Az Információbiztonsági törvénynek való megfelelés

Az információs társadalmat érő fenyegetések miatt napjainkban kiemelten fontos az önkormányzatok vagyonát képező elektronikus adatvagyon, valamint az ezt kezelő információs rendszerek, rendszerelemek biztonsága.

Az adatok védelme érdekében az Ibtv. az alábbi feladatok ellátást várja el az önkormányzatoktól:

 Információbiztonsági felelős kijelölése.

 Elektronikus információs rendszerek biztonsági osztályba sorolása.

 Informatikai biztonsági szabályzat készítése.

 Biztonsági szabályzatok létrehozatala.

 Az elektronikus információs rendszerek kockázatelemzésének elvégzése.

 Az elektronikus információs rendszerek kockázatkezelésére intézkedések megtétele.

 A felhasználók felelősségi köreinek megállapítása, kijelölése.

 A felhasználók rendszeres képzése, biztonság tudatosságának növelése.

 A biztonsági események kezelése, eljárások kidolgozása a saját szervezeten belül.

Az Ibtv. három szereplőt azonosít az információbiztonság területén: a szervezeti vezetőt és a rendszer használóját mint a folyamat résztvevőit, továbbá az információbiztonsági felelőst.

A polgármester vagy a jegyző nem feltétlenül van tisztában az információbiztonsági kérdések fontosságával, miközben a tisztviselői állomány szükséges kompetenciafejlesztéséről dönt, és kinevezi az információbiztonsági felelőst. Ahhoz, hogy a munkatársak rendelkezzenek a szükséges képességekkel, tudatosak legyenek az eszközök, rendszerek használata során, illetve IB felelősnek a megfelelő ember legyen kinevezve, elengedhetetlen, hogy a vezetők – önkormányzatok esetében a polgármester és jegyző – értsék és tisztában legyenek a terület fontosságával és az elvégzendő feladatokkal.

A szakértők szerint az IB felelősöknek tudásbrókernek is kell lenniük. Így képesnek kell lenniük közvetíteni az önkormányzat és a hatóságok (például a NEIH) között. Általánosan ismert probléma, hogy a felhasználók nem értik az informatikus elvárásait, és az informatikus nem érti a szakmai folyamatokat. Ez a konfliktus a biztonsági előírások betartása ellen hat. Olyan IB felelőst érdemes választani, aki képes „fordítani”, beszéli mindkét nyelvet, és közvetíteni tud a műszaki üzemeltető és a szakmai feladatokért felelős szakértők között.

A NEIH adatai alapján a központi és az önkormányzati szereplők Ibtv. által elvárt kötelezettségeiknek

2. táblázat

Ibtv. elvárásainak való önkormányzati megfelelésForrás: NEIH 2017. június 6-ai adatai alapján saját szerkesztés.

Összesen Ebből

A táblázatból kiolvasható, hogy a regisztráltak többsége az önkormányzati hivatalok közül kerül ki: a teljes kör 84%-a. Ha megvizsgáljuk a teljesítéseket, akkor az utolsó oszlop mutatja, hogy az önkormányzati kör a teljes regisztrálti körhöz képest – ha kis mértékben is –, de szabálykövetőbb az egyéb kormányzati körből kikerülő érintetteknél: törekszik a szabálykövetére. Például az adatszolgáltatás teljesítői közül 88% önkormányzati hivatal, ami az eredeti aránynál 4%-kal magasabb. Ugyanakkor az is látszik, hogy az önkormányzatok alig valamivel több, mint fele tett eleget adatszolgáltatási kötelezettségeinek a teljes körhöz viszonyítva. A többi tényező esetében ez az arány 50% alatt van, ami nagyon alacsony érték, és egyben kiberbiztonsági szempontból is kritikus.

A NEIH tapasztalatai szerint [32] több probléma adódott az önkormányzatokkal végzett munka során:

- ASP (Application Service Provider: alkalmazásszolgáltató – a szerző kiegészítése) vonatkozásában, az önkormányzatok hivatalai az általuk kezelt közadatok kezelésére szerződött partnerekkel kötött együttműködéséből adódó problémák (adatmigrálás ASP-be);

- központi szolgáltatók, intézmények által az IT biztonsági követelmények előírásainak, az elvárások ismertetésének, tájékoztatásának elmaradása az ügyfelek felé (végpontok, önkormányzatok), ami komoly nehézséget okoz (például önkormányzati ASP esetében);

- a „központi” szolgáltatások, szakrendszerek fejlesztésénél a végponti védelmi intézkedések megvalósítását biztosító információk (információbiztonsági elvárások a végponti hozzáférők részére) és anyagi fedezet biztosításának elmaradása;

- mobil eszközök (például: pendrive) és internet korlátozás nélküli használata a szakrendszeri hozzáféréseket biztosító eszközökön;

- incidenskezelési együttműködés esetei és zavarai, adatszolgáltatási kötelezettség elmaradása.

Az önkormányzatok kiberbiztonsággal kapcsolatos kérdéseiről a témában lefolytatott online felmérés és fókuszcsoportos interjú eredményeit bemutató fejezetben részletesen lesz szó, jelen esetben csupán az Ibtv.-nek való megfeleléshez szorosan kapcsolódó részekre kapott válaszok eredményét mutatom be:

- Van-e az önkormányzatnak információbiztonsági stratégiája?¹³ - Van-e az önkormányzatnak adatkezeléssel foglalkozó szabályzata?

- Van-e protokoll az informatikai rendszeren elkövetett támadások esetére?

Az információbiztonsági stratégia megléte kapcsán reményt keltő, hogy bár két éve nem kötelező a készítése, az önkormányzatok jelentős része mégis rendelkezik vele. Az információbiztonsági stratégiával kapcsolatosan előzetes megállapítás, hogy átlagosan az önkormányzatok egyharmada (36,9%) rendelkezik ezzel a dokumentummal. A kép a valóságban ennél árnyaltabb, hiszen az önálló hivatalok háromnegyede, a székhelyként működő szervezetek fele és a kirendeltséghivatalok egyötöde rendelkezik ilyen alapdokumentummal. Részben elkészült stratégiákat is jeleztek, amelyeket nem fejeztek be, vagy jelenleg is azt írják. Ezek a közös hivatal tag önkormányzatokra jellemzőek.

7. ábra

Információbiztonsági stratégia rendelkezésre állása (2018.02.13.)Forrás: Online kérdőíves felmérés, saját szerkesztés.

Az adatkezelési szabályzat tekintetében jobb eredmények a jellemzőek. Átlagosan tíz hivatal esetében hétnél található ilyen alapdokumentum (68,4%). Ezen belül az esetek több, mint 80%-ában van jelen a szabályzat az önálló (87,3%) és a székhelyhivatalok (83,4%) működésében, de a legkisebb hivatalok nagyobbik felében (51,4%) is rendelkezésre áll a dokumentum.

3. táblázat

Az adatkezelési szabályzat megléte Forrás: Önkormányzatok és kiberbiztonság – online felmérés (saját szerkesztés).

Közigazgatási-feladatellátási státusz

Kötelezettségek – lehetőségek: adatkezelési szabályzat

Van Nincs Részben Tervezik 

db % db % db % db % db %

Önálló 89 87,3 2 2,0 9 8,8 2 2,0 102 100,0

Közös hivatal székhely 131 83,4 2 1,3 20 12,7 4 2,5 157 100,0

Közös hivatal tag 129 51,4 55 21,9 56 22,3 11 4,4 251 100,0

Összesen 349 68,4 59 11,6 85 16,7 17 3,3 510 100,0

Emellett a szabályzat hiánya leginkább a taghivatalokra jellemző, hiszen egyötödük (21,9%) nem rendelkezik ezzel, és ebben a csoportban ilyen arányban vannak a részben elkészült szakmai anyagok is (22,3%). A központi hivatalok esetében ezen arány fele, míg az önállóaknál a harmada jellemző. Végül tervezik a szabályzat megalkotását több, mint minden huszadik (4,4%) kirendeltségnél, minden negyvenedik székhelyként működő szervezetnél (2,5%), illetve minden ötvenedik (2%) önálló hivatal esetében.

A szabályozott működés kapcsán fontos még annak vizsgálata, hogy fel van-e készülve az önkormányzat egy esetleges támadásra. Ez azért is nagyon fontos, mert a reagálás idejét jelentősen lerövidítheti, ha van alkalmazandó protokoll egy informatikai rendszer ellen elkövetett támadás esetére.

Az informatikai rendszerek ellen elkövetett támadások esetére követendő protokollok kidolgozottsága területén már végképp nem kedvezőek a számok. Ezzel egyik feladatellátási státuszhoz tartozó hivataltípus sem büszkélkedhet, hiszen mindössze és átlagosan, csupán a hivatalok egyötödére jellemző a valódi „know-how” megléte (18%). A kirendeltséghivatalok 9,2%-a, míg a székhely- és önálló hivatalok 26–27%-a rendelkezik ezzel.

8. ábra

Informatikai rendszerek ellen elkövetett támadások esetén követendő protokollok kidolgozottsága Forrás: Önkormányzatok és kiberbiztonság – online felmérés (saját szerkesztés).

A leginkább jellemző státuszok: a protokoll hiánya, vagy a részben meglévő eljárásrend kategóriái.

Átlagosan a szervezetek 45%-a (a kirendeltségek 56,8%-a és a másik két hivatali csoport

egyharmada) egyáltalán nem tud felmutatni protokollt, de további egynegyedük (24%) is csupán részben kidolgozott szakmai anyaggal rendelkezik (a taghivatalok egyötöde és a másik két csoport 25,8–28%-a).

A hiányosságok pótlására átlagosan minden nyolcadik hivatalban betervezték a protokollok megalkotását, ezek közül is legnagyobb arányban a székhelyhivatalok (14,8%), a legkisebb hányadban pedig az önálló hivatalok (minden tizedik eset) szeretnék pótolni mulasztásukat.