„2015 óta nem létezik hatékony magyar kibervédelem, újra kell építeni az egészet”

Tanács Zoltán lett a tudományos és technológiai miniszter. Mit gondol róla?

Örültem neki, hisz szakember, ért ehhez a területhez. Pontosan tudja, hogy az intézményekben, közigazgatásban mit kell tenni, és mit nem.

A miniszter arról beszélt bizottsági meghallgatásán, hogy észt mintára szeretne digitális államot építeni. Milyen az az észt minta?

A régióban alapvetően ez a minta a meghatározó digitalizációs példa, de egyébként van egy mintája ennek Dubajban is, ahol ezt már 2012-2013-tól bevezették. Ezt úgy kell elképzelni, hogy az ember mobil applikációval intézhet lényegében mindent. Dubajban 90 ezer közalkalmazott átképzését végezték el. Ott azt nagyon komolyan vették, és sikersztori volt.

Ugyan van már pár funkcióval ellátott digitális állampolgár alkalmazásunk, de a mindent egy gombnyomásra elképezéstől mintha fényévekre lennénk.

Valóban. Eleve a közigazgatás és a közadatvagyon állapota kérdéses. Több mint ezer olyan adatbázis, alkalmazás van, amivel az állampolgárok találkoznak a mindennapokban, plusz a közigazgatáson belül vagy háromezer belső alkalmazás, ezeket mind integrálni kellene. Meg kéne nézni, hogy összesen hány ilyen rendszer van, hol vannak, milyen minőségűek, az adatok hogy vannak tárolva, kezelve, átjárhatóak-e belül és így tovább. Arról nem is beszélve, hogy kibervédelmi, információbiztonsági szempontból milyen állapotban vannak ezek a rendszerek. Ez hatalmas meló, egy ciklus alatt nem is lehet megcsinálni. De van ezzel más gond is.

Mi?

Az állami adatkezelésben való bizodalom meggyengült az elmúlt 16 évben. Rengeteg olyan példa volt, hogy másra használták az állampolgárok adatait, mint amire megadták. Konkrétan propagandára. Gondoljunk csak a vakcinainfóra. Ez nagy károkat okozott a digitalizációval kapcsolatban.

Most azért elég nagy a bizalom az új kormányban…

Igen, ez igaz, de amikor ezt a bizalmat applikációra kell váltani, az más tészta. Ráadásul a digitális állampolgárság egyik komoly hátránya, hogy ha megrendül a bizalom az állammal vagy a kormánnyal szemben, nincs valódi lehetőség „szolgáltatót váltani”, mint egy piaci szereplő esetében. Tehát azt a bizalmat, hogy az állam jó gazda, és vigyáz az adataidra, újra meg kell építeni. Miközben a digitális állampolgárság szerintem egy szükséges, és klassz cél.

Tanács Zoltán a kibervédelemről is beszélt. Egyáltalán honnan érdemes elindulni ebben a kérdésben?

2015 óta nem létezik hatékony magyar kibervédelem. Megszüntették, módszeresen felszámolták. Van nemzeti kibervédelmi törvény, amibe beépül az uniós szabályozás, de a Szabályozott Tevékenységek Felügyeleti Hatósághoz tartozik, ahol az autópálya-építéstől a dohányiparig aztán minden van. Mindez ráadásul a Miniszterelnökséghez tartozik. Át kell adni ezt a részt az új minisztériumnak, a kiberbiztonsági államtitkárságnak, ha lesz ilyen.

A miniszter arról is beszélt, hogy a terület széttagolt. Mit jelent ez a gyakorlatban?

Egyfelől nincs egységes hatáskör, felelősség, elszigetelt képességeket próbáltak kialakítani. Annak idején, mikor mi ezt elkezdtük, egységesíteni próbáltuk a teljes kormányzaton belül. Ez azt jelentette, hogy egy hatóság irányította gyakorlatilag mindenki kiberbiztonságát. Nem úgy, hogy mindenhova rohangálnak a hatósági emberek, hanem ágazati központokat akartunk létrehozni a végeken is, ahol a csapatok önállóan tudtak volna dolgozni, de központi koordinációval. Ez megszűnt 2015-ben.

Vegyük például a külügyet, ahol nemzetközi hálózatról is beszélünk, egy része speciális, minősített rendszernek minősül. Az Információs Hivatal, az Alkotmányvédelmi Hivatal és a szakszolgálatok – köztük az NKI-val (Nemzeti Kiberbiztonsági Intézettel) kibővített kiberbiztonsági felügyelet – egyaránt ráláttak és felelősek a külügyi rendszer kiberbiztonságáért is. A rendszert közben a NISZ (Nemzeti Infokommunikációs Szolgáltató) és a Külügyminisztérium saját informatikai csapata üzemeltette, a minősített hálózatot pedig a Nemzeti Biztonsági Felügyelet felügyelte. Ebben a kulimászban ki a felelős? Ki avatkozik be, ha szükséges? Ki fog módosítani? Ez egy állatorvosi ló volt az elmúlt időszakban.

Mit kellene tenni?

Kell egy olyan országos hatáskörű kiberbiztonsági hatóság, ami hazai és nemzetközi szinten is képviseli az ország kiberbiztonságát, kifelé és befelé is koordinál. Befelé pedig ki kell alakítani azokat az ágazati szervezeteket, amelyekről beszéltem. Ebben a stukatúrában végre lehet hajtani egy egységes intézkedést az állami intézmények informatikájában, és a végén világos lesz az is, ki a felelős. Katonai vonalon pedig ugyanezt létrehozni, tehát a kiberparancsnokságot megerősíteni. A katonai a NATO-val, a civil rész az unióval működne együtt. Itthon pedig egymással koordinálnának. Ezt lenne érdemes összerakni.

Évekkel ezelőtti történet, hogy a Külügyminisztériumba „ki-be járkálnak” az oroszok. Ezek alapján mire lehet számítani a kiberbiztonság szempontjából?

Nincsenek illúzióm, szerintem nagy a baj. Abból kell kiindulni, hogy ami most van, az nem egy megbízható állapot. Tehát fel kell mérni, mekkorák a károk. Az állami, önkormányzati rendszerek esetén azt, hogy milyen sérülékenységgel futnak ezek a rendszerek, tehát mekkorák a lyukak.

Ha jól értem, ez a nulladik lépés, hogy egyáltalán tudjanak dolgozni a minisztériumok, önkormányzatok?

Nem az a kérdés, tudnak-e dolgozni, hanem hogy mernek-e! Mert a rendszerek működnek, az eddigi gondolkodás ebben merült ki, hogy csak működjenek. Tehát, igen, ez a nulladik lépés.

Hogyan kéne ennek nekiállni?

Erre kell a hatóság, aminek megvan erre a mandátuma, és egy személyzet, aki ezt végrehajtja. Ebbe bevonhatóak for profit módon piaci cégek, de saját csapattal is megoldható, csak az talán lassabb. Fel kell mérni a sérülékenységeket, aminek az eredménye alapján a szakvezetés meg a szakpolitika meg tudja határozni, mi az, amit gyorsan, aztán középtávon, és végül hosszútávon kell megcsinálni.

És ez mennyi idő?

A felmérést és a azonnal végrehajtandó feladatokat bőven meg lehet csinálni ebben a ciklusban, de vaskézzel kell darálni.

Na és a forrás? Azt tudjuk, hogy nincs jó állapotban a költségvetés.

A felmérés rész nem olyan vészes, pár milliárdtól a 10 milliárdig tartó összegről van szó. A gatyába rázáshoz már vaskosabb pénzek kellenek. Ami könnyebbség lehet, hogy szerintem vannak is meglévő erőforrásaink, sok beszerzés volt, csak nem biztos, hogy licencelték, nem biztos, hogy jól használják, és így tovább. Ezeket nem tudjuk, de csökkenthetik a végösszeget, de még így is azt gondolom, hogy a teljes rendrakást nem lehet ebből a költségvetésből megcsinálni. Viszont hosszútávon muszáj végrehajtani az összes feladatot.

A harmadik nagy terület, amit megjelölt Tanács Zoltán, az a mesterséges intelligencia. A miniszter mind a veszélyeiről, mind az előnyeiről beszélt. Ön mire hívná fel a figyelmet?

Elsősorban, hogy az Európai Unió mesterséges intelligenciáról szóló rendelete (AI Act) már hatályba lépett, és az előírásai 2025-től fokozatosan kötelezővé válnak. A jogszabályi megfelelés tehát nem opcionális: az új kormánynak erre kiemelt figyelmet kell fordítania. Kevés az idő, ezeket az előkészítő és megfelelési feladatokat rövid időn belül el kell végezni.

Pontosan mi az, ami már kötelezővé vált, és mi vár ebben a kérdésben a Tisza Pártra?

Már tavaly év elejétől érvényben vannak a tiltott AI-technológiákra vonatkozó szabályok: ezeket azonosítani, elkülöníteni és bejelenteni kell. Az eredeti elképzelés az volt, hogy az általános célú mesterséges intelligencia-rendszerekre szintén kötelezővé váljon a nyilvántartási és katalogizálási kötelezettség. A tervek szerint a következő lépcső, hogy augusztustól ezeket a nyilvántartásokat már hivatalosan is jelenteni kell a kijelölt nemzeti hatóságnak, valamint összehangolni az uniós felügyeleti rendszerrel. Ezt a határidőt most egy évvel kitolták, könnyítették az eredeti feltételeket, de a kötelezettség minden érintettre vonatkozik, azokra a szervezetekre és cégekre is, amelyek mesterséges intelligencián alapuló alkalmazásokat fejlesztenek vagy működtetnek. Tehát ezeknek meg kell teremteni a jogi hátterét, és be is kell tartatni.