Biztonság és jog az interneten

, 2000. június 22. 16:52
Szép számú szolgáltató, az ismert okok miatt kissé visszafogottabb felhasználószám, elvétve néhány valóban internetes szolgáltatás, e-kereskedelmet folytató vállalkozás, és még ezeknél is kevesebb pénzintézeti kínálat - röviden ez jellemzi a hazai e-helyzetet. Sok helyen tapasztalható persze elsősorban infrastrukturális, illetve befektetők által forszírozott, üzleti megjelenést célzó készülődés, és az előrejelzések szerint 2003-ra akár a tavalyi tízszeresét is elérheti a B2C-forgalom, azonban ehhez jelentősen változtatni kell az erre hatást gyakorló arányokon.
Legalább 2-4-szeresére kellene a ma internetet használók (az összlakosság 5 százaléka) táborának emelkednie, amihez persze még a PC-ellátottság sem megfelelő, hisz ez tavaly, a KSH adatai alapján, még az EU átlagának felét sem érte el. Van két, az említettekhez képest sokkal látványosabb lemaradással "büszkélkedő" terület is. Egyik az 1000 főre vonatkoztatott, az USA-hoz képest (1480) még az EU-ban (890) is alacsony (Magyarországon - a vállalatiakat, vállalkozóiakat is beleértve - 360) bankkártyaszám, a másik miatt pedig az internetezést ma még csak költséges hobbiként, vagy csak az állam által támogatott tanulási, kutatási eszközként emlegethetjük, és ez az éves jövedelmünkre vonatkozó, az EU-hoz viszonyítva negyedannyit mutató számadat. S ha mindez már egyensúlyba került, még mindig ott van visszahúzó erőként a biztonság kérdése, amit az anyagi vonzaton kívül ma még törvényi hiányosságok is gyengítenek, s ami miatt a tényleges fizetések, a bizalmas levelezések, információcserék interneten keresztüli bonyolítása egyelőre ritkaságszámba megy.

Elsősorban az egyébként informatikai rendszeraudittal is foglalkozó, vagyis a kockázatok világában jártas tanácsadó cégek karolják fel idehaza is az internetes biztonság kérdését, de persze akadnak rajtuk kívül ezen a téren profi módon helytálló vállalkozások is. Legutóbb az Ernst & Young invitálta üzletfeleit egy, a fenti témával foglalkozó beszélgetésre, ahol a jelenlegi helyzetből kiindulva igyekeztek elsősorban a bizalom erősítését szolgáló megoldásokat és a terület néhány jogi aspektusát bemutatni.

Nincs új a nap alatt

Az interneten keresztül nyakunkba zúduló atrocitások, a nagy értékű üzleti károkozásig terjedő kellemetlenségek többsége - mint például a lopás, csalás, hamisítás, visszaélés, személyiségi jogok megsértése, hitelkártya-visszaélés, hitelrontás, becsület- és titoksértés, vagy az ipari kémkedés - az internet megjelenése előtt is létezett, de az ellene való szokásos védekezés a világhálón már nem hatásos. Ezek jelentik ma az internetes üzletvitel biztonsági kockázatait (az üzletiekre most nem koncentrálunk). S míg a hagyományos bolti rendszerben ezek egy része ellen elfogadható védelemnek bizonyult korábban a pultok felállítása, majd a zárt tv- lánctól kezdve a mágneses biztonsági kapukon keresztül a legkülönbözőbb fizikai és technikai megoldások, addig az internetes bűnözők két csoportja ellen más védekezést kell alkalmazni.

Az internetes károkozók fajtái és a károkozás mibenléte

Hacker - tolvaj

Értékes információkra (hitelkártyaadatok, ügyféladatok, üzleti titkok) vadászik, általában közvetlen anyagi haszonszerzés céljából.

Cracker - terrorista

Fő célja a károkozás, a normális üzleti tevékenység megzavarása (Denial of Service-támadás), az információ-rendszerek feldúlása (vírustámadás).

Belső károkozók

A károk négyötöde belső támadótól, vagy cégen belülről támogatott elkövetőtől származik.

Jogra szomjazik

Mielőtt kitértek az előadók a védekezés formáira, az e-business azokkal szorosan összefonódó jogi kereteit igyekeztek tisztázni. "Az internet sem lóghat ki a jogi szabályozás alól, így a hagyományos jogi szabályok, törvények az internetre is vonatkoznak - mondta Kiss Domonkos ügyvéd -, de emellett az elektronikus kereskedelem által felvetett új, jogot ostromló kérdésekre is választ kell találni." Utóbbinak egyik megoldása az önszabályozás, a szolgáltatók által kialakított szabályrendszerek - idehaza például a domainnevek regisztrációjának szabályozása. Azonban garanciát jelentő állami háttérszabályozás is szükségeltetik, s elkerülhetetlennek látszik a jövőben az internet valamennyi jogi kérdésének egy helyen történő szabályozása is. "Különös jellemzője a szabályozásnak az internet ťhatártalanŤ voltából eredő nemzetköziség" - mondta Kiss. A nemzetközi szervezetek már hozzáfogtak egy olyan keretrendszer kidolgozásához, amely - hogy a létrejövő jogszabályok képesek legyenek az internetes kereskedelmet országhatároktól függetlenül támogatni és mederben tartani - irányt mutatna a nemzeti törvényhozások részére ahhoz, hogy a készülő jogszabályok támogatóak legyenek, és ne gátként szolgáljanak az internet és az elektronikus kereskedelem számára. Néhány, az internetre is alkalmazható jogterületi specialitásra is felhívták a hallgatóság figyelmét. Ezek egyike az interneten jelen lévő valamennyi vállalkozást érintő reklámjog, amely kapcsán a direkt marketinget, az egyénre szabott hirdetésekkel kapcsolatos szabályozásokat sem lehet megkerülni, amelyek esetenként túlmutatva a reklámjog területén, az adatvédelem kérdését is feszegetik.

Egy másik specialitás a hálón keresztül kötött szerződések kérdése, egészen odáig, hogy milyen jog alkalmazandó a szerződéskötésnél, és egy esetleges szerződésszegésnél milyen bírói fórum jár majd el. Az interneten is tekintettel kell lenni azonban az általános szerződési feltételek alkalmazására vonatkozó magyar szabályozásra, s hogy ezek mikor, milyen feltételekkel válhatnak a szerződés részévé, azt a Ptk. határozza meg.

A szerződés teljesítése során a legnagyobb korlát a fizetések hiánya, illetve a nem megfelelő fejlettsége, s ugyan itt a biztonság sokkal fontosabb kérdés, mint a jogi támogatottság, de annak is ez utóbbi teremti meg az alapját. Az elektronikus fizetési eszközökre Magyarországon jogszabályi háttérként egy tavaly májusban megjelent kormányrendelet szolgál. Fontos a jogvita esetén eljáró bíróság meghatározása, s az egyes elektronikus üzletek megkötése és létrejötte igazolásának kérdése is. Ezt - megfelelő, bíróságok, hatóságok által kötelezően elfogadott bizonyító erőt rendelve az elektronikus okiratokhoz - megint csak a jog fogja megtámogatni. Újabb kérdőjelet jelent a fogyasztóvédelem, amire mindenhol a világon komoly figyelmet fordítanak, hiszen ha a fogyasztó nem érzi biztonságban magát, az elektronikus kereskedelem nem fog az elvárt módon és sebességgel fejlődni. A törvények általában biztosítják a fogyasztó részére az

- elállás jogát,

- a távollévők között kötött szerződések biztonságát (nálunk is van már erre az EU-éval harmonizáló kormányrendelet),

- a csomagküldő kereskedelmi szolgáltatások működését, hiszen ma még - az árutovábbítási szokások miatt - minden e-kereskedő idesorolható. Nem vitatott az adatvédelem kiemelt szerepe. Magyarországon a személyekhez kötődő e-mail címek személyes adatnak minősülnek, így azokra a személyi adatok védelméről szóló törvény vonatkozik, de szigorúan szabályozott a személyes adatok tárolása, feldolgozása és kezelése is.

Az előkészítés alatt lévő törvények ezekre és a felmerülő többi kérdésre is várhatóan megoldást jelentenek majd. Ezek

- az egységes hírközlési törvény, amely egységesen szabályozza majd az internetes hozzáférés árképzését,

- az elektronikus aláírás, elektronikus irat bizonyító erejét, előállításának módját szabályozó törvény, amely valószínűleg a jövő év első felében jelenik meg.

Biztos, ami biztos

A megoldások, a preventív védekezési lehetőségek ajánlatakor - amelyekkel a külvilág és a belső adatátviteli rendszer (intranet, internet) összekapcsolódása, s így átjárhatósága, valamint a külső és belső támadások elleni védelme megvalósítható - különösen kihangsúlyozták, hogy a biztonságnak jelen szituációban is két oldala van, az IT- és az ügyviteloldali. Nem elegendő csupán az előbbit megteremteni, mert az önmagában, az ügyviteloldali rendbetétele nélkül az nem vezet eredményre, de az utóbbiról viszont könnyen megfeledkeznek a vállalatok. Az alábbi táblázatban a két területet érintő intézkedéseket és megoldásokat foglalták össze.

E-business biztonság (preventív védelem)

IT-BIZTONSÁG ÜGYVITEL BIZTONSÁGA

Hálózati határvédelem (tűzfal és környezete) Üzletviteli és IT-stratégia, biztonságpolitika

Protokol- és IP-cím szűrése Üzletviteli kockázatelemzés (pénzügyi, jogi, technikai)

Hálózati tevékenység monitorozása (eseti, ill. állandó) Üzletmenet-folytonossági terv

Adatforgalom titkosítása IT-biztonsági szabályzatok

Certificate Authority használata Rendszertervezés (biztonsági követelmények hagyományos és internetes együttműködés esetén)

Vírusvédelem Implementálás - megvalósítási projekt

Információtárolás és mentések Aktív rendszer- és működési (rendszeres) audit

Statikus és dinamikus auditeszközök

Végezetül az internetkapcsolat és a belső hálózat biztonságára vonatkozó vizsgálatukat ismertették, melynek végén a vezetőknek szóló riportban, illetve az informatikusoknak készülő technikai jelentésben megismertetik az ügyfelet - a megoldási javaslattal együtt - a céget jellemző biztonsági állapottal, majd a szükséges munkák elvégzését követően a biztonság rendszeres utóvizsgálatát javasolják.