A Dolgok Internetének kibertanúsításában is a Rogán-közeli Hunguard került a legjobb helyzetbe

Ha egy cég bizonyítani szeretné a magyar vásárlóinak, hogy az általa gyártott IoT-eszköz használata kellőképpen biztonságos, akkor szereznie kell egy nemzeti tanúsítványt, amely igazolja, hogy az adott okoseszköz megfelel az előírt kiberbiztonsági követelményeknek. Ezt a termék megbízhatósági szintje alapján – amely lehet alap, jelentős vagy magas – vagy önbevallással igazolhatja (alap szinten) , vagy egy erre jogosult szervezettel kell tanúsíttatnia.

Ez utóbbira jelenleg egyetlen cég jogosult: a Rogán Antal kabinetminiszterhez ezer szálon kötődő Hunguard.

Mindez abból a rendeletből derül ki, amely a csütörtöki Magyar Közlönyben jelent meg. Az IoT-eszközök nemzeti kiberbiztonsági tanúsítási rendszeréről szóló rendeletet a kiberbiztonsági tanúsításért és felügyeletért felelős hatóság, a Szabályozott Tevékenységek Felügyeleti Hatósága (SZTFH) adta ki, és a kihirdetését követő harmadik napon, azaz augusztus 11-én lép hatályba.

A biztonságosabb okoskütyükért

Az IoT az Internet of Things, azaz a Dolgok Internete rövidítése, olyan okoseszközök tartoznak ide, amelyek valamilyen érzékelővel adatokat gyűjtenek a környezetükről, illetve valamilyen beavatkozással változást tudnak előidézni a környezetükben, és hálózatra kötve kommunikálnak más eszközökkel. Ez így kicsit körülményesen hangozhat, de ha azt mondjuk, hogy okostermosztát, okosóra, robotporszívó (vagy éppen hálózatra kapcsolt ipari vezérlők), bizonyára már érthető, hogy nagyjából miről van szó. Ezek az eszközök pedig azzal, hogy a hálózatra csatlakoznak, értelemszerűen új kiberbiztonsági kockázatot is jelentenek.

A rendelet célja, „hogy biztosítsa az állampolgárok, a gazdálkodó szervezetek és az állami szervek IoT-eszköz beszerzése során hozott döntéseinek támogatását és az eszközök összehasonlíthatóságát a tanúsítási rendszerben meghatározott megbízhatósági szintek alapján” – magyarul hogy ha valaki venni akar egy okoseszközt, világos feltételek alapján meg tudja állapítani, hogy az adott termék mennyire biztonságos, és ez hogy viszonyul más hasonló termékek biztonságosságához.

A három megbízhatósági szintre értelemszerűen különböző követelmények vonatkoznak, ezeket a rendelet melléklete tartalmazza. De fontos különbség az is, hogy az alap szinten „megfelelőségi önértékelés végezhető”, azaz ezen a szinten a tanúsítvány megszerzéséhez nem szükséges harmadik fél, maga a gyártó igazolhatja, hogy megfelel az előírásoknak. A jelentős és a magas megbízhatósági szinten viszont csak akkor jár a tanúsítvány (illetve a terméken egy matrica), ha a gyártó megbíz egy úgynevezett megfelelőségértékelő szervezetet, hogy tanúsítsa az eszköze megfelelőségét.

Ezt a tanúsítást viszont nem végezheti el akárki: „A megfelelőségértékelő szervezet megfelelőségértékelést legfeljebb a Szabályozott Tevékenységek Felügyeleti Hatósága […] által nyilvántartásba vett megbízhatósági szinten végezhet” – írja a rendelet, ami magyarul azt jelenti, hogy az a cég és olyan szinten végezheti ezt a feladatot, amely és amilyen szinttel felkerült az SZTFH listájára. Ez a lista itt érhető el, és jelenleg kettő cég található rajta: A Veritan Kft. alap megbízhatósági szinttel és a Hunguard Kft. magas megbízhatósági szinttel. Mivel alap szinten akár önbevallással is igazolható a követelmények teljesítése, ez itt most kevésbé érdekes.

Ahol viszont mindenképp külső céget kell megbízni, ha egy gyártó tanúsítványt szeretne szerezni az IoT-termékének, ott jelen állás szerint csak a Hunguardot választhatja.

Fontos, hogy ez a tanúsítás nem kötelező, azaz a nemzeti tanúsítvány megléte nem feltétele annak, hogy egy IoT-eszközt forgalomba lehessen hozni vagy használni lehessen. Mindazonáltal egy ilyen tanúsítvány önkéntes megszerzése előnyt jelenthet a vásárlói bizalom elnyerésében.

Egy visszatérő név

A Hunguard előnyös helyzete ezen a ponton valószínűleg nem sokakat ér váratlanul:

• A megfelelőségértékelő szervezetek nyilvántartását tavaly májusban az információs és kommunikációs technológiák kiberbiztonsági tanúsításáról szóló rendelettel hozta létre az SZTFH, és ahogy a tavalyi cikkünkben bemutattuk, már a pénzügyi szervezetek tanúsításához is erre kellett felkerülni, méghozzá szintén magas megbízhatósági szinttel. Az ehhez szükséges követelményeket pedig valahogy épp úgy sikerült meghatározni, hogy azokat belátható ideig csak a Hunguard tudja megugrani.
• Idén júniusban aztán megjelent egy újabb rendelet, amely a kockázatos vagy kiemelten kockázatos ágazatokban működő cégek kötelező kiberbiztonsági auditálását szabályozza, és mivel a legmagasabb biztonsági osztályba tartozó vállalatok auditálását szintén a tavaly létrehozott SZTFH-nyilvántartáshoz kötötték, jelenleg ezt is egyetlen cég: a Hunguard végezheti.

Korábbi cikkeinkben részletesen bemutattuk, hogyan kötődik a Hunguard Rogán Antalhoz, de a legfőbb kapcsolódási pont, hogy a cég tulajdonosai a miniszterrel közösen jegyzik azt a digitális aláírási eljárásra vonatkozó szabadalmat, amely után Rogán 2017 óta már összesen 1,3 milliárd forint hasznosítási díjat kapott egy másik cégtől – attól a MobilSign Kft.-től, amelynek a tulajdonosa szintén az egyik feltalálótárs, egyben Hunguard-tulajdonos.

Fokozatosan kiépül a kibervédelem

Az utóbbi néhány évben az Európai Unió nagy erőkkel dolgozik egy új kiberbiztonsági keretrendszer létrehozásán és bevezetésén, hogy a tagállamok egységes szabályok szerint, összehangoltan és hatékonyabban tudjanak fellépni a kiberfenyegetések ellen. Ehhez a tagállamoknak is lépniük kell, hogy végrehajtsák a 2019-es uniós kiberbiztonsági rendeletet, és megfeleljenek a 2022-es NIS2 irányelvnek.

Magyarország az elsők között kezdte el kialakítani az ehhez szükséges jogszabályi környezetet. A kiberbiztonsági szabályok felett őrködő hatóságként az SZTFH-t jelölték ki, tavaly májusban pedig életbe lépett a hazai kiberbiztonsági szabályozás új szentírása, a kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről szóló 2023. évi XXIII. törvény. Az SZTFH azóta fokozatosan adja ki a törvény hatálya alá tartozó terület részletszabályait. Az IoT-eszközök tanúsítása egy újabb fontos eleme a fokozatosan kiépülő európai uniós és hazai kiberbiztonsági feltételrendszernek.