Mellékleteink: HUP | Gamekapocs
Keres

Kötelezővé tenné az IT-incidensek bejelentését az EU

Bodnár Ádám, 2012. december 19. 14:09
Ez a cikk több évvel ezelőtt születetett, ezért előfordulhat, hogy a tartalma már elavult.
Frissebb anyagokat találhatsz a keresőnk segítségével:

Az EU kötelezővé teheti a kritikus információs infrastruktúrák üzemeltetői számára a biztonsági incidensek közzétételét - ezt tartalmazza egy szabályozási tervezet, amely a Reuters birtokába került.

Az Európai Bizottság várhatóan februárban mutatja be azt a tervezetet, amely a kritikus információs infrastruktúrákat üzemeltető szervezetek bejelentési kötelezettségét tartalmazza a biztonsági incidensekre vonatkozóan - írja a Reuters. A kötelezettség kiterjedhet egyes kormányzati szervekre, pénzintézetekre, tőzsdékre és távközlési szolgáltatókra. A tervezet szerint a gazdaságban kritikus szerepet játszó európai vállalatokra jelenleg nem vonatkozik olyan hatásos ösztönző, amely garantálná a hálózatbiztonsági incidensek számáról és hatásáról szóló adatokat.

Átláthatóbb incidenskezelés

A vállalatok persze ellenérdekeltek az incidensek közzétételében, amely a reputációjuk sérüléséhez, ügyfelek elvesztéséhez, végső soron pedig bevételkieséshez vezethet. Az Unió azonban láthatóan elszánt a jobbátláthatóság érdekében. "A biztonsági incidensek száma riasztó mértékben növekszik és ezek megzavarhatják a hozzájutást olyan létfontosságú szolgáltatásokhoz, amelyek létét készpénznek tekintjük, ilyen például az ivóvíz, a csatorna, az elektromosság vagy a mobilhálózatok." A tervezetet jelenleg az Európai Parlament és az uniós országok véleményezik.

Az EU egyik illetékese a Reutersnek elmondta, a cél az, hogy a vállalatok sokkal átláthatóbbak működjenek a kibertámadásokkal kapcsolatban és jobban együtt tudjanak működni azok kivédésében. "Meg szeretnénk változtatni a kiberbiztonság kultúráját, az emberek ma félnek vagy szégyellnek bevallani egy problémát, szeretnénk ha a hálózatok tulajdonosai és a hatóságok jobban együtt tudnának működni a biztonság maximalizálása érdekében." Az EU javaslat emellett kötelezővé tenné a kritikus infrastruktúrákat üzemeltető cégek számára a rendszeres kockázatfelmérést és az együttműködést a nemzeti hatóságokkal annak érdekében, hogy a 27 országon átívelő egységes biztonsági szabályoknak feleljenek meg.

Magyarországon jelenleg is zajlik az az elektronikus információbiztonságról szóló törvény ("kibertörvény") előkészítése, ez azonban nem tartalmaz a fent felsorolt szervezetek számára olyan tájékoztatási kötelezettséget, amely közvetlenül az előfizetőkre vonatkozna. A tervezet szerint "az elektronikus információs rendszer biztonságáért felelős személy a törvény hatálya alá tartozó bármely elektronikus információs rendszerét érintő biztonsági eseményről haladéktalanul értesíti a külön jogszabályban kijelölt szervet." A központilag gyűjtött információk azonban hozzásegíthetnek ahhoz, hogy a támadások mértékét felmérje és a válaszintézkedéseket jobban koordinálja egy központi szerv.

A telkóknak már van tájékoztatási kötelezettsége

Az Európai Parlament még 2009 végén fogadott el egy direktívát, amely többek között kötelezővé teszi a tagországokban működő távközlési szolgáltatók számára, hogy a személyes adatokat érintő biztonsági incidensekről értesítsék az előfizetőket és a kijelölt állami hatóságot. Magyarországon erről az elektronikus hírközlésről szóló 2003. évi C. törvény módosítása rendelkezik, ez előírja, hogy a biztonsági incidensekről az ügyfélszolgálatukon és weboldalukon keresztül értesítsék az előfizetőket a telkók.

"Ha a hálózat egységességével és a szolgáltatás biztonságát érintő vagy veszélyeztető esemény következtében korábban nem ismert, új biztonsági kockázat jelentkezik, a szolgáltató legalább ügyfélszolgálatán és internetes honlapján haladéktalanul tájékoztatja az előfizetőt a korábban nem ismert, új biztonsági kockázatról, a védelem érdekében az előfizető által tehető intézkedésekről, és azok várható költségeiről. A szolgáltató által nyújtott tájékoztatásért külön díj nem kérhető az előfizetőtől. A szolgáltató által nyújtott tájékoztatás nem mentesíti a szolgáltatót a védelem érdekében teendő, a hálózat egységességével és a szolgáltatás megszokott biztonsági szintjének visszaállítása érdekében szükséges intézkedések megtétele alól" - áll a törvényben.

A nyilvánosság kétélű fegyver

Krasznay Csaba, a HP IT-biztonsági szakértője szerint a biztonsági incidenseket érintő tömegtájékoztatási kötelezettség kétélű fegyver, amely egyfelől valóban hozzásegíthet a nagyobb transzparenciához, másrészt azonban súlyosan rombolhatja az érintett szolgáltatókba és szolgáltatásokba vetett bizalmat. A HWSW-nek Krasznay kifejtette, az Egyesült Államok egyes tagállamaiban már kötelező a cégek számára a náluk bekövetkezett biztonsági eseményekről tájékoztatást nyújtani, ezeket több weboldal is gyűjti. Ezeknek az információknak a birtokában azonban nem lehet megbecsülni egy-egy incidens súlyosságát, hogy mennyi adat is került illetéktelen kezekbe vagy hogy mekkora volt az okozott kár.

Facebook

Mit gondolsz? Mondd el!

Adatvédelmi okokból az adott hír megosztása előtt mindig aktiválnod kell a gombot! Ezzel a megoldással harmadik fél nem tudja nyomon követni a tevékenységedet a HWSW-n, ez pedig közös érdekünk.