A 350 regisztrált résztvevő 30 országból érkezett, a külföldi előadók és érdeklődők száma elérte a 60-at. Jellemzően kormányzati intézményektől, egyetemektől, kutató helyektől és információbiztonsági megoldásokat nyújtó szállítóktól érkeztek az előadók és a résztvevők.
A rendezvény létrehozója és szervezője az 54 fővel működő Nemzeti Biztonsági Felügyelet, amelynek elnökét, Zala Mihály vezérőrnagyot a konferencia tanulságairól kérdeztük.
Mester Sándor: A konferenciát megnyitó beszédében ön ráijesztett a rendszergazdákra, figyelmeztetvén őket arra, hogy nem egészen azt kommunikálják a főnökeiknek, ami az igazság.
Zala Mihály: Az információbiztonság szakma kellene, hogy legyen, ehhez képest nem elismert foglalkozás és nincs is ilyen végzettség. Remélem, hogy változik majd a helyzet e téren, bízom benne, hogy inkább előbb, mint utóbb. A probléma lényege az, hogy amikor az állam elkezdte felépíteni az informatikai rendszereit 20-25 évvel ezelőtt, akkor nem voltak a szakemberek a kellő tudás birtokában, és ahelyett, hogy – mint ahogyan tették ezt más területeken – megszerezték volna a szükséges ismereteket, az állam kiadta a biztonsággal kapcsolatos feladatok elvégzését külső cégeknek.
Nem meglepő, hogy aztán bizonyos állami intézményeknél olyan rendszergazdák maradtak, akik csupán minimális ismeretekkel rendelkeznek. Képesek feltelepíteni a rendszereket az eszközökre, tudják, hogyan kell konfigurálni az e-mailrendszert, de ha valamit nem értenek, akkor valamelyik partnercégtől kérnek segítséget. Tudásuk nem gyarapodik, ezért az utóbbi bő két évtizedben az állami intézmények irányítói, de akár üzleti vállalkozások vezetői is, kiszolgáltatottá váltak, és kénytelenek arra hagyatkozni, amit az informatikai vezetőik mondanak.
Mester Sándor: Mindeközben a helyzet nemhogy egyszerűsödött volna, hanem bonyolultabbá vált. Egy informatikai biztonsági megoldásokat forgalmazó cég képviselőjével beszélgettem itt a konferencián, s ő arról számolt be, hogy nem konszolidálódik a szállítói piac, hanem tovább bővül. Egyre nő ugyanis a veszélyek, fenyegetések száma és fajtája, és az informatikai megoldások fejlesztői ezekre reagálnak. Egyetért ön ezzel a helyzetleírással?
ZM: Úgy látom, hogy a szállítók igyekeznek teret nyerni az IT-biztonság piacán is, ezért aztán kitalálnak különféle megoldásokat, amelyeknek a nagy része nem feltétlenül mondható jónak. Ami pedig a felhasználót, esetünkben az államot illeti, az állami intézmények döntéshozói, nem rendelkezvén a megfelelő tudással az IT-biztonság területén, nem képesek meghatározni az igényeiket. Az állami szférában tevékenykedőknek is fejlődniük kell, el kell érniük azt a szintet, amelyen már rendelkeznek az igénymegfogalmazás képességével. Ha végbemegy e fejlődés, akkor a szállítók valószínűleg nem fognak annyi féle és fajta, szükséges és kevésbé szükséges megoldással megjelenni.
MS: Az állam és az állampolgárok adatainak biztonságáról, az e-kormányzati rendszerekről szólva szükséges szót ejteni olyan szabályozási és stratégiai munkákról és eredményekről, amelyekről az egyik szomszédos ország előadója részletesen beszámolt. Mi hogyan állunk e téren?
ZM: A stratégiákat és a törvényeket illetően jól állunk. Sokat számított az, hogy a stratégia és a törvény előkészítésének két-három éves időszaka alatt lefolytak azok a viták és egyeztetések a piac meghatározó szereplőivel, amelyek eredményeként kialakulhatott a konszenzus a fő kérdésekben. Meg kell jegyeznem, hogy a felügyeletünkön tevékenykedő szakemberek szaktudása a maguk területén a legmagasabb kategóriába sorolható. Ami a szomszédos országokat illeti, a többség rendelkezik stratégiával, megfelelő törvényi szabályozással. Úgy vélem, a tudást illetően a románok állnak a legközelebb hozzánk.
MS: A Kasperksy Lab vezetője arról beszélt a konferencián, hogy napjainkban minden veszélyben van, a kibertámadás kockázatával mindenütt számolni kell. Egy állam esetében hogyan lehet kialakítani a megfelelő szintű védettséget?
ZM: Ahogyan a társadalmi folyamatok digitalizálódnak, nemigen marad olyan terület, amely ne lenne fenyegetve. A felkészülést a tudatosságra való oktatással kell kezdeni, oktatni kell a kormányzati oldalon dolgozókat, oktatni kell az ületi szektorban tevékenykedőket is, és úgy gondolom, hogy a közoktatásban is oktatni kell a digitális világ eszközeinek és szolgáltatásainak tudatos használatát. Hiányosságnak tartom, hogy még mindig csak a középiskolában kezdjük az informatikai oktatást, még nagyobb gond, hogy szövegszerkesztést, táblázatkezelést oktatnak.
Legalább 4-5 operációs rendszert használunk az eszközeinkben, a középiskolákban viszont egyetlenegy operációs rendszert tanítanak, miközben egy nagycsoportos óvodás is már képes okostelefont kezelni, amelyen nem feltétlenül az a bizonyos operációs rendszer fut. Úgy gondolom, hogy az államnak nem csak a törvényhozás a feladata, hanem az is, hogy megfelelőek legyenek a tantervek. Ami pedig a rendszereket és hálózatokat illeti, el kell dobnunk, ami rossz, el kell hagynunk, amire nincs szükségünk. A hálózatok építéséhez és biztonságának szavatolásához nem is annyira pénzre, hanem tudásra van szükség.
MS: Mit tud magára vállalni e tennivalókból az ön által vezetett felügyelet?
ZM: Szakhatóságként és egyedi kéréseknek eleget téve sérülékenységi vizsgálatokat végzünk az állami kritikus infrastruktúrában, illetve ipari és önkormányzati rendszerekben. E vizsgálatokat rendszeresen kell végezni, ugyanis minden változhat, új felhasználók léphetnek be rendszerbe, új eszközöket vehetnek használatba, új szoftvereket vezethetnek be. A tudatossági oktatás már csak kényszerűségből is szükséges, hiszen amikor bemutatjuk a sérülékenységi vizsgálat eredményét, egy rögtönzött oktatást kell tartanunk az intézmény vezetőjének, hogy egyáltalán megértse a vizsgálat következtetéseit.
Ezt a konferenciát is azért találtuk ki, hogy fóruma legyen ötletek, megoldások bemutatásának, és hogy e fórum számára mindazokat nyerjük meg, akik valamit is hozzá tudnak tenni a rendszerek biztonságának növeléséhez. Három évvel ezelőtt 110-en voltunk, most 350 regisztrált résztvevő tisztelt meg bennünket a rendezvényen, amiből arra következtetünk, hogy szükség van erre a konferenciára, és kimeríthetetlen a téma, amivel foglalkozunk. A következő konferencián az emberi tényezőre, a humán hibákra fogunk fókuszálni, ugyanis ma már a támadások zöme személyre szabottan célzott.