Szerző: Bodnár Ádám

2012. december 19. 14:09:00

Kötelezővé tenné az IT-incidensek bejelentését az EU

Az EU kötelezővé teheti a kritikus információs infrastruktúrák üzemeltetői számára a biztonsági incidensek közzétételét - ezt tartalmazza egy szabályozási tervezet, amely a Reuters birtokába került.

HIRDETÉS

Az Európai Bizottság várhatóan februárban mutatja be azt a tervezetet, amely a kritikus információs infrastruktúrákat üzemeltető szervezetek bejelentési kötelezettségét tartalmazza a biztonsági incidensekre vonatkozóan - írja a Reuters. A kötelezettség kiterjedhet egyes kormányzati szervekre, pénzintézetekre, tőzsdékre és távközlési szolgáltatókra. A tervezet szerint a gazdaságban kritikus szerepet játszó európai vállalatokra jelenleg nem vonatkozik olyan hatásos ösztönző, amely garantálná a hálózatbiztonsági incidensek számáról és hatásáról szóló adatokat.

Átláthatóbb incidenskezelés

A vállalatok persze ellenérdekeltek az incidensek közzétételében, amely a reputációjuk sérüléséhez, ügyfelek elvesztéséhez, végső soron pedig bevételkieséshez vezethet. Az Unió azonban láthatóan elszánt a jobbátláthatóság érdekében. "A biztonsági incidensek száma riasztó mértékben növekszik és ezek megzavarhatják a hozzájutást olyan létfontosságú szolgáltatásokhoz, amelyek létét készpénznek tekintjük, ilyen például az ivóvíz, a csatorna, az elektromosság vagy a mobilhálózatok." A tervezetet jelenleg az Európai Parlament és az uniós országok véleményezik.

Az EU egyik illetékese a Reutersnek elmondta, a cél az, hogy a vállalatok sokkal átláthatóbbak működjenek a kibertámadásokkal kapcsolatban és jobban együtt tudjanak működni azok kivédésében. "Meg szeretnénk változtatni a kiberbiztonság kultúráját, az emberek ma félnek vagy szégyellnek bevallani egy problémát, szeretnénk ha a hálózatok tulajdonosai és a hatóságok jobban együtt tudnának működni a biztonság maximalizálása érdekében." Az EU javaslat emellett kötelezővé tenné a kritikus infrastruktúrákat üzemeltető cégek számára a rendszeres kockázatfelmérést és az együttműködést a nemzeti hatóságokkal annak érdekében, hogy a 27 országon átívelő egységes biztonsági szabályoknak feleljenek meg.

Magyarországon jelenleg is zajlik az az elektronikus információbiztonságról szóló törvény ("kibertörvény") előkészítése, ez azonban nem tartalmaz a fent felsorolt szervezetek számára olyan tájékoztatási kötelezettséget, amely közvetlenül az előfizetőkre vonatkozna. A tervezet szerint "az elektronikus információs rendszer biztonságáért felelős személy a törvény hatálya alá tartozó bármely elektronikus információs rendszerét érintő biztonsági eseményről haladéktalanul értesíti a külön jogszabályban kijelölt szervet." A központilag gyűjtött információk azonban hozzásegíthetnek ahhoz, hogy a támadások mértékét felmérje és a válaszintézkedéseket jobban koordinálja egy központi szerv.

A telkóknak már van tájékoztatási kötelezettsége

Az Európai Parlament még 2009 végén fogadott el egy direktívát, amely többek között kötelezővé teszi a tagországokban működő távközlési szolgáltatók számára, hogy a személyes adatokat érintő biztonsági incidensekről értesítsék az előfizetőket és a kijelölt állami hatóságot. Magyarországon erről az elektronikus hírközlésről szóló 2003. évi C. törvény módosítása rendelkezik, ez előírja, hogy a biztonsági incidensekről az ügyfélszolgálatukon és weboldalukon keresztül értesítsék az előfizetőket a telkók.

"Ha a hálózat egységességével és a szolgáltatás biztonságát érintő vagy veszélyeztető esemény következtében korábban nem ismert, új biztonsági kockázat jelentkezik, a szolgáltató legalább ügyfélszolgálatán és internetes honlapján haladéktalanul tájékoztatja az előfizetőt a korábban nem ismert, új biztonsági kockázatról, a védelem érdekében az előfizető által tehető intézkedésekről, és azok várható költségeiről. A szolgáltató által nyújtott tájékoztatásért külön díj nem kérhető az előfizetőtől. A szolgáltató által nyújtott tájékoztatás nem mentesíti a szolgáltatót a védelem érdekében teendő, a hálózat egységességével és a szolgáltatás megszokott biztonsági szintjének visszaállítása érdekében szükséges intézkedések megtétele alól" - áll a törvényben.

A nyilvánosság kétélű fegyver

Krasznay Csaba, a HP IT-biztonsági szakértője szerint a biztonsági incidenseket érintő tömegtájékoztatási kötelezettség kétélű fegyver, amely egyfelől valóban hozzásegíthet a nagyobb transzparenciához, másrészt azonban súlyosan rombolhatja az érintett szolgáltatókba és szolgáltatásokba vetett bizalmat. A HWSW-nek Krasznay kifejtette, az Egyesült Államok egyes tagállamaiban már kötelező a cégek számára a náluk bekövetkezett biztonsági eseményekről tájékoztatást nyújtani, ezeket több weboldal is gyűjti. Ezeknek az információknak a birtokában azonban nem lehet megbecsülni egy-egy incidens súlyosságát, hogy mennyi adat is került illetéktelen kezekbe vagy hogy mekkora volt az okozott kár.

a címlapról