A Nemzeti Kibervédelmi Intézet megalakulása

2013. április 15-én az Országgyűlés elfogadta az állami és önkormányzati szervezetek elektronikus információbiztonságáról szóló 2013. évi L. törvényt (Ibtv) és rendeleteit, melyek kijelölték az információbiztonsággal foglalkozó szervezeteket, valamint azok együttműködésének szabályait.

Az Ibtv. 2015. július 16-ai hatályú módosítása eredményeként 2015. október 1-jétől a Nemzetbiztonsági Szakszolgálat irányítása alatt megalakult a Kormányzati Eseménykezelő Központot (GovCERT-Hungary), a Nemzeti Elektronikus Információbiztonsági Hatóságot, és az E-biztonsági Intelligencia Központot (NBF-CDMA) egységes keretben magába foglaló, koordináltabb, hatékonyabb feladat-végrehajtást és információáramlást lehetővé tevő Nemzeti Kibervédelmi Intézet.

Ezen intézkedésnek köszönhetően a Nemzeti Kibervédelmi Intézet az elektronikus információs rendszerek teljes információbiztonsági életciklusára vonatkozóan feladatkörrel rendelkezik: nyomon tudja követni és segíteni tudja annak alakulását, tervezési szakaszait, a szabályozást, az ellenőrzést, valamint az incidenskezelést egyaránt.

 

A Nemzeti Kibervédelmi Intézet rendeltetése

A Nemzeti Kibervédelmi Intézet (továbbiakban: NKI) szervezetén belül három szakmai terület került kialakításra:

  • a kibertérből érkező támadásokkal és fenyegetettségekkel közvetlenül foglalkozó incidenskezelési szakterület (GovCERT = Kormányzati Eseménykezelő Központ);
  • a jogszabályi előírások ellenőrzésével és érvényesítésével foglalkozó hatósági szakterület, a Nemzeti Elektronikus Információbiztonsági Hatóság (NEIH);
  • a védelmi képességek fejlesztését és üzemeltetését támogató biztonságirányítási-, és sérülékenység-vizsgálati szakterület.

 Az egyes területek feladatai:

Kormányzati Eseménykezelő Központ (GovCERT) incidenskezelési terület:

A GovCERT alapvető rendeltetése az állami és önkormányzati szervek informatikai biztonsági támogatása, amely egyrészt megelőző jelleggel, ún. sérülékenység menedzsment formájában a szoftver-sérülékenységek és információbiztonsági fenyegetések nyomon követésére, valamint a fenyegetés kiváltotta biztonsági esemény megelőzése érdekében az érintett IT rendszerek üzemeltetőinek tájékoztatására fókuszál. Ezen túlmenően pedig reaktív jelleggel, ún. incidenskezelési tevékenységet lát el, amely a védett szerveknél bekövetkező biztonsági események (incidensek) kivizsgálására és – több állami szervet érintően - a kezelésük koordinációjára irányul.

 

Nemzeti Elektronikus Információbiztonsági Hatóság (NEIH):

A NEIH az elektronikus információbiztonsági jogszabályokban előírt követelményeknek való megfelelőség ellenőrzésének letéteményese. Amennyiben a szervezet a hatósággal nem működik együtt, úgy – költségvetési szerv esetében – a hatóságnak joga van kirendelni ún. információbiztonsági felügyelőt, míg nem költségvetési szerv esetén bírság kiszabására is lehetősége van.

A hatóság ellenőrző funkciója erőteljes támogató funkcióval is bír, ugyanis jogosult a központi és az európai uniós forrásból megvalósuló fejlesztési projektek tervezési szakaszában véleményezni és ellenőrizni az információbiztonsági követelmények megtartását. Az információtechnológiai fejlesztések elektronikus információbiztonsága szempontjából kiemelt fontosságú, hogy a vonatkozó előírások a rendszerek teljes életciklusa alatt következetesen és maradéktalanul megvalósításra kerüljenek és a fejlesztések eredményeként önmagukban is teljes, továbbá a meglévő rendszerekhez funkcionálisan és biztonsági aspektusból is harmonikusan és költséghatékonyan illeszkedő rendszerelemek, rendszerek épüljenek ki.

 

Biztonságirányítás és sérülékenység-vizsgálat:

Biztonságirányítás

Míg az NKI egyes szakterületei kívülről támogatják az állami és önkormányzati szerveket abban, hogy saját rendszereik védelmét ellássák, és ennek keretében kialakítsák saját ún. információbiztonsági irányítási rendszerüket (röviden: biztonságirányítási rendszer), addig a biztonságirányítási szakterület ezt a feladatot tevőlegesen is végzi – részint az NKI biztonsági felügyeletére bízott, kiemelt kormányzati rendszerek esetében, részint pedig szakmai támogatást nyújtva a hatósági szakterület részére.

 

Sérülékenység-vizsgálat

A sérülékenység-vizsgálat célja az esetleges biztonsági események bekövetkeztét megelőzően az elektronikus információs rendszer gyenge pontjainak feltárása, valamint a feltárt hibák elhárítására vonatkozó részletes megoldási javaslatok kidolgozása. A sérülékenység-vizsgálat végrehajtása során a vizsgálat alá vont elektronikus információs rendszerben a GovCERT felkutatja többek között a potenciális szoftverhibákat, gyenge jelszavakat, hibás beállításokat, amelyeket egy támadó képes lenne kihasználni, és ezeken keresztül kárt okozni a rendszerben. Ez a tevékenység együtt jár azzal, hogy a vizsgálatot végzők pontos, mélyreható ismeretekkel rendelkeznek az adott elektronikus rendszerről.

Az Ibtv. szerint a zárt célú elektronikus információs rendszerek, az állami és önkormányzati szervek létfontosságú rendszerelemeinek elektronikus információs rendszerei, valamint a nemzetbiztonsági védelem alá eső állami és önkormányzati szervek vonatkozásában kizárólag a GovCERT végezhet sérülékenység-vizsgálatot. A fenti körbe nem tartozó állami rendszerek esetében pedig a törvény (Ibtv.) lehetővé teszi magas szintű szakmai és biztonsági elvárásoknak megfelelő gazdálkodó szervek számára is a sérülékenység-vizsgálat lefolytatását.

A sérülékenység-vizsgálat eredményeként elkészítésre kerülő vizsgálati jelentésben a GovCERT minden esetben javaslatot tesz az azonosított sérülékenységek kijavítására is.


Az NKI tudatosító tevékenysége

A kibervédelem legolcsóbb és leghatékonyabb módja a biztonságtudatos használat. A védelemre fordítható összegek ugyanis korlátozottak, ráadásul a megfelelő biztonság technikailag sokszor nem, vagy csak irreálisan magas költségek mellett lenne a megfelelő szinten kialakítható. Az NKI önmagában nem képes biztosítani a magyar kibertér védelmét, azonban szakmai tudásával hozzájárul ahhoz, hogy az egyes elektronikus információs rendszerek üzemeltetői megszerezzék és alkalmazzák a rendszereik védelméhez szükséges ismereteket. Ez a tevékenység a tudatosítás, amely számos formában megjelenhet, mint például szakmai anyagok és útmutatók készítése, közvetlenül kifejtett oktatási vagy képzési tevékenység, a kiberbiztonság hangsúlyának növelése a médiában stb.

A tudatosító tevékenység számos réteget céloz, ezek közt elsősorban kell említeni a döntéshozókat (szervezeti vezetőket, akik a rendszerek védelméért felelősek), az üzemeltetőket (akik ellátják a rendszerek működtetését, és tőlük várható el a védelmi intézkedések megtétele), és a felhasználókat, akiket pedig meg kell tanítani az internet és az információs technológiák biztonságos használatára, a saját és a rájuk bízott adatok felelős és szakszerű kezelésére.

 

Az NKI nemzetközi kapcsolatai

AZ NKI szakmai kapcsolatokat ápol számos CERT-tel és nemzetközi kibervédelmi szervezettel, úgymint:

  • European Network and Information Security Agency - ENISA,
  • Forum of Incident Response and Security Teams - FIRST,
  • Trusted Introducer - TI,
  • International Watch and Warning Network - IWWN,
  • Central European Cyber Security Platform (Visegrádi Négyek és Ausztria kiberbiztonsági szervezeteit tömörítő platform)

 

További információ a Nemzeti Kibervédelmi Intézetről:

http://www.cert-hungary.hu

http://neih.gov.hu

 

 

Alapfogalmak:

Biztonsági esemény (incidens):

nem kívánt vagy nem várt egyedi esemény vagy eseménysorozat a globális kibertér irányából, amely az elektronikus információs rendszerben kedvezőtlen változást vagy egy előzőleg ismeretlen helyzetet idéz elő, és amelynek hatására az elektronikus információs rendszer által hordozott információ bizalmassága, sértetlensége, hitelessége, funkcionalitása vagy rendelkezésre állása elvész, illetve megsérül.

CERT:

mozaikszó, a Computer Emergency Response Team (Számítógépes Vészhelyzeti Reagáló Csoport) angol kifejezés rövidítése, amely olyan szervezetek gyűjtőneve, akik hálózatbiztonsági események kivizsgálásával foglalkoznak.

GovCERT:

(Governmental CERT) kormányzati CERT feladatokat ellátó szerv rövidített megnevezése, amely feladatok ellátására Magyarországon, a Nemzetbiztonsági Szakszolgálat van kijelölve.

Kiberbiztonság:

a kibertérben létező kockázatok kezelésére alkalmazható politikai, jogi, gazdasági, oktatási és tudatosságnövelő, valamint technikai eszközök folyamatos és tervszerű alkalmazása, amelyek a kibertérben létező kockázatok elfogadható szintjét biztosítva, a kiberteret megbízható környezetté alakítják a társadalmi és gazdasági folyamatok zavartalan működéséhez és működtetéséhez.

Sérülékenység:

az elektronikus információs rendszer olyan része vagy tulajdonsága, amelyen keresztül valamely fenyegetés megvalósulhat.