Az európai nemzetek kiberbiztonsági stratégiáinak összehasonlítása

Az egyes országok kiberbiztonsági stratégiái között jelentős átfedések és eltérések tapasztalhatók, amik több okra vezethetők vissza. Attól függően, hogy mennyire követték a nemzetközi ajánlásokat, több részletben is mutatnak hasonlóságot, sőt azonosságot is. Vannak azonban olyan részek, ahol az egyes országok nézőpontjának megfelelően helyeznek hangsúlyt az egyes ajánlásokra, vagy hagyják

figyelmen kívül azokat. A CECSP⁶ országok kiberbiztonsági stratégiáját három pillér (európai uniós elvárások, NATO által megszabott feltételek, kiberbiztonsági stratégiákat összehasonlító elemzés, módszertan) mentén hat területet vizsgálva elemezték [24 pp. 130–136.]. Az öt CECSP ország stratégiájának kialakítása során e három pillér alapján, az alábbi területeken kerestek azonosságokat és eltéréseket:

- alkalmazott terminológia;

- stratégia beágyazottsága;

- a kiberbiztonsági környezet értékelése és a fenyegetések számbavétele;

- célkitűzések pontos meghatározása és prioritások felállítása;

- cselekvési terv meghatározása;

- kockázatelemzési és -értékelési szemléletmód érvényesülése.

1. táblázat

A CECSP országok első kiberbiztonsági stratégiáinak összehasonlítása [27 pp. 130-136] saját szerkesztés Ausztria Csehország Lengyelország Magyarország Szlovákia Terminológia Részletesen

tartalmaz.

Nem tartalmaz. Az elején tartalmaz néhány definíciót.

Beágyazottság Mindegyik figyelembe veszi az EU és a NATO elvárásait, és hivatkozik a nemzeti felsőbb szintű stratégiákra (például nemzetbiztonsági). Mindegyik meghatározza a frissítés és felülvizsgálat időpontját. Az egyes

szereplők felelőssége és érintettsége meghatározott.

Helyzetelemzés van⁷ van van van van

Célkitűzések/

prioriátások

Mindegyik stratégia meghatározza a célokat (közel azonosakat). Prioritási sorrendet egyik sem állított fel.

Cselekvési terv Komplex

Általános jelleggel. Általános jelleggel.

Az Európai Unión belüli országok első kiberbiztonsági stratégiáik kialakítása során elsősorban arra koncentráltak, hogy felmérjék a legfontosabb kormányzati feladatokat, kijelöljék a szükséges kormányzati szerepeket, kifejlesszék a koncepciókat, és létrehozzák azokat a szervezeteket, amelyek szükségesek a kibertérből érkező kihívások a nemzeti szintű kezelésére.

A dokumentumok vizsgálata egy folyamat, ami során fény derülhet hasznosítható módszerekre. Ezt szokták mint jó gyakorlatot, best practiset vagy mint bechmarkingot emlegetni.

6 Ausztria és Csehország kezdeményezésére – Lengyelország, Szlovákia és hazánk részvételével – 2013-ban hozták létre a Közép-európai Kiberbiztonsági Platformot (Central European Cyber Security Platform).

7 Része a kiberkockázati mátrix.

Ilyen jó gyakorlat az a komplex megközelítés, amit az osztrák és lengyel stratégia tartalmaz: a beépített folyamatos és rendszeres kockázatelemzési és értékelési módszertan. Jó példaként azonosítható – Molnár által bemutatott [28] – az Egyesült Királyság által megvalósított első és – a tapasztalatokat és a várható trendeket figyelembe vevő – második generációs kiberbiztonsági stratégiája.

A 2011-től 2015-ig tartó időszakra vonatkozó brit kiberbiztonsági stratégia víziójában egy gazdasági és társadalmi szempontból értéket képviselő biztonságos és rugalmas kibertér elérése fogalmazódott meg négy célkitűzés mentén. A stratégia céljainak elérésére 650 millió font anyagi erőforrást allokáltak, azonban felismerve a terület fontosságát, végül a négy év alatt 860 millió fontot költöttek a stratégia megvalósítására.

Az elért releváns eredmények röviden:

- Széleskörű partnerségi hálózat⁸ létrehozása, aminek célja biztosítani az információ-megosztást a piac és a kormányzat érintett szereplői között.

- Cyber Essentials⁹ kormányzati program, ami alapvető biztonsági intézkedéseket követel meg a vállalatoktól annak érdekében, hogy könnyen és eredményesen tudják felvenni a harcot az internetes bűnözéssel szemben.

- A CERT-UK¹⁰ létrehozása, ami a hálózatbiztonsági kérdésekben érintett szervezetek központi fórumaként szolgál és havonta három gyakorlat segítségével teszteli a kiberbiztonsági reagáló képességet. Emellett 2013-ban elindították az egyedülálló kibertartalékos programot (Cyber Resesrve), és hatékony kezdeményezésnek bizonyult a Kibervédelmi Partnerség (Defence Cyber Protection Partnership) és az Összhaderőnemi Kibercsoport (Joint Forces Cyber Group) is.

- A harmadik célkitűzés a nyitott társadalmakat támogató nyitott, vibráló és stabil kibertér megteremtésére irányul, aminek keretében kiemelt figyelmet szentelnek a kiberbiztonsági ismeretek és tudás széles körben való terjesztésére.¹¹

- A tudatosítás, képzés kiemelt fókuszterület. 2012-től kezdve alapvető kiberismeretek oktatása indult az általános iskolákban, a felsőoktatásban pedig valamennyi alapképzésben bevezetésre került egy közös kiberbiztonsági modul, a mesterképzésben pedig már több, mint egy tucat akkreditált mesterképzés indult el. Több kutatóintézet is rendelkezik kiberbiztonsági profillal, akik célul tűzték ki, hogy a már működő kiberbiztonsági doktori iskolák 2019-re száz doktoranduszt tudnak majd magukénak [28 pp. 137–141.].

A britek új kiberbiztonsági stratégiája 2021-ig tervez. Az öt éves időszakra a szükséges kiberbiztonsági reformok és intézkedések megvalósítására 1,9 milliárd fontot irányoztak elő annak

8 Kiberbiztonsági Információmegosztási Partnerség – Cyber Security Information Sharing Partnerhip –, ami 10 regionális csoportot, több, mint 1750 szervezetet és 5000 magánszemélyt fog össze.

9 A követelményeket teljesítő vállalatok tanúsító oklevelet kapnak, és felkerülnek a kormányzati listára mint képesített vállalatok, amivel egyúttal teljesítik az előfeltételt ahhoz, hogy kormányzati beszállítók lehessenek.

10 Computer Emergency Response Team.

érdekében, hogy céljaik szerint a kiberfenyegetésekre magabiztosan, rugalmasan tudjanak reagálni, miközben biztonságosan és hatékonyan prosperálnak a digitális világban.

Hármas célrendszert fogalmaztak meg:

- védelem (defend), - elrettentés (deter) és - fejlesztés (develop).

Ezek elérésére három stratégiai cél mentén terveznek beavatkozásokat. Az első az aktív kibervédelem annak érdekében, hogy a brit IKT kevésbé legyen sérülékeny. Eszközeik: beépített védelemmel rendelkező eszközök, kormányzat és kritikus infrastruktúrák kiemelt védelme. Az elrettentés keretében deklaráltan támadó kiberképességeket kívánnak fejleszteni annak érdekében, hogy meg tudják védeni a saját kiberterüket, és visszavágni abban az esetben, ha támadás éri azt.

Mindemellett szorgalmazzák egy globális kiberszövetség létrehozását. A harmadik fókuszterület a fejlesztés, ezen belül is kiemelten a humánerőforrások fejlesztése.