Index Vakbarát Hírportál

Több ezer magyar cég fizethet, mint a katonatiszt, ha ezt nem lépi meg

2024. november 18., hétfő 11:53

Egy új uniós törvény hatására nincs tovább kibúvó a cégek számára az információbiztonsági kritériumok teljesítése alól. A kibercsalók ugyanis nem ismernek tréfát, és a kritikus iparágakban tevékenykedő cégeket sem kímélik. A kibertér ráadásul ma már a háborúk egyik harctere.

2024. október 18-a újabb mérföldkő a kiberbiztonsági szegmensben. Ekkortól él ugyanis az úgynevezett NIS2 európai uniós irányelv, aminek bevezetésével még hangsúlyosabbá válik az IT-biztonság kérdése a vállalatok számára. Az új szabályozás célja, hogy a kritikus infrastruktúrák és digitális szolgáltatók, továbbá valamennyi, a törvényben kötelezett cég és egyéb szervezet megfelelően felkészüljön a kibertámadásokkal szemben. A direktíva nem csak a legnagyobb vállalatokat érinti. Magyarországon több ezer olyan cég van, amely még felkészületlen az európai uniós kibervédelmi jogszabályokra.

Márton Miklós, az elsősorban IT-biztonsági megoldásokat kínáló ViVeTech Nyrt. vezérigazgatója, valamint Balogh Turul kiberbiztonsági szakember segítségével jártuk körbe, mi fán terem a NIS2, és miért volt szükség a bevezetésére.

Kritikus ágazatok védelme

A NATO néhány évvel ezelőtt a fizikai terek – a föld, levegő, víz, űr – mellett a kiberteret is műveleti területként deklarálta – mutatott rá Balogh Turul kiberbiztonsági szakember, az ITBN (Informatikai Biztonság Napja) szervezője. „Láthatjuk, hogy ma már minden a kibertérben, az interneten dől el, még az amerikai elnökválasztás is. Ajtót nyit a megtévesztő kampányok, a deep fake-ek előtt, ezért is kiemelten fontos a kibertámadások elleni védekezés, adataink és a hiteles információk védelme” – tette hozzá. Az információbiztonság érdekében eddig is számos uniós törvény született, ám ezek felett eljárt az idő, ezért volt szükség a megújításra. Ez a NIS2 irányelvben öltött testet, amit az eddigieknél több iparágra kiterjesztettek.

A NIS2 célja, hogy az összes iparág ugyanolyan intenzitású védelmet kapjon, ne csak a kritikus ágazatok

– húzta alá Balogh Turul.

Az Európai Bizottság honlapján fellelhető információk szerint „a NIS2 irányelv közös kiberbiztonsági szabályozási keretet határoz meg, amelynek célja a kiberbiztonság szintjének növelése az Európai Unióban; ehhez előírja az uniós tagállamok számára a kiberbiztonsági képességek megerősítését, valamint a kiberbiztonsági kockázatkezelési intézkedések és jelentéstétel bevezetését a kritikus ágazatokban, továbbá az együttműködésre, az információcserére, a felügyeletre és a végrehajtásra vonatkozó szabályokat”.

Minden tagországnak lehetősége volt arra, hogy a NIS2 irányelveit saját képére alakítsa, a követelményeket 2024. október 18-tól alkalmazni kell, azoknak meg kell felelni. Magyarországon a törvényalkotó egy amerikai szabvány, az NIST 800-53 keretrendszerét vette alapul, de tagországonként eltérőek a szakmai követelmények.

Fontos megjegyezni, hogy az irányelv nem az ajánlott, hanem a kötelező kategóriát erősíti, vagyis minden érintett vállalatnak be kell építenie működésébe.

A kibertámadások ugyanis már rég nem magányos hekkerek viccből elkövetett magánakcióit jelentik. Az állami szereplőkön kívül a szervezett bűnözés egyik legprofitálóbb részévé vált, amelyeknek célpontjai akár középvállalkozások is lehetnek. A kibercsalók okozta károk ma már dollármilliárdokban mérhetők.

Milliárdos üzletág

„Amerikából jöttem – utalt egyesült államokbeli szakmai útjára és nem a közismert játékra Márton Miklós –, ahol irigykednek az előrehaladott európai kibervédelmi szabályozási környezetre” – mondta a ViVeTech vezérigazgatója, példaként említve a kritikus infrastruktúrák védelme érdekében kidolgozott korábbi intézkedéseket vagy épp a személyes adatok védelmére irányuló GDPR-t (General Data Protection Regulation = általános adatvédelmi rendelet).

Míg utóbbi mechanizmusok főként a magánszemélyek védelmét hivatottak szolgálni, addig a NIS2 kifejezetten a vállalatok részére kötelező érvénnyel meghozott információbiztonsági szabályozás.

„Néhány kritikus iparágban – mint a telekommunikáció, a bank-, illetve biztosítási szektor – hosszú évek óta jelentős kiberbiztonságot erősítő lépések mentek végbe, köszönhetően annak, hogy a kormányok belátták ennek fontosságát, amit cselekvés követett.”

A NIS2 gyakorlatilag azt jelenti, hogy a kibervédelmi szabályozásokat a teljes gyártási, illetve ellátási láncban részt vevő, bizonyos méret, illetve árbevétel felett diszponáló vállalatokra is kiterjesztették

– vázolta a NIS2 bevezetése mögött húzódó okokat Márton Miklós.

A vonatkozó cégméretet 50 főben, míg az árbevétel alsó határát 10 millió euróban, vagyis több mint 4 milliárd forintban határozták meg. Mindezt két évre visszamenőleg nézik, ezáltal kimozogva az irányelv hatálya alóli kibújás szándékát.

Inkább a büntetés

Márton Miklós rámutatott, hogy számos olyan magyarországi vállalat van, amelyek az ISO 27001 információbiztonsági szabványnak megfelelve eddig is jelentős kibervédelmi lépéseket tettek – többek között azért, mert egy kibertámadás okán komoly, akár a további működésüket is veszélyeztető üzleti kár érheti őket. Számukra ezért a NIS2 nem jelent az eddigiekhez képest jelentős változást. (Az ISO 27001 vagy ISO/IEC 27001 egy információbiztonsági szabvány, amelyet a Nemzetközi Szabványügyi Szervezet [ISO] és a Nemzetközi Elektrotechnikai Bizottság [IEC] együttesen tesz közzé a globális kiberbiztonsági kihívások kezelése és a digitális bizalom javítása érdekében.)

Azonban idehaza is több ezer olyan vállalat van, amelyek életébe jelentős változást hoz az uniós irányelv. „Ez többek között azért is van így, mert az esetek döntő többségében az a tapasztalatom, hogy a vállalatok a különböző biztonsági előírásoknak megfelelés helyett eleve inkább a büntetést vállalták be” – mondta Márton Miklós.

Ezzel egybehangzóan nyilatkozott Balogh Turul is. „Sok vállalat csak akkor kezd el foglalkozni a kibervédelemmel, amikor megtörténik a baj. Ezt követően egyből egy csillagrombolót akarnak építeni. Addig azonban a költségek miatt sok esetben csak a szükséges minimumra szorították le a biztonsági intézkedéseket, a NIS2 többek között ezt hivatott megelőzni” – mondta.

A NIS2 irányelv nem teljesítése azonban már olyan szintű anyagi retorziót vonhat maga után, aminek elrettentő hatása lehet.

A büntetési tétel – a bírság okától függően – akár az árbevétel 2 százaléka is lehet, ami az alsó bevételi határnak számító 4 milliárd forintnál is 80 millió forintot jelenthet.

Interjúnk készítésének idejében 3700 körül volt azon cégek száma, amelyek regisztráltak a Szabályozott Tevékenységek Felügyeleti Hatóság (SZTFH) portálján.

A NIS2 implementálásának egy fontos eleme, hogy a vállalatoknak év végéig le kell szerződniük egy auditorcéggel, amely a hatóság irányába igazolja az irányelvnek való megfelelést. A független vizsgálat lefolytatására 2025. december 31-ig van lehetőség. Akik ezt elmulasztják, jön az említett büntetés.

A cégeknek egy úgynevezett IBIR-rendszernek (Információbiztonsági irányítási rendszer) kell megfelelniük, ami sok adminisztrációs terhet von maga után. Azoknak, akik eddig is kellő figyelmet fordítottak az információbiztonságra, könnyebb lehet az új irányelv implementálása, a legtöbben azonban szakértői segítségre szorulnak – hívta fel a figyelmet Balogh Turul, hozzátéve, hogy a megfelelést nem csak egyszer kell elvégezni, az auditációt kétévente meg kell újítani.

„Muszáj volt döntéshozói szinten lépni, mert számos kritikus tevékenységet folytató vállalat önerőből nem fordított kellő figyelmet a biztonságra” – mondta Márton Miklós. Elég csak arra gondolni, hogy a kibertámadások már a háborúk szerves részét képezik. Továbbá egyre-másra érkeznek az olyan nagy port kavaró hírek, hogy hekkerek épp mely cégek rendszerét bénították le, súlyos károkat okozva ezáltal.

„Kockázatarányos védelmi rendszerek kiépítésére van szükség, természetesen a törvényi előírásokat alapul véve. 100 százalékos védekezés nincs, van az a kibererő, amivel bármilyen védelmi rendszert át lehet törni, a cél a támadások minél hatékonyabb kivédése, illetve sikeres támadás esetén a károk minimalizálása” – hívta fel a figyelmet Márton Miklós, aki szerint sok vállalat számára már eleve az előírások értelmezése nehézséget okoz, ezért van szükség tanácsadóra. A törvényi előírás azonban azért fontos, és jelent előrelépést a kibervédelem területén, mert eddig nem létező minimumszintet határoz meg a vállalatok, kiváltképp a kritikus területen tevékenykedők részére. „A NIS2-nek egyfajta nevelő szándéka és remélhetőleg hatása is lesz a vállalatok életére” – fogalmazott a cégvezér.

Mit lehet tenni a csalók ellen?

A kibertámadásokat nemcsak a vállalatok, de a magánszemélyek is érzékelik. Az elmúlt években a digitalizáció fénysebességre kapcsolásával, a felhőalapú szolgáltatások és a mesterséges intelligencia terjedésével párhuzamosan rohamosan növekednek a kibertámadások, valamint az elkövetett csalások által okozott károk, legyen az adathalászat vagy konkrét pénzösszegben mérhető támadás. „Egy bankrablás ma már az interneten történik” – fogalmazott Márton Miklós.

Az eszköztárukat folyamatosan bővítő kibercsalók, valamint a támadásokat kivédeni igyekvő biztonsági szakemberek között folyamatos macska-egér harc folyik.

A vállalatok a NIS2 irányelv és az ehhez hasonló törekvések által támogatást kapnak, de mit tehet egy magánszemély annak érdekében, hogy megóvja például bankkártyaadatait, így a pénzét, e-mailjeit, közösségifiók-, illetve egyéb adatait?

A szakemberek rámutatnak: a legfőbb teendő a gyanakvás.

Alapvetés, hogy a bankkártyához tartozó PIN-kódot nem adjuk ki, gyanút kell fogni, ha egy magát banki alkalmazottnak hitelesen kiadó csaló telefonon keresztül kéri négy számjegyű azonosítónkat. Szintén nagy gondossággal kell védenünk jelszavainkat, hiszen ma már akár a kávéfőzőnk adatait is tárolhatjuk a felhőben, nem beszélve egyéb érzékeny, például egészségügyi adatainkról. A kódvédelemre megoldást jelenthet egy erre kifejlesztett jelszótároló mobilalkalmazás.

„Felépítettünk egy olyan világot, amelyben a kényelemre fókuszálva minden adat, szolgáltatás távolról elérhető, ám ezzel egy időben kiszolgáltatottá is tettük magunkat. Ezért is kiemelten fontos a megfelelő információbiztonság. El kell fogadni, hogy az információ ma már érték, egyes esetekben nagyobb érték, mint maga a pénzünk” – fogalmazott Márton Miklós.

Balogh Turul arra irányította rá a figyelmet, hogy adatainkat célszerű biztonságos felhőalapú szoftver segítségével tárolni, sőt hasznos, ha időnként egy fizikai merevlemezre is lementjük őket. Emellett, ahol csak lehetőség adódik, használjunk kétlépcsős azonosítást. A szakértő hozzátette: az információbiztonságra való törekvés a magánszemélyeknél kezdődik, csak ezt követően gyűrűzhet tovább, és válhat a vállalati kultúra szerves részévé.

Nem kímélnek a csalók, mindenre lőnek

A teljesség igénye nélkül összegyűjtöttünk néhány adatot, kutatást arra nézve, mennyire felgyorsult a kibercsalók tevékenysége az elmúlt években.

Balogh Turul IT- és információbiztonsági stratégiai tanácsadással foglalkozik. Vállalatok működését támogatja iparágfüggetlenül abban, hogy eredményesebben, hatékonyabban érjék el üzleti céljaikat stratégiai és operatív szinten is megfelelő informatikai, adatvédelmi, biztonsági szervezettséggel.

A 2011-ben alapított, magyar tulajdonú ViVeTech Nyrt. elsősorban IT-biztonsági megoldásokat kínál. Többek között hazai és nemzetközi kritikus infrastruktúra-szolgáltatók, például az egészségügy, a közlekedés és a közigazgatás területén működő ügyfelei kibertámadások elleni védekezését segíti. A vállalat részvénye 2022. május 31. óta van jelen a Budapesti Értéktőzsde középvállalatokra specializált Xtend-piacán, a társaság közkézhányada jelenleg 23,11 százalék.

(Borítókép: Németh Emília / Index)

Rovatok