Négyezernél is több közigazgatási intézményt kötelez információbiztonsági helyzetének felülvizsgálatára az idén hatályba lépett információbiztonsági törvény. A Nemzeti Elektronikus Információbiztonsági Hatóság (NEIH) folyamatosan ellenőrzi a biztonsági besorolásnak való megfelelést, de egyelőre még nem bírságol - közölte Solymár Károly Balázs, a Nemzeti Fejlesztési Minisztérium infokommunikációért felelős helyettes államtitkára.

Hozzátette: a közintézmények mellett piaci szereplőket is érint az új jogszabály. A kötelezetti körről azért nincs pontosabb adat, mert a hatálya alá tartozik minden szervezet, amely kritikus infrastruktúra üzemeltetője, a nemzeti adatvagyon adatfeldolgozója, illetve az állam és az önkormányzatok számára adatkezelést végez, s e cégek száma időről-időre változhat.

A szakember kiemelte, az érintett intézmények legfontosabb feladata, hogy biztonsági osztályba sorolják a saját informatikai rendszerüket, és meghatározzák az adott szervezet biztonsági szintjét. A besorolás elvégzéséhez a kihirdetés előtt álló miniszteri rendelet pontos útmutatást tartalmaz majd, és rögzíti az adott szint biztonsági követelményeit, amelyet az intézménynek vagy vállalkozásnak teljesíteniük kell.

Solymár Károly Balázs tájékoztatása szerint a NEIH folyamatosan ellenőrzi a biztonsági besorolásnak való megfelelést. A helyettes államtitkár ugyanakkor hangsúlyozta: az idén bevezetett szabályozás alapvetően nem szankcióközpontú, a hatóság célja az információbiztonsággal kapcsolatos tudatosság kialakítása. A törvény hatálya alá tartozók egyetlen körében sem "aktuális" a bírság, a hatóság kötelezi illetve felhívja az adott szervet az előírt követelmények teljesítésére - mondta.

A Nemzeti Fejlesztési Minisztériumon (NFM) belül főosztályként működő Nemzeti Elektronikus Információbiztonsági Hatóság feladata az informatikai biztonsági problémák megelőzése, s ennek érdekében éves terv alapján ellenőrzéseket végeznek. Ha bekövetkezett egy probléma, a bejelentés a Kormányzati Eseménykezelő Központhoz (GovCERT) érkezik. A központ kidolgozza az intézkedési tervet, és az üzemeltető számára jelzi, hogy milyen beavatkozást kell elvégeznie a megoldás érdekében.

A Nemzeti Biztonsági Felügyelet a NEIH felkérésére sérülékenységi vizsgálatot végez - egyedileg és terv szerint egyaránt -, amelynek során egy konkrét rendszerről megállapítják, hogy az támadható-e.

A helyettes államtitkár közölte: a KÜRT Információbiztonsági és Adatmentő Zrt. a jogszabály előkészítésében is részt vett, és - más információbiztonsággal foglalkozó szervezetek mellett - jelentős szerepet vállalt a törvény hatálya alá tartozó intézmények tájékoztatásában.

Kmetty József, a KÜRT Zrt. vezérigazgatója kiemelte, hogy az információbiztonság az internetes támadások gyakoribbá válása miatt minden szervezetet érint, a megfelelő védelem kialakítása közös érdek. A kiberbiztonság kérdése nemzeti szinten is problémát jelenthet - jegyezte meg.

Példaként említette, hogy egy kisebb csoport is komoly károkat tud okozni akár egy országnak vagy a teljes bankrendszernek, mivel a kiberbűnözők kiléte legtöbb esetben ismeretlen marad. A megfelelő védekezéshez szervezettség kell, s a törvényi háttér, a meghatározott felügyeleti szervek teszik hatékonnyá az információbiztonságot.

Kiemelte: a világban jelenleg kevés ország rendelkezik a magyarországihoz hasonló információbiztonsági törvénnyel, ezért az új szabályok gyakorlati bevezetése rendkívüli feladatot jelent. Egy adott szervezet informatikai rendszerének hatékonysága egyébként csak egy esetleges támadás esetén mutatkozik meg - mondta.

Szólt arról is, hogy mivel rövid a határidő, a követelmények megvalósítása az intézmények sokszínűsége miatt többféle megoldást eredményezhet. Ezért célszerű lenne rendszeresen, például kéthavonta ismertetni az érdekeltekkel a legjobb megoldásokat és a tapasztalatokat. Ilyen megoldáson gondolkodnak, ennek az egyeztetése még a cégen belül is tart - mondta.

Az elektronikus információbiztonságról szóló, a Nemzeti Kiberbiztonsági Stratégiához kapcsolódó törvényt az országgyűlés idén április 15-én fogadta el, és hatályba lépése óta számos végrehajtási rendelete is megjelent.