A magyar szakemberek készen állnak arra, hogy akár egy kiberháborús helyzetben is bizonyítsanak, néhány év múlva pedig diplomás kibernyomozók is munkába állnak majd. Interjú Muha Lajossal, a Magyar Államkincstár informatikai biztonsági vezetőjével, a Nemzeti Közszolgálati Egyetem docensével.
Amikor megjelent a 2013. évi L. törvény az állami és önkormányzati szervek elektronikus információbiztonságáról, azt nyilatkozta, hogy a jogszabály alkalmazásához türelemre és együttműködésre lesz szükség. Hogyan látja most, megvolt a szükséges türelem?
A türelem a legtöbbek részéről megvolt, sajnos máshol akadtak gondok. Mi a törvény hatálybalépésekor azt mondtuk, hogy technikai, technológiai fejlesztésekre lesz szükség a törvény által elvárt, biztonságos működéshez. Viszont ehhez nem állt mindenütt rendelkezésre az anyagi forrás, így a szükséges biztonsági beruházások elmaradása és a régi rendszerek alkalmatlansága miatt még mindig szükség van egy kis türelemre.
Ha van is rá pénz, sokszor a bizalmatlanság szül beszerzési nehézségeket. A tengerentúli gyártókat nem fogadja feltétlen bizalom Kínában, a kínai eszközöket pedig immár hivatalosan is kerülik az Egyesült Államokban…
Ez valóban egy nagy dilemma. A kérdéskörrel tényleg nagyon sokan foglalkoznak – a valós problémák taglalásától kezdve egészen az összeesküvéselméletekig. Egyre nehezebb is elválasztani a tényeket a hiedelmektől. Jelenleg hivatalosan, állami szinten itthon nincs ilyen szabályozás a gyártók tekintetében. Szakmai körökben persze erősen lamentálunk néhányukon. Szerintem jogos az a kérdés, hogy egyes gyártók termékeit szabad-e a közigazgatásban használni – viszont rögtön felmerül a másik kérdés: ki dönthet erről? Jómagam a Magyar Államkincstár informatikai biztonsági vezetőjeként biztosan nem mondhatom azt egy termékre, hogy márpedig azt nem vesszük meg, mert én nem bízom benne. Annyit tehetünk, hogy kiírjuk a nekünk megfelelő szakmai feltételekkel a pályázatot egy informatikai megoldásra. Ha egy gyártó ezt a feltételeknek megfelelően megnyeri, akkor lehet nekem mindenféle szakmai ellenérzésem, hivatalosan nem tehetek mást, mint aláírom a szerződéskötéshez a megfelelő papírokat. A szakmámban rengeteg ismert gond van a gyártókkal, azt is tudjuk, hogy hardveresen vagy szoftveresen bármi beleépíthető a számítógépünkbe, a mobiljainkba, a tűzfalainkba, de még az okosmosógépünkbe is. Ki vagyunk szolgáltatva ezen eszközök gyártóinak, fejlesztőinek.
A magyar államigazgatás nagyot lépett előre a digitalizáció terén, ennek ellenére – szerencsére – nem jön hír arról, hogy komoly támadás érte volna a rendszereket. Minden megfelelően működik?
Természetesen érték a rendszert támadások. Amikről tudomásom van, azok hál’istennek nem voltak súlyosak, rendben meg tudtuk oldani a védelmüket. Szerencsére nem a magyar kormányzati eszközök a legveszélyeztetettebbek. Egy magyar szerver leállása csak itthon hír – ez viszont arra ad nekünk lehetőséget, hogy egy kevésbé izmos védelmi rendszerrel megoldjuk a kockázatarányos védelmet.
A relatív nemzetközi ismeretlenség azért nem véd mindentől. Az észtek sem hiszem, hogy számítottak arra, hogy rövid idő alatt meg tudja életüket bénítani egy összehangolt hálózati akció.
Az észt kibertér 2007-es térdre kényszerítésének témakörében mindig el szoktam mondani, hogy a botrányok lecsengése után az észt külügyminiszter elnézést kért orosz kollégájától a „vádaskodásért”. Egy nemzeti szintű ellenségeskedés, az észt–orosz ellentét hátterében történt akkor információs támadás. Ilyesmi bármikor előfordulhat két szomszédos ország között, nem feltétlenül az állam, hanem például erősen nemzeti érzelmű csoportok részéről. Szerencsére az utóbbi időben nálunk a szomszédos országokkal úgy alakult a politikai helyzet, hogy egy ilyen támadásnak viszonylag kicsi a kockázata.
Nem vagyunk tehát tűz alatt…
Így van. Nagyon régóta tanítom, hogy a védelem legyen kockázatarányos, azaz csak olyan fenyegetésekre készüljünk, amelyek valóban fennállnak és valóban komoly kárt okozhatnak. Bár szakemberként ez sokunknak nem igazán tetszik, de megértem, hogy mivel kicsi a kockázat nemzeti szinten, ezért nem visszük túlzásba a felkészülést sem. Magyarország nem elsődleges célpontja egyetlen idegen hatalomnak sem.
Ebben a háborúban talán az is számít, hogy az egyszerű felhasználóknak milyen a felkészültsége. Évekkel ezelőtt a hivatalokban még látni lehetett monitorra kiragasztott jelszavakat, de aztán ezek eltünedeztek. Ez annak a jele, hogy fejlődik tudatosságunk az informatikában is?
Az első hazai informatikai biztonsági kockázatfelmérési programban 1995-ben vettem részt. Ekkor még a közigazgatásban a hálózatok szórványosak és kezdetlegesek voltak, az adatok főleg koaxkábeleken utaztak. Előfordult, hogy a monitorra volt címkeként kiragasztva a jelszó. Az évek során a felhasználók innen áttették a cetlit a billentyűzet aljára. De a viccet félretéve, az egyszerű felhasználó biztonságtudatossága nagyot fejlődött. Bár sok kollégám panaszkodik, én határozottan látom a fejlődést: néha még akkor sem kattintanak valamire rá, amire kellene, mert gyanús a link. Bár a felhasználók tudatossága soha nem lesz akkora, mint amekkorát a biztonsági szakemberek elvárnának, de határozott a fejlődés.
Mint az NKE docense, hogyan látja, milyen jövő elé néz az információbiztonság?
Húsz évvel ezelőtt az információbiztonság témáját sehol nem tanították. Alig néhányan akadtunk itthon, akik ezt megpróbáltuk kutatni, tanítani. Mára kialakult több nagyon komoly kutatói csapat – például az NKE-n a Dr. Krasznay Csaba vezette Kiberbiztonsági Kutatóintézet. Ennek az intézetnek komoly szakmai holdudvara van, és jórészt olyan szakembereket gyűjtött össze, akik akár Európa élvonalában is megállnák a helyüket. Maga az egyetem is előremutató ezen a téren: szeptemberben elindul az Államtudományi és Nemzetközi Tanulmányok Karon a kiberbiztonsági mesterképzés, a Rendészeti Karon pedig a kibernyomozói szakirány. A mesterképzést elvégezve két év múlva megkezdi szakmai karrierjét az első végzett évfolyam, négy év múlva pedig rendőrtisztként fognak szolgálni az első kibernyomozók. Az NKE az elektronikus információbiztonságról szóló törvény megjelenésével egy időben kezdte el az elektronikus információbiztonsági vezetőképzést, innen azóta nagyon sok évfolyam került az államigazgatásba. Jómagam, mióta az egyetem megalakult, rendészeti hallgatókat is okítok az informatikai biztonságra. Bár alapozó tantárgy, érdeklődésük egyre erőteljesebb. Egyre több ember kerül ki tehát az intézményből, akik nem teljesen tudatlanok ezen a területen. A szakemberek pedig magas színvonalon állnak készen arra, hogy az ország védelmét szolgálják – akár egy kiberháborús helyzetben is.
Névjegy
Muha Lajos
- mérnök alezredes, informatikus, a Magyar Államkincstár informatikai biztonsági vezetője, az NKE Kiberbűnözés Elleni Tanszékének egyetemi docense
- kutatási területe az informatikai biztonság, ezen belül az informatikai biztonsági irányítási rendszer, az informatikai biztonsági kockázatelemzés és kockázatkezelés és a kritikus információs infrastruktúrák védelme
- tábori tüzértiszti és tanári oklevelét 1978-ban a Kossuth Lajos Katonai Főiskolán szerezte meg
- 1986-ban a varsói Katonai Műszaki Akadémia Kibernetika Kar informatikai rendszerek szakán okleveles kibernetikus mérnöki címet kapott
- jelentős szerepe volt az állami és önkormányzati szervek információbiztonságáról kiadott 2013. évi L. törvény elkészítésében. Többek között ezért kapta meg 2013-ban az Informatikai Biztonság Napján (ITBN) az év útmutató biztonsági szakembere díjat.
