Amikor a jog és az informatika találkozik

Kristóf Csaba
2009. október 19., 08:34
Nyomtatás
Az informatika és különösen az információbiztonság folyamatos fejlődésével a jogszabályok is nehezen tudják tartani a lépest. Ezért lényeges, hogy az IT és a jogi szakértők egymás munkájának kölcsönös segítése mellett végezzék a tevékenységüket.

Magyarországon sokszor hangzik el, hogy a különböző szakterületek megfelelő együttműködésével jobb eredményeket lehetne elérni. Igaz ez az informatika és a jog kapcsolatára is, hiszen a két terület képviselői meglehetősen ritkán találkoznak egymással, pedig nagy szükség lenne arra, hogy segíteni tudják egymás munkáját. Egyre többször fordul elő, hogy az informatikai vagy információbiztonsági tevékenységek során jogi segítségre van szükség. Mindez persze annak is köszönhető, hogy a megfelelőség mind gyakrabban hangoztatott követelménnyé válik a különböző szektorokban. A helyzet nem sokban különbözik a jogi szakértők oldalán sem, akik egyre gyakrabban szorulnak informatikai segítségre, hiszen az elektronikus ügyintézés, az elektronikus aláírás, stb. megjelenésével nekik is tartaniuk kell a lépést. A jogalkotó számára pedig lényeges lenne, hogy az IT és természetesen az információbiztonság gyors változását a lehetőségekhez képest minél gyorsabban és minél jobban tudja számításba venni. A Jogi Fórum által szervezett Internetbiztonság - Az informatikai biztonság és az adatvédelem jogi kérdései, jogászi feladatai című konferencia arra tett kísérletet, hogy a szakembereket összehozza, és a különböző álláspontok meghallgathatók legyenek.

Megfelelő jogi háttér kell
Az első előadást Török Szilárd, a Constantine Tanácsadó Kft. információbiztonsági szakértője tartotta meg, aki az elmúlt évek legkirívóbb incidenseiről számolt be. Elmondta, hogy 1993 környékén hazánkban még elsősorban a szoftverfeltörések voltak jellemzők, majd az Internet fokozatos elterjedésével megjelentek a betörési kísérletek. Az 1990-es évek végén elkezdett kialakulni egy cyber kultúra, és megszülettek az első legal hacking szolgáltatások. 2000 után pedig már a számítógépek felhasználásával elkövetett ipari kémkedések is megfigyelhetők voltak. A szakember rávilágított arra, hogy egy állandó lemaradás tapasztalható a védekezésben, amely többek között a rendszergazdák és a biztonsági osztály között meglévő - nem minden esetben felhőtlen - kapcsolatra, sok felsővezető IT-biztonsággal szemben mutatott nemtörődömségére, és az egyre kifinomultabb támadási trükkökre vezethető vissza. Ugyanakkor a belső fenyegetettségek kockázata is növekszik, ami sokszor az adatszivárgásoknak tudható be. Török Szilárd a jogászi és az IT-biztonsági szakma együttműködésében, valamint a kormányzati cselekvésben és programban, vagyis a megfelelő jogi háttér megteremtésében látja a megoldást.

Korszerű ügyfélazonosítás
Dr. Dósa Imre, az FHB Bankcsoport belső adatvédelmi felelőse és bankbiztonsági vezetője az ügyfélazonosítás problémáiról, illetve lehetséges megoldásairól beszélt a rendezvényen. Felvázolta az azonosítás módozatait, beleértve a tudás-, a birtoklás- és a tulajdonságalapú technikákat is. Külön kitért az interneten nyilvánosságra hozott adatok szerepére, amelyek például az IWIW, a Facebook, stb. rendszerein keresztül bárki számára elérhetők. A lényeg, hogy törekedni kell az erős azonosításra, amely a többcsatornás és többfaktoros hitelesítés által teremthető meg. Dr. Dósa Imre az előadásában megemlítette a federált identitásmendezsmentet is, melynek során tulajdonképpen mások által elvégzett azonosítás eredményének elfogadása történik meg. Mindez – különösen kezdetben – komoly ellenérzést váltott ki főleg a jogi szakértők körében, de napjainkban már megkerülhetetlenné vált. Elég, ha csak az OpenID-ra gondolunk, ami egy nyílt, decentralizált, ingyenes, internetes szolgáltatás, és egyben az azonosítás egy viszonylag új formája. A szakember szavaiból kiderült, hogy az identitáskezelés e formája a jogban tulajdonképpen már régóta ismert, hiszen például a vízummentesség elve is hasonlít mindehhez.

Ésszerűsítés a jogszabályokban
A harmadik előadást Jakab Péter, az MKB Bankbiztonsági Igazgatója prezentálta. A szakember elsősorban az adatvédelmi törvény és az egyéb szabályozásokkal kapcsolatos dilemmákra igyekezett rávilágítani. Mivel a pénzintézeteknél kevés olyan adat található, melyek nem szorulnak védelemre, vagy amelyek kezelését nem szabályozza valamilyen előírás, ezért a bankok esetében az adatvédelmi problémák is fokozottan jelen vannak. A legnagyobb gond talán az, hogy sok kérdőjel van azért, mert a szabályozás sok esetben nem egyértelmű vagy nem éppen ésszerű. Így aztán nehézségek adódhatnak például az új technológiák jogi szempontból történő alkalmazhatóságával, az adatok tárolásával és átadásával, a bankközi információcserével, az alkalmazottak, illetve az ügyfelek tevékenységének videókamerákkal, DLP-vel, tartalomszűrőkkel, stb. történő monitorozásával kapcsolatban. Jakab Péter szerint ezért a gyakorlat szempontjából is érdemes lenne átnézni az adatvédelmi törvényt.

Nyilvánosság az incidenskezelésben
Keleti Arthur, a KFKI IT Biztonsági stratégája és az Informatikai Biztonság Napjának (ITBN) főszervezője egy érdekes beszámolót tartott arról, hogy a nagyvilágban miként is kezelik a biztonsági eseményeket. Elmondta, hogy 2000 környékén több területen megjelent az igény a korrekt tájékoztatásra, amiből az adatvédelem sem maradt ki. Amerikában a legtöbb állam már elfogadott valamilyen törvényt a biztonsági incidensek nyilvánosságra hozatalával kapcsolatban, azonban a jogalkotási nehézségeket jól példázza, hogy még az USA-ban sem sikerült egységes szabályozást kidolgozni. Így például az állomok között eltérések mutatkoznak az incidens fogalmának meghatározásában, a kiváltó okokban, a hatókörben és az értesítések szabályaiban is. Az Európai Unióban készülőben van egy átfogó szabályozás, míg Magyarországon többek között az Adatvédelmi Biztos Hivatala foglalkozik mindezzel. A megfelelő jogszabályi háttér megteremtése a jövő szempontjából igencsak fontos lenne, hiszen egy mindenkire vonatkozó törvényi szabályozás, egy egységes jelentési forma, egy nyilvántartással foglalkozó, független központi szervezet sokat segíthetne a magyarországi incidensek kezelésében és nyilvánosságra hozatalában. Mindez hozzájárulna ahhoz, hogy a vállalatok és intézmények megerősítsék a biztonsági rendszereiket, és a felhasználóknak is nagyobb esélye lenne a kockázatok csökkentésére.

Szükségszerű szemléletváltás
A Jogi Fórum konferenciájának záróelőadását Mamuzsics Gábor igazságügyi informatikai szakértő prezentálta, aki arról beszélt, hogy az információ gazdaságban betöltött szerepe folyamatosan növekszik, amit egy szemléletváltásnak kellene követnie. Ez azonban hazánkban még nem igazán valósult meg, amit mi sem mutat jobban, mint hogy a magyar emberek több mint 60 százaléka egyáltalán nem aggódik az adatai biztonsága miatt. Mamuzsics Gábor felhívta a figyelmet a szabályozás, és annak műszaki támogatással történő megvalósításának fontosságára, valamint a legfontosabb célokra. Ezek közé tartozik az incidensek megelőzése és megakadályozása, a hatékony beavatkozás valamint az okozó (elkövető) egyértelmű azonosítása is. A szakértő rávilágított a látható és láthatatlan visszaélések veszélyeire, majd kifejtette, hogy az elkövetők motiváltságának alapját elsősorban az anyagi haszonszerzés adja, de természetesen felmerül a hátrányokozás és a jogtalan előnyszerzés is.

A Jogi Fórum rendezvényén is bebizonyosodott, hogy nagyobb fokú együttműködésre lenne szükség az informatika és a jog között. Ez az esemény is igazolta, hogy a két terület szakemberei számítanak egymás szakértelmére, és bizony tudnak ésszerű, gyakorlati szempontból is nagyon hasznos javaslatokat, felvetéseket tenni, amikből nemcsak ők, hanem az egész ország profitálhat.

Címkék:
Nyomtatás
Kapcsolódó hírek
ESET Online Vírusirtó
Céginfó hírek (x)