Az ISACA szeptember havi második szerdai előadásának vendég előadója Nagy Zoltán Attila, az NFM – Nemzeti Elektronikus Információbiztonsági Hatóság elnöke volt. Tekintve, hogy az Ibtv. (az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény) körül nagy a bizonytalanság, elmentünk és meghallgattuk a Hatóság frissen kinevezett vezetőjét, talán megtudunk valami újat.
Bár az előadás során Nagy Zoltán leginkább a törvény és az eddig kiadott egyetlen végrehajtási rendelet legfontosabb, de már ismert pontjait vette végig, új információ nem hangzott el, szerencsére az előadást követő ISACA style kérdés-felelek során azért sikerült pár plusz információt kapni a Hivatal első emberétől, valamint az őt teljes szakmai vállszélességgel támogató Krasznay Csabából. Ezek alább összeömlesztve, szolgáljon információul mindenkinek:
– Kérdés: Mekkora személyi állománnyal fogja ellátni a jogszabályban meghatározott feladatokat a Hatóság? Nagy Zoltán: A Nemzeti Elektronikus Információbiztonsági Hatóság jelenleg 15 fő felvételére rendelkezik felhatalmazással, a felvételi folyamat még nem kezdődött meg. Maximum 30 fő tervezett.
– Kérdés: A jogszabály hatálya alá tartozó szervezetek száma kb. 6000. Ezen szervezeteknél ki kell jelölni, megfelelő képesítéssel (pl.: CISM, induló képzési program) rendelkező személyt. Nem eredményezi ez a szakma felhígulását? Nagy Zoltán: A szakemberek képzésére szolgáló program kidolgozás alatt van, a cél, hogy a 2 éves képzésben részt vevők a piacon is megállják a helyüket. (a szerk. megjegyzése: igen, ez komoly arányú “hígítás”). Viszont a szervezetek közösen is kijelölhetnek biztonságért felelős személyt.
– Kérdés: A biztonsági felelősi tevékenység kiszervezhető? Nagy Zoltán: Igen.
– Kérdés: A Kockázatelemzés módszertanára fog valamelyik végrehajtási rendelet konkrét iránymutatást adni? Nagy Zoltán: Nem tervezett, nagy mozgásteret szeretnénk hagyni. (a szerk. megjegyzése: nem hiszem, hogy jó megoldás, jogbizonytalanságot szül, valamint a szubjektivitást erősíti)
– Kérdés: a jogszabály hatálya alá tartozó szervezeteknek az Informatikai Biztonsági Szabályzatukat meg kell küldeni a hatóság részére, de a végrehajtási rendeletek nem ismertek, nincs lehetőség az IBSZ felülvizsgálatára. Nagy Zoltán: nem probléma, a jelenleg hatályos állapotában kell a szabályzatokat megküldeni.
Záró gondolatok:
– Krasznay Csaba elmondása szerint Magyarország kiemelt diplomáciai területének számít az információbiztonság, a szabályozás iránt nagy az érdeklődés.
– A jogszabályt egy éven belül a tapasztalatok alapján felül kell vizsgálni, annak alkotóinak elmondása szerint is egyszerűen benne ragadtak rendelkezések. Pl: erős jogkörök, de jogorvoslatnak nincs helye (a szerk. megjegyzése: erősen vitatható, hogy sok esetben szubjektív kontroll-vizsgálatokon alapuló szankciók ellen nincs törvényes jogorvoslat)
———————————————!!!!!!!!!!!!!!!!!!!!
Kiegészítés a bejegyzéshez:
A Biztributor jóvoltából (ezúton is köszönjük a meghívást az általuk szervezett és rendkívül színvonalas Biztributor IT biztonsági napra) volt szerencsém meghallgatni Frész Ferenc, az NBF CDMA kiberbiztonsági központ vezető előadását, szintén a témában. Aki nem tudná az NBF=Nemzeti Biztonsági Felügyelet, a CDMA= Cyber Defence Management Authority.
A fenti stílusban pár érdekes gondolatot megosztok az előadásból:
– A kibervédelmi vezető saját bevallása szerint brutális állapotok uralkodnak az állami és önkormányzati szektorban. A konkurenciaharc a minőség rovására ment, melynél a királyi beszállítók rendszere is hatékonyabb lenne. Jellemző magatartás a kockázatok elfedése, leplezése, illetve a kizárólag “réztáblán” létező projektek (pl: kormányzati IPS rendszer állítólag van, de senki sem látta).
– Állítólag a kormányzati sérülékenység és forensic vizsgálatok évi 20 Milliárd Forintos piac. (??) A szakember álláspontja szerint a “kormányzat szennyesét ne a magánszektor mossa”, mert hatalmas függőséget és biztonsági kockázatot jelent, hanem legyen erre erőforrása és szakértője a kormányzatnak.
– a hivatal mintegy proxyként fog szolgálni a szolgáltatók és a kormányzati és önkormányzati megrendelők között. Ez egyrészt szakmai kontrollt fog jelenteni, illetve a jövőben megszűnik azon gyakorlat, hogy “valaki talál pénzt” és ASAP drágán, kontroll nélkül történik annak elköltése.