Új, a tagállamokra nézve kötelező direktívát fogadott el júliusban az Európai Parlament. Az új direktíva (Network and Information Security Directive – NIS) összehangolja és európai szinten szabályozza a hálózati és információs rendszerek biztonságát, ami nagy előrelépés, hiszen a kiberbiztonság terén jelenleg kis túlzással mindenki azt csinál, amit jónak lát. Az egyszeri felhasználó ebből semmit nem vesz észre, amíg nem történik baj.
Örülünk, hogy személyi igazolványunkat azonosítani tudják Ausztriában is, ezért könnyen átgurulunk a határon, és bosszankodunk, hogy az ottani gyorshajtásról szóló csekk rövid időn belül megérkezik a címünkre. Ezek a „szolgáltatások” azért működhetnek, mert személyes adatainkat a többi uniós tagország is kezelheti. Ha viszont az egyes tagországok adatkezelési szabályai eltérnek egymástól, akkor az adataink csak annyira vannak biztonságban, mint amennyire az e tekintetben leggyengébb tagországban védik őket. Aggodalomra adhat okot például, hogy Dánia egy emberi mulasztás miatt a közelmúltban kiadta egy kínai állami szervezetnek valamennyi polgára egészségügyi adatait. Ugyanennyi erővel adhatta volna a magyarokét is, hiszen tudjuk, ha magyar tb-kártyával bemehetünk egy dán rendelőbe, akkor a magyar tb-azonosítók is rendelkezésükre állnak.
Az új direktíva a tagországok számára meghatározza a minimális biztonsági előírásokat, kötelezővé teszi az egységes elvekre épülő tagállami kiberbiztonsági stratégiák kidolgozását, életre hívja a tagállami biztonsági tanácsadó testületeket (Computer Security Incident Response
Teamet, CSIRT) és azok európai hálózatát. És meghatározza azt a szolgáltatói kört is, amelynek ezeket az előírásokat alkalmazniuk kell.
A kiberbiztonság, a digitális szabályozás egységesítése és ezáltal a kiberbiztonság erősítése kulcsfontosságúvá vált az elmúlt években. Ezt igazolja, hogy egyre gyakoribbak az informatikai rendszerek ellen elkövetett támadások. A lehallgatási botrányok vagy az egyéb digitális adatlopások megerősítik, hogy a digitálisan képzett adatok és az azok forgalmának védelme egységes keretek között hatékonyabb lehet.
Könnyen elképzelhető, hogy a digitális infrastruktúra nélkül megbénuló szektorokat érintő támadások, mint a bankrendszer, az energiaellátás, a közlekedés, a vízellátás, az egészségügy, milyen nemzetbiztonsági kockázatokkal és károkkal járhatnak. A direktívát előkészítő egyik tanulmány szerint a közösségi szolgáltatásokat ért támadások már ma is évi 300 millió eurós kárt okoznak az EU-ban, pedig összehangolt támadást még egy iparágnak sem kellett elszenvednie.
A direktíva a tagállami feladatok közé sorolja a kockázatok felmérését, rangsorolását és ez alapján az érintett szolgáltatói kör meghatározását. Ez lényegében azt jelenti, hogy tagállami szinten minden közszolgáltatás kapcsán fel kell mérni, hogy az adott szolgáltatáshálózat sérülékenysége milyen hatással van a társadalomra és a gazdaságra, működése mennyire alapul hálózati és információs rendszereken. Ha szünetelne az áramszolgáltatás egy nagyvárosban, vagy valaki átvenné az irányítást a jelzőlámpák felett, esetleg felmondaná a szolgálatot az egész pénzforgalmi rendszer, azt mindannyian megéreznénk.
Éppen ezért fontos kijelölni az informatikán alapuló közszolgáltatások körét, és felmérni annak sérülékenységét, valamint a fenyegetettség kockázatát. Az így meghatározott biztonsági körbe tartozó szolgáltatók rendszereit egy erre a célra kijelölt tagállami hatóságnak kell ellenőriznie, továbbá ezek a vállalatok jelentési kötelezettséggel is tartoznak az ugyancsak a tagállamokban felállított CSIRT-knek. Ezen tanácsadó testületek az elképzelés szerint időben fel tudják hívni a figyelmet a sérülékenységekre, és hatékony választ tudnak adni arra kérdésre, hogy mi a teendő akkor, amikor információbiztonsági káresemény történik az adott szolgáltatási területen. A CSIRT-k ezenfelül Európai szintű hálózatot is alkotnak, hogy megosszák egymás között az ismertté vált biztonsági kihívásokat, és megtalálják a választ a hasonló események kivédésére.
Létrehoznak egy együttműködési csoportot is, amely rögzíti és időről időre frissíti a tagállamok feladatait. Összehangolja és megfelelő standardok bevezetésével folyamatosan közelíti egymáshoz a tagállamok kiberbiztonsági stratégiáit, valamint meghatározza a privát és közszféra együttműködésének kereteit. Nem utolsósorban ennek a testületnek a feladata az információbiztonsági tudatosság elmélyítése és az erre szolgáló képzési források allokációja.
A direktíva kiemelt ágazatként foglalkozik a digitális hálózati szolgáltatókkal. Ebbe a körbe tartoznak az elektronikus piacterek, a keresőmotorok és a felhőalapú szolgáltatások – akkor is, ha nem Európában vannak bejegyezve, vagy nem itt működnek a szervereik, csak szolgáltatnak a térségben. Nekik külön definiált intézkedéseket kell tenniük a hálózatok biztonsága érdekében a kockázatok felmérésétől, a hálózatok biztonságának megteremtésén át a potenciális károk minimalizálásáig, egy külön erre a célra létrehozott és folyamatosan fejlődő kritériumrendszer szerint.
A hosszú előkészítés után elfogadott direktíva átgondolt, bár magában hordozza a túlbürokratizálás lehetőségét, ami európai szinten nem ismeretlen jelenség. A nemzeti stratégiák összehangolásának sebességével kapcsolatban nincsenek komoly illúzióink, sokkal inkább a CSIRT-k és azok hálózatának működése lesz meghatározó az információbiztonság megteremtése terén. Ezek a szervezetek lehetnek gyors reagálású hadtestek, amelyek hatékony válaszokat adnak a legújabb biztonsági kockázatokra, de könnyen válhatnak olyan bürokratikus intézményekké is, amelyek lassan kullognak az események után.
Portfóliónk minőségi tartalmat jelent minden olvasó számára. Egyedülálló elérést, országos lefedettséget és változatos megjelenési lehetőséget biztosít. Folyamatosan keressük az új irányokat és fejlődési lehetőségeket. Ez jövőnk záloga.