Informatikai biztonsági részstratégia

Átírás

1 [MITS] Informatikai biztonsági részstratégia [IBRS] II. kötet NEMZETKÖZI KITEKINTÉS Készült: az Informatikai és Hírközlési Minisztérium megbízása alapján 2003.

2 TARTALOMJEGYZÉK 1. BEVEZETÉS INFORMATIKAI HELYZETKÉP, INFORMATIKAI BIZTONSÁGI MEGKÖZELÍTÉSEK INFORMATIKAI BIZTONSÁGI TÖREKVÉSEK Az Európai Unió országai Ausztria Ausztria informatikai infrastruktúrája Szabályozások és törvények A biztonság erősítése Felhasználóvédelmi megoldások Ausztria sajátosságai Ausztria IT-biztonsági alapelvei Megbízható szolgáltatások Biometriai tapasztalatok Belgium Belgium informatikai infrastruktúrája Szabályozások és törvények A biztonság erősítése Belgiumban Dánia Dánia informatikai infrastruktúrája Szabályozások és törvények A biztonság erősítése Dánia sajátosságai IT-biztonsági alapelvek Megbízható szolgáltatások Tapasztalatok a token-nel kapcsolatban Tervek Egyesült Királyság Az Egyesült Királyság informatikai infrastruktúrája A kriptográfia használata Szabályozások és törvények A biztonság erősítése Megbízható szolgáltatások Tapasztalatok a token-nel kapcsolatban Biometriai tapasztalatok oldal oldalak száma: 244

3 3.1.5 Franciaország Franciaország informatikai infrastruktúrája A kriptográfia használata Szabályozások és törvények A biztonság erősítése Görögország Görögország informatikai infrastruktúrája Szabályozások és törvények A biztonság erősítése Görögországban Hollandia Hollandia informatikai infrastruktúrája A kriptográfia használata Szabályozások és törvények A biztonság erősítése Írország Írország informatikai infrastruktúrája Szabályozások és törvények A biztonság erősítése Írország sajátosságai IT-biztonsági alapelvek Megbízható szolgáltatások Tapasztalatok a token-nel kapcsolatban Biometriai tapasztalatok Tervek Luxemburg Luxemburg informatikai infrastruktúrája Szabályozások és törvények A biztonság erősítése Luxemburgban Olaszország Olaszország informatikai infrastruktúrája Szabályozások és törvények A biztonság erősítése Tapasztalatok a token-nel kapcsolatban Portugália Portugália informatikai infrastruktúrája Szabályozások és törvények A biztonság erősítése Spanyolország Spanyolország informatikai infrastruktúrája Szabályozások és törvények A biztonság erősítése oldal oldalak száma: 244

4 3.2 Az Európai Unióhoz 2004-ben csatlakozó országok Ciprus Ciprus informatikai infrastruktúrája Szabályozások és törvények A biztonság erősítése Csehország Csehország informatikai infrastruktúrája Szabályozások és törvények A biztonság erősítése Észtország Észtország informatikai infrastruktúrája Szabályozások és törvények A biztonság erősítése Észt sajátosságok IT-biztonsági alapelvek Megbízható szolgáltatások Biometriai tapasztalatok Lengyelország Lengyelország informatikai infrastruktúrája Szabályozások és törvények A biztonság erősítése Szlovénia Szlovénia informatikai infrastruktúrája Szabályozások és törvények A biztonság erősítése Szlovéniában EU-n kívüli országok Japán Japán sajátosságai IT-biztonsági alapelvek Megbízható szolgáltatások Tapasztalatok a token-nel kapcsolatban Biometriai tapasztalatok Tervek Kanada Kanada sajátosságai IT-biztonsági alapelvek Megbízható szolgáltatások Tapasztalatok a token-nel kapcsolatban Biometriai tapasztalatok Tervek Málta oldal oldalak száma: 244

5 Málta sajátosságai IT-biztonsági alapelvek Megbízható szolgáltatások Tapasztalatok a token-nel kapcsolatban Biometriai tapasztalatok Tervek Norvégia Norvégia informatikai infrastruktúrája Szabályozások és törvények A biztonság erősítése Svájc Svájc informatikai infrastruktúrája Szabályozások és törvények A biztonság erősítése Szingapúr Szingapúr sajátosságai IT-biztonsági alapelvek Megbízható szolgáltatások Tapasztalatok a Token-nel kapcsolatban Biometriai tapasztalatok Tervek RÉSZLETES INFORMATIKAI BIZTONSÁGI ELEMZÉSEK Amerikai Egyesült Államok Bevezetés Az informatika és telekommunikáció helyzete az országban Törvényi, kormányzati és szervezeti háttér Veszélyek és sebezhetőségek, kockázatelemzés Célok és feladatok A célok megvalósításához vezető lépések Nemzeti informatikai biztonsági észlelő-kezelő rendszer kialakítása (I. feladat) A veszélyek kivédése és a sebezhetőségek csökkentése (II. feladat) A biztonság tudatosítása és képzés (III. feladat) A kormányzati szektor informatikai biztonságának megteremtése (IV. feladat) Nemzeti és nemzetközi informatika-biztonsági együttműködés (V. feladat) A Nemzeti informatika-biztonsági stratégia összegzése Felhasználóvédelmi megoldások Ausztrália oldal oldalak száma: 244

6 4.2.1 Kormányzati elkötelezettség programok, projektek és kezdeményezések Az elektronikus szolgáltatások védelme Kritikus infrastruktúra védelme Biztonsági tudásbázis fejlesztése Szervezeti keretrendszer Az informatikai biztonság általános szervezeti keretrendszere Nemzeti informatikai infrastruktúrához (NII) kapcsolódó szervezeti keretrendszer Elektronikus szolgáltatásokhoz kapcsolódó szervezeti keretrendszer Az akkreditációs, minősítési és tanúsítási keretrendszer Felhasználóvédelmi megoldások Jogi és szabályozási keretrendszer Törvények az elektronikus bűncselekményekkel szemben Az adatvédelmi törvény Az elektronikus kereskedelmi törvény Az interaktív szerencsejátékok szabályozása A kriptográfiai eszközök forgalmának szabályozása A nyílt hálózatok kritikus tartalmának szabályozása Az ICA szervezet felmérése Ausztráliáról Ausztrália sajátosságai IT-biztonsági alapelvek Megbízható szolgáltatások Biometriai tapasztalatok Tervek Ausztrália biztonsági eredményei és törekvései (összegzés) A követett irányelvek Kormányzati szerepvállalás Szabályozási, jogi és szervezeti keretek A nemzetközi együttműködés kibővítése A tudásbázis kialakítása Programok és projektek Finnország A Finnország informatikai helyzetének áttekintése Az informatikai infrastruktúra A kriptográfia használata Szabályozások és törvények A biztonság erősítése A várható trendek Az ICA felmérése Finnországról Finnország sajátosságai oldal oldalak száma: 244

7 IT-biztonsági alapelvek Megbízható szolgáltatások Tapasztalatok a token-nel kapcsolatban Tervek Finnország IT-biztonsági stratégiája A Stratégia vázlata A Nemzeti Információbiztonsági célkitűzés Stratégiai célok és intézkedések A megvalósítás szervezeti kialakítása Az Információbiztonsági Tanácsadó Testület feladatai Németország A németországi ICT szektor Németország e-kormányzati programja BundOnline 2005, e-government projekt Az átalakulási terv megkezdése Az e-kormányzat technikai bázisa (SAGA) Alapkomponensek és kompetenciaközpontok Az átalakulási terv fejlődése Az e- kormányzati szolgáltatások készültsége Az e-kormányzati projekt fázisai Inicializáció (I. fázis) Stratégia (II. fázis) Analízis (III. fázis) Magas szintű tervezés (IV. fázis) Megvalósítás és Teszt (V. fázis) A BSI felépítése, tevékenysége és szerepe A BSI feladatai az informatikai biztonság fokozása terén Egyéb szervezetek A kriptográfia használata Németországban Az ICA szervezet felmérése Németországról Németország sajátosságai IT-biztonsági alapelvek Megbízható szolgáltatások Tapasztalatok a token-nel kapcsolatban Biometriai tapasztalatok Tervek Svédország A svéd informatikai infrastruktúra A kriptográfia használata Szabályozások és törvények A biztonság erősítése oldal oldalak száma: 244

8 4.5.5 A svéd válságkezelési rendszer áttekintése A Bizottság feladatai Szervezeti keretek, feladat- és felelősség megosztás Elvárások az információvédelemmel szemben IT-biztonsági stratégiai javaslat Felhasználóvédelmi megoldások AZ EURÓPAI KÖZÖSSÉGI SZABÁLYOZÁSOK FEJLŐDÉSE IT-biztonsági mechanizmusok szabályozásai Adatvédelmi algoritmusok Titkosító kulcsok kezelése A szabályozások helyzete Az ECBS szabvány Elektronikus aláírás EU direktivák Az EU 2002/C 43/02 sz. határozata A hálózati és információbiztonsági politika Az Ügynökség kialakításának indokai Háttér Javaslat az Európa Parlament és az Európa Tanács szabályozására A szabályzat elfogadása Célok és feladatok (1. rész) Szervezet (2. rész) Működés (3. rész) Pénzügyi rendelkezések (4. rész) Általános rendelkezések (5. rész) Befejező rendelkezések (6. rész) Törvényhozó pénzügyi nyilatkozat Pénzügyi hatás A munkatársak hatása és az adminisztratív kiadások Nyomon követés és kiértékelés Csalás elleni intézkedések Az OECD ajánlás Bevezetés Előre egy biztonsági kultúra felé Célkitűzések Alapelvek Tudatosság Felelősség Reagálás Etika oldal oldalak száma: 244

9 Demokrácia A kockázatok felbecsülése Biztonság: tervezés és megvalósítás Biztonságmenedzsment Ismételt felmérés Ajánlás A nemzeti szabályozó hatóságokkal kapcsolatos értékelések A nemzeti szabályozó hatóságok (NRA-k) szerepe Felelősségek Az NRA-k együttműködése más nemzeti szereplőkkel Egyéb (nemzeti) hatóságok és intézmények feladata Egyéb (nemzeti) szereplők tevékenysége Kiegészítés A TABD szervezet ajánlásai A TABD ajánlásai A biztonsági tudatosság szintjének növelése Bevált gyakorlatok kialakítása és bevezetése Vitatémák Személyes adatok védelme Adatok megtartása Digitális kereskedelem Az elektronikus kereskedelem liberalizációja Felhasználóvédelem a világhálón Az új típusú megközelítés szükségessége Közösségi szintű megoldások az Európai Unióban Európán kívüli példák Összegzés MELLÉKLETEK Ábrajegyzék Táblázatok Rövidítések Forrásjegyzék (Amerikai Egyesült Államok) Forrás- és hivatkozásjegyzék (Ausztrália) Kiegészítés a PDD-63-hoz (Amerikai Egyesült Államok) oldal oldalak száma: 244

10 1. BEVEZETÉS Magyarországnak figyelembe kell vennie az Európai Unió információs társadalom megvalósítására kialakított célkitűzéseit, ezen belül az informatikai biztonsággal mint az információs társadalom fejlődésének egyik alapkérdésével kapcsolatos elvárásait. Ezek az elvárások arra irányulnak, hogy a globalizálódó világban a társadalom gazdasági, versenyképességi, veszélyeztetettségi stb. problémáira megoldást keressenek. A nemzetközi kitekintés az (elsősorban) interneten hozzáférhető, informatikai biztonsági stratégiákkal, nemzeti célokkal, cselekvési tervekkel foglalkozó dokumentumok alapján késült A munka kezdetén elkészült egy a tájékozódást elősegítő - kérdőív, melyet az IHM és a HÍF illetékes vezetői felkérésünkre több nemzetközi partnerüknek szétküldtek. A nemzetközi tapasztalatok összegzése az alábbi csoportosításban szerepel a dokumentumban: Az informatika szerepének, ezen belül az informatikai biztonság megítélésének általános helyzete, egyes kormányzati szerepvállalások megközelítése (pl. a nemzeti szabályozó hatóságok, az ún. NRA-k feladatvállalása). Néhány a kérdéskör szempontjából iránymutató - ország informatikai biztonsági stratégiai elképzelésének (a feladatok végrehajtásában közreműködő szervezetek feladatainak) részletesebb kifejtése. Itt az informatikai fejlődésben meghatározó Amerikai Egyesült Államok, valamint Ausztrália, Németország, Finnország, Svédország és néhány, velünk együtt EU csatlakozás előtt álló ország IT-biztonsági elveinek ismertetése szerepel. A németországi elemzés két olyan táblázatot, illetve grafikont tartalmaz (a közcélú szolgáltatások internetes megoldásai és az e- kormányzati index értékek), amelyben nemzetközi szervezetek több ország adatait hasonlítják össze, ezért ezeket érdemes figyelembe venni az adott ország áttekintése során. A következő részben röviden áttekintjük, hogy milyen IT-biztonsági kérdésekre koncentrálnak több európai és Európán kívüli ország illetékes szervezetei, így összesen 28 ország informatikai biztonsági stratégiájával és gyakorlatával ismerkedhetünk meg ebben a dokumentumban. Legvégül ismertetjük az informatikai biztonsággal kapcsolatos legfontosabb dokumentumait azoknak a nemzetközi szervezeteknek, melyeket a szervezethez jelenleg is tartozó, illetve a későbbiekben csatlakozó Magyarországnak figyelembe kell vennie (EU Direktívák, OECD állásfoglalások). 10. oldal oldalak száma: 244

11 2. INFORMATIKAI HELYZETKÉP, INFORMATIKAI BIZTONSÁGI MEGKÖZELÍTÉSEK Ahhoz, hogy meg tudjuk határozni Magyarország jelenlegi informatikai, illetve informatika-biztonsági helyzetét olyan tárgyilagos mutatókra, statisztikai adatokra van szükségünk, melyek az információs társadalomhoz való közeledésünkre jellemzőek. A Magyar információs társadalom stratégiát előkészítő tanulmány (MITS) megállapítása szerint ezeket az adatokat viszonyítanunk kell az EU-hoz, amelybe belépni kívánunk, a csatlakozni kívánó más országokhoz, a Visegrádi országok csoportjához. Egyes esetekben az USA adataihoz is mérjük magunkat, amelyhez az egész világ amúgy is méri magát e tekintetben és azért is, mert az Egyesült Államok nem egy vonatkozásban még az Európai Uniót is megelőzi. Hasonlóan ahol lehet viszonyítunk olyan más országok, vagy országcsoportok teljesítményeihez is, amelyek jelentős áttörést értek el az informatikai forradalomban. Az EU vonatkozásában az általuk elvégzett benchmarking-vizsgálatokra, azok mutatóira támaszkodunk. Bár felhívjuk a figyelmet, hogy az EU maga sem teljesen következetes a mutatók és indexek kiválasztásában és az adatok prezentációjában re ígérik egy következetesebb nemzetközi osztályozási rendszer kidolgozását. A magyar helyzetet elemző konzorcium sem tudta teljesen leképezni az EU benchmarking ismérveit. Ezért adatai többnyire csak becsléseknek tekinthetők. Számos indikátor vonatkozásában viszont teljesen hiányzik a megfelelő összehasonlítható magyar adat. Az adatok, az információk eltérő rendszerekből származnak. Az ITU (International Telecommunications Union) és kismértékben KSH adatai alapján az EU és a magyar ellátottsági adatokat hasonlíthatjuk össze. Az eltérő elvek, definíciók és használt technikák miatt az eredmények nem esnek feltétlenül egybe, de egybevetésük kirajzol egy többé-kevésbé megbízható tendenciát. [További információ: oldal oldalak száma: 244

12 1. ábra: A személyi számítógépek száma A személyi számítógépek számának tekintetében meg kell állapítanunk, hogy Magyarország - a nemzetközi összehasonlítás szerint - jelentős lemaradásban van. Az EUban átlagosan háromszor annyi gép jut 100 főre, mint nálunk, és az USA-ban több mint a hatszorosa. 12. oldal oldalak száma: 244

13 2. ábra: A becsült internet-felhasználók száma A becsült internet-felhasználók számát illetően hangsúlyosan fel kell hívnunk a figyelmet arra, hogy az irodalomban és a statisztikákban különösen eltérő adatok vannak, melyek a magyar adatok esetében 9% és 15% között változnak. Az ábra az ITU adatokat tartalmazza. A hazai internet-felhasználók aránya közel kétszerese a csatlakozó országok átlagos arányának, de nem éri el a felét az EU átlagának, s kevesebb, mint harmada az USA értékének. Szintén befolyásolja az e mutatóval mérni kívánt folyamatok tényleges mértékét a közös hozzáférések száma, kihasználtsága, melyről ezek az adatok nem tájékoztatnak. Az ITU a felhasználók számát az internet gazdagépek száma alapján becsüli, de az EU idevonatkozó módszerét nem publikálták. A CSI (Computer Security Institute) az FBI (Federal Bureau of Investigation's) közreműködésével készítette el a Számítógépes Bűnözés és a Biztonság c. éves jelentését. [További információ: oldal oldalak száma: 244

14 Ennek alapján megállapítható, hogy 2002-ben a nagy cégek által számítógép biztonsági problémák miatt elszenvedett veszteség mértéke 510 millió, (vállalati átlag 2,3 millió /év). Hasonló felmérést készített a PriceWaterhouseCoopers Angliában és az EITO (European Information Technology Observatory,) közreműködésével a Datamonitor 200 nyugateurópai nagyvállalatnál. [További információ: Az EITO adatai alapján 2002-ben a nyugat-európai ICT (Information and Communication Technology) piac értéke 641 milliárd volt. Ezen a piacon a nyugat-európai országok részesedése látható az alábbi ábrán. Rest of Western Europe 21% Netherlands 5% Spain 6% Italy 11% Germany 21% UK 20% France 15% 3. ábra: Az európai ICT piac 14. oldal oldalak száma: 244

15 A teljes (belső és külső) IT-biztonsági kiadások mértéke Nyugat-Európában 2002-ben 9,4 milliárd volt re ez a költség várhatóan meghaladja a 18 milliárd -t. Az előrejelzés az alábbi ábrán látható Biztonságra elköltött külső IT kiadások %-a 18,3 Belső kiadások 2,5 milliárd Külső kiadások: szolgáltatások Külső kiadások: megoldások 11,7 9,4 14,7 2,0 1,5 1,0 % 4 0, ,0 4. ábra: Az IT-biztonságra költött kiadások becslése Nyugat-Európában 15. oldal oldalak száma: 244

16 A végfelhasználók felismerik, hogy a behatolás-észlelő rendszerek és a kockázatelemzések révén növelhető a tűzfalak és vírusellenes szoftverek által nyújtott biztonsági szint és keresik azokat a megoldásokat, (tartalom és URL szűrés) melyekkel növelhető az alkalmazottak produktivitása, valamint a szabad sávszélesség. Ez világosan látható az alábbi és az azt követő ábrán. 100 IT biztonsági megoldásokat alkalmazó válaszadók %-a Antivírus Tartalom- és Tűzfalak Behatolás Sebezhetőség PKI URL szűrés észlelés felmérés 5. ábra: IT-biztonsági megoldások Nyugat-Európában 16. oldal oldalak száma: 244

17 Az IT-biztonsági szolgáltatásokra 2002-ben az Európai nagyvállalatok 2,5 milliárd -t költöttek re ez a költség várhatóan csaknem eléri az 5 milliárd -t. Az előrejelzés az alábbi és az azt követő ábrákon látható ,7 milliárd ,1 4,8 3, Tartalom és URL szűrés Behatolás észlelés, sebezhetőség felmérés és kockázatkezelés PKI Rejtjelzés Felhasználó azonosítás Vírusmegelőzés Tűzfal 6. ábra: Az IT-biztonsági megoldások költségei Nyugat-Európában 17. oldal oldalak száma: 244

18 6 Karbantartás és informatikai támogatás 5 4 milliárd 3 2 Tanácsadás Képzés Integráció Erőforrás-kihelyezés (outsourcing) 3,1 2,5 3,9 4, ábra: Az IT-biztonsági szolgáltatások költségei Nyugat-Európában 18. oldal oldalak száma: 244

19 3. INFORMATIKAI BIZTONSÁGI TÖREKVÉSEK 3.1 Az Európai Unió országai Ausztria Ausztria informatikai infrastruktúrája Ausztria a nyugat európai országokkal összemérhető informatikai infrastruktúrával és technológiákkal rendelkezik ben Ausztriában az informatikai ráfordítások meghaladták a nyugat európai átlagot, ha az egy főre eső átlagot vesszük alapul (Ausztriában 1481 /fő, a nyugat európai átlag 1390 /fő), a GDP százalékában mérve valamivel alacsonyabb annál (5,89% ill. 6,33%). Az internet-felhasználás jelentősen növekedett az elmúlt években januárjában a lakosság 6%-a volt internet-előfizető és 46% rendelkezett internet-hozzáféréssel a lakásán, a munkahelyén vagy az iskolájában. Ez a szám a PC-k számának növekedésével tovább növekedett ben a lakosság 60%-a rendelkezett PC-vel otthon, és a 9-nél több alkalmazottat foglalkoztató cégek 92%-ának volt PC-je. Az összes cég 92,2%-a rendelkezett internet-hozzáféréssel és 54,3%-nak saját honlapja volt. Az internet infrastruktúra egyre erőteljesebb. Az ezer főre jutó hosztok száma 2000 októberében 57,6 volt, ami meghaladja az európai átlagot, ami 36, de jóval kevesebb az OECD átlagnál, ami 82. Az elektronikus kereskedelem növekedése alacsony. Ennek oka részben az internethozzáférés magas ára. Emellett az internet-felhasználóknak kevesebb, mint egynegyede vállalkozik az interneten keresztül történő vásárlásra júliusában Ausztriában a 100 ezer lakosra jutó biztonságos szerverek száma 6 volt (az EU átlag 4). A jelenlegi osztrák kormány kezdeményezéseket tett az elektronikus közigazgatás terén. Ennek első lépése a lakosság információval való ellátása. Azt tervezik, hogy 2005-ig fejlett elektronikus tranzakciókat tesznek lehetővé a lakosok és a közigazgatás között. A koordináció elvégzésére egy testület lett létrehozva, amelynek tagjai a minisztériumok informatikai vezetői. Az egyik érdekes e-közigazgatási program az elektronikus adóvisszatérítési és adatcsere rendszer, amely azonban holtpontra jutott biztonsági kérdések miatt. Elektronikus fizető rendszerek létrehozásán is dolgoznak. Egyre növekvő mértékű az elektronikus aláírások alkalmazása márciusától tanúsítványért lehet folyamodni a Datakom Austria-hoz. Ezen felül az Austrian Post AG 19. oldal oldalak száma: 244

20 növekvő érdeklődést mutat egy olyan infrastruktúra iránt, amelyben az elektronikus aláírás termékek felhasználhatóak Szabályozások és törvények Ausztriában a törvényi háttér megfelelő keretet ad az informatikai biztonság fejlesztéséhez. Törvényt hoztak az elektronikus aláírásról (190/1999) és az elektronikus kereskedelemről is (152/2001), amely a szolgáltatók és fogyasztók közötti tranzakciókat szabályozza egy online környezetben. Törvény rendelkezik a személyes adatok védelméről és a szellemi tulajdonról is A biztonság erősítése Az informatikai bűnözés terén a probléma fontosságának érzékeltetésében (tudatosság) jelentős szerepet vállal a Belügyminisztérium, amely a honlapján rendszeresen publikálja a legfrissebb bűnügyeket, beleértve a számítógépes csalásokat, bankkártya visszaéléseket és gyermek-pornográfiát. A Belügyminisztériumon belül létrehoztak egy részleget, ahová e- mailen keresztül információkat lehet küldeni a lehetséges bűncselekedetekről. Az informatikai bűnözés terén a Belügyminisztérium mellett szerepe van a Közlekedési minisztériumnak és a Hírközlési felügyeletnek is. Ausztria 2001 novemberében csatlakozott a Council of Europe Cybercrime konvencióhoz. Konkrét gyakorlati segítséget ad az 1998-ban kibocsátott, 2001-ben frissített IT Security Handbook, amely a közigazgatásban felmerülő biztonsági problémákhoz ad segítséget. Az első rész az IT-biztonság menedzsmentjével foglalkozik, a második rész az ITbiztonsági intézkedéseket taglal, míg a kiadás alatt levő harmadik rész meghatározott, alkalmazásokra szabott ellenőrző listákkal, beállítási tanácsokkal fogja segíteni a felhasználót. Az ILOVEYOU vírust követően a Kancellária szervezésében egy IT-biztonsági figyelőrendszert állítottak fel kormányzati intézmények és az internet-szolgáltatók számára. Sőt, létrehozták a minden internet-felhasználó számára segítséget adó Computer Response Coordination Austria (CIRCA) szervezetet, amelynek feladata figyelmeztetések és információk gyors eljuttatása a felhasználókhoz. A megbízhatósággal kapcsolatosan meg kell még említeni az Austrian Centre for Secure Information Technology (Osztrák Információtechnológiai Biztonsági Központ) és Internet Service Providers Austria (Osztrák Internet-szolgáltatók) tevékenységét Felhasználóvédelmi megoldások Ausztriában az ÖIAT (Austrian Institute for Applied Telecommunication ) és a VKI (Consumer Information Association) amelyek Ausztria fő fogyasztóvédelmi szervezetei - közösen létrehozták és működtetik az internet-ombudsman intézményét. Az internet-ombudsman együttműködik és támogatást kap a következő szervezetektől: 20. oldal oldalak száma: 244

21 Osztrák Szövetségi Munkaügyi Kamara, Szövetségi Igazságügyi Minisztérium, Gazdasági és Munkaügyi Szövetségi Minisztérium, Internet-Szolgáltatók Tanácsa, Ausztria, Osztrák Fogyasztói Tájékoztató Szervezet és Osztrák Szövetségi Kereskedelmi Kamara. Az ombudsman szerepe elsősorban az elektronikus kereskedelem fejlesztéséhez kötődik, így feladata az interneten való vásárlás új aspektusáról általános információkat adni, fő célja az e-kereskedelem biztonságát növelni a széleskörű tájékoztatással és a biztonsági alapkövetelménynek meghatározásával. Konkrét problémák felmerülése esetére emellett gyors, alternatív vitarendezési eljárásokat kínálnak. Működésének hatékonyságát és elismertségét bizonyítja, hogy 2000-ben a Gazdasági és Munkaügyi Minisztérium által alapított, PR díjat az internet-ombudsmannak ítélték oda. [További információ: A fejezet további része az ICA szervezet IT-biztonsági felmérésének Ausztriára vonatkozó részét ismerteti Ausztria sajátosságai Ausztria az elektronikus aláírás EU-direktíváját igen korai szakaszban alkalmazta, így az elektronikus aláírás, a biztonságos elektronikus aláírás és a minősített tanúsítványok megjelentek a magánszektor szolgáltatásaiban. A biztonságos elektronikus aláírásnak elérhetőnek kell lennie minden e-kormányzati alkalmazás számára. A Konzept Bürgerkarte" nevet viselő koncepció az állampolgárok kártyáján az elektronikus aláíráshoz eltárolt kulcsokra és minősített tanúsítványokra alapul Ausztria IT-biztonsági alapelvei Ausztria számos stratégiai és technikai elemmel rendelkezik: "Konzept Bürgerkarte" egy, az elektronikus aláírásra és a minősített tanúsítványokra alapuló állampolgári kártya-koncepció, "biztonsági réteg" egy állampolgár-orientált biztonsági eszközökkel való kommunikációt biztosító interfész stratégiai megközelítése. Ez a megközelítés technikailag nem tartalmaz megkötéseket, virtuálisan bármely eszköz használatát engedélyezi, 21. oldal oldalak száma: 244

22 "személy-hozzárendelés" lehetővé teszi az azonosítást még abban az esetben is ha a nevek vagy más adatok megegyeznek, és adatvédelmet biztosít az azonosítás során jogilag és technikailag egyaránt, "a fizetési folyamatokban alkalmazott aláírás" biztosítja a pénzkezelést az e- kormányzati folyamatokban, amelyek függetlenek a pénzintézetektől és egyéni technikát alkalmaznak. Az XML struktúrákat a kibocsátott utasításokhoz szigorúan kötve tervezték meg. Az elektronikus XML dokumentum megfelelő formájának használatával az később is helyreállíthatóvá válik. Így az állampolgárok számára nem szükséges az elektronikus dokumentumok eltárolása. Ezzel együtt sokféle eszközt biztosítanak az adathordozó megváltoztatásának észrevételéhez; "e-kormányzat Ausztria OID" egy azonosítóként működik, hogy felismerhetőek legyenek a biztonsági elemek az e-kormányzat számára. Ez az azonosító regisztrálásra kerül és csak kormányzati használatra korlátozódik Megbízható szolgáltatások A PKI és az elektronikus aláírás, valamint a megbízhatóság kihasználásra került G2G szinten az e-kormányzati program részeként. Az elektronikus levelezés és a hozzáférési stratégiák magukba foglalják az aláírást, valamint a rejtjelezés alapú aláírást és azonosítást. Ez a program jelenlegi fázisában folytatódni fog az e-europe 2005 akcióterv irányvonalaként. A megbízható szolgáltatások körében érdemes megemlíteni az A-SIT (Secure Info Tech Center Austria) szervezetet, amely az ismertebb németországi BSI megfelelője Ausztriában. Ez a szervezetet egyrészt kijelölt tanúsító szervezet (az e-aláírás termékekre vonatkozóan), másrészt figyelemmel kíséri a Bürgerkarte projektet. Ausztria ICT stratégiával az osztrák (kormányzati) Chief Information Officer (CIO) iroda foglalkozik, amely koordinálja az ICT kezdeményezéseket a PKI, Secure networks stb. területekre nézve, elsősorban (de nem kizárólag) a kormányzat számára. [További információ: és Biometriai tapasztalatok Ausztria aktívan együttműködik az EU tagállamokkal ebben a kérdésben. Habár még nem eldöntött, hogy milyen biometriai adatok és mekkora tömegben kerülnek felhasználásra. Az útlevél-alkalmazásban az adatok tömege és helyessége, valamint az adatok karbantartása jelenti az egyik legnagyobb kihívást. A biometria szerepet játszik például a hozzáférés ellenőrzés területén, de az e-kormányzat nem helyez erre kiemelt hangsúlyt. 22. oldal oldalak száma: 244

23 3.1.2 Belgium Belgium informatikai infrastruktúrája Belgium informatikai helyzetét érdekes kettősség jellemzi. Míg a magas internethozzáférési díjak és a biztonságos webszerverek alacsony száma lassítja az elektronikus kereskedelem fejlődését, addig az IT-biztonsági termékek piacán egy rendkívül erős, évi 30 % körüli növekedés figyelhető meg 1997 óta. A növekedés kiterjed a VPN eszközökre, szolgáltatásokra, tűzfalakra, behatolás-jelző szoftverekre és a PKI elemekre egyaránt. Jelenleg a belga lakosság 44%-a rendelkezik internet-hozzáféréssel az otthonukban vagy a munkahelyükön. A háztartások 20%-ában van internet-kapcsolat. Az otthonok több mint 47%-ában van személyi számítógép. Az online-tevékenységeket tekintve a belgák 22%-a folytatja a banki tevékenységét az interneten keresztül és 7%-uk vásárol és ad el részvényeket, a hálót használva elején a kisvállalatok 81%-a, a közép vállalatok 84%-a csatlakozott az internethez. A biztonságos webszerverek száma jellemzően mutatja az e-kereskedelemhez szükséges infrastruktúra alakulását: Belgiumban az 1 millió lakosra jutó biztonságos web szerverek száma 1997 és 2000 között 2,1-ről 23,6-re emelkedett, ami az EK átlaghoz (29,2) képest alacsony (Németországban ez a szám 34,5, Hollandiában 29,4). A fokozatosan növekvő e-kereskedelem kapcsán meg kell említeni az egyik legbiztonságosabbnak tartott, ISABEL nevű B2B rendszert, amely 30 bankot kapcsol össze, s a legnagyobb hitelesítés-szolgáltató a piacon Szabályozások és törvények 2000-ben egy Nemzeti Konzultációs Bizottságot hoztak létre, amelynek feladata az információs társadalom kialakítását elősegítő jogi, technikai és szervezeti megoldások kidolgozása. Ennek részeként súlyt helyeznek az elektronikus közigazgatás és az azt alátámasztó infrastruktúra (elektronikus aláírás, a nyilvános kulcsú infrastruktúrák, az elektronikus azonosító kártyák, a nemzeti nyilvántartás, a titoktartás, a biztonság stb.) fejlesztésére. Az elektronikus aláírás-törvényt 2000 decemberében fogadták el és 2001 szeptemberétől hatályos. A 2001 februárjában megalkotott számítógépes bűnözés elleni törvény bűntettnek tekinti az IT rendszerek valamit a tárolt, feldolgozott, átvitt adatok bizalmassága, integritása, elérhetősége elleni tevékenységeket A biztonság erősítése Belgiumban 23. oldal oldalak száma: 244

24 A belga cégek háromnegyede alkalmaz valamilyen biztonságot növelő megoldást. A vállalatok 97 százaléka használ antivírus szoftvert, míg kétharmada tűzfallal is védi magát. A komplexebb PKI illetve VPN megoldások kevésbé elterjedtek, csupán a cégek tíz százaléka használja ezeket. A belga bankszektor európai összehasonlításban is vezető a biztonsági megoldások kifejlesztésében, alkalmazásában. A Banksys rendszer a világon a legjobb mutatókkal rendelkezik a csalások tekintetében. A klienseknek magas szintű biztonságot garantál az elektronikus banki tevékenységek minden szintjén. A Banksys nemzetközi szabványok (EMV, CEPS) kezdeményezője is. Bevezetett egy Baksafe elnevezésű megoldást, amely biztonságos e-kereskedelmet garantál és lehetővé teszi a kifizetéseket "elektronikus pénztárcák" (speciálisan erre a célra kialakított intelligens kártyák) segítségével. Mivel a jövőben az internet-szolgáltatók egyre nagyobb szerepet fognak játszani a biztonság megteremtésében, meg kell említeni a PSINet pilot projektjét, amely keretében egy központi osztott biztonsági rendszert hoztak létre. Az e-levelek központi biztonsági analizálása, szűrése mellett VPN-kapcsolat is lehetséges. Az ILOVEYOU vírust követően a Telekommunikációs minisztérium 2000-ben létrehozott egy vírusfigyelő központot a belga hírközlési és postafelügyelet keretében. Fontos célnak tekintik a gyors reagálás mellett a vírusriadók szűrését és a fals riasztások visszaszorítását. A fentieken túl 1999-ben a belga kormány és a belga ISP-k egy megállapodást írtak alá az interneten elkövetett illegális tevékenységek elleni összefogásra. Kiemelt területek ebben a gyermek-pornográfia, a rasszizmus és a szerencsejáték Dánia Dánia informatikai infrastruktúrája Rendkívül fejlett az információtechnológiai szektor Dániában. Az összes foglalkoztatottak számának több mint egyharmada ebben a szektorban dolgozik. A családok egyharmadának volt otthon PC-je 1999-ben az elterjedtségre vonatkozó egyik felmérés szerint. Ezen felül a családok 46%-a, illetve a év közöttieknek a 60%-a rendelkezett internethozzáféréssel az otthonából. Az intelligens kártyák elterjedtsége az üzleti életben is fejlett. A 10 főnél többet foglalkoztató vállalatok 83%-a rendelkezett internet-hozzáféréssel ben és 2000 végéig újabb 8% növekedést jósoltak. Az elektronikus kereskedelem is gyorsan fejlődik. Az e-kereskedelmet folytató vállalatok 80%-a kínál termékeket végfelhasználóknak (B2C), 53%-a egyéb vállalatoknak (B2B). Meg kell jegyezni, hogy az interneten kötött üzletkötéseknek a fele a dán piacokon történt meg. 24. oldal oldalak száma: 244

25 Szabályozások és törvények Előtérbe kerültek az e-kormányzati szolgáltatások és megoldások ott, ahol a már meglévő, számos kísérleti projekt eredményeit hasznosítani kívánják. Az e-kormányzat általános stratégiáinak meghatározására a kormány 2001-ben egy bizottságot állított fel. Az egyik érdekes projekt részeként nyilvános honlapot hoznak létre az ügyintézések hatékonyabbá és olcsóbbá tételére. A honlap az e-kereskedelem fő irányítója is lesz. Az e-kormányzat egyik legsikeresebb alkalmazása az adóügyek elektronikus intézése. Az e-kereskedelemre vonatkozó kormánypolitika részeként a következő irányelveket tűzték ki: az állami szektor szolgáltatásainak biztonságossá tétele, információ- és kommunikáció-technológiai közös, biztonságos infrastruktúra létrehozása, az állami szektorral folytatott e-kommunikáció jogszerűvé tétele, új keretek létrehozása a kormány által biztosított IT-biztonsági tanácsadásra (a tudatosság fokozására). A kormány súlyt fektet a bizalom megalapozására a közigazgatás terén alkalmazott információtechnológiai megoldások iránt azáltal, hogy növelni kívánja a biztonságot és bizalmasságot és rejtjelezéseket és digitális aláírásokat biztosít. A kormány a következő feladatokat tartja fontosnak: közös szabványok kialakítása a digitális aláírással kapcsolatban, Certification Policy Authority létrehozása, a digitális tanúsítványok széles körű elterjesztése, a telekommunikációval és információtechnológiával foglalkozó új hivatal létrehozása. A dán parlament 2000 májusában elfogadta az Elektronikus aláírás törvényt A biztonság erősítése Az IT-biztonság terén ki kell emelni a dán kormány IT-biztonsági Tanácsának központi szerepét, amelyet 1995-ben hoztak létre. A Tanács rendszeresen tesz ajánlásokat állami vállalatoknak és magáncégeknek biztonsági kérdésekben. Az IT-biztonsági Tanácsnak 7 tagja és 15 fős szakértői testülete van. A tanács évente jelentést tesz közzé, amelyben elemzi az információtechnológiai és kommunikációs szektor biztonsági helyzetét. Ajánlásokat is rendszeresen tesz közzé, elősegítve az IT-biztonsági tudatosság fejlődését. 25. oldal oldalak száma: 244

26 Dániában már 1991 óta működik Számítógépes vészhelyzet elhárító csoport, azaz CERT (Computer Emergency Response Team). Ezt a szervezetet az egyik legelső hacker támadás után hozták létre. A CERT évi incidenst kezel, s szolgáltatásai bárki számára elérhetőek. Hasonlóan hasznos szolgáltatásként a kormány támogatásával működik egy webszerver, ahol az internet-felhasználókat tájékoztatják a biztonságos szörfölés lehetőségeiről. A fejezet további része az ICA szervezet IT-biztonsági felmérésének Dániára vonatkozó részét ismerteti Dánia sajátosságai 2002 áprilisától kezdve a dán távközlési hatóság National IT and Telecom Agency hivatalként működik tovább. Ez a szervezet IT-biztonsági hatóságként is tevékenykedik, amelynek hatékonyságára a kb. 40 fős IT-biztonsági osztály is garanciát nyújt IT-biztonsági alapelvek 2000 májusában vezették be az elektronikus aláírásra vonatkozó törvényt, így Dánia az európai országok közül az elsők között volt, ahol megvalósították az elektronikus aláírásra vonatkozó EU-direktívát. Az elektronikus aláírás a személyi adatokhoz való hozzáféréssel járó önkiszolgálás fejlesztésének előfeltétele, hogy aláírt dokumentumok készülhessenek Megbízható szolgáltatások Számos cég szolgáltat szoftveres és chipkártyás megoldásokra alapuló minősített tanúsítványokat. A felhasználók létszáma korlátozott a költségek, az alkalmazható szolgáltatások korlátozottsága és a chipkártya-olvasó nehézkes installációja miatt Tapasztalatok a token-nel kapcsolatban 1999-ben nyolc kísérleti projekt került bevezetésre különböző területeken. A projektek értékes tapasztalatokat biztosítottak, de további fejlesztések szükségességére is felhívták a figyelmet Tervek Azzal a céllal, hogy lerövidítsék a várakozási időt, míg a digitális aláírás elterjed az alkalmazásokban, megtervezték a "Public Sector Certificate to Electronic Services" szolgáltatást. Folyamatban van ennek a szolgáltatásnak a közszférában való alkalmazhatósága, és a tervek szerint bevezetik ezt a szolgáltatást is ahogy lehetséges. 26. oldal oldalak száma: 244

27 3.1.4 Egyesült Királyság Az Egyesült Királyság informatikai infrastruktúrája A 60-as évektől kezdődően egyenletesen növekszik az IT használata az Egyesült Királyságban ben az értelmiség 80%-ának volt személyi számítógépe és 2001-ben a munkaerő 25%-ának volt internet-hozzáférése. Ugyanebben az évben a vállalatok 83%-a rendelkezett saját weblappal ben a lakosság 27%-a csatlakozott a világhálóhoz, és az internettel rendelkezők 30%-a használta a rendszert e-kereskedelemre vagy a banki ügyletek elintézésére. Az IT hardver vásárlások legfőbb hajtóereje a fogyasztói igény. Mivel egyre több fogyasztó kapcsolódik az internethez, a cégeknek több vagy jobb technológiával kell rendelkezniük, hogy a növekvő igényeket ki tudják elégíteni. Az ICT piac másik fő hajtóereje az IT hardver költségeinek csökkenése, mind az üzleti életben, mind pedig a háztartásokban ben számottevően növekedett szolgáltatói piac is. Az Egyesült Királyság előnyös helyzetét növeli, hogy az internet nyelve az angol, hogy az amerikai cégeknek számos helyi központjuk van Európában és az, hogy nagyon sok szolgáltató és bankügylet szektor az Egyesült Királyság globális idő zónáján és földrajzi helymeghatározásán alapul. A brit kormány szeretné elősegíteni, hogy a kis- és középvállalatok, valamint az oktatási szektor használja az ICT szolgáltatásait. A évi költségvetésben bevezettek egy különleges adókedvezményt annak érdekében, hogy a kis- és középvállalatok elérhetőek legyenek online módon. Ennek értelmében az új információtechnológiai vagy e- kereskedelmi befektetéseiknek a költségét teljes egészében leírhatják adójukból. Ez a politika bevált, mert manapság a vállalatoknak csak a 2%-a nem vesz igénybe az online szolgáltatásokat és 17%-uk nincs jelen a világhálón valamilyen formában. A UK Online for Business egy oktató és figyelemfelkeltő kampányt végez, amelyben bátorítja a vállalkozásokat arra, hogy kapcsolódjanak az internethez. Helyi szinten a Business Links hálózat ad tanácsokat és biztosítja az oktatást. A brit kormány a vezető befektető a tudományos kutatások területén az Egyesült Királyságban, és fontosnak tartja, hogy megtartsák tudományos vezető szerepüket a világon. Ennek keretén belül fontos szerepet szánnak a biztonsági kutatásoknak is, amelyek főleg a megbízhatósággal, az IT rendszerek hibatűrő képességével és az informatikai biztonsággal foglalkoznak. 27. oldal oldalak száma: 244

28 A kriptográfia használata Az elektronikus kommunikációs törvény (2000 Chapter 7) 14-es szakasza kimondja, hogy: Senkinek nincs joga (a kormánynak sem) követelményként támasztani bárki számára elektronikus adatok védelmét szolgáló kulcsok (kód, jelszó, algoritmus, kriptográfiai kulcs) átadását más személynek. /Azaz tilos a kulcs visszaállítás kötelezővé tétele./ Ez alól két nyilvánvaló kivétel van: az elektronikus adatok szándék szerinti fogadója (címzett), a kulcs elvesztése, használhatatlanná válása esetére kidolgozott olyan eljárások, melyek más személyeknek való átadás nélkül lehetővé teszik az eredeti információ visszaállítását /Azaz nem tilos a kulcs visszaállítás alkalmazása./ A bűnüldöző szervek és nemzetbiztonságért felelős hatóságok más módon juthatnak információhoz: a Regulation of Investigatory Powers Act (2000 Chapter 23) 49-es és 50- es szakasza alapján törvényi felhatalmazás esetén (nemzetbiztonsági érdekből, bűncselekmény megakadályozása vagy detektálása érdekében stb.) a dekódoláshoz szükséges kulcsot birtokló személyt kötelezi a dekódolásban való közreműködésre, különleges körülmények esetén a kulcs átadására. [További információ: A fejezet további része az ICA szervezet IT-biztonsági felmérésének az Egyesült Királyságra vonatkozó részét ismerteti Szabályozások és törvények A biztonsággal kapcsolatosan a következő kormány-kezdeményezések ismertek: A kormány és az X listás cégek" a Communications Electronic Security Group (Kommunikációs Elektronikus Biztonsági Csoport) által ajánlott szabványokkal összhangban üzemeltették a számítógépes rendszereiket. Ezekből a szabványokból fejlődtek ki az ITSec szabványok, amelyek általános követelményekké váltak és számos nyugati ország elfogadta ezeket. 28. oldal oldalak száma: 244

29 A kormány felismerte azt, hogy az Információs Társadalom veszélyeinek megértésekor a nem informatikai jellegű krízisek (pl. Szeptember 11.) esetén levont tanulságokat is fel lehet használni. A Kabinet Hivatalon belül létező Biztonsági Részleg segíti a megfelelő védelmi biztonságpolitika kialakítását. Feladata a legmegfelelőbb gyakorlatok támogatása, irányelvek kibocsátása és a tanácsadás. Felelős az ISO támogatásáért a Kormányon belül, és támogatja a különböző minisztériumokat a szabvány teljesítésében. Habár a védelmi biztonságpolitika minden minisztériumra és kormányhivatalra érvényes, minden minisztérium és hivatal felelős a saját biztonsági rendszerének a fenntartásáért. A Biztonsági Részleg ezen kívül támogatja az NISCC munkáját is. Az NISCC az a minisztériumok közötti olyan szervezet, amely koordinálja és fejleszti a minisztériumok és a hivatalok, valamint a magánszektoron belüli szervezetek munkáját azzal a céllal, hogy megvédjék az Egyesült Királyság infrastruktúráját az elektronikus támadásoktól. A kormány csak kismértékben avatkozott be a vásárlók e-kereskedelembe vetett bizalmának növelésébe. A kormány által végrehajtott közvetlen szabályozás az adatvédelemre fókuszált, és ösztönözték a magán- és állami szektorokat, hogy tartsák be az ide vonatkozó szabályozásokat. Alapvető biztonsági tanácsokat a különböző kormányweboldalakon lehet találni A biztonság erősítése Az Egyesült Királyság az 1998-as Competitiveness White Paper (Kormányjelentés a versenyképességről) című dokumentumban lefektette az Információs Társadalommal kapcsolatos irányelveit. Ebben megállapította az ICT jelentős szerepét a növekedés előmozdításában, kitűzte a célokat azért, hogy az Egyesült Királyság az e-kereskedelem számára a legjobb környezetté váljon valamint körvonalazta a szervezeti és politikai keretet ezeknek a céloknak az elérése érdekében. Az Egyesült Királyság filozófiáját a miniszterelnök, Tony Blair a következő képen fogalmazta meg: Három területen kell fejlődnünk segítenünk kell a hozzáférést a technológiához és a hálózatokhoz, növelnünk kell az e-kereskedelem lehetőségeinek megértését, és egy olyan környezetet kell teremtenünk, amelyben az emberek bízni tudnak az új közvetítő eszközben." A körvonalazott célok megvalósítását a résztvevő két fő kormányhivatal, a Belügyminisztérium és az Ipari és Kereskedelmi Minisztérium, ellenkező nézetei gátolták. A Belügyminisztérium a biztonságot helyezte előtérbe és úgy tartja, hogy az e-kereskedelmet erőteljesen szabályozni kell a polgárok és a fogyasztók biztonsága érdekében. Az Ipari és Kereskedelmi Minisztérium a G-8 irányelvekkel megegyező nézetet vall, azaz minimális 29. oldal oldalak száma: 244

30 szabályozó beavatkozást szeretne annak érdekében, hogy a piac a lehető leginkább virágozzon. Ennek ellenére az ICT-hez kapcsolódó gazdasági és ipari környezet gyors ütemben fejlődött. Az 1980-as években az Egyesült Királyság belekezdett egy piacliberalizálási és -privatizációs programba. Az e-kormányzat jelentős szerepet játszik a brit kormány tevékenységében. Ajánlásaikat az UK Online elnevezésű stratégiában valósítják meg. Jelenleg a brit e-kormányzat az egyik legfejlettebb a világon, de a következő generációs internet-szolgáltatásokhoz szükséges infrastruktúra nem megfelelő. Várhatóan nem képesek megvalósítani azt a célt, hogy re az összes kormányszolgáltatás online legyen. Az IAG projekt egyik kulcsfontosságú eleme a Government Secure Intranet (GSI biztonságos kormány intranet), amely elektronikus kapcsolatot biztosít a minisztériumok és a kormányhivatalok között. A GSI nemcsak internet-hozzáférést biztosít, hanem számos más eleme is van, amely magasabb biztonsági szinten működik. A számítógépes bűnözést illetően (az irányelvek kialakításánál) a nehézséget az okozza, hogy kevés megbízható adat áll rendelkezésre. Az viszont nyilvánvaló, hogy az információs biztonság jelentős megsértése hatással van a közvéleményre, az üzleti életre és a biztonságra vonatkozó irányelveket kialakítók nézeteire. Az elmúlt időszakban több olyan eset is előfordult, amely az újságok címlapjára került, és amelyek a számítógépes rendszerekbe való betörésekkel voltak kapcsolatosak. A Nemzeti Bűnözési Elhárítási Szolgálat szerint a év első félévében a csalásoknak több mint a fele számítógépekhez kapcsolódott. Más felmérések szerint a számítógépes bűnözés tekintetében az Egyesült Királyság a legrosszabb a helyzetben van a világon. A választ adó cégek 14%-ánál történt számítógépes betörés ben a Brit cégek 44%-ánál volt biztonsági rés, a nagyvállalatoknál ez az arány 78%. Súlyosság tekintetében a cégek 79%-a értékelte úgy, hogy ezek a rések közül legalább egy súlyos volt és 20%-nál nagyon súlyos. A biztonságot sértő esetek 2001-ben a következők voltak: vírusok és bomlasztó technológiák, lopás, jogosulatlan hozzáférés és nem megfelelő használat. A brit parlament is foglalkozott az információs biztonság kérdésével februárjában az akkori házelnök az információs infrastruktúra védelmét jelölte meg az új millennium legfőbb kihívásának. A Kereskedelmi és Ipari Minisztérium megállapította, hogy a biztonsági kérdések megoldatlansága akadályozza azt, hogy az internet elsődleges üzleti kommunikációs eszköz legyen széles körben. A hi-tech bűnözési kutatási program, amely a Belügyminisztériumnak adja le jelentéseit, egy új kutatási terület. Ennek legfőbb célja, hogy meghatározza a hi-tech bűnözés természetét és hatását az Egyesült Királyságban. A tanulmány átfogó képet fog adni arról, hogy mit lehet tudni a hi-tech elkövetőkről, áldozatokról, a hi-tech bűnözéstől való 30. oldal oldalak száma: 244

31 félelemről, a bűnözés típusairól és következményeiről. Ezen kívül ajánlásokat fog tartalmazni arra vonatkozóan, hogy ki tudják fejleszteni az erre a területre vonatkozó politikát, és meg fogja jelölni a jövőbeli kutatási prioritásokat. Egy másik projekt a NetCrime Detection (Net-bűnözési nyomozás), amelynek célja az, hogy előmozdítsa az internetes hírcsoport- és weblaptevékenység növekedésének és csökkenésének automatikus statisztikai megfigyelését. Ez a projekt főleg a fajgyűlöletre és a számítógépes betörésekre fog koncentrálni. A begyűjtött adatok segíteni fogják a hi-tech bűnözési adatbázis fejlesztését, amely segíteni fogják a jelenlegi és a jövőbeli kutatási projektek stratégiai tervezését. Számítógépes bűnözéssel kapcsolatos információt az UNIRAS (Unified Incident Reporting and Alert Scheme Egységes Incidens Jelentési és Riasztási Tervezet) nyújt ben alapították. A szerepe az, hogy információkat gyűjtsön a minisztériumok és kormányhivatalok IT-biztonsági incidenseiről, rendszeres elemzéseket és értékeléseket készítsen ezekről, és riasztásokat és útmutatásokat bocsásson ki. Aktív tagja a nemzetközi FIRST fórumnak (Forum of Incident Response and Security Teams Incidens Reagálás és Biztonsági Csoportok Fóruma) és a brit kormány Számítógépes vészhelyzetelhárító csoportja, azaz CERT (Computer Emergency Response Team). Az UNIRAS most már az NISCC része. Egy másik fontos biztonsági szervezet a CESG, amely a GCHQ biztonsági részlege. Ez a brit kormány információs biztonságáért felelős nemzeti technikai hatósága. Segíti az információs biztonsági politika és a hivatalos használathoz szükséges tanácsadás kialakítását. Az Ipari és Kereskedelmi Minisztérium átfogó biztonsági irányelveket nyújt, amelyek segítik a vezetőket a megfelelő és leggazdaságosabb biztonsági intézkedések meghozatalában. Átfogó tájékoztatást nyújt olyan irányelvek tekintetében, mint például az Információs Biztonsági Menedzsment Gyakorlati Törvénykönyve, a BS-7799, vagy az ITSEC (Információs Technológiai Biztonság Értékelési Szempontjai) Megbízható szolgáltatások Az e-envoy hivatal kifejleszti az üzleti élet és a kormányzat közötti erős hitelesítést (B2G), valamint az állampolgárok és kormányzat közötti (C2G) elektronikus tranzakciókat. A politikát annak bemutása érdekében alkották meg, hogy a digitális aláírás-technika a piacfejlesztés egyik legjobb eszköze Tapasztalatok a token-nel kapcsolatban Az intelligens kártya keretrendszer v1.0 verzóját (1999 decembere) jelenleg a Smart Card Politika Munkacsoport felülvizsgálja. Az e-envoy hivatal készíti a keretrendszert együttműködve a kiterjesztett kormányzati napirenddel, és várhatóan a közeljövőben el is készülnek. 31. oldal oldalak száma: 244

32 Biometriai tapasztalatok A Biometriai Munkacsoport (BWG) irányítja e-envoy hivatal biometriai programját. A csoport kiértékeli a biometriai hitelesítési technológiákat, hogy felderítse a biztonságos online kormányzati szolgáltatásokban való esetleges felhasználhatóságukat. A BWG ajánlása tanácsokat tartalmaz a biometriai technológiákra és beszerzésükre vonatkozóan, a személyiségi jogok és az emberi jogok kérdését figyelembe véve, útbaigazít a technikai területeken mint például a kiértékelés és a tesztelés, valamint biometriai politikát és biztonsági garanciát javasol. Ezt a CESG (Communications Electronics Security Group) irányítja, amely ebben a régióban vezető szerepet tölt be az IT-biztonság szavatolásában és politikájában. A BWG kormányzati képviselőkből, független szakemberekből és más hazai és nemzetközi munkatársakból áll. A jelenlegi Angliai Biometriai Munkacsoport tervezi: a biometriai hitelesítés használatára vonatkozó hazai politika kifejlesztését, a biometriai értékelés és a tesztelési szabványok kifejlesztését, a biometriai termékek teljesítményének kiértékelését, a biometriai rendszerek kiválasztására vonatkozó általános ajánlások biztosítását és az Infosec-kel és Standard-dal való nemzetközi együttműködést Franciaország Franciaország informatikai infrastruktúrája Franciaország egyike Európa legfejlettebb országainak. A legtöbb technológiai mutató tekintetében Európa élvonalába tartozik. A háztartásokban használt PC-k száma az 1999-es, aránylag alacsony értékről (a lakások 35%-a volt PC-vel ellátva, miközben ez az érték Izlandon 65%, Hollandiában 65% volt) gyorsan növekedik májusában minden ötödik lakás rá volt kötve az internetre, míg 1999-ben csak minden 12-edik. Az üzleti életben is erőteljesen növekszik a számítógépes infrastruktúra. A számítógéppel ellátott vállalatok száma között 50%-ról 59,6%-ra növekedett, a nagy vállalatok esetében ez a szám 1997-ben 88%, 1999-ben 98% volt. Még jelentősebb növekedés volt megfigyelhető az internet-használat esetében: 1997-ben a vállalatok 28%-a, 1999-ben 60%-a volt rákötve az internetre. A nagyvállalatoknál ez a szám 75%-ról 98%-ra növekedett 1997 és 1999 között. Az internet-felhasználók száma 1997 és 2001 között 1,1 millióról 10 millióra növekedett. Ugyanakkor az egy főre eső internet-hosztok száma és a biztonságos hosztok száma töredéke az USA hasonló mutatóinak: Franciaországban az egymillió főre jutó biztonságos 32. oldal oldalak száma: 244

33 web-szerverek száma 1999-ben 20 volt, míg az USA-ban 120. Az internet-hosztok száma ugyancsak aránylag alacsony. Ennek csak részben oka az e-kereskedelem elterjedtségében mért különbség, ugyanis a Franciaországban rendkívül elterjedt, sokféle célra használható Minitel hasonló célokat szolgál A kriptográfia használata A kriptográfia törvényi szabályozása (1996) csak a titkosításra használt kriptográfiára vonatkozik (a sértetlenség, hitelesség, letagadhatatlanság céljából használt kriptográfiára nem). A kriptográfia két esetben használható szabadon: ha nem titkosításra használják, ha titkosításra használják egy olyan rendszerben, melynek kulcsmenedzsment sémáját egy kormányhivatal (SCSSI) jóváhagyta. Az ilyen kulcsmenedzsment sémát egy hatóságilag erre felhatalmazott szolgáltató (licenced Trusted Third Party) működtetheti csak. Egyéb esetekben a kriptográfia használatát esetről esetre engedélyeztetni kell az SCSSI-vel. A törvény értelmében az SCSSI által felhatalmazott szolgáltatónak törvényi felhatalmazás esetén biztosítania kell a hozzáférést a titkos kulcsokhoz, vagy a titkosított adatokhoz. A törvény nem határozza meg a kulcs visszaállítás vagy kulcs letétbe helyezés technikáját Szabályozások és törvények 1998-ban fogadták el a Kormányzati program az információs társadalomért című anyagot, amely keretet ad a további munkának. A program 6 területet emelt ki: a középiskolák informatikai ellátottságát, a kultúra területét, a kormányzati szféra modernizálását különös tekintettel az internetes szabványok módszeres használatára és a közcélú szolgáltatások javítására, az elektronikus kereskedelmet, a kutatások és újítások területét és végül a biztonsági meggondolások is helyet kaptak. A biztonsági kérdések kiterjedtek az információ technológiák és hálózatok biztonságosabb használatának jogi megalapozására, és ennek a projektnek a keretében végezték el a rejtjelezés szabályozásának megváltoztatását is ben a program újra előtérbe került, különösen az információs rendszerek biztonsága terén, ahol a törvények vonatkozásában hiányosságok mutatkoztak, ami a dinamikus 33. oldal oldalak száma: 244

34 fejlődést mérsékelte ben beindítottak egy informatikai törvényhozási programot, amelynek célja egyebek között az online rendszerekbe vetett bizalom megalapozása és az internet demokratikusabb használatának elősegítése. A projekt egyebek között elő kívánja segíteni az állampolgároknak a digitális információkhoz való hozzáférését, törvényekkel alátámasztott keretet kíván biztosítani az elektronikus kereskedelemhez, és jelentős hangsúlyt kap az információs rendszerek biztonsága és a számítógépes bűnözéssel szembeni harc is. A törvényi háttér tekintetében a leglátványosabb lépés a rejtjelezési algoritmusok szabad használatának deklarálása 1999-ben, amely az internet kedvezőbb feltételek melletti használhatóságát célozta. Elismerték az elektronikus aláírást is a vonatkozó EU-direktíva szerint. Egy független szervezet (CNIL) ügyel a polgárok személyes adatainak megfelelő kezelésére A biztonság erősítése Az informatikai bűnözés tekintetében a 2000-ben létrehozott Információs rendszerek biztonságának Központi Igazgatósága (DCSSI) szervezet koordináló munkát végez. A felmérésük szerint exponenciálisan nő az online bűncselekmények száma ben az online bűncslekmények 90%-a bankkártya csalásokhoz kapcsolódott. Ezeken felül pedofil, rasszista és bosszúból elkövetett bűntettek és provokációk fordultak elő. A felmérések szerint a betörések fele bizalmas adatok elvesztésével járt, a maradék 50%-ot főleg a belső hálózatok megsértései és vírusok okozta károk tették ki. A statisztikák szerint a betörések 56%-a belülről származik, és az is fontos, hogy a betörések, események 65%-át a jogosult felhasználók hibái teszik lehetővé, a maradék 35% célzatos tevékenység eredménye. Meg kell említeni, hogy 2000 májusában létrehoztak egy, a Belügyminisztériumhoz kapcsolódó központi hivatalt a hi-tech bűnözés elleni harc összefogására, amely együttműködik az Interpollal. Ugyancsak 200-ben létrehoztak egy, a Nemzeti Védelmi Hivatalhoz kapcsolódó központi irányító hivatalt (DCSSI), amely az információs rendszerek biztonságával foglalkozik. A vírusriadók, bugok, sebezhetőségek kezelésére az alábbi háromféle CERT is létezik Franciaországban: a nyilvánosság számára szolgáltatást adó, a közigazgatást kiszolgáló és a zárt hálózaton működő. A számítógépes bűnözéssel szembeni harc terén a francia kormány aktív részese a nemzetközi együttműködésnek, csatlakozott a Cyber Crime Convention-hoz is. 34. oldal oldalak száma: 244

35 3.1.6 Görögország Görögország informatikai infrastruktúrája Görögországnak, amelynek gazdasága most van kifejlődőben, számos olyan nehézséggel is meg kell küzdenie, amelyek a múlt örökségei, mint pl. a szegényes hálózati infrastruktúra, rugalmatlan, bürokratikus struktúrák és kevéssé hatékony államapparátus. A görög információs és telekommunikációs szektor, bár sok tekintetben el van maradva a nyugati államok mögött, jelentős fejlődést mutat január 1-jéig a teljes telekommunikációs szektort privatizálták a Nemzeti Telekommunikációs és Postahivatali Bizottság szabályozó felügyelete mellett. A Bizottság feladata elsősorban olyan intézkedések meghozatala, amelyek az engedélyezésekre és a hálózatok műszaki fejlesztéseire irányulnak. A görög kormány törekszik arra, hogy az internet és PC használat elterjedjen az iskolákban és az oktatási intézményekben ben a középfokú iskolák 80%-a, az alapfokú iskoláknak 16%-a rendelkezett internet-hozzáféréssel. Célul tűzték ki, hogy 2002 végéig minden iskolában legyen internet-elérés Szabályozások és törvények A görög kormány az e-európa kezdeményezéssel és az Európa Tanács információ és kommunikációs technológiai politikájával összhangban egy olyan általános keret kialakításán dolgozik, amelynek célja egy több-dimenziós információs társadalom fejlesztési terv kidolgozása és megvalósítása. Az ezt célzó erőfeszítésekben segítséget nyújt az "Információs Társadalom" program ig, amelyet az Európa Tanács jóváhagyott és anyagilag támogat. Jelenleg három olyan törvény van érvényben Görögországban, amely az IT-t is érinti: a személyes adatok védelmére vonatkozó törvény (2472/97), a fogyasztói törvény (2251/9413), és a szellemi termékek tulajdonára vonatkozó törvény (2131/93). A személyi adatok védelmének ellenőrzésére és irányítására létrehoztak egy független testületet, a Hellén Adatvédelmi Hatóságot, amelynek legfőbb feladata a törvény és a kapcsolódó szabályozások megvalósításának figyelése. A fentieken túl, a nemzeti törvényhozásba beépítették az elektronikus aláírásra vonatkozó 99/93 EU Irányelveket a 150/01 számú elnöki dekrétumon keresztül. Ez a dekrétum az elektronikus hitelesítést és az elektronikus aláírásokat szabályozza. Eddig ebben az irányban csak egyetlen erőfeszítés történt, a Kereskedelmi Kamara 1998-ban felállított egy 35. oldal oldalak száma: 244

36 kísérleti hitelesítési hatóságot, amely tanúsítványokat kínált egyéneknek és az internetfelhasználóknak A biztonság erősítése Görögországban A számítógépes bűnözés elleni harcot illetően elmondható, hogy jelentős hiányosságok vannak, amelyeknek a legfőbb oka, hogy a törvényhozás számára az olyan fogalmak, mint "web", "internet" és "hacker", ismeretlenek, így a számítógépes bűnözést is az egyéb bűnügyek között tárgyalják. A rendőrségen belül nincsenek számítógépes bűnügyekre specializálódott részlegek. Létezik egy hivatal, a Telekommunikációs Csalások Meggátolásának Hivatala, amely különböző telefontáraságok kooperációjának eredményeképpen jött létre. Feladata a nemzetközi információcserére is kiterjed a telekommunikációs csalások ellen alkalmazható eszközök és intézkedések adaptációja céljából. A biztonság általános kérdéseivel a Hellén Szabványhivatal foglalkozik, ahol kifejlesztettek és üzemeltetnek egy sémát az információbiztonsági menedzsment rendszerek hitelesítésére a BS 7799 szabvány követelményeinek megfelelően. A biztonságértékelési sémáknak Görögországban az információbiztonsági menedzsmentre vonatkozó ISO en kell alapulni Hollandia Hollandia informatikai infrastruktúrája Hollandia fejlett ICT ország júniusában Hollandiában 4,7 millió háztartásban volt számítógép (közel 10,7 millió ember), 2,8 millió háztartásban pedig volt internet-hozzáférés (6,4 millió ember), ami a lakosság 60%-ának felel meg. A lakosok az internetet más helyeken, pl. a munkahelyükön vagy az iskolákban is tudják használni. Az üzleti életben már 1995-ben a cégek 80%-a számítógépesített volt ben a cégek 75%-a rendelkezett külső adatkommunikációval. Az internet-hozzáféréssel rendelkező cégek száma jelenleg is növekszik: 2001 végén 70% rendelkezett internet-kapcsolattal óta a számítógépes szolgáltató vállalatok növekedése csökkent, amelynek egyik oka az e-kereskedelemmel kapcsolatos bizonytalanság. Az e-kereskedelem tekintetében 1999-ben közel 0,73 milliárd eurós forgalmat bonyolítottak az interneten keresztül, a B2B eladások 75%-a az extraneten keresztül történt. A (nyilvános) interneten keresztüli tranzakciók a teljes e-kereskedelmi eladásoknak csak a 23%-át tették ki. A B2C kereskedelemben a háztartások 6%-a használta az internetet vásárlási célra (ez háztartást jelent). 36. oldal oldalak száma: 244

37 A holland politikusok meg szeretnék tartani az ország vezető szerepét, ezért a kormánynak számos kezdeményezése van, amivel az ICT-be vetett bizalmat növelik. A holland kormány kezdeményező szerepet vállalt az információtechnológia területén. Ennek keretén belül fejlesztik a telekommunikációs infrastruktúrát, terjesztik a szaktudást és támogatják az újításokat, bátorítják a lakosokat és a vállalkozásokat arra, hogy elsajátítsák az internet használatához szükséges képességeket és használják az internetet, biztosítják a törvényi hátteret, és fejlesztik az ICT szolgáltatást a nyilvános szektorban. A holland kormány ezen kívül elősegíti az online adminisztrációs tevékenységet az e- kormányzati kezdeményezéseken keresztül. Ennek elérése érdekében három témát határoztak meg: a könnyen elérhető e-kormányzat, egy központi kormányzati weboldal üzemeltetése és a parlamenti eljárásmódok és törvények online terjesztése A kriptográfia használata A titkosítással kapcsolatos előírások szerint amennyiben egy házkutatás során egy számítógépben kódolt információt találnak, a rendőrség elrendelheti, hogy bárki, aki ésszerű alapon feltételezve ismeri a kódolás módját, dekódolja az információt. Ez az utasítás nem adható ki egy gyanúsítottnak, és azok a személyek, akiknek joguk elzárkózniuk a teljesítéstől (pl. családtagok). Ellenkező esetben, amennyiben valaki nem teljesíti ezt az előírást, maximum 3 hónapi börtönbüntetéssel büntethető. Törvényeknek megfelelő (a Nyilvános Telekommunikációs Hálózatok és Szolgáltatások Lehallgatására vonatkozó utasítás szerint jogszerű) lehallgatás elrendelése esetén a telekommunikációs szolgáltatóknak az általuk alkalmazott kódolást fel kell oldaniuk. A évi Hírszerzési és Biztonsági Szolgáltatokra vonatkozó törvény a nemzetbiztonsági szolgálatok számára biztosítja a rejtjelezés-követelési jogkört. Minden olyan személynek, aki ismeri a kódolt adatok dekódolásának módját - adott törvényi feltételek esetén - biztosítania kell az összes szükséges együttműködést a dekódolás érdekében a biztonsági szolgálat vezetőjének írásos kérésére. Amennyiben valaki nem tesz eleget ennek a kérésnek, maximum 6 hónapi börtönbüntetéssel sújtható, amennyiben az nem volt szándékos, míg szándékosság esetén maximum 2 éves börtönbüntetéssel sújtható Szabályozások és törvények A holland kormány 1999-ben mutatta be az ICT politikáját tartalmazó dokumentumot, a De Digitale Delta -t. Ebben az egyik központi kérdés az információs társadalomba vetett bizalom. Ennek eléréséhez az internetnek biztonságosnak, elérhetőnek és megbízhatónak 37. oldal oldalak száma: 244

38 kell lennie. Ennek érdekében a kormánynak támogató és szabályozó tevékenységet is kell folytatnia. A Közlekedési Minisztérium a Gazdasági Minisztériummal együttműködve mutatta be az internet sérülékenységére vonatkozó politikai dokumentumát. Az EU terjeszti elő a kritikus infrastruktúra védelmére vonatkozó legtöbb politikát. Egy keretrendszert biztosít, amelyen belül az országoknak kell kialakítaniuk az internettel és az információs bűnözéssel kapcsolatos saját politikájukat. Hollandiában az alábbi 8 területen tettek további lépéseket: információval való ellátás: a veszélyek tudatosítása és ismerete, ezek kezelése. Ennek érdekében egy információs kampányt készítenek elő, kutatás és fejlesztés, biztonsági politikák és intézkedések: a vállalatokat ösztönözni kell arra, hogy hatékony információs biztonságot alakítsanak ki, ezt segíti az Információs Biztonsági Törvénykönyv, az információ bizalmassága: a kormány támogathatja a rejtjelezés használatát a saját biztonsági politikáján keresztül, átláthatóság a minőségre vonatkozó adatokból alapján: jobb piaci működést várnak attól, hogy elősegítik az infrastruktúrák és a szolgáltatások minőségének általános megértését, figyelmeztetés és gyors reagálás: ennek érdekében egy Számítógépes vészhelyzetelhárító csoportot (CERT) hoznak létre, az információ sértetlensége: ennek az egyik módja a megfelelő megbízható harmadik fél (TTP) szolgáltatások elérhetősége. A holland TTP politikája alapján indult a Beleidsnotitie Nationaal TTP-project. A holland TTP supervision sémát TT.NL-nek nevezik, és alapvetően az ETSI TS dokumentumra épül és számítógépes bűnözés: a társadalom védelme a számítógépes bűnözéssel szemben. A rendőröknek képesnek kell lenniük felismerni a digitális nyomozás lehetőségeit, és védeniük kell a digitális nyomokat. A Holland Adatvédelmi Hatóság felállított egy kooperációs csoportot, amely felügyeli, hogy hogyan kezelik és használják a személyes adatokat, és értelmezik és alkalmazzák az Adatvédelmi Törvény komplex vonatkozásait A biztonság erősítése Habár nincsenek hivatalos adatok, a becslések szerint 1998-ban a csalások felét az interneten keresztül követték el. Ebben az évben esetet jelentettek, 2000-ben ez a szám ra nőtt. 38. oldal oldalak száma: 244

39 A holland vásárlók nem bíznak az interneten keresztüli vásárlásban. Az internet-használók fele nyilatkozta azt, hogy azért költenek kevesebbet online módon, mert félnek a lehetséges visszaélésektől. Egyharmaduk tart a számítógépes vírusoktól és a személyes információval és a hitelkártya adatokkal való visszaéléstől. A vállalatok úgy gondolják, hogy kevés történt a számítógépes bűnözés megelőzéséért. Ennek ellenére az online eladásokkal foglalkozó vállalatok száma 68%-kal nőtt. A holland állampolgárok 70%-a gondolja úgy, hogy nem biztonságos a személyes információikat a kormány internetes weboldalán hagyniuk Írország Írország informatikai infrastruktúrája Az 1990-es években Írországban a gyors gazdasági növekedés fő hajtóereje a hi-tech export volt, amely főleg a számítógép hardverekre és szoftverekre irányult. Az ipari termelésben főleg a hi-tech multinacionális cégek dominálnak, termékeit elsősorban európai, egyesült királysági és észak-amerikai piacokra exportálják. Az információs és kommunikáció technológiai szektor gyors növekedése a kormánynak köszönhető, amelyik kedvező befektetési körülményeket teremtett. Írországban találhatóak a Dell, a Compaq, az IBM és a Gateway gyártási és eladási európai központjai ben Írországban a lakosság 39%-a használta rendszeresen az internetet, és ennek több mint 10%-a vásárolt online szolgáltatás volt. Írországban minden általános- és középiskolában van internet. A személyi számítógépek használata viszont aránylag alacsony, 1998-ban száz emberre 15 számítógép jutott ben a cégek 96%-a rendelkezett internet-hozzáféréssel, és 77%-uknak volt saját weblapjuk. A szerverek száma állandóan növekszik ben az ír vállalatok 9%-a kereskedett az interneten keresztül. A B2B (vállalattól vállalatnak) e-kereskedelem sokkal jelentősebb, mint a B2C (vállalattól fogyasztónak) e-kereskedelem. Ez nagyrészt annak köszönhető, hogy az ír vásárlók nem bíznak ebben a vásárlási módban, és kevés állampolgárnak van hitelkártyája. Az 1996-ban kiadott "Ír Információs Társadalom: Akcióterv" c. jelentés stratégiát körvonalazott az ICT fejlesztésekre vonatkozóan. A jelentés alapján 1997-ben a kormány egy bizottságot állított fel, amely az e-kereskedelem kihatásait vizsgálja, és oktatja a felhasználókat. Beindult egy e-kereskedelmi infrastruktúra program, amely az elektronikus üzletkötések irányítására összpontosít, és kiterjed a teljes szolgáltatási láncra a gyártóktól a végfelhasználókig. A kormány tervezi, hogy növekvő mértékben fognak közigazgatási szolgáltatásokat nyújtani az interneten keresztül. 39. oldal oldalak száma: 244

40 1999-ben a kormány pénzügyi alapot hozott létre a kormány Akciótervével összhangban lévő kezdeményezések támogatására. A program célja az, hogy egyre több számítógép legyen az iskolákban nagy sebességű internet-hozzáféréssel, a tanárok megfelelő oktatásban részesüljenek az ICT területén és biztosítsák a technológia nagyobb méretű felhasználását a tantervben Szabályozások és törvények A kormány támogatni kívánja az ICT fejlesztéseket azzal, hogy kedvező befektetési lehetőségeket és adókedvezményeket nyújt és biztosítja a kedvező jogi és szabályozási környezetet. Az e-kereskedelmi törvény, amely 2000-ben lépett érvénybe, biztosítja az elektronikus okiratok és aláírások jogi érvényességét, érvényesíthetőségét és elfogadhatóságát. Kijelenti, hogy az elektronikus és digitális igazolások egyenértékűek a papír megfelelőjükkel, és az elektronikus szerződések ugyanúgy érvényesek, mint a papíron írt szerződések. A törvény védi a rejtjelezés használóit, és megtiltja a törvény végrehajtóinak, hogy kérjék a rejtjel kulcsok átadását. A törvény keretet biztosít arra is, hogy létrejöjjön egy hitelesítési hatóság hálózat az elektronikus aláírások menedzsmentjére. Az elnök 2000-ben aláírta a Szerzői jogi és Kapcsolódó Jogok Törvényét. A törvény megkönnyíti a szoftver cégeknek a jogsérelmek bizonyítását, és szigorítja a büntetéseket. A kormány 2000-ben törvénytervezetet adott ki a lopás és csalás bűntettekre, amely rögzíti a számítógép tisztességtelen felhasználása esetén kiróható büntetéseket ban életbe lépett egy törvény a gyermekkereskedelem és gyermekpornográfia meggátolására A biztonság erősítése Írországban aránylag kevés törvénytelen behatolás történt számítógépekbe. Védelem tekintetében az ír vállalatok legalább egy-két évvel el vannak maradva az amerikai cégek mögött. A szoftver kalózkodás aránya Európán belül Írországban az egyik legnagyobb. A szoftver csomagok közel 50%-át engedély nélküli használják (az európai átlag 34%). A kalózkodás manapság főként az interneten keresztül történik. A rendőrségen belül működik egy számítógépes bűnözés elleni szervezet, amely nemzeti tájékoztató központként működik. Az szervezet számítógépes hardver eszközök és adattároló egységek vizsgálatára is specializálódott. (Itt meg kell jegyezni, hogy az ír bíróság fel van jogosítva arra, hogy kutatási parancsot adjon ki engedély nélküli számítógépes szoftverek után.) Az adatvédelem tudatosságának elősegítésére létezik egy Adatvédelmi Bizottsági Hivatal, amely szóró lapokon és az interneten keresztül próbálja a nyilvánosságot tájékoztatni az adatvédelemről. 40. oldal oldalak száma: 244

41 A nagyvállalatok internet-biztonsági csoportokat hoztak létre, amelyek segítséget nyújtanak a biztonsági rendszerek javításában. A fejezet további része az ICA szervezet IT-biztonsági felmérésének Írországra vonatkozó részét ismerteti Írország sajátosságai A Írország sajátosan három aspektust határozott meg: 1) Törvényerőre emelkedett az Elektronikus Kereskedelem Működtetése 2000 program, 2) Az e-kormányzati szolgáltatás kézbesítési modellje a Public Services Broker alapjául szolgál, amely minden e-kormányzati szolgáltatáshoz egyedi hozzáférési pontot biztosít. Ezt 2003 közepén tervezik bevezetni. A megbízható környezetben együttműködő, a lehetőségeket megfelelően támogató, az irodák közötti funkcionalitás fejlesztését szolgáló program folytatódik. A hitelesítés mélységét a felhasználók által igényelt egyéni szolgáltatások határozzák meg IT-biztonsági alapelvek A Elektronikus Kereskedelem Működtetése 2000 program szabályozott keretrendszert biztosít a vezető helyen lévő megbízható szolgáltatóknak ahhoz, hogy támogassa az elektronikus médiát mint az üzletvezetés egyik eszközét. A Public Services Broker központosított hitelesítés-szolgáltatást és egyedi azonosítókat biztosít az állampolgárok számára a PPSN (Personal Public Services Number) és a vállalkozók számára a BSN (Business Service Number), amely jelenleg fejlesztés alatt áll lesz, segítségével. A hitelesítés mértékét a fogyasztók által gyakran használt egyedi szolgáltatások határozzák meg Megbízható szolgáltatások A gyakorlati tapasztalatokat (az adóhatóság részéről a vállalkozók számára adóvisszatérítést biztosító) Revenue Online Service (ROS) szolgáltatásából nyerik. Az ír közigazgatási tervek szerint bevezetnek egy védett levelezési szolgáltatást és kötelezettséget vállaltak a címtárszolgáltatásra és a hitelesítésre alapuló széleskörű PKI közszolgáltatásra vonatkozó tanulmány elkészítésére Tapasztalatok a token-nel kapcsolatban Nincs szignifikáns tapasztalat ezen a területen. Habár a FOB technológia hasznosítható számos területen, távoli bejelentkezési célokra. A Public Service Broker-nél biztonságos 41. oldal oldalak száma: 244

42 környezetet alakítanak ki, ahol az ügyfelek - önkéntes alapon - személyes információkat továbbíthatnak. Az információ az ügyfél tulajdonában marad és az ügyfél magánkulcsával védik. A szoftver alapú token technológia különös érdeklődésre tesz szert Biometriai tapasztalatok A biometriai feladatokra irányuló kezdeményezéseket elfogadták azért, hogy politikai kérdéseket vizsgálhassanak meg e területen, és figyelemmel kísérjék a lehetséges kísérleteket Tervek A Public Service Broker megvalósítása központosított hitelesítési szolgáltatásokat biztosít. Minden e-kormányzati szolgáltatás a PSB-n keresztül üzemel, amely ebben a korai szakaszban megfelelő alapot biztosít az igények felbecslésére, és az azonosítási-hitelesítési műveleteket valósítja meg Luxemburg Luxemburg informatikai infrastruktúrája Luxemburg gazdasági életében a pénzügyi szektor és a banki üzletág domináns szerepet játszik, ami az ICT fejlettségét is maga után vonja. A fejlesztések első sorban a különböző cégek saját rendszereinek kidolgozására és a készen kapható kereskedelmi szoftverek testre szabására fókuszálnak. Az egy főre jutó telefonvonalak számát illetően Európában az első helyen áll, ennek ellenére az internet infrastruktúra korlátozott: az egy főre jutó internet-hosztok számát tekintve az OECD országok középvonalába tartozik (1999-ben ezer lakosra 40 internet-hoszt jutott). Az otthoni internet-hozzáférés jelentős mértékben növekszik. Jelentős fejlődés volt megfigyelhető a biztonságos szerverek számában, 75 biztonságos szerver jut egymillió lakosra, e téren csak négy ország, az USA, Izland, Ausztrália és Kanada előzi meg. A növekvő számú internet-használónak és a fejlett telekommunikációs infrastruktúrának köszönhetően, Luxemburg szilárd e-kereskedelmi piaccal rendelkezik Szabályozások és törvények Luxemburg gazdasága nagyban függ a nemzetközi kereskedelemtől. Nemzetközi szerepe nagyrészt a banki üzletágnak köszönhető. A luxemburgi kormány olyan politikát kíván folytatni, amely fenntartja, sőt bővíti az üzleti bázisát. A pénzügyi tevékenységeket adókedvezményekkel és azzal támogatja, hogy az állami szabályozások szintje alacsony. 42. oldal oldalak száma: 244

43 Luxemburg követi az európai telekommunikációs jogi kereteket, és figyelemmel kíséri az Európa Tanács tevékenységét az üzleti és kutatási projektjeinek megalapozásához. Különös súlyt fektet a szoftverekkel kapcsolatos szellemi termékek védelmére, csatlakozott a Universal Copyright Convention-hoz (általános szerzői jogok megállapodás) és a Patent Cooperation Treaty-hez (nemzetközi szabadalmi egyezmény) ban törvény született a pénzügyi és számítógépes bűnözés ellen A biztonság erősítése Luxemburgban A Luxemburgi Számítógépes Vészhelyzetelhárító Csoport, azaz LUX-CERT (Luxembourg Computer Emergency Response Team) Luxemburgban összefogja az internetes társadalom számára a biztonság megsértésekkel és általában, a számítógépes bűnözéssel kapcsolatos tájékoztatást, tanácsokat és eszközöket nyújt a biztonsági kérdések leküzdésére, gyűjti a bűnesetekkel kapcsolatos statisztikai adatokat, és kapcsolatot tart fenn más országok CERT-jeivel Olaszország Olaszország informatikai infrastruktúrája Olaszország informatikai fejlettsége megfelel Franciaországénak. Az ICT piac 2000-ben a GDP 5,5%-át tette ki, egy 12,8%-os növekedési ütem mellett. A nagymértékű növekedés fő oka az internet-szolgáltatások növekedése és a telekommunikációs piac liberalizációja, amely az ISP infrastruktúrák és a hálózati csatlakozások árának csökkenését okozta. Az internet-felhasználók száma 1998 és 2000 között 2,6 millióról közel 10 millióra emelkedett. Az 18 éven füli fiataloknak több mint 20%-a használja az internetet. A 10 főnél többet foglalkoztató vállalatoknak 15%-a rendelkezik saját honlappal, ezek közül 9,3% online megrendeléseket, 5,2%-a pedig online vásárlást is lehetővé tesz. A vásárlások ügyfelei az esetek 43,9%-ában egy másik cég, 17,1%-ban magánszemély, 14,6%-ban vegyes. A kormány 2000-ben egy akciótervet bocsátott ki az e-kormányzás bevezetésére vonatkozóan. Számos projekt indult az e-európa kezdeményezés keretében is. A szervezeti keretek erősítése céljából az olasz kormány az "Internet, angol, vállalkozás" jelszóval jellemzett elektronikus programja keretében egy tárca nélküli miniszteri posztot hozott létre a technológiai innováció elősegítésére mind az állami, mind pedig a magán szférában. Ezeken felül léteznek olyan projektek, amelyek a vállalatoknak kínálnak szolgáltatásokat, mint pl. web-alapú adó begyűjtési szolgáltatások stb Szabályozások és törvények 43. oldal oldalak száma: 244

44 A főbb európai irányelveket Olaszország nagy léptekkel vezette be a jogrendszerébe azért, hogy lépést tudjon tartani az európai fejlődéssel. Az erőfeszítések legfőképpen a közigazgatás modernizálására és racionalizálására irányulnak, a magán szektorok kevésbé szabályozottak. A jogi környezet a következő fő pilléreken nyugszik: a 23/12/1993 n547-es törvény meghatározza a számítógépes bűnözés fogalmát, a 31/12/1996 n675-es törvény rendelkezik a személyes adatok kezeléséről, a 28/7/1999 n318-as törvény meghatározza az adatkezelés biztonsági feltételeit, a 10/11/1997 n513-as köztársasági elnöki dekrétum kijelöli az elektronikus aláírás használatának és hitelesítésének hatáskörét, a 8/2/1999-es határozat- a minisztertanács elnökének dekrétuma (DPCM) - pedig az elektronikus aláírások használatára és eljárásaira vonatkozó műszaki szabványokat határozza meg, a 6/5/1999 n169-es törvény az adatbázisok védelméről rendelkezik, az EC 96/9 es direktívának megfelelően, a dokumentum-kezelést és a megújított e-aláírás szabályozást együtt tartalmazza a DPR 445/2000 elnöki dekrétum, január 23-i törvényerejű dekrétum (DLvo 10/2002) az 1999/93/EC irányelv implementációja (bevezeti a minősített e-aláírás fogalmát, meghatározza követelményeit stb.), egy évi köztársasági elnöki dekrétum (DPR 137/2003) megváltoztatja DPR 513/97 szabályozásának nagy részét úgy, hogy módosítja és új cikkelyekkel egészíti ki DR 445/2000-et. hamarosan új dekrétum (DPCM) kiadása várható, amely DPCM 8/2/89 helyébe léphet A biztonság erősítése 1999 októberében elfogadtak egy Guidelines defining a security plan elnevezésű dokumentumot. A dokumentum meghatározza az automatikus információs rendszer fogalmát és ennek biztonságát, az RFC 2196 (Site Security Handbook), az ITSEC és ITSEM-nek megfelelően. A dokumentum alapján létrehoztak egy kormányzati ITbiztonsági testületet, az Authority for IT in the Public Administration-t (olasz rövidítéssel: AIPA), amely egyúttal közigazgatási IT-biztonsági hatóság is. A magyarországi HÍF-hez hasonlóan, az AIPA látja el a hitelesítés-szolgáltatók felügyeletét. A testület feladata továbbá a privát szektor szereplői közötti információáramlás elősegítése, a biztonságtudat szintjének javítása és a kapcsolódó kutatások elősegítése. A közigazgatási szektor hálózati biztonságáért a Technológiai és Fejlesztési Minisztérium által 44. oldal oldalak száma: 244

45 létrehozott "Technical Center for Managing the Network of the Public Administration" szervezet a felelős márciusában a technológiai fejlesztési miniszter és a távközlési miniszter kiadott egy, a közigazgatást támogató információs rendszerek biztonságával foglalkozó direktívát is. A számítógépes bűnözés terén a statisztikákban kiemelt helyet foglal el a pedofilia: ben 1337 bűnesetről számoltak be, amely közül 495 kapcsolódott a pedofiliához. Ezen felül 316 IT jogbitorlás és szerzői jog megsértés, 193 gazdasági és politikai bűneset, 136 hacker tevékenység és 197 egyéb bűneset fordult elő. Az olasz információbiztonsági egyesület egy felmérést készített az információbiztonság helyzetéről az olasz vállalatokon belül. A felmérés megállapította, hogy az információbiztonság megsértéseinek legnagyobb része a vállalatokon belülről ered. Az ITbiztonsági szakemberek számos jogi és technikai hiányosságot fedtek fel egyebek között a személyi adatok védelmére vonatkozóan, a szerzői jogok védelmére vonatkozóan, és általában a számítógépes bűntettek meghatározását illetően. A technikai hiányosságok között említik, hogy sok esetben hiányzik a rejtjelezés és a hitelesítési-ellenőrzési folyamatok alkalmazása, illetve hogy ezek nem felelnek meg a nemzetközi szabványoknak ben a technológiai fejlesztési miniszter javaslatot tett egy olyan testület létrehozására, amelynek feladata a törvénytelen és kártékony internetes anyagok elleni stratégia kidolgozása és koordinálása. A miniszter többek között egy forródrótot is létrehozott az illegális internetes tevékenység bejelentésére. Az olasz CERT hosszú múltra tekint vissza, 1994-ben alapították a Milánói Egyetem számítástechnikai tanszékének segítségével Tapasztalatok a token-nel kapcsolatban Az olasz belügyminisztérium által kibocsátott Elektronikus Személyazonosító Kártya (CIE) olyan, intelligens kártya alapú igazolvány, amely a hagyományos vizuális igazolási funkciókon túl alkalmas arra is, hogy az állampolgár hozzáférhessen az elektronikus kormányzat szolgáltatásaihoz is, és ehhez magát megbízhatóan azonosítani is tudja. A kártya 1,4 MB-os kapacitású holografikus tárolójában a tulajdonos fényképét, ujjlenyomatát és kézi aláírásképét is elhelyezik. A kártyán tárolt többféle adat és (vagy) alkalmazás, mindegyikéhez csak az arra jogosult (pl. tulajdonos, rendőrség, orvos stb) férhet hozzá. A CIE felhasználható a minősített elektronikus aláírások készítéséhez. A projekt jelenleg még kísérleti szakaszban van (2003 végéig másfélmillió kártyát szándékoznak kibocsátani). 45. oldal oldalak száma: 244

46 Portugália Portugália informatikai infrastruktúrája A portugál kormány kezdeményezéseinek köszönhetően az ICT használata és az erre irányuló befektetések növekedtek. Az internet-használat jelentősen emelkedett. Míg ben csak összesen internetes ügyfél volt, addig 2001-ben már több mint 3 millió. A vállalati hozzáférés ügyfélről re nőtt, ugyanekkor az egyéni felhasználók száma visszaesett, ről re között az ingyenes internet dial-up hozzáférést ről re növekedett. A regisztrált internet-szolgáltatók száma 1997 és 2001 között 10-ről 47-re emelkedett, az internet-hosztok száma között ról ra. Portugáliában, az információs társadalom kialakítása érdekében, egy akciótervet dolgoztak ki, amely számos kezdeményezést tartalmaz. Ilyen például az állami oktatási és kutató intézményeket összekötő hálózat fejlesztése: az Internet az iskolákban program és a számítógép mindenkinek kezdeményezés, amelynek célja a számítógépek használatának az előmozdítása, például azzal, hogy az állampolgárok a PC-k, modemek, ISDN adapterek és internet-kapcsolatok költségeinek egy részét leírhatják adójukból. Az 1998-ban útjára indított Digitális városok program célja a városi élet fejlesztése, a szociális kirekesztés elleni küzdelem és a gazdasági szektor versenyképességének növelése az ICT használata által. A Nemzeti kezdeményezés a fogyatékos lakosokért program a fizikailag és mentálisan fogyatékos, az idős és az ágyhoz kötött polgároknak kíván segíteni úgy, hogy biztosítja az ICT előnyeit számukra. Az Információs társadalomért program az e-kereskedelemre és az e-kormányzatra vonatkozóan is tartalmaz kezdeményezéseket. A Nemzeti kezdeményezés az elektronikus kereskedelemért program célja, hogy elősegítse az e-kereskedelem terjedését, meghatározza az elektronikus dokumentumok, a digitális aláírás és az elektronikus számla jogi hátterét, figyelembe véve az elektronikus úton történő tranzakciók biztonságát, a személyi adatok, a fogyasztói jogok és a magántulajdon védelmét. A Nyílt állam akció az e-kormányzati kezdeményezéseket tartalmazza. Az akció célja az, hogy az IT használatán keresztül közigazgatási szolgáltatásokat nyújtson, biztosítsa az állami szervek és az állampolgárok közötti információ cserét, menedzselést, feldolgozást és az archiválást. 46. oldal oldalak száma: 244

47 Szabályozások és törvények Az online rendszerek biztonsága feltételeinek megteremtése érdekében lépett érvénybe a 290-D/99-es rendelet, amely a digitális aláírásokra és digitális tanúsítványokra vonatkozik (1999. augusztus). Az informatikai bűnözés elleni harcot egy átfogó jogi rendszer támogatja. Az 109/91-es Számítógépes bűnözési jogszabály a számítógépes vagy információs rendszerek, hálózatok, félvezető termékek vagy projektek elleni cselekményekre vonatkozik. A 252/94-es rendelet a számítógépes programok jogtalan másolásával foglalkozik. A 67/98-as Adatvédelmi jogszabály a 95/46/CE rendeltből az egyének védelmével foglalkozik a személyes adatok feldolgozásának tekintetében. A Telekommunikációs törvény (40/95 számú ill. 458/99 számú törvényrendelet) számos jogszabályt és rendeletet tartalmaz, amelyek az információs és telekommunikációs szolgáltatásokat szabályozzák A biztonság erősítése A legfőbb információs bűnüldözési szervezet Portugáliában a PJ (Policia Júdiciaria). Az információs bűnözéssel kapcsolatos nyomozások száma növekedett az elmúlt években között az illegális belépések száma 16-ról 74-re, a számítógéphez kapcsolódó csalás 5-ről 11-re nőtt. Ezzel szemben a szerzői jogokkal és a kapcsolódó jogokkal való visszaélés 9-ről 0-ra csökkent. A szakértők azonban egyetértenek abban, hogy az informatikai bűnesetek 70-80%-át nem, vagy nem a megfelelő hatóságnak jelentik a sértettek. A PJ-nek nemcsak nyomozási felelőssége van, hanem nemzetek közötti együttműködésben is részt vesz az Interpollal, az Europollal és más rendőrségekkel. Aktívan részt vesz olyan nemzetközi munkacsoportokban és tevékenységekben, amelyek a digitális kor törvény végrehajtásához kapcsolódnak, valamint megpróbálja felhívni a figyelmet a számítógépes bűnözés kérdéseire. Portugáliában más nyilvános testületek is vannak, amelyek konkrét, a biztonság körébe tartozó kérdésekkel foglalkoznak, mint például CNDP (Nemzeti adatvédelmi tanács) a bizalmasság adatvédelmi kérdéseivel, továbbá az IGAE és az IGAC a magántulajdon kérdéseivel. A CNDP kezeli a személyes adatokat tartalmazó adatbázisokat, és ellenőrzi, hogy ezek az adatbázisok az Adatvédelmi törvénnyel összhangban vannak-e. Ezen felül számos kutató testület foglalkozik a megbízhatóság kérdéseivel, főleg az egyetemek tanszékein. 47. oldal oldalak száma: 244

48 Az oktatási intézményeket és kutatóintézeteket összekötő hálózaton (RCTS) keresztül - nem hivatalosan - működik egy CERT, és készültek tervek egy nemzeti hatáskörű CERT létrehozására is Spanyolország Spanyolország informatikai infrastruktúrája Spanyolország egyre növekvő mértékben kihasználja a új információs és kommunikációs technológiák által nyújtott lehetőségeket között az információ és kommunikációs technológiákra történt ráfordítások 60,2%-kal nőttek, ebből 72%-ban részesültek a kommunikációs technológiák és 28%-ban az információs technológiák. Az információs technológiák hozzájárulása a GDP-hez 1997 és 2000 között 1,41%-ról 2,25%- ra növekedett. A száz háztartásra jutó PC-k száma 1997 és 2000 között 8%-ról 26,9%-ra emelkedett. A vállalatok esetében a 100 főre jutó PC-k száma 48%-ról 70,2%-ra nőtt között. Az internet-szolgáltatók száma 2000-ben 2006 volt, az internetfelhasználók száma 1998 és 2000 között 1,89 millióról 9,48 millióra nőtt. Az internet erőteljes terjedése kihatott az e-kereskedelemre is. Jelenleg az e-kereskedelem nagyobb részben a vállalatok-fogyasztók közötti üzletkötés, és csak kisebb részben a vállalatok-vállalatok közötti. Jelenleg jelentős fejlesztések történnek a modern nagysebességű és megbízható fizikai összeköttetések vonatkozásában. Az e-kereskedelem támogatására a kormány egy regionális telekommunikációs akcióprogramot dolgozott ki, amelynek keretében kísérleti projektekhez, felmérésekhez és e-kereskedelmi alkalmazások bevezetéséhez nyújtanak támogatásokat Szabályozások és törvények A spanyol kormány kidolgozott egy akciótervet, amelynek célja a Spanyol Információs Társadalom kiépítése, és amely számos strukturált programot, feladatot tartalmaz. Feladata a közigazgatási kezdeményezések koordinálása, figyelembe véve az e-európa 2002 irányelveket. A célkitűzések kiterjednek a telekommunikációs szektor liberalizálására és az elektronikus kereskedelem fejlesztésére. Célul tűzik ki a nagyközönség számára nyújtott szolgáltatások bővítését és a közigazgatásban alkalmazott információs technológiák funkcionalitásának javítását. Külön hangsúlyt helyeznek az oktatásra és képzésre. Küszöbön áll az elektronikus kereskedelemre és elektronikus aláírásokra vonatkozó új törvények bevezetése, amelyek célja az online tranzakciók megbízhatóságának fokozása. 48. oldal oldalak száma: 244

49 A biztonság erősítése A Közigazgatási Minisztériumon belül működik egy bizottság, amelynek feladata a kormány számítógépes rendszerekre vonatkozó politikájának kidolgozása, fejlesztése és érvényre juttatása. Egyebek között foglalkozik az információs rendszerek és a személyi adatok feldolgozása biztonságával, a biztonsággal kapcsolatos intézkedések egységesítésével a különböző kormányzati részlegek körében, közös információbiztonsági politikák és eljárások meghatározásával. Feladata az információs rendszerekre vonatkozó nemzetközi és európai szabályozások adaptációja is. A számítógépes bűnözéssel a Nemzeti Rendőrség és a Polgári Védelem is foglalkozik. A Belügyminisztériumon belül működik egy 24-órás figyelő szolgálat, amelynek feladata a bűnesetekre való gyors és hatékony reagálás. Tevékenysége a számítógépes bűnözésre, a gyermek-pornográfiára és a telekommunikációs csalásokra terjed ki. A fentieken túl, működik egy Adatvédelmi Hivatal, ami a közigazgatástól függetlenül működő állami testület, amelynek feladata az adatvédelmi törvény betartásának figyelése, ezen felül pedig, tájékoztatást nyújt az internet-használóknak az adatok magán-jellegével kapcsolatos jogaikról és kötelességeikről. Számos kormánytervezet foglalkozik a megbízhatóságot fokozó technológiák és szolgáltatások alkalmazásának a támogatásával, beleértve az elektronikus aláírások használatát. Ezek között kell említeni a Nemzeti Pénz- és Bélyeg Nyomda által kezdeményezett CERES projektet (CERtification Espanola), amely egy nyilvános hitelesítő hatóság létesítését is magában foglalja az állampolgárok, vállalatok, intézmények és a közigazgatás számára. Léteznek egyéb kezdeményezések is az elektronikus aláírások használatára és a kapcsolódó hitelesítés-szolgáltatók létrehozására. Meg kell azonban említeni, hogy az elektronikus aláírásokkal kapcsolatos szolgáltatások holtpontra jutottak. Ennek oka, hogy az 1999-ben kiadott, elektronikus aláírásokra vonatkozó dekrétum nem tisztázza kellőképpen a különböző típusú - elektronikus és továbbfejlesztett elektronikus - aláírások jogi értékét. Ugyanez vonatkozik a hitelesítő hatóságok felhatalmazási rendszerére. Számos vállalati kezdeményezés is létezik, amelyek a megbízhatóság kérdésköréhez kapcsolódnak. Ezeken felül, a Spanyol Tudományos Kutató Tanács és néhány egyetem kutatásokat végez a megbízhatóság témakörében. Vizsgálataik kiterjednek a behatolás észlelésre, a nyilvános kulcsú rendszerekre, kriptográfiára, digitális aláírásokra, digitális vízjelekre és a hozzáférés ellenőrzésre, de foglalkoznak egyebek között az adatvédelemmel, elektronikus kereskedelemmel, az IP hálózatok biztonságával és biztonságos csatornákkal is. 49. oldal oldalak száma: 244

50 3.2 Az Európai Unióhoz 2004-ben csatlakozó országok Ciprus Ciprus informatikai infrastruktúrája Ciprus gazdasági életére jellemző a nagyfokú függősége a turizmustól: a banki tevékenység és kereskedelem dominál, ezen felül Ciprus egy telekommunikációs csomópont is. Ciprus követni kívánja az európai modellt az információs és kommunikációs szektor liberalizálása terén. Az internet-használat erőteljesen növekszik, ami a PC-k és hardverek piacának és a jó szolgáltatásoknak köszönhető ben a háztartások 28%-a használt PC-t, és 15% internet-hozzáféréssel is rendelkezett ben minden iskolában volt internet. Jelentős a növekedés a mobiltelefonok használatában is. A telekommunikációs piac Ciprusban csak részben liberalizált, minden vezetékes és mobiltelefon-kapcsolat a CYTA nevű, részben állami szervezet monopóliuma. Az adatátviteli és internet-szolgáltatások azonban liberalizáltak. Digitális kábelek és műholdas adók Cipruson nincsenek, e téren fejlesztések szükségesek Szabályozások és törvények Ciprus csatlakozni kíván az Európai Közösséghez, ennek érdekében a kormány számos törvényhozási intézkedést tervez az EU direktívákkal összhangban. Tervezi egyebek között a telekommunikációs piac liberalizálását, ami meg fogja szüntetni a CYTA monopol helyzetét. Ciprus aláírta a Universal Copyright Convetion-t (Általános szerzői jogi megállapodás). Ciprus aláírta a berni Convention for the Protection of Literary and Artistic Works-t (az irodalmi és művészeti alkotások védelmére vonatkozó megállapodást). Jelenleg a kormány erőteljesen foglalkozik az elektronikus kommunikációval és az ehhez kapcsolódó biztonsági és bűnözési kérdésekkel. Új törvényeket terveznek a személyiségi jogok és a személyi adatok védelmére. Az információ technológiai biztonság és a számítógépes bűnözés meggátolása érdekében további törvényhozói tevékenységre van szükség. A jelenleg érvényes törvények hatókörét, pl. az emberekkel történő üzérkedés és a gyermekek szexuális kizsákmányolásáról szóló, 2000-ben meghozott törvény hatókörét ki kell terjeszteni az internetes pornográfiára. 50. oldal oldalak száma: 244

51 A biztonság erősítése A ciprusi kormány néhány éve folyamatosan dolgozik az "Információs rendszer stratégia" elnevezésű programján, amely a minisztériumok, minisztériumi részlegek és a független kormányirodák számítógépesített rendszereit veszi célba. A stratégia három területre határozza meg a politikákat: menedzsment politikák, politikai rendszerek és stratégiai információs rendszerek politikája Csehország Csehország informatikai infrastruktúrája Csehországban az informatikai infrastruktúra erőteljesen fejlődik. Az informatikai ráfordítások GDP-hez viszonyított mértéke összehasonlítható a legtöbb nyugat európai országéval, a közép európai országokat tekintve pedig az élen jár. Az információtechnológiai piac vonatkozásában 2000-ben - néhány éves stagnálás után - Csehország mondhatta a magáénak a harmadik legerőteljesebb piacot a közép európai régióban, Lengyelország és Oroszország után. Az internet-használat ugyancsak növekszik. A PC-k száma a lakosok számához viszonyítva 1997 és 2000 között 7,1%-ról 13,1%-ra, az internet-használat 12,3%-ra emelkedett. Az internet elterjedését a háztartások telekommunikációs ellátottságának növekedése támasztotta alá ban az internet-felhasználók 11%-a jelentkezett be az otthonából, ez a százalék 1999-ben 15%-ra, 2000-ben 24%-ra emelkedett. Az internet-hozzáférés azonban még mindig drága. Egy 40 órás internet-hozzáférés ára csúcsidőben 189,57, csúcsidőn kívül 84,51. Az európai átlag csúcsidőben 65,51, csúcsidőn kívül pedig 44,14. Az internet az üzleti életben igen elterjedt: 2000-ben a nagy vállalatok 99%-a, a közép méretű vállalatok 96%-a használt internetet. Az iskolák internet-ellátottságát kormányrendeletben szabályozták: ennek értelmében minden iskolába be kívánják vezetni az internetet. Az e-kereskedelem is fejlődik ben 1050 online kereskedés működött Csehországban 9 online bankot is beleértve, és 205 ezren vásároltak online módon. Egy 2000-ben készült felmérés szerint azonban a csehországi internet-felhasználók 29%-a nyilatkozott úgy, hogy az adatátvitelek közbeni információs rendszerekkel kapcsolatos csalások gátolják az online kereskedelmet. A biztonságos szerverek alacsony száma a jövőben nem felel meg: ben 100 ezer lakosra csak 2 biztonságos szerver jutott. 51. oldal oldalak száma: 244

52 A kormány az e-kereskedelem fejlesztése és alátámasztása érdekében 1999-től kezdődően folyamatosan lépéseket tett (zöld könyv az elektronikus kereskedelemről, feljogosítási infrastruktúra stb.) Szabályozások és törvények Az informatikai fejlődés fontosságának hangsúlyozására 1998-ban létrehozták az Állami Informatika Politikai Kormánytanácsot (Governmental Council for State Information Policy) májusában a kormány jóváhagyta az Állami informatikai politika út az információs társadalom felé című dokumentumot, amely egy sor intézkedési tervet tartalmaz. A dokumentum az informatikai infrastruktúra fejlesztésének általános feladatai mellett jelentős figyelmet fordít az informatikai biztonság kérdéskörére is júniusában elfogadták a személyes adatok védelméről szóló törvényt (101/2000) és a fogyasztók védelméről szóló törvényt is.(64/2000). Ugyanennek az évnek a terméke az Elektronikus aláírás törvény (227/2000) és az Információs rendszerek kezeléséről szóló törvény (365/2000) is. Mindezek a törvények összhangban vannak a vonatkozó EUajánlásokkal A biztonság erősítése A számítógépes bűnözésnek, beleértve az információ technológiai és internetes bűnözést is, kiemelten súlyos területe az adatok bizalmasságának kérdése és a pornográfia. A gyakorlati informatikai biztonság erősítésének témakörében a cseh belügyminisztérium ellenjegyezte az Információtechnológiával kapcsolatos bűnözés elleni harc stratégiája című anyagot. A PricewaterhouseCoopers által 2001-ben elvégzett országos informatika felmérés szerint a cseh cégek több mint 40 százaléka szenvedett el IT-biztonsággal kapcsolatos sérülést (hardver hiba, vírusok, felhasználói hibák, szoftverhiba stb.) a megelőző két évben. A külső támadások száma is megháromszorozódott. Az informatikafejlesztési stratégia részeként a kormányzat konkrét lépéseket is tett a biztonság javítására. A munkában a Belügyminisztérium és az Oktatási Minisztérium vállalt jelentős szerepet. Célul tűzték ki a közigazgatási rendszerek biztonságossá tételét. A folyamatot segíti a nagy IT Security tanácsadó cégek megjelenése a cseh piacon, és a törvényalkotás újabb, biztonsággal kapcsolatos törvénycsomagjai (Minősített információk védelméről szóló törvény, Adatvédelmi törvény). Jelentős szerepet tölt be az informatika, megbízhatóság, információbiztonság területén a Cseh Tudományos Akadémia Műszaki Központja, amely - egyebek között - bekapcsolódik a nemzetközi, számítógépes biztonsággal kapcsolatos tevékenységekbe is (pl. IST konferenciák). Az egyetemekkel együtt csatlakozott a CESNET szervezethez, amelynek célja egy biztonságos, a nemzeti és nemzetközi tagokat is összekötő gerinchálózat kialakítása. A megbízhatóság és az informatikai biztonság terén egyetemek és 52. oldal oldalak száma: 244

53 kormányhivatalok, pl. a Belügyminisztérium és az Oktatásügyi Minisztérium végeznek kutatómunkát Észtország Észtország informatikai infrastruktúrája Észtország az IT infrastruktúra és a telekommunikáció terén rendkívül kedvező, a nyugateurópai országokéval is összevethető mennyiségi mutatókat tudhat magáénak. A Közép- és Kelet európai országok közül itt jut a legtöbb mobiltelefon egy főre, és itt a legnagyobb az internet elterjedése ben a lakosság 33%-a használt személyi számítógépet, és 18%- ának volt otthon PC-je ben a lakosság 28%-a használta az internetet: észt használta az online bankrendszereket ben ezer főre 35,72 internet hoszt jutott. Ez magasabb arány, mint Németországban (29,5), de alacsonyabb az Egyesült Királyságénál (38) re a kormány ügynökségek számítógépeinek a 90,6%-a kapcsolódott az internethez. A vállalatok 29%-a rendelkezett saját honlappal, és 28%-a tervezte ennek elkészítését, vagy a befejező fázisnál tartott. A kedvező IT és kommunikációs infrastruktúra ellenére az elektronikus kereskedelem fejlődését gátolja a hitelkártyák alacsony elterjedtsége Szabályozások és törvények A törvényi környezet is megfelelő. Az adatvédelmet két törvény szabályozza. Az egyik a Személyes adatok védelméről szóló törvény, 1996-ban lépett életbe. A személyes adatokat két részre osztja, úgymint érzékeny és nem érzékeny adatok. A másik az Adatbázis törvény, amely 1997-ben lépett életbe és a közigazgatásban kezelt adatok birtoklását, kezelését, törlését szabályozza. Egy független felügyelő hivatal (az Adatvédelmi felügyelőség) 1999 februárjában kezdte meg működését. Munkáját a parlament törvényhozó bizottsága irányítja. Legfőbb feladata a személyes adatok feldolgozásának és az adatbázisok tárolása jogszerűségének felügyelete és az adatvédelmi tevékenységek irányítása től érvényes a Nyilvános információk törvénye, amely garantálja az állampolgároknak az információhoz való alkotmányos jogát. Szabályozza, hogy a közigazgatási apparátus információi közül melyek azok, amelyeket nyilvánosan közzé kell tenni és azt is, hogy milyen eszközökkel. Célul tűzte ki a nyilvános adatok interneten keresztül történő elérhetőségét is márciusában fogadták el a Digitális aláírási törvényt. A törvény kimondja, hogy június 1-jétől lehetővé kell tenni a digitális aláírás használatát a nyilvános szektor szervezeteiben. Ugyanekkor egy pilot projektet is indítottak EDI-dokumentumok digitális aláírhatóságának megoldására intelligens kártya-alapú kulcshordozóval. 53. oldal oldalak száma: 244

54 Az országban dolgoznak a személyi igazolvány intelligens kártyával történő kiváltásán. A kártyának ellenállónak kell lennie a fizikai és informatikai jellegű támadásoknak is, beleértve a kártya duplikálásának megelőzését is. A kártyát az ORGA szállítja, kripto koprocesszort is tartalmaz. A büntető törvénykönyv 1997 évi módosításakor büntetendő cselekményként iktatták be a számítógépes bűnözés különböző eseteit. A következő rendelkezéseket vezették be: a számítógépekhez kapcsolódó csalás ( 268), a számítógépen tárolt adatok vagy programok megsemmisítése ( 269), a számítógéphez kapcsolódó szabotázs ( 270), számítógépek, IT-rendszerek vagy hálózatok illegális használata ( 271), az IT-hálózatokhoz való kapcsolódás szándékos akadályozása vagy befolyásolása ( 272), számítógép-vírusok szándékos terjesztése ( 273), a védelmi kódok átadása jogosulatlan feleknek ( 274), helytelen adatok közlése hatósági adatbázisok felé ( 275) é adatok illegális továbbítása állami vagy helyi hatóságok adatbázisaiból ( 276) A biztonság erősítése Az Állami Információs Rendszerek Minisztériuma (RISO) felelős az állam IT-politikai tevékenységének koordinálásáért és az állami közigazgatási információs rendszerek kifejlesztési terveiért. Ide tartozik az IT büdzsé, az IT törvényhozás, az IT projektek koordinálása, az IT auditok, a szabványosítás, IT beszerzési eljárások és a nemzetközi kooperáció az ország informatikai rendszereinek területén. A fejezet további része az ICA szervezet IT-biztonsági felmérésének Észtországra vonatkozó részét ismerteti Észt sajátosságok 1998 májusában az észtországi IT fejlődésnek indult az Észt parlament által jóváhagyott Észt Információs Politika Alapelveire épülve, amely alapjául szolgál az információs társadalom növekedését, fejlődését támogató országos politikai döntéseknek. Az akciótervet elfogadták. 54. oldal oldalak száma: 244

55 IT-biztonsági alapelvek Az észt információs politika keretrendszerének előkészítése a következő négy területre koncentrálódott: a jogrendszer modernizálása, a magánszektor fejlesztésének elősegítése, az állam és az állampolgárok közötti kommunikáció fejlesztése és az információs társadalommal kapcsolatos problémák elismerése. Minden évben továbbfejlesztik az információs politikai keretrendszert és a kormány határozza meg az információs politika lépéseinek fontossági sorrendjét. Az elkövetkező évre vonatkozóan (a május 14-ei kormánydöntésnek megfelelően) ez következőket tartalmazza: a szolgáltatások fejlesztése az állampolgárok, az üzleti szektor és a közigazgatás számára, különösen az azonosító kártya alkalmazások kidolgozása, az e-európa Akciótervben meghatározott e-kormányzati szolgáltatások listája alapján, a szakértelem növelése és az elektronikus szolgáltatások használatához egyenlőtlen eséllyel hozzáférő társadalmi csoportok helyzetének javítása, rendszerek kidolgozása és bevezetése a digitális dokumentumkezelési és archiválási folyamatokban, rendszerfejlesztés és az állami nyilvántartás infrastruktúrájának fejlesztése, beleértve azokat a rendszerfejlesztéseket, amelyek adatbázisok karbantartását biztosítják és az információs rendszerek adatcsere-rétegének bevezetését végzik, az iskolák számítógéppel való ellátottságának javítása úgy, hogy minden 20 diákra juthasson egy számítógép és a Tiger University program bevezetése az információ- és az infokommunikációtechnológiai (ICT) infrastruktúra, valamint a tudományos ICT munkatársak és a posztgraduális képzés fejlesztése Megbízható szolgáltatások Az észt ID-program célja, hogy az elektronikus azonosítást országszerte használják és kifejlesszenek egy kötelező személyi azonosító kártyát, amely egy általánosan elfogadott azonosító dokumentum lehetne és mind elektronikusan, mind vizuálisan hozzáférhető információt tartalmazna. A törvényes tevékenységek kidolgozása és megvalósítása hatékony együttműködés a magánszektor (speciálisan a bankok, Telecom és az IT szolgáltatók) és a közszféra között. 55. oldal oldalak száma: 244

56 Biometriai tapasztalatok Észtországban a biometriát leginkább a számítógépek védelméhez alkalmazzák. A legáltalánosabb rendszer a személyek ujjlenyomata alapján történő azonosítás. Észtországban a számítógépes rendszerekbe történő bejelentkezéskor használatos leginkább az ujjlenyomatos azonosítás. Az Észtországban használatos DigitalPersona rendszer bizonyítja az azonosságot, de az ujjlenyomat képét nem tárolja le. A rendszer az ujjlenyomat bizonyos részleteit használja fel egy matematikai kód elkészítéséhez, amely biztonságos azonosítási jellemzőket tartalmaz. Nem lehet e kód alapján létrehozni az ujjlenyomatot és más védelmi rendszer nem tudja felhasználni ezeket az információkat. Számos átjáró használja ezt a rendszert, bár még nincs igazán elterjedve a használata Észtországban. Az ujjlenyomatos azonosítás az észt rendőrségnél és az Állampolgársági és kivándorlási Hivatalnál került használatba. Az észt biztonsági cégek megoldották az arcfelismerésre alapuló hitelesítést az alkalmazásokban Lengyelország Lengyelország informatikai infrastruktúrája Lengyelország - az informatikai infrastruktúrát tekintve - némileg elmaradt a közép- és nyugat-európai államokhoz viszonyítva, bár jelentős fejlődés figyelhető meg e téren. A számítógépes szolgáltatás 2000-ben 30%-kal növekedett, és hasonló érték várható a rákövetkező 3 évben is. A háztartások számítógépekkel való felszereltsége alacsony. A év végére a lengyel háztartások 7%-ban volt számítógép, 5%-ában pedig internet-hozzáférés is (ez kb. 2 millió felhasználót jelent) végére várhatóan ez a szám 4 millióra fog növekedni ben Lengyelországban 350 internet-szolgáltató működött és internet-hoszt volt. A telekommunikációs infrastruktúra 2000 tavasza és vége között 12%-ról (4,5 millió felhasználó) 18%-ra (7 millió felhasználó) nőtt végére várhatóan eléri a 41%-ot. Jelenleg 565 cég rendelkezik telekommunikációs vagy internet engedéllyel, amelyet a Posta és Telekommunikációs Minisztérium engedélyezett. Az internet használata az üzleti életben egyre jelentősebb. A cégek 80%-a rendszeresen használja az internetet, 57% saját web-lappal rendelkezik, és 320 cég folytat kereskedelmet az interneten keresztül. Egyre növekszik azoknak a cégeknek a száma, amelyek IT és telekommunikációs szolgáltatásokat kínálnak. 56. oldal oldalak száma: 244

57 Szabályozások és törvények 2000-ben az Állami Tudományos Kutató Bizottság és a Posta- és Telekommunikációs Minisztérium "Az információs társadalom céljai és irányelvei Lengyelországban" címmel egy dokumentumot dolgozott ki, amelyet a kormány elfogadott. Erre épül "Az információs társadalom fejlesztési stratégiái 2002 és 2006 között" című tervezet, amely egy akciótervet, a pénzügyi kihatások felmérését és egyéb vizsgálatokat is tartalmaz. A kormány célul tűzte ki megfelelő gazdasági, jogi és közigazgatási mechanizmusok létrehozását. A célok között szerepel a kereskedelmi kapcsolatokra vonatkozó törvények felülvizsgálata abból a célból, hogy lépést tartsanak az elektronikus kereskedelemre és telekommunikációs szolgáltatásokra vonatkozó meglévő európai szabályozásokkal. Az ICT fontosságát számos, a fejlesztésére irányuló projekt is bizonyítja. A közeljövőben létre kívánnak hozni egy Információs társadalmi projekt irodát. Jelenleg a gazdasági fejlődés egyik legfőbb akadálya a telefonhálózat elégtelensége, ezért a fizikai infrastruktúra megteremtése kiemelt helyet kapott fejlesztésekben. A telekommunikációs piac liberalizálására 2000-ben egy telekommunikációs törvényt adtak ki. A törvény számos, a telekommunikációs és információs hálózatok védelmére, ill. a visszaélések megakadályozására szolgáló rendelkezést is tartalmaz, emellett általános adatvédelmi és adat tárolási kérdésekre is kitér. A lengyel kormány súlyt fektet az e-kormányzat fejlesztésére is. Az idevonatkozó stratégiai tervek kidolgozás alatt állnak, a tervekben figyelembe kívánják venni az Európai Unió által lefektetett követelményeket többek között a rendszer-kompatibilitásra, telekommunikációs szabványokra és adatbiztonságra vonatkozóan. A Digitális aláírási törvény előzetes tervezetét már publikálták, amely az e-kereskedelem megalapozásában igen fontos A biztonság erősítése A kormány számítástechnikai biztonságáért felelős hivatal a Biuro Bezpieczenstwa Lacznosci i Informatyki Urzedu Ochrony Panstwa. A Lengyel Szabványosítási Bizottság egyik albizottsága foglalkozik a nemzetközi, ISO információbiztonsági szabvány elfogadásának lehetőségeivel. A lengyel jog számos területét várhatóan felül fogják vizsgálni az ICT-vel kapcsolatos új veszélyek miatt, törekedve arra, hogy az új törvényhozási eszközök harmonizáljanak a jelenlegi törvényekkel. Lengyelország minimális mértékű, technológiailag semleges törvényhozásra törekszik. A számítógépes bűnözés visszaszorítására rövid időn belül törvényeket kívánnak hozni az elektronikusan tárolt információk módosítása és (vagy) megsemmisítése ellen. Ezek a jogszabályok az Európai Unió rendelkezéseivel összhangban lesznek. 57. oldal oldalak száma: 244

58 A titkosítás területén Lengyelország mérlegelni kívánja a személyiségi jogok elismerése mellett az állami érdekeket is. Az erre vonatkozó szabályozásokat ez EU-val együttműködve, az OECD kriptográfiai irányelvek szem előtt tartásával kívánja meghozni. Lengyelország létre kíván hozni 24 órás figyelő szolgálatokat, amelyek az ICT hálózatok elleni támadások felismerésével foglalkoznak (kríziskezelő centrumok). Kinevezett olyan bírósági szakértőket, akik a számítógépre való betörési esetekre specializálódnak. Ezen kívül megpróbálja összhangba hozni a jogi szabályozást és a nemzetközi kooperációt, biztosítva, hogy az országhatárokon túlnyúló bűnügyekkel is hatékonyan tudjon foglalkozni. Az egyik ISP részeként egy CERT is működik Szlovénia Szlovénia informatikai infrastruktúrája Szlovéniában a kormány nagy hangsúlyt fektet az informatikai infrastruktúra fejlesztésére ben minden háztartásban volt legalább egy számítógép, 20%-a pedig internethozzáféréssel is rendelkezett, és ez a szám várhatóan jelentősen emelkedni fog. A legfőbb internet-szolgáltató a SIOL (A Slovenia Telekomról levált cég), amely a kapcsolatok 50%-át biztosította. A piac többi része 39 nemzeti és nemzetközi szolgáltató között oszlott meg óta gyakorlatikag az összes iskolában használják az internetet, és a számítógépek 75%-a csatlakozik a hálóhoz, bár a tanulóknak csak 30%-a használja az internetet a tanulmányaihoz. Ami az e-kereskedelmet illeti, az elektronikus banki tranzakciók széles körben elterjedtek, az online eladások azonban csak néhány cégre korlátozódnak. A kormány úgy gondolja, hogy csak az alacsonyabb kapcsolódási díjak, a nagyobb verseny és a több szolgáltatás tudja tovább bővíteni az internet felhasználását. A kormány messzemenően támogatja az ICT és az e-kereskedelem nyújtotta lehetőségeket. Ennek jele, hogy külön minisztériumot hoztak létre Információs Társadalmi Minisztérium (MID) néven. A MID jelenleg egy állami programot készít elő, amelynek célja az e- Szlovénia elérése. A minisztérium egységes keretet kíván biztosítani a különféle e- kezdeményezéseknek és e-politikáknak, mind az állami, mind a magán szektorban. Feladata emellett egy stratégia kidolgozása e-közigazgatási eljárások és e-szolgáltatások bevezetésére az állampolgárok részére. A kormányon belül létezik egy "Közigazgatási Informatikai Bizottság" is, az e-közigazgatási és e-kereskedelmi tevékenységek 58. oldal oldalak száma: 244

59 ellenőrzésére és értékelésére. A kormány számos projektet támogat az e-közigazgatás és e- kereskedelem területén Szabályozások és törvények Az ICT üzletágat szabályozó legfőbb törvény a Telekommunikációs Törvény (No /94-3/26: Ztel-1), amelyet 2001 áprilisában fogadtak el. A törvény jó néhány korábbi rendelkezést felváltott és több mint 100 EU törvényt és ajánlást is magában foglal. A törvény - egyebek között - egy szabályozó hivatal (Szlovén Telekommunikációs és Távközlési Hivatal) működését is előírja, amelynek feladata egyebek között a telekommunikációs piac figyelése, engedélyek kiadása. A Hivatal mellett működik egy tanácsadó testület is. A törvény foglalkozik az információs rendszerek biztonságával is. Az immateriális értékpapírokra vonatkozó törvény (23/3/1999) az elektronikus értékpapírok kibocsátását és átvitelét szabályozza és gondoskodik az adatvédelemről is A személyes adatok védelmére vonatkozó törvény (8/7/1999) azokat a követelményeket részletezi, amelyeket követni kell a személyes adatok feldolgozása, tárolása során az adatok védelme érdekében. A törvényben hangsúlyt helyeznek a személyes adatok bizalmasságának megőrzésére is, rejtjelezések és a megfelelő elektronikus aláírások alkalmazásával. A szlovén törvényhozók a vonatkozó EU-s adatvédelmi törvényeket (97/66/EC) a nemzeti törvénybe belefoglalták. Az Elektronikus kereskedelem és elektronikus aláírás törvény (ZEPEP vagy ECAS) (57/2000) és az UEPEP dekrétum (77/2000, 2/2001) az elektronikus kereskedelmet és az elektronikus aláírások használatát szabályozza, és előírásokat tartalmaz a hitelesítő hatóságok működésére vonatkozóan. A törvény követelményeket állít fel a fizikai és elektronikus védelemre és biztonság ellenőrzésre, az információs rendszerek védelmére és kezelésére, ezen felül előírja egy állami hitelesítő hatóság működését digitális tanúsítványok hivatalos, nyilvános szolgáltatására. A büntető törvénykönyvbe különböző típusú informatikai-bűncselekményeket is belefoglaltak: adatbankba történő behatolás során adatok lopása vagy azokkal való visszaélés, számítógép-rendszerbe való behatolás, számítógépbe való betöréshez szükséges eszközök készítése A biztonság erősítése Szlovéniában Az informatikai bűnözés terén a legelterjedtebb bűntettek az interneten elkövetett behatolások, hitelkártya-visszaélések, szerzői jogvédelem alá eső anyagok jogosulatlan terjesztése, gyermek pornográfia és egyéb csalások és visszaélések. Az informatikaibűnözés visszaszorítására egy speciális rendőrségi egységet hoztak létre. Ezen kívül a Szlovén Számítógépes Vészhelyzetelhárító Csoport, azaz (Sl-CERT) információt és figyelmeztetéseket szolgáltat a szlovén számítógépes hálózatot veszélyeztető esetekben. A 59. oldal oldalak száma: 244

60 Sl-CERT és néhány internet-szolgáltató a megelőzés érdekében felvilágosító tevékenységet is végez. Tervezik egy külön informatikai-bűnözési központ felállítását. Az informatikai biztonság területén megfelelő védelmi politikát kívánnak kialakítani, amely figyelembe veszi a már létező tapasztalatokat és megoldásokat, különös tekintettel az EU országokéra. Megfelelő felügyeleti és irányítási mechanizmusokat is létre kívánnak hozni. Meg kell még jegyezni, hogy bár Szlovénia a személyes adatok védelmére elfogadta azokat a törvényeket, amelyek az EU irányelvekkel összhangban vannak (95/46/EC), de ezeket nem mindig tartják szem előtt az informatikai rendszerek kialakításánál. A kormány úgy gondolja, hogy a jövőben ezeket a szabályokat szigorúan be fogják tartatni februári adatok szerint Szlovénia a Cybercrime Convention aláírásának folyamatában volt. 3.3 EU-n kívüli országok Japán Japán sajátosságai Japánban az üzleti tranzakciók szerződéseit kötelező ellátni pecsétlenyomattal, mint ahogyan az a polgári eljárásokban is előírás. A törvény a következőképpen határozza meg az elektronikus dokumentumokon elhelyezendő digitális aláírásokat: Egy elektronikus dokumentumnak - akárcsak a hagyományos értelemben vett dokumentumoknak hitelesítettnek kell lennie, vagyis a szóban forgó személy digitális aláírása kell hogy rajta legyen IT-biztonsági alapelvek Az internet használatának támogatása nagy erőfeszítéseket igényel a magánjogok védelme és ezzel egyidőben az információs telekommunikáció biztonságának és megbízhatóságának megőrzése a tranzakciók függetlensége és az információs tevékenység biztosítása mellett. Ennek elérése egy mód az Advanced Information and Telecommunications Network Society alaptörvényében meghatározott személyes adatok szükségességének figyelembevétele. Erre a törvényre alapul az e-japan Priority Plan, amely meghatározza a személyes adatok védelmére vonatkozó törvény szükségességét. Ennek következő lépéseként a személyes adatok védelmére vonatkozó törvénytervezetet benyújtották és az országgyűlés előtt van elbírálás alatt. 60. oldal oldalak száma: 244

61 Megbízható szolgáltatások A millenniumi projektre alapul a Kormányzati Nyilvános Kulcsú Infrastruktúra (GPKI), amely a Bridge Certification Authority-ből (BCA) és minisztériumi/ügynökségi tanúsítványszolgáltatókból épül fel. A BCA teljesíti a három vezető minisztériumi HSz, a kereskedelmi regisztrációs HSz és egy magán HSz közötti kereszt-tanúsítványok biztosítását Tapasztalatok a token-nel kapcsolatban A BCA-nál és a minisztériumi, illetve ügynökségi HSz-eknél intelligens kártya használatos a HSz rendszerek hozzáférhetőségéhez és a biztonsági szobákba való belépéshez. A intelligens kártya könnyen használható és magasabb biztonsági szintet biztosít, mint a jelszavas hitelesítés. Az intelligens kártyában lévő CPU biztosítja a kártyában tárolt felhasználói PIN védelmét. Az intelligens kártya használata várhatóan széles körben elterjed, nem csak a HSz rendszerekhez és a védett helyiségekhez való hozzáférést biztosítja. A közeljövőben tervezik a digitális aláírások használatát a hivatali és a nem hivatalos online eljárások végrehajtása során Biometriai tapasztalatok A BCA és a minisztériumi, illetve ügynökségi HSz-ek a hozzáférésvédelem kezelésére a biometriai hitelesítést intelligens kártya használatával is kiegészítik. A biometriai alapú intelligens kártyák használata az egyik módszer a hitelesítés biztosításához, de nem ez a fő irányvonal, mivel a személyes információk, speciálisan a testi jellemzőkre vonatkozó adatok nem kezelhetőek könnyen Japánban Tervek Az e-japan Priority Plan szerint 2002-ben minden minisztérium kifejleszti és elkezdi a saját HSz-ének üzemeltetését azért, hogy teljes elérhetőséghez jusson az online alkalmazások terén, és 2003-ban minél előbb hozzáférjen a hivatalos és a nem hivatalos bejelentési eljárásokhoz. A BCA megteszi a szükséges lépéseket a minisztériumi és ügynökségi HSz-ek a kereszt-tanúsítványainak kezelésére. Ami a kormányzat által kibocsátott intelligens kártyákat illeti, a kormányzati intelligens kártyák széleskörű hozzáférhetőségének alapötlete meghatározza az alapvető specifikációkat, bemutatva a digitális aláírás funkció, a többfelhasználós alkalmazások sokrétű használatának követelményeit stb. 61. oldal oldalak száma: 244

62 3.3.2 Kanada Kanada sajátosságai A kanadai kormányzat PKI-je 10 tanúsítvány-szolgáltató hatóságra növekedett, amely több mint 50 minisztériumot és ügynökséget szolgál ki PKI-n keresztül. A kormányzat online tanúsítvány szolgáltató szolgáltatása 2002 februárjában vezették be olyan kapacitással, hogy képes legyen ellátni a tanúsítványokkal minden olyan egyént és céget, aki a kanadai kormányzattal kapcsolatba kerül májusában elfogadták a Personal Information Protection and Electronic Documents Act dokumentumot, ezáltal a biztonságos elektronikus aláírás érvényességét tekintve egyenértékűvé vált a papír alapon történő hagyományos aláírással. A kanadai kormányzat PKI kezdeményezése a biztonság növelésére és a magánjogok figyelembe vételére alapul. A megbízható elektronikus kapcsolatok négyfázisú, külső hitelesítő hatóságon keresztül létesülnek. A felhasználóra vonatkozó információk megosztása a későbbi alkalmazásokban csak a felhasználó előzetes beleegyezésével történhet IT-biztonsági alapelvek A kanadai kormány PKI kezdeményezése a megbízhatóság növelésének alapelve mellett a magánjogok figyelembevételére is összpontosít. A megbízhatóság a tanúsítványokon és a tanúsított, megbízható kommunikációs kapcsolatokon keresztül biztosított. A tanúsítványok kezelése egy olyan folyamatot jelent, amelyben a felhasználók azonosítása a tanúsítvány kézhezvétele előtt is bizonyított, és a felhasználók számára átlátható a tanúsítványok státusa, továbbá a visszavonási információkat a CRL-en keresztül publikálják. Az elektronikus megbízható kapcsolatokat egy külső tanúsítvány-szolgáltatótól származó négyfázisú kereszttanúsítványon keresztül létesíthetünk. A PKI előfizetők személyiségi jogainak védelme érdekében a tanúsítványokban egy jelentés nélküli egyedi azonosítószám szerepel a megkülönböztető név mezőjében. A programazonosítók hozzárendelése egy speciális programnál a tanúsítvány első használatának során történik meg. A felhasználói adatok alkalmazások közötti megosztása a jövőben megvalósulhat, természetesen csak a felhasználók előzetes beleegyezése mellett Megbízható szolgáltatások Néhány megbízható hitelesítés-szolgáltató található a kanadai piacon. Néhány kanadai bank felhasználja a PKI-t az üzleti céljaik és a banki ügyfelek támogatásához. Három PKI szolgáltató került bejegyzésre Kanadában: a Terranet, a Fundserve és a Juricert. A Teranet ( szolgáltató biztosít ingatlan bejegyzés létrehozásához, aláírásához, benyújtásához és elfogadásához dokumentumokat, amelyek kinyomtatás nélkül kerülnek feldolgozásra. A Fundserve Inc. ( a kanadai befektetési alapítvány elektronikus üzleti szolgáltatásainak vezető szolgáltatója. A Juricert 62. oldal oldalak száma: 244

63 ( a Law Society of British Columbia és más kanadai törvénykezési társulat egyedi kezdeményezése, amelyet azért hoztak létre, hogy a személyek azonosítását biztosítsa az interneten keresztül történő, fontosabb hivatalos kommunikáció során Tapasztalatok a token-nel kapcsolatban Habár a token-ek bevezetésére országos szinten érdeklődés tapasztalható, jelenleg csak a Nemzetvédelmi Minisztériumban kerül bevezetésre. Az útlevél, az állandó lakcímkártyát, a bevándorlási adatlapot, a tengerhajózási naplót és más dokumentumokat értékelték abból a szempontból, hogy megfelelőek-e egy közös, többtényezős kártyára való cseréléshez. Habár a kezdeti eredmények azt mutatják, hogy létezik egy ilyen kártyára vonatkozó szabvány, a gyakorlati tapasztalat és a programok hiánya késlelteti az ilyen irányú erőfeszítéseket. A tevékenység egy közös többtechnológiás platform definiálásával folytatódik, amely helyzeti előnybe kerülhet minden papír alapú hitelesítést igénylő programmal. A technológiák magukba foglalják a chipkártyás és az optikai szalagos megoldásokat is. A Nemzetvédelmi Minisztérium egy intelligens kártya alapú PKI rendszert használ, ahol a kártya két-tényezős hitelesítő eszköz a biztonságos elektronikus levelező rendszerben. Ezen projektben több mint kártyát bocsátottak ki Biometriai tapasztalatok A Canada Customs and Revenue Agency (CCRA) kifejleszt egy az írisz felismerésére alapuló kísérleti projektet, amely a Pearson (Toronto) nemzetközi reptéren és a Vancouver nemzetközi reptéren kerül bevezetésre 2003 januárjában. A tagoknak lehetősége lesz a termékek elvámoltatására és az adómentes üzletekben való vásárlások intézésére is. A hangfelismerés megvizsgálásra kerül az útlevél-felismerési mechanizmusban való alkalmazhatóságát tekintve a PKI alapú hitelesítés támogatása érdekében. A biometriát sikeresen alkalmazzák a fizikai hozzáférés-ellenőrzési folyamatokban Tervek A kormányzati online-t PKI kiterjesztik az ügyfelek számára. Ez a kiterjesztés magába foglalja a tanúsítványok kibocsátását és kezelését a saját alkalmazottaik számára. További erőfeszítések a PKI-t a megbízható üzleti partnerekre (mint például a bankipar vagy a telekommunikáció) szeretnék kiterjeszteni. A kanadai kormány kidolgoz egy Privilege Management Infrastructure-t a PKI kiegészítő infrastruktúrájaként, ahol az általános és üzleti szerepek meghatározása mellett a hitelesítési infrastruktúra architektúrája is kialakításra kerül. 63. oldal oldalak száma: 244

64 3.3.3 Málta Málta sajátosságai 2000 óta a kormány átfogó e-kormányzat stratégiát folytat. A stratégia elismeri a magas szintű biztonság fenntartásának fontosságát és egy magas szintű bizalmasság (trust) kialakítását egyrészt a kormányzaton belül, másrészt az állampolgárok és az üzleti élet terén IT-biztonsági alapelvek A hitelesítést, a csalás megakadályozását és a hitelesítés nélküli támadás megakadályozását illetően a biztonságot garantálni kell. A felhasználók egyéni titkait (privacy) garantálni kell. A felhasználók által önként megadott adatokat nem szabad felhasználni azzal a céllal, hogy a kormányzattól előnyösebb szolgáltatáshoz jussunk, anélkül hogy a felhasználó előzetesen beleegyezett volna (szuper-regisztrációs alapelv) Megbízható szolgáltatások A regisztrálásnak és a hitelesítésnek négy szintjét különböztetik meg, 0. szinttől (nincs hitelesítés az elhanyagolható kockázattal járó e-szolgáltatások esetében) a 3. szintig (a nagy kockázattal járó e-szolgáltatások számára a hitelesítés elfogadható mértékűre csökkentse a kockázatot) Tapasztalatok a token-nel kapcsolatban Csak nagyon korlátozott tapasztalatokkal rendelkeznek. Néhány éve a kormányzat tanulmányozza a számos funkció ellátására alkalmas intelligens kártya kibocsátásának alkalmazhatóságát. Az Információs Rendszerek Stratégiai Terve megfontolás tárgyává tette egy új azonosító kártya kibocsátásának lehetőségét, amelyet intelligens kártya technológiával valósítanának meg. Habár a gyakorlatban ez nem valósult még meg, egy kipróbált és bevált plasztik, nem elektronikus rendszerű kártya használatát támogatják egyelőre Biometriai tapasztalatok A máltai kormány még nem foglalta írásba egy széleskörben alkalmazandó, biometriára alapuló hitelesítési módszer bevezetésének stratégiáját. Néhány kormánytag aktívan fontolgatja, hogy az ujjlenyomat illetve tenyérlenyomat felismerő rendszerek a humánpolitikai rendszerek részét képezhetnék. Ez a funkcionalitás elképzelhető a humán erőforrás menedzsmentben, de a szolgáltatások hitelesítési mechanizmusának nem képezhetik részét. 64. oldal oldalak száma: 244

65 Tervek 2002 júliusában a máltai kormány kibocsátott egy szándéknyilatkozatot, hogy csatlakozik egy megegyezéshez minimum 7 évre a kormányzat hivatalos bejegyzésével és a hitelesítési mechanizmussal kapcsolatos adminisztratív és logisztikai törekvésekhez az e-kormányzati szolgáltatásokat illetően. A kormányzat több fázisú megközelítést javasol, amellyel megvalósítható a regisztráció és a hitelesítés négy szintjének fokozatos implementálása Norvégia Norvégia informatikai infrastruktúrája Norvégia fejlett ICT ország ben a Norvég iparban dolgozók 3,7%-a dolgozott az ICT szektorban. A lakosság 72%-ának van internet-hozzáférése otthon, a munkahelyén, vagy az iskolában/egyetemen. A 10-nél több főt dolgoztató cégek 77%-a kapcsolódik a világhálóhoz, ez az arány függ a cégek nagyságától (több mint 100 dolgozó esetén: 93%, dolgozó esetén: 90%, dolgozó esetén: 69%). Az informatikai kezdeményezések során Norvégia követni kívánja az EU irányelveket, különös tekintettel az e-európa 2002 akciótervre. A norvég kormány az e-norvégia című tervezetében foglalja össze azokat a lépéseket, amelyeket az Információs Társadalom érdekében meg kell tenniük. Ebben - egyebek között - az internet-hozzáférés bővítését tervezik, de foglalkoznak az online kormányzattal is. A norvég kormány az e-kereskedelem előmozdítására vonatkozó céljait és stratégiáját "Az elektronikus kereskedelemre vonatkozó irányelvek" kiadványban foglalta össze. Az itt lefektetett elvek között szerepel, hogy az e-kereskedelem fejlődését a piacnak kell meghatároznia, a szabályozásoknak technológia tekintetben semlegeseknek kell lenniük, és nem korlátozódhatnak előre meghatározott technológiai megoldásokra. Kijelentik, hogy az elektronikus piacon biztosítani kell a bizalmasságot és hitelességet, a fogyasztói jogok, a személyiségi és egyéb jogok védelmét. Megállapítja, hogy az e-kereskedelemnek lehetnek negatív szociális kihatásai, amelyeket fel kell mérni és figyelembe is kell venni. Az Állami Iparág és Regionális Fejlesztési Alap elindított egy e-kereskedelmi nemzeti programot, amely a kis- és középvállalatokra fókuszál Szabályozások és törvények Norvégiában az e-kereskedelem jogi hátterének kialakítása folyamatban van: a Közlekedési és Kommunikációs Minisztérium foglalkozik az új, a telekommunikációs szektort érintő szabályzások bevezetésével az EU-t megelőzően vagy azzal párhuzamosan. 65. oldal oldalak száma: 244

66 Az adatbiztonsági és kriptográfiai szabályzásokkal a Védelmi Minisztérium, a PKI szabályozással egy kormányszerv, a StatsKonsult foglalkozik A biztonság erősítése Az e-norvégia tervezet hangsúlyozottan foglalkozik az információtechnológiai infrastruktúrák biztonságával. Az információs bűnözés megoldását célzó intézkedések magukba foglalnak intelligens kártya alapú infrastruktúra kialakítását célzó projektek támogatását, a veszélyek felfedését, a fontos adathálózatok védelmét és egy, az informatikai infrastruktúra sérülékenységét és biztonságát kutató program létrehozását. Ezen kívül EU programokban való részvétellel kívánnak küzdeni az illegális internettartalmak ellen. A tervezet külön fejezetben foglalkozik a telekommunikáció biztonságával is. Norvégiában nemrégiben jelent meg két jelentés, amely kifejti az ország hozzáállását az információs biztonsághoz ( A Vulnerable Society Sérülékeny társadalom, Society s vulnerability due to its ICT-dependence - A társadalom sérülékenysége az ICT függőségének következtében). A jelentések stratégiákat ajánlottak a sérülékenység csökkentésére. A kiemelt területek a következők: a magánszféra és az állami hatóságok közötti együttműködés, információcsere, magasabb fokú figyelmeztetési képesség, oktatás és szakértelem, kutatás és fejlesztés, a kritikus fontosságú infrastruktúrák biztonságának védelme és a törvények és szabályozások elfogadása. Ez a jelentés ezekre a feladatokra különböző intézkedéseket is javasolt, egyebek között azt, hogy hozzanak létre egy Információs Garancia Központot az operatív és analitikus feladatokra, de kitért, pl. arra is, hogy az információs bűnözés üldözésére szolgáló törvényhozást összhangba kell hozni a nemzetközi törvényhozással óta csökken a számítógépes csalások száma Norvégiában ban 134 esetet jelentettek, míg 2000-ben mindössze 54-et. Ezzel szemben a számítógépekbe való betörések száma állandóan növekszik ban 75 ilyen esetet jelentettek a rendőrségnek, míg 2000-ben 140-et. Norvégiában az informatikai bűnözés ellen az OKOKRIM (Gazdasági és környezeti bűnügyeket vizsgáló és vádemelő nemzeti hatóság) küzd. Az OKOKRIM egyik egysége foglalkozik az információtechnológiához kapcsolódó bűnözéssel. Ezen felül, két központi szervezet működik, az SIS (Senter for Informasjonssikring) és a VDI (Varslingssystem for digital infrastruktur), amelyek a veszélyek felbecsüléséért és a korai figyelmeztetésért 66. oldal oldalak száma: 244

67 felelősek. A SIS legfőbb feladata egy teljes körű fenyegetési összkép kialakítása: az információ, szakértelem- és ismeretcsere a fenyegetésekről és az ellenük hozott intézkedésekről, a nemzetközi kitekintés. A VDI egy vegyes vállalat, amelynek tagjai a norvég hírszerzési és biztonsági szolgálatok és magán vállalatok és operátorok. Feladata a sérülékeny digitális infrastruktúrákat fenyegető veszélyek feltérképezése, a hálózatokba való behatolások észlelésének elősegítése és a tagok figyelmeztetése az incidensekről. Norvégiában 1995 óta működik egy CERT is, az UNINETT CERT (az UNINETT a norvég oktatási és kutatási hálózat). A norvég Kutatási Tanács létrehozott egy információtechnológiai fórumot, amely a kutatásokhoz ad tanácsokat. A fórum kiadott egy jelentést, amely hangsúlyozza, hogy a jövőbeni kutatásoknak foglalkozniuk kell a sérülékenységet, biztonságot, megbízhatóságot és bizalmat érintő kérdésekkel, előtérbe helyezve a tranzakciók és az infrastruktúrák biztonságát és az ezekbe vetett bizalmat Svájc Svájc informatikai infrastruktúrája Svájc fejlett ICT ország: 2001-ben a lakosság 51%-a használta az internetet, akiknek 45%-a legalább hetente egyszer igénybe vette háztartás kapcsolódik az internethez szélessávú modemen keresztül ben a kis- és középvállalatok 82%-a használt számítógépet az üzleti tevékenységéhez, 33%-uknak volt saját honlapjuk és 57%-uk használta az internetet ben a svájci cégek 35%-a használt elektronikus adatcserét (EDI) a beszállítóikkal és ügyfeleikkel együtt. A közigazgatási állami szektor nemrégiben kezdeményezte az e-kormány kifejlesztését. Mivel az Új Nyilvános Menedzsment program keretén belül nagyobb igény merült fel a versenyképességre, hamar felismerték azt, hogy ebben az internet használatának nagy szerepe lehet. Az internetes portálokat leginkább információ-szolgáltatásra használják és csak korlátozott számú tranzakciót terveznek vagy használnak. A 21 kantonból 15-nek van az internetre vonatkozó stratégiája. Az alkalmazás legnagyobb akadálya a személyi vagy anyagi erőforrás hiánya. Az e-kereskedelmi szolgáltatások nem elterjedtek Svájcban, ennek ellenére a növekedés jelentős. Leginkább könyveket, CD-ket és jegyeket vesznek az interneten keresztül, mivel ezeket könnyű postázni. A pénzügyi szolgáltatásokat széles körben veszik igénybe az interneten keresztül. 67. oldal oldalak száma: 244

68 Szabályozások és törvények 1998-ban a Szövetségi Tanács kibocsátotta a svájci információs társadalomra vonatkozó stratégiáját. A négy fő irányelv: az információhoz való hozzáférés biztosítása mindenki számára, az információtechnológia használatára vonatkozó jogosultság biztosítása mindenki számára arra, az információs társadalom fejlesztése szabadságának biztosítása, az új technológiák elfogadása. Jelenleg ez a stratégia az alapja az összes, az e-kereskedelem előmozdítását célzó kormánykezdeményezésnek. A 2001-ben elindított Impulse Programme CH21 célja az, hogy összefogja az ICT támogatását célzó tevékenységeket és programokat. A Svájci Szövetségi Iroda a Professzionális Oktatásért és Technológiáért program keretében létrehozott egy honlapot, amely információt biztosít az IT-ről, az internetről, a törvényekről, és ezzel elősegíti újabb szoftverek készítését Svájcban. Az e-kormányzati kezdeményezésekre jelentős összegeket különítettek el a költségvetésben. Számos jogi kezdeményezés ismert arra nézve, hogy az e-kereskedelmet előmozdítsák. Ennek egyike a szerzői jogok védelméről szóló törvény módosítása. A digitális azonosítás kérdése egyelőre megválaszolatlan, de széles körben elfogadják, hogy szükség van az e-kereskedelemhez és az e-kormányzathoz egy egyéni és biztonságos azonosítási módra. Svájc átfogó jogi és szabályozási kerete magába foglalja az információs és kommunikációs technológiák biztonsági szabályozását. Az alábbi idevonatkozó törvények ismertek: a Svájci Büntető Törvény, a svájci Nemzeti Gazdasági Beszerzési Törvény (a kommunikációs csatornák védelme), a Telekommunikációs Törvény, a Titoktartási törvény, az Elektronikus aláírásra vonatkozó szövetségi törvény, az e-kereskedelemre vonatkozó Szövetségi Törvény és a szövetségi adminisztrációban használatos IT-re és telekommunikációra vonatkozó rendeletet ben a Szövetségi Tanács elfogadta az Európai Tanács Számítógépes Bűnözésre vonatkozó konvencióját. Meg kell jegyeznünk, hogy a Svájci Büntető Törvény már eddig is egyezett az ide vonatkozó nemzetközi irányelvekkel. 68. oldal oldalak száma: 244

69 Svájcban két szabályozó feladatokat ellátó testület van, a COMCOM és az OFCOM. A COMCOM egy parlamenten kívüli bizottság, amely a telekommunikációs engedélyek kiadásáért és a nemzeti frekvenciák elfogadásáért felelős stratégiai szinten. Az OFCOM a fő szabályozó testület a telekommunikáció és az ICT területén A biztonság erősítése 2000-ben a svájci kormány kiadta új biztonsági politikáját. Az infrastruktúra biztonságát illetően a fő célja az, hogy létrehozza azokat a feltételeket, amelyek biztosítják a svájci információs társadalom működését. Ugyan ebben az évben kiadtak egy a kulcsfontosságú dokumentumot, az Információ Garancia Elképzelés -t. A Szövetségi Információtechnológiai Stratégiai Szervezet kialakított egy kríziskezelési rendszert, amely főképp két elemet tartalmaz: egy állandó információbiztonsági elemző és jelentő központot, amely felelős az adatgyűjtésért, a helyzet állandó elemzéséért és a korai figyelmeztetésért. Ennek keretén belül egy nem-állandó Információ Biztosító Munkacsoport -ot hoztak létre, amely elemzi a helyzetet annak érdekében, hogy támogassa a stratégiai döntéseket krízis helyzetekben. A második fontos elem a Federal Office for National Economic Supply részét képező ICT infrastruktúra egység, amely kormánytámogatást nyújt. Ezeken felül fontos pillér az InfoSurance alapítvány, amely a nyilvánosság figyelmét hívja fel a biztonsággal kapcsolatos kérdésekre és hatékony intézkedéseket biztosít. Az állami szektorban számos testület foglalkozik az információ garanciával, amelyek a különböző minisztériumok számára gyűjtenek adatokat, tesznek jelentéseket, utasításokat, módszereket és eljárásokat hoznak létre. A számítógépes bűnözést illetően kevés adat áll rendelkezésre, egyrészt a nemzeti statisztikák és az adatgyűjtés komplikált struktúrája és megosztott felelőssége miatt. Másrészt nehéz különbséget tenni a számítógépek vagy más elektronikus eszközök használatával elkövetett büntettek és a számítógépek és adatok bizalmassága, sértetlensége és elérhetősége ellen elkövetett bűntettek között ban a következő, számítógéphez kapcsolódó, bűntetteket követték el: adatok jogosulatlan felhasználása, számítógépes rendszerbe való jogosulatlan behatolás, adat megsértése, számítógép tisztességtelen használata és szolgáltatásokkal való visszaélés. A számítógépes bűnözési esetek kezelésére szolgáló figyelmezető és menedzsment rendszer terveinek egy részét már megvalósították. Ennek része a kormány által támogatott Átfogó Kockázat Elemző projekt. Ez a projekt rögzíti, értékeli és összehasonlítja az alapvető biztonságot fenyegető kockázatokat. 69. oldal oldalak száma: 244

70 A Svájci biztonsági érdekek a műsorsugárzásban és telekommunikációs infrastruktúrákban krízishelyzetek esetén című jelentésből kiderül, hogy a legnagyobb biztonsági kockázatok a következők: az alkalmazott, főleg külföldi technológiáktól való függés, a képzett személyzet toborzása és a szervezésből származó számos hiányosság. A figyelmeztetési és reagálási képességek területén két kezdeményezést támogat a kormány: a SWITCH-CERT-et és a CERN-CERT-et. Az előbbit a Svájci akadémiai és kutatási hálózat irányítja, az utóbbi a genfi European Laboratory for Particle Physics része Szingapúr Szingapúr sajátosságai Szingapúrban sajátos megszorítások tapasztalhatóak, amelyek máshol különösebb fontosságot nem kaptak. Ez egy kis ország korlátozott erőforrásokkal, mely jelentős együttműködést igényel mind belföldi, mind külföldi értelemben. Az azonosítás és hitelesítés a biztonságos cyberspace elérésének egy fontos építőköve. A szingapúri törvényhozás a kormány, az iparág önszabályozásának és a fogyasztók folyamatos képzésének kombinációja. Az e-kereskedelem lehetőségei, kockázatai és a megfelelő megoldások megtalálása fokozottan jelentkeznek. Az e-kereskedelem politika elősegíti a jogszabályokkal ellátott környezet kialakítását a korlátok eltávolításával és a piaci szabályok osztályozásával. Az Elektronikus Tranzakciók Használata és a Tanúsítvány Szolgáltató Hatóság Szabályozása olyan jogszabályok, amelyek a PKI keretrendszerét biztosítják Szingapúrban IT-biztonsági alapelvek A szingapúri e-kereskedelem nagy hangsúlyt fektet a cyberspace biztonságára, az e- kereskedelem adottságainak és kockázatainak felismerésére és a megfelelő megoldások megtalálására. Az e-kereskedelmi politika elősegíti a jogszabályokkal ellátott környezet kialakítását a korlátok eltávolításával és a piaci szabályok osztályozásával. A keretrendszer tervezésekor az e-kereskedelem területén a megbízhatóság és a bizalom fontos cél volt a következő négy területen: a biztonságos környezet, a megbízható e-business környezet, a felhasználói bizalom kiépítése és képzés. 70. oldal oldalak száma: 244

71 Megbízható szolgáltatások Egy PKI fórum elvállalta, hogy kidolgozza a különböző régiók PKI keretrendszerének rögzítését Szingapúrban. A PKI bevezetésének ismertetése a következő fejezetben található Tapasztalatok a Token-nel kapcsolatban Az január 21-én elindított NETSCash, lehetővé teszi a CashCard tulajdonosok számára, hogy az interneten keresztül termékeket és szolgáltatásokat vásároljanak. Másik széles körben elterjedt intelligens-kártya kezdeményezés az NTUC Link Pte Ltd. által bevezetett NTUC Link kártya. Az NTUC Link kártya egy chip-alapú fényképes kártya, amely minden létező NTUC tagsági kártyát felváltott. A Public Sector Card (PS Card) szintén átesett egy PKI frissítésen, amely kb köztisztviselőt érintett. Szingapúrban a Standard Chartered Bank szintén tervezte, hogy 2001-ben kibocsát legalább Visa márkájú, több alkalmazáshoz megfelelő intelligens kártyát Biometriai tapasztalatok A szingapúri bevándorlási és regisztrálási minisztériumban bevezetésre került az Immigration Automated Clearance System (IACS), amely hatékonyan elősegíti a bevándorlási folyamatot az ellenőrzőpontoknál a biometriai és az intelligens kártya technológia kiaknázásával. Az Access Card egy intelligens kártya, amelyben a tulajdonosa ujjlenyomat adatai letárolásra kerülnek. Jelenleg az IACS hozzáférhető a Changi nemzetközi repülőtéren és a Woodlands-i és tuasi buszpályaudvar ellenőrzőpontjain. A biometria a PIN kóddal, a jelszavakkal, a tokenekkel és a PKI-val összehasonlítva általában könnyebb használatot jelent. Habár az implementációs és karbantartási költségek nagyobbak. A biometriát használó alkalmazásokat egy szűkebb környezetre korlátozhatjuk a fizikai és logikai hozzáférés-ellenőrzéssel Tervek A szingapúriak hozzáférhetnek saját egészségügyi adataikhoz, amelyeket elektronikusan tárolnak a kórházakban, poliklinikákban és szakorvosi rendelőkben. A páciensek adatrekordjait elektronikusan megosztják a kórházak és az egészségügyi szakrendelők között. Az egészségügyi minisztérium (MOH) felállított két csoportot az orvosi intézetek között a nyugati National Healthcare Group-ot (NHG) és a keleti országrészben a Singapore Health Services-t (Sing-Health), amelyek egymás között megosztják a páciensekre vonatkozó egészségügyi adatokat. A MOH egy bizottságot is létrehozott, amely tanulmányozza az adatokra vonatkozó szabványokat, a személyiségi jogokat és a biztonsági kérdéseket. 71. oldal oldalak száma: 244

72 4. RÉSZLETES INFORMATIKAI BIZTONSÁGI ELEMZÉSEK Számos európai ország IT-biztonsági helyzetének áttekintését (átfogó jelleggel) elvégeztük az előzőekben. Az alábbiakban részletesebb összefoglalót adunk néhány további ország kormányzati elképzeléseiről, stratégiájáról, az IT-biztonság erősítésében szerepet vállaló szervezeteiről. Ezek közül kiemelt jelentőségű az Amerikai Egyesült Államok informatikai biztonsági stratégiájával kapcsolatos dokumentumok elemzése (mivel e téren az USA meghatározó szerepet játszik), továbbá a nyilvános szabályozások kidolgozásában élen járó Ausztrália. Ezeken túl, az Európában vezető szerepet vállaló Németország, továbbá a számunkra iránymutató Finnország és Svédország nyilvános dokumentumaiból készített részletes elemzések találhatók a következő fejezetekben. 4.1 Amerikai Egyesült Államok Ebben a fejezetben az Amerikai Egyesült Államok Informatikai biztonsági stratégiáját ismertetjük, amely megoldási javaslatokat is tartalmaz Bevezetés Az Amerikai Egyesült Államok minden kétséget kizáróan az informatika és telekommunikáció fejlesztésének, bevezetésének, használatának élenjáró nemzete. Ezáltal a terület problémáiról, valamint a problémákra adott lehetséges válaszokról az ország vizsgálatakor átfogó és hiteles képet kapunk. Az információs korszak a korábbi évszázadokban soha nem látott fejlődési ütemet hozott, ugyanakkor a negatívumaival is szembe kell nézni: újfajta veszélyek jelentek meg. Az USA kritikus fontosságú infrastruktúráját informatikai rendszerek vezérlik, bázisát hálózatba kapcsolt rendszerek jelentik, amely ellen induló támadások következményei az ország gazdaságára, kormányzatára és nemzetbiztonságára nézve felbecsülhetetlen károkat okozhatnak. Új fenyegetések jelentek meg és új típusú ellenség képe alakult ki: az interneten keresztül, a határokat átívelve, a Föld bármely pontjáról intézhet valaki támadást az ország infrastruktúrája és az azt működtető informatikai háttér ellen. A infrastruktúra nagy részének magántulajdoni jellege miatt a Szövetségi Kormányzatnak meg kell találnia azokat a lehetőségeket, melyekkel hatékony kölcsönös együttműködés alakítható ki az állami és a magánszektor között. Az informatikai biztonság csorbulásának vagy komolyabb károsodásának következményei lehetnek: a közvetlen üzleti károk, a fogyasztói bizalom csökkenése, zökkenőkkel teli rendszerműködés, komoly országos méretű technikai problémák vagy akár az ország állampolgárait fenyegető életveszély. 72. oldal oldalak száma: 244

73 A szeptember 11-i terroristatámadás után az USA-ban az informatikai biztonsággal kapcsolatban a korábban megkezdett úton haladtak tovább, de még éberebben, érzékenyebben, a közvetlen, személyes érintettséget megtapasztalva a téren, hogy az államnak kiemelt szerepet kell vállalnia az állampolgárok biztonságának javításában, vonatkozzon ez a biztonság az energia, a vízügyi, a gazdasági-pénzügyi életre, vagy az informatikára és kommunikációra. Jelen dokumentum ez utóbbi területet próbálja meg lefedni. Az Amerikai Egyesült Államok és Magyarország természetesen nem összevethető sem gazdaságilag, sem világpolitikai szerepvállalásban. Az IT-biztonsággal kapcsolatos tapasztalatok, ajánlások, bevált gyakorlatok, módszerek azonban magyar viszonyokra alakítva követendőek lehetnek számunkra is. Az anyagban áttekintjük az Amerikai Egyesült Államok informatikai biztonsági politikáját, különös tekintettel az idén februárban kiadott Nemzeti informatika-biztonsági stratégiára. Megnézzük, milyen törvényi és szervezeti előzmények vezettek a Nemzetbiztonsági Minisztérium létesítéséhez és a stratégia végleges változatához. Megismerkedünk azzal az általános informatika-biztonsági szemléletmóddal, melyet az amerikai szakértők szerint minden számítógépet és hálózatot használó egyénnek a XXI. században magává kellene tennie. Mellékletben soroljuk fel a forrásanyagokat és rövidítéseket, valamint megadunk néhány amerikai szervezetet, mely élen jár az Amerikai Egyesült Államok informatika-biztonsági szerepvállalásában Az informatika és telekommunikáció helyzete az országban Az információtechnológiai és telekommunikációs szektor a gazdaság hajtóereje és a nemzet kritikus infrastruktúrájának szerves része lett az elmúlt évtizedben. Az IT-ágazat a gazdasági növekedés egyharmadát adja, az közötti időszakban az összes termelés felét. A körülbelül 250 millió lakosú országban mintegy 10 millióan töltenek be valamilyen információ technológiai munkakört. Az IT termékek és szolgáltatások legnagyobb felhasználó ágazata a pénzügyi szektor, melyet a kommunikációs szolgáltatások és a termékgyártás követ. Az internet-hozzáférési lehetőségek itt a legjobbak a világon. A telekommunikációs ágazat is hasonlóan eredményes évtizedet tudhat maga mögött, növekedési üteme túlszárnyalja az átlagos gazdasági növekedést. E néhány felvillantott tény is mutatja, mekkora jelentősége van az informatikának az USA életében, az informatikai háttér védelmének szükségessége tehát nem kétséges. Az USA informatikai iparát és telekommunikációs szektorát jelentős súllyal képviselő szervezetek részvételével rendkívül sokféle fórum, testület, munkacsoport jött létre az ország kritikus infrastruktúrája megóvásának és informatikai védelmének kidolgozására. Mindeközben a kormányzat is jelentős szerepet vállal a munka koordinálásában, például 73. oldal oldalak száma: 244

74 törvényekkel kötelező érvényűvé téve az informatikai biztonság beépítését a mindennapokba, igazságszolgáltatási eszközökkel rettentve el a számítógépes bűnözőket Törvényi, kormányzati és szervezeti háttér Ebben a szakaszban azokat a lényegesebb folyamatokat, döntéseket, rendeleteket tekintjük át (hely hiányában a teljesség igénye nélkül), melyek a Clinton és a jelenlegi Bush kormányzat alatt történtek május 22-én Clinton elnök kiadta a 63-as számú Elnöki Döntési Határozatot (Presidental Decision Directive 63, PDD-63), amely az ország kritikus infrastruktúra elemeire irányuló olyan szándékos cselekedetek elleni védelemhez szükséges intézkedések megvalósítását tűzi ki célul, mely cselekedetek jelentős mértékben aláásnák a nemzet biztonságát, mind szövetségi, mind állami és helyi szinten, valamint a magánszektorban is. A célok megvalósításához a Direktíva stratégiát fogalmaz meg az alábbi tematika szerint: az állami és magánszektor közötti együttműködés létrehozása az IT-biztonság problémáinak vizsgálatához, az állami és magánszektor munkavállalói számára az informatikai biztonság tudatosítása, a piaci szereplők ösztönzése az informatikai biztonság iránti igény, kereslet növelésére, szabványok és bevált gyakorlatok kialakítására, befektetés új információ technológiai rendszerek kutatásába, melyeket eleve a biztonsági szempontok szem előtt tartásával terveznek, felsőfokú oktatási intézményekkel közös munka az IT-biztonságra szakosodott hallgatók számának növelése érdekében, segítségnyújtás a jelentős informatikai támadások megelőzésében, csökkentésében, azokra való válaszlépések megtételében, az államigazgatási szervek közötti, vállalatok közötti, valamint a kormányzat és az ipar közti információ megosztási rendszer kialakításával. A PDD-63 céljainak megvalósítása két párhuzamos irányvonalon haladt: a magánszektorral hatékony partnerségi megállapodás kialakítása, minden iparágon belül, az iparágak között, más kulcsfontosságú befektetőkkel, a tudatosság növelése és a piac által szabályozott tevékenységek és megoldások katalizálása érdekében, fejleszteni a kormányzat saját rendszereit és terveit a kritikus infrastruktúra garanciáihoz, beleértve a belső tervek kialakítását, erősebb munkaerő-felvételt, oktatást és képzést a szövetségi alkalmazottak számára, továbbá ki kell dolgozni a területet átfogó kutatás-fejlesztési programot. 74. oldal oldalak száma: 244

75 A PDD-63 kimondja: napjainkban az infrastruktúra elemek egymásra utalt, összekapcsolt jellege, ezek informatikai és egyéb támadások céltáblájaként való megjelenése miatt nagy szükség van egy egységes, összpontosított biztonsági szemléletre. Az infrastruktúra védelem nemzeti biztonsági politikájának kialakításához létre kell hozni egy szövetségi szintű keretprogramot, együttműködve az államokkal és a helyi önkormányzatokkal, valamint a magánszektorral. A PDD-63 új szervezeti struktúrát hozott létre a meglévők kiegészítésére, melyről a Melléklet Kiegészítés a PDD-63-hoz (Amerikai Egyesült Államok) című fejezetében rövid összefoglalás található. A PDD-63 elrendelte a szektor-specifikus kritikus infrastruktúra védelmi tervek kidolgozását és létrehozta a magánszektor koordinátori feladatkört, melyet 4 szervezet töltött be: CTIA, ITAA, TIA, USTA (l. a Melléklet Rövidítések című fejezetét). E szervezetek aktívan közreműködtek a Nemzeti informatikai biztonsági stratégia informatikai és telekommunikációs háttéranyagainak és előzetes dokumentumainak elkészítésében októberében Bush elnök kiadta a számú Végrehajtási határozatot, mely más elnöki direktívákkal és a Szövetségi információbiztonsági törvénnyel együtt megteremti a törvényi hátteret a kritikus infrastruktúra informatikai rendszereinek védelmét biztosító program számára. A végrehajtás szervező elvei a következők: nemzeti összefogás, a személyiségi és szabadságjogok védelme, jogszabályi háttér és piaci erők, elszámoltathatóság és felelősség, rugalmasság, tervezés több évre november 25-én az elnök aláírta a évi Nemzetbiztonsági Törvényt, mely kimondja a Nemzetbiztonsági Minisztérium megalakítását. Ez a minisztérium - mely 22 szövetségi szervezetet egyesít-, felel a nemzeti informatikai stratégiában lefektetett program végrehajtásáért februárjában kiadták a Nemzeti informatika-biztonsági stratégiát és a kritikus infrastruktúra elemek és kulcsfontosságú értékek védelméről szóló nemzeti stratégiát. Mindkettő a Nemzetbiztonsági stratégia része, más szektor-specifikus tervekkel együtt. A kormányzatnak szövetségi, állami és helyi szinten aktívan együtt kell működnie a magánszektorral, mely az Amerikai Egyesült államok infrastruktúrájának 85 százalékát 75. oldal oldalak száma: 244

76 felügyeli A nemzet infrastruktúra védelmi erőfeszítéseinek fel kell használni a magánszektor lehetőségeit, erejét egy elfogadható biztonsági szint elérése érdekében, a termelékenység, a kereskedelem és a gazdasági növekedés akadályozása nélkül. olvasható a Nemzetbiztonsági stratégiában. A kritikus infrastruktúra elemek és kulcsfontosságú értékek védelméről szóló nemzeti stratégia a célok és irányok egyértelműen megfogalmazott összessége olyan iránymutató elveket vázol, melyek megteremtik a nemzeti biztonság, a kormányzat, az egészségügy és az emberek jóléte, a gazdaság és az állampolgárok bizalma szempontjából fontos infrastruktúra elemek és értékek biztonságát garantáló erőfeszítések alapját. A Nemzeti informatika-biztonsági stratégia melyről jelen anyag részletesen szól- a nemzet megvédésének általános koncepciójába illő dokumentum. Célja az összes amerikai figyelmének felhívása a saját illetékességi körükbe tartozó információs tér védelmére Veszélyek és sebezhetőségek, kockázatelemzés Ebben a szakaszban azon veszélyeket, problémákat tekintjük át, amelyek ellen fel kell készülni, esetleges bekövetkezésük esetén pedig minél gyorsabban meg kell tenni a szükséges válaszlépéseket. Az informatikai és telekommunikációs ágazatra leselkedő veszélyeket két alapvető szempont szerint csoportosíthatjuk: a támadók szerint és a támadás jellege alapján. A támadók személye, célja, motivációja, tudása rendkívül széles skálán mozoghat: a szórakozásból számítógépes rendszerekbe betörő (esetleg belföldi) diáktól egészen a külföldi ellenérdekelt ország szervezett informatikai bűnöző csoportjaiig vagy terroristáiig, akik a legújabb eszközöket használják fel a megbízóik által kitűzött feladat végrehajtásához. A Számítógép Biztonsági Intézet/FBI egy 2002-es felmérése szerint egy év alatt a válaszadók 90 %-a észlelt számítógép biztonságot megsértő eseményt, és 80 % esetében ez anyagi veszteséggel is járt. A külső forrásokból származó veszélyek mellett a hálózatok fizikai és logikai architektúrájából adódóan is fennállnak bizonyos kockázatok, például a létesítmények fizikai biztonságával kapcsolatos kockázatok, a széles körben telepített szoftverek, protokollok, valamint olyan járulékos tényezők, mint a kutatás és fejlesztés során a biztonsági szempontok háttérbe szorulása miatti kockázatok. Továbbá a folyton fejlődő, komplexebbé váló technológia, a nem megfelelő szaktudás, a vezetők részéről tanúsított érdektelenség, az odafigyelés hiánya, az online világ kalózaival szembeni elnéző magatartás, a határok nélküli internet és az informatikai bűnözéssel kapcsolatos jogi megközelítések sokasága mind-mind az informatikai rendszerek biztonságát érintő kockázat szintjét növelik. 76. oldal oldalak száma: 244

77 Alapos informatikai kockázatelemzés szükséges a veszélyekkel és sebezhetőségekkel kapcsolatos hosszú távú trendek becsléséhez. A veszélyekkel felbukkanásukkor nyilvánvalóan foglalkozni kell, de még fontosabb a megelőzés, a minél többféle forgatókönyvre történő felkészülés. A cégeknek azonosítani és korrigálni kell a rendszereik fizikai és logikai sebezhetőségeit. A sebezhetőségi elemzés és a több rétegű védelem kialakítása több hónapos, folyamatos munka, melyet rendszeres időközönként meg kell ismételni. Az informatikai biztonsággal több szinten és számos szereplő érintettségét figyelembe véve kell foglalkozni. Öt szintet jelölnek meg a legfrissebb stratégiában: 1) Otthoni felhasználók, kisvállalkozások: bár nem képezik részét a kritikus infrastruktúrának, a világhálóhoz való kapcsolódás miatt a rosszindulatú támadók ugródeszkának használhatják gépeiket a támadásaikhoz. 2) Nagyobb vállalkozások (társaságok, kormányhivatalok és egyetemek): informatikai támadások tipikus célpontjai, nagy részük a kritikus infrastruktúra eleme. Élő, bevált, alkalmazott biztonsági politikákra és programokra van szükség e helyeken az adatok és rendszerek védelme érdekében. 3) Kritikus fontosságú szektorok, infrastruktúra: A gazdasági, államigazgatási és tudományos élet szereplőinek együttműködése segíti a szabványok, bevált gyakorlatok és mechanizmusok alkalmazásának elterjesztését, a termékek biztonsági tanúsítását és az információk megosztását. Néhány ágazat képviselői megalakították az Információ szétosztási és elemzési központokat (ISACs) a hatáskörükbe tartozó infrastrukturális erőforrások ellen intézett számítógépes támadások megfigyelésére. 4) Országos jelentőségű sebezhetőségek: Minden ágazatot, így a teljes országot érintő kérdéskör az internet sebezhetősége, melyen csak közös erőfeszítéssel, felső szintű koordinálással, a legújabb K+F eredmények felhasználásával és hozzáértő szakemberek munkájával lehet javítani. 5) Globális problémák: A világháló határokat átívelő természete miatt a nemzetközi együttműködés keretében meg kell osztani az információkat és fel kell lépni a számítógépes bűnözés ellen. Egyetlen ország sem nyerheti meg egyedül az informatikai háborút. Az informatikai biztonság folyamatos éberséget igényel, hiszen a változó rendszerekben új sebezhetőségek bukkannak fel, növekszik az évenkénti támadások száma és a veszélytényezők is módosulnak. A biztonsági sebezhetőségek többsége kivédhető megfelelően kiválasztott és üzemeltetett eszközökkel (például IDS, tűzfalak), valamint helyesen alkalmazott eljárásokkal (javítóprogramok követése, vírusfrissítések stb.). 77. oldal oldalak száma: 244

78 A megoldások kiválasztása és bevezetése előtt azonban nagyon fontos a kockázatok alapos felmérése, melynek keretében az alábbi fő szempontoknak kell érvényesülni: a vizsgált szerveződés (mely lehet egy infrastrukturális ágazat, kormányzati szerv vagy vállalkozás) milyen mértékben függ az informatikától és a nyilvános hálózatoktól, milyen külső kapcsolódásokkal rendelkezik, milyen veszélyek fenyegetik a számítógépeket, hálózatokat (fizikai rongálás, külső hálózati támadás, rosszindulatú belső felhasználók stb.), a rendszereknek milyen gyenge pontjai vannak, melyek javítást igényelnek, az adott szerveződés milyen szerepet tölt be az ország kritikus infrastruktúrájában, más ágazatokkal milyen kölcsönhatásban van, a betöltött szerep súlyától függően milyen országos szintű kihatásokkal kell számolni a szervezet ellen intézett informatikai támadás esetén, valamint milyen várható folyamatok érvényesülésére lehet a jövőben számítani. Az USA informatikai és kommunikációs szektorának képviselői szerint többfrontos megközelítés szükséges a kockázatok kezelése terén és az információs infrastruktúra garanciáival kapcsolatos együttműködés fejlesztésében. Együttműködés az iparágak és az országok között érvényesüljön, a kormányzat pedig a gazdasági élet szereplőinek feladatait hangolja össze a következő szempontrendszer alapján: tudatosság, oktatás, képzés, bevált gyakorlatok, kutatás, fejlesztés, információ-szétosztás, helyreállítás és nemzetközi koordináció. A biztonságnak (a megelőzés, észlelés eszközeinek, illetve a termékekbe eleve beépített biztonsági elemeknek) természetesen ára van. A ráfordítások azonban nagy valószínűséggel megtérülnek, mert erőforrás-kiesés, szolgáltatás-kiesés működés-kiesés, szerzői jog megsértése, anyagi kár és 78. oldal oldalak száma: 244

79 presztízsveszteség éri a vállalkozást egy sikeres informatikai támadás esetén. Ezen okok miatt a Bush-kormányzat a 2003-as pénzügyi évre a szövetségi intézmények számítógépeinek biztonságára a pénzforrások jelentős növelésének (64%) megszavazását javasolta a Kongresszusnak. A kormányzati erőfeszítés önmagában azonban kevés, minden amerikai állampolgárnak és szervezetnek tudatosan és felelősen kell a hatáskörébe eső számítógépes elemeket védeni. A kormányzatnak az irányító szerepet kell betöltenie ebben a munkában Célok és feladatok Az Amerikai Egyesült Államok kormányának célkitűzése az ország állampolgárainak, gazdaságának, alapvető emberi és kormányzati szolgáltatásainak védelme, a nemzetbiztonság megőrzése azáltal, hogy megakadályozza vagy a lehető legkisebb mértékűre csökkenti a kritikus jelentőségű infrastruktúra elleni támadásokat. A bekövetkezett zavaroknak alacsony gyakoriságúaknak, rövid időtartamúaknak, kezelhetőeknek kell lenniük, és a lehető legkisebb kár okozásával járhatnak. A célkitűzés megvalósítása folyamatos munkát jelent, a végrehajtás az állami és magánszektor együttműködését igényli. A korábban már említett Nemzetbiztonsági stratégiához hasonlóan a Nemzeti informatika-biztonsági stratégia az alábbi célokat tűzi ki: a kritikus infrastruktúra elleni támadások megelőzése, a sebezhetőségek csökkentése, a károk és a helyreállítási idő minimalizálása bekövetkezett támadások esetén. A Nemzetbiztonsági Minisztériumot vezető miniszter informatikai biztonsággal kapcsolatos feladatai: átfogó nemzeti terv kidolgozása az USA kulcsfontosságú erőforrásainak és kritikus infrastruktúrájának védelmére, válságkezelési programok kialakítása támadások esetére, a magánszektor és más kormányszervek számára technikai segítség nyújtása válságos helyzetekből való helyreállítás esetére, a különböző kormányzati és nem kormányzati szervezetek, a nyilvánosság tájékoztatása, figyelmeztetése érdekében a szövetségi szervek munkájának összehangolása, a nemzeti biztonságot javító kutatási és fejlesztési projektek támogatása. 79. oldal oldalak száma: 244

80 A szövetségi kormányzat és a magánszektor közötti együttműködés a megfelelő összehangolástól és kommunikációtól függ. Ehhez a kormány kijelölte a fő gazdasági ágazatokhoz a felelős minisztériumokat, melyeknek feladata a hatáskörükbe eső kritikus infrastruktúra-komponensek védelmének megszervezése, krízishelyzetben a teendők irányítása. A Tudományos és Technológiai Irányok Hivatala a kutatási és fejlesztési programokat koordinálja, a Gazdálkodási és Költségvetési Hivatal (OMB) a kormányzati szintű irányelvek, eljárások, szabványok megvalósítását ellenőrzi, a Külügyminisztérium az informatikai biztonság nemzetközi vonatkozásait hangolja össze. A Központi Hírszerző Iroda (CIA) igazgatója az USA hálózatait és információs rendszerei ellen irányuló külföldi veszélyek elemzéséért felel. Az Igazságügyi Minisztérium és a Szövetségi Nyomozó Iroda (FBI) a számítógépes bűnözéssel kapcsolatos vizsgálatokat és vádeljárásokat folytatja. A magánszektor képviselőinek és a kijelölt államigazgatási hivataloknak együtt kell tehát felmérni az informatikai kockázatokat, és a minél hatékonyabb védelem megteremtése érdekében meg tenniük a szükséges lépéseket is. A kormányzatnak teljes hatáskörrel, rendelkezésre álló erőforrásokkal és lehetőségekkel támogatni kell ezt a munkát, melybe beletartoznak: a válságkezelés, a jogérvényesítés, a szabályozások, a külföldi hírszerzés és a védelmi készenlét A célok megvalósításához vezető lépések Az USA Nemzeti-biztonsági stratégiája (2003. február) prioritásoknak nevezi a célkitűzések megvalósítását garantáló feladatokat. Az informatika-biztonsági tényezők prioritásait az alábbiakban határozták meg: I. Nemzeti informatikai biztonsági észlelő-kezelő rendszer kialakítása, II. A nemzeti informatikai biztonságot fenyegető veszélyek kivédését és a sebezhetőségek csökkentését előirányzó program, III. A biztonság tudatosítása és képzés, IV. A kormányzati szektor informatikai biztonságának megteremtése, V. Nemzeti biztonsági és nemzetközi informatikai biztonsági együttműködés. Az alábbiakban e programot tekintjük át részletesen. 80. oldal oldalak száma: 244

81 Nemzeti informatikai biztonsági észlelő-kezelő rendszer kialakítása (I. feladat) A megvalósítandó cél: a potenciálisan káros számítástechnikai tevékenységek észlelése, a visszaélések elemzése és a lehetséges áldozatok figyelmeztetése, az események kezelésének összehangolása, valamint a megsérült fontos szolgáltatások helyreállítása. A támadások jelzésére nincs szervezett, jól definiált, mindent egyben átfogó jelzőrendszer, csupán a különböző szervezeteknél bekövetkezett támadások helyi észlelése figyelmeztet másokat egy-egy vírusra, támadásra. Magasabb szintű védelemre, kárcsökkentésre és szolgáltatás helyreállításra nyílna lehetőség a helyi elemző és eseményekre reagáló egységek munkájának koordinálásával. Az informatikai biztonsági eseményekre reagáló rendszer mely kialakításáért a Nemzetbiztonsági Minisztérium a felelős- az alábbiakat foglalja magába: válságkezelés kritikus fontosságú rendszerek elleni támadások, veszélyek esetén, a szövetségi kormányzat összefogása más államigazgatási szervekkel a különleges információk és védelmi javaslatok továbbadására az állami, a helyi kormányzatok és hatóságok, a magánszektor, egyéb egyedek és a nyilvánosság felé. A Nemzetbiztonsági Minisztérium vezeti és hangolja össze a biztonsági eseményeket észlelő-kezelő rendszert, amely több kormányzati és magánszektorbeli szervezetből áll. Gyakran nem az új szisztémákra és szervezetekre, hanem a már meglévő IT-biztonsági felelősséggel bíró egyedek, objektumok munkáját kell hatékonyabbá tenni, jobban összehangolni. Az észlelő-kezelő rendszer fő elemei és a szükséges tevékenységek a következők lehetnek Az együttműködési architektúrák kialakítása Az állami és magánszektor együttműködési architektúrájának kialakítása az országos szintű informatikai eseményekre való válaszlépések megtételéhez a következőket igényli. A magánszektor információ szétosztó és elemző központnak (ISAC) nevezett mechanizmusa nagymértékben hozzájárul az ország informatikai biztonságának megteremtéséhez. A Minisztérium szorosan együttműködik e központokkal, melyek gyűjtik, elemzik, továbbítják az adott ágazat vonatkozásában lényeges informatika-biztonsági információkat, megfogalmazzák a bevált gyakorlatokat. A feladatok a következők, amelyek az IT-biztonsági események jobb megértését és kezelését segítik elő: (a) Elemzés: egy támadás jellegéről, a kompromittálódott információról, a kár mértékéről, a támadó lehetséges szándékairól, felhasznált eszközeiről, a kihasznált sebezhetőségekről nyújt információkat. A taktikai elemzés adott sebezhetőségekkel vagy eseményekkel kapcsolatos szempontokat vizsgál. A 81. oldal oldalak száma: 244

82 stratégiai elemzés átfogóbban, a veszélyekkel és sebezhetőségekkel kapcsolatos hosszabb távú trendeket nézi. A sebezhetőségi felmérés pedig részletesen elemzi a rendszereknek és azok fizikai összetevőinek a gyenge pontjait, hogy a rendszerek felelősei fel tudjanak készülni az esetleges támadásokra. (b) Jelzés és figyelmeztetés: egy adott célpont ellen intézett informatikai támadás eszkalálódásának elkerülése érdekében mind a kormányzati, mind a magánszektorban ki kell dolgozni információ továbbítási módszereket a támadással kapcsolatos adatok cseréjére, a törvény által megengedett formában. Az Informatikai Jelző és Információs Hálózat (CWIN) kezdetben csak kormányzati szervekre, majd idővel a kritikus infrastruktúra védelmében érintett partnerekre is kiterjedve- biztonságos, megbízható környezetet teremt az informatikai biztonsággal kapcsolatos bizalmas információk megosztására. (c) Biztonsági események kezelése országos szinten: a Nemzetbiztonsági Minisztériumon, az ISAC-okon, valamint a CWIN-en kívül más minisztériumoknak (például Igazságügyi, Kereskedelmi Minisztérium) és államigazgatási intézményeknek is szerepet kell vállalniuk a biztonsági kérdések megválaszolásában. (d) Válaszlépés és helyreállítás: Ki kell dolgozni a kormányhivataloknál és a kritikus infrastruktúra érintett egységeinél a működés-folytonossági (üzletmenet-folytonossági) tervet, mindezt integráltan az állami szférára és a magánszektorra; ösztönözni kell a komplex informatikai kockázatkezelés alkalmazását, tekintettel arra, hogy abszolút biztonság nincs, de a nemzet a lehető legjobban fel kell hogy készüljön az informatikai támadások kezelésére, a válaszidő és a károk minimalizálására Az információ szétosztása (a) Az állami és a magánszektor közötti információ-áramlás javítása, kiszélesítése az informatikai támadások, veszélyek és sebezhetőségek terén: az állami szervek és a magáncégek közötti kétirányú, biztonsággal kapcsolatos adatcsere akadályainak (bizalmatlanság az állammal szemben, üzleti előny féltése, saját rendszerek felfedése stb.) elhárítása után meg kell teremteni az önkéntes információ szolgáltatás kereteit. (b) Szélesebb körű információ megosztás az informatikai védelemről: A nem kormányzati szerveket, egyetemeket, főiskolákat ösztönözni kell az informatikai védelemhez szükséges információk szétosztásában való aktív részvételre. 82. oldal oldalak száma: 244

83 A veszélyek kivédése és a sebezhetőségek csökkentése (II. feladat) A nemzeti informatikai biztonságot fenyegető veszélyekről és sebezhetőségekről jelen anyagban már részletesen esett szó. Most áttekintjük az ezzel kapcsolatban kitűzött programot A veszélyek csökkentése és a rosszindulatú támadók elrettentése (a) A jogérvényesítés szerepének növelése a megelőzés és vádeljárás során: A nyomozóhatóságok és igazságszolgáltatási szervek (az Igazságügyi Minisztérium Számítógépes Bűnözéssel foglalkozó Igazgatósága, az FBI Informatikai Részlege stb.) feladata a számítógépes bűnözők elfogása, ellenük a vádeljárás lefolytatása. Szerepük van a bűnmegelőzésben, a veszélyek csökkentésében, a rosszindulatú támadókkal szembeni erélyes fellépés és a szigorú büntetés miatti elriasztó hatás révén. Ugyanakkor a megtörtént esetek feldolgozásával, elemzésével (melyhez biztosítani kell a megfelelő erőforrásokat), valamint az érintett ágazatok és más kormányzati hivatalok számára tapasztalatok átadásával is hozzájárulnak a nemzeti informatikai biztonság állapotának javításához. (b) A veszélyek és sebezhetőségek lehetséges következményeinek jobb megértéséhez országos sebezhetőségi felmérés készítése: a Nemzetbiztonsági Minisztérium irányításával az illetékes szerveknek és magánvállalatoknak el kell végezni országos szinten a veszélyek felmérését, a számos lehetséges célpontra irányuló lehetséges támadás kihatásainak minél teljesebb vizsgálata érdekében Meglévő sebezhetőségek azonosítása és javítása A sebezhetőségek számának csökkentése erőforrás igényes feladat. Az USA az informatikai világ négy fő komponensére (melyeknek a kritikus nemzeti infrastruktúra elemek nagy részére jelentős hatásuk van) tűzi ki célul a sebezhetőségek csökkentését. (a) Biztonságos internet mechanizmusok alkalmazása: Az internet biztonsága a tulajdonosok, üzemeltetők és felhasználók közös felelőssége. Cél, hogy üzembiztos és biztonságos protokollokat használjanak az interneten. Meg kell vizsgálni (mely vizsgálatot a Kereskedelmi Minisztérium keretein belül kialakított munkacsoport végzi el) a jelenlegi IPv4 internet protokollról a fejlettebb, beépített IP biztonsággal bíró IPv6-ra történő áttérés előnyeit és gátjait, költségeit (az Európai Unió megtette az IPv6-ra álláshoz vezető kezdőlépéseket). Sürgős teendő a DNS (tartomány név rendszerek) biztonságossá tétele, elkerülendő, illetve csökkentendő az internetes csomagok irányítását végző szerverekre irányuló rongáló, szolgáltatás-megtagadást okozó 83. oldal oldalak száma: 244

84 támadásokat. Az internetet kitevő hálózatok ezreit összekötő BGP-t (Border Gateway Protocol) szintén biztonságosabbá kell tenni. Az alapítványi alapon működő Internet Munkacsoport további munkacsoportokat hozott létre a BGP és DNS biztonságossá tételére, mely munkában a kormányzatnak koordináló szerepet kell vállalnia. Javítani kell az internet útvonal-választási mechanizmusain, kivédendő a szolgáltatás-megtagadási támadásokat. Ennek eszközei: a jelenleginél jobb (forrás)cím-ellenőrzés, sávon kívüli üzenettovábbítás a vezérlő adatok számára. A bevált biztonsági eljárások felhasználásával a szolgáltatók - a Minisztériummal együttműködve - kialakítják a biztonságos hálózatkezelés kódexét. (b) Megbízható digitális vezérlésű rendszerek támogatása: Az irányító és adatgyűjtő valamint a digitális vezérlésű rendszerek biztonsága kiemelt fontosságú. A Nemzetbiztonsági Minisztérium az Energiaügyi Minisztériummal és más hatósággal, valamint a magáncégekkel együtt dolgozzon ki e valós idejű rendszerekhez alkalmas biztonsági eljárásokat, fektessen be az ilyen rendszerek biztonságának kutatásába. (c) Szoftver sebezhetőségek csökkentése és javítása: A hibák javításához fel kell mérni, mit kell javítani, melyhez a sebezhetőségek feltérképezésének módját a jelenlegihez képest jobban át kell gondolni (végrehajtó hatóságok: Nemzetbiztonsági Minisztérium, Nemzeti Infrastruktúra Tanácsadó Testület, magáncégek). A szoftverjavítások szétosztását is jobban meg kell szervezni (Felelős hatóságok: DHS, GSA a kormányzatban; a DHS vezetésével ugyanezen célt kell megvalósítani a magánszektorban.) Szintén a DHS irányításával a szoftveripart ösztönözni kell például könnyen használható biztonsági elemek beépítésére, javítások automatikus elvégezhetőségének biztosítására. (d) Infrastruktúra-függőségek megértése, az informatikai és telekommunikációs rendszerek fizikai biztonságának javítása: Az informatikai tér fizikai kialakítása lehetővé teszi, hogy valamely helyen történt meghibásodás ellenére a kritikus adatok, műveletek más utakon folyjanak. A DHS koordinálásával fel kell térképezni, hogy egy-egy ágazat kritikus összetevőinek hibája, rongálódása milyen más ágazatokat érint (a DHS Nemzeti Infrastruktúra Szimulációs és Elemző Központja segítségével). Helyreállítási és üzletmenet-folytonossági terveket kell kidolgozni a jelentős következményekkel járó esetekre való felkészülés érdekében. 84. oldal oldalak száma: 244

85 Új rendszerek fejlesztése és az új technológiák vizsgálata A sebezhetőségek kiküszöböléséhez kevésbé sebezhető új rendszerek fejlesztése és új technológiák vizsgálatára van szükség. A meglévő rendszerek biztonságának javítása mellett kormányzati irányítással, elkötelezetten kell dolgozni magánszektornak, államnak egyaránt azon, hogy a jövendő hálózatok és rendszerek már eleve tartalmazzák a biztonsági elemeket. Erre vonatkozóan rövid-, közép- és hosszú távú terveket kell készíteni. Az integritást, bizalmasságot és a szoftverkód fejlesztés biztonságát, megbízhatóságát garantáló módszereket, bevált gyakorlatokat el kell terjeszteni. A Nemzeti Biztonsági és Technikai Tanács és az illetékes hatóságok rendszeresen vizsgálják felül a nemzeti informatika-biztonsági kihatásokkal bíró új technológiákat A biztonság tudatosítása és képzés (III. feladat) Az informatikai világ minden résztvevőjének meg kell tennie mindent a hatáskörébe tartozó biztonság javítása érdekében. Ehhez emelni kell a biztonsággal kapcsolatos általános tudásszintet, növelni kell a kifejezetten biztonsággal foglalkozó szakemberek számát, és biztosítani kell mindkét téren a folyamatosságot. Nemzeti programként, kormányirányítással (DHS), de a különböző ágazatok, kormányzati és magánszervezetek, illetve más szereplők bevonásával történjen az alábbi célok megvalósítása Tudatosság Átfogó, nemzeti informatikai biztonsági tudatosságra nevelő kampányt kell folytatni a társadalom és gazdasági élet minden területén. Az otthoni felhasználók és kisvállalkozások bár közvetlenül nem részei a kritikus infrastruktúrának, közvetett módon mégis hozzájárulhatnak a nemzeti biztonsághoz, hiszen mindenki része a társadalomnak, így az informatikai társadalomnak is. El kell érni, hogy mindenki tudatában legyen, miért fontos a biztonsági éberség, milyen következményei lehetnek a hanyagságnak. Az Oktatási Minisztériummal, az államokkal és önkormányzatokkal együttműködve a DHS-nek hangsúlyoznia kell az IT-biztonság fontosságát az iskolákban, a nagyközönség számára is. A programban nagy szerepet vállalhatnak az internet-szolgáltatók, a vírusellenőrző programok gyártói, operációs rendszerek és alkalmazások fejlesztői. A kisvállalkozások és magánemberek például tűzfalakkal, vírusirtókkal, szoftverjavításokkal és nem utolsósorban odafigyeléssel sokat tehetnek azért, hogy ne váljanak támadók ugródeszkájául más rendszerek támadásának részeként. A nagyvállalatoknál melyek rendszerei gyakorta kritikus fontossággal bírnak a biztonság iránt elkötelezett vezetés teheti a legtöbbet, a bevált gyakorlatok bevezetésével, hatékony biztonsági eszközök és módszerek (hitelesítés, képzés, hálózatkezelés, válságkezelés) használatának kötelezővé tételével, a sebezhetőségek felmérésével, 85. oldal oldalak száma: 244

86 csökkentésével. Oda kell figyelni a veszélyeket jelentő egyedek nagyszámú csoportjaira: a belső veszélyforrásokra, melyek által okozott károkat a megfelelő hozzáférés-ellenőrzés, a feladatok elkülönítése, valamint a hatékony biztonsági politika érvényre juttatása (például biztonsági szabályok betartását figyelő szoftver, ellenőrzés) csökkenti. A felsőoktatási intézmények az általuk birtokolt óriási erőforrás-készlet és az ezekhez viszonylag könnyű hozzáférés miatt gyakran támadások célpontjai vagy közbenső állomásai. Néhány vezető egyetemi elnök elfogadott egy öt pontból álló programot, amelyben elsőbbséget adnak az IT-biztonságnak, és elfogadják a nagyobb rendszerbiztonságot garantáló intézkedéseket és politikákat. Az egyetemeket, főiskolákat támogatni kell kormányzati szinten e kérdések megválaszolására, a felhasználói tudatosságot megvalósító programok és anyagok kidolgozására, információ szétosztó központok működtetésére. A magánszektorhoz tartozó ágazatok közül több is megfogalmazta saját kritikus infrastruktúra programját, melynek az informatika is része. Az egyes ágazatok szektor szinten kialakíthatják a biztonsági tudatosságot, mely folyamatban a DHS szorosan együttműködik az ágazattal a tervek és kezdeményezések megfogalmazásakor, továbbá a kutatási, fejlesztési tervezés során. Az államokat és önkormányzatokat segíteni kell abban, hogy invesztáljanak az információs rendszereik biztonsági szintjének emelésébe, és hatékony eljárásokat, módszereket tegyenek magukévá munkájuk során Képzés Megnőtt az igény az infrastruktúra biztonságának megteremtését végző szakemberekre, azonban az elmúlt évek tapasztalatai alapján a képzésbe fektetett pénz nem volt ennek megfelelő. Kevesebben választják szakmájukként az informatikai biztonságot, mint ahány jól képzett, innovatív szakemberre szükség lenne. Ezen a trenden fordítani kell, melyért a oktatási intézmények sokat tehetnek. A munkahelyen is állandó képzésben kell részesíteni az ott dolgozókat. E folyamatban a szövetségi kormányzatnak közvetlen feladatai vannak, a megfelelő képzési programok kidolgozása, különböző kutatási ösztöndíjak kiírása, tudományos projektek meghirdetése révén. Az újdonságok mellett azonban a meglévő szövetségi kormányzati képzések hatékonyságán is javítani kell A szakértői képesítés garanciái és elismerése A DHS és más kormányszervek tapasztalataira és igényeire alapozva meg kell állapítani, hogy milyen módszerrel lehet kialakítani az egységes biztonsági szakértői bizonyítvány megszerzésének feltételeit, tekintettel arra, hogy a jelenlegi képzési formák elvégzése nem nyújt garanciát a szakértői hozzáértés szintjére, mélységére. 86. oldal oldalak száma: 244

87 A kormányzati szektor informatikai biztonságának megteremtése (IV. feladat) A szövetségi kormányzatnak példát kell mutatnia a nemzet biztonsága szempontjából fontos rendszerek védelme terén, be kell építenie a költségvetésbe ez irányú kiadásait. Szövetségi szinten törvény írja elő a kormányzati információs rendszerek védelmének biztosítását. A feladat azonban nem csak a szövetségi, hanem az alacsonyabb szintekre is vonatkozik: az egyes államoknak, helyi önkormányzatoknak is meg kell felelni az új informatikai kihívásoknak Szövetségi kormányzati kezdeményezések Kormányzati reform keretében egységesíteni kell a szövetségi kormányzat biztonsági és kritikus infrastruktúra védelmi kezdeményezéseit és minden szövetségi információs rendszer beruházás feltételéül kell szabni az erős biztonsági szint megvalósítását. Az OMB által kitűzött kormányzati szintű IT-biztonsági program megköveteli a veszélyek és sebezhetőségek folyamatos felmérését minden érintett szövetségi hivatalnál. Egy tavalyi felmérés alapján 6 alapvető sebezhetőséget állapítottak meg a kormányzati rendszerekben, úm.: a felső vezetés nem megfelelő odafigyelése, elégtelen oktatás és a biztonsági tudatosság hiánya, elégtelen biztonsági tervezés, teljesítmény-mérés hiánya, külső szolgáltatások biztonsága megteremtésének elmaradása és sebezhetőségi információk megosztásának elmulasztása. Ezek megoldása, a tervek szerint legalább 6 évet vesz igénybe. További kormányzati feladat a hibák, hiányosságok kiküszöbölésének nyomon követésére egységes folyamat kidolgozása. Az egyes szövetségi hivataloknál 3 további szervezet-specifikus feladatot kell végrehajtani: 1) azonosítani és dokumentálni kell: a szervezet felépítését, a védendő információs vagyont, a szolgáltatásait, a működését, a kritikus folyamatokat, valamint 87. oldal oldalak száma: 244

88 más szervezetekkel való kapcsolatait. Ezeken kívül megfelelő eszközökkel javítani kell a architektúrán, a konfiguráció kezelésen: 2) folyamatosan fel kell mérni a veszélyeket és sebezhetőségeket, például kereskedelmi forgalomban kapható figyelő-jelentésgeneráló eszközök segítségével, ki kell dolgozni a kockázatkezelés lépéseit, 3) meg kell valósítani a biztonsági intézkedéseket és erőfeszítéseket kell tenni a védelem javítására (például folyamatosan változó szoftverek javításainak nyomon követésével) További kormányzati szintű feladatok A kormányzati hivataloknak az OMB-vel együttműködve kell megbirkózni az alábbiakban megfogalmazott informatika-biztonsági kihívásokkal. (a) a szövetségi rendszerek felhasználóinak hitelesítése és az engedélyek kezelése, a logikai, fizikai biztonsági intézkedések végrehajtása (több rétegű azonosítás és hitelesítés), (b) biztonságos vezeték nélküli szövetségi lokális hálózatok kialakítása (a NIST ajánlások felhasználásával), (c) A kormányzati szervek által kezdeményezett erőforrás-kihelyezési projektek és közbeszerzési folyamatok során nagyobb figyelmet kell szentelni a biztonsági kérdéseknek. A DoD javasolta, hogy bevizsgált biztonsági eszközökre és megoldásokra essen a kormányszervek választása a termékek beszerzésekor. (d) Kritériumok megfogalmazása a független biztonsági felülvizsgálatok és felülvizsgálók, valamint tanúsítók számára: szükség van a biztonsági programok és gyakorlatok független szakértői vizsgálatára és tanúsítására, az ajánlások szerint, legalább évente. Az erőforráshiány miatt külső cégekkel végzett felülvizsgálatokhoz azonban ki kell alakítani a külső szakértőkkel szemben támasztott követelményeket (hozzáértés, elfogulatlanság stb.) Az állami és helyi kormányzatok közös feladatai A DHS együttműködik az államok vezetésével és a helyi önkormányzatokkal, ösztönzi azokat a kritikus infrastruktúrát jelentő rendszerek, eszközök feltérképezésére, ITbiztonsági program kidolgozására, az ISAC-kban való részvételre, a felhasználók bizalmának építésére, az IT-biztonsági képzés szintjének emelésére. 88. oldal oldalak száma: 244

89 Nemzeti és nemzetközi informatika-biztonsági együttműködés (V. feladat) Egy határok nélküli világban az Amerikai Egyesült Államoknak vezető szerepet kell vállalnia az információs hálózatok, csatornák biztonságának megteremtésében. Ehhez a célhoz az alábbi programmal tud közelebb jutni: Az USA nemzeti biztonságának megteremtése Az Egyesült Államoknak képesnek kell lennie a nemzeti biztonsággal kapcsolatos értékek megvédésére, és ki kell dolgoznia azokat módszereket, melyekkel a támadók kilétét a leggyorsabban felfedi. Ehhez az alábbiak megvalósítása szükséges: (a) az informatikai elhárítás erősítése, (b) a támadási forrás meghatározásának kidolgozása és a lehetséges támadások megelőzési módszereinek javítása, (c) az informatikai biztonsági eseményekre való reagáláshoz a koordináció javítása az USA nemzeti biztonságában érdekelt szervek között és (d) minden jog fenntartása az USA szempontjainak megfelelő válaszlépések megtételére Nemzetközi együttműködés A Külügyminisztériumnak vezető szerepet kell vállalnia a nemzetközi informatikabiztonsági együttműködés fellendítésében. Ehhez az alábbi kulcsfontosságú lépéseket kell megtenni: (a) A nemzetközi szervezetekkel és a gazdasági élet ágazatainak képviselőivel együtt kell működni egyfajta világméretű biztonsági kultúra kialakítása érdekében. Nemzetközi szinten is fel kell hívni a figyelmet az USA-ban lényegesnek tartott problémákra (képzés, tudatosság, megbízható, biztonságos hálózatok kérdése). Mindezt olyan nemzetközi fórumok előtt, mint például az OECD (Gazdasági Együttműködési és Fejlesztési Szervezet), a G-8-ak, APEC (Ázsiai Országok Szervezete), OAS (Amerikai Államok Szervezete). (b) Törekedni kell a biztonságos hálózatok fejlesztésére, nemzetközi technológiai szabványok kialakítására, a biztonsági kultúra elterjesztésére. Ebben szerepet kell hogy vállaljanak az USA gazdasági szereplői, a külföldi partnereikkel folytatott egyenrangú párbeszédek során. 89. oldal oldalak száma: 244

90 (c) Lépéseket kell tenni Észak-Amerika informatikailag biztonságos hellyé tételére. (d) Elő kell segíteni országos és nemzetközi figyelő-jelző hálózatok kialakítását az informatikai támadások felbukkanásukkor történő észlelésére és a megelőzési feladatokra. (e) Javasolni kell más országoknak, hogy csatlakozzanak az Európa Tanács Informatikai Bűnözésről szóló Konvenciójához, illetve ösztönözni kell őket annak biztosítására, hogy a törvényeik és eljárásaik a Konvencióhoz hasonló tartalmúak és kellő részletességűek legyenek További feladatok Az informatikai ágazattól való függés a jövőben várhatóan a jelenlegitől is erősebb lesz. A bonyolultság növekedése a biztonság megteremtését is még összetettebb feladattá teszi. A stratégia működéséhez az ország számos rétegének elkötelezetten kell dolgoznia, és a továbbiakban is párbeszédet kell folytatnia az IT-biztonság kérdéseiről. A stratégia az információs infrastruktúra biztonságossá tételének hosszú távú célját megvalósító út első lépése. A szövetségi végrehajtó szervek a kitűzött célokat többféle eszköz bevetésével hajtják végre. A Kormányzat a Kongresszussal együtt dönt a stratégiában szereplő célkitűzések megvalósításának költségvetéséről. A felelős minisztériumoknak és hatóságoknak meg kell tervezni a stratégiában rájuk kiszabott feladatok elvégzését. A Szövetségi kormányzatban a Nemzetbiztonsági Minisztérium központi szerepe érvényesül a stratégia teljesítése érdekében, továbbá betölti az államok és kormányzatok, a magánszektor és az amerikai állampolgárok felé az összekötő szerepet. Az egyes minisztériumoknak és hivataloknak (az államokban és településeken) szintén teljesíteniük kell a rájuk háruló IT-biztonsági feladatokat, melyet teljesítményértékelésekkel ellenőriz a szövetségi kormányzat. A biztonság szintjének emelése során figyelmet kell szentelni arra, hogy közben a személyes adatok feletti rendelkezési jog ne sérüljön, aminek érdekében a szövetségi kormány a problémákat, kérdéseket az illetékesekkel rendszeresen megvitatja. Az előre látható jövőben két dolog biztosra vehető: az Amerikai Egyesült Államok gazdasága és társadalma az informatikára épül, és a szövetségi kormányzatnak folytatnia kell a széleskörű együttműködést a megfelelő szervezetekkel, egyénekkel, országokkal a Nemzeti informatika-biztonsági stratégia továbbfejlesztése, megvalósítása és finomítása céljából. 90. oldal oldalak száma: 244

91 4.1.7 A Nemzeti informatika-biztonsági stratégia összegzése A Nemzeti informatikai biztonsági stratégiát megjelenésekor több szervezet is üdvözölte. Külön pozitívumként említették az informatikai eseményeket észlelő és kezelő rendszert, valamint azt, hogy a terv hangsúlyozza a kormányzati információs rendszerek biztonságának növelését. A nemzet biztonságához az összes láncszem biztonságát meg kell teremteni, mely láncszemeket a legkisebbektől (otthoni felhasználók) a legnagyobbakig (kritikus infrastruktúra, nemzetközi szervezetek) figyelembe kell venni, meg kell szólítani, meg kell határozni számukra a teendőket. A stratégia az érintettek vagyis az egész társadalom érdekében fogalmazza meg a feladatokat, az informatikai támadások megelőzése, észlelése és a támadásokkal szembeni védekezés megszervezése céljából. A lefektetett elvek, javasolt módszerek természetesen nem megkérdőjelezhetetlen igazságok, hiszen az informatika és telekommunikáció állandóan fejlődő ágazat, új kihívásokkal, technológiákkal, új szereplőkkel. A jelen anyagban vázolt 2003-as stratégia irányokat szab, és az eddig felhalmozott tudás, tapasztalat birtokában a lehető legjobb módszereket ajánlja. E tudás és tapasztalat alapján megállapítható, hogy az informatikai biztonságot a társadalom teljes keresztmetszetében, horizontálisan kell vizsgálni, ugyanakkor mélységi szemlélettel is meg kell közelíteni, mert csak az átfogó, sok nézőpontú elemzésekből levont ismeretek és az ezek segítségével megvalósított védelmi rendszerek vezethetnek ha nem is a tökéletes biztonsághoz, de egy elfogadható maradványkockázat mellett garantált biztonsághoz Felhasználóvédelmi megoldások A civil szerveződések terén igen nagy múlttal rendelkező Egyesült Államokban a szövetségi és tagállami szinten igen komoly kiépítésű szervezeti háló mellett megszámlálhatatlan a fogyasztóvédelemmel foglalkozó NGO szervezet. Ezek között az utóbbi években ugyancsak feltűntek az online piacon felmerülő problémákat kezelők. Itt is megfigyelhető azonban, hogy ezeknek a szervezeteknek a tevékenysége már nem a hagyományos fogyasztóvédelem talaján mozog, hanem ennél szélesebb, felhasználó érdekeket kívánnak érvényre juttatni. A sokból egy példa kiragadva: a már nevében is sokatmondó Centrum a Demokráciáért és Technológiáért, amelynek a véleménynyilvánítás szabadsága, a domain nevek kérdésköre, a személyes adatok és a magánszféra védelme egyaránt fókuszában van, és amint önmagukról állítják, missziójuk hogy az új korban ezek a jogok töretlenül érvényesülhessenek. [További információ: oldal oldalak száma: 244

92 4.2 Ausztrália Az Ausztráliát ismertető fejezet bekezdéseinek végén [zárójelben] szerepelő forrásjegyzék-hívatkozások (a források neve és elérhetőségek) részletesen a dokumentum mellékletének Forrás- és hivatkozásjegyzék (Ausztrália) című fejezetében megtalálhatók Kormányzati elkötelezettség Ausztrália miniszterelnöke 1997 decemberében programot hirdetett Investing for Growth (Befektetés a növekedésért) címmel, amelyben kiemelte információs társadalom és a kormányzati szerepvállalás fontosságát az ausztrál nemzetgazdaság felemelkedésének virágzásának szempontjából. Ennek érdekében a következőképp támogatja az elektronikus szolgáltatások környezetének kifejlődését: vezető szerepet vállal (törvényeket alkot, széles körben szerepet vállal stb.), támogatja az (elektronikus) kereskedést és üzletet, továbbá segít növelni a vásárlók bizalmát ez iránt, a kulcsfontosságú ausztrál szektorokat online módon elérhetővé teszi és elősegíti az informatikai ipar fejlődését [GON]. Egy olyan gazdasági program esetén, amely az egész gazdaságot informatikai alapra akarja helyezni, a teljes kibontakozás és siker kulcsát jelentheti, ha az állampolgárok és az üzleti szféra közt az érintkezés könnyen és bizalommal történik. Ez nemcsak a kommunikációs kapcsolatok létrehozásának, hanem egy olyan környezet kialakításának igényét veti fel, amelyben a kereskedők és a vásárlók könnyen és megfelelő biztonsággal, azaz úgy tudnak online üzleti tranzakciókat lebonyolítani, hogy megőrzik szükség szerint személytelenségüket, és az árúcikkek illetve szolgáltatások, továbbá az értük fizetett pénz nincs nagyobb kockázatnak kitéve, mint hagyományos üzleti tranzakciók esetén. Éppen ezért az előbbiekben felvázolt gazdasági program és a hozzá kapcsolódó rövid- és középtávú informatikai stratégiák megvalósításához az informatikai biztonság és az ahhoz kapcsolódó jogi, adminisztratív és szabályozási keretrendszer kialakítása és fenntartása kiemelt fontosságot kap, tehát a gazdasági program megvalósulásához kapcsolódó szükséges peremfeltétel. Az ezredfordulót követően új biztonsági irányelv fogalmazódott meg az elektronikus szolgáltatások biztonságának kialakítása, fenntartása mellett: védeni kell Ausztrália kritikus 92. oldal oldalak száma: 244

93 infrastruktúráját, és ezen belül az informatikai infrastruktúra elemeket, mivel ezek biztonságától függhet Ausztrália gazdasági, társadalmi, nemzetbiztonsági stabilitása. Ez az irányelv más megközelítést igényel és más kérdéskörre keres választ, ez utóbbi védelem megteremtése és fenntartása nem szükséges peremfeltétel, hanem elsődleges cél, amely másokat háttérbe szoríthat szeptemberében az Ausztrál kormányzat több kezdeményezést indított az informatikai biztonság nemzeti megvalósítására eme két irányelv alapján az E-Security National Agenda programban összefogva. Ennek feladata növelni az informatikai biztonság fontosságának elfogadottságát, támogatni a kormányzati szerveket és ügynökségeket, továbbá a kis és közép vállalatokat és az otthoni felhasználók informatika-biztonsági kihívásaik leküzdésére. Erre a célra a 2002/03-as költségvetésben 24,9 millió ausztrál dollárt különített el [RIM] programok, projektek és kezdeményezések Ausztrália nem rendelkezik egyértelműen megfogalmazott informatika-biztonsági stratégiával. Helyette a mindenkori aktuális nemzeti informatikai stratégiához, továbbá a politikai és társadalmi viszonyokhoz igazodó informatika-biztonsági rövid-, közép-, hosszú távú projektek és kezdeményezések futnak. Folyamatosan kialakulóban van és fejlődik ennek megfelelően az informatikai biztonság megteremtéséhez kapcsolódó szervezeti, szabályozási, jogi keretrendszer. Az informatika-biztonsági programok, projektek és kezdeményezések, továbbá a kapcsolódó keretrendszerek két fő irányelv köré csoportosulnak: 1) Ausztrália informatikai stratégiájához kapcsolódóan, annak peremfeltételeként biztosítani kell az elektronikus úton biztosított szolgáltatások biztonságát mind kormányzati, mind magán szférabeli felhasználás esetén. 2) Ausztrália gazdasági, társadalmi és politikai stabilitásához szükség van Ausztrália kritikus (adott esetben informatikai) infrastruktúrájának védelmére. A két irányelv közül az 1. fogalmazódott meg korábban, mivel 1997 óta Ausztrália tudatosan olyan gazdasági programot épít, amelyben kiemelt szerepet szán az informatikának, az elektronikus szolgáltatásoknak és így az informatikai biztonságnak [GON]. A 2. irányelv 2000-ben kezdett megfogalmazódni és a 2001 szeptemberében az Egyesült Államokat ért terrortámadások tovább növelték jelentőségét [ESNA]. 93. oldal oldalak száma: 244

94 Az elektronikus szolgáltatások védelme Elektronikus szolgáltatásokat mind a magán szektor, mind a kormányzat megvalósít. A magán szféra elsősorban üzleti, elektronikus kereskedelmi, illetve információ-szolgáltatási célokra, míg a kormányzat az elektronikus alapú ügyvitelre, információ-szolgáltatási célokra, biztonságos kormányzati információcserére, illetve szerződéses feleivel történő ügyintézésre használ fel elektronikus szolgáltatásokat. E szolgáltatások védelmének létrehozását, megszervezését, fenntartását a kormányzati informatikai stratégia megvalósulásához kapcsolódó peremfeltételnek kell tekinteni. Az elektronikus szolgáltatásokhoz kapcsolódó védelmi intézkedések a következő projektek és kezdeményezések köré csoportosíthatók A PKI alapú hitelesítési technológiák támogatása (Gatekeeper) A Gatekeeper a digitális tanúsítványok kibocsátására és kezelésére vonatkozó közjóléti kormányzati stratégia, amelyet a PKI alapú hitelesítési technológiák kormányzati meghonosítására és a PKI technológia egységes és kompatibilis felhasználásának lehetővé tételére hozták létre [GATE]. A projekt fő céljai: Olyan önkéntes akkreditációs sémát hozzon létre, amely a kormányszervek PKI-jának megvalósítását egységesíti, illetve szabványosítja. Felhasználói számára tegye lehetővé, hogy meghatározott kritériumrendszer szerint értékelt és akkreditált, egymással együttműködni képes szolgáltatók közül tudjanak választani. A kormányzati érdekeltségek és tevékenységek a nyilvános kulcsú technológiák felhasználása terén egységesen képviselve legyenek [GATE]. Ennek megfelelően, a Gatekeeper program során meghatározták a következőket: a hitelesítési hierarchia elemei és szereplői, az elemek funkciói, továbbá a hitelesítési/ellenőrzési folyamatok és a tanúsítvány profilok, a hitelesítés szolgáltatókkal szemben támasztott szervezeti, szabályozási, technikai követelmények, kockázatkezelési megoldások, megvalósítási ajánlások és a hitelesítés szolgáltatók akkreditációs rendszere és az ehhez tartozó akkreditációs útmutatók. A Gatekeeper programot (a PKI szolgáltatók akkreditációs folyamatainak tapasztalatai alapján) 2000-ben módosítani kellett az 1997-es elindulását követően. A változtatások megkezdését Gatekeeper Policy Advisory Committee (GPAC) december 14-én hagyta jóvá és 2001 márciusától a NOIE elfogadta a GPAC tagok által javasolt változtatásokat [GPAC]. 94. oldal oldalak száma: 244

95 A változtatások a B, H és P mellékleteket, azaz a tanúsítvány típusokat, továbbá azok ellenőrzési módját, a kriptográfiai algoritmusok felhasználását, a kulcskezelést, a technikai és személyzeti biztonsági előírásokat, továbbá szabványok és ajánlások felhasználását érintették júliusában a Gatekeeper programban egy új tanúsítvány formátum lett specifikálva: a Gatekeeper Type 3 tanúsítvány. A Type 3 Tanúsítvány specifikációt üzleti szféra felkérésére a NOIE készítette el. Ennek elsődleges felhasználási területe az elektronikus kereskedelem lehet. A jelenlegi (Type 1, Type 2. és ABN-DSC) nyilvános kulcs tanúsítványoktól az új formátum abban különbözik, hogy ezt a tanúsítványt elsősorban alkalmazások vagy eszközök, nem pedig az emberek hitelesítésére szánták. Ezt a nyilvános kulcs tanúsítvány formátumot ott célszerű felhasználni, ahol: egy alkalmazás vagy folyamat nyilvános kulcs tanúsítványt használ, egy eszköz nyilvános kulcs tanúsítványt igényel alkalmazások protokoll használathoz (pl. IPSec, SSL stb.), egy szervezet olyan tanúsítványt igényel, amelyet nem lehet Type 1, Type 2, vagy ABN-DSC formátumban kibocsátani (pl. IPSec kliens tanúsítványok) A nyilvános kulcs tanúsítvány-szolgáltatás támogatása Az Australian Business Number Digital Signature Certificate (ABN-DSC) kezdeményezés egy olyan nyilvános kulcs tanúsítvány formátum meghatározására irányul, amely egy természetes vagy jogi személy adószámához kapcsolódik és valamely akkreditált Gatekeeper hitelesítés-szolgáltató bocsátja ki [ABN-DSC]. Ezt a tanúsítványt a kormányügynökségek arra használhatják fel, hogy elektronikus kapcsolat esetén hitelesítsék a velük kapcsolatba lépő vállalatok, vállalkozások azonosságát. Az ausztrál kormányzat ezzel a tanúsítvánnyal kívánja az elektronikus szolgáltatások és elektronikus kereskedelem kifejlődését elősegíteni az ausztrál üzleti és kormányzati szférában Az üzleti tranzakciók védelme A 4 legnagyobb Ausztrál érdekeltségű bank (ANZ Banking Group, Commonwealth Bank of Australia, National Australia Bank és Westpac Banking Corporation) egy munkacsoportot hozott létre Project Angus néven [ANG]. A munkacsoport célja, hogy kialakítson egy olyan keretrendszert, amely az elektronikus kereskedelem alapjául szolgálna. A keretrendszerhez csatlakozó, annak megfelelő 95. oldal oldalak száma: 244

96 pénzügyi szervezeteken keresztül az üzleti tranzakciók hitelesítésének lebonyolítását lehetne megvalósítani. Ebben kulcs szerepet töltene be az ABN-DSC, amelynek felhasználása lehetővé tenné az üzleti vállalkozások számára, hogy egységes digitális azonosítóval rendelkezzenek. Ettől függetlenül azonban a kormányügynökségek az Angus projekten kívüli ABN-DSC-ket is elfogadnák mint pl. az esign Australia tanúsítványát Adatvédelmi projekt A kormányzat felismerte annak a jelentőségét, hogy a társadalomban sokan nagy jelentőséget tulajdonítanak a magánszemélyekről történő személyes információk üzleti felek, illetve magán és kormányzati szférába tartozó más szereplők általi adatgyűjtésnek és kezelésnek, továbbá az információk hozzáférhetővé tétele körülményeinek. Mivel ezek a kérdések gátat szabhatnak az elektronikus szolgáltatások elterjedésében, ezért a NOEI aktívan közreműködik abban, hogy az adatvédelem kérdése megfelelően szabályozott legyen a magán szférában [PRIV] Az elektronikus kereskedelem biztonsági támogatása Az elektronikus kereskedelem biztonsági támogatása céljából indították el az ún. Shopping Online projektet, amelynek célja az, hogy tájékoztassa az ausztrál vásárlókat az elektronikus kereskedelem előnyeiről úgy, hogy emellett bemutatja azokat a megfontolandó kérdéseket és körülményeket, amelyeket egy elektronikus vásárlás esetén célszerű mérlegelni. Ezáltal a kormányzat egyrészt csökkenteni próbálja az elektronikus kereskedelem terén terjengő tévhiteket, másrészt pedig általános betekintést nyújtva az elektronikus kereskedelem folyamataiba növelni próbálja az elektronikus kereskedelembe vetett bizalmat [SOL] SPAM projekt A távközlésért, informatikáért és kultúráért felelős miniszter (Minister for Communications, Information Technology and the Arts) felkérésére a NOEI 2002 februárjában megkezdte a SPAM tevékenységek elhárításának lehetőségét e projekt keretein belül [SPAM] Kritikus infrastruktúra védelme 2000 novemberében a kormányzat az egyre növekvő kormányzati, üzleti, vásárlói és magán felhasználás, továbbá a hálózati technológiák fejlődésének hatására informatikai biztonság szabályozási szerepét kiterjesztette, és így az informatikai biztonsági programok hatályát nemzeti szintre emelte. Ez a nemzeti megközelítés azt a stratégiai célt tűzte ki maga elé, 96. oldal oldalak száma: 244

97 hogy biztonságos és megbízható környezetet biztosítson mind a magán szféra mind a kormányzat számára. A nemzet informatika-biztonsági védelmének megszervezésében és koordinációjában az E-Security Coordination Group (ESCG), Attorney-General's Department (AGD), Trusted Information Sharing Network (TISN) és a Critical Infrastructure Advisory Council (CIAC) vesznek részt a National Counter-Terrorism Committee (NCTC), Australian Federal Police (AFP), Australian Security Intelligence Organisation (ASIO) és az Australian Computer Emergency Response Team (AusCERT) bevonásával [KAG]. A védelméhez kapcsolódóan jelenleg a következő tevékenységek folynak: A kormányzat szervei és az informatikai ipar közti együttműködés és együttműködési megállapodások kidolgozása (és ehhez kapcsolóan lásd ESCG, TISN, CIAC). Az informatikai biztonsági éberség kialakítása (és ehhez kapcsolóan lásd AusCERT, ISIDRAS). Informatikai biztonsági tudásbázis létrehozása, kutatás és fejlesztés irányítása. Az Ausztrál kormányzat kritikusnak tekint minden olyan infrastruktúrát, amely (ha megsemmisül, vagy hosszabb időtartamra elérhetetlenné, használhatatlanná válik) kiemelkedően káros hatással lehet a társadalomra, gazdaságra, vagy nemzetbiztonságra [CI]. Kritikus infrastruktúrának minősülnek a következő szektorok: energia szektor, közművek, szállítás, szállítmányozás, kommunikáció, egészségügy, élelmiszer ellátás, pénzügy, 97. oldal oldalak száma: 244

98 kormányzat, nemzeti példaképek és kulcsfontosságú ipari létesítmények. A kritikus infrastruktúra tulajdonosainak és üzemeltetőinek feladata, hogy: megfelelő védelmet biztosítsanak a védendő értékeknek, a tervezést az Australian and New Zealand Standard for Risk Management (AS/NZS 4360: 1999) szabvány szerint végezzék, évente vizsgálják felül a kockázatkezelési tervet, részt vegyenek az általuk készített és karbantartott kockázatkezelési tervek kormányzati szervek általi tesztelésében, tájékoztassák az állami (AFP), vagy területileg illetékes rendőrséget bármilyen biztonságot érintő eseményről vagy gyanús tevékenységről. Mivel ausztrál és külföldi vállalatok tulajdonában van Ausztrália kritikus infrastruktúrájának nagy része, ezért a biztonság fenntartására külön figyelmet kell fordítani ezeknél a vállalatoknál a megfelelő kockázatkezelés kialakításával. A kritikus infrastruktúrát sokféleképp lehet birtokolni és megvalósítani, ezért nemzeti szinten nem mindenhol lehet megvalósítani egységes megoldásokat. A kritikus infrastruktúra fogalma, az általa felkarolt területek hatálya túlmutat e fejezet fő célján, tehát az ausztrál kormányzat informatikai biztonságban vállalt szerepének bemutatásán, ezért a továbbiakban csak a kritikus informatikai infrastruktúra védelmével, azaz nemzeti informatikai infrastruktúra (National Information Infrastructure NII) foglalkozunk Kormányzati informatikai infrastuktúra védelme A kormányzati rendszerek informatikai biztonsága szorosan összefügg azzal a szándékkal, hogy az összes fontosabb szolgáltatást elektronikus formában is elérhetővé tegyék [GON]. Ennek érdekében a kormány ügynökségeknek a következő jogszabályoknak, szabványoknak és útmutatóknak kell megfelelniük: Adatvédelmi törvény (Commonwealth Privacy Act 1998), Protective Security Manual (PSM), Australian Communications-Electronic Security Instructions 33 (ACSI 33), az Online Authentication - A guide for Government Managers útmutató. 98. oldal oldalak száma: 244

99 Emellett az informatikai biztonságot érintő eseményeket és gyanús tevékenységeket, illetve ezekre utaló nyomokat az ISIDRAS sémának megfelelően jelenteniük kell [ISIDRAS]. Továbbá a kormány ügynökségeknek az elektronikus szolgáltatások biztosítását vizsgáló rendszeres felmérés részeként jelenteniük kell az informatikai biztonságot érintő témákat. Ezen belül az ügynökségek informatikai vezetőinek jelenteniük kell a vonatkozó szabványoknak és előírásoknak való megfelelést (ennek felmérésében egy egységes, központilag meghatározott kérdőív nyújt segítséget) A biztonsági események monitorozása Az Information Security Incident Detection, Reporting and Analysis Scheme (ISIDRAS)-t azért hozták létre, hogy egységes módon lehessen a kormányzati rendszerek biztonságát vagy funkcionalitását veszélyeztető eseményekről információt gyűjteni. A begyűjtött információkat egyrészt a kialakult helyzet vagy események kezelésére, továbbá a fenyegetések elemzésére és biztonsági jelentések alapjául használják fel. Az ügynökségeknek a következő eseményeket jelenteniük kell: jogosulatlan rendszer betörések (kalózkodás), biztonság megsértése, információk jogosulatlan módosítása, hozzáférése, szándékos, vagy véletlen vírus hálózati terjesztése, szándékos, vagy véletlen szolgáltatás-akadályozás, eszközrongálás stb. A bejelentések kezelése a biztonsági események 4 szintű kategorizálásán alapul, amelynél a szint növekedésével nő a fenyegetések lehetséges hatása. Azokat az eseményeket kell jelenteni, amelyek elérik legalább a 2. szintet. A jelentéstétellel egy időben az ügynökségek segítséget kérhetnek az esemény kezelésére. Az ISIDRAS csupán egy tájékoztatási módszer, ezért bűncselekmény, terrorista akció, vagy nemzetbiztonságot érintő esetekben az érintett ügynökségnek tájékoztatnia kell az Australian Federal Police (AFP)-t, illetve az Australian Security Intelligence Organisation (ASIO)-t novemberében kormányzat elhatározta, hogy hálózaton elérhető rendszert hoz létre az ISIDRAS alapján, amely segítségével a biztonságot érintő események jelentése hálózati úton is lehetővé válik [ISIDRAS] A kormányzati hálózati kapcsolatok védelme A FedLink egy olyan informatikai rendszer, amelynek feladata, hogy kormányzati alkalmazottak számára biztonságos hálózati kapcsolatot biztosítson. 99. oldal oldalak száma: 244

100 A FedLink kialakítására egy munkacsoport alakult 1998-ban 10-nél több kormányügynökség delegáltjainak részvételével. Három lehetséges megoldást vázoltak fel a feladat megoldására: dedikált optikai hálózat, munkaállomások közti hálózati forgalom hitelesítése és rejtjelezése, ügynökségek között hálózati forgalom hitelesítése és rejtjelezése. Minden egyes megoldást teljesen megvizsgáltak pilot projektek segítségével, de végül csak az utolsó megoldás bizonyult megfelelőnek (legkevésbé költséges, egész kormányzat számára megfelelő technikai megoldás). A FedLink hálózati adatcsomag rejtjelezésen (IPSec) alapuló Virtuális Magánhálózat (VPN), amely a különböző ügynökségek közti internet-kapcsolat biztonságossá tételével biztosít megfelelő megoldást. A FedLink az ügynökségek közötti kommunikáció védelmét az ügynökségek hálózatának határán elhelyezkedő routerek közt biztosítja, de a router és az ügynökségen belüli informatikai rendszerek védelme már az ügynökségek feladata. A FedLink alkalmazását nem tették kötelezővé az összes ügynökségnél, e-helyett a FedLink-hez kapcsolódást önkéntes alapon lehet kezdeményezni a NOEI-nél, aki megvizsgálja a DSD bevonásával szervezet rendszereinek PSM szerinti besorolását és elbírálja a döntést. A kérelem elfogadását követően a FedLink telepítéséért és üzembe helyezéséért egy magánkézben levő ausztrál vállalkozás (90East) felel [FLNK] Biztonsági tudásbázis fejlesztése Ausztráliában az informatikai biztonsághoz kapcsolódó tudásbázist kétféle úton próbálják megteremteni és szinten tartani: Szabványokat, ajánlásokat, útmutatókat hoznak létre, honosítanak meg, publikálnak és alkalmaznak az informatikai biztonsági feladatokhoz (szabályozás, érvényesítés, ellenőrzés, minősítéshez) kapcsolódóan. Támogatják a szakképzést, az informatikai biztonság kutatását és fejlesztését az informatika-biztonsági feladatok elvégzéséhez szükséges szaktudás elsajátítása érdekében Kockázatkezelési szabvány Az Australian and New Zealand Standard for Risk Management (AS/NZS 4360: 1999) a kritikus infrastruktúrák kockázatkezelés terveinek felméréséhez felhasznált szabvány. A felmérés során a következő szempontokat értékelik: megelőzés, felkészültség, 100. oldal oldalak száma: 244

101 eseménykezelés és helyreállítás (prevention - security, preparedness, response, recovery - PPRR). A szabvány műszaki tartalma az ISO/IEC FDIS 15288: 2002(E), Systems engineering System life cycle processes szabvánnyal egyező [AS/NZS] Biztonsági kézikönyv-gyűjtemény Az Australian Communications-Electronic Security Instruction 33 (ACSI 33) feladata, hogy útmutatást nyújtson a kormányügynökségek számára a titkos, illetve nem titkosnak minősített információk és eszközök védelméhez. Pontosan azt határozza meg, hogy a PSM által megkövetelt óvintézkedéseket milyen lépésekben lehet megtervezni és megvalósítani. Az ACSI 33 gyakorlatilag egy olyan dokumentum/kézikönyv gyűjtemény, amelyben az egyes kézikönyvek különböző területekkel foglalkoznak. Ezen belül minden egyes kézikönyv külön foglalkozik a terület releváns biztonsági megfontolásaival, és ahol lehetséges az óvintézkedéseket kockázattal arányos védelmi szintekbe sorolva ismerteti. A szintek és óvintézkedések kialakítása s ismertetése olyan, hogy a legkevesebb szabványra hivatkozzon és a legkevesebb konkrét javaslatot tegye [ACSI 33] Útmutató a hálózati átjárók biztonsági tanúsításához A Gateway Certification Guide (GCG) Ez az útmutató a hálózati átjárók tanúsítását felvállaló kormányügynökségek számára részletesen leírja azokat a követelményeket, amelyeknek meg kell felelniük. Ezen kívül útmutatást nyújt a biztonságos hálózati átjáró tervezésben, kialakításban, kezelésében, emellett a rendszer vizsgálata során független referenciaanyagként szolgálhat [GCERT] A konzisztens biztonsági megoldások támogatása A Protective Security Manual (PSM) kézikönyv meghatározza azokat a szabványokat és szabványos megoldásak, amelyeket a kormányügynökségeknek, illetve a kormányzattal szerződéses viszonyban levő feleknek követniük szükséges. Ezek a szabványok és szabványos eljárások gondoskodnak arról, hogy az ügynökségek egymással konzisztens biztonsági megoldásokat hozzanak létre és alkalmazzanak a következő területeken, a kézikönyv fő fejezetei szerint: 1) Biztonsági szabályzat, 2) Biztonsági kockázatok kezelése, 3) Informatikai biztonság, 4) Személyzeti biztonság, 101. oldal oldalak száma: 244

102 5) Fizikai biztonság, 6) Szerződések és versenyeztetés, 7) Biztonsági események kezelése és felülvizsgálata, 8) Távmunka biztonsági megfontolásai [PSM] Hitelesítési kézikönyv A kommunikációért, informatikáért és kultúráért felelős miniszter (Minister for Communications, Information Technology and the Arts) jóváhagyásával kiadták az Online Authentication - A guide for Government Managers útmutatót, amely az elektronikus szolgáltatások hitelesítési technikáinak a kormányügynökségek általi megvalósításához nyújt segítséget. Ezen belül ismerteti: a hitelesítési és azonosítási technikákat, az alkalmazásukkal járó előnyöket és hátrányokat, kockázatelemezés alkalmazását javasolja a technikai kiválasztásánál és külön fejezetben foglalkozik a PKI technológiát érintő kérdésekkel [OAU] A biztonsági ismeretek fejlesztése A kisvállalatok tulajdonosainak és üzemeltetőinek a támogatására, az elektronikus szolgáltatások biztonsági kérdéseinek megismertetésére a NOIE létrehozta a Trusting the Internet programot, amely információk szolgáltatása mellett elektronikus hitelesítési esettanulmányokat is tartalmaz [TRUST]. A program által szolgáltatott információk, illetve megválaszolt kérdések (a 10 legjobb informatikai biztonsági tanács): Hogyan hozzunk létre biztonságos honlapot? Hogyan győződhetek meg egy biztonságos tranzakció végrehajtásáról? Hogyan védjem cégem a vírusoktól? Hogyan kezeljem a biztonsági kockázatokat? Hogyan kezeljem kihelyezett szolgáltatás (outsourcing) esetén az elektronikus szolgáltatások biztonságát? Hogyan érhetem el, hogy jelszavaim megfelelőek és védettek legyenek? Hogyan védhetem a személyi számítógépem? Hogyan védhetem nyilvános kulcs tanúsítványaim és kriptográfiai kulcsaim? 102. oldal oldalak száma: 244

103 Hogyan védhetem elektronikus levelezésem? Hogyan választhatom ki a legmegfelelőbb hitelesítési rendszert? Szakképzés, kutatás és fejlesztés Ahogy nőtt az elvárás az elektronikus szolgáltatások és informatikai infrastruktúrák védelme iránti igény, úgy vált nyilvánvalóvá, hogy Ausztráliában az informatika-biztonsági szakemberek iránti kereslet meghaladja a munkaerő piaci kínálatot. A felsőfokú informatikai képzés nem látja el a végzős hallgatókat megfelelő informatikai biztonsági tudásbázissal, nincs olyan minősítési rendszer, mely tanúsítaná az informatikai biztonsági szakértőket és különösen a kormányügynökségekben nehéz megtartani a megfelelő szakképesítésű munkaerőt. Az informatikai biztonsági kutatás és fejlesztés is komoly kihívás elé néz, amelynek okai a következők: A külföldi informatikai biztonsági szolgáltatóktól való függés egyrészt korlátozhatja a kormányzat vezető szerepének megőrzését az informatikai biztonság terén, másrészt Ausztrál informatikai biztonság megfelelő szinten tartása szintén felveti független kutatás és fejlesztés igényét. A biztonságos elektronikus szolgáltatási környezet kialakításának gazdasági hatásai vannak. Az informatikai biztonsági ipar innovációjában fontos szerepe van a kutatásnak és fejlesztésnek. A kormányzat célja, hogy Ausztrália globális szállítója és fogyasztója legyen az informatikai biztonsági termékeknek és szolgáltatásoknak. A kutatás és fejlesztés támogatásával képzett külföldi munkaerőt lehet Ausztráliába vonzani és emellett a hazai tehetségek otthon tarthatók. Az informatikai biztonság kutatás és fejlesztés segíthet a kormányzatnak az infrastruktúra és a társadalom védelmében. E problémák orvoslására a NOIE a DSD-vel és más szervezetekkel együtt különböző informatikai biztonsági oktatási, szakértői, minősítési, kutatási és fejlesztés-támogatási programok kialakításán fáradozik oldal oldalak száma: 244

104 4.2.3 Szervezeti keretrendszer Az informatikai biztonság általános szervezeti keretrendszere Az Online Council miniszteri fórum Az Online Council egy legfelsőbb minisztériumi fórum, melynek fő feladatai (az informatika koordinációja terén az ausztrál kormányzatban) az alábbiak: vezető szerepet vállal a kormányzat összes területén, az iparban és a társadalomban az elektronikus szolgáltatások és kommunikáció támogatásával, fórumként biztosítja az állami stratégiák, a (megyei és települési) önkormányzatok és a nemzetgazdaság közti összhangot, elbírálja az önkormányzatok és a kormányzati szervek, továbbá a hozzá tartozó tanácsadói csoportok javaslatait, döntést hoz, irányelveket egyeztet és feladatainak megfelelően tájékoztatja az érintetteket és szétosztja a döntésekhez kapcsolódó feladatokat az érintettek között. Az Online Council-ba tartozó minisztereket as kormányzati szervektől és a szakmai környezetükből delegált szakértők segítik A NOIE koordinációs hivatal A National Office for the Information Economy (NOIE) az Online Council alá tartozó hivatal, amely végrehajtó szerepet tölt be. Mint ilyen, közvetlenül felelős a kormányzat számára biztosított informatikai tanácsadás kialakításáért és koordinációjáért a következő témakörökben: az információs technológiai és kommunikációs kérdések hatása az informatikai gazdaságra, az elektronikus szolgáltatásokhoz (beleértve az elektronikus kereskedelemhez) szükséges fizikai infrastruktúra és szabályozási keretrendszer kialakítása, új technológiák meghonosítása a kormányzatban és a kormányzati munkában, segítség nyújtása a kormányzatnak és az üzleti szférának az elektronikus szolgáltatások biztosításához, egységes kormányzati álláspont kialakítása a megfelelő nemzetközi fórumokon az informatika gazdasági kérdéseiben oldal oldalak száma: 244

105 A NOEI hitelesítés témakörével is foglalkozik, hogy növelje az elektronikus szolgáltatások és elektronikus kereskedelem iránt mutatott állampolgári, üzleti és kormányzati bizalmat. Ehhez kapcsolódóan: meghatározza a NOIE hitelesítési technológiákhoz kapcsolódó szerepét, foglalkozik a hitelesítés kormányzati kérdéseivel, foglalkozik a Gatekeeper program jövőjével, a NEAC-ot felváltó tanácsadó szerv kialakítását mérlegeli, hitelesítéshez kapcsolódó útmutatókat ad ki az üzleti vállalkozások és a kormány ügynökségek számára, tanácsot ad a kormány ügynökségeknek hitelesítési kérdésekben és segít kialakítani az ügynökségek hitelesítési szabályzatát, segíti a kormányzati hitelesítési technológiák fejlesztésében érintett különböző munkacsoportokat [NOIE] A biztonsági koordináló szervezet A NOIE kulcsszerepet tölt be Ausztrália informatikai biztonságában. Ennek érdekében a NOIE vezetésével működő E-Security Coordination Group (ESCG) vezető szerepet tölt be az informatikai biztonsági szabályozás fejlesztési és koordinációs szerveként. Feladata biztonságos és megbízható működési környezetet teremteni mind az állami, mind a magán szektor számára [KAG] A törvényi és jogi rendszert támogató AGD szervezet Az Attorney-General's Department (AGD) a kormányzatot támogatja törvényi és jogi rendszer fenntartásával és fejlesztésével. Ezen belül koordinálja és biztosítja a nemzeti informatikai infrastruktúrát (NII) érintő jogi és törvénykezési kérdéseinek megválaszolását az alkotmányhoz igazodva [KAG]. Ezen belül: együttműködik a NOIE-vel az ipari együttműködését elősegítve, támogatja a Trusted Information Sharing Network (TISN) kialakítását, biztosítja, hogy a NII kritikus elemei Ausztrália érdekeinek megfelelően, strukturáltan és ellenőrizhetően legyenek védve. koordinálja a bűntető törtvénykönyv és igazságszolgáltatás, továbbá az informatikát érintő törvények szükségszerű módosítását az NII szabályozásának kialakítása során, 105. oldal oldalak száma: 244

106 krízis helyzet kezelési megállapodásokat köt az NII-t érintő nemzetgazdaságra ható támadások kezelésére, stratégiai szinten koordinálja az NII védelmére irányuló nemzetközi törekvéseket és Ausztrália határain túli érdekképviseletet. Az AGD jogi kérdéseket érintő meghatározási és tanácsadása feladatait az Informatikai és Biztonsági Jogi Divízió (Attorney-General's Department Information and Security Law Division) látja el Biztonsági tanácsadó szervezet (DSD/InfoSec) A Defence Signals Directorate's Information Security Group (DSD/InfoSec) szervezet feladata, hogy informatika-biztonsági szolgáltatásokat, tanácsadást nyújtson a kormányzatnak és a honvédelmi minisztériumnak [DSDI]. A DSD/InfoSec feladatai a következők: az Australian Information Security Evaluation Program (AISEP) kezelése, Gateway Certification Guide adminisztrációja és internet-átjárók minősítése, tanácsadás nyújtása a hatékony biztonsági megoldások kialakításában, felülvizsgálatok végzése, az informatikai biztonsági megoldásokra vonatkozó útmutatók és szabályzatok kialakítása kormányzati célokra, a kormányzati informatikai és kommunikációs rendszerek fenyegetés és kockázat elemzésének elvégzése, amelyhez egy szakértői csapatot, a Computer Network Vulnerability Team-et (CNVT) tartja fenn, az Information Security Incident Detection, Reporting and Analysis Scheme (ISIDRAS) rendszer működtetése, a DSD/InfoSec részt vesz az ESCG-ben és a CIAC munkájában, az NII biztonságát érintő események felülvizsgálata az AFP és az ASIO-val együttműködve, szoros kapcsolat fenntartása más országokkal informatika-biztonsági ügynökségeivel az NII kapcsán Az AusCERT szervezet Az Australia s national Computer Emergency Response Team (AusCERT) a nemzetközi FIRST (Forum of Incident Response Team) csoport tagja, non-profit szervezet, amelynek központja Queenslandi Egyetemen (University of Queensland) van. Egyes részei költségeinek térítését az ausztrál kormány biztosítja oldal oldalak száma: 244

107 Elsődleges feladata a pontos és megbízható, továbbá időbeli tájékoztatás a hálózati fenyegetésekről és a rendszerek sebezhetőségéről. Emellett tanácsadással és informatikabiztonsági szakképzéssel is foglalkozik [ACERT] Az informatikai biztonsági eszközök bevizsgálásának felügyelete A National Association of Testing Authorities (NATA) hatóság az ausztráliai teszt és mérő laborok (beleértve az informatikai és informatikai biztonsági eszközöket bevizsgáló laborok) fő felügyeleti szerve. Emellett a minősítő szervek fő felügyeletét, szakértő képzést és referencia anyagok akkreditációját is végzi [NATA] Nemzetközi együttműködést támogató szervezet A Joint Accreditation System of Australia and New Zealand (JAS ANZ) egy non-profit önfenntartó nemzetközi (Ausztrál Új-Zélandi közös) szervezet, melynek feladata menedzsment rendszerek, informatikai termékek és személyzet minősítése [JAS ANZ] Nemzeti informatikai infrastruktúrához (NII) kapcsolódó szervezeti keretrendszer A nemzeti informatikai infrastruktúra védelmének szervezeti keretei A Trusted Information Sharing Network (TISN) szervezetet a kormányzat alapította, hogy a nemzeti informatikai infrastruktúra védelmében érdekelt és érintett kormányzati és magán szférába tartozók információt tudjanak cserélni olyan fontos témákban, mint: üzletmenetfolytonosság, események következmények kezelése, informatikai támadások és sebezhetőségek, informatikai bűnözés, kulcsfontosságú helyszínek védelme, élelmiszer és ivóvíz készletek védelme biológia, kémiai és radiológiai veszélyekkel szemben, határon túli érdekeltségek és erőforrások védelme [TISN]. A TISN-ben több, különböző üzleti szektorból származó tanácsadó csoport vesz részt, lehetőség szerint egyesítve azokat azon fenyegetettségek és sebezhetőségek alapján (pl. a szállítmányozási szektoron belül a légiforgalmi társaságok). A kérdéses szektorhoz tartozó kormányszervnek kell koordinálnia a hozzá tartozó tanácsadói csoportok kialakítását és munkáját az infrastruktúra tulajdonosaiból és üzemeltetőiből a kritikus infrastruktúra védelmére A nemzeti informatikai infrastruktúra védelmének felügyelete A Critical Infrastructure Advisory Council (CIAC) a TISN részét képezi. Felügyeleti szerepet tölt be a tanácsadó csoportok felett és tanácsot ad az AGD-nek a nemzeti informatikai infrastruktúra nemzeti szinten egységes megközelítésű védelmének kialakítására. A CIAC minden egyes kritikus infrastruktúra szektorból, továbbá az 107. oldal oldalak száma: 244

108 önkormányzatokból és a kormány ügynökségekből delegált képviselőkből áll és az AGD vezetésével tevékenykedik [CIAC]. A CIAC elsősorban közép és hosszú távú megoldásokat keres a kritikus infrastruktúra kármegelőző jellegű védelmére és koordinálja ezt a tevékenységét a magán szektorral Ausztrál Biztonsági Ügynökség Az Australian Security Intelligence Organisation (ASIO) szervezet az ESCG és a CIAC tagja [KAG]. Fő feladatai ehhez kapcsolódóan: az információgyűjtés koordinálása, információk analízise, kockázat elemzések kidolgozása, részvétel az NII biztonságát érintő események kivizsgálásában, az NII biztonságát érintő események titkosszolgálati vonzatainak kezelése és részvétel az NII kritikus elemei védelmi programjainak és védelmi szabályzatainak kidolgozásában Ausztrál Szövetségi Rendőrség Az Australian Federal Police (AFP)az ESCG és a CIAC tagja [KAG]. Fő feladatai ehhez kapcsolódóan: a Nemzeti informatikai infrastruktúra (NII) biztonságát érintő események kivizsgálásában való részvétel, a Nemzeti informatikai infrastruktúra (NII) biztonságát érintő események bűnüldözési vonzatainak kezelése, a Nemzeti informatikai infrastruktúra (NII) kritikus elemei védelmi programjainak és védelmi szabályzatainak kidolgozásában való részvétel Együttműködési megállapodások Mivel a DSD, ASIO és az AFP közötti információ megosztás és együttműködés befolyásolhatja a nemzeti informatikai infrastruktúra biztonságának fenntartását, ezért a szervezetek között együttműködési megállapodásokat Joint Operating Arrangements (JOA) hoztak létre a biztonságot érintő események, fenyegetések és sebezhetőségek kezelésére és tájékoztatásra [KAG] oldal oldalak száma: 244

109 Elektronikus szolgáltatásokhoz kapcsolódó szervezeti keretrendszer Az elektronikus kereskedelem biztonsági támogatása Az Action Group on Law Enforcement Implications of Electronic Commerce (AGEC) szervezetet 1997-ben hozták létre, hogy a kormányzat felmérhesse az elektronikus kereskedelem rendészeti szervezetekre, továbbá költségvetési intézmények biztonságos működésére történő kihatását [ECL]. Az AGEC vezetője az ESCG tagja A nyilvános kulcsú technológia biztonsági felügyelete A Government Public Key Authority/Gatekeeper Policy Advisory Committee (GPAC) egy olyan bizottság, amely kormányzati ügynökségekből és informatikai ipari társulások által delegált személyekből áll, és feladatai a következők: felügyelet a nyilvános kulcsú technológia bevezetését a kormányzatban, tanácsadás a PKI nyújtotta lehetőségek kihasználása terén a kormányzati ügynökségeknek, felügyelet a kormányzati PKI (GPKI)-ra vonatkozó szabványok kialakításánál és olyan cégek akkreditációs folyamatainál, amelyek a kormányzat számára PKI szolgáltatásokat akarnak nyújtani. A GPAC-ot a NOIE támogatja, amin keresztül a kormány ügynökségek, a piaci szereplők és más szervezetek felvehetik a kapcsolatot a GPAC-al A hitelesítési technológiák szervezeti támogatása A National Electronic Authentication Council (NEAC) egy kormányzati és üzleti szférából delegált tagokból álló tanács, amely tanácsadó szerepet tölt be a hitelesítési technológiák elektronikus kereskedelem üzleti szférában történő megfelelő felhasználására és támogatására [NEAC]. Ennek érdekében: esettanulmányokat készít, a kormányzat által akkreditált szabványok használatára biztatja a vállalkozásokat, tanácsadási szolgáltatást nyújt, informatikai biztonsági fórumot biztosít az Australian Electrical and Electronic Manufacturers Association (AEEMA)-al együttműködve kormányzati és üzleti szféra együttműködéséhez oldal oldalak száma: 244

110 Az akkreditációs, minősítési és tanúsítási keretrendszer Informatikai biztonsági értékelések 1995-től önálló programként működik az Australian Information Security Evaluation Program (AISEP), amelynek informatikai biztonsági értékelések elvégzése a feladata [AISEP]. E program keretein belül pártatlan társaságok végeznek értékeléseket nemzetközileg elismert szabványok (ITSEC és CC) alapján. Az értékelések eredményét a DSD tanúsítja. Az értékeléseket csak olyan társaságok végezhetik (AISEF - Australian Information Security Evaluation Facilities), akiket a DSD akkreditált (felmérte, hogy követik-e a szabványokat és megfelelő szaktudással rendelkeznek-e) A hálózati átjárók tanúsítása A Gateway Certification program feladata, hogy segítse a kormányügynökségek rendszerei minél kisebb kockázat mellett tudjanak nyilvános hálózatokra (pl. internet) kapcsolódni [GCERT]. A tanúsítási folyamat során azt vizsgálják, hogy a hálózati átjáró biztonsága, óvintézkedései megfelelnek-e a vizsgált kormányügynökség biztonsági szabályzatának. Ehhez a vizsgálatot végző személynek meg kell vizsgálnia a biztonsági célokat és kockázat elemzéssel fel kell mérnie a maradványkockázatot. A kormányzat a tanúsításhoz és követelményeknek való megfeleléshez Gateway Certification Guide néven útmutatót adott ki Gatekeeper akkreditáció A NOIE felelőssége a Gatekeeper PKI infrastruktúrájába tartozó szervezetek és szolgáltatók akkreditációjának kezelése. Az akkreditációhoz szükséges követelmények és ajánlások 1998 decemberében lettek kihirdetve [GA], amelyek a következők: megkövetelik a kormányzati közbeszerzési szabályzatnak való megfelelést, megkövetelik az informatikai biztonsági szabályzat és informatikai biztonsági tervezés meglétét, fizikai biztonságra vonatkozó előírásokat határoznak meg, meghatározzák a felhasznált technológiák értékelését, meghatározzák a hitelesítés szolgáltatók (Certification Authority - CA) szabályozását és adminisztrációját, megkövetelik a személyzet háttérvizsgálatát, 110. oldal oldalak száma: 244

111 jogi kérdéseket tárgyalnak és adatvédelmi megfontolásokat ismertetnek. Ezen túlmenően a Gatekeeper projekt foglalkozik az érintett üzletág és a kormányszervek közti együttműködéssel, továbbá a Gatekeeper projekt alá tartozó új szolgáltatások és kezdeményezések kialakításával Felhasználóvédelmi megoldások Erőteljes hatáskörrel bír az Ausztráliában létrehozott Telecommunications Industry Ombudsman, azaz Telekommunikációs Ipar Ombudsmanja (TIO) szervezet is. A TIO egy szabad és független szervezet, amelynek célja, hogy alternatív vitarendezési megoldásokat nyújtson kisebb üzleti vállalkozásoknak és felhasználóknak, akiknek a telefon vagy internet szolgáltatással kapcsolatos panaszuk van. A TIO-t 1993-ban alapította a szövetségi kormány, azonban az mind az ipartól, mind a kormánytól és a fogyasztóvédelmi szervezetektől független. A TIO mai jogkörét az 1999-ben elfogadott Telekommunikációs Törvény határozza meg. Kötelező erejű határozatokat hozhat egyes ügyfajtákban, a meghatározott ügyértékig. [További információ: Jogi és szabályozási keretrendszer Törvények az elektronikus bűncselekményekkel szemben Az ausztrál bűntető törvénykönyvnek az elektronikus bűncselekmények kezelésével történő kiegészítését 2001-ben indítványozták a Cybercrime Bill-ben [CCB]. A tárgyalt kihágások a következők lehetnek: súlyos kihágás miatt elkövetett jogosulatlan hozzáférés, módosítás, károkozás, károkozás szándékával elkövetett jogosulatlan károkozás, jogosulatlan elektronikus kommunikáció zavarás, jogosulatlan adatbirtoklás (pl. hacker eszközök) számítógépes károkozás céljából, jogosulatlan adatszolgáltatás számítógépes károkozás céljából, titkos (adatvédelem) adatokhoz történő jogosulatlan hozzáférés, adathordozón, elektronikus hitelkártyán levő adatok jogosulatlan rongálása [KAG] oldal oldalak száma: 244

112 Ezen túlmenően, az alkotmánynak megfelelően, a nemzeti informatikai infrastruktúra védelme szempontjából azok a támadások, illetve informatikai rendszerhibák minősülnek kritikus eseménynek, amelyek: az egész nemzet szempontjából kritikus jelentőségűek, hatással vannak a nemzetgazdaságra, súlyosan aláássák az informatikai infrastruktúrába vetett állampolgári bizalmat és az életet, egészségi állapotot, vagy közrendet veszélyeztetik. Bármely olyan esemény, amely kritikusan érintené a nemzeti informatikai infrastruktúrát precedensnek tekinthető a nemzetbiztonság és a bűnüldözés szempontjából [KAG] Az adatvédelmi törvény 2000 decemberében az adatvédelemről szóló 1988-as kormányzati ügynökségekre vonatkozó adatvédelmi törvényt kiegészítették a magánszektorra vonatkozó réssszel (Privacy Amendment - Private Sector - Act 2000). Az új törvény 2001 decemberében lépett életbe és egyaránt vonatkozik kormányzati ügynökségekre és a magán szférára. A törvény nem vonatkozik azokra a vállalatokra, amelyek éves forgalma nem haladja meg a 3 millió ausztrál dollárt abban az esetben, ha a cég: nem vállalja önkéntesen a törvény betartását, nem kezel személyes vagy egészségügyi információkat, nem biztosít egészségügyi szolgáltatást és nem biztosít szerződéses keretek alapján szolgáltatást a kormányzatnak. További kivételt jelent a média által kezelt személyes információk, személyes feljegyzések, továbbá az érintett felek közötti személyes információ csere [PRIV] Az elektronikus kereskedelmi törvény Az elektronikus kereskedelmi törvény ETA (Electronic Transactions Act 1999) olyan engedékeny szabályozás rendszert hozott létre, amely lehetővé teszi az elektronikus kereskedelmet, továbbá a vállalkozások és magánszemélyek számára a kormányzattal és kormányszervekkel elektronikus úton történő kommunikációt. Ennek értelmében nem lehet csak azért elutasítani egy tranzakciót, mert elektronikus úton történik [ECL]. A törvény 2001 júliusától kiterjesztette hatályát az összes releváns ausztrál törvényre, a törvényhez csatolt szabályozás (Electronic Transactions Regulations 2000) határozza meg azokat a törvényeket, amelyekre ez a hatály nem terjed ki. Az ETA két fő vezérelvre épül: funkcionális egyezés (médium függetlenség papír alapú dokumentumok és elektronikus tranzakciók között nem lehet különbséget tenni) és technológia függetlenség oldal oldalak száma: 244

113 Az ETA az üzleti vállalkozások számára lehetővé teszi a következő információk elektronikus formában történő szolgáltatását: írásos információ-szolgáltatás, hitelesítés elektronikus aláírással, dokumentum-szolgáltatás, információrögzítés és -megőrzés. Az ETA egységes módot állapít meg továbbá a tranzakciók idejének és helyének meghatározásához, amelyek fontosak lehetnek egy tranzakció szempontjából. Az ETA életbe léptetése nem kötelező, így Ausztrália egyes államainál (elsősorban nyugaton) az ETA nem lépett életbe. Ilyen államoknál a helyi szabályozás az irányadó és ezért jelentős lépéseket kell tenni annak érdekében, hogy egységes kezelése legyen az elektronikus kereskedelemnek egész Ausztráliában Az interaktív szerencsejátékok szabályozása Az Interactive Gambling Act július 11-én terjesztték be Ausztráliában [GACT]. A törvény a következőképp kezeli az interaktív szerencsejátékot: tiltja ilyen szolgáltatások biztosítását ausztrál személyek számára, tiltja ilyen ausztráliai forrású szolgáltatások biztosítását a törvényben megjelölt országbeli személyek számára, ausztrál állampolgárok számára interaktív szerencsejátékot érintő panasz bejelentő rendszer létrehozását és elérhetőségét határozza meg A kriptográfiai eszközök forgalmának szabályozása Ausztráliában jelenleg nincs korlátozás a kriptográfiai eszközök importjára vonatkozóan. A kriptográfiai eszközök exportját a Wassenaar Egyezmény (Wassenaar Arrangement WA) értelmében Ausztrália 32 más országgal együtt korlátozza. Titkosítás felhasználására nagyon kevés korlátozás van. Ha bármely olyan szoftver vagy hardver, amely titkosítási technológiát használ fel, kapcsolódik a nyilvános telefonhálózatra, akkor ehhez engedélyre van szükség. Szintén külön engedélyezés szükséges kormányzati információk titkosításához A nyílt hálózatok kritikus tartalmának szabályozása 1999-ben az ausztrál parlament elfogadta az illegális és sértő internetes anyagokra vonatkozó rendeletet [OCR]. Ennek következtében több kormányzati és ipari kezdeményezést indult: 113. oldal oldalak száma: 244

114 2000. január 1-jétől a panaszt lehet emelni a kormányzatnál az illegális hálózati tartalommal kapcsolatban, az Internet-szolgáltatók Társasága a hálózati tartalom kezelésére gyakorlati előírásokat hozott létre, felállítottak egy NetAlert nevű tanácsadó testületet, amelynek az oktatási és figyelem felkeltési szerepe van Az ICA szervezet felmérése Ausztráliáról Ausztrália sajátosságai Az e-kereskedelem és az ICT eszközök hatékony használatának támogatása elősegíti a termelékenység növekedését, a strukturális változásokat és a befektetéseket az ausztráliai gazdaságban, és egy online szolgáltatási környezetet teremt, amely támogatja a megbízhatóságot és a védelmet. Az Információs Gazdaság Nemzeti Hivatala (NOIE) osztozik a közszférában és a magánszférában tevékenykedő vetélytársakkal, de tapasztalatban és tudásban kiemelkedő helyen van. Ausztráliának világos és folytonos fejlődést kell elérnie az azonosítást, biztonságot, személyi jogokat és hitelesítést érintő kérdésekben. A hitelesítési technológiák nemzeti keretrendszere kifejlesztés alatt áll, és számos dolog mellett alternatív akkreditálási szabványok értékelése és kutatása, valamint a PKI üzleti modelljei is célként szerepelnek IT-biztonsági alapelvek 2002 májusában a NOIE kibocsátott egy tanulmányt "A nemzeti hitelesítési technológia keretrendszere felé". A tanulmányt a NOIE dolgozta ki, hogy ötletekkel az érdekeltek széles körét bíztassa a hitelesítési technológiák nemzeti keretrendszere felé történő elmozdulásban. Ez elősegíti: a hitelesítési technológiák fontosságának kihangsúlyozását, mint az elektronikus kereskedelem kulcsát, a fogyasztók és az üzleti érdekeltségek jelenlegi hitelesítési technológiájának frissítését (szabványok és keretrendszerek), a piaci igényeknek való megfelelés figyelembevételét (a kormányzati felhasználók, az ipari hasznosítások és az e-kereskedelem fogyasztói számára) az elkövetkező két-három évben, annak figyelemmel kísérését, ha a hitelesítési technológiák keretrendszerére vonatkozó jogszabály megjelenik (különös tekintettel a PKI-ra és a biometriára), alternatív akkreditálási szabványok és PKI üzleti modellek kutatását és értékelését, 114. oldal oldalak száma: 244

115 az érdekeltekre alapozva a kommunikációs, információtechnológiai és művészeti miniszter számára ajánlások biztosítását és a kormányzat PKI elfogadásának keretrendszerére vonatkozó jövőbeli megegyezések figyelemmel kísérését Megbízható szolgáltatások A Gatekeeper a digitális tanúsítványok kibocsátására és kezelésére vonatkozó közjóléti kormányzati stratégia (GATE). Az elfogadási kritérium a magánjogokat és biztonságot is magába foglalja, valamint biztosítja az akkreditált szolgáltatók közötti együttműködést. A mai napig az ausztrál adóügyi hivatal, a Baltimore Certificates Australia Pty Ltd. és az Egészségügyi ealáírás Hatóság felel meg teljes mértékben a Gatekeeper akkreditálásnak. Az esign Australia Limited elérte az akkreditálás bejegyzési szintjét. A stratégia engedélyezi az elfogadott digitális tanúsítvány sémák egymás közötti felismerését, ill. elfogadását Biometriai tapasztalatok Általában megfigyelhető, hogy a biometriai technológiák, mint a bonyolultabb hitelesítési formulák komolyabb szabályozást és elfogadási keretrendszert igényelnek. A NOIE tervezi, hogy a jövőben alaposabb kapcsolatba kerül a biometriai technológiákkal, beleértve a Biometrics Institute of Australia-val való együttműködést. A nemzeti hitelesítési technológiai keretrendszer (National Authentication Technology Framework (NATF)) megbeszélésein egyértelművé vált, hogy a NOIE meghatározó szerepet kell hogy betöltsön a képzési szerepkörben. A NOIE figyelmet szentel a biometriai technológiák elterjesztésének és látókörbe helyez további munkát igénylő területeket is. Különböző kormányzati hivatalok elfogadták, vagy tervezik a biometriai technológiák elfogadását. A technológia még mindig korai stádiumban van és az ausztrál piac még fontolgatja használatát. Az Ausztrál Biometriai Intézet támogatja a felhasználók biometriai technológiákkal szembeni bizalmának növelését Tervek Országos munkacsoportok támogatják a nemzeti hitelesítési keretrendszer kidolgozásának szükségességét. A munkacsoportoknál az előterjesztést és az érdeklődést a fogyasztói szervezetek, az egyéni üzletemberek, az ipari társaságok, a biztonsági technológia forgalmazói és szakértői, egyes kormányhivatalok és más érdekelt felek bíztatják, támogatják. Ennek a széleskörű konzultációs folyamatnak az eredményei javaslatban kerülnek összefoglalásra és a NOIE fogja eldönteni a jövőbeli irányvonalakat, különös tekintettel a PKI-ra és a biometriára vonatkozóan. A legfontosabb korlátokat a tudás hiánya, a költségek, a bonyolultság és az alkalmazások hiánya jelenti oldal oldalak száma: 244

116 4.2.6 Ausztrália biztonsági eredményei és törekvései (összegzés) A követett irányelvek Ausztrália kormányzatának informatikai biztonsági szerepvállalását a következő tényezők jelentős mértékben befolyásolják: 1) Ausztrália külpolitikája és történelmi háttere Ausztrália politikai szövetségese az Egyesült Államoknak és Nagy Britanniának. Ez a nemzet biztonságot és így az kritikus informatikai infrastruktúra védelmének szükségességét felveti különös tekintettel a szeptember 11-i eseményekre. A Nemzetközösség tagjaként az angolszász országokhoz, így különösen Nagy Britanniához, Kanadához, Új- Zélandhoz erős szálak fűzik, ami befolyásolja a kulturális és informatikai ipar fejlődés irányát, illetve kereteit. 2) Ausztrália gazdasági helyzete és gazdasági programjai Ausztrália gazdasági és politikai vezető szerepre törekedik a csendes óceáni régióban. 3) Ausztrália belpolitikai helyzete nagy területen több egymástól viszonylag független régióból áll, amelyek önálló szabályozást valósítanak meg az alkotmányos és más jogi keretek között. 4) Ausztrália informatikai biztonsági tudásbázisa kevés a megfelelő háttérrel rendelkező informatikai biztonsági szakértő a kormányzatban, a szakértők javarészt külföldi vállalatok helyi kirendeltségeinél, illetve magánkézben levő vállalatok alkalmazásában állnak. Mindezek következtében a kormányzat az informatikai biztonság kialakítása terén az alábbiakra törekszik: 1) megfelelő védettséget biztosítani az informatikai infrastruktúra kritikus elemei számára, 2) az angolszász államokban meghonosodott szabályozási keretek átvételére és az azokhoz hasonlóak kialakítására, 3) részvételre és vezető szerepre a gazdasági programot támogató informatikai biztonsági kezdeményezésekben, projektekben és programokban, 4) az informatikai biztonságban érintett magánszférába tartozó érdekcsoportok bevonására az informatikai biztonsági feladatok megoldása terén és 5) a külföldi érdekeket is képviselő csoportoktól, gazdasági társulásoktól való függetlenségre oldal oldalak száma: 244

117 A korábban ismertetett irányelvek egyelőre egymással párhuzamosan érvényesülnek, mivel alapvetően más igény alapján alakultak. Mivel a megvalósításuk során több közös, illetve hasonló elemet is felhasználnak és Ausztrália kormányzata mindkét irányelv megvalósításában vezető szerepet vállal, ezért valószínűsíthető, hogy a két irányelv egymásra hatása a jövőben nőni fog, esetleg összeolvadhatnak és új irányelv fog kialakulni Kormányzati szerepvállalás Ausztrália miniszterelnöke 1997 decemberében programot hirdetett Investing for Growth (Befektetés a növekedésért) címmel, amelyben kiemelte információs társadalom és az kormányzati szerepvállalás fontosságát az ausztrál nemzetgazdaság felemelkedésének virágzásának szempontjából. Ennek érdekében az ausztrál kormányzat a következőképp támogatja az elektronikus szolgáltatások kifejlődését: vezető szerepet vállal (törvényeket alkot, széles körben szerepet vállal stb.), támogatja az (elektronikus) kereskedést és üzletet, továbbá a segít növelni a vásárlók bizalmát ez iránt, közvetlenül (online) elérhetővé teszi a kulcsfontosságú ausztrál szektorokat, elősegíti az informatikai ipar fejlődését. Egy olyan gazdasági program esetén, amely az egész gazdaságot informatikai alapra akarja helyezni, a teljes kibontakozás és siker kulcsát jelentheti, ha az állampolgárok és az üzleti szféra közt az érintkezés könnyen és bizalommal történik. Ez nemcsak a kommunikációs kapcsolatok létrehozásának, hanem egy olyan környezet kialakításának igényét veti fel, amelyben a kereskedők és a vásárlók könnyen és megfelelő biztonsággal, azaz úgy tudnak online üzleti tranzakciókat lebonyolítani, hogy megőrzik szükség szerint személytelenségük, és az árucikkek illetve szolgáltatások, továbbá az értük fizetett pénz nincs nagyobb kockázatnak kitéve, mint hagyományos üzleti tranzakciók esetén. Éppen ezért az előbbiekben felvázolt gazdasági program és a hozzá kapcsolódó rövid- és középtávú informatikai stratégiák megvalósításához az informatikai biztonság és az ahhoz kapcsolódó jogi, adminisztratív és szabályozási keretrendszer kialakítása és fenntartása kiemelt fontosságot kap, tehát a gazdasági program megvalósulásához kapcsolódó szükséges peremfeltétel. Az ezredfordulót követően új biztonsági irányelv fogalmazódott meg az elektronikus szolgáltatások biztonságának kialakítása, fenntartása mellett: védeni kell Ausztrália kritikus infrastruktúráját, és ezen belül az informatikai infrastruktúra elemeket, mivel ezek biztonságától függhet Ausztrália gazdasági, társadalmi, nemzetbiztonsági stabilitása oldal oldalak száma: 244

118 Ez az irányelv más megközelítést igényel és más kérdéskörre keres választ, ez utóbbi védelem megteremtése és fenntartása nem szükséges peremfeltétel, hanem elsődleges cél, amely másokat háttérbe szoríthat szeptemberében az ausztrál kormányzat több kezdeményezést indított az informatikai biztonság nemzeti megvalósítására eme két irányelv alapján az E-Security National Agenda programban összefogva. Ennek feladata növelni az informatikai biztonság fontosságának elfogadottságát, támogatni a kormányzati szerveket és ügynökségeket, a kis- és közép vállalatokat, továbbá és az otthoni felhasználók informatikai biztonsági kihívásainak leküzdését. Erre a célra a 2002/03-as költségvetésben 24,9 millió ausztrál dollárt különített el Szabályozási, jogi és szervezeti keretek Informatikai biztonság és elektronikus szolgáltatások megvalósításához szükséges szabályozás kulcselemei meg lettek határozva Ausztráliában, ehhez azonban hosszú időre volt szükség ( ). A kulcselemek létrehozása és bevezetése azonban mind a mai napig nem zárult le teljesen, mivel új kihívásoknak (informatikai infrastruktúra védelme) kell a szabályozásnak megfelelnie. Ez különösen a jogi felelősségre vonás és a rendészeti (AFP), nemzetbiztonsági szervekkel (ASIO) történő együttműködés esetén okozhat problémát, ezért most a hangsúlyt az együttműködési egyezmények és jogi keretek megfelelő kialakítására fektetik. A keretrendszerek közül a szervezeti keretek, továbbá a technikai eszközökre és szolgáltatásokra, illetve a rendszerek biztonságos üzemeltetésre vonatkozó minősítési, tanúsítási rendszerek a legkifejlettebbek. Az informatikai biztonsági szakértőkre vonatkozó tanúsítási és minősítési igények megfogalmazódtak, és hasonló a helyzet az informatikai biztonsági kutatás terén is. A szükséges szervezeti keretrendszerek alapjai (NATA, AusCERT, JAS ANZ, DSD/Infosec) már léteznek, ezek a szervezetek már most foglalkoznak ezekhez a témakörökhöz kapcsolódó tevékenységekkel, továbbá a kormányzat gazdasági támogatást ígért az informatikai biztonsági oktatás, kutatás és fejlesztés, továbbá a minősítés és tanúsítás támogatására, ezért ezeken a területeken rövidtávon jelentős fejlődés várható. Összetett és folyamatosan fejlődő az a szervezeti keret, amelyben a felelősségeket pontosan meghatározták, a feladatokat elosztották és végrehajtás ellenőrzése is biztosított. A szervezetek működését kormányzati irányítással, de a magán szféra magas szintű fórumokba történő bevonásával biztosítják oldal oldalak száma: 244

119 A jogi kereteket az alábbiak jellemzik: a CyberCrime-ot szabályozó törvény elbírálása folyamatban van, az Adatvédelmi törvény elkészült, az Elektronikus kereskedelmet szabályozó törvényt bevezették, alkalmazzák az internetes szerencsejáték és hálózati tartalomra vonatkozó rendelkezéseket és ajánlásokat, speciális akkreditációs, minősítési és tanúsítási programokat indítottak el A nemzetközi együttműködés kibővítése Ausztrália nemzetközi együttműködéseit és a tapasztalatok átvétele terén elért eredményeit az alábbiak mutatják: szoros kapcsolatot alakítottak ki Új-Zélanddal, az óceániai, ázsiai régióban vezető szerepre törekszenek, követik az OECD ajánlásait, nyomon követik az Európai Unió tevékenységét és hasznosítják a tapasztalatokat, törekednek a határokon túlról hálózati úton érkező informatikai támadások (spam, vírusok, hacker stb.) jogi következményeit érvényesíteni (kevés sikerrel), együttműködnek az Amerikai Egyesült Államok, Egyesült Királyság, Kanada, Új- Zéland NII-t érintő CERT tevékenységeivel, és (az elektronikus támadások jogi felelősségre vonásán keresztül) próbálnak közös eredményeket elérni A tudásbázis kialakítása A tudásbázis kialakítása érdekében az alábbi törekvések ismertek: létrehozzák, honosítják és bevezetik az informatikai biztonsághoz kapcsolódó szabványokat, ajánlásokat és útmutatókat, támogatják az informatika-biztonsági szakképzést, támogatják az informatikai biztonsághoz kapcsolódó kutatási és fejlesztési projekteket Programok és projektek A programok, projektek (összegezve) a következők: ABN-DSC A program egyelőre csak korlátozott mértékben elfogadott, egyedül az ausztrál adóhivatal használ a kormányszervek közül ABN-DSC-t oldal oldalak száma: 244

120 AISEP Sikeres a program, jelenleg mintegy 20, döntően ausztrál, illetve jó pár külföldi (német, ír, koreai stb.) termék értékelése van folyamatban. Angus projekt A projekt kezdeti stádiumban van, a szükséges technikai keretek meghatározása folyik. AusCERT Az AusCERT a FIRST csoport tagjaként működik, álladóan frissíti honlapját a fontosabb informatikai biztonsági kockázatokról hírt adva. FedLink 5 ügynökség kapcsolódott a FedLink-re, tovább 10 van elbírálás alatt és további ügynökségek törekednek a követelmények kielégítésére. GPKI Eddig 8 szolgáltatót akkreditáltak a Gatekeeper akkreditációs séma szerint és további 9 szolgáltató akkreditációja (köztük az Angus projektben résztvevő egyik bank) van folyamatban. ISIDRAS A séma kialakult és alkalmazzák. Jelenleg kialakítás alatt van egy olyan informatikai rendszer, amely lehetővé teszi az elektronikus biztonsági bejelentést. Spam projekt A Spam projekt nem zárult le, az ausztrál kormányzat nem adta fel azt a célját, hogy korlátozza a Spam tevékenységeket. Ehhez kapcsolódóan a Spam-ről és leküzdési lehetőségeiről egy tanulmányt készítettek, továbbá az adatvédelmi és más törvények keretein belül próbálják szabályozni a Spam-et és hozzá hasonló tevékenységeket (pl. reklám céllal küldött ). Ettől függetlenül a Spam tevékenységek jogi felelősségre vonhatósága az technológiák személytelensége és az országhatárokon túlról érkező üzenetek miatt továbbra is kérdéses maradt. Shopping online projekt A Shoppping online projekt lezártnak tekinthető, az ausztrál kormányzat a projekt eredményeinek (tájékoztatók) az internetes elérhetőségét biztosítja, de nem frissíti az oldalakat. A tájékoztatók oldalain látott alacsony találati arány a projekt eredményeinek nem megfelelő népszerűsítésről, illetve az alacsony érdeklődésről tanúskodnak. TISN A szervezeti keretrendszert kialakítása folyamatban van. A minél szélesebb körű elfogadás érdekében 2003 áprilisában egy konferenciát tartottak Melbourneben, amelynek fő feladata a CIAC és a TISN létrehozásának adminisztratív kérdései, illetve a különböző szektorokból delegált képviselők bevonása a munkába. Trusting the Internet A projekt a záró fázisba lépett, a névadó útmutatón kívül különböző esettanulmányok készültek el és lettek elérhetők az interneten, többek közt egy olyan útmutató is, amely elektronikus kereskedelmi rendszerek üzleti folyamatba integrálásához ad útmutatást oldal oldalak száma: 244

121 4.3 Finnország A Finnország informatikai helyzetének áttekintése Az informatikai infrastruktúra Finnország Európa egyik legsikeresebb ICT-szektorával rendelkezik. Az informatikai szektorban dolgozók száma között megduplázódott. Az IT termékek Finnország exportjának több, mint 25%-át tették ki 2000-ben. Majdnem minden fiatal hozzáfér számítógéphez, az iskolában vagy otthon. Az év közötti emberek több mint 80%-a rendelkezik számítógépes hozzáféréssel, míg több mint 70%-uk az internetet is használja ben a kisebb vállalatok 77%-a, az 5 főnél többet foglalkoztató vállalatok 84%-a használta az internetet. A nagyvállalatoknál mindenhol volt internet-kapcsolat. Ennek a nagy arányú hozzáférhetőségnek köszönhető, hogy a finnek e-kereskedelme erős. A több mint 5 főt foglalkoztató vállalatok 12%-a rendelkezik olyan honlappal, amelyről a termékeket meg lehet rendelni. A vásárlásoknak több mint kétharmad részében az ügyfél egy másik cég, míg az eladások 29%-ában magánszemélyek A kriptográfia használata A kriptográfia importját nem korlátozzák. Az exporthoz a törvény szerint engedélyre van szükség (562/96). Nincs szükség engedélyre, ha a kriptográfiai terméket szabadon értékesítik a kiskereskedelemben december 4-én az Ipari és Kereskedelmi Minisztérium bejelentette, hogy 2001 tavaszától kezdődően korlátlan kulcshosszúságú tömegpiaci kriptográfiai szoftverek szabadon exportálhatók az összes országba, a december elsejei Wassenaar Megállapodási döntésnek megfelelően. Az OECD decemberi fnnországi ülésén nem hagyta jóvá a kulcs letétbe helyezésre vonatkozó javaslatokat. A finn adatbiztonsággal foglalkozó közigazgatási csoport elnöke kijelentette, hogy Finnország nem fogja megkövetelni a kulcs letétbe helyezést. Az október 12-i kormány-irányelvek megerősítik a kriptográfia szabad kereskedelmének és használatának támogatását Szabályozások és törvények Európa sok más országához hasonlóan, kormányprogram szintű dokumentum rendelkezik az ország informatikai stratégiájáról. A kormányprogram részét képezi az elektronikus kereskedelem és az elektronikus közigazgatás támogatása oldal oldalak száma: 244

122 A törvényi kereteket az alábbi dokumentumok adják: a személyes adatok védelméről szóló törvény 1999-től hatályos (a 95/46/EC EU direktíva alapján készült), az adatvédelmi törvény (EC Data Protection Directive) 1999-től érvényes és a 14/2003 számú Elektronikus aláírás törvény (amely szintén az EU-direktíván alapul), február 1-jétől hatályos. Finnország e-kormányzati programja keretében - az információk nyilvánosságra hozása mellett - bevezették a kártyaalapú személyi igazolványt is. Az e-kormányzati programjukat megalapozó Elektronikus közigazgatási szolgáltatásokra vonatkozó törvény (1318/1999) 2000 elején lépett hatályba decemberében törvényt hoztak egy kártya alapú személyi igazolvány bevezetéséről, amelyet (a közigazgatással való kapcsolattartás mellett) magáncégek is használnak. Hasonlóan, kifejlesztés alatt áll egy, az egészségügyi szolgáltatások igénybevételét megkönnyítő kártya is A biztonság erősítése A Közlekedési Minisztérium felügyelete alatt működő Finn Hírközlési Hatóság, azaz FICORA (Finnish Communications Regulatory Authority), hasonlóan a magyarországi HÍF-hez, koordinálja az IT és kommunikációs piac működését, továbbá irányelveket ad ki. A hálózatok technológiai működését és biztonságát is felügyeli. Szerepe van az elektronikus kommunikációs titoktartásban és adatbiztonságban. A biztonság érdekében a FICORA technikai szabványokat és irányelveket bocsát ki; felügyeli az adatvédelmet és az információ biztonságát; ellenőrzi, hogy a működtetők betartják-e a Telekommunikációs Piac Törvényt (396/1997), a Személyiségi jogok védelméről és az adatvédelemről szóló törvényt (565/1999) és az e törvények alá eső intézkedéseket és szabályokat. A FICORA feladata, hogy információkat gyűjtsön az operátorokról, meghatározott jelentéseket készítsen, valamint vizsgálatokat végezzen. Biztosítja azt, hogy a telekommunikációs operátorok fel legyenek készülve a vészhelyzetekre, továbbá tájékoztatja őket a veszélyekről és ezek megelőzéséről. Az egyik célja az, hogy fokozza a titkosítási módszerek használatát. A FICORA mellett működik a pénzügyminisztérium által létrehozott, VAHTI nevű szervezet, amely a kormányzat IT-biztonsági tanácsaként működik. A tanácsba kormányzati intézmények delegálnak tagokat, rendszeresen bocsátanak ki irányelveket. Az informatikai bűnözés kezelésében a National Bureau of Investigation-nek és a Security Police-nak teljes hatásköre van. Az előbbi a nemzetközi, szervezett, hivatásos és egyéb súlyos bűncselekményekkel foglalkozik, nyomoz és fejleszti a bűnmegelőzést, a bűnüldözési módszereket és a rendőrségi információs rendszereket. Az utóbbi azokat a 122. oldal oldalak száma: 244

123 bűncselekményeket próbálja megelőzni, amelyek veszélyeztetik a fennálló kormány és társadalmi rendet vagy az állam külső vagy belső biztonságát. Technikai szinten a FICORA által alapított CERT-FI látja el az internet-felhasználókat biztonsági támogatással A várható trendek Az 1995-ben elkészült Oktatás és Kutatás Információs Stratégiája c. dokumentum javaslatokat tett az oktatás és a kutatás fejlesztésére az adattechnológia segítségével, továbbá a nemzeti hozzáértés és alkalmazás fejlesztésére is. Ezt a stratégiát az Oktatási Minisztérium ( között) megvalósította az Információs Társadalom Programjában, amelynek végrehajtását között tervezik. Ennek keretén belül pénzalapot különítettek el felszerelések beszerzésére, arra, hogy a különböző oktatási intézményeket hálózatokkal lássák el, valamint hogy növeljék a tanulók, tanárok és kutatók számát e területen Az ICA felmérése Finnországról Ebben a fejezetben az ICA szervezet IT-biztonsági felmérésének Finnországra vonatkozó részét ismertetjük Finnország sajátosságai 1999-ben kiadták a közigazgatásban használatos elektronikus szolgáltatásokra vonatkozó törvényt, amelyet 2003-ban, amikor az elektronikus aláírásra vonatkozó törvény érvénybe lépett felülvizsgáltak. A törvény szerint a közigazgatásnak minden esetben el kell fogadnia az elektronikus dokumentumokat, amelyeket a papír alapú dokumentumokkal azonosan kell elbírálni. A minősített aláírást csak akkor követelik meg, ha személyes aláírást ír elő a törvény valamihez és ha egyik pénzintézet sem vonhatja kétségbe az eredetiségét. A Pénzügyminisztérium kibocsátott egy ajánlást az e-szolgáltatások esetében elvárt hitelesítésre vonatkozóan. A szolgáltatások négy kategóriába sorolhatóak, és csak az interaktív szolgáltatásokhoz szükséges az erős hitelesítés. A bankok által használt hitelesítés a felhasználók nevére alapul és mind a rendszeresen lecserélésre kerülő jelszavak, mind a minősített tanúsítványok erős hitelesítést igényelnek IT-biztonsági alapelvek A pénzügyminisztérium nemrégiben kibocsátotta az általános e-szolgáltatások hitelesítésére vonatkozó ajánlását. A szolgáltatások négy csoportba sorolhatóak: 1) Információs szolgáltatások, ahol a hitelesítés csak akkor szükséges, amikor valamilyen az adott személyre vonatkozó - szolgáltatások válnak hozzáférhetővé az állampolgárok számára oldal oldalak száma: 244

124 2) A felhasználó visszajelzését és állampolgárok részvételét igénylik, ahol nem szükséges a hitelesítés. 3) Kérvény benyújtással járó alkalmazások, ahol az ügyfélnek különböző hitelesítési módszereket ajánlanak fel. 4) Interaktív szolgáltatások, ahol erős hitelesítés szükséges. A használatot követően megváltozó jelszavas hitelesítést ajánlják a bankok és a minősített tanúsítványokkal történő hitelesítés tekinthető erős hitelesítésnek Megbízható szolgáltatások Finnország volt az első, ahol bevezették országosan, bár nem kötelezően az elektronikus azonosító kártyát (FINEID). A kártya használható számos kormányzati, néhány önkormányzati és néhány kereskedelmi szolgáltatáshoz. Sajnálatos módon az azonosító kártya népszerűtlenné vált és csak kb kártya került kibocsátásra. Nemrégiben egy törvényrendeletet adtak ki, amely egyesíti az egészségügyi kártyát az elektronikus azonosító kártyával Tapasztalatok a token-nel kapcsolatban A Műszaki Egyetem közös alkalmazási rendszere: a diákok új rendszert vehetnek használatba és a hitelesítést elektronikus azonosító kártyával valósítják meg. Csak néhányan használják a tokent ehhez a rendszerhez. A Munkaügyi Minisztérium: a rendszert felhasználó használja, ebből havi gyakorisággal. A felhasználók legnagyobb része felhasználói ID és jelszó segítségével fér hozzá a rendszerhez. Csak néhányan használnak ID kártyát a hitelesítéshez. A kormányzati rendszerek közül a népesség-nyilvántartó és a kölcsönök vizsgálatának rendszerében az állampolgárok ellenőrizhetik a saját adataikat Tervek A finnek úgy látják, hogy a PKI jövője a kereskedelmi szolgáltatásoktól függ. A kormányzati szolgáltatásokban használt módszer nem fog döntő tényezővé válni, amikor az állampolgárok a hitelesítés eszközét megválasztják az internet használatakor. Finnországban a legtöbb állampolgár már használja az online banki szolgáltatásokat, ami az jelenti, hogy a bankok hitelesítési módszerekre vonatkozó döntése is meghatározó lesz a hitelesítési szolgáltatások fejlődését illetően. Finnországban egy bank már nyújt PKI hitelesítést, de a többi néhány évig még nem tervezi a bevezetését. Jelenleg a finn kormány az online-szolgáltatások fejlesztésében a különböző szintű hitelesítés megvalósításaira összpontosít oldal oldalak száma: 244

125 4.3.3 Finnország IT-biztonsági stratégiája Az információs társadalom fejlődése és versenyképessége erősen függ a nemzeti tudástőke védelmétől, az egyének és szervezetek birtokában lévő információ ugyanis létfontosságú erőforrás. A rohamos technikai fejlődés és az IT eszközök terjedő alkalmazása magával hozza az információhoz kapcsolódó kockázatokat is. Jelenleg akár központi társadalmi funkciók is megbéníthatók az információs hálózatok útján. Ezért aktív és előretekintő intézkedéseket kell tenni, a kockázatkezelés és a biztonsági szint javítása önmagában nem elegendő. Csak széles körű együttműködéssel biztosítható, hogy az állampolgárok és a vállalkozások bizalommal lehessenek a mindennapi életük és napi gazdasági tevékenységük részét képező információs társadalom iránt. A kormány Információbiztonsági Tanácsadó Testületet hozott létre, hogy normál körülmények között információbiztonsági kérdésekben kapcsolatot létesítsen az állampolgárok, cégek, szervezetek és hatóságok között, ennek feladatai közül kizárta azonban a rendkívüli társadalmi helyzetben fellépő ügyeket és a közigazgatás területén jelentkező információbiztonsági kérdéseket. A testület 2002-ben első lépésben egy biztonsági áttekintő tanulmányban (Information Security Review) értékelte a Finnországot érintő legfontosabb információbiztonsági kockázatokat, valamint a társadalomra általában, illetve a hálózatokat használó csoportokra vonatkozó információbiztonsági előírásokat. Ebben megállapították, hogy az előírások szektoronként és szereplőnként jelentősen eltérnek egymástól, valamint azt is, hogy számos területen már jelentős intézkedések történtek és már léteznek hatályos információbiztonsági rendelkezések. Ez a testület második lépésben javaslatot állított össze a kormány számára jóváhagyásra Nemzeti Információbiztonsági Stratégia címmel. A stratégia célkitűzése ( Vision ) olyan információ szempontjából biztonságos finn társadalom létrehozása, melyben mindenki megbízik és biztonságosan kommunikálhat. Ehhez számos résztvevő együttműködése szükséges az alábbi kiemelt területeken ( politikák ): 1) Nemzetközi és nemzeti együttműködés. Nemzetközi: a szükséges előírások és stratégia meghatározása, nemzeti: fokozott együttműködés és kiemelt információbiztonsági fejlesztések. 2) A társadalmi fejlődés és versenyképesség támogatása. Védett eljárások, termékek, szolgáltatások és struktúrák kialakítása. Az információbiztonság a felhasználónak nyújtott szolgáltatás alapvető eleme oldal oldalak száma: 244

126 3) Az információs társadalom kockázatkezelésének fejlesztése. A kockázatok előzetes felismerésével, megfelelő felügyelettel és a kritikus infrastruktúra védelmével fel kell készíteni a társadalmat a fellépő problémák kezelésére. 4) Az egyén (és más résztvevők) alapvető jogainak védelme. Az állampolgároknak információbiztonságot és titokvédelmet biztosító működési környezet kialakítása. Megfelelő mértékű és felhasználóbarát információvédelem minden szereplő valamennyi kommunikációjában és tranzakciójában. 5) Az információbiztonsági tudatosság és ismeretek fejlesztése. Az egyes résztvevők legyenek tisztában az információvédelem fontosságával, a várható kockázatokkal valamint a védett termékek és szolgáltatások használatával. A tervezetből származtatott teendőket - a Nemzeti Információbiztonsági Stratégia szintjén a célokban megfogalmazták és ezekből intézkedéseket határoztak meg. A stratégia illeszkedik a már meglévő információbiztonsági politikához, megvalósítása a már létező szervezetek együttműködésének keretei között kezdődik, és erőforrásokat csoportosít a célkitűzések és intézkedések megvalósításához. A Nemzeti Információbiztonsági Stratégia a kormányzat tulajdona, megvalósításáért a kormány felel. Az említett Információbiztonsági Tanácsadó Testület elkészíti a Stratégia javaslatát, jóváhagyás után felügyeli a megvalósítását, a továbbiakban pedig rendszeresen kiegészíti az aktualitásokkal. A megvalósításhoz javasolták azt is, hogy az Információbiztonsági Tanácsadó Testület a következő kormány alatt is folytassa tevékenységét. A stratégia jóváhagyásakor a kormány dönt a végrehajtás megszervezéséről is. A Nemzeti Információbiztonsági Stratégia nem helyettesíti a közigazgatás vagy más szereplők információbiztonsági politikáját, azonban épít a már létező elemekre. Ugyanakkor a társadalmat teljes szélességében támogatja, és így az intézkedések felelősségében az összes résztvevő osztozik A Stratégia vázlata A stratégiát 2002 májusától novemberéig készítették a hazai és külföldi fejlődés elemzése alapján. Az elemzés 7 mega-trendet határozott meg, melyek az információs társadalmat alakítják: 1) globalizáció és globális verseny, az integráció és az átláthatóság növelése (pl. EU), 2) a hálózatok és interakciók bővülő alkalmazása, 126. oldal oldalak száma: 244

127 3) nagyobb hangsúlyt kap az információ, mint termelési tényező, valamint a hatáskörök és a tőke egyre kiegyensúlyozatlanabb eloszlása, 4) az életmód (munkakörülmények) megváltozása, 5) a technika gyors fejlődése és az egyre nagyobb technika-függőség, 6) a szabványosítás és harmonizáló szabályozás egyre hangsúlyosabb igénye, 7) az üzleti módszerek megváltozása és az ehhez kapcsolódó elvárások. Valós értékelésükhöz meghatározták a mega-trendek lehetőségeit, kockázatait, valószínűségét és fontosságát. Az elemzés alapján meghatározták az információbiztonság szempontjából legfontosabb tényezőket, és ennek alapján határozták meg a célkitűzést, az ehhez vezető politikákat körvonalazó célokat és az ezeket alátámasztó intézkedéseket. Végül felvázolták a Stratégia megvalósítását A Nemzeti Információbiztonsági célkitűzés Finnországban biztonságos információs társadalmat alakítanak ki, melyben mindenki megbízhat, és amely minden résztvevőnek lehetővé teszi a biztonságos információ-kezelést és kommunikációt. Az információbiztonságot valamennyi társadalmi funkció részének tekintik. A Célkitűzés alapja az információ kezelésére (előállítása, tárolása, továbbítása, felhasználása és törlése) vonatkozó bizalom, továbbá az, hogy a kommunikáció az elvárt módon, átlátható és megbízható módszerekkel történik. A célkitűzés valamennyi szereplő által elfogadott és alkalmazott 5 politika alapján valósítható meg: (l. fent Kiemelt területek Stratégiai célok és intézkedések Az általános célkitűzést és az ennek érdekében követendő politikákat minden szereplő elfogadja. A politikákat a célok körvonalazzák, melyek megvalósítására intézkedések történnek. A megfelelő hatóságok a célok révén irányítják és kísérik figyelemmel az információbiztonság fejlődését és az alapvető célkitűzés szerinti biztonságos információs társadalom megvalósítását A célok áttekintése a) aktív nemzetközi együttműködés az előírások és a politikák meghatározására, együttműködés összehangolása és erősítése a különféle szereplők között és az információbiztonsági fejlesztések szervezése és támogatása nemzeti szinten oldal oldalak száma: 244

128 b) c) d) e) az információkezelés szempontjából biztonságos eljárások, termékek, szolgáltatások és struktúrák kialakításának támogatása (fejlesztési aspektus) és az információ elérhetőségének és felhasználhatóságának támogatása (nyíltság). a kockázatok és a megbízhatóság előzetes felismerése, a nemzeti helyzet elegendő mértékű és rendszeres monitorozása és a kockázatok aktív közzététele, a kockázatok fellépésének minimalizálása és a kritikus infrastruktúra védelme. olyan működési környezet létrehozása, mely az egyénnek és a többi szereplőnek egyaránt biztosítja az információ biztonságát és a titokvédelmet, az egyén és az egyéb szereplők szempontjából elegendő információbiztonság biztosítása minden tranzakcióban és felhasználóbarát információbiztonsági megoldások fejlesztésének támogatása. az információbiztonság tudatosságának és a kockázatok ismeretének fokozása az állampolgárok, a szervezetek és a közigazgatás körében és az információk szempontjából biztonságos eljárások, szolgáltatások és termékek használatának és fejlesztésének támogatása A célokhoz kapcsolódó intézkedések a) az Információbiztonsági stratégia a kormány tulajdona, ő felel a megvalósításáért, az Információbiztonsági Tanácsadó Testület javaslatot dolgoz ki a stratégiára, jóváhagyás után figyelemmel kíséri a megvalósítását és aktualizálási javaslatokat tesz, biztosítani kell hogy az egyes szereplők szerepe és felelőssége világos és megfelel a rendelkezésükre álló erőforrásoknak, részvétel az EU szintű törvényalkotás előkészítésében és a nemzetközi együttműködésben. A nemzetközi előírások befolyásolása az információvédelem fokozása és a nemzeti versenyképesség megőrzése érdekében. A résztvevők információcseréjének támogatása, 128. oldal oldalak száma: 244

129 b) c) kellő figyelem felkeltése az információbiztonság aspektusai iránt a hazai törvényalkotás, a szabványok kiadása és a hatósági előírások előkészítése során. A szükséges szankciók és monitorozás megteremtése, cégek és szervezetek közti együttműködés támogatása. az információbiztonsági szempontok figyelembevétele nemzetközi és hazai projektekben, nemzeti fejlesztési és finanszírozási programok és azon lehetőség megalkotása, hogy a döntési kritériumok és értékelő modellek támogassák az információbiztonságot, új információbiztonsági cégek és hálózatok támogatása és bátorítása az innovációk és hasznos gyakorlatok terjesztésére, az e-szolgáltatások és e-tranzakciók széleskörű használatának támogatása, az egyszerű és megbízható rejtjelező és hitelesítő eljárások használatának támogatása, a magánszektor szereplőivel közös programok megvalósítása, a közszféra és magánszféra IT folyamatai kompatibilitásának támogatása, a távközlés működését befolyásoló technika és infrastruktúra egyezményes kialakítása. a megfelelő mértékű információbiztonsági intézkedések rendes körülmények között történő alkalmazása lehetőségeinek biztosítása a hatóságok és a magánszereplők számára, az információbiztonsági kockázatok meghatározása, új belső és külső kockázatok felismerése, a megfigyelt kockázatok és alkalmazható ellenintézkedések aktív terjesztése, a nemzeti helyzet rendszeres és megfelelő mértékű figyelése a különféle szereplők információforrásai és státuszjelentései alapján, készenlét a kockázatok elhárítására a különféle szereplőkkel együttműködésben, illetve a működtetett rendszerek bármely hiányosságának kiküszöbölésére, az információbiztonsági kockázatkezelés hatékonyságának figyelemmel kísérése, a kritikus infrastruktúráért felelős szereplők együttműködésének támogatása oldal oldalak száma: 244

130 d) e) a szólásszabadság, a bizalmas kommunikáció és a magántitok védelme (alkotmányos alapjogok) megvalósításának biztosítása a törvényhozásban, szabvány- és hatósági előírásokban, megfelelő szintű információvédelem biztosítása az egyén minden tranzakciójában, a tudástőke védelmének biztosítása (üzleti titok, ügyféladatok, termékfejlesztés stb.), a névtelen tranzakciók kialakításának támogatása, az alapvető jogok figyelembevételének aktív figyelemmel kísérése, a felhasználóbarát és egyszerű információbiztonsági megoldások kidolgozásának támogatása, a fogyasztó támogatása az információbiztonsági termékek/szolgáltatások megfelelő kiválasztásában. az információbiztonság tudatossága és ismertsége jelenlegi helyzetének ábrázolása. Az objektív szint meghatározása és a jobb hozzáértést megalapozó projektek indítása, az információbiztonsági kérdések személyi tudatosításának fokozása a lényeges információ terjesztésével, médiakampányok szervezésével és az információbiztonság tantervbe vételével minden szinten. A hasznos gyakorlat terjesztése a különféle szereplők körében, a kisvállalkozások és helyi hatóságok információbiztonsági ismereteinek fokozása. Idevágó ismeretek terjesztése és szakmai segítség nyújtása, a média (sajtó stb.) támogatása a tényszerű ismeretek terjesztésében és a biztonsági információk aktív előkészítése terjesztésre oldal oldalak száma: 244

131 A megvalósítás szervezeti kialakítása A Stratégia megvalósítása a meglévő szervezetek és együttműködések kihasználásával kezdődik. A résztvevők az alábbiak szerint osztják meg a feladatokat: Szereplők Kormány Információbiztonsági Tanácsadó Testület A fejlesztési program vagy más intézkedés birtokosa Feladatok az Információbiztonsági stratégia birtokosa, felel a Stratégia megvalósításáért. figyeli az információbiztonság állapotát és fejlődését belföldön és külföldön, segíti az információbiztonsági technika fejlődését és fokozza a közvélemény tájékozottságát e téren, felvázolja a Nemzeti Információbiztonsági Stratégia tervezetét és aktualizálási javaslatokat készít, figyelemmel kíséri a fejlesztési program céljainak és intézkedéseinek megvalósítását, fejlesztési javaslatokat készít a megfelelő feleknek, jelentést tesz a kormánynak a stratégia megvalósításáról, információbiztonsági fórumot tart fenn a társadalom különféle szereplői részére. feladata a fejlesztési projekt részletes megtervezése, költséghatékonysági elemzés készítése és a projekt egyezményes jellemzők szerinti megfigyelése, jelentést készít a tanácsadó testületnek vagy általa kinevezett célcsoportnak, megvalósítja a projektet, vagy irányítja a megvalósítást, felel a projekt hatékony működéséért. Azért, hogy a Stratégia a vállalati szektorban is megfelelően érvényesítse az információbiztonságot, a cégeknek is aktívan részt kell venniük a célcsoportokban az intézkedések és hasznos gyakorlat terjesztése során. Az információbiztonság fejlesztése párhuzamos projektekben zajlik, melyekért tulajdonosaik felelősek Az Információbiztonsági Tanácsadó Testület feladatai a) Az információbiztonság és az ide vonatkozó projektek figyelemmel kísérése (monitoring) Finnországban és az információbiztonsági intézkedésekre vonatkozó javaslatok összeállítása. b) Az információbiztonság nemzetközi helyzetének figyelemmel kísérése és a nemzetközi fejleményekre és információbiztonsági együttműködésre vonatkozó javaslatok készítése. c) Állampolgárok, cégek és hatóságok közötti együttműködés erősítése a kommunikáció és információtechnika biztonsági kérdései ügyében oldal oldalak száma: 244

132 d) A Nemzeti Információbiztonsági Stratégia tervezetének elkészítése, illetve megvalósításának monitorozása. A stratégia célja a kommunikációs és információtechnikai rendszerek biztonsága jelenlegi helyzetének és várható fejlődésének értékelése, valamint a hatóságok és cégek által kezelendő központi kérdések meghatározása. e) Az információbiztonsági technika és ismeretek fejlődésének elősegítése az ipar és az információbiztonsági szektor versenyképességének fokozását célzó intézkedések javaslatával. A Kabinet Gazdaságpolitikai Bizottsága és a Közigazgatási és Területfejlesztési Minisztériumok Bizottsága az információbiztonsági feladatok elosztásáról döntött. A Közlekedési és Hírközlési Minisztérium feladata a távközlés-biztonság általános felügyelete, a Finn Hírközlési Hatóság (FICORA) menedzseli az ehhez kapcsolódó adminisztratív feladatokat. Utóbbi feladata az információbiztonság megsértésének figyelése (CERT feladatok) és szankcionálása (a rendőrséggel karöltve). Ugyanez a rendelet döntött az Információbiztonsági Tanácsadó Testület felállításáról is. Az információbiztonság megteremtése a kormány szerint igen széles körű társadalmi együttműködést igényel, a résztvevők koordinálása is az Információbiztonsági Tanácsadó Testület feladatkörébe tartozik. A rendkívüli helyzetekben és a közigazgatásban fellépő információbiztonsági kérdések megoldása más testületek feladata. 4.4 Németország A németországi ICT szektor Az EU (a DG Information Society) egy web-alapú értékelést dolgozott ki a közcélú szolgáltatások internetes megoldásainak mérésére. Ez a benchmark az általános e-kormányzati jellemzők közül a %-os online hozzáféréssel megoldott közcélú szolgáltatások indikátoraként egy 23 elemű általánosabb információs társadalmi benchmark-ban specifikusan az e-kormányzat összefoglaló értékelését adja. Az indikátor az online front-end típusú, közcélú szolgáltatásokra koncentrál. Az első felmérés 2002 áprilisában készült, amelyet 2 évenként újabb kiértékelések követnek majd. 12 közcélú szolgáltatás az egyes állampolgárokra vonatkozik, másik 8 pedig az üzleti szférára. A nagyon szigorú és aprólékos osztályozási rendszerre épülő értékelés összesített végeredményét a következő ábrán látjuk [ld.: 8. ábra: Közcélú szolgáltatások internetes megoldásai] oldal oldalak száma: 244

133 A négy szolgáltatási clusterba (bevételi, regisztrációs, visszatérítési, engedélyezési) csoportosítható online eljárások eredője, országok szerinti bontásban az utolsó évben 10% körüli átlagos javulást mutat, amelyben azonban Németország nem szerepel valami fényesen. 8. ábra: Közcélú szolgáltatások internetes megoldásai Tágabb összefüggésben vizsgálva Németország informatikai helyzetét, az IDC ISI 2002-es (2000-re vonatkozó) értékelése a 13-ik helyre teszi az 55-ös ország rangsorban Magyarország itt a 29-ik helyen áll és ez a nem túl hízelgő helyzete hosszabb idő óta sem változik. Egy év elteltével a 2003-as értékelés Németországnak (a 2001-es évről) a 15-ik 133. oldal oldalak száma: 244

134 helyre való visszaesését mutatja, de kétséget kizárólag ez nem az az idő, amit a jelenlegi óriási erőfeszítések jellemeztek. Az azonban jól megfigyelhető, hogy a 23 elemből álló átfogó ISI értékelés szerint, az IDC közel egy évtizedes tapasztalatára épülve Németország - nem meglepően - mindenütt felülmúlja a világátlagot. A következő ábrán látható, hogy Németország mindenben nagyon erős paramétereket mutat, talán csak a számítógépes szektor szerint nem elég nagy a sárga felület határának távolsága a világátlag fekete vonalától [l. 9. ábra: ISI értékelés]. Németország 82 millió lakosú (1,35% a világra vetítve) miközben a GDP-je 1,9 trillió USD (6%) és az IT ráfordítások összesen 65 milliárd USD-ra (6,5%) rúgnak. A világátlagokhoz viszonyított százalékok egészséges arányokat mutatnak és imponáló erejűek. A 6% körüli érték közel ötszöröse a létszámarányból elvárhatónak és az IT ráfordítások még ilyen óriási GDP értékek mellett is tartják ezt az arányt, ami hosszútávon bizonyosan érvényesülni is fog. A GDP fejlődését egyébként egy 2% körüli átlagérték jellemzi. 9. ábra: ISI értékelés 134. oldal oldalak száma: 244

135 Az ISI indexek nagyon fontos szakmai szerepet töltenek be; egyféle hiteles mérőszámok bármely ország, kontinens rész, illetve kontinens, vagy nagyobb régió számára. Az országonként kapott mérőszámok, amelyek a sárga térképek lineáris leképzései évről évre nőnek, csakúgy, mint a területek, így összehasonlításokat lehet adni a fejlődésről, az egyes paraméterek változásáról és természetesen a változások sebességéről is. Visszafejlődés nagyon ritka és az egyes grafikai sugárértékek transzformációs súlyozó tényezői, amellyel az eredő pontszámot számítják, gyakorlatilag nem változtak az elmúlt négy év alatt. Az IDC az informatikai helyzeteket teljesen szerteágazóan értékeli, s az e-kormányzat kiemelt, a biztonság szempontjából döntő szempontjai csak szerényebb helyet kapnak. Éppen ezért jelentős az ENSZ által elkészített évre vonatkozó e-government Index, amely nagyon sok országot dolgoz fel egységesen és nagyon alaposan. A táblázat az alábbiakban látható és csak az összesítést mutatja. Többektől átvett nemzetközileg hiteles index értékekre épít, de használ önálló kiértékeléseket is, amelyek jól számszerűsítettek. Előre bocsátva, hogy Magyarország ezen a listán a 48-ik helyezett megállapítható, hogy az e-kormányzat alapján egy, az előzőeknél sokkal, de sokkal szélesebb bázison Németország a 10-ik helyen áll, megelőzve az IDC-nél ISI értékelésben világelső Svédországot és a második helyen álló Finnországot is. Megfigyelhető az is, hogy az első tíz ország klubjába valóban csak a tudatos stratégiát építő országok tartoznak. Az első minősítő paraméter egy web jelenlét kiértékelés. Ezt 6, immáron szokásosnak mondható és jól számszerűsíthető paraméter követi, amelyek ráadásul jól érthetőek és könnyen ellenőrizhetők. Az utolsó három paraméter különlegesség; más szervezetek által generált és dédelgetett indexek, illetve egy fontos népességi adottságot tükröző szám. A következő oldali táblázat szerint az eredő e-kormányzati index értékek láthatóan nagyon közel esnek egymáshoz és értékük nehezen rekonstruálható [ld.: 1. táblázat: E- kormányzati index]. Ennek ellenére azonban a rangsor nagyon jellemző és kicsit más szempontok szerint, talán jelenleg a legpontosabban adja meg az e-kormányzat ország-minősítést az egész világra vonatkozóan oldal oldalak száma: 244

136 1. táblázat: E-kormányzati index 136. oldal oldalak száma: 244

137 4.4.2 Németország e-kormányzati programja A német szövetségi kormány a német információs társadalom megvalósításához 10 pontos programot hirdetett meg, amelyik fő elemeit ez a fejezet ismerteti. A szövetségi kormány 10-pontos programja a következő: Az internet-ismeret az általános műveltség része lesz, A PC-szponzorálás elősegítése, Internetjogosítvány a munkanélkülieknek, A helyi hálózat versenyének erősítése, Adómentesség az internet magáncélú használatánál, E-kormányzat és Szövetségi online rendszer 2005, Az e-kereskedelem támogatása, A biztonságos internet, Egyéni felelősség és önállóság a gazdaság erősítésében és A Németország megújítása kampány. Az egyes pontokat jól átgondolták és megtervezték, illetve pontos akcióterv készült mindegyikhez. Látható, hogy az internet mindenkié és a hozzáférés alanyi jogon jár, illetve a PC szponzorálás és az e-kereskedelem megvalósítása kiemelt támogatást élvez. A biztonság és a versenyképesség erősítése közérdek, amely a Németország megújítása kampány fontos része. A kormányzat és a társadalom összekapcsolása a 6. pont szerint az e- kormányzat megvalósításával történik, amelyre egy átfogó projekt indult be BundOnline 2005 néven. A 6. pont képezi a legnagyobb érdeklődésre számot tartó szegmenset, s talán ez is a legterebélyesebb, ugyanakkor a legjobban kidolgozott stratégiai irány, ezért részletesen ezt ismertetjük. Jóllehet a többi pont is jelentős know-how értéket képvisel, de a legjobban adaptálható elemek egyértelműen ehhez a ponthoz tartoznak. Maga a BundOnline 2005 program jelenleg körülbelül a felénél tart, és mint látni fogjuk, ugrásszerű átalakulást sikerült elérni. Ennél csak a soron következő, a várt átalakítások a nagyobb dimenziójúak. A német tapasztalatok - sok egyéb mellett - ezért is különösen fontosak és irányt adóak oldal oldalak száma: 244

138 BundOnline 2005, e-government projekt {a kormányzati program 6. pontja} Egy információs társadalom erős e-kormányzati támogatás nélkül nem képzelhető el. Mindkettő kölcsönösen feltételezi egymást. A távközlési és információs technológiák használatba vétele magával hozza, hogy a közigazgatást modernizálni kell, és egyidejűleg a közigazgatási szolgáltatásokat felhasználóbaráttá kell tenni. Ennek megfelelően Gerhard Schröder, szövetségi kancellár 2000 szeptemberében a Hannoveri Expo, a világkiállítás keretében a BundOnline 2005 kezdeményezéssel az e- kormányzat fontosságát a politika szintjére emelte. A kezdeményezés célja az, hogy ig minden online-képes szolgáltatást elektronikusan hozzáférhetővé kell tenni a szövetségi közigazgatásban. Ez a polgárok számára hasznosítható és profitálni tud belőle a teljes német gazdaság. Már eddig is sok olyan szolgáltatás valósult meg és online módon, amely már rendelkezésre áll. A fejlesztés alatt álló online szolgáltatások köre ma is folyamatosan bővül. Ezzel biztosítva van a közös központi fejlesztés a megosztott Alap-komponensek és a szabványok körére a folyamatos készenléti támogatás az újabb és komplexebb szolgáltatások bevezetéséhez. Ez ugyanakkor a párhuzamos fejlesztések szinte teljes kiküszöbölését eredményezheti. A sikeres e-kormányzat megvalósítása megköveteli az intenzív együttműködést a szövetségi állam, a tartományok és a közösségek között. A szövetségi állam síkraszáll egy össznémet integrált e-kormányzati országért. Mindezt a polgárok érdekében történik és a gazdaság, a közösségek támogatását szolgálja Az átalakulási terv megkezdése {Szövetségi ellenőrzési pont: december 11.} A 2005-ig terjedő e-kormányzati kezdeményezés, a BundOnline 2005 végrehajtásában a év fontos mérföldkő volt. Az online készenléti állapot az internetre felkészített szövetségi közigazgatási szolgáltatásoknál nagyot lépett előre, 2002-ben már 170-nél több online-szolgáltatás üzemelt. Minden egyes új online szolgáltatás beindításával a közigazgatási eljárások tovább egyszerűsödnek és (ezzel arányban) az eredő közigazgatási költségek is egyre csökkennek. A nemzetközi összehasonlítások arra is rámutatnak, hogy a BundOnline 2005 program, nagy ívű szolgáltatási porfóliájával már most jól áll. Ebből kiindulva, a nehézségek, súlyponti elemei közül elsősorban a tartományok és a közösségek sokoldalú elektronikus kapcsolatainak közigazgatási célzatú megteremtése emelhető ki. A szövetségi lehetőségek bemutatása jelentős mértékben megerősítette a BundOnline 2005 németországi és nemzetközi hitelét oldal oldalak száma: 244

139 A szövetségi szinten összehangolt e-kormányzati politika a tartományok és a közösségek támogatásával az internet hasznosítását tűzte ki célul. Ezzel elsősorban a bürokrácia túlburjánzását és terhelését kívánják csökkenteni - mind a társadalom, mind a gazdaság szereplői számára. A magas haszon, ami a szövetségi online szolgáltatások használatából eredeztethető valamennyi célcsoport esetében azt jelzi, hogy a kitűzött cél, a megkezdett út helyesnek bizonyult. Németországban 2005-re a közigazgatás - úgy általában - többet fog produkálni, mint jelenleg és kisebb költségek mellett Az e-kormányzat technikai bázisa (SAGA) A Szabványok és architektúrák az e-kormányzati felhasználásokban (Anwendungen), azaz SAGA valójában egy átfogó (90 oldalas) dokumentum, amely a Bundes Online 2005 kezdeményezés átalakítási tervét technikai szempontból konkretizálja. A cél egybeesik a központi célkitűzéssel; 2005-ig 400 internet-képes szolgáltatást a német információs társadalom rendelkezésére kell bocsátani szövetségi szinten. A SAGA nem egy véglegesített dokumentum, sokkal inkább folyamatosan változik (átírják), illetve továbbfejlesztik. Ezekben a változtatásokban a legújabb fejlesztések és eredmények kapnak helyet az olyan standardokat és architektúrákat illetően, amelyeket az e-kormányzati alkalmazások különböző helyeken fel tudnak használni. Ennek megfelelően a szövetségi belügyminisztérium számos ipari és hatósági szakértőt vesz igénybe a SAGA fejlesztéseihez. Hozzájön ehhez a SAGA-Forum, illetve annak elismert kiadványai, amely a nyilvánosságot kapcsolja be a SAGA továbbfejlesztéseibe. A SAGA v1.1 verzió nyilvánosságra hozatalával az e-kormányzati alkalmazások szabványosítása új fázisba lépett. A mindenkori, aktualizált SAGA verzió a internet-oldalakon hozzáférhető, letölthető. Az átdolgozott SAGA v1.1 - a korábbi változatokhoz képest - a tisztább és egyeztetett szabványrendszerében különbözik, ami elsősorban a gyakorlati alkalmazásokat könnyíti meg. Az architektúra építőelemeit is átdolgozták. Ezen túlmenően jelentős változások történtek a megjelenítési, a middleware, a távközlési és az adatbiztonsági fejezetekben is. A v1.1 verzióba - most először - beintegrálták a bázis-elemek és a kompetencia-centrumok témaköreit is, a 7. fejezet részeként. Ezáltal az e-kormányzati kézikönyvvel is létrejött egy egymást kölcsönösen feltételező kapcsolat. A SAGA v1.1 verzió kiadása a 2002 közepén publikált v0.9 verzióra épül és a közigazgatási szinteken egyeztetett v1.0 diszkusszióit is felhasználja. Jelentős számban vettek részt a SAGA különböző verzióinak megírásában közigazgatási és gazdasági szakemberek. Az érdeklődő polgárokat be lehetett vonni a speciálisan a SAGA-ra koncentráló fórumokon keresztül. 250 fölötti az olyan regisztrált tagok száma, akik a technológiai fórumokon bemutatkoztak, és mintegy 150 kommentár konkrét beépítésre is került. Ebből oldal oldalak száma: 244

140 változtatási javaslat szövegszerűen bekerült az aktualizált verzióba. A SAGA-Forumnak a továbbiakban is hozzá kell járulnia, hogy a SAGA különösen az alkalmazói körökben fokozatosan egyre nagyobb elfogadottságot érjen el. A SAGA v1.1 verzió megjelenésével egyidejűleg a Fórum és minden más háttér-információ (a SAGA Glossar például) a KBSt honlapra került összefűzött (linkelt) formában. A technikai konkrétumokat, a dokumentumokat és más csatolt kérdéseket az érdeklődőknek és szakértőknek a oldalakon szakmai szempontok szerint, részletekbe menően (interaktívan) meg lehet vitatni. A SAGA-ban felsorolt szabványok négy csoportra oszthatók: A kötelező szabványokhoz olyan tételek tartoznak, amelyek kipróbáltak és leteszteltek, illetve a preferált megoldásokat adják. Egymással versenyző szabványok párhuzamosan is lehetnek kötelezőek, ha jól elkülöníthetően eltérő funkcionalitással és kulcs-alkalmazással rendelkeznek. Vitás esetekben azt a szabványt kell használni, amely az adott alkalmazáshoz a legalkalmasabb. Ha olyan szabvány jelentkezik párhuzamosan, amely a megfigyelő csoport mellett kötelező és/vagy ajánlott szabvány csoportban is rendelkezik megfelelővel, akkor a megfigyelt csoport szabványa csak a kivételes esetben használható. A javasolt szabványok kipróbáltak és leteszteltek, de nem kötelezőek, illetve nem képviselik a preferált megoldást. Amíg kötelezővé tehetők, addig újabb osztályozás, átsorolás szükséges. Ha nincs megfelelő versenytárs a kötelező szabvány csoportban, akkor a javasolt szabványtól való eltérő választás csak kivételes esetben lehetséges. Párhuzamos, versenyző szabványok együtt is lehetnek javasoltak, amennyiben teljesen eltérő funkcionalitással és kulcs-alkalmazással rendelkeznek. Ilyenkor az adott alkalmazáshoz legjobban illeszkedő szabványt kell felhasználni. A javasolt és a megfigyelt szabványok közötti választás esetén az előzőké a feltétlen elsőbbség. A megfigyelt szabványok a fő fejlesztési irányba esnek, de még nem érnek el megfelelő érettségi szintet, illetve még nem bizonyítottak elegendő piaci értéket. Amennyiben nincs kötelező, vagy javasolt szabvány versenytárs, akkor a megfigyelt szabványok orientációs támaszként szolgálhatnak Az e-kormányzat alapelvei Egy korszerű e-kormányzat olyan interoperábilis távközlési és információs rendszerekre épül, amelyek akadálytalanul működnek együtt. Ehhez egyszerű és tiszta szabványok kellenek. A SAGA által megfogalmazott szabványok, formátumok és specifikációk a megfelelő konformancia szabályokkal és továbbfejlesztésekkel a technológia fejlődése mellett is folyamatosan betöltik feladatukat oldal oldalak száma: 244

141 Az alapelvek, amelyet egy e-kormányzati célkitűzésnek követni kell a következők: Az e-kormányzati alkalmazások alapvetően browsereket használnak front-end funkciókhoz, ha a szolgáltatás ezt nem akadályozza. A browserek megelőzik az aktív tartalmat és a felhasználók így nincsenek arra kényszerítve, hogy a biztonsági beállításokat a browserben csökkentsék, amely a láthatatlan internet-oldalak sérüléseihez vezetne. Előfordulhat, hogy csak aláírt, vagy minőségileg biztosított oldalakat lehet használni. Az e-kormányzati alkalmazások nem tárolnak semmiféle programrészt, vagy adatot a felhasználó számítógépén annak kontrolja nélkül A SAGA célkitűzései A SAGA a következő célokat tűzte ki: biztosítani kell az információ kétirányú folyamatos áramlását a polgárok és a szövetségi kormány és partnerei között (interoperabilitás). összehasonlítható eljárásokat kell kidolgozni a szolgáltatás biztosítására és az adatmodelek definiciójára (újrafelhasználhatóság). A szövetségi kormánynak és a közigazgatási adminisztrációnak fel kell használnia a BundOnline 2005 kezdeményezés fejlesztési eredményeit. specifikációt kell adni nyilvánosan hozzáférhető dokumentumok formájában (nyitottság). figyelemmel kell lenni a piaci változásokra és a szabványosítás eredményeire (költség és rizikócsökkentés). a megoldások használhatóságát meg kell őrizni a változó követelmények között is, amennyiben a volumen nagysága és a tranzakciók frekvenciája változik (skálázhatóság) A SAGA érvényességi köre, feladatai és biztonsági követelményei A SAGA egy szabványosítási projekt, amely minden fönti célkitűzést egy integrált közelítéssel valósít meg. A nem tárgyalt szabványok vagy architektúrák: nem e-kormányzat specifikusak, részletkérdések a SAGA által tárgyaltakhoz viszonyítva, belefoglaltak, vagy hivatkozottak a SAGA szabványokba, túl újak, vagy túl ellentmondásosak egyelőre, nem kívánatosak, mert konfliktusuk van valamelyik bevezetett szabvánnyal, illetve akadályozza az interoperabilitást oldal oldalak száma: 244

142 Az e-kormányzat sikerét jelző tényezők: a törvénykezési keret kiépítése, a felhasználók várakozásainak kielégítése, a folyamat definíciók és a meta-adatok elkészítése, a kiképzés és training online verzióinak létrehozása, a partner integráció és az outsourcing térnyerése. A SAGA fő stratégiai feladatai: referenciák, standardok és architektúrák definíció megalkotása, folyamat modellezés megoldása, adat modellezés létrehozása, az alap-komponensek fejlesztéseinek koordinálása. A SAGA modulok kapcsolatának biztonsági követelményei: az egyének és rendszerek autentikációját be kell építeni, hogy a rendszer összes szerepelője bizalmasan védett legyen. a szereplők authorizációja biztosítandó, hogy felhatalmazásukkal a kölcsönös interaktivitás megvalósítható legyen. az adatok és folyamatok integritásának biztosításával a torzítatlan adatátvitelt, illetve a folyamatok korrekt végrehajtását meg kell oldani. az adatok bizalmasságával biztosítani kell, hogy a kommunikációs kapcsolat szereplőin kívül más nem fér az adatokhoz. A kommunikáció lehallgatását mindenképpen el kell kerülni Az e-kormányzati alkalmazások és interfészek Az e-kormányzati kapcsolatok három kategóriába sorolhatók: a nyilvános hivatalok kapcsolatot tartanak egymással, hogy G2G (government-togovernment) párbeszédet hajtsanak végre, a polgárok és a nyilvános hozzáférési pontok kapcsolata G2C (government-tocitizens) párbeszédek és műveletek megvalósítására képesek, 142. oldal oldalak száma: 244

143 ag2b (government-to-business) kapcsolatok a cégeik és a közcélú, nyilvános pontok párbeszédének interfészéül szolgálnak, a fenti három kapcsolatot a SAGA architektúra kezelni tudja. Nem tudja viszont megoldani a nyilvános pontok alkalmazottjainak G2E (government-to-employee) együttműködését. Együttműködési interfészek feladatai: Információs: az információ elérhető és visszahívható kívánság szerint. Kommunikációs együttműködési: kétoldali kommunikáció egyszeri, általános tranzakciók lebonyolítására, mint az információs átadás/átvétel vagy a koncepciós munkavégzés. Tranzakciós/integrációs kapcsolati: komplex, specializált tranzakciók több fokozatú értéklánccal a kommunikációs partnerek között. A cél egy személyi alapú szolgáltatás (alkalmazási eljárás, fizetési projekt és felügyeleti intézkedések) megvalósítása. Az érték-láncban elfoglalt helyzetétől függően a fenti együttműködési formák eltérőek lehetnek (lásd az E-government kézikönyvet). A különleges e-kormányzati alkalmazások négy osztályba sorolhatók: a kliens osztály a hozzáférési csatornákat jelenti felhasználókkal, terminál eszközökkel, átvételi utakkal stb. a megjelenítés osztály az információ feldolgozást írja le a kliensek és a különleges alkalmazásokkal együttműködő felhasználók között. a középső osztály az új fejlesztéseket tartalmazza és legtöbbször az e-kormányzat specifikus alkalmazások magját adja. Ez az osztály az adatkapcsolatokért is felelős a back-end és az állandósult osztály között. az állandósult osztály az adatok tárolásáért felelős, többnyire adatbázisok formájában IT architektúra és adatátviteli szabványok Az IT architektúrákra a következő szabványokat alkalmazzák: Kliensek (általában software elemek, amelyek a terminál eszközökön használhatók) oldal oldalak száma: 244

144 Megjelenítés (ez a réteg látja el a klienseket információval), ami nyitott kapcsolati formátumokkal dolgozik, hogy elegendő funkciót biztosítson a különböző platformokon. Műszaki és specifikus folyamatok és adat modellek. Ez a szétválasztás lényegében az információs technológiák háttérbe tartását, az architektúra állandóságát hivatottak biztosítani. Adatintegráció, amely egységes adatkezelést tesz lehetővé a leírások, a transzformációk és a karakter reprezentációk változása során. Köztestermék (middle-ware architektúra, ahová a másolati, az elosztott tranzakciós menedzsment, nemzetköziesítési, üzeneti stb. szolgáltatások is tartoznak, az alapelvekből következő klasszikus előírásokon (operációs rendszer semlegesség, interoperabilitás és portabilitás) túlmenően. Kommunikáció, ahol az alkalmazói, a middleware és a hálózati protokollok, valamint a directory szolgáltatások foglalnak helyet. A back-end alrendszerek bekapcsolására biztonsági tranzakciót, vagy aszinkron batch adatfeldolgozást, illetve esetenként program-program kommunikációt használnak (saját protokollal). Az adatvédelem céljai: bizalmasság (csak meghatalmazottaknak), hamisíthatatlanság (a manipulációk kizártak), hitelesség (hamisítványok kizárása), rendelkezésre állás (az IT rendszer hibáinak kizárása) Alapkomponensek és kompetenciaközpontok Alapkomponensek Az alapkomponensek olyan funkcionális blokkok, amelyek közös részeit képezik számos szolgáltatásnak modulokként, illetve integrált részként szerepelve a különböző e- kormányzati alkalmazásokban. Az alapkomponensek a fejlesztési szinttől függően jelentősen eltérnek egymástól. Például a portal első negyedében már működött, miközben a Call Center alapkomponens még ma is analízis állapotában van. Az alapkomponenseket, amelyek használata kötelező jellegű az e-kormányzati alkalmazások megvalósításánál fokozatosan továbbfejlesztik. Ennek megfelelően az alapkomponensek az idő folyamán egyre bővülő funkcionalitással rendelkeznek. Ha csak a migrációs költségek nem túl magasak az alapkomponensek nem helyettesíthetőek más modullal még időlegesen sem oldal oldalak száma: 244

145 Kompetenciaközpontok Eddig négy központot állítottak fel a Bund Online 2005 e-government kezdeményezés során. A központok a tapasztalatot és a szakértelmet bocsátják az elosztott megvalósítású online szolgáltatások rendelkezésére. Ez mindenek előtt az alapkomponensek és az online szolgáltatások konkrét és aktuális megvalósításához, illetve a megfelelő használatához nyújtott napi segítséget jelenti. Adatbiztonsági kompetencia központ: A német szövetségi információbiztonsági iroda tanácsait és ajánlásait adja közre a nyilvános hozzáférési pontoknak az e- kormányzati módszerekről és a digitális aláírásról. Megbízható infrastruktúrákat kell létrehozni, az adminisztratív folyamatokat újra kell strukturálni, és a közcélú alkalmazásokat fel kell készíteni arra, hogy érzékeny adatokat tudjanak átvinni az interneten. Ez egyidejűleg biztosítani képes a folyamatos, jogszerű és bizalmas online kommunikációt a szövetségi adminisztráció külkapcsolataiban és megalapozza a biztonságos kommunikációt a közcélú hivatalokon belül és azok között. E-payment kompetencia központ: Ez a teljes szövetségi rendszer számára biztosítja az e-payment alkalmazások egységes megvalósítását és egyforma működtetését. Továbbá összegyűjti és koordinálja a szakértelmet az e-shop-ok integrálásához ebbe az egyetlen központi e-payment platformba. Ugyanakkor konzultációs támogatást és piaci szakértelmet biztosít a többi e-payment bázisú rendszerhez (szállítóknak, termékeknek, szolgáltatásoknak, ár-modelleknek és trendeknek). A centrum 2003 tavaszán kezdi meg munkáját az e-payment platform első lépcsőjének kibocsátásával. Content Management System - Kompetencia Központ: Ez a központ tanácsokat ad a szövetségi adminisztráció nyilvános hivatalainak, hogy a megfelelő alapelemeket mindenütt hatékonyan tudják használni az online változatú szolgáltatásaikban. Részt vesz a központ a koncepciós munkák kidolgozásában, különösképpen az igény szerinti megvalósításokban, már ami az alapkomponensek szabványos illesztését illeti. A bázis komponensek fejlesztésének befejezése után, mint kapcsolati partner az optimalizálásra vonatkozó ajánlásokban és custom adaptációk kidolgozásában is közreműködik. Tranzakció kezelő és szervező kompetencia központ: Ez a centrum a közcélú hivatalokat fogja segíteni a megfelelő üzleti folyamatok optimalizálásának kialakításában az online verziók kidolgozása előtt. Ez mindenkor, mint kötelező szervezeti előfeltétel szerepel, ha a meglévő potenciált kívánják optimalizálásra felhasználni. Az elsődleges célja a centrumnak annak biztosítása, hogy a szövetségi hivatalok képesek legyenek a saját szolgáltatásaik hatékony megvalósítására mindezt a saját felelősségükre oldal oldalak száma: 244

146 A szövetségi hivatalok műszaki és módszertani támogatást is kanak a centrumtól azért, hogy a saját struktúráikat, folyamataikat és adminisztratív eljárásaikat hatékonyan adaptálni tudják az online keretekhez Az átalakulási terv fejlődése {E-kormányzati ellenőrzési pont: CEBIT 2003} március között a hannoveri CEBIT 2003 vásár alkalmából az információs és a kommunikációs technológiák jelentős seregszemléjére került sor. Ebbe beleértendő a részterületek (hardware, software, információs és távközlési szolgáltatások) részletes bemutatása is. A 7500 kiállító mintegy 400 ezer m 2 -en mutatta be termékeit és projektjeit. Városi, vidéki és szövetségi online Németország mottóval, illetve Útban az egységes (one-stop) e-kormányzat felé címmel a BundOnline 2005 kezdeményezés 2002-es eredményei tételes bemutatásra kerültek. Ez a bemutató beágyazódott az Europe e-government általános témakörbe, amely a közösségek, az állam és a gazdaság egységes felhasználói központja volt a CEBIT 2003-on és maradt továbbra is az, napjainkig. Az Europe központot kiegészítette egy stratégiai fórum is, amely napról napra sikeres hatósági online-projekteket mutatott be, amelyet szövetségi politikusok és tartományi képviselők tartottak, illetve a projektfelelősök maguk szerepeltek. Mindezek az információk az egyik centrális portálon ( a CEBIT alatt és után adatok, illetve dátumok és más kísérő paraméterek formájában folyamatosan követhetőek voltak. Ebben messzemenően érvényesült az a szövetségi cél, amely egy közös e-kormányzati politika kifejlesztésére irányul egybefogva a szövetségi, tartományi és közösségi együttműködési kereteket. A CEBIT már pontosan tükrözte azokat a sokoldalú kezdeményezéseket, amelyeket az e-kormányzat bevezetése és az ezzel kapcsolatos átalakulások megalapozásra, illetve végrehajtására hajtottak végre. Érezhető volt, hogy az együttműködés, a közös fejlesztések a szövetségi állam egészében már jól haladnak. A SAGA általános projekt jól példázta, hogy a közösen megállapított standardok az e-kormányzat egészének megvalósításánál már mindenkinek rendelkezésére állnak. Ugyanakkor az aláírási-szövetség már biztosítani tudja a közigazgatás és a gazdaság közötti bővülő, elektronikus aláírásra épülő e-kormányzati támogatást is. A cél a már említett onestop-government volt, amely egy átfogó közigazgatási rendszer megvalósítását célozza, amelyben a polgárok és a gazdaság egy hatékony szövetségi szolgáltatási csomaggal mindhárom (szövetségi, tartományi és közösségi) szinten meg tudják oldani a szolgáltatási problémáikat - szinte kizárólag online megoldást használva. Az ún. egy mindenkiért szolgáltatással, amely minden kooperáló partnernek - folyamatosan frissítve oldal oldalak száma: 244

147 rendelkezésére állt, a szokásos párhuzamos fejlesztéseket elkerülhetnék és egyidejűleg az eredő költségeket jelentősen csökkenteni lehetett Az e- kormányzati szolgáltatások készültsége A 2003-ig tartó fejlődést egy ábrán mutatjuk be, amely a már megoldott és a hálózatban rendelkezésre álló szövetségi szolgáltatásokat veszi sorra (számszerűsítve azokat). Az alábbi 10. ábra: A német e-kormányzati átalakítás folyamata a megvalósított online szolgáltatások szolgáltatás-készletét mutatja, amelyek a típustól és a megvalósítás időpontjától függően különbözőképpen színezettek. Az egymásra helyezett kockák tekintélyes magasságot érhetnek el, a megvalósításnak ebben fázisban is. Egy kiegészítő lista online verziójával a felhasználók a részletes tartalomról, a megvalósításról valamint a rezsim-feltételekről is pontos képet kaphatnak. A grafika (a színeken keresztül) jól jellemzi a évben történt fejlődést. Látható, hogy a szabványokra (a SAGA felületre) és a bázis-komponensekre épülő kockák számossága egy év alatt mintegy 5-10 szeresére növekedett. Az információgyűjtésében, az ajánlati bekérésekben, illetve a különleges szolgáltatások területein mért fejlődés átütő erejű és annak mondható a 24-ről 170-re ugró eredő szolgáltatási teljesítmény-értékelés előrelépése is. Az e-kormányzati szövetségi kezdeményezés, a BundOnline 2005 szerint 2005-re az összes, mintegy 400-ra rúgó internetes szolgáltatást online formában rendelkezésre kell bocsátani a szövetségi közigazgatásban. Több mint 100 hivatal, illetve szervezet vesz részt ezekben a projektekben. A bázis-komponensek a kezdeményezés számára az összes szövetségi hivatalnak egységes e-kormányzati kulcstechnológiát biztosítanak. Ez képezi az alapját az onlineszolgáltatások megvalósításához szükséges rendelkezésre állásnak. Ide tartoznak többek között a fizetési platform, a tartalom-menedzsment és az adatátviteli biztonság eszközei, illetve nem utolsó sorban a szövetségi szolgáltató portál elemek. A SAGA dokumentáció első verziója e-kormányzati alkalmazásokban használható szabványokat és architektúrákat határozza meg, azaz megadja a kiindulási alapokat a szolgáltatások online-átalakításához. Az eddigi mérlege a kezdeményezésnek mindenképpen pozitív; több mint 160 szolgáltatás a szövetségi közigazgatást már internetes formában teszi hozzáférhetővé. Ehhez járul még hozzá az elektronikus közbeszerzési platform (e-vergabe) megvalósítása a szövetségi közbeszerzési hivatal részéről. Hasonlóképpen ide tartozik az online vámkezelés (Zollauktion) a szövetségi vámközigazgatás részéről. Megemlítendő még az online jelentési rendszer a vértartalék képzésről, amely a Paul Ehrlich Intézet langeni központjához tartozik, amely a BundOnline 2005 e-kormányzati kezdeményezések tipikus és fontos példája oldal oldalak száma: 244

148 10. ábra: A német e-kormányzati átalakítás folyamata Annak érdekében, hogy a BundOnline 2005 célkitűzéseit folyamatosan megvalósítsák és az átalakulást állandó ellenőrizhessék, illetve a változó feltételrendszerre időben intézkedni lehessen, a szövetségi kormány egyfajta guruló stratégiát vezetett be novemberében a kormányzat úgy döntött, hogy évente egyszer az átalakulás folyamatát, a stratégiai terveket felül fogja vizsgálni, illetve rendre pontosítani fogja. A jelenlegi értékelések így a évi állapotot mutatják be, illetve a közötti évek tervezésének pontosításait tartalmazzák oldal oldalak száma: 244