SZEKCIÓÜLÉS II. _ INFORMÁCIÓBIZTONSÁG PÓSERNÉ OLÁH VALÉRIA A MAGYAR KÖZIGAZGATÁS AZ INFORMATIKAI BIZTONSÁG SZEMSZÖGÉBŐL A megfelelő informatikai biztonság kialakítása a korszerű informatikai technológiák széleskörű elterjedésének köszönhetően egyáltalán nem elhanyagolható. Fokozott körültekintést igényel a közigazgatás rendszereit tekintve, hiszen annak nem megfelelő volta miatt bekövetkezett problémák ebben az esetben tömegeket érinthetnek. A cikk két szempont szerint vizsgálja a magyar közigazgatás informatikai rendszereinek biztonságát és hívja fel a figyelmet a meglévő hiányosságokra: az egyik a szabályozás oldala, a másik pedig a megfelelő szemléletmód, az informatikai biztonsági kultúra fejlettségének foka. To form the convenient security of informatics is really not negligible due to the widespread of the modern information technologies. It needs increased circumspection according to the systems of the civil service, because if it is not adequate enough it can cause problems for wide masses. The article observes the security of information technology of the Hungarian civil services from two points of view, and it draws attention to the extant gaps: the first viewpoint is the regulation, the other one is the convenient approach, the level of the culture of the information security. Kulcsszavak: informatikai biztonság, közigazgatás, szabályozás, informatikai biztonsági kultúra. Bevezetés A számítástechnika hőskorában az informatikai biztonság terén elegendő volt a fizikai védelemre koncentrálni, az illetékteleneket kizárni a számítógépteremből. Később, a személyi számítógépek alkalmazásának, a kisebb hálózatok kialakulásának kezdetén, amikor még nem sokan értettek a számítógépek kezeléséhez, és még nem létezett az Internet, a védelem megfelelő szintje biztosítható volt a rendszeres mentésre való koncentrálással, mivel az egyetlen veszélyforrást a fizikai meghibásodásból, vagy a felhasználó figyelmetlenségéből adódó adatvesztés jelentette. Azonban a személyi számítógépek és a belőlük alkotott kisebb-nagyobb hálózatok elterjedésének, az első vírusok megjelenésének, a számítástechnika felgyorsult fejlődésének köszönhetően az informatikai biztonság kérdése is egyre bonyolultabb lett. 157
A MAGYAR KÖZIGAZGATÁS AZ INFORMATIKAI BIZTONSÁG SZEMSZÖGÉBŐL Ma már az informatikai biztonság figyelembe véve a számítógéphálózatok, az Internet elterjedését és befolyását a szervezetek sikeres működésére egyre nagyobb jelentőséggel bír, ennek ellenére tapasztalataim alapján sajnos azt kell megállapítanom, hogy nem csak a szervezetek vezetői, de még az informatikusok egy része sem veszi eléggé komolyan a biztonság fontosságát. Sok helyen még olyan alapvető dolgoknak sem tulajdonítanak jelentőséget, mint a biztonsági mentés, archiválás, vagy a jelszavas védelem. Az egyik legnagyobb problémát a megfelelő szabályozás hiányában, (részleges) megléte esetén a be nem tartásában látom. A másik fő problémakör a megfelelő szemléletmód, informatikai biztonsági kultúra hiánya, hogy elengedhetetlen a megfelelő informatikai biztonság kialakítása (a befektetett anyagi- és humán erőforrás megtérül) és folyamatos felülvizsgálatot igényel, nem elegendő egyszer kialakítani, és utána nyugodtan hátradőlni. Állandóan oda kell figyelni és lépést kell tartani az újabbnál újabb fenyegetések ellen kialakított védelmi megoldásokkal, ugyanis az informatikai biztonság hiánya nem érzékelhető, csupán annak hiányából fakadó adatvesztés, sérülés vagy lopás. Általában ezért nem hajlandó pénzt és energiát áldozni rá a felső vezetés mindaddig, amíg be nem következik a baj. A közigazgatás fogalmának definíciója után kutatva a wikipédiában a következő meghatározást találtam: A közigazgatás azon szervezetek összessége, amelyek közhatalmat gyakorolva, az állam vagy az önkormányzat nevében közfeladatokat látnak el és jogszabályokat hajtanak végre. A modern közigazgatás jellemzője, hogy a köztisztviselő a saját nevében, vagy munkahelyi felettese nevében valamilyen jogszabályt alkalmazva, semlegesen és pártatlanul jár el. A modern közigazgatás az írásbeliségre épül és formalizált. [1] A fenti definíciót tekintve és figyelembe véve korunk technikai vívmányait alkalmazó e-közigazgatás és az azt kiszolgáló informatikai rendszerek, funkciók rohamos terjedését, belátható, hogy a közigazgatás területén különösen fontos az informatikai biztonság megteremtése, fenntartása, mivel annak nem megfelelő voltából adódó problémák jelentős embertömegeket érinthetnek érzékenyen. Ezért az általam nagyon fontosnak tartott két szempont alapján (szabályozók és a kialakult/átalakulóban levő szemléletmód) vizsgáltam meg a magyar közigazgatás informatikai biztonság oldalát. 158
SZEKCIÓÜLÉS II. _ INFORMÁCIÓBIZTONSÁG 1. A szabályozók Az informatikai biztonság megteremtésével nemzetközi szervezetek, nemzetközi szabványok foglalkoznak, amelyeknek egy része kötelező érvényű a NATO és EU tagságunk kapcsán, mások ajánlások. Nemzeti szinten az Alkotmány, az adatvédelmi törvény, az egyes országos szervek működéséről szóló törvények adatkezelési előírásai, az ITB ajánlásai a mérvadók az informatikai biztonság megteremtésénél. A magyar közigazgatás informatikai rendszereinek a törvények, szabályzatok, előírások oldaláról történt vizsgálata során arra a megállapításra jutottam, hogy a kialakításukra, biztonságos üzemeltetésükre vonatkozóan a törvényi előírások legfelső szinten többé-kevésbé megszülettek ugyan, azonban nem teljes körűek, bár léteznek a részletekre vonatkozó ajánlások, szabványok, melyek implementációi az alsóbb szinteken sok esetben nem, vagy csak részlegesen kerülnek megvalósításra. Jó példa erre a Belügyminisztérium Informatikai Biztonsági Politikája kiadásáról szóló 12/2004. (BK 12.) BM utasítás, mely meghatároz ugyan olyan jellegű feladatot a felettes szerveknek, hogy kényszerítse rá az alárendelt szerveket, a felettes szervek által a biztonságpolitika illetve az általuk megvalósított informatikai biztonsági szabályzat alapján megfogalmazott szabályozások, technológiai eljárások végrehajtására, de finanszírozási támogatás nem volt mögötte. Így a 2004-es utasítás nem gerjesztette azt a folyamatot a rendőrségnél, amit kellett volna, derült ki a Budapesti Rendőr-főkapitányság informatikai osztályán Csillag Imrével folytatott interjúm során. Mindenhol egységesen meg kellett volna valósítani az informatikai biztonság szabályozásának kérdéseit és koncepcionálisan kellett volna továbbdolgozni ezen a területen. Rendészeti területen azért léteznek az IT biztonság kérdésének szegmensét képező szabályozások, mint az adatvédelemmel kapcsolatos szabályozások, építészeti, műszaki normák, iratkezelési szabályzatok, elektronikus adathordozók kezelésével kapcsolatos szabályzatok, stb., csak nincsenek egységes keretbe foglalva. Katasztrófa tervek, mentési szabályzatok léteznek, csak az aktualizálásukkal vannak komoly gondok, melynek legfőbb okai a humánerőforrás problémákkal magyarázható (személyi állomány csökken, a megfelelő képességekkel nem rendelkeznek, külső auditáló szakemberek bevonása a bizalmasság megsértését eredményezheti). 159
A MAGYAR KÖZIGAZGATÁS AZ INFORMATIKAI BIZTONSÁG SZEMSZÖGÉBŐL Ha a magyar közigazgatás informatikai rendszereinek biztonságát vizsgáljuk a szabályozás szempontjából, elsősorban a 2005 novemberében életbe lépett Közigazgatási Eljárási Törvény előírásait kell figyelembe vennünk. Az elektronikus ügyintézést lehetővé tevő informatikai rendszerek biztonságáról, együttműködési képességéről és egységes használatáról szóló 195/2005. (IX. 22.) Korm. rendeletet (különösen a biztonsági követelményekkel foglalkozó V. fejezetet) érdemes tehát mélyebben is megvizsgálni, elemezni, hiszen a közigazgatási informatikai rendszerek biztonságát alapvetően meg kellene határozni a benne foglaltaknak. Az említett rendelet vizsgálata során több hiányosságra is bukkantam, melyekkel kapcsolatos észrevételeim a következők: A 14. szerint a fejezetben foglalt biztonsági követelményeket olyan informatikai célrendszerre kell alkalmazni, a) amelyben a hatóság olyan hatósági ügyre vonatkozó elektronikus dokumentumokat tárol, amelyek egyidejűleg papír alapon nem állnak teljes körűen a hatóság rendelkezésére, vagy b) amely informatikai célrendszerben bekövetkező tartós üzemzavar esetén a hatóság nem tudja a folyamatban lévő közigazgatási hatósági ügyet további öt napon belül papír alapon folytatni [2]. Ezzel kapcsolatban a következő kérdések fogalmazódtak meg bennem és várnak válaszra: Mi a helyzet a többi rendszerrel? Azokra mit kell figyelembe venni? Erre vonatkozólag nem tartalmaz semmit a rendelet. A 15. (1) szerint a műszaki lehetőségeknek megfelelően biztosítani kell, hogy az egyszer már azonosított ügyfél vagy hatóság helyébe jogosulatlan harmadik személy ne léphessen, de nincs meghatározva, hogy mi az a minimális műszaki lehetőség, amit mindenképp meg kell teremteni, így aztán könnyen lehet hivatkozni a feltételek hiányára a követelmények nem teljesítése esetén. A 16. (1) az informatikai célrendszer működése szempontjából meghatározó folyamat valamennyi eseménye naplózását írja elő, azonban a naplók ellenőrzéséről, feldolgozásáról, elemzéséről nem rendelkezik, pedig tudva levő, hogy anélkül nem ér semmit a naplózás. A 20. (1) a célrendszer vírusokkal és más rosszindulatú programokkal szembeni arányos védelmét követeli meg, de azt például, hogy minden munkaállomáson legyen megfelelően konfigurált és naprakész adatbázissal rendelkező vírusvédelem már nem követeli meg, a védelem kivitelezését az adott szervezetre bízza. 160
SZEKCIÓÜLÉS II. _ INFORMÁCIÓBIZTONSÁG A 22. (1) az ügyfelekkel a nyilvános csomagkapcsolt adathálózaton történő kommunikációval foglakozik, de csak a külön jogszabályban meghatározott párbeszédre épülő elektronikus ügyintézésre vonatkoztatva kötelező az elektronikus dokumentumok megfelelő rejtjelezési eljárást használva történő küldése és fogadása. Egyéb esetekben az ügyfél külön kérésére biztosíthatja a hatóság azt, de véleményem szerint ma még az ügyfelek nagy része nem is tudja, hogy van ilyen lehetőség és mit is takar az pontosan. A közigazgatás területén kardinális kérdés a személyes adatok védelme is, mivel a rögzített adatok igen jelentős hányada véleményem szerint több mint 90 százaléka személyes adat vagy személyes adathoz kötődik. Az adatok védelme még nem megoldott, ha pusztán a technika védelmére koncentrálunk, meg kell óvni azt a szervezet tagjaitól is különböző szabályok felállításával és betartatásával. A humán biztonságnak természetesen belső és külső aspektusa is van, amely során egyrészt a szervezetnek törekednie kell a saját dolgozóinak a tevékenységét minél jobban beszabályozni, másrészt az idegenek jogosulatlan adathozzáférését lehetetlenné tenni. A szervezet hatékony működésének, racionális irányításának elengedhetetlen követelménye az informatikai biztonság egységes értelmezése, informatikai biztonsági célok és a megvalósításukhoz vezető út, a szükséges feladatok meghatározása, és végrehajtásuk figyelemmel kísérése, az esetleges változások figyelembe vétele érdekében legalább évente egyszeri felülvizsgálata. Ennek következetes kivitelezéséhez elengedhetetlenül szükség van egyértelmű, pontosan megfogalmazott törvényi szabályozásra, mert mivel az ajánlások nem kötelező érvényűek, számonkérésük sem lehetséges. Mindennek azért is egyre nagyobb a jelentősége, mivel a hatályos magyar jogszabályok szerint 2009-től az összes közfeladatot ellátó szervezetnek kötelező lesz a minősített elektronikus iratkezelő szoftvertermékek használata azok számára is, akik eddig nem is gondolkodtak elektronikus iratkezelésben. [3] 2. A szemléletmód A megfelelő szabályozás mellett egy másik fontos tényező a kívánt minőségű informatikai biztonság kialakításához, fenntartásához, hogy a döntéshozásban, a kivitelezésben és az üzemeltetésben résztvevők hozzáállása, szemléletmódja megfelelő legyen. Ennek demonstrálására jó példa a 161
A MAGYAR KÖZIGAZGATÁS AZ INFORMATIKAI BIZTONSÁG SZEMSZÖGÉBŐL következő: Krasznay Csaba és Szigeti Szabolcs 2006 októberi tanulmányában (melyben az Ügyfélkapu biztonságát elemezték) tett megállapításokra hivatkozó képviselő felvetésére az Országgyűlés 2007.10.29-i ülésén a következőképpen reagált Baja Ferenc a MeH EKK államtitkára: A hackerek számára is nyitott az ügyfélkapu, mint minden magyar állampolgár számára természetesen, szabályosan a hackerek is használhatják; ha megpróbálják hackelni, annak következményei vannak. Nyilvánvalóan tettek már kísérletet, és ön sem tud beszámolni arról, hogy sikeres lett volna egyetlenegy kísérlet is. Azt tudom tehát kijelenteni felelősen, hogy az ügyfélkapu természetesen biztonságos, biztosítja azt, hogy a magyar állampolgárok és a magyar vállalkozások nyugodtan, minden behatástól mentesen bevallhassák adataikat. [4] Azt, hogy egy informatikai rendszer biztonságos-e, vagy sem nem lehet egyszerűen kijelenteni, főként nem arra alapozva, hogy nincs tudomásunk sikeres támadásról. Az Ügyfélkapu egyébként is a manapság egyre divatosabb támadási célpontok közé sorolható, mivel a felmérések azt mutatják, hogy drasztikusan növekednek a web alkalmazások elleni támadások (Gartner: a hacker támadások 75%-a az alkalmazás rétegből kerül ki). Ennek oka, hogy a hagyományos támadások a hálózati rétegből, az operációs rendszer rétegből indultak, ezért itt építették ki a védelmet először, melynek köszönhetően mára már annyira megnehezítették a hekkerek dolgát, hogy inkább máshol (a kisebb ellenállás irányában) próbálkoznak, ami ma az alkalmazás réteg. Egy rendszer lehet, hogy ma biztonságosnak mondható, de lehet, hogy holnap már nem lesz az, mindenesetre a létező, ismert védelmi technológiákat naprakészen alkalmazni kell ahhoz, hogy elmondhassuk, mi mindent megtettünk. Egy másik, korábbi példa ugyan, de a helyzet nem nagyon változott azóta: Csillag Imre 2004-ben, a Baranya Megyei Rendőr-főkapitányság auditjával kapcsolatosan megjelent cikkében leírja, hogy az audit riportjára az ORFK gazdasági főigazgatójának reakciója az volt, hogy amíg a rendőrautókat nem tudják tankolni, addig nem tud erőforrásokat fordítani az informatikai biztonság területére. Véleménye szerint kisebb kockázatot rejt magában, ha egy szabályozás nem változik, mintha egy rendőrautó nem tud kimenni az utcára. [5] És még felsorakoztathatnék itt számos példát arról, hogy felelős beosztásban levő embertársaink mennyire elhanyagolhatónak tartják azt a szempontot, hogy informatikai rendszereik biztonságosnak mondhatók-e. 162
SZEKCIÓÜLÉS II. _ INFORMÁCIÓBIZTONSÁG Az elsődleges szempont, hogy működjön, amíg valami nagy baj nem történik. A megfelelő szemléletmód kialakításában jelentős szerepet játszhat a manapság egyre kevésbé megbecsült oktatás is. Jelentős befolyása lehet a megfelelő szemléletmód kialakításában a különböző továbbképzéseknek, valamint a pedagógusok arra irányuló nevelő munkájának, hogy már a középiskolában de akár még korábban ne az legyen a követendő, elismert példa az informatika területe iránt érdeklődő gyerekek számára, hogy ki hova tudott betörni, kinek milyen oldalt sikerült feltörni, milyen adatokhoz tudott hozzáférni. A megfelelő informatikai biztonsági kultúra kialakítása nélkül alkalmazhatjuk a legkorszerűbb védelmi technológiákat, csupán szélmalomharcot vívunk. Összegző megállapítások A magyar informatikai rendszerekkel kapcsolatban általánosan elmondható, hogy az elsődleges szempont még mindig az, hogy működjenek és, hogy mennyire biztonságosak az elhanyagolható mindaddig, amíg valami gond nem adódik. Ez probléma a civilszféra rendszereiben is, de megengedhetetlen a közigazgatási rendszerekkel kapcsolatban, hiszen gondoljunk csak bele, milyen következményei lehetnek, ha valaki a biztonsági réseket kihasználva illetéktelenül hozzáférhet az állampolgárok személyi adataihoz. Például születési anyakönyvi kivonatot igényelhet a nevünkben, melynek segítségével már bármilyen iratunkhoz is hozzájuthat. És ez még csak egy egyszerű példa. Kutatásaim során az általam fontosnak tartott szempontok közül két szempontnak megfelelően vizsgáltam a közigazgatási informatikai rendszereket, a szabályozás és a megfelelő szemléletmód fejlettségi fokának oldaláról. Megállapítható, hogy a felsőszintű törvények, előírások, ajánlások is mutatnak hiányosságokat, de még nagyobb probléma, hogy a megfelelő implementációk az alsóbb szinteken nem, vagy csak részben jönnek létre. Ezen a gondon reményeim szerint sokat fog javítani a június 13-án ismertetett, december 31-ig lezáródó, az Államreform Operatív Program (ÁOP) Elektronikus közigazgatási keretrendszer kialakítása című e- közigazgatási keretrendszer projekt, melynek keretében elkészülő szabványok, eljárásrendek és követelmények iránymutatóul szolgálhatnak a magyar közigazgatás intézményei számára. [6] 163
A MAGYAR KÖZIGAZGATÁS AZ INFORMATIKAI BIZTONSÁG SZEMSZÖGÉBŐL A megfelelő szemléletmód kialakulása egy hosszabb folyamat, törvényi szabályzásokkal, előírásokkal nem megvalósítható, de, ha visszagondolunk például az adatvédelmi törvény bevezetésére, annak fontosságának elfogadása sem ment egyik napról a másikra és ma már külön felszólítás nélkül, megfelelően alkalmazzuk. 164
SZEKCIÓÜLÉS II. _ INFORMÁCIÓBIZTONSÁG Felhasznált irodalom [1] Wikipédia: Közigazgatás, http://hu.wikipedia.org/wiki/k%c3%b6zigazgat%c3%a1s, 2008.10.25. [2] 195/2005. (IX. 22.) Korm. rendelet az elektronikus ügyintézést lehetővé tevő informatikai rendszerek biztonságáról, együttműködési képességéről és egységes használatáról, www.ekk.gov.hu/hu/ekk/letoltheto/195_2005.pdf, 2008.11.15. [3] Magyar cégek előadása Brüsszelben COMPUTERWORLD, 2007. május 11. http://computerworld.hu/magyar-cegek-eloadasabrusszelben.html, 2008.11.15. [4] http://www.parlament.hu/internet/plsql/ogy_naplo.naplo_fadat_ aktus?p_ckl=38&p_uln=103&p_felsz=163&p_felszig=166&p_ aktus =29 [5] Csillag Imre: A Baranya Megyei Rendőr-főkapitányság informatikai biztonsági átvilágításának tapasztalatai, Belügyi szemle, 2004. (52. évf.) 11-12. sz. 124-135. old. [6] Kovács Attila: Megvalósítás alatt az e-közigazgatási keretrendszer projekt, http://hirek.prim.hu/cikk/67778/, 2008.06.13. 165
166 A MAGYAR KÖZIGAZGATÁS AZ INFORMATIKAI BIZTONSÁG SZEMSZÖGÉBŐL