Gábor Dénes Fıiskola
Adatvéd(elem)
0123/2004
Fehér István
Székesfehérvár 2007
Tartalomjegyzék
Elıszó
1
1. fejezet: Adatvédelem
4
1.1. Adatvédelemmel kapcsolatos fogalmak
4
1.2. Az adatvédelem törvényi szabályozása
7
1.2.1. Az Európai Unió adatvédelmi szabályozása
9
1.2.2. Adatvédelem Magyarországon
12
1.2.2.1.Az Adatvédelmi törvény célja és alkalmazásának területei, hatálya12 1.2.2.2. A kapcsolódó fogalmak meghatározása
12
1.2.2.3. Az adatkezelés területei és célja
14
1.2.2.4. Az érintett személy jogai és érvényesítésük
15
1.2.2.5. Független ellenırzı hatóság mőködése
15
1.2.2.6. Az adatok biztonságának legfontosabb követelményei
15
1.2.2.7. A nemzetközi adatkezelés körülményei
15
1.2.3. Az adatvédelemhez kapcsolódó egyéb törvények, rendelkezések 1.2.3.1.1995. évi LXV. Törvény az államtitokról és a szolgálati titokról
16 16
1.2.3.2. 2003. évi LIII. Törvény az államtitokról és a szolgálati titokról szóló 1995. évi LXV. Törvény módosításáról
17
1.2.3.3. 1998. évi LXXXV. Törvény a Nemzeti Biztonsági Felügyeletrıl
18
1.2.3.4. 1995. évi CXXV. Törvény a nemzetbiztonsági szolgálatokról
18
1.2.3.5. 2001. évi XXXV. Törvény az elektronikus aláírásról
20
1.2.3.6. 1978. évi IV. törvény a Büntetı Törvénykönyvrıl
20
1.2.3.7. 3/2004. (II. 17.) HM (Honvédelmi Minisztérium) rendelet a fontos és bizalmas munkakörökrıl, valamint a biztonsági ellenırzések szintjérıl
21
1.2.3.8. 79/1995. (VI. 30) Kormányrendelet a minısített adat kezelésének rendjérıl,
21
1.2.3.9. 179/2003. (XI. 5.) Kormányrendelet a nemzetközi szerzıdés alapján átvett, vagy nemzetközi kötelezettségvállalás alapján készült minısített adat védelmének eljárási szabályairól
21
1.2.3.10. 180/2003. (XI. 5.) Kormányrendelet a Nemzeti Biztonsági Felügyelet részletes feladatairól és mőködési rendjérıl, valamint az iparbiztonsági ellenırzések részletes szabályairól 21 1.2.3.11. 43/1994. (III. 29.) Kormány Rendelet a rejtjeltevékenységrıl
22
1.2.3.12. 2003. évi C. törvény Az elektronikus hírközlésrıl (Eht.)
22
1.2.3.12.1. Általános észrevételek a 2003. C. törvény tervezett módosításával kapcsolatban
24
1.2.3.12.2. Részletes észrevételek a 2003. évi C. törvény módosításával kapcsolatban
25
1.3. A magánéletet veszélyeztetı „hivatalos kíváncsiság” külföldi országokban 36 1.3.1. Megfigyelés minden frekvencián
37
1.3.2. Lehallgatni és megérteni
38
2. fejezet: Az adatvédelem I. eleme: az ellenırzött nyílt forráskódú szoftverek
39
2.1. Történeti áttekintés
39
2.2. Mi is az a forrás, vagy forráskód?
42
2.3. Néhány praktikus elv -A demokratikus állam kötelezettségei
44
2.4. Számítógépes biztonság
45
2.5. Pontatlanságok a szabad (nyílt forráskódú) szoftverekkel kapcsolatban
48
3. fejezet: Az adatvédelem II. eleme: Kriptográfia, biztonságos kommunikáció a hálózatokon
49
3.1. Bevezetés a titkosításba
49
3.2. Mi is a titkosítás?
49
3.3. Szimmetrikus Titkosító Eljárás DES (Data Encryption Standard)
50
3.3.1. A Data Encryption Standard (DES) 3.4. Nyilvános kulcsú titkosítás 3.4.1. RSA – nyilvános kulcsú titkosítás
51 51 53
3.5. Digitális aláírás, nyilvános kulcsú architektúra– PKI
55
3.5.1. A digitális aláírás Magyarországon
57
3.6. Szteganográfia (nagyon rejtett jelek) 3.6.1. A szteganográfia számítógépes alkalmazásának lehetıségei
58 59
4. fejezet: Az adatvédelem III. eleme: az eszköz, avagy a kommunikáció
61
4.1. Az elektronikus adatfeldolgozás alapvetı kockázatai
61
4.2. Az internetes csatlakozás veszélyei
62
4.3. A vállalaton belüli intranetek veszélyei
62
4.4. Hálózatok lehallgatása
63
4.5. Kisugárzás biztonság (Emission Security Emsec)
65
4.6. A vezeték nélküli (WiFi) hálózatokhoz kapcsolódó biztonsági problémák és megoldások
68
4.6.1. WEP
68
4.6.2. 802.11i
68
4.7. Adatkapcsolati protokollok 4.7.1. CRC – Cyclic Redundancy Check 4.8. Az infokommunikációs rendszerek támadása 5. fejezet: Az adatvédelem IV. Eleme: az objektum
70 74 75 80
5.1. Terror-támadások végrehajtása az információs rendszereken keresztül
80
5.2. Számítóközpontok fizikai védelmének jelentısége
84
6.fejezet: Az adatvédelem V. eleme: az ember 6.1. Személyazonosítási alapmódszerek
86 86
6.1.1. Jelszó, avagy tudás alapú azonosítás
87
6.1.2. Kulcs, avagy birtok alapú azonosítás
88
6.1.3. Biometrikus azonosítás
89
6.2. Az azonosítás megbízhatóságának mérıszámai
91
6.3. A biometrikus azonosítás alkalmazási területei
92
6.4. High-end vagy low-end alkalmazások
92
6.5. Aktív vagy passzív személyazonosítás
92
6.6. Tömeges vagy individuális személyazonosítás
93
Irodalomjegyzék
94
Ábrajegyzék
1.1 ábra: Adat, információ, ismeret
4. oldal
1.2 ábra: Adatvédelem, biztonság, informatika
7. oldal
1.3 ábra: Adatvédelmi szabályozás rendszere
8. oldal
3.1 ábra: A PKI infrastruktúra elemei
56. oldal
3.2 ábra: A PKI infrastruktúra alapelvei
57. oldal
4.1 ábra: Információk a rétegben
70. oldal
4.2 ábra: Keretezés nem használt állapottal
73. oldal
Adatvéd(elem)
1
Elıszó Az Információs társadalom Az információrobbanás az emberi társadalomban – akárcsak az ısrobbanás a világegyetemben – elindított egy visszafordíthatatlan folyamatot, ez az információs társadalmak kialakulása. Mivel a folyamat kezdete történelmi léptékkel mérve néhány „másodperce” zajlik (tehát kevés hiteles tapasztalattal rendelkezünk e tárgyban), és az exponenciális változások az emberek mindennapi életét nagymértékben befolyásolják, így könnyen válik ez az egész jövınket meghatározó témakör, az üzleti vállalkozások és a napi politika martalékává. Az információs társadalom nem csak azt jelenti, hogy korszerő kommunikációs technológiákat használunk, vagy beleolvadunk egy információgyőjtı hálózatba. Az információs társadalom fogalmát úgy is megközelíthetjük, hogy akármelyikünkrıl soha a történelem folyamán ennyi adatot soha nem tároltak, ezen kívül ezeket az adatokat soha nem volt ilyen könnyő megszerezni, továbbítani, nyilvánosságra hozni és társítani. Ha száz évvel ezelıtt találkoztunk valakivel mindössze annyi információnk volt róla, amennyit ı maga elmondott, esetleg amit szőkebb környezetében mások mondtak róla. Ma azonban információt győjtenek rólunk, valahányszor hitelkártyával fizetünk, belépünk egy középületbe vagy bankba, az Interneten „szörfölünk” vagy éppen egy könyvtárba iratkozunk be. Magyarországon a nyolcvanas években vezették be a személyi számot, ami – a számítógépek elterjedésével párhuzamosan – az adatkezelés megkönnyítését szolgálta az államigazgatás számára. Eltelt néhány év, és mire mindenki megtanulta a saját számát, eltörölték annak általános használatát. A legtöbben azóta sem értik, miért kellett a jól mőködı, gyors felismerést lehetıvé tevı és mindenütt használható rendszert éppen abban a pillanatban megszüntetni, amikor szinte az egész társadalom által elfogadottá vált. Pedig épp ezzel volt a baj: túl jól mőködött, túl gyors volt és mindenütt használható, így bármilyen számítógépes adatbázisból szinte azonnal visszakereshetı volt a személyi számmal jelölt emberrıl összegyőjtött összes információ. Azaz nem csak annyi, amennyire az adott esetben az ügyféllel kapcsolatban álló hivatalnak vagy szervezetnek szüksége lehetett. Az állam megvédi magától az állampolgárokat: ez az európai történelemben is új dolog. Csak a XX. Század hatvanas éveiben alkották meg az elsı adatvédelmi törvényeket a
Adatvéd(elem)
2
kontinensen, ahol fontosabbnak tartják a magánélet védelmét, mint az Egyesült Államokban, ahol az információáramlás szabadságának van elsıbbsége. Az Amerikai Egyesült Államokban nincs az európai értelemben vett adatvédelmi törvény. Az USA-ban jelenleg is folyik a vita arról, vajon megteremthetık-e a magánszféra védelmének feltételei az egyes, adatkezeléseket tömegesen végzı szervezetek (direkt marketing cégek, stb.) önszabályozásával, vagy az amerikai hagyományokhoz kevésbé illeszkedı állami beavatkozásra, törvény alkotására van szükség. A Global Watching Surveillance doktrínája alapján „Amerika” minden emberrıl mindent igyekszik tudni, rendszerezni, felderíteni, függetlenül attól, milyen ország vagy jogrend polgára, saját polgárait is beleértve. Az Egyesült Államokhoz hasonlóan Ukrajnában a Távközlési és Információs Állami Bizottság (GoszKomSzvjaz) 122. számú rendelete hatályba lépése után az Internetszolgáltatók központjait megfigyelı rendszerekkel látták el. Ezzel megkezdıdött az amerikai típusú „Nagy testvér” uralom az egykori keleti tömb országaiban is. Az ilyen és ehhez hasonló hatalmi törekvések dolgoznak leginkább ellene a valódi adatvédelmi törekvéseknek. A személyes adatok védelme emberi jog, érvényes rá az emberi jogok és az alapvetı szabadságjogok védelmére vonatkozó egyezmény 8. cikkelye. Ez megállapítja a magánélet és a családi élet tiszteletben tartásához való jogot, ami kiterjed a magán és személyes információkra és adatokra is. Számos országban az alkotmány szabályozza a személyes adatok védelmét, ilyen például az osztrák adatvédelmi törvény, amelyet 2000-ben módosítottak, hogy megfeleljen az európai adatvédelmi irányelvnek. A 20. század tudományos és technikai eredményeit túlnyomó részt a második világháború és a hidegháború inspirálta. A számítógépeket azért kellet kifejleszteni, hogy az ellenség titkosított kódjait könnyebb legyen megfejteni, vagy a munka nagy részét a számítógép végezze el. A számítógép használata világszerte elterjedt, megállíthatatlanul és elkerülhetetlenül információs társadalommá változott társadalmunk, ahol az információ nagy érték és hatalom. Tudnunk kell azt, hogy az információ megszerzése, továbbítása és felhasználása mindannyiunk személyes adatait is érintheti, illetve érinti. Az egyén és a rá vonatkozó adatok védelme általános problémát jelent. Teljesen mindegy, hogy a nemzeti törvénykezés miként rendelkezik az egyén magánéleti- és személyes adatvédelmével, az egyénre vonatkozó törvénynek globalizáltnak kell lenni, hiszen az egyén adatai megjelennek mindenhol, ahol az
Adatvéd(elem)
3
internetes szerver mőködik, különbözı fizetıhelyen, ahol bankkártyával fizet, vagy megfigyelı kamera mőködik. Az adatvédelem végcélja, az ilyen szintő adatvédelmi szabályozás kiterjesztése, globalizálása, hiszen egyre inkább a számítógépes megfigyelés korszakában élünk. Az információs társadalom legfontosabb polgári joga a magánélet és a személyes adatok védelme. Mert a jelenlegi világban az információs társadalom az egyén nyomtalanul nem mozoghat, nem létezhet. A számítógépek és a számítógépes adatok védelme egyre növekvı jelentıséggel bírnak, ennek megfelelıen egyre nagyobb érdeklıdés mutatkozik a számítógép-biztonság iránt. A védelem jelentısége lényegesen megnıtt a hálózatok megjelenésével, a védekezés összetettebbé
és
bonyolultabbá
vált,
és
a
felhasználóknak
eddig
nem
ismert
veszélyforrásokkal kell szembenézniük. Joggal érezhetik magukat fenyegetve intézmények, személyek. Digitálisan tárolt, továbbított információikat, adataikat ellophatják, torzíthatják, hálózati rendszereiket tönkretehetik. Veszélybe kerültek az Internet klasszikus értékei is. A számítógépes adatbiztonsági megoldások célja az informatikai rendszerben tárolt, feldolgozott adatok bizalmasságának, hitelességének, illetve elérhetıségének védelme azon személyek ellen, akik ezt veszélyeztetik.
Adatvéd(elem)
4 1. fejezet: Adatvédelem
1.1.
Adatvédelemmel kapcsolatos fogalmak A téma részletes tárgyalása elıtt ismerkedjünk meg a fontosabb fogalmakkal! Ahhoz,
hogy az adatok védelmérıl beszélhessünk, definiálnunk kell, hogy mi az adat. Ehhez elıször vizsgáljuk meg, hogy mit nevezünk ismeretnek, és a továbbiakban tekintsük ezt alapfogalomnak, amit a következıképpen írhatunk körül: ismeretnek nevezünk mindent, amit az életünk folyamán elsajátítunk, és céljaink eléréséhez felhasználunk. Tehát az egyes emberek tudása ismeretek összessége. Ezeket az ismereteket hordozzák az adatok. Minden adat önálló jelentéssel bír, amit információnak nevezünk, és ezekbıl az információkból építhetjük fel az ismereteket. E három fogalom és a köztük lévı kapcsolatok megértését segíti a következı (1.1) ábra.
Adat Információ
ISMERET
Adat Információ Adat
Információ
Adat Információ
ISMERET Adat
Információ
1.1. ábra: Adat, információ, ismeret Az ember alapvetı tulajdonságai közé tartozik az új információk, ezáltal az új ismeretek megszerzésére való törekvés. (Ez a tudásszomj, vagy más szemszögbıl nézve a kíváncsiság.) Az ismeretszerzés egyik lehetısége az alábbi négy lépésbıl álló folyamat: 1.
minden adatot valamilyen közeg hordoz, ezért elıször ezzel a közeggel kell kapcsolatba kerülni (észlelés),
Adatvéd(elem)
5
2.
az érzékszerveink segítségével felfogjuk az adatot (érzékelés),
3.
az adat értelmezése, az információ kinyerése és annak eltárolása (felfogás),
4.
az újonnan megszerzett és a meglévı információkból és ismeretekbıl kognitív folyamatok segítségével újabb ismeretek megszerzése (megértés). A fent említett folyamaton kívül új adatok nélkül, a meglévı ismereteink
feldolgozásával és megfelelı következtetésekkel is szert tehetünk újabb ismeretekre. Mi is az adat? A BS 7799 informatikai szabvány alapján: Az adat tények, elképzelések, utasítások formalizált ábrázolása ismertetés, feldolgozás, illetve távközlés céljára. Ez azt jelenti, hogy az adat bıvebb fogalom a személyes adatnál. Az adatok “biztonság érzékenységi” osztályozása elıtt (vagy inkább egy magasabb szinten) van egy jogi, illetve funkcionális jellegő osztályozás is. Eszerint lehetnek egyfelıl személyes adatok, másfelıl közérdekő adatok; e két nagy osztályon belül lehetnek üzleti titkok, orvosi titkok, minısített adatok (azon belül államtitkok, szolgálati titkok), belsı használatú és döntés elıkészítı adatok stb. Az adatkezelınek e kategóriák, és funkciók alapján kell meghatároznia a védelmi osztályt, illetve az adatnak a biztonság érzékenységét. Tehát az információ rendszerekben például biztonság kritikus lehet nem csak a személyes adat, hanem általában az adatok (pl. üzleti adatok), és az egyéb informatikai erıforrások is. Az erıforrások az adat, ember, technológia (hardware, netware, rendszer software), alkalmazás, kisegítı berendezések, helyiségek eszközök bármelyike. Az MSZ ISO/IEC 17799 INFORMÁCIÓTECHNIKA, Az informatikai biztonság menedzselésének rendje, tárgyú szabvány 5.2 pontja szerint: Az információkat (a BS 7799 szerint az információt konvencionálisan adatként értelmezzük), adatokat osztályozni kell biztonság érzékenységük, fontosságuk, és a szükséges védelem szerint. Ebbıl következik, hogy a védelmi intézkedések erısségét ennek megfelelıen kell meghatározni. Egy másik megközelítés alapján, ami a Magyar Értelmezı Kéziszótár 1972-es kiadásában olvasható:
Adatvéd(elem)
6
Az adat: 1. fınévként:
valakinek
vagy
valaminek
a
megismeréséhez,
jellemzéséhez
hozzásegítı (nyilvántartott) tény, részlet. 2.
Jogi értelemben: bizonyítékul felhasználható tény.
3.
Tudományos értelemben: Mőszerrıl leolvasható vagy kísérlettel megállapított számszerő tény, eredmény. Ez utóbbi megfogalmazás elsı pontjának felelnek meg az adatvédelem tárgyát képezı
személyes adatok is. Titkosszolgálati vagy rendészeti értelemben: Az adat, minden olyan tény cselekedet, tevékenység, amelynek rögzítésével az egyénrıl újabb tényeket tudhatunk meg, olyan tényt is, amelyet soha nem mondott ki, nem írt le, és amely tárolása alapvetı fontosságú ahhoz, hogy az illetı életprofilját abból létrehozhassuk. Ez tartalmazza mozgását, betegségeit, anyagi és nem anyagi erısségeit, gyengéit, szokásait stb., amelyek szükségesek annak megítéléséhez, hogy az illetı egy adott vonatkozásban számításba jöhet-e, illetve egy adott szisztéma számára jelent-e veszélyt, kockázatot. Kiterjesztett értelemben ezt nem csak a nemzetbiztonsági szolgálatok, hanem akár cégek, adóhivatal stb. is alkalmazza, használja. Magyarországon ezen adatok felhasználásának ilyen célú kiterjesztésére tett kísérletet a Gazdasági és Közlekedési Miniszter által visszavont, 2003. évi C. törvény (az elektronikus hírközlésrıl) módosításának tervezete, amelyet a késıbbiekben részletesen elemzek a szakdolgozatomban. A továbbiakban az információk - az azokat hordozó adatok - megvédésérıl, annak fontosságáról és gyakorlati módszereirıl lesz szó. Elıször az adatvédelem, azaz a téma jogi oldala, majd általánosan az adatbiztonság, végül ennek speciális területe az informatikai biztonság kerül tárgyalásra. Ezeknek a területeknek a kapcsolatát szemlélteti a következı (1.2) ábra.
Adatvéd(elem)
7
Minıségbiztosítás
Informatika
Informatikai biztonság
Védelemtudomány (hagyományos biztonság)
Jogtudomány (adatvédelem)
1.2. ábra Adatvédelem, biztonság, informatika
1.2 Az adatvédelem törvényi szabályozása Az adatvédelem egy sokféleképpen definiálható fogalom. Talán ez az oka annak, hogy téves értelmezésekbıl adódóan gyakran keverik össze a késıbb tárgyalásra kerülı adatbiztonsággal. Míg az adatbiztonság valamennyi adat különbözı negatív hatások elleni védelmét, biztosítását jelenti, addig az adatvédelem tárgyát a személyes adatok képezik. Feladata, hogy mindenki számára biztosítsa a saját adataival való szabad rendelkezést, így az adatokon keresztül az érintett személyt védi. Ezt különbözı törvények, jogszabályok és ajánlások segítségével oldja meg. A védelem akkor megfelelı, ha általa a személyes adatok a magántulajdonnal közel azonos elbírálás alá esnek, azaz mindenki szabadon választhatja meg, hogy a saját adatait mely személyeknek és szervezeteknek adja át, ezáltal lehetıvé teszi számukra azok kezelését. Valamint a jogszabályoknak biztosítani kell azt is, hogy ezek az adatkezelık a tudomásukra jutott személyes adatokat harmadik személynek nem adhatják tovább az érintett személy beleegyezése nélkül. Ezt a védelmet nem szabad egy-egy ország területére korlátozni, hanem biztosítani kell a jogszabályok folytonosságát az országhatárokon kívül is. Ehhez nemzetközi érvényő törvények és az egyes államokon belüli jogi szabályozás közel azonos szintre emelése szükséges.
Adatvéd(elem)
8
Az adatvédelmi szabályozás egymásra épülı, kölcsönhatásban lévı szintekbıl áll. Ez a szerkezet látható az 1.3. ábrán.
NEMZETKÖZI TÖRVÉNYEK, RENDELKEZÉSEK
NEMZETKÖZI IRÁNYELVEK
NEMZETKÖZI AJÁNLÁSOK
NEMZETI SZABÁLYOZÁS
INTÉZMÉNYI SZABÁLYOZÁS
1.3. ábra Adatvédelmi szabályozás rendszere
A nemzetközi törvényi szabályozás alkotja az adatvédelem legfelsı szintjét (ide tartozik például az Európa Tanács Adatvédelmi Egyezménye [EU_TS108]), mely nemzetközi törvények figyelembe vétele szükséges az egyes nemzetek adatvédelmi szabályozásának kialakításakor, hogy az országhatárokat átlépı biztonságos adatforgalom létrejöhessen. A második szint a nemzetközi szervezetek által kiadott ajánlásokból és irányelvekbıl áll. Ez egy köztes szint a nemzetközi és a nemzeti jogalkotás között. Az itt található dokumentumok nem kötelezı érvényőek az egyes országokra nézve, csak elısegítik a
Adatvéd(elem)
9
nemzetek adatvédelmének minél pontosabb összehangolását, ezek lényegében a nemzetközi jogszabályok pontosításai. Az egyes országok adatvédelme alkotja a harmadik szintet, mely törvényeket az elızı két szinttel összhangban kell kialakítani. Ellenkezı esetben az adatforgalom szempontjából egyoldalúan elszigeteltté válhat az ország, azaz a nemzetközi adattovábbítás ebbe az országba meghiúsulhat. Végül a legalsó szinten helyezkednek el az egyes adatkezelı intézményeken belül megalkotott szabályok, melyek elkészítésekor figyelembe kell venni valamennyi - a felsıbb szinteken lévı - kötelezı érvényő dokumentumot. (Általában elég ezeket a szabályokat az ország adatvédelmi törvényeihez igazítani, ha azok a nemzetközi normáknak megfelelnek.) Mint az az 1.3. ábrán is látható, a felsı három szint közötti hatások kétirányúak, azaz elıfordulhat, hogy egy-egy ország adatvédelmi szabályai alapján módosítják a nemzetközi törvényeket,
ajánlásokat
(nemzetközi
érvényővé válnak).
Természetesen
az
egyes
intézmények is megalkothatnak olyan belsı szabályokat, melyek esetén hasonló folyamat megy végbe ezen szabályok és az állami törvények között, de ez lényegesen ritkább eset, ezért ezek az irányok nem szerepelnek az ábrán. Ezek után vizsgáljuk meg részletesebben a nemzetközi (az Európai Uniós) és a hazai törvényeket, ajánlásokat illetve irányelveket. 1.2.1. Az Európai Unió adatvédelmi szabályozása Az Európai Unió alapító szerzıdése 6. cikkének (2) bekezdése kimondja, hogy „az Európai Unió tiszteletben tartja az alapvetı jogokat, mint a közösségi jog általános alapelveit, ahogyan azokat az Európai Emberi Jogi Egyezmény garantálja, és ahogyan azok a tagállamok közös alkotmányos hagyományaiból következnek”. Ebbıl következıen,
tehát az EU
alapelvként ismeri el az Európai Emberi Jogi Egyezmény 8. cikkébıl fakadóan a magánélet védelméhez való jogot. Ki kell emelni, hogy továbbra is a legfontosabb európai adatvédelmi dokumentum az Európai Tanács Adatvédelmi Egyezménye, amelyet az unió magára nézve kötelezınek fogad el, és az Acquis Communautaire (közösségi jogi vívmányok) részeként ismer el. A jövıre nézve az Európai Unió Alapjogi Kartájának 8. cikke – ezt az elvet továbbfejlesztve – már tételesen kimondja, hogy „mindenkinek joga van személyes adatainak védelméhez”. Deklarálja a célhoz kötöttség, a személyes adatokkal való önrendelkezés, az adatokhoz való hozzáférés,
és helyesbítés jogát, valamint leszögezi, hogy független
adatvédelmi ellenırzı szerv mőködtetésére van szükség. Ugyanakkor azonban az Unió
Adatvéd(elem)
10
alapvetı célja a személyek, az áruk, a szolgáltatások és a tıke szabad áramlásán alapuló egységes belsı piac létrehozása és mőködése. Ennek elérése érdekében elengedhetetlen a személyes adatok szabad áramlásának lehetıvé tétele, valamint az egyéni jogok és szabadságok azonos védelmének megteremtése. Az Adatvédelmi Egyezmény kizárólag az automatikusan kezelt adatokra vonatkozik, azaz a hatálya nem terjed ki a hagyományos adatkezelésekre, amely esetekben egyáltalán nem - vagy csak igen ritkán - fordul elı, hogy az adatok (az adathordozók) továbbítása nemzetközi mértékő, így ott elég a nemzeti szabályozás. Ugyanakkor az egyezmény ajánlásnak is tekinthetı a hagyományos adatkezelés esetében, azaz a megegyezı felek külön nyilatkozatot tehetnek arról, hogy a hagyományos módon végzett adatkezelések esetében is az egyezményben foglaltak szerint járnak el. Így elısegíthetik a nemzeti adatvédelem egységes, adatkezelési formától független megvalósítását. Az egyezmény az -emberi jogokra, az -alapvetı szabadságra, a -magánélet védelméhez való jogra valamint az -információszabadságra hivatkozva írja elı a szerzıdı feleknek az országhatáraikon belül folyó adatkezelések esetén az adatok jogszerő megszerzését, feldolgozását és megfelelı védelmét. Az adatok tárolásának és kezelésük céljának törvényesnek, valamint a tárolt adatoknak mindenkor pontosnak és naprakésznek kell lenniük. Ezeken kívül az egyezmény foglalkozik az országhatárokat átlépı adatáramlás szabályozásával, aminek az alapelve az, hogy a megegyezı felek az országaik közötti adatforgalmat semmilyen mértékben sem korlátozzák, kivéve, ha az adatokat küldı ország adatvédelmi szabályozása a célországénál - és ezáltal az egyezményben rögzítetteknél lényegesen szigorúbb, vagy fennáll a veszélye az adattovábbítás során a bizalmas adatoknak a felek területérıl való kijutásának. Fontos részét alkotja az egyezménynek a felek közötti kölcsönös segítségnyújtási megállapodás, azaz
„1. Minden egyes Fél segítséget nyújt bármely külföldi lakóhelyő adatalanynak, hogy az a jelen Egyezmény 8. cikkében foglalt alapelveket érvényesítı hazai törvényben biztosított jogokat gyakorolhassa.” (Európa Tanács Adatvédelmi Egyezménye 14. cikk) Az egyezmény elıírja egy Tanácsadó Bizottság létrehozását, hogy ezáltal is elısegítse a benne foglalt szabályok érvényesítését és esetleges tökéletesítését. Ez a bizottság nem rendelkezik ugyan döntési jogkörrel, de a felek között felmerülı vitás kérdések megoldását a
Adatvéd(elem)
11
tanácsaival és véleményével is nagymértékben segítheti, és az egyezmény módosítására is csak javaslatot tehet, miután a felek vagy a Miniszterek Bizottsága által javasolt módosítási tervet megvizsgálta. Az Adatvédelmi Egyezmény mellett az Európai Unió tagországai az Európa Tanács által kiadott Ajánlásokban és Irányelvekben határozzák meg azokat a kritériumokat, amelyeket az egyes országok adatvédelmi törvényeinek teljesíteni kell, hogy az Európai Unió területén az információk szabad áramlása minél zökkenımentesebben történhessen. (Ezen rendelkezések betartása nem kötelezı, de figyelmen kívül hagyásuk az országba történı adatáramlás gátja lehet.) Az egyes országoknak az alábbi területeken kell jogszabályokat alkotni:
a szabályozó törvény célja és alkalmazásának területei,
a szabályozó törvény hatálya,
kapcsolódó fogalmak pontos meghatározása,
az adatkezelés területei és célja,
az érintett személy jogai és érvényesítésük,
független ellenırzı hatóság mőködtetése,
az adatok biztonságának legfontosabb követelményei és
a nemzetközi adatkezelés körülményei.
Egy másik nemzetközi csoportosulás, a Gazdasági Együttmőködési és Fejlesztési Szervezet (OECD) is megalkotta a saját adatvédelmi egyezményét, de ez az Európai Tanács rendeletével ellentétben csak tanács, amely a tagokra nézve nem kötelezı érvényő, de segítséget nyújthat a saját jogszabályaik kialakításához. Ezeket a tanácsokat az OECD Irányelveinek [OECD_PP80] nevezzük. Ezek az irányelvek lényegében az Adatvédelmi Egyezményben foglaltakkal azonos rendelkezésekbıl állnak, de azzal ellentétben a hatályuk kiterjed mind a hagyományosan, mind az automatikusan végzett adatkezelésre és továbbításra. Az Európa Tanács Adatvédelmi Egyezménye az 1.3. ábrán bemutatott hierarchia legfelsı szintjén áll. A második szinten helyezkednek el az Európa Tanács Ajánlásai és az OECD Irányelvei. Az ezek alatti szinten található az egyes tagországok (köztük Magyarország) adatvédelmi szabályozása.
Adatvéd(elem)
12
1.2.2. Adatvédelem Magyarországon Az adatvédelmi szabályozás hazai történetének legjelentısebb alkotása az 1992. évi LXIII. törvény (a továbbiakban: Adatvédelmi törvény vagy Avtv.), amely 1993. május 1-jén lépett hatályba, illetve ennek a törvénynek a módosítása, a 2003. évi XLVIII. Törvény, amely 2004. január 1-jén lépett hatályba. A 2003. évi törvénymódosítás már az elıbbiekben említett Európai Adatvédelmi Egyezménnyel összhangban áll, illetve a szintén elıbb említett európai ajánlás által megszabott nyolc témakörben is megfelelı szabályozást biztosít. 1.2.2.1. Az Adatvédelmi törvény célja és alkalmazásának területei, hatálya Az adatvédelmi törvény hatálya kiterjed a hagyományos és az automatizált adatkezelésre egyaránt, célja az adatok feldolgozása és továbbítása során a megfelelı védelem garantálása a bizalmas adatok számára, valamint a közérdekő adatok megismeréséhez való jog biztosítása az állampolgároknak. Ezzel egyszersmind az Alkotmány idevágó részének pontosítása, kiterjesztése és az Európa Tanács Adatvédelmi Egyezményének megfelelı hazai szabályozás biztosítéka. A törvény teljes egységet alkot abban az értelemben, hogy a benne foglaltaktól csak abban az esetben szabad eltérni, ha arra maga a törvény ad engedélyt. Ezeket a kivételeket is csak konkrét adatfajtákra és adatkezelıre együttesen lehet megállapítani, ami meggátolja a kivételes esetek általános kezelését.
1.2.2.2. A kapcsolódó fogalmak pontos meghatározása
A törvény alkalmazásához szükséges fogalmi meghatározásokból egyértelmően következik, hogy minden, az országban zajló adatkezelés esetén alkalmazni kell a törvény rendelkezéseit. A személyes adatok védelmével kapcsolatos legfontosabb fogalmak a következık:
személyes adat: meghatározott személlyel kapcsolatba hozható adat, amelybıl az érintettre vonatkozó következtetéseket lehet levonni (egy személy akkor tekinthetı azonosíthatónak, ha ıt - közvetlenül, vagy közvetve - név, azonosító jel, illetve fizikai,
Adatvéd(elem)
13
fiziológiai, mentális, gazdasági, kulturális vagy szociális azonosságára jellemzı tényezı alapján azonosítani lehet);
különleges adat: faji eredetre, nemzeti és etnikai hovatartozásra, politikai véleményre, világnézetre, szervezeti tagságra, egészségi állapotra, kóros szenvedélyre és szexuális véleményre vonatkozó adat. Valamint ide sorolhatók még a bőnügyi személyes adatok;
bőnügyi személyes adat: bőnmegelızı és büntetés-végrehajtási intézményeknél keletkezett, bőncselekménnyel vagy büntetıeljárással összefüggésben lévı, az érintettel kapcsolatba hozható adatok;
közérdekő adat: közfeladatot ellátó szerv vagy személy kezelésében lévı adat, mely az elızı három csoport egyikébe sem sorolható;
közérdekbıl nyilvános adat: minden olyan adat, melynek nyilvánosságra hozatalát a köz érdekében - törvény rendeli el;
hozzájárulás: az érintett személy önkéntes és határozott nyilatkozata, amellyel beleegyezését adja a rá vonatkozó személyes adatok kezeléséhez;
tiltakozás: az érintett személy nyilatkozata, amelyben az adatkezelés megszüntetését, a kezelt adatok törlését kéri;
adatkezelı: adatkezelés fogalma alá tartozó tevékenységeket végzı személy (lehet természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkezı szervezet);
adatkezelés: alkalmazott eljárástól függetlenül a személyes adatokon végzett bármely mővelet, vagy mőveletek összessége, úgymint győjtés, felvétel, rögzítés, rendszerez és,
tárolás,
megváltoztatás, felhasználás,
összekapcsolás, zárolás és törlés;
(Adatkezelésnek számít a továbbítás és a nyilvánosságra hozatal is.)
adattovábbítás: meghatározott harmadik személy az adatokhoz való hozzáférésének engedélyezése;
nyilvánosságra hozatal: az adat mindenki számára hozzáférhetıvé tétele;
adattörlés: az adatok felismerhetetlenné tétele oly módon, hogy azok visszaállítása nem lehetséges;
adatzárolás: az adatok továbbításának, megismerésének, nyilvánosságra hozatalának, átalakításának,
megváltoztatásának,
megsemmisítésének,
törlésének,
összekapcsolásának és felhasználásának végleges vagy ideiglenes megakadályozása;
adatfeldolgozás: az adatkezelési mőveletekhez kapcsolódó technikai feladatok elvégzése (függetlenül az alkalmazott eszköztıl és módszertıl);
adatfeldolgozó: az adatkezelı megbízásából az adatfeldolgozást végzı személy.
Adatvéd(elem)
14
Az elsı három adatkategória (személyes adatok, különleges adatok és bőnügyi személyes adatok) közül a személyes adatok a legáltalánosabbak. A másik két csoportba tartozó adatok esetén bizonyos esetekben a törvény kivételes adatkezelést ír elı, aminek a lényege, hogy ezek az adatok csak az érintett személy írásbeli hozzájárulása mellett kezelhetık. Az adatkezelés - a fenti meghatározás szerint - az adatokra alkalmazható minden elképzelhetı mőveletet felölel, ellenkezı esetben egyes adatkezelési technikákkal lehetıség nyílna a szabályok megkerülésére.
1.2.2.3. Az adatkezelés területei és célja A törvény kimondja, hogy a személyes adatok csak az érintett beleegyezésével kezelhetık, azaz biztosítja az állampolgárok információs önrendelkezési jogát, ami az adatkezelésekkel kapcsolatos személyiségi jog összefoglalása. Ezeket a jogokat kivételes esetben törvény (pl. az adózás rendjérıl szóló 1990. évi XCI. törvény), vagy helyi önkormányzati rendelet korlátozhatja. De személyes adatok nyilvánosságra hozatalát csak törvény rendelheti el, hiszen ez az intézkedés az érintett személyiségi jogait jelentıs mértékben korlátozza. Minden kétséges esetekben úgy kell eljárni, mintha az érintett személy az adatok kezelését nem engedélyezte volna. Ellenkezı esetben a törvény megkerülhetıvé, kijátszhatóvá válna. Ez a rendelkezés is elısegíti a személyes adatok védelmének elsıbbségét a nagy adatkezelı szervezetek gazdasági és hatalmi érdekeivel szemben. Személyes adatokat csak meghatározott célból szabad kezelni, és csak a cél megvalósításához elengedhetetlenül szükséges adatok kezelése megengedett. A védelem biztosításán túl a törvény az érintettel szembeni teljes körő tájékoztatási kötelezettséget ír elı az adatkezelık számára, és a kezelt adatok minıségével szemben is támaszt követelményeket.
Adatvéd(elem)
15
1.2.2.4. Az érintett személy jogai és érvényesítésük Az információs önrendelkezési jog mellett biztosítani kell az állampolgároknak, hogy tudomást szerezhessenek arról, hogy személyes adataikat ki, hol, milyen célból kezeli, és azokhoz milyen forrásból jutott hozzá. Így minden adatkezelınek az általa kezelt adatok alanyaival szemben tájékoztatási kötelezettsége van. E tájékoztatás alapesetben az adatkezelı ingyenes szolgáltatása, ami törvény által meghatározott esetekben – megfelelıen részletes indoklás mellett - megtagadható. 1.2.2.5. Független ellenırzı hatóság mőködtetése Az adatvédelmi jogszabályok betartásának felügyeletét az adatvédelmi biztos látja el. Hasonlóan a korábban említett nemzetközi tanácsadó bizottsághoz önálló döntési jogkörrel nem rendelkezik, csak véleményt nyilvánít az egyes esetekben. E felügyelet ellátásának érdekében valamennyi az ország határain belül zajló adatkezelési eljárásba - a titkos nemzetbiztonsági adatokat kivéve - szabad betekintéssel rendelkezik. Valamennyi adatkezelı szervezet munkájának megkezdése elıtt fel kell vetetnie magát az adatvédelmi nyilvántartásba, amit az adatvédelmi biztos vezet, ezzel is elısegítve az egyes adatkezelési folyamatok ellenırzését (ez a nyilvántartás mindenki számára hozzáférhetı). Munkájában az adatvédelmi biztost az adatvédelmi iroda segíti. 1.2.2.6. Az adatok biztonságának legfontosabb követelményei Az adatvédelmi törvény elıírja, hogy a kezelt adatok biztonsága érdekében az adatkezelı köteles megtenni a szükséges technikai és szervezési intézkedéseket és kialakítani az adatkezelési eljárás törvényességét biztosító szabályokat. 1.2.2.7. A nemzetközi adatkezelés körülményei A nemzetközi adatkezelésnek illetve adattovábbításnak az számít, ha a célország nem tagja az Európai Uniónak, azaz az uniós országokba való adattovábbítás jogi értelemben nem különbözik az országhatárokon belüli adatkezelésektıl. Az adatok továbbítása kizárólag akkor engedélyezett, ha ahhoz az érintett hozzájárult (vagy törvény teszi kötelezıvé azt). Harmadik országba (amely nem tagja az Európai
Adatvéd(elem)
16
Uniónak) történı adattovábbítás feltétele még az is, hogy a célország adatkezelésére a magyarországi feltételek teljesüljenek. Tehát az adatvédelmi törvény és az Európa Tanács Adatvédelmi Egyezményének összhangja miatt az olyan országokba történı adattovábbítás, melyek az egyezményt törvénybe iktatták, minden további ellenırzés nélkül megtehetı. Más esetekben viszont az adatok továbbítása elıtt a célország adatvédelmi gyakorlatának vizsgálata szükséges, hogy az azonos védelem feltételeit ezen ország törvényes rendelkezései biztosítják-e. Ez a törvény és az egyéb adatvédelmi jogszabályok, melyek az adatkezelés speciális területeire vonatkoznak, helyezkednek el az adatvédelmi elvek hierarchiájának (1.3. ábra) harmadik szintjén. 1.2.3. Az adatvédelemhez kapcsolódó egyéb törvények, rendeletek 1.2.3.1. 1995. évi LXV. Törvény az államtitokról és a szolgálati titokról
A törvény az információk védelmével foglalkozók számára az alaptörvény.
A
demokratikus államberendezkedés egyik meghatározó ismertetı jegye a közigazgatás nyitottsága, az állampolgár részérıl történı átláthatósága. Ezért alapvetı jelentıséggel bírnak azok a törvények, amelyek megteremtik az állampolgárok számára a közigazgatás, különösen a kormányzati igazgatás átláthatóságát, azaz garantálják a közérdekő adatok nyilvánosságát. Köztudomású tény, hogy az információ, a tájékozottság hatalom.
Napjainkban az
információáramlás határok nélkülivé válása, a számítástechnika fejlıdése újra és újra kényszerítı körülményként hat a rendszer folyamatos alakítására, korszerősítésére. Az információszabadság azonban - még az elıbbiek tükrében - sem lehet korlátlan. A személyekre, szervezetekre vonatkozó adatok teljes nyilvánossága ugyanis egyet jelenthet a teljes kiszolgáltatottsággal, a magán vagy az állami életbe való illetéktelen beavatkozás állandó veszélyével, a jogok csorbításával. Ezért minden jogállam szigorúan védi a személyes adatokat, melyekrıl az állampolgár csak maga rendelkezhet, illetve annak felhasználását mások részére csak törvény engedi meg. Az eddigiekkel összhangban az önrendelkezés joga nemcsak a természetes személyeket, hanem azok közösségeit is megilleti, függetlenül attól, hogy az egyesülés, a közös tulajdonlás, a közös gazdálkodás vagy a demokratikus önkormányzat joga alapján mőködnek. Ennél fogva megilleti az adatokkal való önrendelkezési jog az emberek legszélesebb társadalmi közösségét az államot is. Az állam biztonsága, a nemzeti szuverenitás, az államapparátus zavartalan,
Adatvéd(elem)
17
illetéktelen befolyástól mentes mőködése legszélesebb egyéni érdekeket megtestesítı közérdek, ezért az ezzel összefüggı információk egy behatárolt részét a személyes adatokhoz hasonlóan védelem illeti meg. 1.2.3.2. 2003. évi LIII. Törvény az államtitokról és a szolgálati titokról szóló 1995. évi LXV. Törvény módosításáról Az Európai Unióhoz történı csatlakozással összefüggésben az EU minısített adatainak védelme, valamint az Interim Megállapodás alapján a minısített adatforgalom feltételeinek megteremtése szükségessé tette a magyar minısítési rendszer harmonizációs célú átalakítását, ezen belül a négyszintő, káralapú minısítési rendszer bevezetését, a minısítési automatizmusok kiiktatását, az EU minısítési jelzéseinek a magyar jogrendszerbe történı befogadását és a magyar minısítési jelöléseknek való megfeleltetését. Ezen kívül ki kellett jelölni az EU minısített adatainak biztonságáért felelıs nemzeti hatóságot. Az Európai Unió (EU) minısített információinak védelmét az EU joganyag részét képezı, az EU intézményeinek Biztonsági Szabályzatai - a Tanács 2001/264/EK határozata, a Bizottság eljárásrendjét rögzítı 2001/844/EK, ESZAK, Euratom határozat, valamint a 3. számú EURATOM Tanácsi rendelet (1958. 07. 31.) az Euratom minısített információk védelmérıl (a továbbiakban együtt: EU Biztonsági Szabályzat) - alapján kell biztosítani. Az EU Biztonsági Szabályzat elıírásainak - mint az EU
tagállamának - a Magyar
Köztársaságnak is maradéktalanul meg kell felelnie, továbbá kötelezettséget kell vállalnia arra, hogy az együttmőködés során megkapott minısített információkat a tagállamokban érvényes biztonsági normák szerint kezeli és ırzi. A jogszabályi harmonizációs feladat az, hogy a minısített adatok mennyiségét az információ felhasználási és objektív védelmi igényeihez kell igazítani. Tekintettel arra, hogy nagy mennyiségő, magas szinten minısített adat befogadását - az ismertetett okokból - az EU nem tartja elfogadhatónak, hatályon kívül kellett helyezni azokat a jogszabályhelyeket, amelyek minısítési automatizmust sugallnak. Fontos, az elıbbiekhez kapcsolódó feladat volt a négyszintő kár alapú minısítési jelölési rendszer bevezetése. Ebben az új szisztémában a titokfajták száma nem változik, de több védelmi szint áll rendelkezésre. Az Európában leggyakrabban alkalmazott négyfokozatú minısítési jelölési szisztéma átvételét úgy oldották meg, hogy az államtitokhoz egy minısítési jelölés, a „Szigorúan
Adatvéd(elem)
18
titkos!” társul. A szolgálati titok esetében a törvény szerint három védelmi fokozat áll rendelkezésre: a „Titkos!”, a „Bizalmas!” és a „Korlátozott terjesztéső!”. A titokvédelmi törvény új 2. melléklettel egészült ki, amely a kár megállapításához irányadó szempontokat határoz meg. A törvény az EU minısített információk védelmére a Nemzeti Biztonsági Felügyeletet jelölte ki. 1.2.3.3. 1998. évi LXXXV. Törvény a Nemzeti Biztonsági Felügyeletrıl A Magyar Köztársaság Kormánya és az Észak-atlanti Szerzıdés Szervezete (NATO) által - a békepartnerségi együttmőködés keretei között - 1994. július 5-én aláírt Biztonsági Megállapodás, valamint a Magyar Köztársaság és a Nyugat-európai Unió (NYEU) között 1996. október 1-jén aláírt Biztonsági Megállapodás szerint a Magyar Köztársaság kötelezettséget vállalt arra, hogy az együttmőködés során megkapott minısített és más védendı információkat az elıírt biztonsági normák szerint kezeli és ırzi. NATO tagállammá válásunkat
követıen
kötelezı
csatlakoznunk
az
„Információ
Biztonságáról
szóló
Megállapodás”-hoz, amely alapelemeiben megegyezik a fenti megállapodásokkal. A megállapodások szerint minden tagállamnak létre kell hoznia egy nemzeti biztonsági hatóságot, amely felelıs a szükséges biztonsági követelmények érvényesüléséért. A nemzeti biztonsági hatóság (National Security Authority - NSA) felállítására és mőködésére, valamint a minısített információk személyi és fizikai védelmére vonatkozó általános alapelveket és szabályokat a NATO Biztonsági Szabályzat /NATO CM (55) 15 Szabályzat/, valamint a NYEU Biztonsági Szabályzat /NYEU RS-100 Szabályzat/ tartalmazza. A lefektetett biztonsági követelmények betartását a NATO és a NYEU felé a tagországok nemzeti biztonsági hatóságai szavatolják. A szabályozás célja a Nemzeti Biztonsági Felügyelet (a továbbiakban: Felügyelet) felállítása és mőködése legalapvetıbb szabályainak törvénybe foglalása. 1.2.3.4. 1995. évi CXXV. Törvény a nemzetbiztonsági szolgálatokról Törvény a tanulmányom szempontjából azért érdekes, mert az információ védelemmel foglalkozó beosztások fontos és bizalmas munkakörnek minısülnek és ebben törvényben rögzítik a fontos és bizalmas munkakörök nemzetbiztonsági vizsgálatai eljárás rendjét.
Adatvéd(elem)
19
Kiemelt jelentıségő nemzetbiztonsági érdek, hogy az állami élet és a közigazgatás szempontjából fontos személyek tevékenysége ellen irányuló jogellenes törekvéseket felderítsék. A szolgálatok által végzett nemzetbiztonsági védelem célja nem az állandó fizikai védelem, hanem egy általános szőrı-kutató jellegő felderítı tevékenység. A védelem ellátása során a szolgálatok azokat a jelzéseket, információkat kutatják és dolgozzák fel, amelyek a védendı személyek környezetében történı ellenséges szándékú "beépülésre", befolyásolásra (támadásra) utalnak. A nemzetközi gyakorlattal és a hazai elvárásokkal egyaránt összhangban mondja ki a törvény, hogy a fontos és bizalmas munkakört betöltı személyeket - a nemzetbiztonsági érdekek
érvényre juttatása, így különösen ezen személyek befolyásolhatóságának,
zsarolhatóságának, az adott munkakör betöltéséhez szükséges sajátos biztonsági feltételek meglétének ellenırzése céljából - a nemzetbiztonsági szolgálatok biztonsági ellenırzésnek vethetik alá. A biztonsági ellenırzés célja tehát azon kockázati tényezık felderítése, amelyek ellenséges
szándékú
kihasználásával
a
nemzet
biztonsága
szempontjából
jelentıs
tevékenységek, illetve az ilyen tevékenységeket folytató személyek támadhatóvá, jogellenes céllal befolyásolhatóvá válhatnak. A biztonsági ellenırzés alá vonható fontos és bizalmas munkaköröket a törvényjavaslat melléklete határozza meg, illetve felhatalmazást ad a miniszterek részére, hogy - az állami szervek körében - további ilyen védendı munkaköröket állapítsanak meg. Nemzetbiztonsági ellenırzést kell elrendelni a fontos és bizalmas munkakörbe történı kinevezés elıtt a jelölt tekintetében. A fontos és bizalmas munkakört betöltı személyek tekintetében biztonsági ellenırzést az elrendelı mérlegelési jogkörében hozott döntés alapján kell lefolytatni. Az ellenırzés mindig az érintett tudtával, annak írásbeli elızetes beleegyezésével történhet. Az ellenırzéshez történı hozzájárulás az érintett munkakörök tekintetében alkalmazási feltétel. A lefolytatott vizsgálatok érvényességi ideje 5 év tehát ennek lejárta után újból kell kezdeményezni az ellenırzést.
Adatvéd(elem)
20
1.2.3.5. 2001. évi XXXV. Törvény az elektronikus aláírásról Az Országgyőlés - felismerve és követve az egyetemes fejlıdésnek az információs társadalom felé mutató irányát, az új évezred egyik legfontosabb kihívásának eleget téve törvényt alkot az elektronikus aláírásról annak érdekében, hogy megteremtse a hiteles elektronikus nyilatkozattétel, illetıleg adattovábbítás jogszabályi feltételeit az üzleti életben, a közigazgatásban és az információs társadalom által érintett más életviszonyokban. (A törvény bevezetıje) „Az elektronikus üzenetküldés egyre tömegesebbé válásának egyik következményeként igény merült fel arra, hogy elektronikus formában joghatást kiváltó üzenetet is lehessen küldeni (pl. szerzıdéses ajánlat, illetve annak elfogadása, teljesítés igazolása). Ehhez azonban szükséges, hogy az így kapcsolatba kerülı felek hitelesen megállapíthassák, kitıl származik az üzenet és annak tartalma nem változott-e a feladás óta. Ezt a funkciót a papíralapú írásos szerzıdéskötéseknél az aláírás tölti be. Elektronikus formában lévı iratra is rá lehet írni annak a nevét, aki a nyilatkozatot magáénak vallja, de ennek nincs olyan bizonyító ereje, mint a kézírásos aláírásnak, ezért különbözı technológiákat dolgoztak ki a hiteles elektronikus formában való aláírás céljából. Az egyik legfejlettebbet: a nyilvános kulcsú infrastruktúrát az indokolás függeléke tartalmazza. Ezen technológiák használatának joghatásait, a technológiákkal és az ilyen szolgáltatásokat nyújtó gazdálkodó szervezetekkel szembeni követelményeket szabályozza az elektronikus aláírásról szóló törvény”.(a törvény indoklásából) Ha a fenti bekezdésekben szereplı „szerzıdéses ajánlat, illetve annak elfogadása, teljesítés igazolása” helyére a parancs, utasítás, jelentés szavakat teszzük, már is érthetı miért lehet fontos számunkra ez a törvény. 1.2.3.6. 1978. évi IV. törvény a Büntetı Törvénykönyvrıl Eddig az információk védelmének szabályozásáról szóló törvényeket említettem, a Büntetı törvénykönyv 221-223. §.-a tartalmazza azokat a szankciókat, amiket az állam az „államtitok” és a „szolgálati titok” megsértésekor alkalmazhat.
Adatvéd(elem)
21
1.2.3.7. 3/2004. (II. 17.) HM (Honvédelmi Minisztérium) rendelet a fontos és bizalmas munkakörökrıl, valamint a biztonsági ellenırzések szintjérıl A HM szervek fontos és bizalmas munkaköreit, illetve szolgálati beosztásait - e rendelet
tartalmazza.
Valamint
meghatározza,
hogy
melyik
beosztáshoz
milyen
nemzetbiztonsági vizsgálat lefolytatatása szükséges. 1.2.3.8. 79/1995. (VI. 30) Kormányrendelet a minısített adat kezelésének rendjérıl, A titokvédelmi törvényben bekezdésében kapott felhatalmazás alapján az államtitoknak, illetve szolgálati titoknak minısülı adatok kezelésének rendjét határozta meg a Kormány ebben a rendeletben. Véleményem szerint egy nagyon jól, kor színvonalának megfelelıen megalkotott jogszabály, amely minısített adat kezelésének teljes spektrumát felöleli. A probléma azonban az évszámban van, és itt nem az eltelt idırıl, hanem a közben végbe ment változásokról van szó. A Kormányrendelet ugyanis nem fele meg a NATO vagy az EU minısített adat védelmi rendszerének, és az egyik forrása a minısített adok kettıs (nemzeti/NATO, EU ) kezelésének. 1.2.3.9. 179/2003. (XI. 5.) Kormányrendelet a nemzetközi szerzıdés alapján átvett, vagy nemzetközi kötelezettségvállalás alapján készült minısített adat védelmének eljárási szabályairól Az elıbbi kormányrendelet „párja” amely a címébıl adódóan a külföldi Minısített adatok védelmérıl szól, és egyáltalán nem meglepıen ezek a szabályozók sokkal szigorúbbak a mint 79/1995 kormány rendeletben. A szabályzót sokan támadják, és az egyik a jogszabály kidolgozásában résztvevı személy is összecsapottnak minısítette, az egyik továbbképzésen, de egyelıre ez van érvényben. 1.2.3.10. 180/2003. (XI. 5.) Kormányrendelet a Nemzeti Biztonsági Felügyelet részletes feladatairól és mőködési rendjérıl, valamint az iparbiztonsági ellenırzések részletes szabályairól 1998. évi LXXXV. Törvény által megalapított NBF részletes feladatiról szól ez a rendelet Különös tekintettel a személyi biztonsági-, a fizikai és dokumentum biztonsági-, valamint az elektronikus biztonsági eljárásrendre, és az ellenırzéssel, a biztonság megsértésével és az oktatással kapcsolatos szabályokra. A rendelet alapján a NBF jogosult ellenırizni minden olyan szervezetet, ahol a hatáskörébe sorolt külföldi minısítéső adatokat dolgoznak fel.
Adatvéd(elem)
22
1.2.3.11. 43/1994. (III. 29.) Kormány Rendelet a rejtjeltevékenységrıl A rejtjelezı szervek legmagasabb szintő szakmai jogszabálya. A titokvédelmi törvény alapján, a rejtjelzési kötelezettség alá esı államtitok és szolgálati titok védelme érdekében alkotta meg a Kormány a rendeletet. A rendelet intézkedik a rejtjeltevékenység szervezetére, a rejtjeltevékenység személyi feltételeire, az általános rejtjelbiztonsági elıírásokra, a speciális rejtjelzı ügyvitelre, az Országos Rejtjelfelügyelet létrehozására, annak feladataira, az ellenırzés feladataira, és nem utolsó sorban meghatározza a rejtjelezı eszközök fogalmát. A rendelet alapján a
rejtjeltevékenységgel kapcsolatos hatósági jogkört elsı fokon az
Információs Hivatal szervezetében mőködı Országos Rejtjelfelügyelet gyakorolja.1 Szintén megállapítja a rendelet, hogy rejtjelzésre olyan eszközök alkalmazhatók, amelyek biztosítják a rejtjelzési kötelezettség alá esı információk megbízható védelmét. Rejtjelzésre hazai fejlesztéső és gyártású (nemzeti) rejtjelzı eszközöket kell alkalmazni. Más eszközök csak akkor alkalmazhatók, ha a rejtjeltevékenység ellátása nemzeti rejtjelzı eszközzel nem oldható meg. A rejtjelzı eszköz alkalmasságát az Országos Rejtjelfelügyelet rendszeresítési engedély kiadásával állapítja meg.
1.2.3.12. 2003. évi C. törvény Az elektronikus hírközlésrıl (Eht.) Ezt a törvényt nem véletlenül hagytam a felsorolás végére. Konkrétan nem a fent említett törvényt, hanem annak tervezett módosítását szeretném elemezni. A szakdolgozatom írásával egy idıben az Interneten megtalálható a Gazdasági és Közlekedési Minisztérium -, az Igazságügyi és Rendészeti Minisztérium -, és a Miniszterelnöki Hivatal által készített 2003. évi C. törvénymódosítás tervezete. A fent említett törvény, illetve annak tervezett módosítása tükrözi, hogy a hazai törvénykezés bizonyos területei az adatvédelmi törekvések ellen dolgoznak. A 2003. évi C. törvény adatvédelmi rendelkezései jelen törvénytervezet elıtt is az alapjogi jogvédelem mélypontját jelentették. A Gazdasági és Közlekedési Miniszter, az Igazságügyi és Rendészeti Miniszter, valamint a Miniszterelnöki Hivatalt vezetı miniszter által jegyzett tervezet ezen érdemben nem változtat.
Adatvéd(elem)
23
Amennyiben az Országgyőlés a törvény jelen módosításait elfogadja, akkor az elektronikus hírközlési törvény biztosan fogja ırizni ezt a nem túl megtisztelı pozícióját, kiegészülve újabb alkotmányellenes rendelkezésekkel. Magyarországon jó néhány éve minden mobil és vezetékes telefon-elıfizetı hívás adatait évekre visszamenıen tárolják, pontosan nyomon követhetı, hogy melyik telefonról, melyik telefont hívták, mikor és mennyi ideig tartott a beszélgetés vagy más adatátvitel. Rögzítik azt is, hogy a hívó és a hívott telefonkészülékei földrajzilag hol helyezkedtek el a beszélgetés alatt (ez néhány száz méteres pontosságot jelent). Egy friss kimutatás szerint jelenleg csaknem tízmillió mobil és 3,3 millió vezetékes telefon elıfizetı van az országban, ami szinte az egész lakosságot lefedi. A telefontársaságok által kötelezıen nyilvántartott adatok segítségével bárkinek az elektronikus kommunikációja és a mozgása (amennyiben magával viszi a telefonját) könnyen nyomon követhetı. A hírközlési forgalmi adatok nyilvántartását - a számlázáshoz szükséges körön túl nemzetbiztonsági és bőnüldözési okokkal indokolják. Elviekben ezekhez a hatalmas mérető adatbázisokhoz a hatóságok csak szigorú garanciális szabályok betartása mellett férhetnek hozzá. A tervezett törvénymódosítás fenntartja a hatályos törvény által elıírt, készletezı jellegő adatkezelés lehetıségét, amely az Alkotmánnyal ellentétes. A módosítás azonban nem csak alkotmányellenes, hanem a hírközlési hálózatokban keletkezett adatok tárolásáról szóló 2006/24/EC európai parlamenti és tanácsi irányelv rendelkezéseivel sincs összhangban, holott a módosítást pontosan az uniós irányelv átültetésével indokolja a Gazdasági és Közlekedési Minisztérium (GKM). A módosítás lazítja a személyes adatok védelmét szolgáló garanciákat, és láthatóan a nemzetbiztonsági szolgálatok igényeit kívánja törvénybe önteni. A törvény tervezett módosításával a szerzıi jogvédık is elınybe kerülnének, mert az új rendelkezés nekik is hozzáférést biztosítana az adatainkhoz. A Társaság a Szabadságjogokért (TASZ) jogvédı szervezet elemezte és véleményezte a fent említett törvénymódosítási tervezetet, és szükségesnek látja ennek teljes újragondolását és az állampolgárok magánszféráját tiszteletben tartó tervezet megalkotását, a jogállamiság követelményeinek megfelelı újbóli közigazgatási egyeztetésre bocsátásával.
Néhány jellemzı gondolatot emelnék ki a TASZ véleményérıl a tervezett törvénymódosítással kapcsolatban, mivel véleményem szerint érdemes részletesen foglalkozni
Adatvéd(elem)
24
ezzel a törvénnyel, illetve tervezett módosításával. Kitőnik, hogy bizonyos területeken bizony rossz irányt vesznek az adatvédelem területén a jogalkotók: 1.2.3.12.1. Általános észrevételek a 2003. C. törvény tervezett módosításával kapcsolatban A tervezet érdemben nem változtat a törvény hatályos szövegében megtalálható, és az információs önrendelkezési jogot súlyosan korlátozó rendelkezéseken. A jogalkotó gyakorlatilag nem vesz tudomást arról, hogy a törvény hatálya alá tartozó személyeket megilleti a személyes adataik védelméhez való alapjog. Ezzel szemben, mint már említettem, láthatóan a nemzetbiztonsági szolgálatok „kívánságlistáját" sikerült kodifikálni, kiegészítve különbözı nem közhatalmi szervezetek magánérdekeinek az alkotmányos alapjogokat lerontó törvényi megjelenítésével. A jogalkotó jelen tervezet véleményezésre bocsátásakor nem tett eleget a jogalkotásról szóló 1987. évi XI. törvény elıírásainak. Nem készült a törvénymódosításhoz hatástanulmány - vagy azt nem hozták nyilvánosságra - és nem vizsgálták a jogszabály hatályosulását. Nem lehet tudni, hogy az elektronikus hírközlésrıl szóló törvény által elıírt adatrögzítés mennyiben járult hozzá „a nemzetbiztonság, a honvédelem és a közbiztonság védelme, a közvádas bőncselekmények, valamint az elektronikus hírközlési rendszer jogosulatlan vagy jogsértı felhasználásának üldözése" törvényes céljaihoz. Nem tudható, hogy pontosan hány esetben igényeltek a hatóságok ilyen adatokat és hány bőncselekményt sikerült így megakadályozni, vagy az elkövetıt felderíteni. A jogalkotó megsértette az elektronikus információszabadságról szóló 2005. évi XC. törvény 9.§ c) pontja rendelkezését is, mivel a tervezethez kapcsolódó szakmai indokolásokat nem tette közzé honlapján. Nem készült, vagy nem került nyilvánosságra olyan hatástanulmány sem, amely a szolgáltatókra telepített, a fenti célokkal indokolt adattárolási, adatkezelési és a monitoring alrendszer kiépítési kötelezettség költségeit vizsgálja - sem a törvény elfogadásakor, sem a jelen módosításhoz kapcsolódóan. A törvénymódosítás fenntartja a hatályos törvény által elıírt cél nélküli, készletezı jellegő adatkezelés lehetıségét, amely az Alkotmánnyal ellentétes. A módosítás azonban nem csak alkotmányellenes, hanem a nyilvánosan elérhetı elektronikus hírközlési szolgáltatások nyújtása, illetve a nyilvános hírközlı hálózatok szolgáltatása keretében elıállított vagy feldolgozott adatok megırzésérıl és a 2002/58/EK irányelv módosításáról szóló 2006/24/EC európai parlamenti és tanácsi irányelv rendelkezéseivel sincsen összhangban, ezáltal a jogalkotó nem tesz eleget az irányelv átültetési kötelezettségének.
Adatvéd(elem)
25
1.2.3.12.2. Részletes észrevételek a 2003. évi C. törvény módosításával kapcsolatban 5-§
(1) Az Eht. 92. §-ának (1) bekezdése a következı utolsó mondattal egészül ki: „Az elektronikus hírközlési szolgáltató nem végezhet olyan elektronikus hírközléssel összefüggı tevékenységet, amely a titkos információgyőjtést, illetve a titkos adatszerzést kizárja, vagy ellehetetleníti.” Nem felel meg a normavilágosság követelményeinek az (1) bekezdés rendelkezése, mivel az „elektronikus hírközléssel összefüggı tevékenység" köre rendkívül bizonytalan, így nem egyértelmő, hogy a jogalkotó az elektronikus hírközlési szolgáltatóra pontosan milyen kötelezettséget telepít. A
§-ban szereplı „titkos információgyőjtés és a titkos adatszerzés" fogalmát
jogszabály nem határozza meg [2/2007. (I.24.) AB határozat], ezért bizonytalan, hogy azok közül mely eszközök és módszerek kizárását vagy ellehetetlenítését tiltja a törvény. (2) Az Eht. 92. §-a a következı új (2) és (3) bekezdéssel egészül ki, egyidejőleg a § jelenlegi (2)-(8) bekezdésének megjelölése (4)-(10) bekezdésre változik: „(2) Amennyiben a Nemzetbiztonsági Szakszolgálat írásban kezdeményezi, az elektronikus hírközlési szolgáltató a külön jogszabályban meghatározott idıpontig köteles megállapodni a Nemzetbiztonsági Szakszolgálattal a titkos információgyőjtés, illetve a titkos adatszerzés eszközei és módszerei alkalmazásának feltételeirıl. (3) Az elektronikus hírközlési szolgáltató köteles minden olyan - a 76. § (1) és (6) bekezdésében foglalt bejelentési kötelezettség hatálya alá nem tartozó - tevékenységérıl, szolgáltatásáról,
termékérıl,
illetve annak változásairól
közvetlenül tájékoztatni a
Nemzetbiztonsági Szakszolgálatot, amely érinti, vagy rendeltetésszerő mőködésében befolyásolja a titkos információgyőjtés, illetve titkos adatszerzés érdekében az elektronikus hírközlési szolgáltató által biztosított vagy biztosítandó feltételeket, eszközöket, módszereket, eljárásokat.” A jogalkotó szintén egy meglehetısen bizonytalan kötelezettséget telepít az elektronikus hírközlési szolgáltatóra, amikor elıírja, hogy az köteles az Eht. „76. § (1) és (6) bekezdésében foglalt bejelentési kötelezettség hatálya alá nem tartozó - tevékenységérıl, szolgáltatásáról,
termékérıl,
illetve annak változásairól
közvetlenül tájékoztatni a
Adatvéd(elem)
26
Nemzetbiztonsági Szakszolgálatot, amely érinti, vagy rendeltetésszerő mőködésében befolyásolja a titkos információgyőjtés, illetve titkos adatszerzés érdekében az elektronikus hírközlési
szolgáltató
által
biztosított
vagy
biztosítandó
feltételeket,
eszközöket,
módszereket." Ezek az eszközök, illetve módszerek többnyire államtitkot képeznek, így azokról az elektronikus hírközlési szolgáltatónak nem lehet tudomása, azaz nem tudhatja, hogy mi érintheti, vagy befolyásolhatja rendeltetésszerő mőködésében a titkos információgyőjtést, illetve a titkos adatszerzést. 6. § Az Eht. 129. §-a a következı (8) bekezdéssel egészül ki: „(8) Az elektronikus hírközlési szolgáltató a nem írásban megkötött elıfizetıi szerzıdések esetén is köteles rögzíteni a (6) bekezdés b)-d) pontjában foglalt adatokat, kivéve ha ez a szolgáltatás jellegébıl adódóan lehetetlen.”
Az Eht. régi-új 129.§-a ellentétes az adatvédelem egyik legfontosabb alapelvével, a célhoz kötöttség elvével. Ugyanis az elıre fizetett díjú elıfizetıi szolgáltatások esetében semmilyen törvényes cél nem indokolja, hogy az elıfizetı bármilyen személyes adatát kezeljék, ahogyan egy újság vagy egy kiló kenyér megvásárlásához sincsen szükség személyes adatok kezelésére. Jelen módosítás ezen a logikán nem változtat, viszont a célhoz nem kötött adatkezelés említett
körét
alkotmányellenes
módon
a
nem
írásban
megkötött
elıfizetıi
szerzıdésekre is kiterjeszti. 7. § Az Eht. 155. §-ának (6) bekezdése helyébe a következı rendelkezés lép: „(6) A szolgáltató – a titkos információgyőjtésre, illetve titkos adatszerzésre külön törvényben felhatalmazott szervek e tevékenységük során végzett adatbetekintése, illetve e tevékenységük során a részükre teljesített adatszolgáltatás kivételével – köteles tájékoztatni az érintett nemzetbiztonsági szolgálatot az államtitoknak minısített, védett telefonszámait érintı adatszolgáltatási megkeresésekrıl.”
Adatvéd(elem)
27
A § korábbi szövege ugyan tartalmazta ezt a szabályt, azonban ez nem változtat azon a tényen, hogy a rendelkezés úgy korlátozza a személyes adatok védelméhez való jogot, hogy azt bármilyen törvényes céllal indokolttá tenné. 8. § (2) Az Eht. 156. §-a a következı (9)-(12) bekezdéssel egészül ki: „(9) Az elektronikus hírközlési szolgáltató köteles nemzetbiztonsági, honvédelmi érdekbıl, illetve a közbiztonság védelme, valamint bőncselekmények üldözése céljából – az adott cél eléréséhez szükséges mértékben – megállapítani, és átadni vagy hozzáférhetıvé tenni a felhasználó, illetve elıfizetı helymeghatározási adatait a nemzetbiztonsági szolgálatoknak, nyomozó hatóságoknak, ügyészségeknek, valamint bíróságoknak. (10) A helymeghatározási adat-megállapítására és átadására vagy hozzáférhetıvé tételére köteles az elektronikus hírközlési szolgáltató akkor is, ha az érintett felhasználó vagy elıfizetı fizikai okból vagy cselekvıképtelensége folytán nem képes hozzájárulását adni adatai kezeléséhez, de saját vagy más személy létfontosságú érdekeinek védelméhez, valamint katasztrófa- vagy szükséghelyzet elhárításához vagy megelızéséhez arra törvényben felhatalmazott szervezet azt igényli. (11) Az elektronikus hírközlési szolgáltató jogosult az elektronikus hírközlési rendszer jogosulatlan vagy jogsértı felhasználásának üldözése céljából – az adott cél eléréséhez szükséges mértékben – megállapítani, és átadni vagy hozzáférhetıvé tenni az érintett felhasználó, illetve elıfizetı helymeghatározási adatait az arra törvényben felhatalmazott szervek részére. (12) A (9)-(11) bekezdés alapján átadott adatokkal kapcsolatban az adatokat átvevıket a szolgáltatóval azonos titoktartási kötelezettség terheli.” Itt a jogalkotó pozitív kezdeményezése olvasható, mely az elektronikus hírközlési rendszerek segítségével olyan megoldást vezetne be, amely emberi életek, tulajdonának megóvását, katasztrófa-helyzetek elhárítását elısegítené. A javaslatban szereplı „fizikai ok vagy cselekvıképtelenség" a TASZ álláspontja szerint, azonban pontatlan és nehezen értelmezhetı; ezt már a személyes adatok védelmérıl és a közérdekő adatok nyilvánosságáról szóló 1992. évi LXIII. törvény (Avtv.) 3.§ (8) bekezdésének 2005-ös módosításakor is jelezték. A szükséghelyzetet a Ptk. úgy határozza meg, mint a más „életét, testi épségét vagy vagyonát közvetlenül fenyegetı és más módon el nem hárítható veszély"-t (Ptk. 1O7.§ (1)
Adatvéd(elem)
28
bek.). Az Avtv. 3.§ (8) bekezdését az adatvédelmi törvénybe illesztı 2003. évi XLVIII. törvény indokolása szerint a jogalkotó azokat az élethelyzeteket kívánta rendezni, amelyek során az érintett fizikai állapotánál fogva ideiglenesen cselekvıképtelenné válik, és ezért nem képes önrendelkezési jogának gyakorlására. Fontosnak tisztázni, hogy az ideiglenesen cselekvıképtelen állapot nem értelmezhetı úgy, hogy az egyszerően jelen nem lévı személyt is cselekvıképtelennek tekintsék. A hozzájárulás nélküli adatkezelést megelızıen a törvény írja elı, hogy meg kell kísérelni a távol lévı érintett hozzájárulásának beszerzését, illetve hogy ettıl csak akkor lehet eltekinteni, ha a hozzájárulás beszerzése olyan mértékő késedelemmel járna, ami aránytalanul megnehezítené az adatkezelés alapjául szolgáló intézkedést. Az Eht. 156.§ (11) bekezdésének tervezett módosításában „a jogosulatlan vagy jogsértı felhasználás üldözésének célja" lényegesen túlterjeszkedik a 2006/24/EK irányelv 1. cikkében foglalt, „az egyes tagállamok nemzeti joga által meghatározott súlyos bőncselekmények kivizsgálása, felderítése és üldözése" céljain. Ennek következtében a (11) bekezdés sem az irányelvben, sem a hatályos törvényben foglalt adatkezelési célokkal nem áll összhangban. Az azonos bekezdésben szereplı „szervek" fogalma legalább ennyire bizonytalan és ezért ellentmond az irányelv 4. cikkének, amely kizárólag az illetékes nemzeti hatóságok részére engedi meg az adatok továbbítását. Az emberi jogok és az alapvetı szabadságok védelmérıl szóló, Rómában, 1950. november 4-én kelt Egyezmény és az ahhoz tartozó nyolc kiegészítı jegyzıkönyv kihirdetésérıl szóló 1993. évi XXXI. Törvény 8. cikke alá tartozik a magánélet, és így a személyes adatok védelme. Az Egyezmény 8. cikk 2. pontja alapján „e jog gyakorlásába hatóság csak a törvényben meghatározott, olyan esetekben avatkozhat be, amikor az egy demokratikus társadalomban a nemzetbiztonság, a közbiztonság vagy az ország gazdasági jóléte érdekében, zavargás vagy bőncselekmény megelızése, a közegészség vagy az erkölcsök védelme, avagy mások jogainak és szabadságainak védelme érdekében szükséges." Látható, hogy az Eht. tervezett 156.§ (11) bekezdése egésze nem elégíti ki az információs önrendelkezési jog korlátozásához szükséges fenti kritériumokat, mivel egy rendkívül széles felhasználási körben - amely egyértelmően túlterjeszkedik az Egyezményben felsorolt célokon - állapít meg bizonytalan (nem hatósági) adatkezelık számára is személyes adatokhoz való hozzáférési jogosultságot. A rendelkezés az Európai Emberi Jogi Egyezményt és a magyar Alkotmányt súlyosan sértı módon akár magáncélokra, magánszemélyek vagy magánjogi jogi személyek részére is szabad hozzáférést biztosít az állampolgárok személyes adataihoz.
Adatvéd(elem)
29
9. § Az Eht. 157. §-a helyébe a következı rendelkezés lép: „157. § (1) Az elektronikus hírközlési szolgáltató az elıfizetık és a felhasználók részére történı számlázás és a kapcsolódó díjak beszedése, valamint az elıfizetıi szerzıdések figyelemmel kísérése céljából a következı adatokat kezelheti: a) a 129. § (6) bekezdés b)-d) pontjában foglalt adatok; b) az elıfizetıi, felhasználói végberendezés vagy elıfizetıi hozzáférési pont hívószáma vagy egyéb, az elıfizetı, felhasználó egyedi azonosításához szükséges – az elıfizetıi szerzıdésben rögzített, vagy a szolgáltató által egyéb módon az elıfizetıhöz, felhasználóhoz rendelt – állandó mőszaki-technikai azonosítók; c) helyhez kötött elektronikus hírközlési szolgáltatás esetén az elıfizetıi, felhasználói végberendezés vagy elıfizetıi hozzáférési pont létesítési címe és típusa; d) a kommunikációban részt vevı elıfizetık, felhasználók hívószámai, egyedi mőszaki technikai azonosítói, felhasználói azonosítói, az igénybe vett szolgáltatás típusa, a kommunikáció kezdı és záró idıpontja, az adatforgalom iránya, valamint a továbbított adat terjedelme; e)
helyhez
kötött
és
mobil
hírközlési
szolgáltatás
igénybevételénél
alkalmazott
hívásátirányítás és hívástovábbítás esetén a hívásfelépítésben résztvevı köztes elıfizetıi vagy felhasználói hívószámok; f) mobil hírközlési szolgáltatás esetén a szolgáltatás igénybevételekor használt, a kommunikációban részt vevı felek készülékazonosítója (IMEI), valamint mobil-elıfizetıi azonosítója (IMSI); g) mobil hírközlési szolgáltatás esetén a szolgáltatást nyújtó hálózat- és cella azonosítója a közlés megkezdésekor, valamint az adott szolgáltatás nyújtásának idıpontjában az adott cellaazonosítóhoz tartozó cella tényleges földrajzi helyének meghatározását lehetıvé tevı adatok; h) internetes elektronikus levél és internetes telefonálás esetén a szándékolt címzett irányába megkezdett kommunikációra vonatkozóan a d) pont szerinti adatok; i) Internet hozzáférés, internetes elektronikus levél és internetes telefonálás esetén a szolgáltatás típusa és a szolgáltatás elıfizetı, vagy felhasználó általi igénybevételének kezdı és záró idıpontja, az igénybevételnél használt IP cím, felhasználói azonosító, hívószám;
Adatvéd(elem)
30
j) Internet hozzáférés, internetes elektronikus levél és internetes telefonálás során az elıfizetık, felhasználók egyedi mőszaki-technikai azonosítóinak a szolgáltató általi bármely átalakításának követéséhez szükséges adatok (IP cím, portszám); k) elıre fizetett anonim hívókártyás mobil hírközlési szolgáltatás esetében a szolgáltatás elsı igénybe vételének dátuma és idıpontja, valamint a cellaazonosító, amelyrıl az aktiválás megtörtént; l) az elszámolási idıszakban elszámolható összes egység száma; m) a díjfizetéssel és a díjtartozással összefüggı adatok; n) tartozás hátrahagyása esetén az elıfizetıi szerzıdés felmondásának eseményei; o) az elıfizetık és felhasználók részérıl igénybe vehetı egyéb, nem elektronikus hírközlési szolgáltatásra, különösen annak számlázására vonatkozó adatok. (2) Az (1) bekezdés a) pont szerinti adatok a szerzıdés megszőnéséig, a b)-o) szerinti adatok az elıfizetıi szerzıdésbıl eredı igények 143. § (2) bekezdése szerinti elévüléséig kezelhetık. A szolgáltató az (1) bekezdés d)-h) pontja szerinti adatokat tartalmazó, a rendszerében keletkezett fájlokat (CDR) az annak alapján kiállított számlára vonatkozó, a 143. § (2) bekezdése szerinti elévülést követı 1 év után, 30 napon belül törölni köteles. (3) Az elektronikus hírközlési szolgáltatók a szolgáltatás teljesítése után – a 159/A. §-ban, valamint az (2) bekezdésben foglaltak kivételével – törlik vagy anonimizálják az elıfizetıkre és a felhasználókra vonatkozó személyes adatokat, amelyeket a hívások létrehozása céljából feldolgoznak. (4) Külön törvény ilyen elıírása esetén a szolgáltató az adatokat csak a külön törvény elıírása szerinti célból kezelheti, az e törvény szerinti adatkezelést a jelen törvényben elıírt határidın belül megszünteti. (5) Az elektronikus hírközlési szolgáltató saját üzletszerzési céljából - az elıfizetı kifejezett elızetes hozzájárulásával - kezelheti az (1) bekezdés szerinti adatokat. (6) Bennfentes kereskedelem, piacbefolyásolás, engedély nélküli szolgáltatás végzése ügyében indított eljárás keretében az (1) bekezdés b) és d) pontjában meghatározott adatok átadhatók a Pénzügyi Szervezetek Állami Felügyeletének. (7) Az (1) bekezdés szerinti adatok közül azok, amelyek az adatkezelés céljához szükségesek, a (2) bekezdésben meghatározott adatmegırzési idın belül átadhatók: a) azoknak, akik az elektronikus hírközlési szolgáltató megbízása alapján a számlázást, a követelések kezelését, a forgalmazás kezelését, illetıleg az ügyfél-tájékoztatást végzik; b) a számlázási és forgalmazási jogviták rendezésére jogszabály alapján jogosult szervek részére;
Adatvéd(elem)
31
c) a bírósági végrehajtásról szóló törvény elıírásai szerint a végrehajtónak; d) az arra külön törvényben felhatalmazott szervezetek részére abban az esetben, ha az érintett felhasználó vagy elıfizetı fizikai okból vagy cselekvıképtelensége folytán nem képes hozzájárulását adni adatai kezeléséhez, de saját vagy más személy létfontosságú érdekeinek védelméhez, valamint katasztrófa- vagy szükséghelyzet elhárításához vagy megelızéséhez nélkülözhetetlen. (8) Az elektronikus hírközlési szolgáltató az arra törvényben felhatalmazott szervek részére történı adatszolgáltatás biztosítása céljából legfeljebb két évig kezeli az elıfizetıi szolgáltatás igénybevételéhez jogellenesen alkalmazott - így különösen a tulajdonosa által letiltott elıfizetıi végberendezések használatára, illetve annak kísérletére vonatkozóan a szolgáltató elektronikus hírközlı hálózatában keletkezı és rendelkezésre álló adatokat. (9) Az (1) bekezdés l)-o) pontjai és a (8) bekezdés alapján a szolgáltatónál rendelkezésre álló adatokat a szolgáltató a nemzetbiztonság, a honvédelem és a közbiztonság védelme, a bőncselekmények üldözése céljából – erre vonatkozó megkeresés esetén – köteles átadni az arra hatáskörrel rendelkezı nemzetbiztonsági szolgálatoknak, nyomozó hatóságoknak, ügyészségeknek, valamint bíróságoknak. (10) A (6)-(9) bekezdés alapján átadott adatokkal kapcsolatban az adatokat átvevıket a szolgáltatóval azonos titoktartási kötelezettség terheli.”
Az Eht. 157.§-nak a tervezetben szereplı szövegének (1) bekezdés d), e), f), 9), h), i), j), k) pontjaiban szereplı adatoknak a hívás létrehozásához (fenntartásához), ill. a szolgáltatás teljesítésén túl történı kezelésének semmilyen törvényes célját nem rögzíti a törvény, amelyhez elengedhetetlen lenne ezen adatoknak a tárolása. A 157.§ (1) bekezdés elsı mondatában szereplı célokhoz nem feltétlenül szükséges ezen adatok kezelése: a számlázás és a kapcsolódó díjak beszedése megoldható lenne a személyes adatok védelmének tiszteletben tartása mellett úgy is, hogy a szolgáltatás igénybevételével egyidejőleg egybıl megállapítják a fizetendı díjat, és a díjakra vonatkozó adatokat az eredeti személyes adatokra vissza nem vezethetı módon tárolják. Amennyiben az elıfizetık hívásrészletezıre is igényt tartanak, úgy errıl a szerzıdésben külön rendelkezhetnének. Mind a hatályos, mind a tervezett szabályozás esetében nem merül fel olyan alkotmányos jog vagy érdek, amely az Alkotmány 59. §-ában garantált információs önrendelkezéshez való jognak a határozott cél nélküli adatfeldolgozásból a fentiek szerint szükségképpen folyó korlátozását elkerülhetetlenné tenné, vagy amely a sérelemmel arányos lenne.
Adatvéd(elem)
32
Mivel az Eht. elıírásai sem az Adatvédelmi törvény 5.§-ban rögzített célhoz kötöttségnek, sem a szükségesség és az arányosság követelményeinek nem felelnek meg, így ez a szabályozás alkotmánysértı módon cél nélküli, készletezı jellegő adatkezelést ír elı. [15/1991. (IV. 13.) AB határozat] A kérdés különös súlyát az adja, hogy a jelenlegi 9 millió 358 ezer mobiltelefonelıfizetı, és a 3,3 millió vezetékes telefon-elıfizetı nagyjából lefedi a teljes magyar társadalmat.
Az
érvényben
lévı
szabályozás
szerint
az
elıfizetık
telefonos
kommunikációjára, és amennyiben maguknál tartják a készüléküket, a mozgásukra vonatkozó információ szintén a hatóságok rendelkezésére áll. Nem képzelhetı el egy jogállamban olyan nemzetbiztonsági, bőnüldözési, bőnmegelızési, honvédelmi vagy közrenddel kapcsolatos
cél,
amelynek
megvalósításához
gyakorlatilag
a
teljes
lakosság
kommunikációs és mozgási adatait évekre visszamenı tárolni szükséges. Márpedig mind a hatályos, mind a tervezett módosítás ezt a megoldást írja elı. A TASZ álláspontja szerint az állampolgárokat ezek az adatbázisok teljesen kiszolgáltatottá teszik az állammal szemben. További veszély, hogy a hatékony nyomozás helyett a hatóságok pusztán az adatbázisokból fognak adatokat „halászni", és tízmillió állampolgár egyszerre válik tízmillió potenciális gyanúsítottá. A TASZ felhívja a figyelmet arra a tényre, hogy még az Amerikai Egyesült Államokban a 2001. szeptember 11-ei terrorcselekmények hatására elfogadott, elhíresült PATRIOT ACT sem engedi meg a cél nélküli tömeges adatrögzítést, hanem kizárólag a gyanúsítottakra vonatkozó adatmegırzést engedélyez. A gyakorlatilag teljes magyar lakosság minden elektronikus kommunikációját és térbeli mozgását lefedı adatbázis kiválóan alkalmas személyiségprofilok összeállítására, amelyet az Alkotmánybíróság a 15/1991. (IV. 13.) AB határozatában alkotmánysértınek nyilvánított. Nem enyhíti az adatmegırzés súlyosan jogsértı és veszélyes mivoltát az sem, hogy maguknak, a telefonbeszélgetéseknek a tartalmát nem rögzítik az adatbázisokban. A telefonálási szokások sőrősége, hossza, idıpontja utal a kapcsolat intenzitására, és további következtetések levonására is alkalmat ad. Szintén nem változtat a szabályozás alkotmánysértı mivoltán az, hogy a hatályos törvényi rendelkezések már hasonlóképpen szabályozzák ezt a kérdést, és az sem, hogy a 2006/24/EC európai parlamenti és tanácsi irányelv adatmegırzést ír elı. A jelen §-ban foglalt rendelkezések azonban még az irányelvnek sem felelnek meg. Az Eht. 157.§ (2) bekezdésében 1+1 év+ 30 napot ír elı a 157.§ (1) d)-h) pontjaiban felsorolt adatok megırzésére. Az irányelv ezzel szemben 2 évben határozza meg az adatok
Adatvéd(elem)
33
megırzésének maximális idejét. A törvénytervezethez kapcsolódó indoklás híján nem világos, hogy a jogalkotó miért a maximális megırzési idın túli idıtartamot választott, amikor az irányelv minimálisan akár 6 hónapos tárolást is megenged. Ha készült volna a tárgyban bármilyen hatástanulmány, akkor kiderülhetett volna, hogy a magyar hatóságok hány esetben használtak fel 6 hónapnál régebbi adatokat, és a felhasznált adatok segítségével milyen hatékonysággal látták el különbözı feladatokat. Az Egyesült Királyság kormánya által kiadott elemzésben az áll, hogy a rendırség által lekért adatok 85%-a 6 hónapnál nem volt régebbi, a holland Erasmus Egyetem kutatása szerint pedig átlagosan 3 hónapnál nem régebbi adatokat használt fel a holland rendırség. Hazai hatástanulmányok - melyek elkészítését a vonatkozó
jogszabályok
a
törvény módosítása során elıírják - híján
azonban
elfogadhatatlan, hogy a tervezet és a törvény miért ragaszkodik a lehetséges maximális sıt, egy esetben még azt is túllépı - megırzési idıtartamhoz. A tervezet indoklása hiányában szintén homályban marad, hogy a jogalkotó miért siet az internetes forgalmi adatokra vonatkozó adatrögzítési szabályokat a magyar jogba átültetni, amikor az Európai Unió tagállamainak többsége a 15.cikk (3) bekezdése alapján azt 36 hónappal elhalasztotta. A 157.§ (1) bekezdés h)-j) pontjaiban felsorolt adatok rögzítése, a telefonos adatok rögzítésénél nem kevésbé sérti az információs önrendelkezés alapjogát. Az Internet használati szokások, a telefonálási szokásokhoz hasonlóan szintén utalnak a szolgáltatást igénybe vevık személyes adatira, azokból személyiségére nézve következtetéseket lehet levonni. Az internetes forgalmi adatok rögzítése azonban nem csak a háborítatlan magánszférához való jog szükségtelen és aránytalan korlátozását jelenti, hanem az információszabadság és a szabad véleménynyilvánításhoz való jogot is súlyosan veszélyezteti. Ugyanis az egyes honlapok címei már magukban is sokat elárulnak a megtekintett oldal tartalmáról, még ha utólag pontosan nem is beazonosítható, hogy az oldalon milyen információhoz fért hozzá a felhasználó vagy milyen véleményt nyilvánított. Egy jogállamban ez megengedhetetlen alapjogi korlátozást jelent, mivel több alapjog lényeges tartalmát korlátozza, azáltal, hogy késıbb visszakereshetı, hogy ki, milyen módon, mirıl nyilvánít véleményt, milyen forrásokból tájékozódik. Az 5.§ vizsgálatakor az Eht. 92. §-ának (1) bekezdése tervezett módosítása kapcsán felvetett aggályok szoros összefüggésben vannak az Internet-fogalmi adatok tárolásával. Ezek szerint ha „az elektronikus hírközlési szolgáltató nem végezhet olyan elektronikus hírközléssel összefüggı tevékenységet, amely a titkos információgyőjtést, illetve a titkos adatszerzést kizárja, vagy ellehetetleníti", akkor a jó eséllyel az erre az eredményre vezetı
Adatvéd(elem)
34
passzív magatartások is tilalmazottak. Tehát az elektronikus hírközlési szolgáltatónak kötelessége megakadályozni, hogy a felhasználók a magánszférájukat védı intézkedéseket tegyenek (anonim vagy eldobható e-mail címek használata, anonim proxy-k, kódolt e-mailek, kódolt internetes telefonbeszélgetések stb.). Amennyiben a TASZ feltételezése és értelmezése helytálló, akkor ez a tervezett szabályozás sérti az Alkotmány 59.§-át, az Adatvédelmi Törvény, valamint az egyének védelmérıl a személyes adatok gépi feldolgozása során, Strasbourgban, 1981. január 28. napján kelt Egyezmény kihirdetésérıl szóló 1998. évi VI. törvény rendelkezéseit. 10. § Az Eht. a következı 159/A. §-sal és az azt megelızı alcímmel egészül ki: „Bőnüldözési, nemzetbiztonsági és honvédelmi célú adatmegırzési kötelezettség 159/A. § (1) Az elektronikus hírközlési szolgáltató a közbiztonság védelme és a bőncselekmények üldözése céljából, illetve nemzetbiztonsági, honvédelmi érdekbıl köteles az elektronikus hírközlési szolgáltatás elıfizetı, illetve felhasználó általi igénybevételével kapcsolatos, az érintett hírközlési szolgáltatással összefüggésben a szolgáltató által elıállított vagy kezelt, a 157. § (1) bekezdés a)-k) pontjában meghatározott adatokat megırizni, és abból adatot szolgáltatni az arra hatáskörrel rendelkezı nyomozó hatóságoknak, ügyészségeknek, bíróságoknak, valamint nemzetbiztonsági szolgálatoknak. (2) Az (1) bekezdésben elıírt adatmegırzési és adatszolgáltatási kötelezettség magában foglalja a sikertelen hívások során keletkezı, az (1) bekezdésében meghatározott adatok megırzését, ha – a hívás felépítése érdekében – azok rendszerében megjelennek. (3) Az (1)-(2) bekezdés szerint átadott adatokkal kapcsolatban az adatokat átvevıket a szolgáltatóval azonos titoktartási kötelezettség terheli. (4) Az elektronikus hírközlési szolgáltató az (1)-(2) bekezdésben foglalt adatszolgáltatási kötelezettség teljesítése érdekében a 157. § (1) bekezdés a)-c) pontja szerinti adatokat az elıfizetıi szerzıdés megszőnését követı, a 157. § (1) bekezdés d)-k) pontjaiban meghatározott adatokat azok keletkezését követı kettı évig köteles megırizni. (5) Az (1) bekezdés alapján adatmegırzésre kötelezett elektronikus hírközlési szolgáltató az adatmegırzés feladatával kizárólag abban az esetben bízhat meg adatfeldolgozóként más vállalkozást, illetve a megırzött adatokat kizárólag abban az esetben tárolhatja az Európai Gazdasági Térség más tagállamában, ha a megırzött adatokhoz való hozzáférés tekintetében biztosított az (1)-(2) bekezdés szerinti adatkérésekre vonatkozó titokvédelmi szabályok
Adatvéd(elem)
35
betartása. Az elektronikus hírközlési szolgáltató a megırzött adatokat harmadik országban nem tárolhatja, és azzal harmadik országbeli adatfeldolgozót nem bízhat meg.”
Az Eht. tervezett 159/A. § (1) bekezdése nem felel meg az irányelv I. cikk 1. pontja rendelkezéseinek, mely szerint a forgalmi adatokat „az egyes tagállamok nemzeti joga által meghatározott súlyos bőncselekmények kivizsgálása, felderítése és üldözése céljából" tárolják. Ezzel szemben a tervezet szerint „a közbiztonság védelme és a bőncselekmények üldözése céljából, illetve nemzetbiztonsági, honvédelmi érdekbıl köteles az elektronikus hírközlési szolgáltatás elıfizetı, illetve felhasználó általi igénybevételével kapcsolatos, az érintett hírközlési szolgáltatással összefüggésben a szolgáltató által elıállított vagy kezelt [...]meghatározott adatokat megırizni, és abból adatot szolgáltatni az arra hatáskörrel rendelkezı
nyomozó
hatóságoknak,
ügyészségeknek,
bíróságoknak,
valamint
nemzetbiztonsági szolgálatoknak." A magyar változat lényegesen szélesebb kört ír elı, mint az irányelv. Az irányelv nem tartalmazza a közbiztonság védelmének meglehetısen bizonytalan kategóriáját, ahogyan a nemzetbiztonsági és honvédelmi érdeket sem. Ebbıl következıen megtévesztı a tervezet 14.§ b) pontja, mely szerint a törvény „9. és 10. §-a nyilvánosan elérhetı elektronikus hírközlési szolgáltatások nyújtása, illetve a nyilvános hírközlı hálózatok szolgáltatása keretében elıállított vagy feldolgozott adatok megırzésérıl és a 2002/58/EK irányelv módosításáról szóló, 2006. március 15-i 2006/24/EK irányelvnek való megfelelést szolgálja".
A fenti, a 2003. évi C. törvény módosításának tervezetérıl és a TASZ észrevételeibıl kitőnik, hogy a magyar állam szervezetei preventíven győjtenek és tárolnak adatot minden állampolgárról törvényes felhatalmazással vagy annak hiányában. A győjtött adatok köre és módszere is államtitok, így az állampolgárok tájékoztatása is elmarad. Így alakulnak ki olyan titkos adatkezelık, ahol az állam céljaira győjtenek, tárolnak adatokat, és erre a forrásra próbálnak más (például szerzıi jogvédı szervezetek) szervezetek rákapcsolódni, akik hasonlóképpen titkos adatgyőjtésre és tárolásra rendezkednek be. Ennek jeleit tartalmazza a fenti törvénymódosítás tervezete.
Adatvéd(elem)
36
1.3. A magánéletet veszélyeztetı „hivatalos kíváncsiság” külföldi országokban Az USA Homeland Security törvénye felvetette azt, az európai jogrend számára elfogadhatatlan gondolatot, hogy az államnak nem kell tiszteletben tartania a saját adatvédelmi törvényeit. Példa erre az Egyesült Államokba utazók ellenırzése: a belbiztonsági hatóságok a légitársaságoktól származó utas-információt terroristák adatait tartalmazó listákkal és kereskedelmi adatbázisokkal is össze akarták vetni. Az adatvédık tiltakoztak a módszer ellen. Illetve megemlíteném még Homeland Security mellett, mint a magánéletet veszélyeztetı problémát, az Echelon programot. Az utóbbi esztendık legnagyobb lehallgatási botrányát egy angol újságíró robbantotta ki. Duncan Campbell-nek a tudomására jutott, hogy Anglia egy eldugott kis településen Cheshire-ben, egy titokzatos építmény található. Ez egy 13 emelet magas betonból épült torony, mely leginkább egy gabonasilóra hasonlít. Az építményrıl fényképek is készültek, s azokon világosan látszott, hogy a henger alakú torony tetején különleges antennák sorakoznak. A leleplezett építmény fényképei alapján, az illetékesek kénytelenek voltak elismerni, hogy abban lehallgatás, rádiófelderítés folyik. De hát valójában mit és kit hallgat le az Anglia közepén lévı állomás? Nos, a kérdésre adandó válasz robbantotta ki a ritkán tapasztalható botrányt, mivel magától értetıdı, hogy a “silóból” csak Anglia és a közeli szomszéd országok rádiói hallgathatók le. Az ügy vizsgálatába az Európa Parlament is bekapcsolódott, e célból egy különleges munkacsoportot hozott létre, a kövekezı elnevezéssel: The Scientific Technical Options Assessment (STOA), vezetıje Dick Holdsworth lett, székhelye pedig Luxemburg. A vizsgálódások során kiderült, hogy a cheshireihez hasonló állomások sora mőködik szerte a világon, csupán Angliában még kettı: Nidderdale-ban és Menwith Hillben. Valamennyi hasonló feladattal: a legkorszerőbb berendezéseik segítségével, képesek lehallgatni a rádió és telefon vonalakat, elolvasni a fax és e-mail forgalmazásokat. A vizsgálat során az is kiderült, hogy e globális lehallgató rendszernek a létrehozója és üzemeltetıje a CIA egyik legfontosabb részlege, a US National Security Agency (NSA) és kódneve Echelon. A rendszer segítségével folyamatosan és egyidejőleg több ezer összeköttetés megfigyelése lehetséges. A lehallgató rendszer létrehozásáról és üzemelésérıl, az Egyesült Államok és Anglia a legnagyobb titokban már több évtizeddel ezelıtt szerzıdést kötött, melynek elnevezése UKUSA COMINT (az Egyesült Királyság és az USA kommunikációs felderítése). Ehhez a szerzıdéshez két másik angol nyelvő nemzet is csatlakozott: Kanada és Új-Zéland.
Adatvéd(elem)
37
Az Echelon agya, legfontosabb centruma a Dictionary fedınevő adatbázis, mely kulcs szavak, nevek, szervezetek, a megfigyelés céljából kijelölt ügynökségek stb. milliónyi adatát tartalmazza. A lehallgató posztokon összegyőjtött adatok az Egyesült Államokban lévı NSAfıhadiszállásra, Fort Meade-be kerülnek, ahol a Dictionary segítségével szelektálják, értékelik, s az értékes adatokat kiemelik. Az anyag egy része visszakerül az angol katonai felderítı és lehallgató szolgálathoz a GCHQ-hoz. 1.3.1. Megfigyelés minden frekvencián Tekintsük át azt, hogy az elmúlt évtizedekben, fıként a hidegháború éveiben, de azt követıen is, miként mőködött és mőködik ez a hatalmas rendszer, ez a mindent lehallgatni képes “óriási fül”. A 60-as évekig a nemzetközi kommunikációban, a diplomáciai és a katonai hírközlésben, a legfontosabb szerepet a rövidhullámú rádiórendszerek alkották. A rövidhullámok az ionoszféráról, s a földrıl visszaverıdve sok-sok ezer kilométer megtételére képesek, de a címzettek és az illetéktelenek számára egyaránt lehetséges a hallgatás, sıt ez meglehetısen egyszerő feladat, nem szükséges hozzá más, mint megfelelı antennák és néhány jó vevıkészülék. Mind az amerikai NSA, mind az angol GCHQ rendszeresen lehallgatta az európai, rövidhullámú telefonvonalakat. Erre a célra egy különleges antenna rendszert használtak. A Cipruson felállított berendezéssel figyelték (Ayios Nikolaos-ban) a NATO országok hírrendszereit is, például Görögország és Törökország rövidhullámú rádióforgalmát. Egy óriási amerikai lehallgató állomás pedig a Virginia államban lévı Vint Hills Farm-on mőködött.
Ennek
feladata
volt,
az
Egyesült
Államokban
dolgozó
követségek
üzenetváltásainak lehallgatása (de lehallgatták az Egyesült Királyság rádióforgalmát is). Még néhány helyszín, ahol AN/FLR-9 rendszerő lehallgató állomások mőködtek: San Vito dei Mormanni (Olaszország), Karamürsel (Törökország). Az Echelon lehallgatási rendszerrıl ismereteink akkor válnak teljessé, ha a hírközlési mőholdak megfigyelésérıl is szót ejtünk. Ezeket a mőholdakat (COMSAT) egy nemzetközi szervezet üzemelteti, a Telecommunications Satellite Organisation (INTELSAT), gondosan kidolgozott nemzetközi szerzıdések alapján. A mőholdak a többi között "point to point" összeköttetéseket és rádióközvetítéseket továbbítanak. Ezek a mőholdak úgynevezett “geostacionárius” pozíciót foglalnak el, azaz a földi bázisról nézve, az égen mindig azonos helyen láthatók. Az elsı Intelsat 1967-ben állt szolgálatba, de a fejlıdés ezen a területen olyan
Adatvéd(elem)
38
óriási volt, hogy 1971-ben, már a mőholdak negyedik generációját bocsátották fel. Ez a fajta mőhold már képes volt 4.000 egyidejő telefonbeszélgetés továbbítására, de lehetıség volt ezen kívül telex, távíró, televízió és fakszimile adatok továbbítására is. 1999-ben az Intelsat 19 darab mőholdat üzemeltetett (5. és 8. generációsokat). A távközlési mőholdak által továbbított adatok megfigyelése 1971-ben kezdıdött. E célra két földi vevıállomást építettek. Az elsı az angliai Cornwall-ban, Morwnstow településen mőködött, ahol két 30 m átmérıjő parabola antennát használt. Ezek segítségével az atlanti-óceáni és az indiai-óceáni mőholdakat hallgatták le. A másik lehallgató állomás az Egyesült Államokban, a Washington államban lévı Yakima-ban mőködött, ez az állomás a Csendes-óceán térségében lévı mőholdakat hallgatta le. Az Egyesült Államokban egy kisegítı állomást is felállítottak, a West Virginia-i Sugar Grove-ban, abból a célból, hogy bármilyen pozíciójú mőhold lehallgatható legyen. 1985-95 között az Echelon rendszerének további fejlesztése során, újabb lehallgató állomásokat építettek az Egyesült Államokban, Kanadában, Ausztráliában és Új-Zélandon. Ezek segítségével, a legutóbbi idıkig 120 különbözı mőholdat tudtak lehallgatni. 1.3.2. Lehallgatni és megérteni A lehallgatott rádióállomások és egyéb távközlési vonalak használói - számolnak azzal a lehetıséggel, hogy adásaik lehallgathatók - tehát igyekeznek azokat titkosítani, a szövegeket kódokkal elfedni. A titkosítók és a kódok megfejtıi közötti ısi harc, mindig is változó eredményő volt: az újabb és nehezebb kódokat csak idı kérdése volt megfejteni, hogy azután ismét új kódok jöjjenek. A jelenlegi ismereteink szerint 1940-tıl az amerikai NSA az Európában használt valamennyi kriptográfiai rendszert képes volt feltörni, s ez a képessége jelentısen hozzájárult a II. Világháború kimeneteléhez is. A háború után egy svájci cég, a Crypto AG. került a figyelem középpontjába. Ez a cég rejtjelzı és megfejtı berendezések gyártásával, a nemzetközi piac vezetı cége lett. Az NSA rövid idın belül szert tett a Crypto AG berendezéseire, melyek segítségével rövidesen 130 ország diplomáciai és katonai hírközlését volt képes megfejteni. A szakemberek véleménye szerint az NSA-nak nem jelent gondot az e-mail-ek és Internet üzenetek elfogása és megfejtése, valamint azonosítása sem, a Microsoft, a Nestcape és a Lotus softwerek segítéségével...
Adatvéd(elem)
39
2. fejezet: Az adatvédelem I. eleme: az ellenırzött nyílt forráskódú szoftverek Ebben a fejezetben a nyílt forráskódú szoftverek használatának elınyeirıl írok, illetve a multinacionális szoftver gyártó cégek hatalmi törekvéseit elemzem, tehát nem az említett szoftver gyártók termékeit kívánom kritizálni, hanem az üzleti politikájukat, mivel nem a felhasználók „biztonságát” (adatbiztonság), a számítástechnika fejlıdését tartják elsısorban szem elıtt, hanem saját üzleti érdekeiket, illetve, hogy ellenırzésük alatt tartsák a világ számítástechnikai rendszereit. 2.1 Történeti áttekintés A szabad/nyílt forráskódú szoftverek történelme 1984-ig nyúlik vissza, amikor Richard Stallmann megalkotta a GNU-t, a UNIX operációs rendszer egy nyílt forráskódú változatát. Érvelése szerint ugyanis a szoftverek forráskódjának törvény általi levédése, szabadalma gátat szab a felhasználók szabadságának a termék használatában és módosításában. Az ez elleni tiltakozásul megalapította az FSF -et, a Szabad Szoftver Alapítványt, mely célul tőzte ki a nyílt forráskódú szoftverek elterjedésének elısegítését. Az Egyesült Államok Szabadalmi törvényének alapján a forrás- és tárgykód elválaszthatatlan része a számítógépes programnak, és mint szellemi termék, törvényi védelem alá tartozik, azaz engedély nélküli reprodukálása, módosítása és terjesztése törvénysértésnek minısül. Az azonban, hogy mi is minısül pontosan számítógépes programnak, egészen 1976-ig nem volt pontosan definiálva, noha „számítógépes programok” levédésére a törvény értelmében már 1964 óta lehetıség nyílt. Az Egyesült Államok Szabadalmi Törvényének értelmében a számítógépes program:
„Utasítások sorozata, melyet közvetlenül, vagy közvetett úton adnak egy számítógépnek, hogy a kívánt eseményt elérjék.”
A törvény megsértését jelenti tehát, ha a forráskód bármely részletét, illetve a megvalósításban jelen lévı bármely ötletet, elméleti koncepciót engedély nélkül felhasználnak, azonban nem rendelkezik a jogszabály olyan esetekrıl, amelyekben a reprodukált program ugyanazt a feladatot látja el, ám a szerzı a program megírása során saját algoritmust használt, illetve saját kreatív ötleteit, koncepcióit építette bele saját forráskódjába. Nem feltétlenül szükséges tehát a forráskód ismerete ahhoz, hogy egy programot le lehessen másolni, az output alapján ugyanis egy megfelelıen képzett szakember következtetni képes a
Adatvéd(elem)
40
szoftver mőködésére, és a kikövetkeztetett algoritmus alapján meg tudja írni saját programjának forráskódját, a saját ötletei felhasználása mellett. Az így létrehozott program ugyanazt az outputot produkálja, a felhasználó számára pedig indifferens, hogy ezt milyen módon hozta létre. Ebbıl az elméleti megközelítésbıl világosan látszik, hogy a szoftverek védelme a jelenlegi törvényi szabályozás mellett nem megoldható. Stallmann ezért alternatív megoldásként vetette fel a copylefting módszerét. Ez a koncepció szakít az addig jellemzı törekvésekkel, melyek szerint egy piacra kerülı szoftvert mindenképpen törvényi oltalom alá kell helyezni – amely, mint az belátható, költséges és ugyanakkor hiábavaló – és más megközelítést javasol. A copylefting nem korlátozza a felhasználót a program használatában, terjesztésében, vagy módosításában. Egyetlen kikötés van csupán: a programot a forráskóddal együtt nyilvánosan elérhetıvé kell tenni. A szabad forráskódú szoftverek jelenleg is a copylefting elv szerint készülnek. A zárt forrású, kereskedelmi szoftverekhez képest gyors kiadási ciklusokkal bírnak, azaz a programok újabb, javított változatainak megjelenése nagyságrendekkel gyakoribb, mint az utóbbiak esetében. A javított verziót általában az Interneten teszik közzé, ahonnan bárki letöltheti, tesztelheti, illetve a forráskódban meglévı kreatív ötleteket szabadon felhasználhatja, az esetleges hibákat kijavíthatja, illetve jelezheti a szerzı felé, majd a javított verziót a világhálón elérhetıvé téve újra lehetıvé válik bárki számára az – immár továbbfejlesztett – program letöltése. A fejlesztések és innovációk tehát felhalmozódnak az éppen aktuális verziójú kiadásban, és a gyors megjelenési ciklusoknak köszönhetıen egyetlen fejlesztı sem szembesül magas elsüllyedt költségekkel, amikor valaki megoldást talál arra a problémára, amellyel azelıtt egyszerre többen foglalkoztak, ellenben azonnal hasznosíthatja a mások által kitalált megoldásokat. Ezek a tulajdonságok rendkívül hatékonnyá teszik a szabad szoftverek fejlesztését, és nagymértékben elısegítették terjedésüket. Ma csak az Apache webszerver több, mint 67%-át uralja a számítógépes kiszolgálók piacának. Egyre több közintézmény tér át a kereskedelmi szoftverek alkalmazásáról a szabad szoftverekre az irodai számítógépek esetében is. Különösen jellemzı ez a folyamat Németországban, illetve az oktatási és közigazgatási szférában. A nyílt forráskódú szoftverek elmúlt öt évben tapasztalt rendkívül gyors terjedése, mind a közvélemény, mind az akadémiai szektor érdeklıdését felkeltette. Elıbbieket leginkább a Microsoft küzdelme foglalkoztatja, melyben a redmondi vállalat minden
Adatvéd(elem)
41
eszközzel igyekszik gátat vetni a Microsoft Windows legjelentısebb konkurense, a nyílt forráskódú Linux operációs rendszer terjedésének, míg az utóbbi a jelenség kialakulásának és mőködésének mélyebb összefüggéseit, illetve a szoftverpiac jövıjére gyakorolt hatását kutatta. A Trend Micro1 szakemberei szerint napjainkban a nyílt forráskódú operációs rendszerek, illetve alkalmazások biztonságosabbnak tekinthetıek. A Windows és a Linux kapcsán sokszor felmerül a kérdés, hogy vajon mely operációs rendszer jelenti a biztonságosabb megoldást. Ugyancsak idırıl-idıre felvetıdik az a dilemma, hogy a mennyire biztonságosak. A Trend Micro úgy határozott, hogy állást foglal ezekben a kérdésekben, és a nyílt forráskódú operációs rendszerek illetve szoftverek biztonságosabb volta mellett teszi le a voksát. Raimund Genes, a Trend Micro egyik szakértıje egyértelmően kijelentette, hogy a nyílt forráskódú szoftverek tekinthetık biztonságosabbnak. A szakember a kijelentését elsısorban azzal indokolta, hogy ezen operációs rendszerek illetve alkalmazások kódjait sokkal többen felügyelik világszerte, így a sérülékenységek felfedezését követıen hamarabb lehet reagálni a problémákra. Genes elmondta, hogy a nyílt forráskódú szoftverek fejlesztıi nyíltan beszélnek a biztonságról, így a hibajavítások jóval gyorsabban válhatnak elérhetıvé, nem úgy a Microsoftnál és más óriáscégeknél amelyek „megölik” a kreativitást és „börtönbe zárják” a tudást –egyben a felhasználókat is veszélybe sodorják a hibáktól, biztonsági résektıl hemzsegı szoftvereikkel, mivel csak a belsı erıforrásaikra hagyatkozhatnak egy-egy frissítés elkészítésekor. Raimund Genes azonban arra is felhívta a figyelmet, hogy például a Linux esetében sem szabad kevésbé komolyan venni a biztonsági intézkedéseket, hiszen egy alapértelmezett beállítások mellett használt, és nem frissített rendszer is komoly biztonsági kockázatokat rejt. Mark Cox, a Red Hat2 egyik biztonsági szakembere hangsúlyozta, hogy mindig olyan telepítıket igyekeznek összeállítani, amelyek alapértelmezésként tartalmazzák a legfontosabb védelmi megoldásokat, de természetesen az alaprendszerek biztonsága mindig tovább fokozható. A szakértık abban is egyetértettek, hogy a Linux esetében használt számos disztribúció által jelentett különbségek is megnehezítik a sebezhetıségeket kihasználó kódok írását.
1 2
Vírusvédelmi és tartalombiztonsági termékek és szolgáltatások egyik vezetı szállítója A Red Hat Linux egy népszerő Linux disztribúció volt
Adatvéd(elem)
42
2.2 Mi is az a forrás, vagy forráskód? Ahhoz, hogy megértsük mit jelent, hogy egy szoftver nyílt-, vagy zárt forráskódú, nem árt tisztázni magának a forráskódnak a fogalmát, illetve, hogy mitıl lesz egy forráskód nyílt, vagy zárt. A számítógép processzora egy 0 és 255 közötti egész számokból (Byte) álló (valamilyen hosszúságú) számsorozatot képes végrehajtani, amit bináris fájlnak nevezünk. Ez a bináris fájl neve a háttértárolón EXE vagy COM végzıdéső így innen lehet tudni mi a funkciója. Ha egy bináris állományt nem programként akarunk futtatni hanem betöltjük a szövegszerkesztıbe, akkor az minden Byte-ot az ASCII kódtábla szerint neki megfelelı betővel vagy írásjellel próbál megjeleníteni. Ilyenkor egy értelmetlen zagyvalék jelenik meg a szövegszerkesztıben: ‽‽ !" # $%& '() * A programozó vagy fejlesztı, az a szakember, aki tudja mit kell tartalmazzon egy ilyen állomány ahhoz hogy értelmes funkcióval bíró alkalmazás legyen. Egy mai program bonyolultsága már lehetetlenné teszi, hogy Byte-okból, vagyis az eredeti kövekbıl építkezzünk, ezért magas szintő programnyelvet vagy valamilyen leíró nyelvet használunk, ami egy kvázi emberi nyelv, melynek révén megmondjuk, hogy mit szeretnénk végeredményül. Lássuk pl. az alábbit: a=0; amíg(a<15) a=a+1;
Ez programocska elszámol 0-tól 14-ig, de ugyanez a gép kódján -ami tényleges végrehajtásra kerül- kevésbé érthetı és hosszabb. A valóságban még ennél is absztraktabb, magasabb szintő kódot írunk, amit végül a fordítóprogram konvertál a processzor nyelvére konkrétan az .EXE állományba. A forráskód mindig egy szöveg. Megfeleltethetı az építıiparban a ház tervrajzának, amelyben a tervezı a téglák végleges helyével nem foglalkozik, az a kımőves dolga. A programfejlesztésnél a kımőves szerepét a fordítóprogram látja el. Egy nagymérető program gyakorlatilag áttekinthetetlen és módosíthatatlan a forráskód nélkül. A forráskódnak nem csak konkrétan a programoknál van
Adatvéd(elem)
43
szerepe, hanem minden számítógépen prezentált adat esetében. Egy formázott szöveg forráskódja pl. így fest:
Új remény a gyógyításban Sikeresen pótolták a súlyos betegség miatt... Az idegszövet és a szklerózis multiplex Amit ha egy böngészıprogrammal betöltünk, akkor így néz ki: Új remény a gyógyításban ------------------------------------Sikeresen pótolták a súlyos betegség miatt... Az idegszövet és a szklerózis multiplex A forrás tehát egy metaszöveg, amit emberi ésszel könnyen fel lehet fogni, átírni, módosítani, a bináris pedig a gép nyelve, amivé a fordító (a böngészıknél ezt html parser-nak nevezzük, az animációknál ray-tracer...) azt lekonvertálja. A folyamat szigorúan egyirányú, míg a fordító másodpercenként millió és millió sort képes lekonvertálni addig visszafelé csak verejtékes kézi munkával lehet napi egy-két sort. Ha nem szeretném, hogy a programomhoz más is hozzáférhessen (vagyis belemódosítson) vagy lássa, mit hogyan csinálok, akkor a forrást nem adom ki a kezembıl. Még egy példa: // -----------------------------// creates the cube // -----------------------------#macro unitbox() #local COL=; union{ difference{ box{<-0.5,-0.5,-0.5>,<0.5,0.5,0.5>} box{<-0.45,-0.45,-1>,<0.45,0.45,1>} box{<-1,-0.45,-0.45>,<1,0.45,0.45>} box{<-0.45,-1,-0.45>,<0.45,1,0.45>} txtBox(COL) } box{-0.45,0.45 texture{pigment{White*1.4}}} Ez egy a PovRay nevő (ez is egy nyílt forráskódú szoftver) programhoz készített forrás, a lefordított bináris fájl pedig egy GIF, JPG, vagy BMP képállomány: Itt is megtehetem, hogy készítek egy saját forrást majd az abból kiszámított fotót közreadom, az eredeti forrást pedig nem hozom nyilvánosságra.
Adatvéd(elem)
44
Mindezek alapján nevezzük zárt forráskódúnak vagy zárt kódnak az olyan programot vagy alkotást, melynek készítıje nem köti orrunkra az eredeti forrást, míg nyílt forráskódú, vagy egyszerően csak nyílt kódú, amikor a szerzı mellékeli a forráskódot, vagy eleve csak azt adja ki, és a fordítást a felhasználóra hagyja. Ezek alapján a szabad szoftver az, amikor a szerzı mellékeli a forráskódot, és deklaráltan engedélyezi annak bármilyen célra történı módosítását, felhasználását, azzal a megkötéssel, hogy az így készült termék is szabad szoftver kell legyen. A szólásszabadság egyik legfontosabb alapelve hogy a szerzıt megilleti a publikálás joga. Ez nem csupán holmi írói szervezetek mániája, hanem bármilyen alkotó tevékenység eredményéül keletkezett egy mő - legyen az képzımővész vagy író produktuma - a szerzıt megilleti a szabad publikálás joga amit nem csak a Magyar Alkotmány rögzít. Ez érvényes Európában pillanatnyilag a programozó írta számítógépes programokra és azok forráskódjára is. Amerikában sokáig bőncselekmény volt a jó kriptográfiai algoritmusok publikálása is, még ha ezt független, nem szerzıdések által korlátozott fejlesztı végezte is. Azaz a szabad publikálás akadályozva volt.
2.3 Néhány praktikus elv -A demokratikus állam kötelezettségei
Senki sem botránkozik meg ha egy államigazgatási szerv a beadandó iratot XLS, DOC vagy PDF formátumban kéri. Nyilván a legelterjedtebb a legcélszerőbb, kinek is lehetne ellenvetése? Ha mindezt a Magyar Köztársaság Alkotmánya vagy más köztársaságok ALKOTMÁNYA
szemszögébıl
vizsgáljuk,
akkor
ez
a
gyakorlat
erısen
megkérdıjelezhetı. Az alkotmány kötelezi az államot arra, hogy korlátozásoktól mentesen tegye hozzáférhetıvé a közérdekő és személyes adatokat. Egy DOC, PDF, MP3 vagy RealMedia formátumú állomány megnyitásához és olvasásához, de különösen módosításához meg kell vásárolni a hozzávaló zárt kódú terméket, amely mellesleg feltételez bizonyos - szigorúan a gyártó érdekeltségébe tartozó - több szoftverterméket és hardvert. Mindez piacellenes, hiszen a többi gyártó van diszkriminaliválva. Erre mondhatnánk, ha valamilyen szerv őrlapon kéri be az adatokat az is diszkriminatív, hiszen csak egy nyomdával köt szerzıdést. Igen ám, de saját magunk is kinyomtathatjuk, ha a hivatalos nyomda árait sokalljuk! A problémát tovább árnyalja hogy mi lesz pl. húsz vagy negyven év múlva ha addigra a gyártó tönkre megy,
Adatvéd(elem)
45
vagy megszünteti a terméket és az akkori számítógépekre nem lesz Acrobat Reader, RealPlayer vagy Microsoft Office, amivel meg lehetne majd nyitni a mai dokumentumokat? 2.4 Számítógépes biztonság A számítógépet használó laikusok mára teljesen hozzászoktak a vírusokhoz, és a rendszereiken „nyüzsgı” biztonsági résekhez. Ezeket orvosoljuk valami javítócsomaggal vagy kimondottan egy erre szolgáló anti- programmal, melyekrıl késıbb kiderül, szintén „bug1-zanak”. Egy idı után megjelenik a következı verzió, ami majd megoldja a hibákat, leszámítva az abban lapuló újabb hibákat. Vajon mi ennek az oka? A válasz rendszerint az internethasználat elterjedése, de ez valójában nem igaz . Annak idején a kevesebb internetfelhasználó idejében Word és Excel makróvírusok tomboltak világszerte, azt megelızıen pedig a DOS-os trójai és boot vírusok. Az internetes férgek száma sokkal gyorsabban emelkedik, mint az internetfelhasználóké. A vírusok, bugok valódi oka a marketing egyik alapvetése miszerint teljesen mindegy a termékrıl jót- vagy rosszat mondanak, a lényeg hogy beszéljenek valamit, és ha már képbe került, akkor máris helyzetben van a konkurenciával szemben. A másik ok a felhasználó kiszolgáltatottá tétele. A problémákat objektív okok is gyarapítják, melyekre a gyártó mindig hivatkozik - a felhasználó laikus, így a sok kényelmi funkció növeli a kódot és a bugokat. A marketing miatt nem akkor dobják piacra, amikor elkészült, hanem amikor a határidı esedékes. A harmadik – ami a kis fejlesztıcégek számára a legbosszantóbb - amikor a gyártó lehetıleg mindent visszatart, mert fél a konkurenciától. A programok javítgatása nagyon költséges - egy multinacionális szoftver cég pénzügyi mérlegében ez a legvastagabb tétel. A politikai megoldás kézenfekvı, el kell terelni a felelısséget a gyártóról. Ennek módja, ha kilobbizzák, hogy a vírusírás és hacker tevékenység legyen bőncselekmény, mivel a költségek így csupán egyszer jelentkeznek és osztható a többi gyártóval. Innentıl kezdve lekerül a vállukról a felelısség, hiszen bőnözık ellen nekik nincs orvosságuk, és a javítás innentıl úgy szólván szívességtétel. A szoftver iparnak már garanciát sem kell vállalnia a termékéhez és olyan társadalmi alapintézményeket erodál, mint mondjuk a polgári szerzıdés kötésére vonatkozó formaságok . A számítógépprogramokban funkciókat könnyő elrejteni. Ha pl. aszimmetrikus titkosítást használnak, még a forráskód ismeretében sem lehet kideríteni, vajon mi történik
1
Programhiba
Adatvéd(elem)
46
majd adott input hatására. A felhasználó szokásainak marketingcélokból történı kifürkészése mindennapos dolog, ami még nem nagy ügy, viszont a zömmel az amerikai multinacionális cégek uralta piacon a titkosszolgálatok is benyújtják igénylistájukat, és ez a lehetıség idegesíti a többi ország kormányait. A multinacionális cégek lobbizása elérte hogy termékéhez olyan licencfeltételeket szabhat, amilyet csak akar, szinte biankó törvény melynek betartatásáról az adófizetık pénzén mőködı hatóságok gondoskodnak. A nagy kommersz cégek érzik, hogy hosszútávon nem nekik „áll a zászló”. A szokásos ár alá- dömpingelléssel nem lehet megfojtani egy olyan riválist, aki zérus termékár mellett is nyereséges. Például, mint azt már az elıbbiekben említettem, a szabad szoftveres Apache webszervere lassan tíz éve rendületlenül tartja vezetı pozícióját és egyszerően tudomást sem vesz a hagyományos, kereskedelmi elvő Microsoft piacszerzési törekvéseirıl, pedig az már a híres böngészıháború elıtt elkezdıdött. A Microsoft kétségbeesetten próbál új piacokat keresni: játékkonzolok, PDA-k, tablet PC, kábeltévé társaságok tekintetében. Emellett beindították a FUD gépezetet: pl. 5 éve megjelent egy MindCraft nevő "független" elemzıcég, amely összehasonlító teszten vizsgálta a Microsoft operációs rendszerét a Windows-t és a legelterjedtebb szabad szoftveres operációs rendszert a Linux-ot. A teszt néhány százalékkal jobbnak hozta ki a Windows-t, majd kiderült hogy a tesztet kifejezetten a Microsoft rendelte meg. A FUD technika pedig máig is folyik, a Microsoft folyamatosan gyárt(at)ja "tanulmányait" a Linux hátrányairól, míg más fórumokon nem túl jelentıs „hobbi” operációs rendszernek próbálja redukálni. És meg kell említeni azt is hogy amerikai politikusok is gyakran figyelmeztetnek arra, hogy a Linux-ot könnyen felhasználhatja valamely kommunista rezsim vagy terrorszervezet. A Homeland Security törvény és annak nem publikus mellékletei pedig olyan távközlési és szoftverrendszereket szeretnének elterjeszteni, ami felett az USA illetékes köreinek befolyása van - magyarul kikapcsolhatja a maga számára a biztonsági rendszereket. Ezért például népszerőtlen a Windows Vista, melyrıl maga a Microsoft publikálta, hogy biztonsági rendszereinek kidolgozásában az amerikai NSA (National Security Agency – amerikai nemzetbiztonsági hivatal) közremőködött (de ismertek a
Vista digitális jogvédelemmel kapcsolatos
„hazatelefonálós” funkciói is). Egy korábbi összefüggés is felfedezhetı a Windows NT 4 SP5-nél, ahol a Windows forráskódjában felfedeztek egy változót, amit NSAKEY-nek neveztek el, és egy 1024 bites publikus kulcsot tartalmazott. Így elméletileg az NSA a saját maga által aláírt modulokat a Microsoft tudta nélkül, mindenfajta nehézség nélkül telepíteni tudta a kiszemelt gépre. Ezzel nyitott az út, hogy például hátsó ajtókat építsenek be. A BBC
Adatvéd(elem)
47
weboldala arról számolt be, hogy az Egyesült Királyság hivatalnokai tárgyaltak a Microsofttal arról, hogy az "backdoor"-t építsen a Windows legújabb verziójába, a Vista-ba. Ross Anderson, cambridge-i professzor szerint az új Windows azt jelenti, hogy még több fájl lesz titkosítva. Ezért sürgeti a kormányt, hogy hasson a Microsoft-ra, hogy az tegye lehetıvé a fájlok olvasását a tulajdonoson kívül mások, például a rendırségek számára is. A félelem alapja az, hogy például a rendırség majd nem tud beleolvasni a számítógépekbe. Erre ellenpélda egy német bíróság határozata, miszerint a rendırség nem kutakodhat titokban a gyanúsítottak számítógépének merevlemezén az Interneten keresztül. A karlsruhei szövetségi bíróság döntése értelmében a rendırök a nyomozás során nem használhatnak olyan szoftvereket – amelyeket Németországban Bundes-Trojaner-nek hívnak –, melyekkel távolról is képesek megismerni a merevlemezek tartalmát – legalábbis addig nem, amíg a parlament nem hoz egy olyan törvényt, amely kifejezetten megengedi ezt. A német Szövetségi Nyomozó Iroda fordult a bírósághoz állásfoglalásért, miután a figyelem középpontjába került, hogy a terroristák után vizsgálódó rendırség többféle módon is győjt adatokat az Interneten keresztül. A bíróság indoklása szerint az ilyen titkos vizsgálat nem hasonlítható sem a házkutatáshoz – mely a gyanúsított vagy tanúk jelenlétében zajlik, s ha az alapos gyanú miatt lefoglalják a gépet, akkor természetesen megvizsgálhatják –, sem a telefonos lehallgatáshoz, amikor élı kommunikációt, nem pedig rögzített adatokat figyelnek meg, ezért jelenleg nincs olyan jogszabály, amely alapján engedélyezni lehetne az ilyen eljárást. Érdekes a jogászok állásfoglalása az elektronikus levelezés megfigyelésérıl: törvényességi szempontból a már eddig is gyakorolt e-mail monitorozás szabályosnak tekinthetı, de csak akkor, ha megırzi élı jellegét, tehát mőködés közben szabad csak megfigyelni a tartalmakat, a gépen tárolt leveleket viszont nem. Habár sokan a civil jogok védelmének gyızedelmeskedését látják a határozatban, a történet nagy valószínőséggel nem fog ezen a ponton lezárulni. A bíróság állásfoglalása tiszta helyzetet teremtett, s éppen ezért Wolfgang Schäuble német belügyminiszter, aki viszont – elsısorban a terroristák elleni küzdelemben – rendkívül fontosnak tartja a fent említett nyomozási módszer alkalmazását, kijelentette, hogy mihamarabb törvénymódosítási javaslattal fog elıállni. A legújabb tızsde-felügyeleti jelentések szerint a zárt kódban dolgozó multinacionális cégek kilátásai nem túl rózsásak. A jelenlegi teljesen deformált szoftverpiacon szinte kizárólag
csak
a
Microsoft
és
néhány
nagyvállalat
érdeke
a
szoftverek
szabadalmaztathatóságával dolgozni a nyílt kódú szoftverek ellen. Folyamatos perrel fenyegetéssel igyekeznek gátat vetni az egységes és kompatíbilis nyílt kódú rendszereknek. A
Adatvéd(elem)
48
Linux nem számít egységesnek, mert számos disztribúciója létezik, de azok között jelentısek az eltérések. A BSD (Berkeley Software Distribution) is a Linuxhoz hasonlóan nyílt de nem egységes. Illetve szót ejthetünk még a MAX OSX rendszerrıl, ami bár nyílt kódra épült, nem nyílt, de egységes. 2.5 Pontatlanságok a szabad (nyílt forráskódú) szoftverekkel kapcsolatban 1. Azt állítják többhelyütt az elıterjesztésben, hogy a nyílt forráskódú szoftverek kevésbé biztonságosak, mint a zárt forráskódúak. Ez az álláspont jelenleg már nem tartható, az általános szakmai álláspont egyértelmően az, hogy a biztonság nem függ közvetlenül a forráskód jellemzıjétıl. Ettıl függetlenül, közvetve, a tapasztalat azt mutatja, hogy a nyílt forráskódú szoftverek hibáit hamarabb elhárítják, és kevesebb kárt okoznak. 2. Azt is említik, hogy a nyílt forráskódú szoftverek alkalmazása több kockázatot jelent. Ez is túlhaladott álláspont, mostanra egyértelmővé vált, hogy a nyílt forráskódú alkalmazások jobban megfelelnek a nyílt szabványoknak, nyílt architektúráknak, melyek az egyetlen hosszú távú biztosítékát jelentik a heterogén IT rendszerek fennmaradásának, fejlıdésének és interoperabilitásának. Maga az EU is a nyílt architektúrákat, szabványokat részesíti elınyben, ennek viszont a nyílt forráskódú rendszerek bizonyított módon jobban megfelelnek. Ebbıl kifolyólag, a nyílt forráskódú rendszerek alkalmazása nagyobb hosszú távú befektetési biztonságot és kisebb kockázatot jelent. 3. Megemlítik azt is, hogy a nyílt forráskódú szoftverek nem ingyenesek. A nyílt forráskódú programok esetében értelmetlen az ingyenesség fogalmát feszegetni, mert ezek a szoftverek sokkal többek: szabadon hozzáférhetıek, így a tudás férhetı hozzá szabadon, ami a tudásalapú társadalom egyik legnagyobb értéke. Az ingyenesség ill. nem ingyenesség említése PR fogás és félrevezetı; kb. olyan hatású, mint amikor a samponra rá van írva, hogy "most 50% ingyen", de mindenki tisztában van vele, hogy nem viheti el csak az ingyenes 50%ot. A nyílt forráskódú szoftverek használatakor a felhasználó a saját(!) döntése alapján fizet, mivel fizetés nélkül is tudja ıket legálisan használni, tehát a fenti példa szerint elviheti külön is az ingyenes %-ot. Természetesen, az értéknövelt szolgáltatásokért mindenütt fizetni kell, de itt nincs kényszerítı erı és jogi következmény. A felhasználó maga dönt, hogy idıt, pénzt, energiát vagy más erıforrást használ rendszere felépítéséhez, üzemeltetéséhez. Ezek arányát, kombinációját maga határozza meg lehetıségei és igényei alapján, melyre nyilván nincs általános szabály, ezt a nyílt forráskód nem is kényszeríti ki.
Adatvéd(elem)
49
3. fejezet: Az adatvédelem II. eleme: Kriptográfia, biztonságos kommunikáció a hálózatokon 3.1. Bevezetés a titkosításba A titkosítás lényege, hogy a fontos információkat olyan formába alakítsuk át, melyet csak az tud elolvasni, értelmezni, akire ezek az információk tartoznak. Ha csak saját adatainkat védjük, nincs is gond. Ám mi van, ha a titkokat mással is meg akarjuk osztani? A hadviselés, a diplomácia mindig is olyan terület volt, ahol az információk védelme élet és halál kérdését jelenthette. Itt jelentek meg az elsı titkosítási módszerek, de hamarosan a kereskedelem is alkalmazni kezdte, manapság pedig az üzleti életen túl a magánéletünk védelmében is egyre fontosabb szerepet játszanak. 3.2. Mi is a titkosítás? Egyszerően fogalmazva, az információk átalakítása olyan formára, amely kívülálló számára értelmezhetetlen, csupán az arra jogosult képes elolvasni. A titkosításhoz három elemre van szükség: az adatra, amit tikosítunk, a módszerre (algoritmusra), ahogyan titkosítunk, s az egyedi kódra (kulcsra), amivel titkosítunk. Másképp fogalmazva: van egy ajtónk, amit be akarunk zárni, lakatot szerelünk rá (így akarjuk zárni), s van hozzá egy kulcsunk. Ahhoz, hogy bejussunk, nem elég látni az ajtót, tudni, hogy lakat van rajta, egy kulcs is kell hozzá. Néhány klasszikus titkosítási módot mutatnék be, történelmi, vagy szépirodalmi források alapján. •
A Caesar-féle (eltolásos) kódolás: a szöveg betőit az abc-ben néhány hellyel utánuk következı betővel helyettesítették. Így a "c"-bıl "f", az "a"-ból "d" lett. Pl. : a "caesar" kódolva : "fdhvdu".
•
Helyettesítéses módszer: a szöveg betőit egy elıre egyeztetett táblázat szerinti betőkkel vagy jelekkel helyettesítették. Szép példa erre Sherlock Holmes történetei közül "A táncoló emberkék" címő novella.
•
Keveréses módszer: a szöveg karaktereit egy bizonyos szabály szerint egymás között felcserélték. Ugyancsak irodalmi példára hivatkoznék: Jules Verne magyar vonatkozású regénye, a "Sándor Mátyás" hısei által használt négyzetrácsos eszköz is ilyen volt.
Adatvéd(elem)
50
Dekódolás
Ahhoz tehát, hogy egy titkosított üzenetet a címzett el tudjon olvasni, három dologgal kell "rendelkeznie": 1. maga a titkosított üzenet 2. a titkosítási módszer (algoritmus) ismerete 3. a kulcs ismerete - s ez az egész rendszer leggyengébb eleme. Idıvel egyre bonyolultabb algoritmusokat fejlesztettek ki a nehezebb feltörhetıség érdekében, ám az alapvetı probléma továbbra is fennállt. Nem elegendı az üzenetet eljuttatni a címzetthez, nem elegendı ismernie a megfejtéshez szükséges algoritmust: valahogy a megfejtési kulcsot is ki kell adnunk a kezünkbıl, el kell juttatnunk hozzá. A kulcsot nem küldhetjük ugyanazzal a futárral, ugyanabban a levélben, hisz aki hozzáfér, meg is tudja fejteni az üzenetet. A kulcsot viszont épp emiatt kellene gyakran váltani, hisz bármikor, bármelyik üzenet illetéktelen kézbe kerülhet. Ráadásul, ha több partnerrel is tartunk kapcsolatot, nem célszerő ugyanazt a kulcsot használnunk minden esetben. A helyzetet tovább bonyolítja, ha válaszokat is várunk - ekkor már a kulcsok olyan tömegét kellene folyamatosan cserélgetni, hogy ez megkérdıjelezi az egész rendszer használhatóságát. 3.3. Szimmetrikus Titkosító Eljárás DES (Data Encryption Standard) A kriptográfia a titkosítás két alapvetı módszerét ismeri: -
szimmetrikus titkosítás
-
aszimmetrikus titkosítás
Szimmetrikus algoritmusoknál egyetlenegy kulcsot használnak, amelyet a kódolt üzenet küldıjének és fogadójának is ismernie kell. Ezzel szemben az aszimmetrikus eljárások két kulcsot használnak, melyek egyikét tudatosan nyilvánosságra hozzák. A szimmetrikus titkosító
eljárásokkal
az
üzenetek
ugyan
lényegesen
gyorsabban
titkosíthatók és
visszafejthetık, mint az aszimmetrikus eljárásokkal (100-10 000-szeres tényezı), viszont az a hátrányuk, hogy a használt kódot elızıleg valamilyen biztonságos úton el kell juttatni az üzenet fogadójához. Ha valakinek sok ügyféllel kell kapcsolatot tartania, akkor minden egyes
Adatvéd(elem)
51
címzett részére generálnia kell egy kulcsot, és ezt el kell juttatnia hozzá. A szimmetrikus titkosító algoritmusok fı problémáját éppen az ilyen kulcsok kezelése és terjesztése jelent. 3.3.1. A Data Encryption Standard (DES) A szimmetrikus titkosító eljárások legismertebb szabványa a DES (Data Encryption Standard), amit a hetvenes években az IBM fejlesztett ki az NBS (National Bureau of Standard) részére. A DES a titkosításhoz egy 64 bit hosszúságú kulcsot használ (ez 8 paritásbitet is tartalmaz, vagyis a kulcs effektív hossza 56 bit), és így a 64 bit hosszúságú normál szövegblokkokat 64 bites kulcsblokkokká alakítja át (Block-Cypher eljárás). Az eljárás az eredeti szövegen elıször egy sor permutációt és helyettesítést végez. Ezt követıen az így kapott eredmény és az eredeti szöveg között elvégez egy logikai XOR mőveletet. Ezt a mőveletet 16 alkalommal megismétli úgy, hogy a kulcsbitnek minden alkalommal más és más az elrendezésük. Ez a fajta titkosítás még mai szemmel is bizonyos fokig biztonságosnak tekinthetı. Háromszoros titkosítással a DES biztonsága még tovább növelhetı. Ez a fajta biztosítás 112 bit hosszúságú kulcshossznak felel meg, ami természetesen a titkosításhoz és a visszafejtéshez szükséges számítási idıt is megnöveli. 3.4. Nyilvános kulcsú titkosítás Ez a módszer egy 1976-ban született matematikai megoldás. Legismertebb megvalósítása az RSA, melyet három matematikus (Rivest, Shamir és Adelman) dolgozott ki 1977-ben az USA MIT (Massachusetts Institute of Technology) egyetemén. Lényege, hogy minden résztvevı (címzett és feladó egyaránt) rendelkezik két kulccsal: egy titkossal és egy nyilvánossal. A kulcsokat egy erre a célra fejlesztett programmal állítja elı mindenki, saját magának. A két kulcs egyszerre jön létre; a titkosat eltesszük magunknak, a nyilvánost pedig (akár drótpostán is) elküldjük mindazoknak, akivel levelezni szeretnénk.
A két kulcs egymást kiegészítve mőködik, a nyilvánossal lezárt szöveget csak a titkos nyitja ki, és fordítva, a titkossal lezártat a nyilvánossal nyithatjuk ki. Tehát, ha levelet küldünk valakinek, akkor a levelet megírás után lezárjuk a címzett nyilvános kulcsával. (Ezt persze elızıleg tıle kaptuk meg) Az így lezárt levelet csak és kizárólag az tudja elolvasni, aki rendelkezik a címzett titkos kulcsával, mert az az egyetlen kulcs, ami nyitja. Így hiába is csípi el a levelet bárki útközben, elolvasni nem tudja. A módszer nagy elınye, hogy így azok is tudnak titkosított üzenetet váltani, akik nem is ismerik egymást, elég, ha elızıleg kicserélték nyilvános kulcsaikat. A nyilvános kulcs átadása is rejt
Adatvéd(elem)
52
magában veszélyeket: ugyan azzal, hogy valaki elcsípi a nyilvános kulcsunkat, nem jut messzire, legfeljebb tud nekünk titkosított levelet írni, de fontos, hogy amirıl azt hisszük, hogy XY nyilvános kulcsa az tényleg XY nyilvános kulcsa legyen, ezt a tanúsítók biztosítják. A módszer egy másik nagyszerő lehetısége, hogy biztosítani tudjuk a levelek hitelességének ellenırzését, vagyis azt, hogy a levél tényleg attól jött, aki feladónak fel van tüntetve. Ez úgy történik, hogy a levél feladója a levelet elıször a saját titkos kulcsával, majd a címzett nyilvános kulcsával zárja le. A címzett a kapott levelet elıször kinyitja saját titkos kulcsával, majd a feladó nyilvános kulcsával ellenırzi, hogy a levelet valóban a feladóként szereplı személy küldte. Ez így talán kissé bonyolultnak tőnik, de miután ezeket az ellenırzéseket gombnyomással elvégezhetjük, igen egyszerőek. A nyilvános kulcsos titkosítás feltalálása után közel 15 évig az állami titkosszolgálatok monopóliuma volt. 1991-ben egy bátor amerikai (Phil Zimmermann) megírta az algoritmust PC-re, és feltette az Internetre, annak érdekében, hogy a nagy tömegek számára ingyenesen biztosítsa a - szerinte minden ember alapvetı jogát jelentı - biztonságos kommunikáció lehetıségét. A programot PGP-nek (Pretty Good Privacy - egy népszerő amerikai rádiómősor címének torzításából) nevezte el. A program karrierje több szempontból is szédületes: egyrészt ma már több millió ember használja, másrészt a megrémült állami bürokráciák fejveszetten próbálnak valamit kitalálni ellene. (úgy látszik, zavarta ıket, hogy tényleg nem tudják leveleinket elolvasni) A butábbak egyszerően betiltották a használatát (pl. Burma vagy Kína), a ravaszabbak jogi megoldással próbálkoznak. (az USA-ban Zimmermannt bíróság elé állították a fegyverexportot szabályozó törvény megsértésének vádjával. Azóta felmentették) Ma már a Zimmermann által fejlesztett PGP-t lényegesen egyszerőbben kezelhetı és több szolgáltatást nyújtó programok váltották fel, és ezek a funkciók beépítésre kerültek a legelterjedtebb internetes programokba is. Nyilvános kulcsos titkosítással dolgozik a Netscape és az Internet Explorer is, ezzel a módszerrel érik el a WEB titkosított oldalait (ilyenkor pl. a Netscape képernyı jobb alsó sarkában állandóan látható törött kulcsocska összeáll), illetve ezzel végzik a titkosított levelezést. Még azért léteznek megkötések, az USA pl. korlátozza az ott elıállított, 40 bitnél hosszabb kulcsot használó rendszerek exportját, így például 128 bites kulcsokat az amerikai Netscape csak az USA-n belüli használatra eladott változatában enged meg.
Adatvéd(elem)
53
3.4.1. RSA – nyilvános kulcsú titkosítás 1. Véletlenszerően ki kell választani két nagy prímszámot, p-t és q-t úgy, hogy p ≠ q. 2. Ki kell számítani n = pq értékét 3. Ki kell számítani egy φ(n) –hez relatív prím kis páratlan e egész számot. φ(n) = (p-1)(q-1). 4. Ki kell számítani az e multiplikatív inverzét modulo φ(n), legyen ez az érték d. Adott e és φ(n)-bıl d számolható 5. Nyilvánosságra kell hozni a P = (e,n) párt, az RSA nyilvános kulcsát 6. Titokban kell tartani az S = (d,n) párt, az RSA titkos kulcsát. Példa p = 67 q = 11 n = p q = 737 Mellékelni kell a nyilvános és a titkos kulcshoz egyaránt! φ(n) = (p-1)(q-1) = 66 * 10 = 660 e = 7 (0-tól indulva 7 az elsı 660-hoz relatív prím, Nyilvános kulcs) e * f ≡ φ( (p-1)(q-1) ) 7 * x ≡ 1 (660) Ebbıl következik, hogy 660 | 7x – 1 A feladat tehát a következı diofantoszi-egyenlet megoldásainak felírása: 660y = 7x – 1 7x – 660y = 1 660 7 2
= = =
94 · 7 3·2 2·1
+2 +1 +0
2 = 660 – 94 · 7 1 = 7 – 3 · 2 = 7 – 3(660 – 94 · 7) = 283 · 7 – 3 · 660
Általános megoldások: x = x0 + [ b / (a,b) ] · t y = y0 - [ a / (a,b) ] · t
t∈Z t∈Z
x = 283 + [ (-660) / 1 ] · t t ∈ Z Tehát t = 0 esetén x = 283 (d Titkos kulcs) Az angol abc kb. 26 betőbıl áll, ezért számoljunk Ζ26 –ban. Ζ26 : {0,1,2, … ,25} A 0
B 1
C 2
D 3
E 4
F 5
G 6
H 7
I 8
J 9
K 10
L 11
M 12
N 13
O 14
P 15
Q 16
R 17
S 18
T 19
U 20
Mivel 0-tól indexelünk, ezért az ’R’ – bető a 17. a sorban, az ’S’ pedig a 18. Így, ha le akarom kódolni az ’RS’ üzenetet, a következıképpen fog kinézni: ’RS’ = 17 · 261 + 18 · 260 = 460 (= M)
V 21
W 22
X 23
Y 24
Z 25
Adatvéd(elem)
54
kódolás: Me mod n = 4607 mod 737 = 697 Moduláris hatványozás ab mod n c=0 d=1 bk, bk-1, … ,b0
i := k -> 0
d = d2 % n
c=c·2
bi = 1
i
c=c+1 c := 0 ; d := 1 ; legyen b bináris alakja; for i := k downto 0 do begin c := 2 * c ; d := (d * d) mod n ; if bi = 1 then begin c := c + 1 ; d := (d * a) mod n end end
a = 460 b = 7, kettes számrendszerben: 111 n = 737
c d i
0 1
c=0 d = (1*1) mod 737 = 1 c=1 d = (1*460) mod 737 = 460
0 1
1 460
d = (d · a) % n
Számrendszer átváltás 7%2=1 3%2=1 1%2=1 0 Eredmény: 111 10 % 2 = 0 5 %2=1 2 %2=0 1 %2=1 0 Eredmény: 1010
2 81
c = 2 *1 = 2 d = 4602 mod 737 = 81 c=3 d = (81*460) mod 737 = 410
3 410
6 64
7 697
c = 2*3 = 6 d = 4102 mod 737 = 64 c=7 d = (64*460) mod 737 = 697
Adatvéd(elem)
55
697 a 7. hatvány értéke, így ezzel dolgozunk tovább. Z26-ban számolunk, így a 697-et 26 hatványaiként kellene felbontani! 697 = 26 * 26 + 21 Innen már egy kis átalakítással felírható: 697 = 1 * 262 + 0 * 261 + 21* 260 = BAV
Dekódolás: 697283 mod 737 = 460 460 = 17 * 261 + 18 * 260 Röviden összefoglalva: X Nyilvános kulcs: Pa(ea,na) Titkos kulcs: Sa(da,na)
Y Nyilvános kulcs: Pb(eb,nb) Titkos kulcs: Sb(db,nb)
Tehát, ha X tudatni akar valamit Y-nal, és írni akar neki valamit, akkor Y Pa nyilvános kulcsával titkosítja a levelét, így azt csak Y fogja tudni visszafejteni, hiszen neki áll csak rendelkezésre a ea-hoz tartozó da titkos kulcs! Ha Y titkos válaszlevelet akar küldeni X-nek, akkor azt X nb nyilvános kulcsának felhasználásával fogja megtenni, így azt csak X tudja majd elolvasni! 3.5. Digitális aláírás, nyilvános kulcsú architektúra– PKI A PKI (Public Key Infrastucture) egy globálisan elfogadott rendszer, amely aszimmetrikus (azaz nyilvános) titkosítást és digitális igazolást használ a biztonságos elektronikus
dokumentumok
/
tranzakciók
hitelesítése
(pl.:
Internet-szolgáltatások)
érdekében. A digitális aláírás minısített fajtájának jelenlegi technológiai alapja. A PKI rendszer és a smart kártyák együttes alkalmazása biztosítja napjainkban az elektronikus tranzakciók legnagyobb fokú biztonságát. A PKI megfelel a fizikai személyazonosság igazolásának (például személyi igazolvány), hiszen egy pártatlan, megbízható harmadik fél bocsátja ki és egyénre jellemzı. Mőködési elve egy kulcs-párra épül. A privát, titkos kulcs a felhasználó birtokában van, a nyilvános kulcs bárki számára elérhetı. A kulcs-pár felhasználása lehetıvé teszi digitális aláírás létrehozását és elektronikus dokumentumok hitelességének megállapítását.
Adatvéd(elem)
56
A PKI négy elemre épül: • a tanúsító hatóság (CA – Certification Authority) egy a társadalom által elfogadott szervezet, aki a felhasználó részére kiadja a kulcspárt, majd ennek nyilvános részét egy adatbázisban közzéteszi, • második elem a nyilvános adatbázis (Directory), •
a harmadik maga a felhasználó (user) a privát kulcs segítségével elektronikusan
aláírja az általa küldendı iratot,
•
a rendszer negyedik eleme körébe a szolgáltatók (bankok, webszolgáltatók stb.)
tartoznak, akik az adatbázisból kinyert nyilvános kulccsal ellenırzik a felhasználó által küldött irat eredetiségét és hitelességét.
Nyilvános adatbázis
Tanúsító hatóság
Szolgáltatók
Felhasználó
Kulcs (bankok,
3.1. ábra A PKI infrastruktúra elemei Természetesen a kulcsok használata a fogyasztó és a szolgáltató között mindkét irányba történhet.
Adatvéd(elem)
57
Digitális tér Fizikai tér
Autentáció Digitális tanúsítvány
Letagadhatatlanság Digitális aláírás
Bizalom
Titkosítás
3.2. ábra A PKI infrastruktúra alapelvei
A digitális aláírás a következı tulajdonságokkal rendelkezik: 1. Autentikáció (Authentication). Biztosítja, hogy a felhasználó valóban az, akinek mondja magát. 2. Letagadhatatlanság (Non-repudiation). Az irat eredetét igazolja, így a felhasználó nem tagadhatja le, hogy az üzenet általa került kibocsátásra. 3. Bizalom (Confidentiality). Titkosítás útján (külön kulcs-párral) biztosítja, hogy a kommunikáló feleken kívül más számára az üzenet ne legyen értelmezhetı.
4. Integritás (Integrity) azt fejezi ki, hogy az információ nem lett megmásítva a transzmisszió során.
3.5.1. A digitális aláírás Magyarországon
Magyarországon a „Az elektronikus aláírásról szóló 2001. évi XXXV. törvény” elfogadásával ill. számos hazai hitelesítés-szolgáltató létrejöttével megteremtıdtek a digitális aláírás széleskörő felhasználásának feltételei. Az E-Group Magyarország Rt. által kifejlesztett SDX (Signed Document eXpert) termékcsalád a magyar aláírási törvénnyel teljes mértékben
Adatvéd(elem)
58
konform, valamennyi, hazai hitelesítés szolgáltató által kibocsátott tanúsítvánnyal együttmőködı alkalmazáscsomag. 3.6. Szteganográfia (nagyon rejtett jelek) A titkosítás iránti igény egyre erısebb az Internet és a személyi számítógépek elterjedésével. Ebben az összefüggésben gyakran elhangzik a szteganográfia, mint fogalom. Az eljárás titkos információk elrejtését jelenti látszólag ártalmatlan hordozókba. Ha nincs titkosításra utaló jel, a titkolózó a feltörést sem provokálja. A szteganográfia (stegano görögül: titkos, graphein : írás) teljesen más taktikát alkalmaz, mint a titkosítás. Míg ez utóbbi a titkosítási eljárás alkalmazását nem rejtegeti, a szteganográfia már az üzenet puszta létét sem árulja el, vagy eltereli arról a figyelmet. A rejtett üzenet a legtöbbször szerzıi jogi jelzés (copyright mark) vagy rejtett kommunikáció. Az üzenet megjelenítését megnehezítı technikai szteganográfia egyik évezredek óta alkalmazott eljárása a láthatatlan tinta. Ennek során tejet vagy hagymalevet alkalmaznak, amely a hordozó üzenet sima elolvasása alatt láthatatlan marad. Csak ultraibolya fény alatt, vagy hıhatásra tőnik fel a rejtett üzenet. A láthatatlan tinta eljárás folyamatosan fejlıdött az évszázadok során. A második világháborúban a német kémek rézszulfát-oldatot alkalmaztak, és az irományt ammóniagızök felett kellett olvashatóvá tenni. Az ókorban sem hiányzott az innováció. Hérodotosz például beszámol egy nemesemberrıl, aki a titkos üzenetet egy rabszolga fejére tetováltatta. A hírvivıt természetesen a haja kinövése után indították útnak, és a címzett az újabb kopaszra nyírás után jutott hozzá az üzenethez. Az üzenet észlelését megnehezítı modern alkalmazás volt a gyorstelegráfia (Morse kódok másodpercenként 20 jellel), vagy a világháborús titkosügynökök „mikrodot” adathordozója, amely olyan kicsi lehetett, mint az i betőn a pont, de a lekicsinyített fotografikus üzenet nagy mennyiségő információt rejtett. A betőhalmazba, vagy elıre egyeztetett ártalmatlan kódszavak mögé rejtı nyelvi szteganográfia már egyszerő elıírásokkal is korlátozható. Az USA-ban a második világháború alatt tiltották a virágcsokorral küldhetı kártyákat, a rádiós kívánságmősorokban beolvasott
üdvözleteket,
postaforgalomban
is
és
hasonló
a
rejtjel szigor
alatt
feladott
nyilvánult
hirdetéseket.
meg:
tilos
volt
A
nemzetközi
nyelvi
fejtörık,
keresztrejtvények, újságkivágások, szabásminták és szerelmes levelek postázása, és tilalom alá estek még a gyermekrajzok is. Kétséges esetben a cenzorok teljesen más szöveggel újraírták a levelet, vagy átragasztották a borítékon a bélyegeket.
Adatvéd(elem)
59
3.6.1. A szteganográfia számítógépes alkalmazásának lehetıségei A változatlan elven mőködı távközlési eszközök és a komoly teljesítményő személyi számítógépek elterjedésével alapjaiban változtak meg a szteganográfia lehetıségei. Alapvetı szempont, hogy megfelelı mérető „zajos” hordozó álljon rendelkezésre. Ez annyit tesz, hogy garantált a tartalmazott információk véletlenszerősége. Jó példa egy audiófájl háttérzaja, vagy egy „zajos” képfájl (dithering). Erısen zajos képfájl például egy beszkennelt fénykép, de nem az egy CAD mőszaki rajz. Az információkat rendszerint az egyes képpontok mainpulálásával az LSB (least significant bit legkevésbé fontos színbit) manipulálásával ágyazzák bele a képfájlba. Természetesen nem minden bit alkalmas az információ hordozására. A programokban olyan algoritmusokat alkalmaznak, amelyek képpontonként megvizsgálják, a környezı pixelek milyen szín- és világosságértéket hordoznak, vagyis a változtatás mennyire volna szembetőnı. Monokróm képeken, vagy 8-bites (256) színmélység esetén a legkisebb változtatás is kiabálhat, ezért a legtöbb program csak 24 bites képeket fogad el, vagy ilyenre konvertál. Arányában mindig kevés LSB-t módosítanak, hogy ne lehessen kiszőrni a módosított képpontokat. Ezen kívül a változtatások statisztikai eloszlására is ügyelni kell, több üzenetet például ugyanazok a pontok nem hordozhatnak (egyszeri felhasználás), ugyanaz a kép pedig természetesen nem fordulhat többször a címzett és feladó között. A képekhez hasonlóan alkalmas hordozók lehetnek a hangfájlok, ezek közül is a pazarló helykihasználású WAV formátum. Az MP3 is lehet hordozó, ha a hallható tartományon kívül esı, vagy eleve dummy-ként viselkedı (nem hangzó) szakaszokat manipulálják. Hosszabb szövegek HTML vagy TXT formátumban szintén alkalmasak háttérüzenet hordozására. A sor vagy mondatvégi szóközök elvételével, vagy véletlen megduplázásával, megháromszorozásával eltárolhatjuk az információt. Szövegszerkesztıben, böngészıben megjelenítve, a változás nem tőnik fel, a legtöbb program elnyeli a felesleges szóközöket. A helyigény viszont elég nagy lesz, nyomtatott oldalanként alig néhány bit fér el a szöveges dokumentekben.
Adatvéd(elem)
60
Természetesen így is fennállhat a veszély, hogy felfedezik a szteganografiával elrejtett adatokat. Ezért az üzenet hagyományos titkosításától nem lehet eltekinteni. Az ideális eljárás az eredeti üzenet tömörítése, titkosítása és ezt követı elrejtése a hordozó fájlban.
Adatvéd(elem)
61
4. fejezet Az adatvédelem III. eleme: az eszköz, avagy a kommunikáció
Ebben a fejezetben az adatok-, információk biztonságát jelentı veszélyekrıl írok, amelyek nincsenek biztonságban, miután elhagyták egy adott intézmény falait, de van, hogy magán az intézményen belül sem. Mivel az információ egyik legfontosabb tulajdonsága, hogy továbbítható, ezért elıbb-utóbb továbbításra is kerülnek, és hogy a továbbítás alatt is megırizzék a védendı tulajdonságaikat, biztosítani kell a kommunikáció biztonságot. Az
Internet
biztonságáról
folytatott
viták
során
a
szakemberek
gyakran
megfeledkeznek arról a tényrıl, hogy bármely vállalat információs rendszere internetes csatlakozás nélkül is jelentıs kockázatnak van kitéve. A korszerő adat és információ feldolgozás ma már megköveteli, hogy a számítógépeinket összekapcsoljuk és különbözı számítógépes hálózatokat alakítsunk ki. Ez történhet réz-, illetve optikai vezetékekkel, vagy – ami napjainkban egyre inkább elıtérbe kerül – vezeték nélküli kialakítással. Az információvédelmi kihívások ezen a területen a legnagyobbak, minél nagyobb a számítógépes hálózat annál nagyobb támadásnak van kitéve és a támadási valószínőségek nem lineárisan, hanem exponenciálisan növekednek, a számítógépes hálózatok nagyságával. A megfelelı információbiztonság a hálózatban azt jelenti, hogy a kezelt adatokhoz csak az arra jogosultak férhetnek hozzá, ık azonban mindig gyakorolhatják jogaikat, továbbá az adatokat csak arra jogosultak változtathatják meg, és ennek valamilyen nyoma is marad. Ez együtt jár azzal, hogy az adatoknak áramkimaradás bekövetkeztekor is elérhetınek kell lenniük, és villámcsapás esetén sem változhatnak meg – legalábbis elvileg. A fentiek megvalósítása összetett feladat, a megoldás több terület közös munkájának eredménye. 4.1. Az elektronikus adatfeldolgozás alapvetı kockázatai Az Ernst&Young cég egyik korábbi vizsgálatából kiderül, hogy a vizsgálatba bevont vállalatoknál (több, mint ezer vállalat), szinte minden másodikat olyan anyagi veszteségek érték, amelyeket egyértelmően kapcsolatba lehet hozni az információáramlás biztonsági problémáival. A veszteségek okozói az esetek kétharmad részében a cég saját alkalmazottai voltak, közülük minden második ártó szándék nélkül. Erre tipikus példák az alábbiak
az adatbiztonság hiánya vagy hibás volta
vírusok behurcolása saját hajlékonylemezen, vagy egyéb adathordozón
„ …csak látni szerettem volna, mi történik, ha…”
Adatvéd(elem)
62
adatkezelési hibák (pl.: adatok véletlen törlése) Miközben a fent említett veszélyek minden vállalatot fenyegetnek, függetlenül attól,
hogy a cég kapcsolódik-e valamilyen kommunikációs hálózathoz vagy sem, ténylegesen csak az Internethez való csatlakozással nı meg annak valószínősége, hogy a vállalat valamilyen célzatos támadás áldozatává váljék. A National Computer Security Association egyik vizsgálata szerint az internetes kapcsolattal rendelkezı vállaltok nyolcszor gyakrabban vannak kitéve támadásoknak, mint a velük összehasonlítható, de internetes csatlakozással nem rendelkezı vállalatok. Napjainkban azonban már szinte minden vállalat rendelkezik internetes csatlakozással, így elmondhatjuk, hogy szinte minden vállalat ki van téve a külsı támadások veszélyének. További kockázatnövelı tényezık a más vállalatokkal meglévı adatkapcsolatok, valamint az olyan infrastruktúra, ami lehetıvé teszi, hogy a cég dolgozói modemen keresztül beléphessenek a vállalati információs hálózatba, miszerint a belsı adathálózatokat kívülrıl ért támadások során a támadók az Internetet használták hozzáférési közegként. 4.2. Az internetes csatlakozás veszélyei A belsı információs rendszereket potenciálisan fenyegetı veszélyeket az Internetre való csatlakozás további veszélyforrásokkal bıvíti, amelyek az alábbiak szerint csoportosíthatók: o illetéktelen személyek behatolása az adathálózatba:
adatok elvesztése (beszúrás/törlés/hamisítás)
bizalmas információk elvesztése (PR-tevékenység, verseny)
zavarok a hálózati készenlétben (vírusok, szabotázsok)
tekintélyvesztés a nyilvánosság elıtt
o trójai programok, vírusok és más károkozó szoftverek beférkızése az internetes adatcsere során o hamis azonosság színlelése (saját internetcím harmadik személy általi jogosulatlan használata) 4.3. A vállalaton belüli intranetek veszélyei Az Internet technológiájának elterjedésével a vállalaton belüli hálózatokban is egyre inkább használják az internetes eljárásokat. A vállalaton belüli adatkommunikácóhoz az
Adatvéd(elem)
63
Internetnek mint univerzális platformnak az adattovábbítási mechanizmusait (TCP/IP, http stb.), adatábrázolási formáit és egyéb szolgáltatásait alkalmazzák. Ez azonban egy sor elınye mellett biztonságtechnikai szempontból tekintve problémákat is okoz. Így például az intranetek bevezetésekor végrehajtott – a kommunikációs protokollok és az adatformátumok internetes
eljárásoknak
megfelelı
–
szabványosítás
következtében
egyszerőbben
hozzáférhetnek a bizalmas adatbázisokhoz illetéktelenek. Az Interneten használt eszközeiket a „betörık” most már egy vállalaton belül is használhatják arra, hogy belsı rendszerekhez és adatállományokhoz férjenek hozzá. A témával kapcsolatos tanulmányok azt igazolják, hogy a számítógépes rendszereket rosszindulatúan használók több mint kétharmada a vállalat saját munkatársai közül kerül ki. Ez a tény is mutatja, hogy jelentıs mértékben nı a biztonsági kockázat azoknál a cégeknél, ahol nem hoznak megfelelı belsı biztonsági intézkedéseket (belsı tőzfalak, IDS-ek, kódolás, stb.). Az intranet bevezetésének további következménye, hogy a korábban papíron vagy élıbeszédben folytatott kommunikációk áttevıdnek az intranetre, ahol elektronikusan cserélnek információkat a munkatársak (videó- és audiókonferencia, hírcsoportok, üzenırendszerek, hangpostarendszerek, stb.). A cégen belüli kommunikációnak és az adatbázisoknak is egyre nagyobb része elektronikus formában áll rendelkezésre, amelyek így egyrészt hatékonyabban használhatók (keresırendszerek), másrészt viszont megkönnyítik a visszaélést ezekkel az információkkal, ami további következményekkel járhat. Az intranetek minden esetben különleges igényt támasztanak a vállalaton belüli biztonsági rendszerek kiépítésére. 4.4. Hálózatok lehallgatása A hálózatokon, kapcsolt vonalakon haladó adatforgalom többé-kevésbe könnyen lehallgatható. Ez különösen a helyi hálózatok adatforgalmára igaz, az itt szokásos üzenetszórásos technika jóvoltából (egy hálózati szegmens minden egyes munkaállomásához a többi munkaállomás minden üzenete eljut). Az átlagfelhasználó rendszerint nem is sejti, hogy a helyi hálózatok milyen könnyen lehallgathatók. E védtelenség a helyi hálózatok eredeti rendeltetésébıl is származik, hiszen ezeket csoportmunkára szánták, ahol a lehallgatás nem jelent komoly rizikó faktort. Az analóg kapcsolt (telefon) vonalak lehallgathatósága közismert, de csak a központokban lehet nagyszámú vonalat egyszerre lehallgatni, így itt a veszély a helyi hálózatokénál sokkal kisebb - de fennáll. Számos adatátviteli mód nehezen hallgatható le (ISDN, GSM, optikai átvitel, vagy a szinte lehallgathatatlan szórt spektrumú átvitel), de a tökéletes megoldást csak a teljes
Adatvéd(elem)
64
adatforgalom titkosítása jelentheti. Akadémiai célú felhasználás ezt nem indokolhatja. Azonban a legfontosabb adatok (jelszavak, bizalmas üzenetek) titkosíthatók. Több operációs rendszer és hálózati alkalmazás vagy eleve titkosított formában küldi át a jelszavakat, vagy ún. titkosított, egyszer használatos ('one-time password') jelszavakat használ. A jelszavak titkosítása önmagában még nem megoldás, hiszen a titkosított jelszót elfogva, azt újra lejátszva beléphetünk egy rendszerbe anélkül, hogy a jelszót tudnánk. A mai rendszerek, ha már titkosított jelszavakat használnak, akkor alkalmaznak módszereket a titkosított jelszó újrafelhasználásának megakadályozására is. Technikailag könnyő kivitelezhetıségének köszönhetıen az utóbbi idıkben a helyi hálózatok lehallgatása elterjedt. Szabadon elérhetı, BBS-ekrõl, anonymous FTP helyekrıl letölthetı szoftverek alkalmasak lehallgatásra, melyeket egyébként a hálózati menedzserek hálózatmonitorozására, a forgalom analizálására fejlesztettek ki. E szoftverek használata meglehetısen erıforrás-igényesnek számított, de ez már nem áll fenn, az utóbbi idık átlagos PC-i már képesek futtatni ilyen programokat. Így a lehallgatás széles körben elérhetıvé vált. A hálózat kivitelezése, topológiája nagyban befolyásolja a lehallgatás lehetıségeit, azonban ez idáig a lehallgatás elleni védelem nemigen volt szempont a hálózattervezéskor. Szerencsére korunk új technikái, melyeket a nagyobb hálózati teljesítményigények miatt alkalmaznak, nagyban nehezítik a lehallgatást (pl. a switching hub-ok). A hálózatok lehallgatása rendkívül jelentıs, ez úton tömegével lehet jelszavakat illetéktelenül megszerezni. A védekezés nehéz, nagyon is nehéz lehet. Elvben vannak megoldások, de alkalmazásuk a gyakorlatban körülményes. A legfontosabb, hogy szarvashibákat ne kövessünk el: - ne jelentkezzünk be távolról superuser vagy más kritikus jelszóval, - ne küldjünk e-mailen, ne tároljunk file-ban titkosítatlan jelszavakat. Sokat segíthet: - a környezetünk, a hálózat gépeinek ellenırzése, figyelemmel kísérése; - már magának a problémának az ismerete is. Alapvetı megoldást a hálózatok megfelelı kialakítása, adott esetekben átszervezése, valamint bizonyos hálózatmenedzsment megoldások jelentenek. A probléma összetett, s csak
Adatvéd(elem)
65
összetett, önmagában nem teljesen hatékony eszközökkel védekezhetünk, melyek együttesen már hatásosak. A jelszavak illetéktelen megszerzése munkaállomásokon elhelyezett ún. 'jelszó lopó' programokkal is könnyen megvalósítható. Ez lehet egy 'ál-login' program, mely elıször lejegyzi a jelszót, majd végrehajtja a valódi login procedúrát. Tökéletlen programoknál feléledhet a gyanúnk, de nyilván az ilyen program illetéktelen gépre kerülését kell elkerülni, ill. legalább kritikus accountokat (pl. superuser) potenciális támadásoktól védett géprıl használjunk. Természetes a jelszavak leleshetık, rejtett kamerával is felvehetık, s a trükkök sorát folytathatnánk, sıt a fent említetteknél még rafináltabb lehallgató eljárások is ismeretesek. 4.5. Kisugárzás biztonság (Emission Security Emsec) 1985-ben Wim van Eck publikálta kutatási eredményeit a számítógép monitorok elektromágneses kisugárzás biztonsági kockázatairól. Ezek voltak az elsı „civil” kutatási eredmények ebben a témában. A tanulmány hatalmas megdöbbenést okozott a biztonsági szakemberek körében, mert ık abban a hitben éltek, hogy az ilyen fajta lehallgatás, megfigyelés annyira bonyolult, melyre csak a kormányok által pénzelt szervezetek lehetnek képesek. Ezzel szemben van Eck egy televízió készülékkel és kb. 15 dollár értékő egyéb alkatrészekkel, sikeresen végrehajtotta egy bank számítógépes rendszerének lehallgatását több mint száz méterrıl. Bár késıbb kiderült, hogy ezt a kutatást katonai szakértık már sokkal elıbb véghez vitték. Mindenestre van Eck kutatásai ráirányították a figyelmet a nem kívánt kisugárzás által lehetséges információ kompromittálódásra, a kisugárzás biztonságra (Emission Security Emsec). (Az Emsec sokkal szélesebb körben elterjedt USA által használt kódneve a TEMPEST.) Ez az a probléma, amelyre még napjainkban sem fordítanak kellı figyelmet. Mivel minden elektromos és elektronikus, eszköz bocsát ki magából információ tartalommal rendelkezı nem kívánt kisugárzást, ezért hogy a minısített információink ez úton ne szivárogjanak ki három alapvetı dolgot tehetünk: •
Mivel a a kisugárzott jel a távolsággal négyzetes arányban csökken adódik a lehetıség, hogy ezeket az eszközöket olyan messzire helyezzük el hogy a lehallgatás a mai technika fejletségi szint mellett ne legyen lehetséges.
Adatvéd(elem) •
Az
66 eszközök
elhelyezésére
szolgáló
helyiségeket
elektromágneses
szempontból leárnyékoljuk. •
Alacsony kisugárzási szintet produkáló eszközöket alkalmazunk (TEMPEST eszközök ) Itt nem elég magának a számítógépnek TEMPEST kategóriájúnak lenni, hanem a monitornak, az egérnek és a billentyőzetnek is.
Az elsı megoldás akkor lehetséges, ha az adott objektum elég nagy kiterjedéső, és a minısített adatokat feldolgozó helyiségeket el tudjuk helyezni a kerítésektıl távolra. Ezzel minimálisra csökkentjük annak lehetıségét, hogy valaki kisugárzást elfogó lehallgató berendezést helyez el az információ feldolgozó berendezések „hatótávolságában”. Ez a megoldás azonban nem alkalmazható, ha az objektum sőrőn lakott városban van. A második megoldást kínáló lehetıség, ha a nem TEMPEST szabványú berendezéseinket, úgy helyezzük el, hogy az elhelyezésükre szolgáló helyiség nyújtja a védelmet. Ebben az esetben gondoskodni kell a határoló elemek (falak mennyezet, nyílászáró szerkezetek) megfelelı árnyékolásáról és az árnyékolás földelési rendszerérıl. Nem szabad elfeledkezni, hogy a táplálást végrehajtó eszközöket is, információ kisugárzás szempontjából átjárhatatlanná, tegyük. Erre a feladatra különféle nagyfrekvenciás szőrıket használhatunk. A harmadik esetben maga az eszköz kisugárzása minimális, azonban ez se egy költség kímélı megoldás mert a TEMPEST szabványnak megfelelı eszközök hatszor, esetenként tízszer drágábbak a hasonló tudású de nem szabvány társaiknál. Egy minısített rendszerbe csak megfelelı módon bevizsgált és a vizsgálaton megfelelt, eszközök építhetık be. Ezeket a tanúsítványokat csak hivatalosan elismert cégek állíthatják ki. A réz-, optikai-, illetve vezeték nélküli hálózatok lehallgathatósága A vezeték nélküli helyi hálózatok a médium alapvetı tulajdonságaiból adódóan más biztonsági jellemzıkkel bírnak, mint vezetékes társaik. A legfontosabb különbségek e tekintetben abból adódnak, hogy a jel térben hová jut el vezetékes és vezeték nélküli hálózatokban. Mind réz, mind optikai vezetékekben a jelterjedés gyakorlatilag a kábelben – vagy legalábbis a kábel vonalán – történik. Ezzel szemben a vezeték nélküli helyi hálózatokban a rádiófrekvenciás jel minden irányban terjedhet, amerre azt a tereptárgyak lehetıvé teszik, illetve a visszaverıdések, elhajlások által elısegítik. Természetesen az alkalmazott antennák karakterisztikája is nagy mértékben befolyásolja a jelek terjedését. A
Adatvéd(elem)
67
hálózati forgalom – pontosabban az átvitt jelek – lehallgatásának lehetıségét tekintve ez azt jelenti, hogy vezetékes hálózatok esetén a kábel közelébe kell jutni ahhoz, hogy lehallgathassuk a hálózatot. Réz kábelek esetén a lehallgatás gyakorlatilag triviális a vezetékekhez történı galvanikus csatlakozással, de rendszerint lehetséges a vezetékekhez való közvetlen hozzáférés nélkül is, az azok körüli elektromágneses tér analizálása alapján. A vezeték nélküli-, illetve a rézkábeles hálózatok az Echelon vagy más katonai mőholdakkal is lehallgathatóak, bár ennek pontos paraméterei titkosak. A rézkábeles hálózatok esetében fontos, hogy arra is ügyelni kell, hogy a nem használt konnektorok apatch panelen fizikailag is le legyenek választva. Optikai hálózatok lehallgatásához pedig feltétlenül szükséges a közvetlen hozzáférés az optikai szálakhoz. Ebben az esetben ugyanis a rendszerhez speciális optikai lehallgató eszközt kell csatlakoztatni, amely az üvegszál optikai veszteségét használja ki. Szemben a vezetékes hálózatokkal, a vezeték nélküli hálózatok lehallgatásához elegendı, ha a támadó a kommunikáló lokális hálózati eszközöktıl távolabb – az adott szituációtól függıen akár 50100 méterre – helyezi el a lehallgatáshoz használt eszközt. Tehát alapvetıen nem ajánlatos bizalmas információkat vezeték nélküli hálózatokon közölni, mivel ezek kódolástól függetlenül lehallgathatóak. Szintén lényeges különbség a lehallgatás bonyolultságát illetıen, hogy míg a vezetékeken átvitt jelek lehallgatásához valamilyen többé-kevésbé speciális eszközre van szükség, addig a vezeték nélküli közegen átvitt jelek egy egyszerő hálózati kártyával vehetık sok esetben. A pusztán passzív lehallgatás mellett a hálózatra aktív állomásként való csatlakozásról hasonlók mondhatók el. Vezetékes hálózatok esetén a csatlakozáshoz szükséges a hálózati vezetékhez való hozzáférés, legyen az akár optikai, akár réz vezeték. Pl. egy csavart érpáros Ethernet LAN esetén praktikusan egy mőködı fali csatlakozó aljzatot vagy switch portot kell találnia annak, aki csatlakoztatni akarja a gépét a hálózathoz. Vezeték nélküli hálózat esetén egyéb intézkedés hiányában egyszerően elég annyi, hogy az állomás a hálózat hatósugarába kerüljön. Ez – a médium korábban említett tulajdonságai miatt – rendszerint nehezen ellenırizhetı, és még nehezebben akadályozható meg. A (passzív) lehallgatás és a hálózathoz való illetéktelen (aktív) hozzáférés problémája tehát egyaránt létezik vezetékes és vezeték nélküli helyi hálózatoknál is, de a vezeték nélküli hálózatok esetén ezek a problémák rendszerint sokkal gyakoribbak. Természetesen mindkét médium fajta esetén lehetıség van ezeknek a problémáknak a kiküszöbölésére vagy a kockázatoknak megfelelı mértékő enyhítésére, adminisztratív és mőszaki eljárásokkal, intézkedésekkel.
Adatvéd(elem)
68
4.6. A vezeték nélküli (WiFi) hálózatokhoz kapcsolódó biztonsági problémák és megoldások 4.6.1. WEP Az IEEE 802.11 vezeték nélküli LAN szabvány tervezıi kezdettıl fogva fontosnak tartották a biztonságot. Ezért már a 802.11 korai verziója [802.11] is tartalmazott biztonsági mechanizmusokat, melyek összességét WEP-nek (Wired Equivalent Privacy) nevezték el. Ahogy arra a név is utal, a WEP célja az, hogy a vezeték nélküli hálózatot legalább olyan biztonságossá tegye, mint egy – különösebb biztonsági kiegészítésekkel nem rendelkezı – vezetékes hálózat. Ha például egy támadó egy vezetékes Ethernet hálózathoz szeretne csatlakozni, akkor hozzá kell férnie az Ethernet hub-hoz. Mivel azonban a hálózati eszközök általában fizikailag védve, zárt szobában találhatók, ezért a támadó nehézségekbe ütközik. Ezzel szemben egy védelmi mechanizmusokat nélkülözı vezeték nélküli LAN-hoz való hozzáférés – a rádiós csatorna nyitottsága miatt – triviális feladat a támadó számára. A WEP ezt a triviális feladatot hivatott megnehezíteni. Fontos azonban megjegyezni, hogy a WEP tervezıi nem törekedtek „tökéletes” biztonságra, mint ahogy a zárt szoba sem jelent tökéletes védelmet egy Ethernet hub számára. A tervezık tehát nem tették túl magasra a lécet, ám a WEP még ezt a korlátozott célt sem érte el. Pár évvel a megjelenése után, a kriptográfusok és az IT biztonsági szakemberek súlyos biztonsági hibákat találtak a WEP-ben, és nyilvánvalóvá vált, hogy a WEP nem nyújt megfelelı védelmet. A felfedezést tett követte, és hamarosan megjelentek az Interneten a WEP feltörését automatizáló programok. Válaszul, az IEEE új biztonsági architektúrát dolgozott ki, melyet a 802.11 szabvány i jelzéső kiegészítése tartalmaz [802.11i]. 4.6.2. 802.11i
A WEP hibáit felismerve, az IEEE új biztonsági megoldást dolgozott ki, melyet a 802.11i specifikáció tartalmaz [802.11i]. A WEP-tıl való megkülönböztetés érdekében, az új koncepciót RSN-nek (Robust Security Network) nevezték el. Az RSN-t körültekintıbben tervezték meg, mint a WEP-et. Új módszer került bevezetésre a hitelesítés és a hozzáférésvédelem biztosítására, mely a 802.1X szabvány által definiált modellre épül, az integritásvédelmet és a titkosítást pedig az AES (Advanced Encryption Standard) algoritmusra támaszkodva oldották meg. Sajnos azonban az új RSN koncepcióra nem lehet egyik napról a másikra áttérni. Ennek az az oka, hogy a használatban levı WiFi eszközök az RC4 algoritmust támogató hardver elemekkel vannak felszerelve, és nem támogatják az RSN által
Adatvéd(elem)
69
elıírt AES algoritmust. Ezen pusztán szoftver upgrade-del nem lehet segíteni, új hardverre van szükség, s ez lassítja az RSN elterjedésének folyamatát. Ezt a problémát az IEEE is felismerte, és egy olyan opcionális protokollt is hozzáadott a 802.11i specifikációhoz, mely továbbra is az RC4 algoritmust használja, és így – szoftver upgrade után – futtatható a régi hardveren, de erısebb mint a WEP. Ezt a protokollt TKIP-nek (Temporal Key Integrity Protocol) nevezik. A WiFi eszközöket gyártó cégek azonnal adaptálták a TKIP protokollt, hiszen annak segítségével a régi eszközökbıl álló WEP-es hálózatokat egy csapásra biztonságosabbá lehetett tenni. Meg sem várták amíg a 802.11i specifikáció a lassú szabványosítási folyamat során végleges állapotba kerül, azonnal kiadták a WPA (WiFi Protected Access) specifikációt [WPA], ami a TKIP-re épül. A WPA tehát egy gyártók által támogatott specifikáció, mely az RSN egy azonnal használható részhalmazát tartalmazza. A WPA-ban a hitelesítés, a hozzáférés-védelem, és a kulcsok menedzsmentje megegyezik az RSN-ben használt módszerekkel, a különbség csak az integritás-védelemre és a rejtjelezésre használt algoritmuskban mutatkozik. Végezetül: A hazai és nemzetközi gyakorlatot vizsgálva megfigyelhetı, hogy hazánkban a vezeték nélküli hot spotok robbanásszerő elterjedése nem hozta magával az elvárható biztonsági intézkedéseket. Míg nemzetközi viszonylatban ezeket a hozzáférési pontokat 7580%-ban valamilyen titkosítással védik, itthon sajnálatosan fordított az arány, pontosan ilyen százalékban nem védettek az illetéktelen hozzáféréstıl. Igazán védelmet csak a „süket” szoba és a TEMPEST eszközök együttes alkalmazása adhat, viszont ilyeneket építeni rendkívül költséges. Ezért az ilyen információvédelem a costbenefit elv alapján mőködik. Azaz csak annyira védenek, hogy mire az információ kiderül, addigra elavuljon. Az ilyen rendszerek általában nyílt kódot alkalmaznak, mert hitre, bizalomra alapozni nem lehet. Az USA egyes nagy rendszerei a korszerősített OPEN DOS vagy Linux rendszert használnak. Amit még meg kell említeni az eszközök lehallgatásával kapcsolatban, és amivel kevesen foglalkoznak: A banki automaták nagy része megfelelı eszközökkel lehallgatható, így illetéktelenek szerezhetik meg bankkártyáink adatait. Kisebb részben – a bonyolultsága miatt - az ezekben az automatákban lévı nem TEMPEST gép lehallgatásával, nagyobb részben az aktív kémkedés eszközeivel, mint például elıtét leolvasó, vagy a billentyőzet fölött
Adatvéd(elem)
70
elhelyezett mikrokamera segítségével. Vannak még más módszerek is a bankkártyákkal történı visszaélésekkel kapcsolatban, de azok nem tartoznak szervesen a hálózatok biztonságtechnikájához. 4.7. Adatkapcsolati protokollok A protokollok feladata egy összeállított keret átvitele két csomópont között. Az adatokat a hálózati rétegtıl kapja az adatkapcsolati réteg, és az általa összeállított információcsomagokat, vagy más néven kereteket átadja a fizikai rétegnek, ami bitenként küldi át a fizikai közegen. A keretek átvitele két csomópont között elsı gondolatra egyszerőnek látszik, de az csak a látszat, hiszen az ADÓ és VEVÕ tulajdonságai, a keretek adatútját jelentı csatorna minısége, a váratlan eseményekre való felkészülés mind igényeket támaszt a protokollal szemben, ami ezért változó bonyolultságú lehet.
4.1. ábra: Információk a rétegben
Mivel nincs olyan eljárás, amely folyamatos tetszıleges bitfolyamban a hibát képes jelezni, az átküldés hibátlanságát valahogy ellenırizni kell, ezért a bitfolyamot keretekké kell tördelni, és mindegyik keretet egy ellenırzı összeggel kell kiegészíteni. A keret megérkezése után ez az ellenırzı összeg a vételi oldalon a vett adatokból is kiszámításra kerül, és ha nem egyezik meg a küldı által számítottal, akkor a keretet a vevı eldobja, és a küldınek ismételten el kell küldenie.
Adatvéd(elem)
71
A bitfolyam átvitele bár bitenként történik, azonban sokszor célszerőbb a bitcsoportos átvitelt alkalmazni. A bitcsoportok bár tetszılegesek lehetnek, de legtöbbször az ASCII kódolású karakter kódolást alkalmazzuk. Ilyenkor az átvitel során mindig a egész számú karaktert viszünk át, azaz az átvitt információ alapegysége a karakter. Ez a karakterorientált átvitel (szöveges információ átvitele esetén nem is rossz választás.). Amennyiben a bitfolyam bitjeit bitenként értelmezzük bitorientált átvitelrıl beszélünk, ami általános információ átvitelekor rugalmasabb megoldás. Keretek képzése A bitfolyam keretekké tördelésére több módszer használatos: Karakterszámláló módszer: a keret fejlécében megadjuk a keretben lévı karakterek számát. Ez a VEVÕ oldalán meghatározhatóvá teszi a keret végét. Kezdı és végkarakterek alkalmazása karakterbeszúrással: az elızı módszernél a keret karaktereinek vételénél egy számlálót is folyamatosan kell egyesével csökkenteni (dekrementálni), amely kezdeti értékét is a keretbıl töltjük fel. Amikor a számláló értéke nulla, akkor értük el a keret végét. Jobb megoldás az ha egy speciális karaktersorozattal jelöljük a keret kezdetét és végét. Szokásos megoldás a DLE STX karakterkettıssel jelezni a keret kezdetét és DLE ETX-el a keret végét. Ezek speciális, az ASCII kódtáblában megtalálható karakterek, és keret adatrészében lévı esetleges szövegekben nem fordulnak elı. Más a helyzet, ha karakteralapú módszerrel bináris adatokat (pl. egy programkódot) kívánunk átvinni. Ilyenkor, mivel bármilyen bináris bitcsoport elıfordulhat, az adatmezıben megjelenhet a fenti két karakterkombináció, és ez hibás kerethatárt jelez. A megoldás: az ADÓ a kert összeállításakor az adatmezıben megjelenı minden DLE kód után, azonnal beszúr még egy DLE karaktert. A VEVÕ pedig, ha a DLE karakter vétele után ismét DLE következik, egyszerően a második DLE-t eldobja. A hálózati réteg által küldött üzenet: I T T E Z DLE V O L T Az ADÓ adatkapcsolati réteg keretképzése és karakter beszúrása: DLE STX I T T E Z DLE DLE V O L T DLE ETX Az VEVÕ adatkapcsolati rétege leválasztja a kettõzött beszúrt karaktert:
Adatvéd(elem)
72 DLE STX I T T E Z DLE V O L T DLE ETX
A VEVÕ hálózati rétegének átadott üzenet: I T T E Z DLE V O L T
Kezdı és végjelzık bitbeszúrással: ezt a módszert a rugalmasabb bitorientált átvitelnél használják. Minden keret egy speciális (a gyakorlatban legtöbbször) 01111110 bitmintával kezdıdik és végzıdik. Ha az ADÓ öt egymást követı 1-est tartalmazó mintát talál az adatmezıben, akkor egy 0 bitet szúr be utána. A VEVÕ a másik oldalon pedig ezt a beszúrt bitet az öt egymás utáni 1-es bit érzékelése után kiveszi a bitfolyamból. A hálózati réteg által küldött üzenet: 11111111110111 Az ADÓ adatkapcsolati réteg keretképzése és bitbeszúrása: 01111110 1111101111100111 01111110 Az VEVÕ adatkapcsolati rétege leválasztja a beszúrt biteket: 01111110 11111111110111 01111110 A VEVÕ hálózati rétegének átadott üzenet: 11111111110111 Ha a 0 és 1 bitek kódolásán kívül még létezik nem használt kód, ez a keretképzésre felhasználható. A következõ ábrán az információt egy bit átvitelének közepén lévı átmenet (állapotváltás) hordozza. Mivel az állapotváltás hiánya nem tartozik a kódoláshoz, ezért ez felhasználható a keret kezdetének és végének a jelzésére. Speciális információ jelzésére használható még az RS232C soros szabvány brake jelzése is. Ez azt jelenti, hogy az eredetileg MARK állapotú vonalat nem csak a START bit, és azt követı bitcsoport átvitel idejére tartjuk SPACE állapotban, hanem olyan hosszú ideig, hogy az egyértelmően külön állapotnak legyen tekinthetı.
Adatvéd(elem)
73
4.2. ábra: Keretezés nem használt állapottal
Hibakezelés Az adatátvitel és a kommunikáció fontos kérdése az átvitel során fellépı hibák kezelése. A rétegfelosztást figyelembe véve ezt az alsó három rétegben kell megoldani. Az elsı hibakezelést a fizikai rétegben, a bitek és karakterek átvitelénél kell megoldani. A vonalakon fellépı hibákat különbözı fizikai jelenségek okozzák: termikus zaj, a vonalakat kapcsoló berendezések impulzus zaja, a légköri jelenségek (villámlás) okozta zajok. A zajok idıtartamából következıen lehetnek egyedi és csoportos bithibák. A gyakoribb esetben a hibák fennállási ideje általában egy bit átviteli idejének a többszöröse, ezért ezek a hibák csoportosan, hibacsomók formájában jelentkeznek. Mivel az adatátvitel blokkos (keretes) formában történik, ezért az eredmény egy-egy blokk tönkremenése. Egyedi bithibák kezelésére a hibajavító (error correcting codes – ECC) és hibajelzõ kódok (error detecting codes) alkalmazása ad lehetıséget. Mindkét esetben az adatblokkokat redundanciával küldik, hogy a vevı az esetleges hiba tényét felfedezhesse (hibajelzés) illetve megállapíthassa, hogy minek kellett volna jönnie (hibajavítás). A redundáns kódok alkalmazásakor a bitcsoportot alkotó eredetileg m bites kódot r darab bittel egészítik ki, így a redundáns bitcsoport aminek általános elnevezése kódszó n=m+r bitbıl fog állni. Két tetszıleges kódszót megadva, mindig megállapítható, hogy hány bitben különböznek egymástól: a két szó kizáró vagy (XOR) kapcsolata által adott eredményben az
Adatvéd(elem)
74
1-esek száma adja a különbséget, és ezt szokták a két kódszó Hamming távolságának nevezni. Ennek az a jelentısége, hogy ha két kódszó k Hamming távolságú, akkor az egyik a másikba k darab egyedi hibával konvertálódhat át. Egy teljes kódszó rendszer Hamming távolságát úgy határozzuk meg, hogy képezzük minden lehetséges kódszó pár közötti Hamming távolságot, és ezek közül a legkisebb lesz az eredmény. A paritásvizsgálat során is olyan kódszavakat generálunk, amelyek hossza eggyel nagyobb mint az eredeti kódszó. Ezért a Hamming távolságuk 1, és egyszeres bithibák kimutatására alkalmasak. Ha egy kódszavakból álló blokkhoz szavanként egyetlen paritásbitet adunk, akkor csoportos hiba esetén a hibajelzés valószínősége csak 0.5 lesz (pl. a kódszóban lévı valamelyik két bit ellentétére változik, vagy egyszerre kettı azonos módon változik). A hibajelzés valószínősége olyan módon növelhetı, hogy a blokkot n*k elemő mátrixnak tekintjük, ahol n a paritásbittel kiegészített kódszó hossza, és k a blokkban lévı kódszavak száma. A paritásbitet oszloponként is kiszámítjuk, és a mátrix utolsó soraként azt is elküldjük. A vett blokkot a vevı mindkét paritás szerint ellenırzi. A módszer egyetlen n bites csoporthiba észlelésére képes, mert oszloponként 1 bit változik csak. 4.7.1. CRC – Cyclic Redundancy Check Csoportos bithibák esetén inkább egy másik módszert használnak, Ez a hibavédelmi eljárás úgy mőködik, hogy egy keretnyi adatot egy elıre meghatározott bitsorozattal “elosztunk”, és a “maradékot” a keret részeként továbbítjuk. A vevı oldalon ugyanezt az osztást végezzük el, és ha ez a keret részeként átküldött maradékkal egyezik, akkor hibátlannak fogadjuk el a keretet. A módszer részletezésétıl helyhiány miatt eltekintünk. Három szabványos bitsorozat terjedt el: CRC-12 6 bites karakterek átvitelekor használt CRC-16 8 bites karakterek átvitelekor használt CRC-CCITT 8 bites karakterek átvitelekor használt
Adatvéd(elem)
75
Az olyan 16 bites ellenırzı összeg, amit a az utóbbi két módszer alapján állítunk elı, észleli az összes egyes és kettıs hibát, az összes páratlan hibás bitet tartalmazó hibát, az összes 16 vagy ennél rövidebb csoporthibát, a 17 bites csoporthibák 99.997%-át, valamint a 18 bites és annál hosszabb csoporthibák 99.998%-át. 4.8. Az infokommunikációs rendszerek támadása Az infokommunikációs rendszerek rendkívüli mértékben fejlettek, és globálisan hozzáférhetıek, meg kell állapítanunk, hogy ezzel párhuzamosan és ezzel egyenes arányban növekszik e rendszerek fenyegetettsége és ezáltal a sebezhetısége is. A fenyegetések motiváló tényezıi különbözı politikai, gazdasági, pénzügyi, katonai, szociális, kulturális, ipari, etnikai, vallási, regionális vagy egyéni célok elérése lehet. Az infokommunikációs rendszerek elleni fenyegetések formái és szintjei, a konfliktus helyzetek, a technikai lehetıségek, és a motivációk szerint változhatnak. Jelentıségüket tekintve ezek a veszélyforrások, illetve az általuk adott esetben okozott károk nagysága nagyon sok esetben nemcsak egy infokommunikációs rendszer területén, hanem - mivel az infokommunikációs rendszerek maguk is a globális, regionális, vagy szubregionális rendszerek szerves részét képezik - több rendszerben együttesen jelentkeznek. Mindezek alapján az egy infokommunikációs rendszer esetén jelentkezı veszélyforrás vagy támadás, hatással lehet több infokommunikációs rendszer mőködésére is, ezért minden veszélyforrás különös figyelmet igényel. Ez azt is jelenti, hogy pl. a távközlési rendszer lehallgatását, zavarását vagy a szenzorhálózat mőködésének korlátozását ugyanolyan komolyan kell venni, mint a számítógép-hálózatokban megjelenı különbözı támadásokat. A "jól megválasztott" támadás, amely egy infokommunikációs rendszer ellen irányul akár az egész ország, vagy akár egy szub-regionális infokommunikációs rendszer sérüléséhez, vagy akár teljes leálláshoz vezethet. Mivel a gazdasági élet szereplıi - a termelı vállalatok, a kereskedelem, a tızsde, stb. - napi mőködéséhez sok esetben elengedhetetlenek egyes infokommunikációs
rendszerek,
ezért
ezek
támadásával,
idıszakos
bénításával,
mőködésképtelenné tételével, vagy akár végleges kiiktatásával igen nagy anyagi károk is elıidézhetık.
Adatvéd(elem)
76
Az információs társadalom infokommunikációs rendszerei elleni fenyegetések a következık lehetnek: •
illetéktelen hozzáférés az információkhoz, vagy illetéktelen adatbevitel;
•
rosszindulatú szoftverek bevitele a rendszerbe, ezáltal megváltoztatva, vagy lehetetlenné téve annak mőködését. Ezek a szoftverek különbözı vírusok, "logikai bombák" és szoftverek lehetnek, melyek a védelmi programokat (tőzfalakat, víruskeresıket) kikerülve kerülnek a rendszerbe;
•
rosszindulatú szoftverek útján az adatbázis lerontása, módosítása, felhasználhatatlanná tétele;
•
elektronikai felderítés útján az infokommunikációs rendszer adatainak megszerzése;
•
elektronikai támadások, úgymint elektronikai zavarások, hamis jelkisugárzások vagy elektromágneses impulzusok által generált robbantások végrehajtása. Elektronikai zavarokkal vagy megtévesztésekkel egyaránt támadhatók a katonai és a polgári kommunikációs rendszerek. Mind a kommunikációs rendszerek, mind a felderítı eszközök különösen érzékenyek az elektromágneses impulzusok káros hatásaira, amelyeket napjainkban nagy energiájú elektromágneses impulzus fegyverekkel is elıállíthatnak;
•
a katonai vezetési rendszerek, kommunikációs rendszerek, fegyverirányító rendszerek és a katonai célokra felhasználható polgári rendszerek elemeinek fizikai megsemmisítése, pusztítása. A felhasználható fegyverek skálája a terroristák által alkalmazott bombáktól a tüzérség- és rakéták alkalmazásán keresztül, a közvetlen légi csapásokig terjedhet.
A fenyegetések származhatnak egyes személyektıl, jogosulatlan felhasználóktól, terroristáktól, különbözı nemzeti szervezetektıl, külföldi hírszerzı szolgálatoktól vagy akár katonai szervezetektıl is. Az infokommunikációs rendszer elleni tevékenység eredetét nehéz azonosítani, mivel e csoportok között a határok elmosódnak, pl. egy illetéktelen felhasználói behatolásnak látszó tevékenység valójában származhat egy külföldi hírszerzı szolgálattól is. A támadók körét vizsgálva megállapíthatjuk, hogy pl. a jogosulatlan felhasználók a támadó eszközök széles skálájából csak egynéhányat vesznek igénybe, és azok is a kevésbé agresszív támadási módszerek közé tartoznak. Nem így a terroristák, akik a legpuhább támadó módszerektıl kezdve a pusztításig bármilyen információs támadást alkalmazhatnak. Ezért
Adatvéd(elem)
77
napjainkra igen nagy veszélyt jelent az infokommunikációs rendszerek terroristák általi elérésének lehetısége, és az un. "cyber-hadviselési" módszerek alkalmazása. A konfliktusok szintje általában kifejezi az infokommunikációs rendszer elleni ellenséges tevékenység érdeklıdési körét és mértékét. Békeidıben a számítógép-hálózatokba való illetéktelen behatolás és a különbözı passzív eszközökkel végzett elektronikai felderítés a leggyakoribb
információs
tevékenység,
mert
ezáltal
képesek
kipróbálni
az
infokommunikációs rendszer gyenge pontjait, felmérni a sebezhetıségét. Amint a válság a nyilvánvaló konfliktus helyzet vagy háború irányába mozdul el, az infokommunikációs rendszerek ellen több közvetlen támadással lehet számolni. Az intenzív katonai cselekmények kibontakozását és a katonai mőveletek megkezdését rendszerint összehangolt információs támadások elızik meg, illetve vezetik be. Ha az információs társadalom mőködésének korlátozásáról beszélünk, akkor azt is hangsúlyoznunk kell, hogy e támadások nem pusztán csak technikai, technológiai megközelítésben értelmezhetık. Ennél jóval komplexebbek e tevékenységek, amelyek egymásután vagy egymással párhuzamosan, egyszerre több színtéren, dimenzióban realizálódhatnak. A komplex információs támadás - és ebbıl adódóan a komplex védelem is céljai elérése érdekében fizikai-, információs- és tudati - vagyis az emberi felfogóképesség és megértés - dimenzióiban fejti ki hatásait. A fizikai dimenzióban folytatott információs tevékenységek a különbözı információs infrastruktúrák, infokommunikációs rendszerek elemei elleni ún. "kemény típusú" ("Hard Kill" ) támadásokat illetve azok fizikai védelmét jelentik. Az információs dimenzióban folytatott információs tevékenységek a különbözı információs folyamatok, adatszerzés, adatfeldolgozás, kommunikáció, stb. többnyire elektronikus úton való "lágy típusú" (" Soft Kill ") támadását jelenti annak érdekében, hogy a célpontokra való közvetlen pusztító, romboló fizikai ráhatás nélkül közvetlenül befolyásoljuk azokat. Másik oldalról ide tartozik a másik fél saját információs folyamatainkra irányuló hasonló támadásának megakadályozása is. A tudati dimenzióban megvalósuló információs tevékenységek közvetlenül az emberi gondolkodást - észlelést, érzékelést, értelmezést, véleményt, vélekedést - veszik célba valós,
Adatvéd(elem)
78
csúsztatott vagy hamis üzenetekkel, amelyeket többnyire elektronikus és nyomtatott médián keresztül vagy közvetlen beszéd formájában továbbítanak. Ez alapján egyértelmően kitőnik, hogy ha az információs társdalom mőködésének korlátozása vagy akadályozása a cél, akkor az a komplex információs infrastruktúrák (számítógép-hálózatok, távközlı hálózatok, mősorszóró hálózatok, távirányító rendszerek, légi irányító rendszerek, navigációs rendszerek, stb.) elleni összehangolt támadássorozattal valósulhat meg az említett három - a fizikai, az információs, és a tudati - dimenzióban. Látható tehát, hogy e tevékenységek nem csupán az információs infrastruktúra egy szegmense ellen irányulnak, pl. csak a számítógép-hálózatok ellen. Így ez azt is jelenti, hogy a védelem megtervezése, megszervezése és kivitelezése is e három dimenzióban kell, hogy megvalósuljon. Vagyis az egyirányú információbiztonság helyett csakis a komplex információbiztonság megvalósítása vezethet eredményre. Egy másik megközelítésben: Egy infokommunikációs rendszer alapvetıen az alábbi négy funkcionális területen folytat információs tevékenységet: • információgyőjtés (humán vagy szenzor alapú); • információtovábbítás (szóbeli közlés vagy távközlés); • információfeldolgozás (manuális vagy számítógépes); • információtárolás (papíralapú vagy elektronikus) Ha e négy funkcionális területet a támadhatóság szempontjából elemezzük, akkor szintén megállapíthatjuk, hogy a támadó félnek jó lehetıségei vannak beavatkozni a folyamatokba mind három dimenzióban, mind a négy területen. Támadás érhet: •
egy szenzorhálózatot (pl. elektronikai zavarás útján), amellyel a döntéshez szükséges fontos információk megszerzését lehet akadályozni;
•
a távközlési hálózatot (felderítés vagy zavarás útján) amivel az információ továbbítását lehet akadályozni vagy a továbbított információhoz lehet hozzáférni;
•
a számítógép-hálózatot, ahol különbözı rosszindulatú programokkal szintén adatokhoz lehet hozzáférni vagy korlátozni lehet a feldolgozási folyamatot;
Adatvéd(elem) •
79
az adattároló rendszert - mely napjainkban már számítógépes adattárolókat jelent ahol szintén különbözı programokkal hamis adatokat lehet bevinni vagy módosítani, illetve tönkre tenni a tárolt adatbázist.
A fentiek alapján szintén látható, hogy a támadó a céljait nem csak és kimondottan az informatikai rendszer támadásával tudja elérni. Különbözı részcélok elérhetık csak egy-egy dimenzióban megvalósuló és csak egy-egy funkcionális terület ellen irányuló támadással is. De amennyiben a támadó az egész rendszert kívánja támadni annak érdekében, hogy jelentıs zavarokat idézzen elı a társadalom mőködési folyamataiban, akkor a megoldás a komplex támadási formák alkalmazásában rejlik. Ezért nem elégedhetünk meg az információbiztonság leszőkített értelmezésével, vagyis csak az informatikai rendszerre való értelmezésével, mivel itt láthatóan többrıl van szó.
Adatvéd(elem)
80 5. fejezet: Az adatvédelem IV. Eleme: az objektum
5.1. Terror-támadások végrehajtása az információs rendszereken keresztül A téma felvetése természetesen nem öncélú. A közvetett cél az, hogy a figyelmet felhívjam arra a veszélyre, amely a kérdésben is körvonalazódik. Nevezetesen azt a ma már nem elhanyagolható tényt kívánom hangsúlyozni, hogy a 21. századi mindennapjainkban használt információs rendszerek, amennyiben rossz kezekbe kerülnek, pont azok ellen használhatók fel, akik azok mőködését természetesnek veszik. Így a társadalom igen széles rétegét érzékenyen érintheti egy-egy ilyen támadás. Azonban pont ez a tény, ez a mindennaposnak, természetesnek vett tény az, ami a legnagyobb veszélyt jelenti napjaink embere, és gyakorlatilag az egész társadalom számára, hiszen amennyiben olyan hétköznapinak gondolt rendszerek, mint például a villamosenergia-szolgáltatás, a közlekedés, a telekommunikáció vagy akár a pénzügyi-banki rendszerek egyike-másika részlegesen, vagy akár teljesen megbénulnak, illetve leállnak, mőködésképtelenné válnak, akkor bizonyosodik be az az állítás, amit kutatók évek óta hangoztatnak: napjaink társadalmaiban óriási függıség alakult ki az információs infrastruktúrákkal szemben. Amennyiben ehhez a függıséghez képletesen hozzáadjuk napjaink egyik meghatározó veszélyforrását a terrorizmust, akkor világosan láthatóvá és érzékelhetıvé válik, hogy ha egymásra talál e két meghatározó tényezı — az információs infrastruktúrák és a terrorizmus — akkor cseppet sem érezhetjük magunkat biztonságban, még akkor sem ha a hivatalos megfogalmazás szerint nem vagyunk közvetlen célpontjai egyik terrorista szervezetnek sem. Az információs infrastruktúrákon keresztül egy-egy ország vagy akár egy egész régió anélkül támadható — és amennyiben például a villamosenergia-szolgáltatást vesszük alapul ez akár a fél európai kontinens is lehet —, hogy a terroristáknak fizikailag, személyes valójukban jelen kellene lenniük a támadás kivitelezésénél, vagy végrehajtásánál. Ezek az információs infrastruktúrák szerves, összefüggı, sok esetben integrált rendszereket jelentenek, amelyek nem érnek véget egy-egy ország határánál, sok esetben számos országot, akár egy földrészt, de egynémely esetben az egész Földet átszövik. Amikor információs infrastruktúráról beszélünk sokan azonnal az Internetre, mint információs rendszerre asszociálnak. Ez azonban csak részben igaz. Az Internet mellett számtalan információs infrastruktúrát használunk. Néhányukról már esett is szó: villamos energia-ellátó rendszerek, közlekedési infrastruktúra, pénzügyi-banki információs rendszerek.
Adatvéd(elem)
81
Amennyiben átfogó képet akarunk készíteni és fel akarjuk mérni, hogy milyen információs infrastruktúrákat használunk kétféle csoportosítással élhetünk. Az elsı csoportba tartozó rendszereket földrajzilag, vagy kiterjedés alapján kategorizálhatjuk. Ebben az esetben három viszonylag elkülöníthetı alcsoportot tudunk megkülönböztetni. (A „viszonylag” jelzı használata itt azért lehet indokolt, mert bár kategorizálunk, mégis sok esetben nagyon nehéz éles határvonalat húzni két információs infrastruktúra közé, még akkor is, ha földrajzi vagy fizikai kiterjedési méreteket vizsgálunk. Ennek oka elsısorban abban a komplex felépítésben keresendı,
amely az
információs
infrastruktúrák többszörös összekapcsolódásában,
párhuzamos, redundáns mőködésében, valamint a fenntartás és mőködtetés összetettségében jelentkezik.). Az elsı csoportba a globális információs infrastruktúrák tartoznak. Ennek egyik legmarkánsabb képviselıje maga az Internet, de ebben az esetben máris szembesülünk a „viszonylagosság” problematikájával. A számítógép, amit csatlakoztatunk a hálózathoz, és amelyen keresztül elérjük a világhálót maga is az Internet részévé válik abban a pillatanban, hogy felcsatlakoztunk a hálózatra. Azonban egyszerő felhasználóként mégsem érezzük, hogy ezáltal világmérető hálózatot, vagy információs infrastruktúrát hoztunk volna létre a számítógépünkkel. Pedig a kiépített infrastruktúra behálózza az egész földet. A második csoportba a regionális infrastruktúrák tartoznak. Ilyenek például a már említett villamos energia-ellátó hálózatok, amelyek szintén nem érnek véget egy-egy ország határánál. Hazánk esetében gyakorlatilag minden szomszédos országgal van valamilyen villamos energia hálózati kapcsolat, és ezáltal kapcsolatban vagyunk olyan országok hasonló rendszereivel is mint Olaszország, Németország vagy Franciaország. A harmadik csoportba a nemzeti információs infrastruktúrák tartoznak. Ilyenek például a kormányzati, katasztrófavédelmi vagy közigazgatási infrastruktúrák. Természetesen mivel ezek is kapcsolatban állhatnak más — akár regionális, akár globális — rendszerekkel, szintén nehéz megmondani, hol kezdıdik a nemzeti és hol a regionális információs infrastruktúra. A másik nagy csoportosítás aszerint tesz különbséget az infrastruktúrák között, hogy mi a feladata, azaz milyen funkció ellátására hozták létre. Ebben a csoportban két alkategóriát különböztethetünk meg: az egyik a támogató, a másik a funkcionális információs infrastruktúrák csoportja. A támogató információs infrastruktúrák természetesen szorosan összefüggenek azokkal a funkcionális információs infrastruktúrákkal, amelyek a társadalom egy-egy viszonylag jól elkülöníthetı feladatában játszanak — ma már igen komoly, sıt sok
Adatvéd(elem)
82
esetben nélkülözhetetlen — szerepet, hiszen ezek a második alcsoportba besorolt rendszerek mőködését alapozzák meg. Az információs infrastruktúrák között azonban van néhány olyan, amelynek akár átmeneti mőködésképtelensége is komoly veszélyt jelent a társadalomra. Ezeket kritikus információs infrastruktúráknak nevezzük. A kritikus információs infrastruktúrák olyan infrastrukturális létesítmények és vagyontárgyak összességét jelentik, amelyek mőködésének akadályozása, vagy rombolása képes a nemzetbiztonságot, a nemzet gazdasági- és szociális jólétét veszélyeztetni. Ezek közül néhányat kiemelve és nevesítve könnyen belátható, hogy azok mőködése mennyire fontos a számunkra. Néhány kritikus információs infrastruktúra tehát: •
energiatermelı, szállító és elosztó rendszerek;
•
információs és kommunikációs rendszerek;
•
banki és pénzügyi rendszerek;
•
humán szolgálatok.
Az eddig elmondottakból világosan kiderül, hogy napjaink egyik legnagyobb veszélye talán éppen az, ha a terrorizmus megjelenik az információs infrastruktúrákon keresztül. Itt elsısorban nem az Interneten elkövetett kisebb-nagyobb „gyerekcsínyekre” — honlap feltörésekre, szerver behatolásokra, kezdetleges vírusok megírására és terjesztésére — kell gondolni, hanem jóval komolyabb cselekmények végrehajtására. Azt az infrastruktúrák számbavételénél
láthattuk,
hogy
azok
számtalan
esetben
egymással
szorosan
összekapcsolódva mőködnek. Láthattuk azt is, hogy ezek közül az információs infrastruktúrák közül számos elengedhetetlen a nyugati társadalmak mindennapi normális mőködéséhez. Abban az esetben tehát, ha egy terrorista szervezet támadja vagy bénítja egy vagy több kritikus információs infrastruktúránkat, az beláthatatlan következményekkel járhat a számunkra. Elsısorban gazdasági, anyagi, materiális értelemben vett károkról van szó. (Mindehhez hozzá kell azonban rögtön tenni, hogy a különbözı terrorszervezetek bár eltérı célok vezérlik ıket, csak az esetek kis számában törekszenek igazi, komoly károkozásra. A fı cél az esetek többségében a figyelemfelkeltés arra az ügyre vagy szervezetre, ami vagy amely érdekében tevékenykedik a szervezet.) A támadás azonban nem csak materiális károkat okozhat — és itt már rögtön összhangba is kerül a hagyományos terrorizmus ezzel az újfajta terrorizmussal —, hiszen azon kívül hogy a támadás következtében óriási anyagi károkat szenvedhet egy-egy ország vagy régió , a mőködésképtelen információs infrastruktúrák óriási
Adatvéd(elem)
83
negatív pszichikai hatással is lehetnek az emberekre. A terrorizmus igazi fegyvere — a megfélemlítés vagy „terror” — tehát ebben az esetben is mőködhet, sıt talán hatékonyabban mint a hagyományos terrortámadás esetében. Ebben az esetben a háttérben az eddig hibátlanul, megbízhatóan, ezért sokszor észrevétlenül mőködı infrastruktúrák nem mőködnek, azonnal elveszik irántuk a bizalom, és mivel óriási a függıség velük szemben, a támadásnak drámai pszichológiai hatása lehet. Az információs infrastruktúrák elleni „hatékony” támadás kivitelezése azonban összetett tevékenységet feltételez. Ez egyrészt technikai, másrészt humán oldali összetevıket is jelent. Technikai téren a kérdés többszörösen is összetett. Egyrészt a hatékony támadás többfrontos, azaz több információs infrastruktúra egyidejő támadását feltételezi. Ráadásul van néhány, ma már nagyon jól védett kritikus információs infrastruktúra, amely nem támadható hatékonyan információs oldalról, azaz a támadás hagyományos eszközöket — fizikai pusztítást, rombolást, robbantást — feltételez. A humán oldali összetevık között elsı helyen a felkészültséget kell megemlíteni. A rendkívül összetett és bonyolult, a legfejlettebb információtechnológiai és védelmi megoldásokat alkalmazó rendszerek támadása igen jól felkészült szakembereket igényel. Ezek kiképzése vagy megnyerése szintén nehéz feladat lehet terrorista oldalról. Azt azonban nem lehet figyelmen kívül hagyni, hogy akár ideológiai megfontolásból, akár anyagi javakáért nagyon sokan nagyon sok mindenre képesek. És ha elfogadjuk e tényt, akkor máris reális a veszély, amely errıl az oldalról fenyeget. Összegzésként elmondható, hogy ma már rendkívül sok és komplex, egymással összefüggı információs infrastrukturális rendszert használunk. Ráadásul ezek közül számos olyan is van, amely mőködése elengedhetetlen normális mindennapjaink fenntartásához. Ez pedig már önmagában is egy meglévı veszélyforrás. Ha ehhez még hozzáteszzük napjaink egy másik igen komoly veszélyforrását, a terrorizmust, akkor belátható, hogy amennyiben a terrorizmus bármely szervezete vagy ága az információs infrastruktúrákat támadja, akár úgy is, hogy hagyományos terrortámadásokat ötvöz információs támadásokkal, vagy azon keresztül követ el támadásokat, akkor az olyan sokszor hangoztatott 21. századi információs társadalom igen komoly károkat szenvedhet. Ez nemcsak anyagi értelemben vett károkat, hanem humán károkat, azaz komoly emberi veszteségeket is jelenthet. Természetesen vannak szkeptikusok is szép számmal, akik azt mondják, hogy a terrorizmus megmarad a hagyományos eszközöknél és módszereknél. Szerintük a terroristák a jövıben sem jutnak hozzá azokhoz az információtechnológiai eszközökhöz, információkhoz és tudáshoz, amivel keresztül vihetık az információs infrastruktúrák elleni támadások.
Adatvéd(elem)
84
Azt azonban a szkeptikusok sem tagadják, hogy teljes mértékben nem lehet kizárni egy információs infrastruktúrákon keresztül, vagy azokat célpontoknak tekintı terroristatámadást. Ebben az esetben pedig meg kell mindent tennünk a megelızés, azaz a lehetı legnagyobb biztonság megteremtése érdekében, illetve fel kell készülnünk arra, hogy egy esetlegesen bekövetkezı ilyen terrorista támadás után a következmények a lehetı legminimálisabbak legyenek. A szkeptikusok mellett azonban szép számmal ott vannak azok is akik évek óta az ellenvéleményt hangsúlyozzák. Szerintük nem az a kérdés, hogy bekövetkezik-e, hanem az hogy mikor és hol egy információs infrastruktúra elleni terrorista-támadás. És ez akár Magyarországon is bekövetkezhet!
5.2.Számítóközpontok fizikai védelmének jelentısége
Magyarországon jelenleg (ha a számítóközpontokat, információs infrastruktúrákat tekintem) nincs terrorvédett objektum, ami a fizikai támadások ellen maximálisan védett lenne. A felszíni, például az egykori Dataplex számító központ maximum a kézifegyverek ellen és az esetleges magánakciók ellen lehetett védett. Szervezett, technikailag is korszerő-, illetve hagyományos terrorakciók ellen nem. A hagyományos- vagy a klasszikus terrortámadások fı céljának lényege nem az adatlopás (tehát nem a cyber-terrorizmus elleni védelemrıl van szó), hanem magának a rendszernek és a benne tárolt információknak a megsemmisítése. Rendkívül fontos nem csak az adatoknak, hanem az adatok fizikai tárolását, disztributálását végzı infrastruktúra védelme is. A 2001. szeptember 11-i terrortámadások az egész világot ráébreszthették arra, hogy a terroristák kezében bármilyen eszköz fegyverré válhat, ha csak arra gondolunk, hogy a terroristák egyszerő papírvágókkal kerítették hatalmukba a repülıgépeket, majd a repülıket rakétaként használva semmisítették meg a World Trade Center ikertornyait, és súlyos károkat okoztak Washington-ban az oly biztonságosnak hitt Pentagon nyugati szárnyában. De természetesen a lıfegyverektıl kezdıdıen a modernebb precíziós fegyverekig, tömegpusztító fegyverekig bezárólag szinte minden fegyver megfordul a terroristák eszköztárában. A terrorkockázatok változnak, illetve a fejlıdéssel párhuzamosan mindig újak és újak jelenhetnek meg. Tehát világossá válhat, hogy egy valóban biztonságos-, terrorvédett objektum legfontosabb eleme, hogy azt a földfelszín alá kell elhelyezni, a megfelelı rezsim mellett. A
Adatvéd(elem)
85
fent említettekbıl kitőnik, hogy a felszíni létesítmények bármelyike terrortámadás „áldozatává” válhat (említeném itt ismét a Pentagon elleni támadást). Nem véletlen, hogy több külföldi országban, például Svájcban, Angliában, de még az Amerikai Egyesült Államokban is egykori katonai bázisokra, föld alatti objektumokba telepítenek számítóközpontokat, információs infrastruktúrákat. Erre, véleményem szerint, lehetıség lenne Magyarországon is, ha csak arra gondolok, hogy gazdasági okokból mennyi katonai objektumot zártak be és hagytak az enyészetnek, azaz néhány kivétellel kihasználatlanul állnak. Egyes bázisokon, legfıképpen volt rádiótechnikai századok területén, pedig még föld alá telepített objektumok is találhatóak, amelyeket annak idején harcálláspontként használtak. Bár területüket tekintve meg sem közelítik az egykori Dataplex 8800 m2-es területét, de gondolatébresztınek mindenképp jó. Illetve megemlíteném, hogy ezeket a rádiótechnikai századokat annak idején nyomsávos kerítés vette körül, saját áramellátó rendszerrel rendelkeztek, ha mondjuk valamilyen okból kiestek a villamos energiahálózatból, sıt némelyik objektumnak saját vízellátó rendszere is volt. Vagyis nem kellene teljesen új infrastruktúrákat létrehozni, hiszen vannak meglévık amelyeket esetleg felújítani, modernizálni kellene, ezzel jelentıs költségeket megtakarítva, amelyet esetleg egy terrortámadásoktól nem védett teljesen új infrastruktúra kiépítésére áldozna az állam, vagy egy adott vállalat. Ami még ezek mellett az objektumok mellett szól, hogy viszonylag távol esnek a lakott területektıl, mivel a radarok miatt nem telepíthették ezeket az objektumokat lakott területek közelébe. Tehát ebbıl a szempontból is ideális választás lenne ezeknek az objektumoknak a kihasználása, mivel könnyebb egy adott objektumot megvédeni egy lakatlan területen, mint egy sőrőn lakott városban. Természetesen a fent említett lehetıségen kívül számtalan más lehetıség van egy valóban biztonságos, terror-védett infrastruktúra kiépítésére, és tudomásom szerint van is olyan ember aki próbálkozott ilyen létrehozásával, a gond ott van, hogy sajnos azokban a rétegekben akik elı tudnák ezt megfelelıképpen segíteni, nem veszik komolyan korunk legfıbb fenyegetését, a terrorizmust. Sajnos hazánkban legfıképpen olyan nézetek uralkodnak, hogy csak akkor teszünk valami ellen, ha már megtörtént a baj, és nem megelızzük azt.
Adatvéd(elem)
86 6. fejezet: Az adatvédelem V. eleme: az ember
Minden biztonsági rendszernek – akár informatikai akár fizikai védelemnek – az alapja a személyek minél megbízhatóbb azonosítása. Az azonosítás megvalósítására három alapvetı módszer áll rendelkezésünkre: a tudás, avagy jelszó alapú, a birtok, avagy kulcs alapú és a biometrikus azonosítás. A jelszavas és a kulcs alapú megoldások azonban csak áttételesen köthetık a valós személyhez, ezért eredendı, kiküszöbölhetetlen gyengeséggel rendelkeznek: a jelszó lehallgatható, kicsalható, megtudható; a kulcs vagy kártya eltulajdonítható, más által is használható. A tudás illetve a birtok alapú személyazonosítási módszerekhez képest a biometrikus azonosító rendszerek nagyobb biztonságot, bizonyos esetekben pedig kényelmesebb megoldást kínálnak, hiszen közvetlenül az azonosítani kívánt személyt, annak biometrikus jellemzıit vizsgálják. Biometrikus azonosításra az emberi test számos jellemzıje alkalmazható: vizsgálható például az ujjnyomat, az arc, a szem (a retina vagy az írisz), a fül vagy a hang. A biometrikus azonosítást a tudás és a birtok alapú azonosítási módszerekkel együtt alkalmazva (pl. ujjnyomat + PIN kód) az egyes módszerek erıssége jelentısen fokozható.
6.1. Személyazonosítási alapmódszerek
A személyazonosítást aktív és passzív módszerekre bonthatjuk attól függıen, hogy szükség van-e az azonosítandó személy közremőködésére. Az azonosításra használt információ alapján a személyek azonosítására három alapvetı módszer létezik. A tudás alapú azonosítás esetén a személy olyan információ tudatában van, amit az azonosítási eljárás során ellenırizni lehet. Ilyen információ lehet például egy jelszó, vagy a PIN kód is. Birtok alapú azonosítás esetén már az azonosítás egy olyan eszközzel történik, amely a személy birtokában van, például egy kulcs, vonalkód, mágneskártya, chipkártya vagy smartcard. A harmadik lehetıség pedig a biometria alkalmazása, amikor a személy valamilyen fizikai vagy biológiai jellemzıjét felhasználva történik az ellenırzés.
Adatvéd(elem)
87
TUDÁS Jelszó PIN-kód
BIOMETRIA hang ujjlenyomat szaruhártya kép arc
BIRTOK Kulcs Vonalkód Mágneskártya Chip-kártya Smart card
6.1. ábra: Azonosítási alapmódszerek csoportosítása Mivel mindhárom módszernek vannak kiküszöbölhetetlen hátrányai is, egymagában alkalmazva egyik sem nyújt kellı mértékő védelmet. Éppen ezért a szakirodalom ajánlása szerint célszerő a három eltérı elven alapuló módszerbıl legalább kettıt együttesen, de egymástól függetlenül alkalmazni a megfelelı védelem elérése érdekében. A függetlenség ebben az esetben nagyon fontos kritérium, mert ennek hiányában a két különbözı módszer együttes alkalmazása nemcsak hogy nem erısíti egymást, de összességében még egy jóval gyengébb védelmet is eredményezhet. Ez történik például akkor, ha egy védelem alapját mágneskártya (birtok) és PIN kód (tudás) együttese képezi oly módon, hogy a PIN kódot a mágneskártyán tárolják. Ebben az esetben ha a mágneskártya illetéktelen kézbe kerül, annak birtokában már a PIN kód sem titkos többé. Látható hogy az ilyen módon megvalósított védelem semmivel sem erısebb mintha csak a kártyás azonosítást használtuk volna, sıt a kártyát megszerezve az illetéktelen személy esetleg egy olyan kódhoz juthat hozzá, amelyet felhasználója más rendszerekben is használ.
6.1.1. Jelszó, avagy tudás alapú azonosítás A legegyszerőbb megoldás egy személyazonosítására, ha egy olyan információt (tipikusan jelszó vagy PIN-kód) ellenırzünk, amelynek csak ı lehet(ne) birtokában. A legtöbb esetben azonban ennek az információnak a titokban tartása reménytelen feladat, elıbb vagy utóbb valaki másnak is a tudomására jut és ez illetéktelen hozzáférésre ad lehetıséget a továbbiakban. Éppen ezért a tudás alapú védelmet önmagában gyenge védelemnek tekinthetjük, míg ennek ellenére széles körben használják, mivel alkalmazása egyszerő és olcsón megvalósítható.
Adatvéd(elem)
88
Mivel a tudás alapú módszerek kivétel nélkül aktív közremőködést igényelnek, ezeket teljes egészében csak a kezdeti azonosítás során alkalmazhatjuk, ám erre a célra kiválóan megfelelnek. A legfontosabb, hogy az ember számára a legkevesebb kényelmetlenséget okozza, mert különben kijátszák. Ha egy jelszó túl bonyolult, akkor megjegyezhetetlen, így valószínő, hogy fel fogják írni valahova, például egy papírdarabra, tehát megszerezhetı nyoma marad. Itt megjegyzendı, hogy van lehetıség detektálásra, olyan tekintetben, hogy detektálni lehet password, jelszó esetében, hogy mi az, ami a személytıl szokatlan, soha nem csinálja. Azaz, ilyet csak olyan csinál, aki számára a rendszer ismeretlen. Illetve vannak olyan rendszerek, ahol van riasztási PIN-kód is, ami azt jelenti, hogy kényszer alatt azt kell használni, így a rendszer látszólag reagál, de egyben riaszt is.
6.1.2. Kulcs, avagy birtok alapú azonosítás Egy másik jól ismert személyazonosítási módszer a birtok alapú azonosítás. Ebben az esetben az ellenırzés egy olyan egyedi és mással össze nem téveszthetı eszközön alapul, ami egyértelmően azonosít egy személyt azáltal, hogy annak mindig a jogosult személy birtokában kell lennie. Ilyen eszköz lehet például egy kulcs, vagy vonalkód, illetve mágneskártya, chip-kártya vagy smartcard is. A használata általában ennek a módszernek is egyszerő, a költségeket tekintve pedig léteznek olcsó, de egészen drága megoldások is. A módszer közismert hátránya, hogy amennyiben illetéktelen kezekbe kerül a kulcs, akkor jogosulatlan hozzáférés lehetséges. A tudás alapú azonosítással szemben viszont ebben az esetben – már amennyiben nem másolható kulcsról van szó – az eltulajdonítás ténye érzékelhetı, nem úgy, mint a jelszavak esetében. Így ez egyfajta utólagos védelmet nyújt azáltal, hogy az ellopott kulcs utólag letiltható. Éppen ezért itt az egyik legfontosabb követelmény a kulcsokkal szemben, hogy ne legyenek másolhatók. Másolhatóság szempontjából a birtok alapú azonosításhoz felhasznált kulcs eszközöket három nagy csoportra oszthatjuk. Az elsıt a passzív eszközök jelentik, mint például a vonalkód, a csak adni tudó közelítéses kártyák vagy azok a mágneskártyák, amelyekrıl csak olvasnak az azonosítás során (a mágneskártya ugyanis egy írható-olvasható eszköz, de nagyon sok esetben az írási lehetıséget nem használják ki). A passzív eszközök széles körben elterjedtek fıleg olcsóságuk és könnyő kezelhetıségük miatt.
Adatvéd(elem)
89
A második csoportot az írható-olvasható aktív eszközök jelentik, amelyek már bonyolultabb mőveletek elvégzésére is képesek, és esetlegesen nehezebben is másolhatók, mint a passzív eszközök. Ide tartoznak azok a mágneskártyák, amelyeknél az azonosítás során az írhatóságot is kihasználják, valamint az úgynevezett ugrókódos rádiós kártyák, a memóriakártyák és a chip-kártyák.
Végül a harmadik csoportot azok az intelligens eszközök jelentik, amelyek már nyilvános kulcsú illetve többfaktoros kriptográfiai eljárásokat alkalmaznak az ellenırzési folyamat során. Ide tartoznak például a smartcard-ok egyes típusai, vagy az idı alapú kétfaktoros azonosító kártyák is. Az eszközben egy titkos kulcs van tárolva, amelyet a kártya sohasem ad ki magából, csak rejtjelezéshez használja azt fel, így a felsorolt három típus közül ez jelenti a legjobb védelmet a másolhatatlanság szempontjából.
A leggyakrabban használt birtok alapú azonosítók esetében a birtoklás nem állapítható meg távolról. Vagy fizikai kontaktust igényelnek, mint például a kulcsok és a smart- és mágneskártyák, vagy csak közelrıl érzékelhetıek, mint a proximity kártyák. Ezek az eszközök is csak kezdeti azonosításnál lehetnek hasznosak. Míg a tudás alapú rendszereknél a kényelem az elsıdleges szempont, addig a birtok alapú rendszereknél az, hogy ne kelljen az adott rendszert átalakítani. Itt jó megoldás, amikor a rendszer generál egy jelszót amit mondjuk öt percen belül lehet használni. Amennyiben elvesztik egyszerő letiltani. Illetve létezik az idızár típusú védelem, ami egy adott idıintervallumon kívül riaszt vagy egyszerően nem használható.
6.1.3. Biometrikus azonosítás A személyek azonosításának harmadik és egyben legmegbízhatóbb módszere a biometrikus azonosítás, amely az emberi test valamely, gépek által is könnyen kezelhetı, fizikai vagy biológiai jellemzıjét használja fel az ellenırzés során, mint például az ujjnyomat, a hang vagy akár az arc jellegzetes vonásait. A tudás- illetve a birtok alapú azonosítással szemben itt már ténylegesen magát a személyt azonosítjuk, nem pedig valamilyen más, közvetett jellemzıt, mint a jelszó vagy a kulcs. Ezáltal az azonosítás alapját képezı tulajdonság nem lopható el, megfelelı technológiai megvalósítással pedig az is biztosítható, hogy a mintavételezés valós élı személytıl származzon, jelentısen csökkentve ezzel a
Adatvéd(elem)
90
megtévesztés lehetıségét. Csendes riasztásra is lehetıség van, hiszen kényszerítés esetén megoldható például, hogy ujjnyomat ellenırzésnél egy másik – riasztást kiváltó - ujjat használjon a kényszerített alany, illetve hang alapú azonosítás esetén másik jelszó használata váltsa ki a riasztást, miközben az azonosítás és a beengedés is megtörténik. Természetesen a módszernek hátrányai is vannak. Az egyszerőbb megvalósítások viszonylag könnyen megtéveszthetık, a megbízhatóbb, komolyabb termékek viszont igen drágák. A biometrikus azonosítás ugyanis speciális hardware eszközöket igényel, amelyek ára a megbízhatóságuk növekedésével egyre magasabb. Ezen felül higiéniai szempontból is lehetnek problémák amennyiben az ellenırzés folyamata fizikai kontaktust igényel, valamint egyes módszerek fogyatékos emberek esetében nem is alkalmazhatók. Tovább nehezíti a feladatot, hogy a biometrikus jellemzık nagy része az idı múlásával is változik, illetve különféle betegségek és sérülések is nagymértékben befolyásolhatják az azonosítás sikerességét. Bizonyos alkalmazások esetén adatvédelmi problémákkal is szembe kell nézni, mivel a biometrikus azonosítás módszere már a titkos megfigyelésre is lehetıséget teremt, hiszen technikailag a megfigyelésre sok esetben az adott személy tudta és beleegyezése nélkül is lehetıség van, ami jogi szempontból aggályos lehet. Ugyanakkor a leolvasások eredménye az egyes azonosítási folyamatok során soha nem egyezik meg teljesen a korábbiakkal, így rendkívül fontos kérdés az adott rendszer hibatőrésének mértéke annak érdekében, hogy minél jobb eséllyel tudjon a rendszer egy személyt különbözı körülmények között, más-más idıpontokban is azonosítani úgy, hogy emellett a téves elfogadások illetve a téves visszautasítások aránya minél kisebb legyen. Végül pedig maga a leolvasó hardware eszköz – a bioszenzor – is támadás célpontjává válhat. Sajnos az ellenırzést végzı számítógép a legtöbb esetben nem képes a leolvasó eszköz megbízhatósága felıl meggyızıdni (ez azonban mindhárom azonosítási módszerre igaz). Mindezen hátrányok ellenére azonban léteznek széles körben elterjedt megoldások, és joggal tekinthetjük a biometrikus módszereket a személyazonosítás legmegbízhatóbb módjának. A biometrikus azonosítási módok közül személykövetésre a passzív módszerek a megfelelıek. Ilyenek a fül alapú, az arcfelismerésen, vagy a testalkat és járás alapú azonosítási technikák. Az írisz, ujjnyomat vagy tenyérnyomat alapú azonosításokat, vagyis amelyek aktív közremőködést igényelnek, csak a beléptetés során lehet alkalmazni. Néhány olvasó ujjnyomat replika detektálással van ellátva a nagyobb megbízhatóság érdekében, ami az ujjnyomat másolatok felismerését és elutasítását jelenti. A detektálás nem minden esetben valósítható meg technológiailag és különbséget kell tenni valódi élıujj és
Adatvéd(elem)
91
ujjnyomat replika detektálás között. Mőködését tekintve az érzékelés valamilyen elektrodinamikus, termikus, optikai vagy biológiai jellemzı vagy ezek kombinációjának mérésén alapul. A mérés biztonságának alapja, hogy a replika detektálást térben és idıben is ugyanott és ugyanakkor végezzük, mint az ujjnyomat képvételt, különben a védelmi mechanizmus könnyen megkerülhetı. Természetesen további követelmény az is, hogy a detektor ne zavarja a képvételi folyamatot és lehetıség szerint a felhasználók számára rejtve maradjon. Kritikus rendszereknél azt is detektálni kell, hogy az illetı személy kényszer alatt cselekszik, vagy nem is él. Pl.: ujjlenyomat levágott ujjal, vagy írisz kivágott szemmel, stb.
6.2. Az azonosítás megbízhatóságának mérıszámai A biometrikus azonosítási módszerek esetében a tesztelés menetét tekintve három tesztelési típust különböztetünk meg [MAN-BEST].
•
Technológiai teszt során a különbözı algoritmusokat tudjuk összehasonlítani. Egy szabványos adatbázisunk van, amit egy univerzális eszközzel hozunk létre. Minden algoritmus ezt az adatbázist használja. Sok múlhat az adatbázist alkotó populáció összetételén és az adatok felvételének körülményein is. Fontos, hogy az algoritmusok fejlesztéséhez ne ez az adatbázis kerüljön felhasználásra, bár finomhangoláshoz nyilvánvalóan szükséges mintaképeket biztosítani. Az adatbázis optimális méretének meghatározására nem könnyő pontos szabályokat megfogalmazni, hiszen az nagyban függ a tesztelni kívánt algoritmusoktól is. Fontos ugyanis, hogy ne legyen se túl nagy, se túl kicsi, se túl egyszerő, de túl bonyolult se az algoritmusok számára, amelyeket össze kívánunk hasonlítani. Ez a tesztelési módszer mindig megismételhetı eredményt ad tekintettel arra, hogy az adatbázis nem változik.
•
Forgatókönyv teszt során a teljes rendszert teszteljük egy szimulált, a valós felhasználáshoz közeli szituációban. Ha több különbözı rendszert szeretnénk kipróbálni, akkor gondosan ügyelni kell, hogy ugyanolyan körülményeket biztosítsunk számukra beleértve a felhasználók tulajdonságait is. Célszerő gondosan megtervezni, hogy milyen adatokat akarunk mérni, például, ha szükségünk van a teszt megismételhetıségére, akkor nagy adatbázisra van szükség, hogy minden lényeges folyamat és adat mentésre kerüljön.
Adatvéd(elem) •
92
Mőveleti teszt során a rendszert valódi körülmények között próbáljuk ki a megcélzott ügyfélkörön.
Ennél
a
tesztnél
már
komoly
akadályai
lehetnek
a
megismételhetıségnek, amely követelmény a gyakorlatban sokszor nem teljesíthetı, annyi ismeretlen és dokumentálatlan különbség lehet a rendszerek között. 6.3. A biometrikus azonosítás alkalmazási területei A biometria alkalmazását piaci és szakmai szempontból három fı szempont szerint kategorizálhatjuk aszerint, hogy milyen biztonsági szint/költség arányú piacot céloznak meg; közremőködést igénylı vagy nem igénylı megoldásokról van szó, illetve hogy egy-egy személy vagy tömegek azonosítása a feladat.
6.4. High-end vagy low-end alkalmazások High-end alkalmazások azok a különösen nagy biztonságot igénylı rendszerek, ahol a jelszó és a kulcs alapú azonosítás közvetett megoldásának gyengeségei nem elfogadhatóak. Ilyen alkalmazásoknál csak olyan megoldásoknak van piaci létjogosultsága, amelyek a biometrikus
jellemzık leolvasásakor meg tudnak gyızıdni arról, hogy a vett minta valós,
élı személytıl származik. Ezek a megoldások azonban meglehetısen drágák. Ezen a célterületen olyan
úgynevezett high-end termékeknek van létjogosultsága, amelyek minél
nagyobb fokú biztonságot tudnak nyújtani; az ár – amellett, hogy természetesen számít – itt kevésbé fontos. Ezzel szemben a low-end alkalmazások esetén a cél az, hogy a védekezés költsége a lehetı legalacsonyabban maradjon, és csak egy hozzávetıleges biztonság a cél, mely garantálja azt, hogy az esetleges támadónak többet kelljen ráfordítania a támadásra, mint a tényleges
nyereség. Ilyen esetekben a biometria kiegészítı, adott esetben egyszerősítı
megoldásként jól
használható. A többszintő azonosítás (jelszó + kártya) egyik lépése
ilyenkor kiegészítı
jelleggel akár a biometria is lehet. Ebben az esetben – piaci
szempontból – a fı cél a minél
olcsóbb,
egyszerőbb,
kényelmesebb
megoldás
kidolgozása. 6.5. Aktív vagy passzív személyazonosítás Mint már korábban említettem, ellentétben az aktív személyazonosítással, a passzív személyazonosítás nem igényli az azonosítandó személy, vagy személyek közremőködését. Általánosságban elmondható, hogy az aktív technikák, bár korlátozottabban alkalmazhatóak,
Adatvéd(elem)
93
mint passzív társaik, lényegesen olcsóbbak és hatékonyabbak, hiszen az azonosítani kívánt személy valami olyan mőveletet hajt végre, mely könnyen értelmezhetı és a személyre egyértelmően jellemzı (tenyér, ujjlenyomat bemutatása, kulcs vagy kártya alkalmazása), és megismételtethetı, amennyiben az azonosítás valamilyen oknál fogva nem sikerül. Ezzel szemben a passzív azonosításnál az azonosító rendszernek magának kell az egyénre jellemzı információkat kinyerni, ráadásul valós idıben, mely általában komplikált, és kevésbé megbízható.
6.6. Tömeges vagy individuális személyazonosítás A konkrét - legtöbbször külön eljárással regisztrált – személyek azonosításán túlmutatva a biometria harmadik célterülete a nagy tömegek minél hatékonyabb és megbízhatóbb kezelése, lehetıvé téve ezzel, hogy csak az esetek kisebb részében kelljen szigorúbb és így jelentısen drágább eljárásokat – például helyszíni élıerıs intézkedést vagy utólagos nyomozást – foganatosítani. Az elmúlt évek sajnálatos terror cselekményei különösen elıtérbe hozták ezeket a módszereket (pl. ujjnyomat rögzítés, illetve vizsgálat az USA vízumoknál). A tömeges azonosítás egyik legfontosabb jellemzıje, hogy csak passzívan történhet, ellenkezı esetben a személyek egyesével történı azonosítása hatalmas overhead-et jelentene.
Adatvéd(elem)
94 Irodalomjegyzék
|1|
Simone Dieplinger: Adatvédelem az információs társadalomban Jogi és globális feladatok, é.n. (http://www.pointernet.pds.hu/ujsagok/evilag/2002/00/evilag-16.html) (Letöltés idıpontja: 2007. január 12. 15:40)
|2|
Kiefer János: Adatvédelem (Nemzetközi szakirodalmi kitekintés), Budapest, 1990.
|3|
Oros Paulina, Papácsy Edit: Adatvédelmi törvény és az Európa Tanács Adatvédelmi Egyezménye, Budapest, 1993.
|4|
1992. évi LXIII. Törvény az adatvédelemrıl (Avtv)
|5|
2003. évi XLVIII. Törvény az 1992. évi LXIII. Törvény módosításáról
|6|
1995. évi LXV. Törvény az államtitokról és a szolgálati titokról
|7|
2003. évi LIII. Törvény az államtitokról és a szolgálati titokról szóló 1995. évi LXV. Törvény módosításáról
|8|
1998. évi LXXXV. Törvény a Nemzeti Biztonsági Felügyeletrıl
|9|
1995. évi CXXV. Törvény a nemzetbiztonsági szolgálatokról
|10| 2001. évi XXXV. Törvény az elektronikus aláírásról |11| 1978. évi IV. törvény a Büntetı Törvénykönyvrıl |12| 3/2004. (II. 17.) HM (Honvédelmi Minisztérium) rendelet a fontos és bizalmas munkakörökrıl, valamint a biztonsági ellenırzések szintjérıl |13| 79/1995. (VI. 30) Kormányrendelet a minısített adat kezelésének rendjérıl
|14| 179/2003. (XI. 5.) Kormányrendelet a nemzetközi szerzıdés alapján átvett, vagy nemzetközi kötelezettségvállalás alapján készült minısített adat védelmének eljárási szabályairól |15| 180/2003. (XI. 5.) Kormányrendelet a Nemzeti Biztonsági Felügyelet részletes feladatairól és mőködési rendjérıl, valamint az iparbiztonsági ellenırzések részletes szabályairól |16| 43/1994. (III. 29.) Kormány Rendelet a rejtjeltevékenységrıl |17| 2003. évi C. törvény Az elektronikus hírközlésrıl (Eht.)
Adatvéd(elem)
95
|18| 2007. évi …..törvény az elektronikus hírközlésrıl szóló 2003. évi C. törvény módosításáról (http://www.gkm.gov.hu/ugyfelszolgalat/e_inform/jsz_tervezetek/informatika/eloterj_el ekhirk.html) (Letöltve: 2007. február 08. 15:30) |19| A Társaság a Szabadságjogokért (TASZ) jogvédı szervezet véleménye az elektronikus hírközlésrıl szóló 2003. évi C. törvény módosításáról szóló tervezetrıl, 2007. február (http://www.euroastra.hu/cgi-bin/index.cgi?page=showart&sid=OWHAJGBYRXDARROU&id=8081) (Letöltve: 2007. február 08. 15:34) |20| Horváth Lajos: A világ legnagyobb fülei…*, Világvevı: 2001. december 01. (http://www.vilagvevo.radio.hu/adasok/22/echelon.htm) (Letöltve: 2007. február 10. 18:45) |21| Kristóf Csaba: A nyílt forráskód biztonságosabb, Computerworld: 2006. 06. 15. (http://computerworld.hu/hirek_hir.php?id=41599) (Letöltve: 2007. február 13. 16:20) |22| Siklós Balázs: A minıség kérdése a szabad/nyílt forrású szoftverek esetében Kutatási beszámoló Debrecen, 2005. (http://www.econ.unideb.hu/oktatas_es_kutatas/doktori_iskola/download/2005jan/Siklo s Balazs.pdf) (Letöltve: 2007. február 13. 16:40) |23| Netért: A szoftverszabadalmi és szerzıi jogról közérthetıen (http://netert.hu/main/index.php?option=content&task=view&id=109&Itemid=0&limit= &limitstart=0) (Letöltve: 2007. február 14. 14:34) |24| A Linux Ipari Szövetség (LIPSZ) álláspontja az Európai Koordinációs Tárcaközi Bizottság részére készített elıterjesztésrıl a számítógéppel megvalósított találmányok szabadalmazhatóságát szabályozó irányelvjavaslat által a magyar gazdaságra gyakorolt hatások átfogó felmérésérıl, LIPSZ, Budapest, 2004. 12. 09. (http://www.lipsz.hu/downloads/szabadalmi-allasfogl4.pdf) (Letöltve: 2007. február 14. 15:05) |25| Othmar Kyas: Számítógépes hálózatok biztonságtechnikája Kossuth kiadó, 2000 |26| Tóth László: Bevezetés a titkosításba, Info-media, 2006. 06. 27. (http://www.info-media.hu/?cid=23899) (Letöltve: 2007. február 15. 18:24) |27| Csaplár Zoltán: RSA-nyilvános kulcsú titkosítás, é.n. (www.stud.u-szeged.hu/Csaplar.Zoltan/RSA.doc) (Letöltve: 2007. február 16. 14:50)
Adatvéd(elem)
96
|28| Dr. Csapodi Márton: Digitális aláírás, nyilvános kulcsú architektúra– PKI, é.n. (http://www.egroup.hu/Framework.dll?targetID=docs/doc&doc_id=1039) (Letöltve: 2007. február 19. 18:45) |29| Vomit: Szteganográfia: nagyon rejtett jelek, Index.hu, 2001. 02.09. (http://index.hu/tech/szoftver/stegano/) (Letöltve: 2007. február 19. 18:48) |30| Kassai Károly mk ırnagy: Az elektronikus információvédelem felépítése, feladatrendszere Elıadás Tiszaliget 2003 10.07. |31| Hálózatok Lehallgatása, é.n. (http://www.webgobe.ro/ikomm/4lehall.html) (Letöltve: 2007. február 20. 15:43) |32| Jákó András: Wireless LAN a Mőegyetemen, 2004, Gyır (http://152.66.115.62/papers/bmewlan.html) (Letöltve: 2007. február 22. 16:05) |33| Davies D.W.-Barber D.L. A-Price W.L.-Solomonides C.M.: Számítógép - hálózatok és protokollok, Mőszaki Könyvkiadó, Budapest, 1982. ISBN 963 10 4328 2 |34| Kónya László: Számítógép hálózatok, tankönyv LSI oktatóközpont, 1996 |35| Haig Zsolt (ZMNE) Az információbiztonság komplex értelmezése, Hadmérnök, 2006.11.22 (http://zrinyi.zmne.hu/hadmernok/kulonszamok/robothadviseles6/haig_rw6.html ) (Letöltés idıpontja: 2007. február 24. 18:25) |36| Dr. Kovács László: Lehetséges-e terrortámadások végrehajtása az információs rendszeren keresztül?, é.n. (http://www.zmne.hu/dokisk/hadtud/Kovacs2.pdf) (Letöltve: 2007. február 25. 16:54) |37| Hornák Zoltán, Jancski Dóra, Jeges Ernı, Máté László, Kovács Ákos, Körmöczi Csaba, Dr. Nehéz-Posony Márton, Tóth Gergely, Vincze Imre: Távoli személyazonosítási technikák (Irodalomkutatás kötet), 2005. (http://www.mit.bme.hu/research/search/downloads/tst/Irodalomkutatas.pdf) (Letöltve: 2007. február 27. 18:42)