Nincs új a nap alatt?

Az élet számos területén lehet az az érzése az embernek, hogy bizonyos területeket a generációk újra és újra felfedeznek, adott esetben pedig hasonló módon szabályoznak. Szerintem – bizonyos szempontból – ilyen területnek tekinthető az információbiztonság, illetve az informatikai biztonság területe is. Egy, korábban titkos minősítésű BM intézkedés legalábbis ezt jelzi számomra.

A norma nem mostanában született, hiszen még a rendszerváltoztatás előtt, 1989. március 29-én foglalta írásba a Magyar Népköztársaság belügyminiszteri államtitkára, 2/1989 számú intézkedésében “a számítástechnikai eszközök, szoftvertermékek beszerzéséről és alkalmazásáról” szóló rendelkezéseit. A dokumentum titkos minősítése ellenére viszonylag széles körben ismert lehetett, hiszen 180 példányban készült és még a megyei rendőr-főkapitányságok vezetői, helyetteseik is megkapták.

Az intézkedés úgy vált néhány évvel ezelőtt megismerhetővé, hogy a minősítés megszűntetését követően az Állambiztonsági Szolgálatok Történeti Levéltára “ÁBTL – 4.2 – 10 – 26/2/1989 /2” jelzéssel feldolgozta, majd digitálisan hozzáférhetővé tette. A normát egyébként a Belügyminisztérium szervei által alkalmazott számítástechnikai eszközök és szoftvertermékek védelme, a rendszeridegen eszközök, vírusfertőzött programtermékek alkalmazásának megelőzése érdekében adta ki az államtitkár.

Azért is különlegesen érdekes szerintem ez a norma, mert számos olyan rendelkezést tartalmaz az immáron 33 éves intézkedés, amely ma is megállja a helyét. Ennek pedig legalább részben az az oka, hogy, noha évtizedek óta teljesen egyértelműek a legalapvetőbb követelmények, mégis számtalan helyen tapasztalom, hogy azok a gyakorlatban máig nem, vagy csak látszattevékenység erejéig érvényesülnek. De mik is ezek a szabályok (dőlt betűvel idézek az intézkedésből)?

1) Van egy, az információbiztonságért (is) felelős, központi szervezeti egység, amely rálát a szervezet egészének informatikai környezetére.

“A Belügyminisztérium szerveinél a számítástechnikai eszközöket és szoftvertermékeket csak a BM adatfeldolgozó és tájékoztatási csoportfőnök előzetes egyetértésével lehet üzembe állítani, illetve alkalmazni.”

2)  Ez a szervezeti egység gondoskodik a “végpontvédelemről”, illetve tájékoztatja a többi szervezeti egységet az “incidensekről”.

“A BM adatfeldolgozó és tájékoztatási csoportfőnök gondoskodjon a szoftvertermékek ellenőrzésének biztosításáról, a vírusfelfedő programok beszerzéséről, illetve a vírusmentesség vizsgálatáról. A beszerzett vírusfelfedő programokat adja át a Belügyminisztérium szervei számára, továbbá adjon részükre rendszeres tájékoztatást az ismertté vált vírusfertőzésekről.”

3) A szervezeti egységek dokumentációt készítenek az általuk készített programok vonatkozásában, és változáskövetést is alkalmaznak.

“A Belügyminisztérium szervei az általuk készített programokról és azok módosításáról – az ellenőrizhetőség érdekében – kötelesek naprakész dokumentációt vezetni.”

4) Az informatikai hálózatba csak biztonságosnak tartott, ellenőrzött elektronikus információs rendszerek csatlakoztathatók.

“A Belügyminisztérium országos távadatfeldolgozó hálózatába csak olyan mikroszámítógépet lehet bekapcsolni, amelynek programrendszerét a BM Adatfeldolgozó és Tájékoztatási Csoportfőnökségnek ellenőrzés céljából előzetesen bemutatták, és a BM adatfeldolgozó és tájékoztatási csoportfőnök a hálózatba való bekapcsolást engedélyezte.”

5) A központi szervezeti egység felméri a szervezetben már jelenleg is használt, de nem általa biztosított elektronikus információs rendszereket, azok biztonságosságát.

“A Belügyminisztérium szervei a már meglevő, részükre nem a BM Adatfeldolgozó és Tájékoztatási Csoportfőnökség által biztosított mikroszámítógépes szoftvertermékeiket utólagos bevizsgálás céljából a BM Adatfeldolgozó és Tájékoztatási Csoportfőnökségnek 1989. december 31-ig küldjék meg.”

6) A különböző rendszerkomponensek legyenek egymástól elszeparálva, ha az információbiztonság ez megkívánja.

“A kommunikációban részt vevő adatlemezeket az adatrögzítés megkezdése előtt minden esetben formatizálni kell. Az adatlemezek csak szövegfájlokat tartalmazhatnak. Adatfájlok és programok egy lemezen történő tárolása, kezelése tilos!”

7) Az elektronikus információs rendszerekhez csak azok férjenek hozzá, akiknek erre – a feladatuk ellátásából adódóan – valóban szükségük van.

“A számítástechnikai eszközöket üzemeltető BM szervek vezetői kötelesek gondoskodni arról, hogy ezekhez az eszközökhöz csak azok férhessenek hozzá, akiknek ez – szolgálati feladatuk ellátásából adódóan – munkaköri kötelességük.”

8) Az ilyen hozzáféréseket is naplózni szükséges.

“Az illetékes vezetők rendelkezzenek munkanapló vezetéséről, amelyben folyamatosan dokumentálni kell, hogy ki, mikor, mennyi ideig dolgozott a gépen.”

9) A feladatok ellenőrzésére is ki kell jelölni egy személyt, akinek erre jogosultságot kell adni.

“A jelen intézkedésben foglaltak végrehajtásának ellenőrzésére a BM adatfeldolgozó és tájékoztatási csoportfőnök által megbízott személy és a BM titokvédelmi felelőse jogosult.”

Természetesen lehet azt állítani, hogy vélhetően ezek a gondolatok egy-két már körvonalazódó, vagy létező szabvány, vagy más ajánlások feldolgozását jelentették, illetve azt is, hogy minden bizonnyal eléggé konkrét oka lehetett az intézkedés meghozatalának. Meg persze lehet azt is állítani, hogy a BM-nek ebben az időben vélhetően nagyobb problémát jelentett az írógépekbe festékszalagra forrást találni, semmint ezeken a problémákon merengeni.

Másfelől viszont, az eltelt évtizedek, a szabványok tucatjai és általános, törvényi szintű előírások mellett, illetve után is, még mindig gyakran csodálkoznak rá a szervezetek (és vezetőik), hogy milyen előírásokat, kontrollokat kellene, illetve kellett volna beépíteniük a működésükbe az eletronikus információs rendszereikkel kapcsolatosan. Ennek nyilvánvalóan több oka és összetevője is van, amit majd igyekszem más témák kapcsán körbejárni.

Végezetül nem mennék el egy szuperizgalmas fogalomhasználat mellett. Ez a “vírusfelfedő program” kifejezés, amit soha nem hallottam még korábban, és elképesztően naprakész volt abban az értelemben, hogy a vírus kifejezés használata az USA-ban 1986-ra datálható (Brain), az első víruskeresők pedig egy évvel később, 1987-ben jelentek meg (nem belemenve a részletekbe, hogy előtte voltak-e ilyen alkalmazások, vagy sem), a keleti blokk országaiban is (NOD).

Egy év múlva a víruskeresők alkalmazásának általános követelménye tehát már meg is jelent a BM-ben, és mennyivel őszintébb a “vírusfelfedő” kifejezés, hiszen az ezt követő évtizedekben a vírusirtók – az esetek túlnyomó részében – valóban csak felfedni, detektálni tudták a fertőzés jelenlétét, de azt biztonságosan és megbízhatóan megszűntetni a legritkább esetben (leszámítva a célalkalmazásokat). Ennek ellenére a magyar nyelvben ez utóbbi terjedt el: nyilván jobban hangzott, marketingszempontból.

Záró gondolatként pedig érdekes az a tény is, hogy a titkos intézkedés a dokumentumon található jelzések alapján 12/92. BM utasításig maradt hatályban, a minősítő azonban úgy találta, hogy a hatály megszűnését követően még 11 évig (2003-ig) indokolt a titkosság fenntartása, és csak ezt követően vált megismerhetővé,  tudományos igényű feldolgozása pedig talán a mai napig várat magára.

Érdekes lehet még