Ficsor Attila it-biztonsági szolgáltatások vezető, Ernst & Young

Félnek a csorbuló hírnévtől

Bár a tavaly karácsonyi adatlopási incidens hatását több tízezer hazai bankkártya-tulajdonos megérezte, ebben az esetben is inkább csak Magyarország érintettségéről, mintsem kifejezetten hazai célpontokról beszélhetünk. Ennek ellenére helytelen lenne arra a következtetésre jutni, hogy a hazai szervezeteknél, vállalkozásoknál ne történnének it-biztonsági incidensek. Az üzemeltetők gyakran már csak egyfajta zajként tekintenek a külső „érdeklődőkre”, de ezek az események inkább csak próbálkozások, mint célirányos betörési kísérletek.

Szakmai körökben folyamatosan és egyre gyakrabban hallani sikeres hazai támadásokról, azonban ezeknek hatása egyelőre nem mérhető össze a például az RSA vagy Sony esetével, így nem kerülnek nagy nyilvánosság elé.  Ennek az lehet az oka, hogy a reputációs és üzleti következményekkel járó rossz sajtót senki sem szereti. Továbbá, hogy a hivatalos kommunikációt megelőző belső vizsgálatok akár hónapokat is igénybe vehetnek.

Itthoni, illetve külföldi vizsgálataink eredményeiből egyaránt az látszik, hogy a rendszerek még mindig ugyanazokat a tipikus sérülékenységeket mutatják. Magyarország egyelőre – az ország méretének, ritka nyelvének köszönhetően, és mert az igazán „érdekes” és értékes adatok nagy mennyiségben főleg határainkon túl tárolódnak – nem célpont, de véleményem szerint már nem kell sokat várni arra, hogy a helyzet változzon.

Sík Zoltán biztonságpolitikai szakértő, elnöki tanácsadó, Kormányzati Informatikai Fejlesztési Ügynökség (KIFÜ)

A személyes adatokat is érintő információbiztonsági incidensek nyilvánosságra hozatalát EU- irányelv írja elő, amelynek implementálása már elkezdődött. A megfelelő paragrafusokat (itt a 156. az érdekes) a tavalyi Elektronikus hírközlési törvény (Eht.) módosítás iktatta be, és felhatalmazta az Nemzeti Média- és Hírközlési Hatóság (NHMM) elnökét a megfelelő végrehajtási rendelet megalkotására. A tervezet az NMHH honlapján olvasható, a záró rendelkezések között 2012. február 1-ji hatályba lépés szerepel.

Ezek után a jogszabály hatálya alá tartozóknak kötelező lesz nyilvánosságra hozniuk a megfelelő adatokat. Így február 1-jétől megszűnik a kérdésben feltett állapot, és az NMHH, valamint az Országos Informatikai és Hírközlési Főügyelet hatékonyabban fog tudni eljárni az adott ügyekben. Szükség is lesz rá, mivel Magyarország különösen kitett az ilyen támadásoknak, hiszen kicsi, EU-tagállam.

Ha valaki az EU-nak szeretne „demózni”, hogy milyen információs műveletekre – például kiberháborús, illetve hekkertámadásokra akciókra – képes, az nyilván nem a legerősebb EU-országokon fogja kezdeni. Legutóbb például az Anonymous csoport is „bejelentkezett” Finnországból azzal, hogy politikai indíttatásból – ami információs hadviselés – akcióra készülnek Magyarországon. Úgyhogy izgatottan várjuk az erre feljogosítottak, elsősorban a hatóságok hathatós intézkedéseit.