SZABADI ISTVÁN
a Mi Hazánk Mozgalom pártigazgatója
és országgyűlési képviselője

Parlamenti munkáim

T/3314 A kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről

24.03.04, vezérszónoki felszólalás

SZABADI ISTVÁN, a Mi Hazánk képviselőcsoportja részéről: Köszönöm szépen a szót. Tisztelt Elnök Asszony! Tisztelt Országgyűlés! Tisztelt Ház! A jelen törvényjavaslat előzménye, hogy a 2019/881. európai parlamenti és tanácsi rendeletben foglalt határidő betartása érdekében még 2022. január 1-jétől a nemzeti kiberbiztonsági tanúsító hatósági feladatok elvégzésére hozták létre a Szabályozott Tevékenységek Felügyeleti Hatóságát, illetve jelölték ki. A 2021. október 1-jével egyfajta szuperhatóságként létrehozott SZTFH hatáskörét tehát a kiberbiztonság felügyeletével bővítették, holott nem vagyunk meggyőződve arról, hogy a már meglévő feladatait, így például a korrupcióval átszőtt végrehajtói és felszámolói tevékenység felügyeletét is megfelelően tudtae vállalni.

A törvényjavaslat indokolása szerint a 2021. évi törvénymódosítás a kiberbiztonság érdemi újraszabályozására nem tett kísérletet. Ezt pótolják most azzal, hogy az EU tanúsítási rendszere által le nem fedett infokommunikációs termékek és szolgáltatások esetében hazai tanúsítási követelményeket határoznak meg. Az SZTFH szerint a tanúsítási tevékenység célja, hogy az állampolgárok és a vállalkozások által megvásárolható, igénybe vehető infokommunikációs eszközök és szolgáltatások esetében garantálni lehessen a kiberbiztonság folyamatosan fejlődő követelményeinek való megfelelést.

A törvényjavaslat azonban nem terjedt ki az állami és önkormányzati szervek elektronikus információbiztonságára, mivel ezt egy korábbi törvény, a 2013. évi L. törvény  rövidítve: Ibtv.  szabályozza. Az Ibtv. hatálya alá tartozó állami és önkormányzati szervek kötelesek információbiztonsági felelőst kijelölni, továbbá ezeknél a szerveknél a sérülékenységvizsgálatot és a penetrációs tesztelést, vagyis behatolási vizsgálatot a Nemzeti Kibervédelmi Intézet munkatársai végzik térítésmentesen előzetes időpontegyeztetés alapján. A vizsgált szerv köteles kijavítani a feltárt sérülékenységeket, és erről be kell számolnia a Kibervédelmi Intézet számára.

Tisztelt Képviselőtársaim! Ezen a ponton megjegyezném, hogy az állami és önkormányzati szervek számos olyan amerikai szoftverlicencet használnak, ahol a szolgáltató a felhasználókról adatokat köteles átadni az amerikai ügynökségnek, az amerikai ügynökség számára. Kérdésként merül fel tehát, hogy az adatszivárgás átmegye az auditon, illetve tervezie a kormány beszüntetni az érzékeny adatok ilyen irányú áramoltatását. Ha az USA-ban a hivatalokból kitiltják például a TikTokot, nálunk ez az állami és önkormányzati szervek esetében miért nem merülhet fel?

A törvényjavaslat kialakítja a kiberbiztonsági tanúsítás hazai keretrendszerét, valamint kiberbiztonsági követelményeket határoz meg a gazdasági élet jelentős ágazatainak szereplői számára. Hatálya kiemelten kockázatos, illetve a kockázatos ágazatokban működő szervezetek elektronikus információs rendszerére terjed ki. Érdekesség, hogy csak az in vitro diagnosztikai orvostechnikai eszközök gyártásával foglalkozó cégek kerülnek a hatálya alá, melyek az emberi szervezetből származó minta felhasználásával diagnosztizálnak, az in vivo, vagyis a bőr alá kerülő digitális eszközök gyártói nem kerültek az érintett szervezetek közé. A kérdésem az, hogy tudatose ez a szelektálás.

A törvényjavaslat hatálya nem terjed ki még arra sem, hogy a kritikus infrastruktúrát üzemeltető cégekre, továbbá általában véve a mikro- és kisvállalkozásokra, kivéve, ha elektronikus hírközlési szolgáltatóként, bizalmi szolgáltatóként, DNS-szolgáltatást nyújtó szolgáltatóként vagy domainnév-regisztrációt végző szolgáltatóként tevékenykednek. Álláspontunk szerint azonban ezzel a kiberbiztonság terén a mikro- és kisvállalkozások versenyhátrányba kerülhetnek a nagyvállalatokkal szemben.

Az SZTFH, azaz a Szabályozott Tevékenységek Felügyeleti Hatósága a honlapján hirdeti, hogy elősegíti a hazai gyártású fejlesztési termékek, szolgáltatások kiberbiztonsági követelményeknek való megfelelését, valamint ezen termékek és szolgáltatások megjelenését az EU egységes piacán. Célszerű lenne a törvényjavaslat hatályát az adminisztrációs terhekhez nyújtott megfelelő kormányzati támogatással a mikro- és kisvállalkozásokra is kiterjeszteni.

Megjegyzendő, hogy a digitális nanotechnológia gyártói és alkalmazói sincsenek az érintett szervezetek között, így felmerül a kérdés, hogy a kormány készüle a nanoterrorizmus korszakára, ugyanis erre is fel kell készülni. Továbbá a törvényjavaslat alapján elvileg az érintetti körbe beletartoznak a nemzetközi felhő- és social network-szolgáltatók is. Mit fog tenni a kormány, ha a Facebook vagy a Google majd nem lesz hajlandó alávetni magát a kiberbiztonsági auditnak? Megbírságoljuk őket? Egyébként jó lenne, van pénzük bőven.

Problémát jelent, hogy az érintett szervezetek közül csak a domainnév-szolgáltatók esetében van közzétételi kötelezettség, ami az ügyfelekre terjed ki, de a kiberbiztonsági audit eredménye nem publikus. Ezáltal hiába szerepelnek például az okosautógyártók az érintetti körbe, ha új autó vásárlása esetén az autó kommunikációs és titkosítási protokolljáról a márkakereskedőtől nem lehet információhoz jutni.

A törvényjavaslat szerint a nemzeti kiberbiztonsági tanúsítási rendszer alapján a megfelelőségért a megfelelőségértékelő szervezet nemzeti kibervédelmi tanúsítványt bocsát ki. Ez ugyan szép, de vajon az egyre jelentősebb mértékű kiberbűnözéssel az SZTFH fel tudjae venni a lépést, hiszen egy portszken vagy adathalász-körlevél egy perc alatt indítható, gyakorlatilag ingyen. Kérdés, vane a hatóságnak kiberbűnözés elleni stratégiája.

Az auditvizsgálatok során az auditor pontról pontra végigmegy a keretrendszeren, az adott szervezet megfelele a követelményeknek, ezt vizsgálja. Ehhez az állami és önkormányzati szerveknél az ISO 27001 szabványt használják. A törvényjavaslat hiányossága, hogy nem teszi kötelezővé az ISO 27001 szabvány használatát.

Emellett hiányosságként merül fel, hogy a törvényjavaslat nem különíti el az auditálást a sérülékenységi vizsgálattól, holott egy auditor végzettség nem nyújt felhatalmazást a sérülékenységi vizsgálat elvégzésére. Az auditorok az informatikai rendszer vizsgálatát ISO-szabványok alapján egészében nézik, nem rendelkeznek speciális szaktudással az informatikai sérülékenységvizsgálat területén. Ezenkívül nem szabályozza, hogy a sérülékenységvizsgálat lefolytatásához milyen végzettség szükséges, továbbá, hogy milyen feltételekkel lehet penetrációs tesztelést, azaz etikus hekkelést csinálni.

Összességében: a törvényjavaslat a kibervédelmi szabályozottság irányába hat. Ha egy cég domainnév-szolgáltatással vagy szoftverfejlesztéssel foglalkozik, akkor igenis legyen egy követelmény, aminek meg kell felelnie, különben a magyar kiberteret veszélyezteti. Nem értünk egyet azonban azzal, hogy a kiberbiztonsági felügyelet feladatát a szuperhatóságként működő SZTFH-ra bízzák, amely szerv a végrehajtói tevékenység felügyeletével láthatóan nem boldogul. Kijelölése az állami kontroll és megfigyelés kiterjesztését jelenti a piaci szereplőkre. Továbbá aggályos az is, hogy az SZTFH határozza meg, hogy kik vesznek részt az auditálások és sérülékenységvizsgálatok lefolytatásában, így az általa dedikált cégek a kiberbiztonság terén teljhatalmat kaphatnak.

Összességében támogatjuk a javaslatot, hiszen ez egy szükséges intézkedés, de a felsorolt hiányosságokra legalább rendeleti szinten szabályozást kell alkotni. Köszönöm szépen.