Elektronikus közigazgatás

2008. őszén elkezdtem a Zrínyi Miklós Nemzetvédelmi Egyetem Katonai Műszaki Doktori Iskoláját, ahol kutatási témának a magyar elektronikus közigazgatási szolgáltatások komplex információvédelmi megoldásait választottam. A doktoranduszi éveim alatt megpróbálok minél többet hozzátenni a Magyar Köztársaság e-kormányzati rendszereinek védelméhez. Ez alapvetően sok-sok publikációval fog járni. Az alábbi linkre kattintva bemutatom a terveimet és az eddig elért eredményeimet.

Kutatásom célja, hogy olyan alkalmazásfejlesztési keretet és követelményrendszert alkossak az elektronikus közigazgatás területére, melynek felhasználásával az ilyen szolgáltatások biztonsági szintje jelentősen növelhető. Mindezek alapján a felmerült nemzetbiztonsági kockázatok nagymértékben csökkenthetők. A terület tudományos jelentősége az, hogy az alkalmazásfejlesztés biztonsági aspektusának számos területe kevéssé kidolgozott, sem a megrendelők, sem a fejlesztők számára nem áll rendelkezésre olyan, a gyakorlatban is hasznosítható eljárásrend, melynek felhasználásával mérhető módon is javítható az alkalmazások biztonsága. Célomat az iparági szabványok és jógyakorlatok felhasználásával és továbbfejlesztésével, valamint az elektronikus közigazgatás védelmi igényeihez történő hozzáigazításával kívánom elérni. A kutatási területek kiválasztásánál azokra a részfeladatokra koncentrálok, melyek világszerte kidolgozatlan és megoldatlan problémaként jelentkeznek a közigazgatási szektorban.

Az alábbi célkitűzéseket határoztam meg:

1. Védelmi Profil meghatározása az elektronikus közigazgatási alkalmazásokhoz

Célom a Magyar Informatikai Értékelési és Tanúsítási Séma (ISO/IEC 15408, Common Criteria) ajánlás alapján olyan Védelmi Profil kidolgozása, mely a Magyar Köztársaság elektronikus közigazgatási szolgáltatásaiban használt alkalmazások funkcionális és garanciális követelményeit határozza meg, az elvárt működési környezet leírásával. A dokumentum tartalmazza azokat a fenyegetéseket, feltételezéseket és szabályokat is, melyek az ilyen alkalmazásokra vonatkoznak. Jelenleg nyilvánosan nem érhető el olyan Common Criteria szerinti Védelmi Profil, ami erre a felhasználási területre vonatkozna.

2. Magyar Informatikai Értékelési és Tanúsítási Séma által megkövetelt garanciális követelmények alapdokumentumainak kidolgozása

Az alkalmazásfejlesztés során a gyakorlatban a legnagyobb gondot a biztonsági garanciális követelmények kielégítése okozza. Ebbe a körbe tartozik a megfelelő funkcionális specifikáció megalkotásától kezdve, a fejlesztői környezet biztonságán át, a helyes biztonsági tesztelésig több terület is. A kutatási cél olyan alapdokumentumok elkészítése, mely az elektronikus közigazgatásban dolgozó fejlesztők számára egyértelművé teszi a tőlük elvárt, biztonsággal kapcsolatos tevékenységeket, és segítséget nyújt ezek elkészítésében. A feladat tudományos értékét az adja, hogy a szabvány csak magas szinten határozza meg a követelményeket, ennek értelmezése és gyakorlati használata kevéssé körüljárt terület.

3. Sérülékenységi tesztelési eljárások kidolgozása az elektronikus közigazgatási alkalmazások területére

A Common Criteria szabvány egyik sarkalatos pontja a biztonsági értékelést végző által készített sérülékenység-elemzés. Ezért célom olyan sérülékenység-tesztelési eljárás kidolgozása, mely speciálisan az elektronikus közigazgatási alkalmazásokra használható. A sérülékenység-elemzés átfogó képet nyújt a fejlesztő által felhasznált biztonsági kontrollok hatékonyságáról. Az elektronikus közigazgatás területén végzett sérülékenység-elemzésekre jelenleg nem létezik módszertan, így a több más terület tapasztalatát felhasználó eljárások kidolgozása hiánypótló munka lehet.

4. Minőségi mérőszámokat tartalmazó kritériumrendszer kidolgozása az e-közigazgatási alkalmazások biztonságára vonatkozóan

Az alkalmazások biztonságával szembeni leggyakoribb fenntartás az, hogy nem mérhető. Bár a szakirodalom számos, az informatika területén használatos mérőszámot ismer, az elektronikus közigazgatás biztonságához kapcsolódó mérési kritériumrendszer nem kidolgozott, pedig ez nagyban hozzájárulhat az ilyen alkalmazások elfogadásához és terjedéséhez. Célom ezért olyan biztonsági metrikák kidolgozása, melyek átfogó képet adnak az e-közigazgatási alkalmazásról.

5. Információbiztonsági oktatási tematika kidolgozása e-közigazgatási alkalmazásokat fejlesztőknek és megrendelőknek

Az alkalmazásokkal kapcsolatos biztonsági megfontolások mind a megrendelők, mind a fejlesztők számára kevéssé ismertek a gyakorlatban. Ennek eredménye, hogy sem az alkalmazások specifikálásában, sem a kifejlesztett alkalmazásokban nem, vagy nem helyesen jelennek meg a biztonsági igények, így a teljes rendszer biztonsági szintje kérdőjeleződik meg. Ennek kivédésére egy olyan oktatási rendszer kidolgozása a megoldás, mely mindkét fél számára érthetővé teszi a követelményeket. Ennek megfelelően célom egy olyan tematika kidolgozása, mely jelentősen javít a terület megértésén és elfogadottságán.

A kutatásom előzményeként az alábbi publikációimat tudom megemlíteni:

Magyar eKözigazgatási Interoperabilitási Keretrendszer – Szabványkatalógus

Együttműködő elektronikus közigazgatási megoldások fejlesztése Magyarországon

Informatikai Biztonsági Iránymutató Kis Szervezeteknek (IBIX)

A magyar elektronikus közigazgatási rendszer biztonsági analízise

Common Criteria szerinti értékelések lehetőségei Magyarországon

A doktori képzés alatt megjelent publikációim:

Ellentevékenység az interneten

Hackerek a nemzetvédelemben

A magyar elektronikus közigazgatás biztonsága

Éjjel-nappal a világhálón – avagy biztonság a virtuális térben

A magyar elektronikus közigazgatás biztonságának elemzése és továbblépési lehetőségei

Web service fenyegetések e-közigazgatási környezetben