisztrációt követően), amelyek jelentős hatást gyakorolnak a bejelentésköteles szolgáltatást nyújtó szolgáltatókra. A bejelentésköteles szolgáltatások nyújtói számára előírt követelmények teljesülését a hatóság ellenőrizni is fogja, szükség esetén bírságot szabhat majd ki.
Gyömbér Béla összefoglalójából kiderült, hogy a hatóság szükség szerint kötelezi a szolgáltatást nyújtókat arra, hogy bocsássák rendelkezésre az elektronikus információs rendszereik biztonságának megállapításához szükséges adatokat, beleértve a biztonsági szabályzataikra vonatkozóakat is, illetve gondoskodjanak megfelelő biztonsági szint biztosításáról, biztonsági esemény megelőzéséről, bejelentéséről, kezeléséről, továbbá a tapasztalt hiányosságok megszüntetéséről. A hatóság a nyilvánosságot szükség szerint tájékoztatja majd az egyes biztonsági eseményekről, sőt, szükség szerint kötelezheti majd a bejelentésköteles szolgáltatást nyújtót a nyilvánosság tájékoztatására is.
A tervezet megállapítja a bírságok mértékét is: a legenyhébb a regisztráció elmulasztása (50-100 ezer forint), a legkeményebb a hatóság rendelkezéseinek nem teljesítése esetén lenne kiszabható (400 ezer – ötmillió forint).
Egyéb fontos tervezett változások:
- a nemzeti minősített adatot kezelő elektronikus rendszert biztonsági területen kívül, adminisztratív zónában, a biztonsági vezető által megjelölt helyszínen, kizárólag személyes felügyelet alatt lehet üzemeltetni
- a Nemzeti „Titkos!” vagy „Szigorúan titkos!” elektronikus rendszer esetén a rendszer elemeinek pedig meg kell felelnie a TEMPEST követelményeknek
- a minősített adatot elektronikus rendszeren kezelő szerv a Nemzeti Biztonsági Felügyelet (NBF) által jóváhagyott operációs rendszert alkalmazhat és az operációs rendszert havonta frissíteni kell. A minősített adatot elektronikus rendszeren kezelő szerv a vírusok és más rosszindulatú szoftverek azonosítására és eltávolítására az NBF által jóváhagyott vírusvédelmi szoftvert alkalmaz
- módosul a Terrorelhárítási Központ tevékenysége is, amely ezentúl ellátja a felderítési, felszámolási és személyvédelmi feladatkörében felmerülő vegyi, biológiai vagy nukleáris veszélyek felderítésére és elhárítására irányuló tevékenységet, illetve annak koordinálását, ennek keretében elvégzi az objektumok, járművek, útvonalak és műveleti helyszínek vegyi, biológiai vagy nukleáris veszélyek felderítésére és elhárítására irányuló átvizsgálását
- a rendeletcsomag végére került az egyik legfontosabb rendelkezés: a kormány az E-ügyintézési tv. szerinti kép-, hang, kép- és hangfelvételek központi tárolására tárhelyszolgáltatóként a NISZ Nemzeti Infokommunikációs Szolgáltató Zrt.-t jelöli ki, vagyis oda futnak majd be a térfigyelő kamerarendszerek képei