PIKK néven jöhet létre kiberbiztonsági csúcsszerv a Nemzetbiztonsági Szakszolgálaton belül.
A lehető legnagyobb titokban alakítana ki kibervédelmi csúcsszervet a Belügyminisztérium. Lapunk birtokába jutott egy, a kormány álláspontjának még nem tekinthető, a minisztérium által jegyzett előterjesztés, amelyet már több helyen is módosítottak, és még nem került ki a végleges változata.
Megpróbáltuk a PIKK, vagyis a Polgári Információ- és Kiberbiztonsági Központ létrehozásáról szóló tervezeteket rendszerbe állítani.
Az általunk látott előterjesztés szerint az egyre fontosabb kibervédelmi feladatokra és egyre fejlődő kibertámadásokra hivatkozva alakítanának ki új kibervédelmi csúcsszervet, és ehhez hoznának létre új rendszert. Ezzel egyidejűleg a jelenleg már ezen a területen dolgozó 137 állami alkalmazott számát 300 főre emelnék. Jelentősen megnövelnék a megfigyelők és az úgynevezett incidenskezelők számát, de 68 kutató-fejlesztőt is felvennének. A megnövekedett létszámra a megnövekedett és változó feladatkörök miatt lenne szükség. A rendszert a jelenlegi tervek és információk szerint 2021-re építené ki a Belügyminisztérium.
Az állami kibervédelem struktúráján túl megváltozna a nemzeti kibervédelem filozófiája is: kiterjesztenék a védelmet az állami és önkormányzati szervekről a gazdasági vállalkozásokra is. Az üzleti titok védelmében ez lenne az egyik legfontosabb feladata az új szervezetnek, azt azonban még nem sikerült megtudnunk, hogy miért az állam vállalkozik arra, hogy megvédje egyes cégek üzleti titkait. Érzékeny terület, amit mi sem bizonyít jobban, hogy nincs még hivatalos válasz arra, milyen garanciákat kapnának a vállalatok a titkos adataik kezelésére, hogy az információk semmilyen körülmények közt nem kerülhetnek például (állami) versenytársakhoz.
Hogy melyik szervezet, illetve állami intézmény pontosan milyen feladatot kapna, még szintén nem dőlt el. Azt tudjuk, hogy az előterjesztés egyik korábbi, azóta átírt verziójában szerepelt az is, hogy a "Cég" megfelelő kontroll mellett kibertámadásokat is indíthatna, mert a kibervédelemben "hagyományos, észlelő-követő magatartás" már nem elég. Lényeges pontja volt a többször módosított terveknek, hogy tegyék lehetővé "az elektronikus hírközlési hálózati forgalom folyamatos és teljes körű monitorozását". Nem tartozott viszont a meglepetések közé, hogy létrehoznának fedőintézményeket is, amelyek csak a nemzetbiztonsági tevékenység álcázásából végeznek gazdasági tevékenységet.
Úgy tudjuk, a véglegesnek szánt javaslatban a fedőintézmények szerepelnek, a kibertámadások viszont már nem (ezt a BM is megerősítette kérdésünkre). A szöveg hosszasan értekezik az edukáció jelentőségéről, sőt a PIKK tájékoztató kampányokat, akár hackerversenyeket is indíthatna. A PIKK megnövelt hatáskörű csúcsszerv lenne, erre utal, hogy az előterjesztés értelmében a jelenleginél is több cégnek, vállalatnak, szervezetnek az adatai futnának be a "központi agyba." Az előterjesztők szerint a tervnek "nincs alternatívája", ami arra utal, hogy elkötelezettek a PIKK létrehozása mellett.
A 37,2 milliárdos programot a Belügyminisztérium érthető okokból a lehető legnagyobb titokban szeretné levezényelni. Erre utal az egyik javaslat, amely szerint az előterjesztést az Országgyűlésnek nem kellene tárgyalnia. Úgy tudjuk, hogy az eredeti tervek szerint egy kormányhatározat döntene a PIKK létrehozásáról – ez az előterjesztő szempontjából érthető, hiszen a központ a törvény szerinti kiemelt magáncégek szinte teljes adatforgalmát "kezelné".
Megkérdeztük a Belügyminisztériumot a javaslatról, azt válaszolták, hogy „az előterjesztést a Belügyminisztérium benyújtotta a Kormánynak, a Kormány azt érdemben nem tárgyalta”. Ez azonban már az általunk ismert verziónál újabb, módosított javaslat lehet, a BM ugyanis azt írta, szerkesztőségünkhöz „bizonyosan nem a Kormány részére benyújtott előterjesztés jutott el, hiszen abban az igazságügyért felelős miniszter megnevezés nem szerepel, és az előterjesztés kibertámadással nem foglalkozik”.
Ami viszont biztos, hogy kormány
„a Polgári Információ- és Kiberbiztonsági Központot a Nemzetbiztonsági Szakszolgálat szervezetén belül kívánja létrehozni.”
Abban az esetben, ha a kabinet ezt a forgatókönyvet fogadja el, az Országgyűlés Nemzetbiztonsági Bizottsága fogja ellátni törvényes működés ellenőrzését. A Belügyminisztérium hivatalos válaszából az is kiderül, hogy a Nemzetbiztonsági Szakszolgálatot mint önálló központi költségvetési szervet még az Állami Számvevőszék és a Nemzeti Adat- és Információszabadság Hatóság is ellenőrizheti.
A BM hivatalos válaszából kiderül, hogy a védelem a jelenlegi törvény szerint kiterjed „a kormányzati szervek, valamint az alapvető és bejelentés-köteles szolgáltatást nyújtó szolgáltatók, illetve létfontosságú rendszerelemek elektronikus információs rendszereire, valamint a hálózati és információs rendszerek biztonságának az egész unióban egységesen magas szintjét biztosító intézkedésekről szóló irányelv hatálya alá tartozó gazdálkodó szervezetekre”.
Nem kaptunk érdemi, a tervezet részleteire kiterjedő választ a Nemzeti Adatvédelmi Információszabadság Hatóság elnökétől. Péterfalvi Attila lapunknak azt írta: "Az előterjesztés tartalmát, illetve az arra tett állásfoglalást döntés megalapozást szolgáló adatot tartalmazó dokumentumként kezeljük, ezért az állásfoglalásunkat mindaddig nem hozzuk nyilvánosságra, amíg a kormányhatározatot nem teszik közzé, illetve az előterjesztést jogszerű keretek között nem hozzák nyilvánosságra".
"Nagyon meredek", ezt viszont már Mirkóczki Ádám, a parlament Nemzetbiztonsági bizottság elnöke mondta a hvg.hu-nak a javaslatról. Szerinte a kormány megint átesett a ló túlsó oldalára: látja a problémát, érzi, hogy az ország kiberszempontból sérülékeny, de más szempontokra nem figyel oda, például a jogvédelemére, jogi garanciákra, a privát szféra védelmére. A jobbikos képviselő szerint valami hasonló volt megfigyelhető, amikor létrehozták a TIBEK-et, a terrorizmus elleni csúcsszervet, ott is utólag kellett lenyesegetni a túlzásokat a javaslatban, vagy ahogy Mirkóczki fogalmaz "utólag kellett kigyomlálni".
De egy másik példa is eszébe jut a Nemzetbiztonsági bizottság elnökének: amikor szóba került, hogy a Belügyminisztérium hozzáférést akart kapni a titkosított kommunikációs appokon futó beszélgetések tartalmához, akkor ő és a szakszolgálatok magyarázták el a BM-nek, hogy nincs értelme ilyen követelni a szolgáltató cégektől, mert rendelkezésre állnak bizonyos metaadatok: ki mikor, meddig, hol kivel beszélt, és ezek elegendőek. Ha viszont a bűnözők megtudják, hogy ilyen fokon megfigyelik őket, vagyis ha nem titkosított az adott applikáció, más kommunikációs csatornákat választanak, és teljesen eltűnnek szem elől. Ez egy jó szándékú dilettantizmus volt, mondja Mirkóczki.
A jobbikos politikus szerint "elég felületesen" tudná csak ellátni a PIKK civil kontrollját a parlament nemzetbiztonsági bizottsága. Éves, féléves jelentéseket tudnak kikérni, statisztikai adatokat kaphatnak, de azt nem látnák, hogy voltak-e visszaélések, mert tartalmi kérdésekről nem kapnának érdemi információt. Mirkóczki azt elismeri, hogy a Belügyminisztérium az ilyen horderejű kérdésekről rendszeresen szokott összpárti egyeztetéseket tartani, akár többet is, előzetesen. Azt azonban nem látja feltétlenül bajnak, hogy a kormány határozatban döntene a szerv létrehozásához, ehhez joga van, és a titkosszolgálat mindig valamelyest a törvényesség határán működik. Ezért lenne jó, ha egy stabil, összpárti egyetértéssel születő koncepció valósulna meg, ami egy esetleges kormányváltás után is megmaradó struktúrát eredményezne.
"Megfigyelés vagy elemzés nélkül nincs hatékony védelem, legalábbis a kibertérben biztosan nem" – ezt már Keleti Arthur, az Önkéntes Kibervédelmi Összefogás elnöke mondta, amikor megkértük, hogy kommentálja a kibervédelmi központ létrehozását. A szakember szerint az internet speciális terület, nem olyan, mint a fizikai szupersztráda, amely magától is megvan, ha már egyszer megépítették. A működtetéséhez szükség van az adatok figyelésére, mert kialakításakor elsősorban az információcserére koncentráltak és nem a biztonságra. A hatékony védelemhez ismerni kell, hogy mi zajlik ott, azaz elemezni kell az adatokat.
Az evidens, ha valahol tűz üt ki, vagy ha valaki infarktust kap, de az már közel sem ennyire, ha valahol adatot lopnak – mondja a szakember, hozzátéve, hogy nincs digitális immunrendszerünk, nem kapcsol be a veszélyérzetünk, ha adatlopásra gyanakszunk, szemben a fizikai élettel, ahol a „szemünk sarkából” észrevesszük, ha el akarják emelni az értékeinket. Ennek részben az az oka, hogy a kibertérben létező adatainkról és „adat-énünkről” ma még nincs képünk, nem kötődünk hozzájuk úgy, mint az valós értéktárgyainkhoz vagy a fizikai testünkhöz. A trend, a jövő a szakértő szerint afelé mutat, hogy bizonyos hatóságok vagy cégek egyszerre megfigyelnek, elemeznek és megvédenek minket.
Abban viszont közel sincs ma konszenzus világszerte, hogy egy cég vagy egy állam milyen szinten nézhet bele az életünkbe. És az is tény, hogy ma az állami hatóságok vagy szervezetek sokszor kevesebbet tudnak rólunk, mint az olyan nagy adatgyűjtő és elemző cégóriások, mint a Facebook vagy a Google. Ez egyébként még olyan nagyhatalmak esetében is igaz, mint az Amerikai Egyesült Államok.
Keleti szerint Magyarország kezdi felismerni, hogy komoly lépéseket kell tenni, és több adatra van szükség az emberek hatékony védelméhez és a megfelelő színvonalú szolgáltatások nyújtásához, akár állami, akár piaci szinten. A társadalom a törvények védelmében bízhat (mint például az EU-ban egységesen alkalmazott szigorú adatvédelmi törvény a GDPR), de hogy pontosan mihez kezd az állam vagy a piac az adatokkal, arra igazából nincs a polgároknak közvetlen ráhatása.
A szakértő azt mondta: a terület robbanásszerűen fejlődik, Kínában egy tartományban a közterületi kamerák piaca egy év alatt 100 millió dollárról 1 milliárdra nőtt. Ilyen mértékű fejlődés mellett nehezen tudnak sztenderdek kialakulni, amelyek alapján számon lehet kérni, hogy például egy gyártó milyen specifikációjú terméket gyártson. A társadalom pedig nem nagyon megy ki az utcára az adatai védelme érdekében. Ma praktikusan a legtöbb országban "ízlés kérdése", hogy meddig lehet elmenni az adatgyűjtésben vagy legalábbis az adatokat gyűjtő és elemző szervezet szürke zónában találja magát, különösen amikor az elemzések eredményeinek felhasználásáról dönt, mondja Keleti.
A kormányoknak tehát egyszerre kell megvédeniük az állampolgárokat, megfelelő minőségű állami szolgáltatásokat kell nyújtaniuk és közben a saját belsőhatalmi igényeik is diktálnak neki a saját és más adatok elemzése érdekében. Egy ország kibervédelmi rendszerénél bölcs dolog minél több dolgot a saját kapacitásra építeni, minél önállóbbnak lenni ezen a téren.
Nagy felzúdulást keltett, hogy a kínai kormány milyen széles körben figyeli meg saját állampolgárait többek közt arcfelismerő rendszerekkel ellátott rendszerekkel, és pontozza, adott esetben szankcionálja őket. Keleti azt mondja, "ez messze nem a világ vége", az egész világon működnek értékelést végző rendszerek, amelyek pontozzák a felhasználót, csak kevésbé tudunk róla, "ebben élünk". A köztéri és egyéb kamerarendszerek képeinek összekapcsolása – ami nálunk is felmerült – is elkerülhetetlen lesz a hatékony védelemhez a szakértő szerint.