Országgyűlési Napló - 2013. évi tavaszi ülésszak
2013. március 26 (265. szám) - Az állami és önkormányzati szervek elektronikus információbiztonságáról szóló törvényjavaslat általános vitája - ELNÖK (Lezsák Sándor): - DR. BAJA FERENC, az MSZP képviselőcsoportja részéről:
1996 Nem látjuk például azt, hogy akár a Külügyminisztériumnak, akár a Belügyminisztériumnak mi a feladata, mi a felelőssége abban az esetben, ha Magyarországot tényleg komolyan úgynevezett informatikai támadás érné. Adott esetben mi akkor a helyzet, mi akkor a feladata, ha bármelyik magyar jelentős vállalatot, legyen az magántulajdonban, állami tulajdonban vagy külföldi tulajdonban, annak az informatikai rendszerét támadás érné, tehát nem állampolgári, hanem úgynevezett vállalati kémkedésről lenne szó? Ismert a világban, hogy ilyen is létezik természetesen, de erre vonatkozóan sincs semmilyen szabályozás. Ráadásul - azt kell mondanom - a szöveg belső koherenciájában is sok problémát mutat azért, mert a különféle biztonsági osztályokba sorolásoknak nincsenek meg a maguk szakmai elhatárolásai és kompetenciái. De ugyanígy igaz ez egyébként azokra a felelősökre, akiknek felelniük kell maj d a törvény elfogadása után az informatikai biztonságért. Értem, amit az államtitkár úr mond, hogy ezeket majd képezni kell, de jelen pillanatban például az alkalmazás feltételrendszere ebben a szabályrendszerben nem világos. Nyilván majd valamilyen kormán yrendeletben ezt megpróbálják szabályozni, de akkor is az a helyzet, hogy legalább például az alapelveiről, arról, hogy egyáltalán ki foglalkozhat ilyesmivel, kinek mi lesz a felelőssége, a jogszabály jelen pillanatban egyáltalán nem mond semmit. Van még e gy olyan elem, amire szeretném a vitában felhívni a képviselőtársaim figyelmét. Kétfajta modellben gondolkodik a biztonság területén ma a világban minden közösség, ha tetszik, minden ország és állam. Az egyik az úgynevezett hatósági modell, amelyet jelen p illanatban ez a törvény is tartalmaz, amelyről az államtitkár úr is beszél. És van egy másik, az úgynevezett felügyelet típusú modell, ahol egy másfajta modell szerint történik meg a szükséges biztonsági intézményrendszer kialakítása. A mi megítélésünk sze rint a magyarországi helyzetben a felügyelet típusú modell sokkal alkalmasabb ennek a feladatnak az ellátására. Az a helyzet ugyanis, hogy nem felelősöket kell teremteni, akik egyébként nem tudnak csinálni semmit, hanem egy olyan felügyeleti rendszert, ame ly kellő szankcióval, kellő eszközrendszerrel képes felügyelni a magyar informatikai feltételrendszert, a teljes hálózatot, az adatbázisokat és képes felügyelni, hogy érie támadás ezt az intézményrendszert. Lényegében a hatósági modellben a felügyeleti fe lelősség - még egyszer mondom - olyan embereket fog érinteni, akik tulajdonképpen egyáltalán semmit nem tehetnek egyegy ilyen támadás elhárítására. Ezért nekünk az a szilárd álláspontunk, hogy ha helyesen egyébként a kormány szabályozni szeretné ezen a te rületen a kialakult magyarországi körülményeket, akkor át kellene térnie egy felügyelet típusú modell kialakítására. Az sem elkerülhető, gondolom, kiderült az eddig elmondottakból, hogy a Magyar Szocialista Párt álláspontja szerint az információbiztonságró l szóló törvényjavaslatnak át kell fognia a kérdéskör teljes vertikumát, tartalmazva a szolgáltatásokat nyújtó állami és önkormányzati szervek és szervezetek, vállalkozások kötelezettségeit, illetőleg a felhasználó vállalkozások, társadalmi és civil szerve zetek, valamint a lakosság ezzel kapcsolatos jogait. Az információbiztonság felügyeletét és az ezzel kapcsolatos feladatok ellátását egységes alapokon nyugvó, ugyanakkor az egyes szervezetek eltérő méreteihez és kockázatviseléséhez alkalmazkodó, szigorúan kockázatarányos és teljesítményelvű szempontok és követelmények alapján, egyetlen kormányzati szereplő elsődleges felelőssége mellett kellene meghatározni, szemben - ahogy jeleztem - a jelenleg megfogalmazott ágazatok szerinti lehetőségekkel. Többen beszél tek már arról, hogy nincs hatástanulmány ehhez a törvényhez. Ezt azért tartom kicsit problematikusabbnak annál, mint ahogy általában szokott lenni egyegy törvénynél, merthogy egyébként biztonsági kérdésről van szó. Tehát ez körülbelül azt jelenti, hogy vé dekezünk vagy úgy támadunk, hogy fogalmunk nincs arról, a hadseregeink éppen merre és hol helyezkednek el. Ezt jelenti, hogy hatásvizsgálat nélkül történik a törvény benyújtása. Nincs tisztázva jelen pillanatban, legalábbis a törvény jelenlegi szövege alap ján, csak ezt az egy kérdést szeretném feltenni a képviselőknek: innentől kezdve melyik lesz az az intézményrendszer, nevesítve kérdezem, amelyik megvédi a magyar adatbázisokat, a magyar gerinchálózatot, a magyar állampolgárok adatait.
