A szülői tudatosság megteremtése a közigazgatási információbiztonsági képzések segítségével Dr. Krasznay Csaba – Som Zoltán Nemzeti Közszolgálati Egyetem
Absztrakt A Nemzeti Közszolgálati Egyetem az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvényben (Ibtv.)1 meghatározott feladatát teljesítve 2014. tavaszi félévben indította el az Elektronikus Információbiztonsági Vezető (EIV) szakirányú továbbképzését.2 A továbbképzés külön foglalkozik a munkahelyi biztonsági képzések szervezésével, mely kivételes lehetőséget jelent a dolgozók, mint szülők megszólítására, annak bemutatására, hogy gyermekeik milyen módon használják az Internetet. Jelenleg a harmadik évfolyam vesz részt a képzésen, így lehetőség nyílt összegezni az eddigi tapasztalatokat és javaslatot tenni a képzés továbbfejlesztésére. Kulcsszavak: Információbiztonság a közigazgatásban, Információbiztonsági Vezető, EIV, fejlesztési lehetőségek, Nemzeti Közszolgálati Egyetem (NKE)
Abstract National University of Public Service started its Electronic Information Security Officer professional education in Spring of 2014 as was ordered in the Act L. of 2013 on the electronic information security of state and municipal organizations. One of the modules is dealing with the foundation of security awareness trainings at workplaces. These trainings give a great opportunity to address employees who are parents as well and inform them about the internet usage habits of their children. Currently, the third class is attending the course, therefore we have the opportunity to summarize the experiences and take recommendations for the development.
Bevezetés 2013. évi L. törvény az állami és önkormányzati szervek elektronikus információbiztonságáról (Ibtv.) Elindult az Elektronikus információbiztonsági vezető szakirányú továbbképzési szak, http.//vtki.uni‐ nke.hu/szakiranyu‐tovabbkepzes/szakiranyu‐tovabbkepzesi‐szakok/elektronikus‐informaciobiztonsagi‐vezeto‐ szakiranyu‐tovabbkepzesi‐szak. Letöltve: 2015. 11. 12. 1 2
Az információbiztonsági vezető a nemzetközi gyakorlatban egy szervezet kiemelt szereplője, nem egyszer közvetlenül a legfelső vezető alá rendelt személy. Szerepkörének fontosságát jelzi, hogy nem egyszer döntő szava van az olyan beszerzések, fejlesztések esetén, melyek érintik a szervezet által kezelt információkat. Az információ ugyanis a történelem során sosem volt annyira könnyen létrehozható és elérhető, mint napjainkban. Ez elsősorban a digitális forradalomnak, az informatika, az információs elektronikus rendszerek, totális elterjedésének köszönhető. Mint pedig azt a közkeletű bölcsesség is jelzi, az információ hatalom, ezt a hatalmas mennyiségű digitális információt pedig tömegesen próbálják arra nem jogosult személyek, szerveződések vagy éppen államok megszerezni. Ennek az információszerzésnek pedig egyik elsődleges célpontja a közigazgatás, így nem mindegy, milyen képességű, képzettségű információbiztonsági vezetők állnak a köz szolgálatában. A magyar Országgyűlés, felismerve a nemzetünk biztonságára is veszélyt jelentő kibertámadások3 fontosságát, megalkotta az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvényt (továbbiakban Ibtv.), melyben többek között elrendelte a közigazgatásban olyan személyek kijelölését, akik egy személyben felelősek az elektronikus információs rendszerek védelméért. A jogszabály 23. § c) szerint “A Nemzeti Közszolgálati Egyetem a képzési tevékenység ellátásával összefüggésben (…) gondoskodik a vezetők, az elektronikus információs rendszer biztonságáért felelős személyek és az általuk irányított szervezeti egységek munkatársai képzéséről és éves továbbképzéséről…”. Ennek a kötelezettségnek eleget téve a Nemzeti Közszolgálati Egyetem (továbbiakban NKE) 2014ben elindította az Elektronikus Információbiztonsági Vezető (továbbiakban EIV) szakirányú továbbképzését, mely jelenleg a harmadik évfolyamánál tart. Ugyanezen jogszabály 11. § (1) g) szerint a szervezet vezetője „gondoskodik az elektronikus információs rendszerek védelmi feladatainak és felelősségi köreinek oktatásáról, saját maga és a szervezet munkatársai információbiztonsági ismereteinek szinten tartásáról.” Ennek gyakorlati megvalósítása is az EIV feladata. Az Ibtv. ezen előírása viszont kiváló alkalmat tekint arra, hogy a közigazgatásban dolgozók tömegei ismerjék meg az internet jelentette veszélyeket, ezen belül is a gyermekeket érintő kihívásokat. Mivel az NKE több oktatója is aktív résztvevője a Nemzetközi Gyermekmentő Szolgálat Biztonságosabb Internet Programjának, akik elkötelezettek abban, hogy az EIVken keresztül az online gyermekvédelem fontosságát minél szélesebb körben megismerjék, a szakirányú továbbképzés vonatkozó modulja tartalmazza ezt a témát is. Jelen tanulmányban be kívánjuk mutatni, hogy milyen sikereket értünk el az EIV képzésen keresztül, illetve milyen nehézségekkel szembesültünk.
Kutatási módszertan és tapasztalatok A képzés elindítása során az NKE számos kihívással szembesült. Ezek közé tartozott például a törvény hatálybalépése után rendelkezésre álló szűkös határidő a képzés elindítására, az érintett személyek és szervezetek tájékoztatásának nehézsége, a jelentkezők új munkakörbe való beilleszkedése, stb. Mindezek ellenére az első évfolyam 33 fővel elindult, a tanulmány írásának időpontjában pedig már több, mint 100 szakember vesz, vett részt a képzésben. Közülük 53 fő töltött ki olyan kérdőívet, mely segítséget nyújt a képzés értékelésében és
Hadarics Kálmán ‐ Leitold Ferenc, Detecting suspicious network activities and security related events with open‐source software, Central and Eastern European eGov Days 2015, p.:315‐324 3
későbbi javításában. Jelen cikk elsősorban ezekre a kérdőívekre, illetve a személyes megfigyelésekre támaszkodva fogalmaz meg megállapításokat. A kutatási módszertan kialakításánál a mérhetőségre koncentráltunk. Áttekintettük és különböző csoportokba rendeztük a kapott, kiértékelésre szánt információkat. A beiskolázott hallgatók nagyon vegyes bemeneti tulajdonságokkal rendelkeztek, minden fontosabb paraméter esetében jelentős szórást tapasztaltunk. Az első évfolyam esetén 35 és 61 év között mozgott az életkor, az átlag 44,7 év volt. A második évfolyam esetében jelentősen fiatalabb jelentkezőkkel találkoztunk, az átlagéletkor 39,8 év volt, 29 és 55 év közötti hallgatókkal. A képzés során a hallgatók eltérő előképzettsége is komoly kihívást jelentett, hiszen egyrészt nagyon különböző bázisról kellett felépíteni az egységes alaptudást, másrészt az első évfolyam magasabb átlagéletkora miatt a bázistudás is avultabb volt, mint a második évfolyam esetén. Ezen eredmények ismeretében javaslatot tettünk a képzés olyan átalakítására, mely figyelembe veszi az alapképzettségeket és a hiányzó alapszintű szakmai ismereteket különkülön oktatva teremti meg a képzéshez szükséges bázisismereteket. Példa lehet erre az online gyermekvédelem is, mely – már csak a beiskolázottat korfája miatt is – kevéssé ismert terület. A hallgatók visszajelzései alapján pedig technikai jellegű képzésekre is igény lenne. Ez nagyban támogatná az oktatott ellenintézkedések, megelőzést segítő intézkedések okainak jobb megértését. Számos tekintetben ez gazdasági, nemzetbiztonsági érdek is, hogy egyes szervezetek képesek legyenek a naprakészség fenntartására az információ rendszerek és azokkal elkövetett visszaélések ellenintézkedések tekintetében, de fontos lenne a szülők számára tartott oktatások esetében is, hiszen ilyenkor óhatatlanul előkerülnek a végfelhasználói szintű műszaki kérdések is.4 További érdekességet rejt magában a hallgatók lakóhelyének vizsgálata. Annak ellenére, hogy a jogszabály mind az állami, mind az önkormányzati szervezetek esetében kötelezővé teszi az információbiztonságért felelős személyek beiskolázását, így homogén területi eloszlásra számítottunk, amely azonban megdőlt: az első két évfolyamon 249, illetve 219 volt a Pest megyéből érkezők javára, azok aránya. Ebből arra lehet következtetni, hogy az Ibtv. ismerete, illetve az abban foglalt feladatok elsősorban a központi közigazgatási szervek számára fontosak, a vidéki hivatalok és önkormányzatok esetében még nem érték el az információbiztonsággal kapcsolatos kihívások a kellő tudatossági vagy kapacitásbeli, fontossági szintet. Ezek a szervezetek feltehetően kihasználják a törvény által engedélyezett 5 éves türelmi időt, ami viszont az NKE számára jelenthet majd a későbbiekben komoly feladatot, hiszen várhatóan a mostani néhány tucat hallgató után a végső határidő közeledtével több száz hallgató kíván majd jelentkezni. Az elmúlt évek kutatásai pedig rávilágítottak, hogy egy, a valóságosnál jóval magasabb, képzelt biztonsági szint jellemző a szervezetekre. 5 Rossz hír viszont, hogy jelenleg kevés vidéki munkahelyre juttatható el az EIVken keresztül az online gyermekvédelemmel kapcsolatos ajánlások sora. Kutatásunk során megvizsgáltuk a hallgatók (szakmai) szóhasználatát is, azaz elemeztük azokat a szavakat, szóösszetételeket, melyeket a kérdőívben leírtak. A szóhasználat, amely meghatározza a gondolati kereteket is, kiemelten fontos a vezetők tekintetében, hiszen feladatuk végrehajtása során a felsővezetővel és az egész munkaszervezettel kommunikálnak. A kérdőívet a hallgatók a képzés során többször is kitöltötték, így megfigyelhető volt, hogy a Lente Csaba, ITBN, http://miszk.hu/hir/merlegen‐az‐informatikai‐biztonsag.html, Letöltve: 2015. 11. 12. Illésy Miklós‐ Nemeslaki András – Som Zoltán: Elektronikus információbiztonság‐tudatosság a magyar közigazgatásban. Információs Társadalom 2014. (XIV.)/1., 52‐73. o 4 5
szóhasználat fokozatosan egyre pozitívabb képet mutatott, érezhető volt a gondolati keret megváltozása. „Senkit sem lehet meggyőzni, csupán olyan új ismeretek bemutatása lehetséges, amelyekből az egyén másik, jobb döntést hoz.” 6 Ez különösen a szakirányú továbbképzés végén leadott szakdolgozatokban érhető tetten, ezek szóelemzése megmutatta a jogi, informatikai, technikai, szabályozási és információbiztonsági ismeretek jelentős bővülését. Egyes szakdolgozatokban a szervezeti információbiztonsági fejlesztésekre részletesen, megfelelő szakmaisággal kidolgozott javaslatok olvashatóak. A végzett szakemberek képesek túllépni a szabályozás jelentette lehetőségeken, fel tudják ismerni a példával és munkaszervezeti kultúra fejlesztésével elérhető lehetőségeket és eredményeket képesek célba venni.7,8, 9 A szabályozás alkalmazása a szerteágazó szaktudáson kívül a szervezeti igények pontos ismeretét is feltételezi, elősegítve akár a jól célzott dolgozói tudatossági oktatásokat is. 10 A kutatás egyik kérdéscsoportjának kiemelt fókuszterülete példaképpen az volt, hogy a képzés során hogyan változott a résztvevők tudástérképe, helyzetértékelése. A kérdés így hangzott: „Milyen mértékben változtak az információbiztonsággal kapcsolatos ismeretei a képzés kezdete óta? Kérem, jelölje megy 1től 7ig terjedő skálán, ahol a 7es legnagyobb mértékben!” (2. évfolyam, 1. félév közepe). A válaszok átlaga két tizedesjegyre kerekítve: 4,46. Eszerint már negyedév alatt jelentősnek értékelték a résztvevők a megszerzett ismereteket. Ugyanerre a kérdésre az 1. évfolyam 2. félévében 5,21 volt a hallgatók értékelése. Egy másik kérdéscsoport a képzéssel, munkaszervezettel kapcsolatos attitűdre kereste választ. A „Mi alapján választották ki Önt erre a pozícióra?” – kérdésre az EIV 1. és 2. évfolyamán kapott válaszok jelentősen eltérnek. A szabadszavas válaszokat is figyelembe véve megállapítható, hogy a 2. évfolyam esetében sokkal nagyobb arányban voltak olyanok, akik választották a képzést, nem pedig szervezetük kötelezően delegálta őket. Vizsgáltuk továbbá azt is, hogy a képzésben részt vevők milyen régóta dolgoznak az őket delegáló szervezetben. Az eredmények alapján a csoport több mint harmada kettő vagy annál kevesebb éve dolgozik jelenlegi munkahelyén, ugyanakkor megjelenik egy vélhetően jelentős szervezeti tapasztalattal rendelkező csoport is. Ez utóbbiak beágyazottsága, feltehetően nagyobb elfogadottsága jelentősen növelheti az információbiztonság befogadását a munkakörnyezetükben.
Krasznay‐Som, A szülői tudatosság megteremtése a közigazgatási információbiztonsági képzések segítségével, VIII. Nemzetközi Médiakonferencia 7 Susan M. Weinschenk, A meggyőzés tudomány, HVG könyvek, 2015, p.:300 8 Tipton, Harold F., Micki Krause. "Chapter 46 ‐ Beyond Information Security Awareness Training—It Is Time To Change the Culture". Information Security Management Handbook, Sixth Edition, Volume 1. Auerbach Publications, 2007 9 Som Zoltán, Az információbiztonság oktatási kérdései: igények és lehetőségek, NKE KDI Kutatási Fórum, 2014. 10 Szádeczky Tamás, az IT biztonság szabályozásának konfliktusa, Infokommunikáció és jog 2013.3 6
A válaszadók által megadott egyes értékek
Hány éve dolgozik a jelenlegi munkahelyén?
Hány éve dolgozik a jelenlegi munkahelyén? (évekre konvertálva)
0
2
4
6
8
10
12
14
16
18
A megadott értékek években az X tengelyen ábrázolva
Javaslatok a képzés javítására Földrajzi decentralizáció Általános tapasztalat, hogy a vidékről érkező hallgatók utazási, szállással kapcsolatos és egyéb adminisztratív feladatait a delegáló szervezet nem, vagy kevéssé támogatja, ez pedig jelentősen hat a képzésen résztvevők moráljára. Ha ehhez hozzávesszük azt is, hogy a vonatkozó szakmai rendezvények is kizárólag Budapestre koncentrálnak, a vidéki hallgatók képzésen való részvétele és szakmai karrierjük további fejlesztése roppant nehézzé válik. Figyelembe véve a türelmi idő lejáratát és azt, hogy a képzés kidolgozásában egyébként is részt vettek vidéki egyetemek, megfontolandó az NKE telephelyein kívüli képzések elindítása is. A hallgatók idejének jelentős részét a felkészülés, a tantárgyak beadandó dolgozatainak elkészítése és a gyakorlás teszi ki. Gyakori azonban, hogy korábbi munkatapasztalatuk alapján a hallgatók úgy gondolják, hogy egyegy kérdésben otthonosan mozognak, így a tanórán kívüli feladatokat nem veszik komolyan, holott a tudásanyag a képzésen jelentősen más, mint amihez hozzászoktak, köszönhetően a jogi és műszaki változásoknak. A tudás gyors avulása hatványozottan igaz a képzésből való kikerülésük után. Ezt hivatott ellentételezni az Ibtv.ben előírt továbbképzési követelmény, de a tapasztalatok alapján a rendelkezésre álló elearning keretrendszer mellett a személyes találkozások is elősegítenék a tudás frissen tartását. A személyes kapcsolattartás hatékonyan képes támogatni a best practice,
jó gyakorlatok megosztását és elterjedését is, beleértve ebbe a gyermekek online jelenlétével kapcsolatos friss tapasztalatok megosztását is. Javasoljuk ezek alapján egy olyan szakkollégiumi vagy egyesületi rendszer kialakítását, mely lehetővé teszi a végzett EIVk személyes szakmai tapasztalatcseréjét, lehetőleg vidéki bázisokkal is! Bár a közösségi média erre kiváló platformot teremthet, a megosztani kívánt információk érzékenysége és helyes értelmezése miatt mégis inkább valamilyen személyes megjelenést igénylő forma a kívánatos. A tudás karbantartása mellett néhány járulékos haszonnal is járna egy ilyen szerveződés:
A szakmai kollégium rangja és szakmaisága lehetőséget teremtene arra, hogy egyes esetekben széles körű szakmai állásfoglalások jöjjenek létre, segítve ezzel az Ibtv. gyakorlatának egységes kialakítását. A rendszeres találkozók lehetőséget biztosítanának sikertörténetek ismertetésére, ötletek és javaslatok megvitatására, informális eszmecserére. A még nem végzett hallgatók számára is lehetőség adódna, már a képzés során szakmai információk, gyakorlati tapasztalatok megszerzésére, támogatva ezzel a jó gyakorlatok napi rutinná alakítását. Különösen fontos lenne a munkaszervezetekben bevált kommunikációs gyakorlatok és tudatossági oktatások egymással való megosztása. A szakmai kollégium az Ibtvben érintett szervezetek közötti formális és informális eszmecserét képes lenne támogatni, a gyorsabb reagálás lehetőségét teremtené meg a szakterületen.
Egy ilyen szerveződés létrehozása akár támogatható is, de ideális esetben az érintett személyek önszerveződésének keretében jön létre. A képzésért felelős NKE számára, ez a fórum kiváló lehetőséget teremtene a tanfolyam minőségét javító visszacsatolások összegyűjtésére, illetve az információbiztonsággal kapcsolatos kutatások lefolytatására. Ezek között kiemelt téma lehet a gyermekek internethasználati szokásainak feltérképezése is szülői szemszögből. Fontosnak tartjuk azt is, hogy a képzés látszólagos zártsága megszűnjön. Ez lehetőséget teremtene arra, hogy az EIVk szakmai közösségébe a közszolgálaton kívüli szakemberek is bekerüljenek, így más típusú, más szervezetekre jellemző jógyakorlatokat is megismerjenek az információbiztonsági vezetők. Ugyan jelenleg is több olyan szervezet működik, mely ernyője alá gyűjthetné a témával foglalkozó szakembereket, ezek mind Budapest központtal működnek, így a vidéki érintettek könnyen kimaradhatnak ezekből a szerveződésekből. Logisztikai, anyagi, időbeli nehézségek merülnek fel a szakmai közösségekbe, eseményekbe való bekapcsolódás során.
Technikai, támogatási feltételek javítása A tantárgyi felosztás és az oktatott területek vonatkozásában a hallgatók még több gyakorlatorientált képzést szeretnének kapni. Jelenleg azonban ehhez nem áll rendelkezésre a megfelelő infrastruktúra. Az NKE fejlesztési terveivel összhangban szükséges lenne olyan kiberbiztonsággal foglalkozó laboratóriumi háttér kialakítása, mely a reguláris katonai, rendészeti és közszolgálati oktatási igények mellett az EIV képzést is kiszolgálja. Mivel az Ibtv. már idézett részének d) pontja szerint az NKE “közreműködik az információbiztonsági, kibervédelmi, létfontosságú információs rendszer védelmi gyakorlatokon”, az EIV képzésben
résztvevő hallgatók és a reguláris képzésben bevont diákok képzési érdekei jól összehangolhatók. A kiberbiztonsági gyakorlatokban nélkülözhetetlen a kommunikációs képességek fejlesztése, ezen a területen az EIV hallgatók jelentős hiányosságokkal küzdenek, legyen szó akár a kiberbiztonsággal foglalkozó hatóságokkal való párbeszédről, akár a szervezeten belüli diskurzusokról. Az EIV képzést tehát érdemes lenne valamilyen kommunikációs tréninggel is kiegészíteni! Hiányoznak továbbá azok a segédanyagok is, melyeket a végzett hallgatók könnyen alkalmazhatnak mindennapi munkájuk során. Bár a képzés jegyzetei sokban segítik a munkát, hasznos lenne egy, a Nemzeti Kibervédelmi Intézettel közösen elkészített “kisokos” elkészítése, mely egy félegy éves “információbiztonsági menetrendet” tartalmaz.11 Ebben akár előre kidolgozott sablonokat is el lehet helyezni, melyek némi testreszabás után el tudják indítani az információbiztonság folyamatát a szervezeten belül.
Összegzés és javaslatok A változások törvényszerűen ellenállást szülnek. Nem lehet ez másképp az elektronikus információvédelem területén sem. Tekintettel arra, hogy milyen közvetlen és közvetett előnyök származnak a megfelelő közigazgatási kibervédelem felépítéséből, ezt az ellenállást mindenképpen megfelelően kell kezelni. Tanulmányunkban bemutattuk, mennyire fontos az információbiztonságért felelős személyek képzése és szakmai pályájuk után követése, ezen belül is mennyire fontos szerepük lehet az online gyermekvédelemmel kapcsolatos ismeretek szétosztásában. Ha ezeket sikeresen megvalósítjuk, már “csak” meg kell teremteni a változásra való hajlandóság kultúráját a közigazgatás szervezeteinél. Talán a legfontosabb elem ebben a megfelelő kommunikációra való képesség. A megfelelően átadott és értelmezett információ hatalmas segítség lehet abban, hogy a szülők is felismerjék, milyen kockázatot jelent gyermekeik online jelenléte.
Megalakul a Nemzeti Kibervédelmi Intézet, http://www.kormany.hu/hu/belugyminiszterium/rendeszeti‐ allamtitkarsag/hirek/megalakul‐a‐nemzeti‐kibervedelmi‐intezet, Letöltve: 2015.11.01 11