Az EU minden évben megrendezi a kiberbiztonsági hónapot. A mai interjúban elmagyarázzuk, mi ennek a rendezvénynek a célja.

interjú

A kiberbiztonság hónapjáról beszélünk Ing. Henrich Slezák a CSIRT.SK-tól

Elmondhatja, mi az a CyberSecMonth?

Az Európai Kiberbiztonsági Hónap (ECSM) az Európai Unió kampánya a kiberbiztonság előmozdítására az uniós polgárok körében. Az információbiztonság, az oktatás, a bevált gyakorlatok megosztása és versenyek előmozdításával igyekszik megváltoztatni a biztonsági fenyegetések megítélését. A CSIRT.SK előadásokon és a rosszindulatú kódok elemzésével foglalkozó versenyen is részt vett ebben a tevékenységben. További információ megtalálható a http://www.csirt.gov.sk/aktualne-7d7.html?id=116 sajtóközleményünkben vagy közvetlenül az ECSM webhelyén: https://cybersecuritymonth.eu/

A CyberSecMonth egyik deklarált célja az, hogy idézi "az információbiztonság és a hálózatbiztonság (NIS) tudatosítását, amint azt a javasolt NIS-irányelv előírja". A NIS-irányelv az EU első jogalkotási aktusa a kiberbiztonságról. Amit ez az irányelv tartalmaz és szabályoz?

Ezen irányelv célja magas szintű hálózati és információbiztonság biztosítása Európában. A célkitűzés elérésének eszköze a tagállamokkal szemben támasztott követelményrendszer, amely magában foglalja különösen a felkészültség és együttműködés javítását, valamint a biztonsági kockázatok kezelése és a súlyos események bejelentése az illetékes nemzeti hatóságok számára lépéseket. A tagállamoknak meg kell jelölniük az alapvető szolgáltatókat, nemzeti NIS-stratégiát kell elfogadniuk, ki kell jelölniük egy vagy több illetékes nemzeti hatóságot és egyetlen kapcsolattartó pontot a NIS biztonsága érdekében, ki kell jelölniük egy vagy több CSIRT-t, és biztosítaniuk kell nemzeti szintű együttműködésüket. Az irányelv foglalkozik a tagállamok közötti együttműködéssel az Együttműködési Csoporton és a CSIRT-hálózatokon keresztül is. Az irányelv biztonsági követelményeket és események jelentési kötelezettségeket ír elő az alapszolgáltatókra és a digitális szolgáltatókra.

Ki az alapszolgáltató és ki a digitális szolgáltató? Mondhat példát egy olyan eseményről, amelyről kötelező jelentést tenni?

Az alap- és a digitális szolgáltatások üzemeltetői a legjobb tudásunk szerint még nem kerültek azonosításra, az azonosításra a készülő kiberbiztonsági törvénynek megfelelően kerül sor.

A jelenteni kívánt eseményekről az Art. A NIS-irányelv 6. cikke. Ilyen eseményre példa lehet pl. behatolás egy információs rendszerbe, érzékeny információk vagy DDoS kiszivárogtatása az alapvető vagy digitális szolgáltatások szolgáltatóinak.

Véleménye szerint szükség van-e ilyen jogszabályokra? Mi hiányzik benne leginkább, vagy ami a legvitatottabb?

A CSIRT.SK véleménye szerint ilyen jogszabályokra van szükség, a szlovákiai biztonsági közösségben hiányzik az információt szabályozó jogszabályok, ill. kiberbiztonság. A NIS-irányelv nem írja elő a tagállamoknak a végrehajtás pontos formáját és módját, hanem meghatározza a biztonsági követelmények kereteit és alapszintjét, amelyeket a tagállam ezután integrál a jogszabályi környezetébe, és alkalmazkodik saját igényeihez. A biztonság szintje, amelyet egy tagállam a jogszabályaiban meghatároz, magasabb lehet, mint amelyet a NIS-irányelv előír.

Az EU-nak aktívabbnak kellene lennie ezen a területen? Szerinted mi az állam vagy az EU optimális szerepe a kiberbiztonság terén?