Az előzmények

A törvény értelmében - amely alaposan fel bolygatta a gyanakvó közvélemény egy részét - az aggódó hangok szerint a jövőben a szakszolgálatok gyakorlatilag mindent megtudhatnak egy adott állampolgárról, láthatják például egészségügyi papírjait, esetleges NAV-büntetését, de rálátnak a kormányhivatalok szerverein tárolt szabálysértési adatokra is.A törvényjavaslat szerint a Terrorelhárító Információs és Bűnügyi Elemző Központ (TIBEK) megállapodást köt a Legfőbb Ügyészséggel a titkos információgyűjtések során az ügyészségnek átadható adatokról, de ezek körét sem határozza meg a jogszabály pontosabban, így csak a két szervezeten múlik, hogy a TIBEK-től milyen adat kerül az ügyészség birtokába. Emellett rálátnának a szervereken folyó adatokra is, de csak annak forgalmát figyelhetnék meg, annak tartalmát nem. Ám ezek - állítólag - különféle szoftverek segítségével adott esetben könnyen összekapcsolhatók. A rendőrségi törvényt is módosul, az új szabályozás szerint a szándékos bűncselekmény megalapozott gyanúja miatt kihallgatott személyek és kapcsolataik adatait („kriminalisztikai szempontból fontos jellemzőit”) legalább huszonöt évig tárolnia kell a rendőrségnek. A Nemzeti Adatvédelmi és Információszabadság Hatóságának (NAIH) auditálta a Szakszolgálat titkos információgyűjtés tevékenységét, amely legérzékenyebben érinti a magánszférát; az adatvédelmi hatóság azt állapította meg, hogy a vonatkozó jogszabályi rendelkezéseknek megfelelően végzi a tevékenységét é,s azt is megállapította, hogy a Szakszolgálat rendelkezik azokkal az eszközökkel, azokkal a belső normákkal, amelyek a belső adatkezelés garanciáit jelentik.

A hirrel kapcsolatos korábbi közleményünk teljes egészében itt olvasható:

x x x x x x x x x x x x x x x x x x x x x x x x x x x x

Dr. Homoki Péter


Miről is beszélünk?

Korai figyelmeztető rendszerekkel számos területen találkozhatunk, ilyen a légi figyelő és jelentő szolgálat a légvédelem területén (lásd a 290/2011. (XII. 22.) Korm. rendelet) vagy az uniós áruk szabad mozgását biztosító termékbiztonsági figyelmeztető rendszer, a RAPEX és a RASFF, a humán járványügyi jelentőségű EWRS (Early Warning and Response System) - emlékeztet írása bevezető részében dr. Homoki Péter

A korai figyelmeztetés az információbiztonsági védelem területén is fontos eszköz. Komolyabb informatikai rendszerek esetén, ahol az üzleti folytonosságot biztosítani kell, nem elég a bekövetkezett biztonsági támadásokra reagálni, legyen az akár egyszerű spammelés, vírus- vagy túlterheléses támadás, vagy bármilyen jogosulatlan hozzáférést. Nem elegendő egy tűzfalhoz hasonlóan előzetesen egy külső forgalomra előírni szabályokat és tiltani a szabályokat be nem tartó forgalmat – észlelni kell a behatolási kísérleteket. Figyelni kell a támadásokra utaló jelekre, szokatlan forgalmi jellemzőkre, meg kell próbálni előrejelezni, ha ilyen támadás várható. A jogászok számára kevésbé fontos, hogy mikortól is hívhatunk egy megelőző, támadást észlelő rendszert (IDS-t) már valódi „korai figyelmeztető rendszernek”, és hol van a kettő közötti pontos határ. Az ősi szabály itt is igaz, hogy nincs olcsóbb fejlesztés, mint egy koros terméket átnevezni, és megpróbálni ugyanazt drágábban eladni, „korai figyelmeztető rendszerként”.

Ismert informatikai biztonsági védelmi eszköz kategória

A jogszabály hátterének ismertetése kapcsán elég csak arra utalnunk, hogy az IT biztonság terén az ilyen korai figyelmeztető rendszereket (EWS) már évek óta hasznos eszközként nevesítik, tehát egy ismert informatikai biztonsági védelmi eszköz kategóriáról van szó. Az Európai Unióban már 2001-ben közzétették a Bizottság hálózati és informatikai biztonsági javaslatát (COM/2001/0298), amely egy egységes „Európai Korai Figyelmeztetési és Információs Rendszer” létrehozását, ennek részeként a nemzeti számítógépes sürgősségi reagáló egység (CERT-ek) és biztonsági eseményekre reagáló csoportok (CSIRT-ek) uniós koordinációját. Magyarországon az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény is már a kezdetektől fogva a megelőzéssel együtt említette a korai figyelmeztető rendszereket (2013. évi L. törvény 6. § a) pont).

Az EU már 2016 óta szorgalmazza

A 2001. évi uniós javaslatból jogi aktus csak 2016-ban született: a hálózati biztonsági irányelv (az Európai Parlament és a Tanács (EU) 2016/1148 irányelv (2016. július 6.) hálózati és információs rendszerek biztonságának az egész Unióban egységesen magas szintjét biztosító intézkedésekről). Az irányelv előírta a tagállami reagáló csoportok számára, hogy a korai előrejelzéssel kapcsolatosan operatív szintű együttműködést alakítsanak ki. Ennek megvalósítása végett a magyar Országgyűlés még a 2018. évi CXXI. törvény 118. §-ában felhatalmazást biztosított a Kormánynak, hogy részletes szabályokat rögzítsen a korai figyelmeztetés rendszerének üzemeltetőjével és az igénybevételre kötelezett személyekkel kapcsolatosan.

Nem a veszélyhelyzeti felhatalmazása alapján született

Ezt a felhatalmazást töltötte ki a Kormány a Rendeletben (azaz a jogszabályt a Kormány nem a veszélyhelyzeti felhatalmazása alapján fogadta el és adta ki). A Rendelet tartalmában ehhez a felhatalmazáshoz igazodik: meghatározza a rendszer üzemeltetőjét (2. §), rögzíti, hogy a rendszert ki jogosult és ki köteles igénybe venni (3. §), és mit fog az üzemeltető az üzemeltetés keretében tenni (5-6. §, 8. §), kinek teheti elérhetővé az üzemeltetés keretében birtokába jutó adatokat (9. §).

Kik használhatják, és kik kötelesek használni?

Érdemes áttekinteni, hogy a rendszert kik használhatják, és kik kötelesek használni. A rendszert kormányzati adatközpont használatára köteles felhasználók kötelesek igénybe venni, azaz a 467/2017. (XII..28.) Korm. rendelet 2. és 3. melléklete szerinti rendszerek üzemeltetői. Ilyen rendszerek a legfontosabb állami-minisztériumi nyilvántartások, pl. személyi adat- és lakcím, az elektronikus ingatlan-nyilvántartás, a központi érkeztető rendszer stb.

Mások számára nem kötelező az Rendelet szerinti EWS igénybevétele. A kötelezetti szerveken kívül döntésük szerint ezt a rendszert igénybe vehetik még azok a civil szolgáltatók is, akik létfontosságú rendszerelemeket üzemeltetnek, és a célból kijelölték őket, vagy az ügyvédek által is jól ismert NISZ Zrt. is.

Miért a Nemzetbiztonsági Szakszolgálat?

A fentiek remélhetőleg magyarázatot adnak arra, hogy a védett intézmények miért is kötelesek a hálózati forgalmuk másolatát átadni a rendszerüzemeltetőjeként kijelölt Nemzetbiztonsági Szakszolgálat részére, és miért kötelesek a fejlesztéseikről előzetesen tájékoztatni a rendszerüzemeltetőt. A honvédelmi célú forgalom nem kerül a szakszolgálathoz, így alapvetően ez az egyetlen olyan szóba jöhető állami szerv a hazai közigazgatásban, amely ehhez az – ágazatoktól független feladathoz – egységesen hozzáférhet, és megfelelő kapacitással és szakértelemmel rendelkezik. Minden hasonló, profilú polgári feladat jelenleg is ennél a szervnél összpontosul, tehát logikus volt e téren a Rendelet választása. Azt, hogy az EWS rendszer elsődlegesen nem nemzetbiztonsági célt szolgál, azok a garanciális rendelkezések támasztják alá, miszerint minden, a rendszerben a védett intézmény számára keletkezett adatot az üzemeltető a védett intézmény számára is elérhetővé tesz (6. §).

Annyira bizalmas adatok, hogy...

Persze a nemzetbiztonsági feladatok természetüknél fogva annyira bizalmasak, hogy ha eltérő célra is használnák fel az adatokat vagy esetleg nem minden adatot tesznek elérhetővé a védett intézmény számára, ebből a védett intézmény nem fog semmit sem érzékelni. Ugyanakkor magában a Rendeletben semmilyen olyan rendelkezés nincsen, ami ne illeszkedne egy állami célú tisztán informatikai biztonsági feladatú, korai figyelmeztető rendszer feladatkörébe - vonja meg a mérleget írásában dr. Homoki Péter.