Szervezetek és biztonsági tudatosság Jogérvényesítés a kiber térben
Birkás Bence Nemzetközi kapcsolattartó Puskás Tivadar Közalapítvány 4/11/12
ELTE IT Biztonság Speci
1
4/11/12
ELTE IT Biztonság Speci
2
4/11/12
ELTE IT Biztonság Speci
3
ENSZ: Senkit nem lehet azzal büntetni, hogy megfosztják az internetkapcsolattól állapítja meg a nemzetközi szervezet friss jelentése. 2011. június 06
4/11/12
ELTE IT Biztonság Speci
4
Alapjogok az interneten - Felhasználóként mihez van jogunk? - Előfizetőként mihez van jogunk? - Mik a felhasználók kötelezettségi? - Mik a szolgáltatók kötelezettségei? - Milyen szervezetek védenek a jogellenes tartalmaktól? - Milyen szervezetek védik a hálózatok biztonságát? - Milyen jogi keretek védik a felhasználókat?
4/11/12
ELTE IT Biztonság Speci
5
Az alapprobléma Egyre több a megvédendő digitális érték Egyre nő a nemzeti digitális adatvagyon Egyre több helyen kell megadni személyes adatokat Viszont: egyre több a jogosulatlan adatgyűjtés Egyre nagyobb a veszély az információval/adatokkal való visszaélésre 4/11/12
ELTE IT Biztonság Speci
6
Mit kell védeni? - személyes adatokat saját eszközökön - egy hálózatot (egyetemi, vállalati): a fenntartható működésért - a kritikus infrastruktúrákat: a szolgáltatások folytonosságáért, a rendszerek intergitásáért - az elektronikus közszolgáltatást (kormányzati gerinchálózat, ügyfélkapu): az információ hitelességéért, megbízhatóságáért - a felhasználók személyiségi jogait, jó hírnevét 4/11/12
ELTE IT Biztonság Speci
7
Mitől kell védeni?
- kártékony programoktól: malware, vírus, spam - rosszindulatú adatgyűjtéstől: adathalászat, money mule - célzott támadástól, nagykiterjedésű támadástól - jogsértő tartalmaktól - hozzájárulás nélkül hozzáférhetővé tett tartalmaktól
4/11/12
ELTE IT Biztonság Speci
8
Nemzetközi jogi keretek - ICANN - Kijelölt Nevek és Számok Internetes Társasága szabályzata a domain regisztrációról - Safe Harbor Act / 2000/520/EK határozat – határokon átnyúló személyes adatok kezeléséről, feldolgozásáról, védelméről szóló irányelv - New York-i egyezmény a gyermekek jogairól – a pedofília ellen - Budapesti Egyezmény a számítástechnikai bűnözésről - a számítástechnikai rendszerek, hálózatok, adatok hozzáférhetőségének sérthetetlenségéről - London, Budapest Kibertér konferencia – új kiber normák
4/11/12
ELTE IT Biztonság Speci
9
Hazai jogi keretek - Alkotmány – jóhírnévhez, személyes adatok védelméhez való jog - Elektronikus hírközlési törvény – a fogyasztók megbízható, biztonságos szolgáltatásokkal való ellátása, adatkezelési témakörök - E-kereskedelmi törvény – a személyes adatok kezeléséről, fogyasztóvédelmi szabályokról, jogsértő tartalmakkal kapcsolatos szabályok - E-közigazgatási törvény – az ügyintézés átláthatósága, az informatikai biztonság garantálása - BTK 300/C – a számítástechnikai rendszer védelmét szolgáló intézkedés megsértése, jogosulatlan belépés 4/11/12
ELTE IT Biztonság Speci
10
Hazai keretek
- ISZT alapszabály, alternatív vitarendezési módszerek - MTE alapszabály + etikai kódex, panaszkezelési eljárás - szolgáltatók ÁSZF-je, abuse team-ek - Alapvető Jogok Biztosa / NAIH állásfoglalásai, határozatai
4/11/12
ELTE IT Biztonság Speci
11
Ki tud megvédeni? A CERT közösség - mi az a CERT, CSIRT? – Computer Emergency Response Team – Computer Security Incident Response Team
- alapvető feladat: információ és hálózatbiztonsági
incidensek koordinációja a támogatott szervezetek részére - globális/regionális/szektorális CERT-ek hálózata - globális lefedettség, koordinált incidenskezelés, sérülékenységi információk, információ megosztás, megbízható forrás - nemzetközi fórumok: FIRST, TF-CSIRT, EGC → akkreditáció, kapcsolati pontok, magas bizalmi szint - gyors technikai megoldás hálózatbiztonsági problémára 4/11/12
ELTE IT Biztonság Speci
12
CERT-ek működése Általános CERT szolgáltatások: preventiv - reaktív – proaktív - incidens kezelés/koordináció - sérülékenység kezelés: kockázati besorolás, fenyegetettségi szint - fenyegetettségi publikációk, jelentések, riasztások - korai figyelmeztető rendszerek, kiber helyzetértékelés - tudatosság növelés: szakmai - általános - incidensek kezelése ticketing rendszeren keresztül - PGP használata kommunikáció során 4/11/12
ELTE IT Biztonság Speci
13
CERT incidens kezelés
4/11/12
ELTE IT Biztonság Speci
14
Ki tud megvédeni? Hotline közösség - nemzetközi hálózat káros, illegális és jogsértő tartalmak eltávolítására (INHOPE) - küzdelem 2 fő tartalom kategória ellen: pedofil, rasszista tartalmak - értesítési és eltávolítási folyamat a tartalmak eltávolítására - eltérő jogi szabályozások miatt változó siker - nem nyújt lehetőséget 'káros' tartalmak eltávolítására
4/11/12
ELTE IT Biztonság Speci
15
Bejelentési kategóriák A Biztonsagosinternet.hu bejelentő oldalán a magyar jogszabály által meghatározott jogsétrő online tartalmat jelenthet be a következők szerint: - pedofil tartalom - idegen és fajgyűlöletre uszító tartalom - drogfogyasztásra csábítás - online zaklatás, erőszakos tartalom - hozzájárulása nélkül sértő módon hozzáférhetővé tett tartalom - egyéb sértő tartalom
4/11/12
ELTE IT Biztonság Speci
16
Hotline eljárási rend
4/11/12
ELTE IT Biztonság Speci
17
Ki tud megvédeni? Bűnüldöző szervek - lassú, jogi kereteknek megfelelő eljárás nemzetközi jogsegély egyezmények alapján - Interpol, Europol a nemzeti rendőrségek támogatására - együttműködés CERT-ekkel, Hotline-okkal
Botnetek ellen - Team Cymru, Shadowserver Foundation, stb: fertőzöttségi listák - ISP-k proaktív hozzállása, önszabályozó törekvések
Sérülékenységek, vírusok ellen: - szoftvergyártók megoldásai: Microsoft, Firefox, stb. - piaci vírusirtó megoldások, internetszolgáltatók szűrései 4/11/12
ELTE IT Biztonság Speci
18
Európai információbiztonság Európai Bizottság - Safer Internet Program (INSAFE/INHOPE) - kritikus információs infrastruktúra védelem (DG CONNECT) - pályázatok, finanszírozás a Digitális Menetrend támogatására
- ENISA - Európai Hálózat- és Információbiztonsági Ügynökség - gyakorlatok, PPP kezdeményezések EGC, EUSCSIE, FI-ISAC stb... - koordinált incidens kezelés, SCADA/irányítási rendszerek, pénzügyi rendszerek biztonsága 4/11/12
ELTE IT Biztonság Speci
19
Magyar információbiztonság - PTA CERT-Hungary - Nemzeti Hálózatbiztonsági Központ → nemzeti kapcsolati pont, 0-24 ügyelet
- Hun-CERT, NIIF CSIRT – incidenskezelés, koordináció - Hatóságok (PSZÁF, NMHH, NAIH) – ellenőrzés, határozat, ajánlás, fogyasztóvédelem
- ISP-k – önszabályozás - Bűnüldöző szervek – ORFK, NNYI: megelőzés, nyomozás, bizonyítékok begyűjtése, együttműködés CERT-el, hotline-al
- NFM, BM, KIM, ME – kormányzati, közigazgatási IT, kritikus infrastruktúra védelem
- Információ megosztó csoportok (ISAC): közös érdek alapján 4/11/12
ELTE IT Biztonság Speci
20
Magyar tudatosságnövelés
www.biztonsagosinternet.hu - jogsértő tartalmak bejelentése, általános internetbiztonsági útmutató
www.saferinternet.hu - magyar Safer Internet pont:
gyerek – szülő
- pedagógus
www.internethotline.hu - illegális, káros tartalom bejelentése (NMHH)
www.idealisbank.hu - internetbanki és internetbiztonsági tudatosságnövelés (PSZÁF)
4/11/12
ELTE IT Biztonság Speci
21
4/11/12
ELTE IT Biztonság Speci
22
Köszönöm a figyelmet!
[email protected]
4/11/12
ELTE IT Biztonság Speci
23
