Szervezetek és biztonsági tudatosság - Jogérvényesítés a kiber térben Birkás Bence Nemzetközi kapcsolattartó Puskás Tivadar Közalapítvány 1
2
3
ENSZ: Senkit nem lehet azzal büntetni, hogy megfosztják az internetkapcsolattól - állapítja meg a nemzetközi szervezet friss jelentése. 2011. június 06 4
Alapjogok az interneten - Felhasználóként mihez van jogunk? - Előfizetőként mihez van jogunk? - Mik a felhasználók kötelezettségi? - Mik a szolgáltatók kötelezettségei? - Milyen szervezetek védenek a jogellenes tartalmaktól? - Milyen szervezetek védik a hálózatok biztonságát? - Milyen jogi keretek védik a felhasználókat? 5
Az alapprobléma Egyre több a megvédendő digitális érték Egyre nő a nemzeti digitális adatvagyon Egyre több helyen kell megadni személyes adatokat Viszont: egyre több a jogosulatlan adatgyűjtés Egyre nagyobb a veszély az információval/adatokkal való visszaélésre 6
Mit kell védeni? - személyes adatokat saját eszközökön - egy hálózatot (egyetemi, vállalati): a fenntartható működésért - a kritikus infrastruktúrákat: a szolgáltatások folytonosságáért, a rendszerek intergitásáért - az elektronikus közszolgáltatást (kormányzati gerinchálózat, ügyfélkapu): az információ hitelességéért, megbízhatóságáért - a felhasználók személyiségi jogait, jó hírnevét 7
Mitől kell védeni? - kártékony programoktól: malware, vírus, spam - rosszindulatú adatgyűjtéstől: adathalászat, money mule - célzott támadástól, nagykiterjedésű támadástól - jogsértő tartalmaktól - hozzájárulás nélkül hozzáférhetővé tett tartalmaktól 8
Nemzetközi jogi keretek - ICANN - Kijelölt Nevek és Számok Internetes Társasága szabályzata a domain regisztrációról - Safe Harbor Act / 2000/520/EK határozat határokon átnyúló személyes adatok kezeléséről, feldolgozásáról, védelméről szóló irányelv - New York-i egyezmény a gyermekek jogairól a pedofília ellen - Budapesti Egyezmény a számítástechnikai bűnözésről - a számítástechnikai rendszerek, hálózatok, adatok hozzáférhetőségének sérthetetlenségéről - London, Budapest Kibertér konferencia új kiber normák 9
Hazai jogi keretek - Alkotmány jóhírnévhez, személyes adatok védelméhez való jog - Elektronikus hírközlési törvény a fogyasztók megbízható, biztonságos szolgáltatásokkal való ellátása, adatkezelési témakörök - E-kereskedelmi törvény a személyes adatok kezeléséről, fogyasztóvédelmi szabályokról, jogsértő tartalmakkal kapcsolatos szabályok - E-közigazgatási törvény az ügyintézés átláthatósága, az informatikai biztonság garantálása - BTK 300/C a számítástechnikai rendszer védelmét szolgáló intézkedés megsértése, jogosulatlan belépés 10
Hazai keretek - ISZT alapszabály, alternatív vitarendezési módszerek - MTE alapszabály + etikai kódex, panaszkezelési eljárás - szolgáltatók ÁSZF-je, abuse team-ek - Alapvető Jogok Biztosa / NAIH állásfoglalásai, határozatai 11
Ki tud megvédeni? A CERT közösség - mi az a CERT, CSIRT? Computer Emergency Response Team Computer Security Incident Response Team - alapvető feladat: információ és hálózatbiztonsági incidensek koordinációja a támogatott szervezetek részére - globális/regionális/szektorális CERT-ek hálózata - globális lefedettség, koordinált incidenskezelés, sérülékenységi információk, információ megosztás, megbízható forrás - nemzetközi fórumok: FIRST, TF-CSIRT, EGC akkreditáció, kapcsolati pontok, magas bizalmi szint - gyors technikai megoldás hálózatbiztonsági problémára 12
CERT-ek működése Általános CERT szolgáltatások: preventiv - reaktív proaktív - incidens kezelés/koordináció - sérülékenység kezelés: kockázati besorolás, fenyegetettségi szint - fenyegetettségi publikációk, jelentések, riasztások - korai figyelmeztető rendszerek, kiber helyzetértékelés - tudatosság növelés: szakmai - általános - incidensek kezelése ticketing rendszeren keresztül - PGP használata kommunikáció során 13
CERT incidens kezelés 14
Ki tud megvédeni? Hotline közösség - nemzetközi hálózat káros, illegális és jogsértő tartalmak eltávolítására (INHOPE) - küzdelem 2 fő tartalom kategória ellen: pedofil, rasszista tartalmak - értesítési és eltávolítási folyamat a tartalmak eltávolítására - eltérő jogi szabályozások miatt változó siker - nem nyújt lehetőséget 'káros' tartalmak eltávolítására 15
Bejelentési kategóriák A Biztonsagosinternet.hu bejelentő oldalán a magyar jogszabály által meghatározott jogsétrő online tartalmat jelenthet be a következők szerint: - pedofil tartalom - idegen és fajgyűlöletre uszító tartalom - drogfogyasztásra csábítás - online zaklatás, erőszakos tartalom - hozzájárulása nélkül sértő módon hozzáférhetővé tett tartalom - egyéb sértő tartalom 16
Hotline eljárási rend 17
Ki tud megvédeni? Bűnüldöző szervek - lassú, jogi kereteknek megfelelő eljárás nemzetközi jogsegély egyezmények alapján - Interpol, Europol a nemzeti rendőrségek támogatására - együttműködés CERT-ekkel, Hotline-okkal Botnetek ellen - Team Cymru, Shadowserver Foundation, stb: fertőzöttségi listák - ISP-k proaktív hozzállása, önszabályozó törekvések Sérülékenységek, vírusok ellen: - szoftvergyártók megoldásai: Microsoft, Firefox, stb. - piaci vírusirtó megoldások, internetszolgáltatók szűrései 18
Európai információbiztonság Európai Bizottság - Safer Internet Program (INSAFE/INHOPE) - kritikus információs infrastruktúra védelem (DG CONNECT) - pályázatok, finanszírozás a Digitális Menetrend támogatására - ENISA - Európai Hálózat- és Információbiztonsági Ügynökség - gyakorlatok, PPP kezdeményezések EGC, EUSCSIE, FI-ISAC stb... - koordinált incidens kezelés, SCADA/irányítási rendszerek, pénzügyi rendszerek biztonsága 19
Magyar információbiztonság - PTA CERT-Hungary - Nemzeti Hálózatbiztonsági Központ nemzeti kapcsolati pont, 0-24 ügyelet - Hun-CERT, NIIF CSIRT incidenskezelés, koordináció - Hatóságok (PSZÁF, NMHH, NAIH) ellenőrzés, határozat, ajánlás, fogyasztóvédelem - ISP-k önszabályozás - Bűnüldöző szervek ORFK, NNYI: megelőzés, nyomozás, bizonyítékok begyűjtése, együttműködés CERT-el, hotline-al - NFM, BM, KIM, ME kormányzati, közigazgatási IT, kritikus infrastruktúra védelem - Információ megosztó csoportok (ISAC): közös érdek alapján 20
Magyar tudatosságnövelés www.biztonsagosinternet.hu - jogsértő tartalmak bejelentése, általános internetbiztonsági útmutató www.saferinternet.hu - magyar Safer Internet pont: gyerek szülő - pedagógus www.internethotline.hu - illegális, káros tartalom bejelentése (NMHH) www.idealisbank.hu - internetbanki és internetbiztonsági tudatosságnövelés (PSZÁF) 21
22
Köszönöm a figyelmet! bence.birkas@cert-hungary.hu 23