Dr. Dósa Imre:
Az informatikai biztonság, mint szabályozási feladat
I. Jogi szabályozás számokban
II. Jogi szabályozás új eredményei
III. Szervezeten belüli viszonyok:
a. Egyéni környezet - nehezen általánosítható szabályok
b. Műszaki védelem és jogi szabályozás: vetélkedés vagy együttműködés
IV. Gyakori problémák
a. Új felelősségek - károkozások: Alkalmasak-e a hagyományos jogvédelmi eszközök?
b. Műszaki lehetőségek jogi korlátok között
V. A szabályozás tipikus területei
A számítógép hálózatok fejlesztése a szervezetekben elsősorban műszaki feladat. Ritkán társul hozzá az új helyzeteket szabályozó jogi munka. Ezért bőven találhatók fehér foltok a szabályozás mezején. A helyzet okait kutatva önként adódik a kérdés: Országos szinten, a jogszabályok területén léteznek-e már iránytűként is szolgáló rendelkezések.
Az általam használt jogi adatbázis az előadás összeállításakor 40896 joganyagot tartalmaz. Ebből alig 350 körüli[1] azok száma, melyek az adatvédelem fogalmát tartalmazzák. Nagyon alacsony ez a szám, különösen akkor, ha figyelembe vesszük: az adatvédelem fogalmát minden adatkezelésre érteni kell, tehát nem korlátozható az elektronikus adatkezelésre.
Az elektronikus adatkezelés szabályozási háttere még karcsúbb képet mutat. A szóba jöhető fogalmakat[2] felvonultató joganyagok száma kettőszáz alatt marad.
Ha pedig kifejezetten az informatikai biztonság fogalmára tekintünk, a kép megdöbbentő. 8 olyan jogszabályt találtam, amely említi a fogalmat. Sőt, a hangsúly az említésen van, mert a fogalom szerepeltetését meghaladó szabályozással adós marad a jogalkotó. Az egyetlen biztató jel, hogy az informatikai és hírközlési miniszter feladat- és hatásköréről szóló jogszabály[3] szerint a miniszter - a technológiai fejlesztések elősegítése érdekében - meghatározza az informatikai biztonság jogszabályi, technológiai követelményeit, természetesen együttműködve az érintett miniszterekkel. Ezt a szabályozási feladatot a miniszter még nem teljesítette. A már megalkotott 9 rendelete közül nincs olyan, amely kifejezetten informatikai területet szabályozna.
Az informatikai biztonság hazai jogi környezetéről szólva szinte kötelező kiemelni a jogalkotás két fontos törvényben tárgyiasult mérföldkövét.
a) Az elektronikus aláírásról szóló 2001. évi XXXV. törvény számos, a szakma ezen területére vonatkozó fogalom legális definícióját határozta meg. Az elektronikus irat bizonyító erejét az irat kinyomtatott változatát meghaladó terjedelemben rögzítette. A jogszabály kódex jellegű szabályozást nyújt, mert meghatározza az aláíráshoz kapcsolódó szolgáltatásokat, sőt a szolgáltatások nyújtásának feltételeit is.
A törvény az adatvédelmi, felelősségi kérdésekre is kitér. Szabályait olvasva szembeszökő az elektronikus és írott aláírás közötti igen jelentős eltérés: Míg a hitelesítés hagyományos eszközei személyekhez tapadó tulajdonságokban[4] testesültek meg, az elektronikus aláírás valaminek a birtoklását feltételezi, tehát eltulajdonítható.
b) Az elektronikus kereskedelmi szolgáltatások, valamint az információs társadalommal összefüggő szolgáltatások egyes kérdéseiről szóló 2001. évi CVIII. törvény is korszakos jelentőségű, nemzetközi összehasonlításban is figyelemre méltó jogalkotási termék.
Ezen előadás nem tűzheti célul a törvény ismertetését, viszont kiemelésre érdemes egy igen fontos jogintézmény. Nevezetesen a spam-ek elleni jogi védőpajzs. A hivatalos zsargonban "az információs társadalommal összefüggő szolgáltatás felhasználásával küldött reklám"-nak nevezett hirdetések, tájékoztatások körében a törvény a szigorúbb, opt-in modellt követi. A fogalom rövid magyarázata nem mellőzhető.
Vikman László "A kéretlen elektronikus reklámok szabályozása" című írásában ekként ismerteti a spam-ek elleni jogi fellépés modelljeit:
"A spam szabályozására világszerte
alapvetőn 3 modell alakult ki. Az első modell szerint a kéretlen
üzenetben fel kell tüntetni annak kereskedelmi jellegét és egy válaszcímet,
ahol a felhasználó lemondhatja a további küldeményeket - ez az ún. szűkebb
opt-out. A második modell a tágabb opt-out rendszer, ami speciális listák
összeállításán alapul (ún. Robinson-listák), melyekre feliratkozva a
felhasználó jelezheti a direktmarketinget folytatóknak, hogy nem tart igényt
reklámokra. A legszigorúbb megoldás az Európai Unióban kidolgozott opt-in
modell, amelyben szintén egy lista a kiindulási pont - ezen a listán viszont
azok szerepelnek, akik szeretnének reklámüzeneteket kapni."
A magyar törvény 14. §-a szerint az ilyen reklámnak világosan és egyértelműen azonosíthatónak kell lennie, amint az hozzáférhetővé válik az igénybe vevő számára. Kizárólag az igénybe vevő egyértelmű, előzetes hozzájárulásával küldhető elektronikus úton, levelezés során reklám. A reklámot írásban igénylők nyilvántartása harmadik fél számára kizárólag az érintettek előzetes hozzájárulásával adható át. Ezen felül tájékoztatni kell a címzettet arról az elektronikus levelezési címről és egyéb elérhetőségről, ahol az ilyen reklámok küldését megtilthatja.
Lám, az opt-in rendszert a leiratkozási lista egészíti ki. A Magyar Köztársaság joghatósága alá tartozó reklámozók szigorú korlátok közé kerültek. Gyakorlati tapasztalataim azt mutatják, hogy a reklámlevelek utalnak arra a forrásra, melyből az e-mail cím származik. A legtöbb esetben kideríthetetlen viszont, hogy a többségében a törvény hatályba lépése előtt listák tagjai mihez járultak hozzá.
A szankciók kérdésköre még a szakmában is vitatott. Nincs tudomásom olyan esetről, amikor spam miatt bírságot szabott volna ki a HIF.
Vajon azért ilyen karcsú az állami jogi szabályozás, mert minden rendben van, nincs is szabályozási igény? Helyi - mármint munkahelyi - szabályokra sincs szükség? Tapasztalataim, olvasmányaim szerint éppen ellenkezőleg. A szabályozatlanság modellje sajnos csak addig működőképes, amíg problémamentes. Anomáliák akadnak bőven, szinte mindenütt. Ha ennek elkerülésére a számítógép használatát szabályok közé kell szorítani, miért nem alkotja meg azokat az állam? A helyi körülmények általában nehezen tipizálhatók. Egy példával illusztrálva: könnyen szabályozható törvényben a munkavállaló szabadsága. Az viszont helyi sajátosság, hogy az informatikai veszélyeztetettség milyen gyakori jelszócserét indokol.
Kialakult egy sajátos helyzet. A szervezeti, üzleti alapfolyamatokat szabályozzák. Egy bankba betérve például nem az ügyintézővel kell kialkudni, kitalálni a hitelfeltételeket. Ezzel szemben az informatika fejlődése hosszú ideig - sokhelyütt még ma is - műszaki kérdés. A rendszerek hatékony működtetését és biztonságát is műszaki megoldásokkal kívánják biztosítani.
Az informatika fejlődésével olyan új helyzetek és problémák bukkannak fel, melyekkel egy-két évtizeddel ezelőtt még nem találkozhattunk. Egy e-mail vírus kárt okozhat. Védekezni kell ellene, ez természetes. Tudjuk viszont, hogy tökéletes védelem nem létezik, ezért meg kellene határozni, hogy ki felel az ilyen károkozásért. A címzett munkavállaló, a rendszergazda, netán az érintett szervezet vezetője?
Belátható, hogy a műszaki fejlesztés és védelem a jogi szabályozottsággal kiegészítik egymást. Semmiképpen sem konkurálnak és nem is válthatják ki egymást, hiszen ugyanazt a dolgot eltérő nézőpontból ragadják meg. Ezáltal egyensúlyba kerülhet az informatikai fejlesztés technikai és humán oldala.
A problémák két iránya jelentkezhet: az informatikai károkozás és az informatikai veszélyérzet kialakulása.
Szerencsés esetben az utóbbi megelőzi az előbbit. Ha ilyenkor a veszélyérzet tudatos csökkentése megtörténik, a tényleges károsodás elmarad. Bár maga a veszélyérzet sem lebecsülendő: Jelentős erőforrásokat köthet le a hálózati kommunikációba vetett bizalom hiánya. Egy egészen hétköznapi példa is szemlélteti ezt. Ha egy pályázati anyagot postai úton is meg kell küldeni, ez nem csupán postaköltség és többletmunka, de azért is izgulhat a pályázó ügyintézője, hogy a hivatalos aláírás időben megtörténjen.
Az informatikai infrastruktúra fejlesztése a munkavállalókat új felelősségek elé állítja. Gyakran az is kétséges, hogy megfelelően kiképezték-e őket az új "munkaeszközök" használatára. Az pedig végképp rendezetlen, hogy az informatikai erőforrások magáncélra történő hasznosítása milyen terjedelemben jogszerű.
Ha egy kárt okozó esemény bekövetkezik, a hagyományos - például munkajogi - eszköztár legtöbbször hatástalannak bizonyul. Például gyakran a munkavállaló szervezete erőforrásait digitalizált képek tárolásával emészti fel. Nehezen vonható felelősségre. Ráadásul az esetek többségében olyan közös főnök sincs, aki ilyen helyzetekben "megrendszabályozza" a renitenst.
A másik fontos probléma az informatikai munkatársak munkájának szabályozatlansága. Melyek a mentési rendszerrel szemben támasztott követelmények? Jó a vírusvédelem beállítása? Kell-e tartalomszűrő eszközt üzemeltetni a hálózaton, és milyen célból? Mikor vehetjük át munkatársunk gépe feletti irányítást? Ki és mikor kaphat különleges engedélyt a tűzfalon átjárásra? Ezeket a kérdéseket a hagyományos jogvédelmi eszközök rendre nyitva hagyják.
Végül nem ritkák az adatvédelmi személyiségi jogi kérdések sem? felelőssé tehető bárki is a spam-ek terjedéséért? A szervezet nevében lép-e fel munkatársa, ha cége erőforrásait használva nyilvánít véleményt az Interneten?
Visszatérve a műszaki és jogi védelem egymásra épülésének gondolatához, általánosságban megállapítható, hogy kapcsolatrendszerük kétirányú.
Egyrészt a műszaki lehetőségek alapot, keretet teremtenek a jogi szabályozáshoz. Egy eszköznyilvántartó szoftver ismeretében állapítható meg, milyen tilalmakra és engedélyekre és kötelezésekre van szükség a szoftverek jogtisztaságának biztosításához.
Másrészt a szabályozás segíthet ott, ahol a műszaki lehetőségek például túl szélesek. Egy hálózati tartalomszűrő program műszakilag egyszerre alkalmas vírusvédelemre és arra, hogy levélforgalom - megadott kulcsszavak szerinti lehallgatása megtörténjen. Mi védi meg a rendszergazdát attól, hogy például a szex szót tartalmazó levelek figyelésével vádolják? Nos az, ha egy üzemeltetési szabályzat kimondja: a tartalomszűrő eszköz kizárólag vírusvédelemre használható.
Számos példát hoztam arra, mely területeken teremthet megnyugtató helyzetet helyi, informatikai szabályzat kialakítása. A gyakorlat a szabályok tipikus területeit is körvonalazza.
Az üzemeltetési és használati szabályzatok tipikus tartalma az informatikai rendszer struktúrájának, az IT szervezet feladatainak rögzítése, fontosabb programhasználati, szoftvergazdálkodási szabályok, működtetési beállítások tömör leírása.
A biztonsági és védelmi szabályzat az informatikai biztonság nézőpontjából összegyűjtött szabályanyag. A munkaállomások fizikai védelmétől a vírusvédelmi rendszeren át a számítógép-hálózat logikai biztonságáig szabályozott körülményeket teremt. Leírja a biztonsági események kezelésének rendjét, a tiltott internetes tevékenységeket, a tűzfalbeállításokkal szemben támasztott elvárásokat. Természetesen számos olyan rendelkezésnek is a biztonsági, védelmi szabályok adnak helyt, melyek az adatvédelemmel, adatbiztonsággal kapcsolatosak.
Katasztrófa-elhárítás; üzemvitel-folyamatossági tervek meghatározzák, hogy mi a teendő, ha leállt - vagy akár megsemmisült - az informatikai rendszer. Rögzítik a fenyegetettségek tipikus eseteit, az alternatív informatikai megoldások lehetőségét, a katasztrófa-elhárítás katalogizálható adatait és végül, de nem utolsó sorban a katasztrófa-elhárítás rögzítethető rendjét, eljárását.
Tapasztalataim szerint - bár születtek mintaszabályzatok, szabványok, ajánlások - a helyi viszonyok adaptálása komoly feladatot ró az informatikusokra és jogászokra. Az viszont vitán felüli, hogy a rendezett helyzet számos veszélyt, kárt, vitát előzhet meg.
Dr. Dósa Imre
adjunktus, PPKE JÁK
dosa@jak.ppke.hu
http://www.dosa.ini.hu
[1] A számok hozzávetőleges meghatározásának több indoka is van. Egyrészt elegendő a nagyságrend érzékeltetése. Másrészt néhány elem számításba vétele vitatható. Például az iránymutatások normatartalmának kérdését az előadás nem hivatott eldönteni.
[2] Például számítástechnikai vagy informatikai eszköz, elektronikus adathordozó.
[3] 141/2002. (VI. 28.) Korm. rendelet.
[4] Az aláírás, a tanúk tanúsítási képessége személyes tulajdonság így nem tulajdonítható el.