Hogyan hat egymásra a kiberbiztonság és az automatizált közlekedés?

Az automatizált és hálózatba kapcsolt közlekedésről folytatott legutóbbi beszélgetésünkben külön részt szenteltünk a fogalmak és az azonos jelentéstartalom fontosságának. Mennyiben irányadó ez a kiberbiztonsággal összefüggésben?

A kérdés jogos, amire a válasz röviden: teljes mértékben. A válasz kicsit hosszabban a következő: ha valaki elkezd foglalkozni ezzel a témával, gyakorlatilag azonnal azt tapasztalja, hogy a szakirodalom már a kiberbiztonság vagy a kibertér meghatározásával is hosszú fejezetekben foglalkozik. Ennek egyrészt az az oka, hogy a fogalmak viszonylag újnak tekinthetők, ezért még nem kiforrottak, másrészt pedig a fejlesztések gyorsasága miatt a már meglévő fogalmakat is rendszeresen felül kell vizsgálni. Nem meglepő módon értelmezési vitáktól mentes, egységes fogalomrendszer jelenleg még nem alakult ki és mind nemzetközi, mind pedig hazai szinten folyamatosan zajlik a pontosítás folyamata.

Szerencsére kapaszkodók azért vannak és a témakör fontosságát mutatja, hogy Magyarországon törvényi szinten került meghatározásra a kiberbiztonság fogalma. Igaz nem kifejezetten a járműiparral, hanem az állami és önkormányzati szervek elektronikus információbiztonságával összefüggésben. A követhetőség érdekében kivételesen idézem a 2013. évi L. törvény vonatkozó fogalommeghatározását, amely szerint a kiberbiztonság a kibertérben létező kockázatok kezelésére alkalmazható politikai, jogi, gazdasági, oktatási és tudatosságnövelő, valamint technikai eszközök folyamatos és tervszerű alkalmazása, amelyek a kibertérben létező kockázatok elfogadható szintjét biztosítva a kiberteret megbízható környezetté alakítják a társadalmi és gazdasági folyamatok zavartalan működéséhez és működtetéséhez. A definíció kapcsán felhívom a figyelmet arra az általánosan elfogadott szakértői álláspontra, miszerint nincs kikezdhetetlen biztonság és az említett fogalommeghatározás is ezt a nézetet tükrözi vissza, amikor a kockázatok elfogadható szintjét említi. Ezen a területen alapvetés tehát, hogy a rizikókat nem lehet teljesen kizárni.

A kiberbiztonság fogalmával összefüggésben mindenképp figyelmet érdemel az Európai Uniós Hálózat- és Információbiztonsági Ügynökség, az ENISA definícióalkotási tevékenysége is. Ezen szervezet álláspontja szerint a kiberbiztonság fogalma a következő elemekből áll: a kommunikáció biztonsága (ami a rendszer technikai infrastruktúrájának védelmét jelenti); a működés biztonsága (ami a munkafolyamatok szándékos megzavarása, megváltoztatása elleni védelem); az információ biztonsága (azaz a rendszerben tárolt vagy továbbított adat megváltoztatásával szembeni védelem); a fizikai biztonság (ez a rendszer fizikai veszélyektől való védelmét jelenti); és a közbiztonsági/nemzetbiztonsági védelem (ami a kibertérből származó olyan fenyegetések elleni védekezés, amelyek egyaránt veszélyeztethetik a fizikai rendszereket és magát a kiberteret).

Ezen túl a kiberbiztonság definíciója kapcsán utalnék egy igazán friss fejleményre. Az ENSZ Európai Gazdasági Bizottsága, az ENSZ-EGB az idén június végén megtartott világfórumán többek között megalkotta az ECE/TRANS/WP.29/2020/79 előírást, ami 2021 januárjában lép hatályba. Ez a dokumentum is tartalmaz egy idevonatkozó fogalommeghatározást, amely szerint a kiberbiztonság azt az állapotot jelenti, amelyben a közúti járművek és azok funkciói védelmet kapnak az elektromos vagy elektronikai alkotóelemekre irányuló kiberfenyegetésekkel szemben. Megjegyzem ez az új előírás jól mutatja, hogy az ENSZ-EGB által is intenzíven zajlik a nemzetközi szinten harmonizált és kötelező erővel bíró szabályok megalkotása.

A fogalommeghatározások során láthatólag kihagyhatatlan a kibertér. Mit értünk ez alatt?

Egyszerűbb értelmezés szerint a kibertér a mindennapi életünk részét képező elektronikus világot, kicsit konkrétabban az összekapcsolt elektronikus információs rendszerek és hálózatok összességét jelenti. Az előbb említett hazai jogszabály ennél részletesebben fogalmaz és megkülönbözteti a globális és a magyar kiberteret. Az előző a globálisan összekapcsolt, decentralizált, egyre növekvő elektronikus információs rendszerek, valamint ezen rendszereken keresztül adatok és információk formájában megjelenő társadalmi és gazdasági folyamatok együttesét jelenti. A magyar kibertér pedig a globális kibertér elektronikus információs rendszereinek azon része, amelyek Magyarországon találhatóak, valamint a globális kibertér elektronikus rendszerein keresztül adatok és információk formájában megjelenő társadalmi és gazdasági folyamatok közül azok, amelyek Magyarországon történnek vagy Magyarországra irányulnak, illetve Magyarország érintett benne.

Érdekességképp jegyzem meg, hogy találkoztam olyan tanulmánnyal, amelyik összesen 40 kibertér definíciót vetett össze és azokból vont le következtetéseket. Önmagában már ez is jól mutatja, hogy egységes meghatározásról jelenleg még nem beszélhetünk.

Hogyan jellemezhető általánosságban a kiberbiztonság és a járműipar közötti kapcsolat?

A járműipar szemszögéből nézve a kiberbiztonság magába foglal minden személyt és tárgyat, akik és amik a kibertéren keresztül hozzáférhetnek például a különböző alkalmazásokhoz, jármű fedélzeti navigációs rendszerhez, In-car internethez vagy Bluetooth kapcsolathoz. A járművezetés automatizáltsági szintjének emelkedése azt eredményezi, hogy egyre komolyabb figyelmet igényelnek a védendő eszközök, így kiemelten a járművek és az intelligens infrastruktúra.

A biztonságos közlekedést szolgáló, figyelmeztetéseket, információkat nyújtó, felügyeletet, szórakozást biztosító, baleset esetén a mentést segítő rendszerek működése és a kiberbiztonság között közvetlen kapcsolat áll fenn. Ezzel összefüggésben az jelentheti a problémát, ha nem kielégítő védettségű kommunikációs hálózatokhoz történő csatlakozással elérhetővé válnak olyan funkciók, amelyek működése megzavarható, vagy akár az irányítás is teljesen átvehető. A kockázatok miatt a jármű, mint az intelligens mobilitási rendszer megkerülhetetlen eszköze ma már kiberbiztonsági szempontból is kiemelten kezelendő. Ennek kapcsán az általam ismert szakértők egyetértenek abban, hogy a kiberbiztonságot a járművek teljes életciklusa alatt folyamatosan biztosítani szükséges a koncepciótervek elkészítésétől kezdve, a jármű előállításán, működtetésén, szervizelésén keresztül egészen a használat befejezéséig.

Amikor kifejezetten a járműiparral kapcsolatban esik szó a kiberbiztonságról, érdemes megjegyezni, hogy a Magyarországon intenzíven zajló járműfejlesztési projektek kapcsán közvetlenül is előkerül a kiberbiztonság kérdéskör. A tesztelések vonatkozásában garanciális feltételeket meghatározó 6/1990. (IV. 12.) KÖHÉM rendelet szerint ugyanis a járműfejlesztő köteles biztosítani, hogy valamennyi fejlesztési célú autonóm jármű prototípus automatizált vezérlése és egyéb járműrendszere megfelelő beépített biztonsági szinttel rendelkezzen a jogosulatlan hozzáférésből adódó kockázat kezelése érdekében. Ezen túl pedig a járműfejlesztőnek az elvárható legjobb minőségben kell alkalmaznia a biztonságkritikus járműipari rendszerek fejlesztésére vonatkozó szabványokat és technológiákat. Üzenetértékű és egybecseng a nemzetközi trendekkel, hogy a jogalkotó a részletes garanciális szabályok körében elengedhetetlennek tartotta a kiberbiztonsági követelmények meghatározását is.

Legutóbbi beszélgetéseink során részletesen foglalkoztunk a németországi Mobilitás Jövője Nemzeti Platform tevékenységével. Milyen álláspontot képvisel ez a szakmai grémium a kiberbiztonsággal kapcsolatban?

Az idén júniusban közzétett szakértői anyag, az úgynevezett White Paper foglalkozik ezzel a témakörrel és kiemeli, hogy jelenleg is számos kodifikációs folyamat zajlik a kiberbiztonság területén és ezzel összefüggésben a szoftverfrissítés témakörben. Ugyanakkor az anyag problematizálja, hogy a szabályozó szervek túlzottan a gyártók fejlesztési folyamatainak eredményeire koncentrálnak, ahelyett, hogy határozott előírásokat rögzítenének a különleges technológiákra vonatkozóan. A White Paper hangsúlyozza azt is, hogy a szabályalkotás során a rendszerek alkalmazhatóságának végső határideje kapcsán tekintettel kell lenni a fedélzeti hálózati architektúrára, valamint az utólagos módosítási lehetőségekre.

A szakértői anyag alapvetésnek tekinti, hogy a technika gyors fejlődése miatt folyamatosan modernizálni szükséges a kiberbiztonsági ellenőrzéseket és ennek érdekében az ipari szereplőknek, a vizsgáló szervezeteknek és hatóságoknak közösen kell értékelniük a validálási lehetőségeket. A White Paper a biztonság kapcsán választ igénylő, még nyitott kérdésként veti fel, hogy a járművek érintett rendszereit mennyi ideig kell ellátni megfelelő biztonsági frissítésekkel és mi a teendő azon járművek esetében, amelyeknél ez műszakilag már nem lehetséges. Egyebekben a szakértők kiemelik, hogy a járművek teljes életciklusát lefedő olyan koncepciókat kell kidolgozni, amelyekkel egy-egy manipulációs kísérlet beazonosítható és amelyek segítségével automatikusan elvégezhető a rendszer sértetlenségének ellenőrzése.

A német szakemberek hiányosságként jelölték meg, hogy jelenleg még nincs megfelelően szabályozva az úgynevezett Cyber-Security-Management-System (CSMS) tanúsítványok kölcsönös elismerése és az ahhoz szükséges dokumentáció köre. Ezzel összefüggésben szükséges az auditorok képesítésére vonatkozó szabályrendszer megalkotása, amely alapján el lehet végezni a gyártók CSMS folyamatainak vizsgálatát. Az ellenőrzés kritériumait és részletes szintjeit szintén szabályozni szükséges, mivel azok jelenleg nem állnak rendelkezésre. Ugyanakkor az iránymutatások és/vagy a standardizált megoldásokra történő hivatkozások szükségesek, mivel az ellenőrzéseket csak így lehet objektív módon és szakmailag megalapozottan értékelni.

Tudomásom szerint a White Paper-ben olvasható kritikai megjegyzések és javaslatok azt a célt is szolgálták, hogy az ENSZ-EGB számára a már említett június végi világfórum előtt szakmai iránymutatást adjanak. Ennek annyiban meglett az eredménye, hogy az előzőekben hivatkozott új ENSZ-EGB előírás fontos mérföldkövet jelent a CSMS vonatkozásában is. A dokumentum szerint a CSMS olyan szisztematikus kockázatalapú megközelítés, amely szervezeti folyamatokat, felelősséget és irányítást határoz meg a járművekre irányuló kiberfenyegetésekkel kapcsolatos kockázatok kezelése és a járművek kibertámadásokkal szembeni védelme érdekében. Az ENSZ-EGB előírás a definíción túl tartalmazza a CSMS-re vonatkozó részletes követelményrendszert, a hatékony alkalmazást biztosító garanciákat, a gyártókat érintő feladatokat, valamint a járműgyártók és az illetékes hatóságok közötti eljárás szabályait is.

A Mobilitás Jövője Platformhoz és az ENSZ-EGB-hez köthető aktuális történések alapján látható, hogy nemzetközi szinten intenzív munka zajlik. A kiberbiztonság kapcsán Magyarországon történt a közelmúltban említésre méltó fejlemény?

Itthon is komoly szakértői munka zajlik ezen a területen. Ennek eredményeként a 1163/2020. (IV. 21.) kormányhatározatban elfogadásra került a Magyarország Nemzeti Biztonsági Stratégiája „Biztonságos Magyarország egy változékony világban” című dokumentum, ami több olyan megállapítást tartalmaz, ami közvetlenül is kapcsolódik a járműiparhoz. Így például az anyag stratégiai fontosságú kérdésnek tekinti a forradalmi technológiák fejlesztését és a kulcsfontosságú területek közé sorolja többek között a mesterséges intelligenciát és az autonóm rendszereket is, amelyeknél kiemelten kell figyelni a kutatás-fejlesztésre és a védelemre. Az anyag a mesterséges intelligencia szerepét a jelen és a jövő fejlesztései szempontjából rendkívüli jelentőségűnek tekinti és támogatja annak kiterjesztését. Ennek kapcsán pedig koncentrálni kell azokat az infrastrukturális és humán erőforrásokat, amelyek megfelelő jogi és felelősségi környezet kialakításával lehetővé teszik a mesterséges intelligencia-alapú rendszerek fejlesztését és biztonságos üzemeltetését.

Az említetteken túl a Stratégia a kiemelt biztonsági kockázatok közé sorolja azt az esetkört, amikor a forradalmi technológiai fejlesztések illetéktelen kezekbe kerülésével a nemzet biztonságát veszélyeztető támadások vagy terrorcselekmények jelennek meg. Fontos az is, hogy a Stratégia a feladatok megoldása kapcsán hangsúlyozza a nemzetközi együttműködés és a határokon átívelő gondolkodás jelentőségét és többek között kiemeli a közlekedésbiztonság védelmének fontosságát. Természetesen a Stratégia megvalósításához további részletes szabályozásra van szükség, ezért a kormányhatározat alapján a feladat- és hatáskörrel rendelkező miniszterek feladata, hogy év végéig felülvizsgálják az ágazati stratégiai dokumentumokat, ha pedig azok még nem állnak rendelkezésre, el kell készíteni azokat.