Egy kiberbiztonsági szabályozási hullám közepén járunk. Figyelemre méltó, hogy mi mentődött át a korábbi kiberbiztonsági törvényből a jelenleg hatályos, új törvénybe, illetve melyek az új elemek. Az érintett szervezeteknek mindezeket szem előtt tartva kell felkészülniük, hogy az érvényes rendelkezéseknek megfelelően járjanak el. A legfontosabb tudnivalókról Varga Gábor, az IVSZ - Digitális Vállalkozások Szövetsége kiberbiztonsági szakértője ad tájékoztatást.
Varga Gábor: Az új kiberbiztonsági törvényünk és a hozzá kapcsolódó rendeletek az Európai Unió NIS2 direktíváját ültetik át a hazai jogrendbe, miközben megtartják a korábbi magyar szabályozás egyes elemeit is. A változtatások egyik fő kiváltója, hogy a cégeknek, a kormányzati intézményeknek, valamint a magánszemélyeknek is egyre komolyabb kiberbiztonsági fenyegetésekkel kell szembenézniük. A csillagok szerencsés együttállása, hogy a kibertámadások hatásairól érkező, növekvő számú negatív hír idejére esik az új szabályozási hullám. Ennek nyomán a szakmában, majd talán az egész társadalomban el tudjuk érni, hogy a felhasználói közösség a probléma súlyosságának megfelelően reagáljon erre a sajnálatos jelenségre.
ComputerTrends: Hogy keresi a választ a kihívásokra az új törvény?
Varga Gábor: A korábbi törvény csak az állami és kormányzati intézményekre, illetve a kritikus infrastruktúrában érintett szervezetekre volt érvényes. Most - az európai uniós szabályozási iránynak köszönhetően - ezekhez társulnak a versenyszféra bizonyos ágazataiban működő vállalatok is. Ma már sok olyan, a biztonságot növelő technológiai fejlesztési eredmény áll a rendelkezésünkre, amelyekre építhet, és épít is a szabályozás: bizonyos szervezetek számára előírja a védelmi intézkedésekben történő alkalmazásukat. De minden technikai beavatkozás csak annyit ér, amennyit meg is valósítanak belőle. Emiatt aztán a törvényben vannak nem technológiai jellegű, szervezési jellegű kötelezettségek is.
CT: Mit kell szervezési jellegű kötelezettség alatt érteni?
Varga Gábor: Például azt, hogy milyen felelősség hárul a csúcsvezetőre annak érdekében, hogy a szervezet kiberbiztonsága rendben legyen. Vagy azt, hogyan kell a szervezetben a felelősséget elosztani, milyen feladatokat kell kiadni, hogy olyan rendszer álljon össze, amelyet implementálva a szervezet mindent megtett annak érdekében, hogy sem ő maga ne váljon az online támadások áldozatául, sem pedig az ügyfelei vagy végfelhasználói ne váljanak bármilyen digitális térben születő támadás tárgyává.
CT: Mi a helyzet azokkal a kisebb cégekkel, amelyekre ugyan nem vonatkozik az új törvény, de beszállítói azoknak a szervezeteknek, amelyek az új törvény hatálya alá esnek?
Varga Gábor: A szabályozástól függetlenül az elmúlt öt év nagy tapasztalata, hogy hiába teszek meg mindent a szervezetem biztonsága érdekében, ha a beszállítóim, partnereim nem teszik meg ugyanezt. Ezzel nemcsak engem veszélyeztethetnek, hanem azokat a partnereimet is, amelyek a közös értékláncunk távolabbi pontjain helyezkednek el. A szabályozás - nagyon helyesen - ezt a problémát is kezeli, a felismerés a törvény, illetve a végrehajtási rendelet szövegében is megmutatkozik. Ennek megfelelően egy kisvállalat is egyszerűen bevonható a kiberbiztonsági törvény alanyai közé, ha bizonyos feltételeknek megfelelő beszállítója a törvény egyes alanyainak.
CT: Hogy állunk a kiberbiztonság, illetve a felmerülő új előírások terén otthonosan mozgó szakemberekkel?
Varga Gábor: Régi problémája volt a magyar infokommunikációnak, hogy a szakember-utánpótlással nem álltunk jól. A kiberbiztonságra ez még most is igaz. A kérdést két részre bontanám: az egyik a kiberbiztonsági szakemberek utánpótlása, a másik a szélesebb felhasználói körben annak tudatosítása, hogy milyen rutinokat kell kialakítanunk, milyen készségeket kell megszereznünk és begyakorolnunk. A szakember-utánpótlás terén hasonlóképpen sok a tennivaló. Örvendetes, hogy erre mind az egyetemi képzésben, mind az átképzést célzó felnőttképzésben vannak erőfeszítések. Kiemelném, hogy a középfokú szakemberképzést is érdemes lenne fejleszteni. Számos olyan szerepkör van, ahol érteni kell a kiberbiztonsághoz, de nem feltétlenül egyetemi vagy főiskolai szinten. Ez a terület eddig nem kapott elég figyelmet. Ezért is szorgalmazza az IVSZ, hogy a technikumi oktatási programokban ne csak általános infokommunikációs szakmai készségeket, hanem kifejezetten kiberbiztonsági célú tudást is lehessen szerezni.
CT: Hol tartunk az Európai Unió országaihoz képest a NIS2 adaptálásában?
Varga Gábor: A NIS2 transzponálásában sokkal gyorsabban haladtunk, mint a legtöbb európai uniós ország. Magyarországon egyébként is időszerű volt a korábban IBTV vagy 50-es törvény néven ismert szabályozás frissítése, ami szerencsésen találkozott a NIS2-ből fakadó új elvárásokkal. Egyébként idén januárban sok európai ország szintén megtette a megfelelő lépéseket a törvényhozási folyamatában, de nálunk január 1-je óta már hatályos a törvény, és január végéig a szükséges rendeletek is megjelentek. Ezzel azonban még mindig nem tekinthetjük befejezettnek a feladatot, mert a törvény komplexitásából fakadóan nagyon sok értelmezési munka vár még ránk, hogy ne csak jogi, hanem gyakorlati értelemben is alkalmazható legyen.
CT: Sokan a NIS2 szóval azonosítják a magyar kiberbiztonsági törvényt. Rendben van ez így?
Varga Gábor: Ezzel sajnos félre tudjuk vezetni magunkat. Tény, hogy az új magyar joganyag jelentős része az Európai Unió vonatkozó direktívájából, tehát a NIS2-ből született. A kiberbiztonsági törvényünkben azonban számos olyan pont van, amely módosításokkal veszi át a NIS2 adott pontját. A magyar törvény például sokkal szélesebb érintetti kört azonosít annál, mint amit a NIS2 direktíva a megszületésekor, 2022 decemberében megkövetelt. Hasznos tehát, ha valaki ismeri a NIS2-t, de elengedhetetlen a kiberbiztonsági törvény elolvasása. Ahol eltérés van, ott egyértelműen a kiberbiztonsági törvény a mérvadó.
CT: Számíthatunk rá, hogy a mesterséges intelligencia terjedésének köszönhetően rövid időn belül meg kell változtatni akár a NIS2-t, akár a kiberbiztonsági törvényt?
Varga Gábor: Véleményem szerint az új szabályozás alkalmas rá, hogy a mesterséges intelligencia alkalmazásával kapcsolatos kiberbiztonsági teendőknek is keretet adjon. Az AI esetében két szempontból releváns a kiberbiztonság kérdése. Az egyik, hogy a mesterséges intelligenciát implementáló informatikai rendszereket is védeni kell. Amennyiben az a szervezet, ahol az AI fut, alanya a kiberbiztonsági szabályozásnak, akkor minden informatikai rendszerre, tehát az AI-t futtatóra is vonatkoznak a kiberbiztonsági törvény kötelezettségei. A másik, hasonlóképpen fontos szempont annak figyelembevétele, hogy azok a támadók is egyre inkább használják a mesterséges intelligenciát, akiktől a kiberbiztonsági törvény hivatott megvédeni minket. Sajnos nagyon sokféle támadást lehet itt felsorolni. Talán a legkézzelfoghatóbb, amikor phishing jellegű támadás érkezik. Ha az adathalász az egyre jobb minőségű nyelvi modelleket alkalmazza, akkor olyan jó minőségű magyar szöveget tud létrehozni, a tartalmat annyira relevánssá képes tenni számomra, hogy sokkal nehezebb észrevenni a csalást, mint korábban. De ez csak egy példa arra, hogy a mesterséges intelligencia mint innováció hogyan gyengíti a kiberbiztonságot, hiszen eszközt ad a támadók kezébe. Rögtön hozzátenném, hogy az AI hasonló eszközöket ad a védelmi oldal kezébe is, tehát például a nagy nyelvi modellek segítségével hatékonyabbá tehető az adatok, a szövegek elemzése, és ezáltal bizonyos támadások kivédése. Ebből is látható, hogy a kiberbiztonsági törvényt nemcsak előírások halmazának, hanem keretnek is kell tekinteni, amelyet ki kell tölteni a mindenkori technikai lehetőségekhez és kockázatokhoz igazodó hatékony védelmi intézkedésekkel, ami rugalmasságot is követel.
CT: Tartalmaz a kiberbiztonsági törvény kifejezetten a mesterséges intelligenciára vonatkozó specifikus követelményeket?
Varga Gábor: Nem, de ez több okból is így helyes. Az egyik, hogy a kiberbiztonsági szabályozásnak kiberbiztonsági területen kell maradnia. Amennyiben megengedi a mesterséges intelligenciát is alkalmazó védekezési mechanizmusok használatát az elvárt védelem érdekében, akkor a kiberbiztonsági szabályozás megtette, amit várhatunk tőle ebben a kérdésben. Úgy látom, hogy a kiberbiztonsági törvény így rendelkezik. Ugyanakkor fontos, hogy a másik oldal, tehát az AI szabályozása is lehetővé tegye, sőt segítse az ilyenfajta védekezési mechanizmusok alkalmazását. Persze ebből az is következik, hogy a kiberbiztonsági szakmának - mint minden, a mesterséges intelligenciát alkalmazni tervező területnek - figyelemmel kell lennie a mesterséges intelligenciára vonatkozó szabályozásra is. Sajnos a digitalizáció területén nagyon gyakori az egyes jogforrások interakciója.
CT: Az IVSZ Kiberbiztonsági munkacsoportja nemrégiben workshopot tartott a kiberbiztonsági rendelkezések magyar vonatkozásairól. Milyen problémákat vetettek fel a cégek, illetve milyen megoldásokat tudtak nekik javasolni?
Varga Gábor: Nagyon érdekes beszélgetés volt. Az egyik érdekes konklúzió az ismeretterjesztés fontossága, nevezetesen az, hogy az érintett cégek és állami intézmények tisztában legyenek azzal, hogy a szabályozás alá esnek-e vagy sem. Ez első hallásra triviálisnak tűnik, de korántsem ez a helyzet, mivel a kiberbiztonsági törvény rendkívül komplex. Már az első paragrafus is - amely leírja, hogy kinek kell figyelemmel lennie a törvényre - elég sok gondolkodást igényel. Ha ez elmarad, akkor adott esetben nem veszem észre, hogy valamilyen kötelezettségnek meg kell felelnem. Sok a kivételszabály is, tehát a felületes olvasó azt hiheti, hogy vannak bizonyos kötelezettségei, miközben valójában nincsenek. A workshop érdekes kimenetele tehát, hogy nincsenek rövid válaszok. Éppen ezért az IVSZ több olyan rendezvényt is szervez a jövőben a kiberbiztonsági munkacsoport keretein belül, ahol segít a tagságnak viszonylag gyorsan és fájdalommentesen feldolgozni a törvény különböző részeit. Fontos pont a felhőszolgáltatások alkalmazása, mivel az új törvény más megközelítésben szabályozza a felhőszolgáltatásokat, mint a korábbi törvény. A különböző szervezeti típusokra nagyon különböző kötelezettségeket ró. Ha valaki biztos akar lenni abban, hogy megfelel az előírásoknak, annak alaposan körbe kell járni és megérteni a törvény rendelkezéseit. Sok munka van még előttünk.
