Nagy változás jön a cégeknél, ha nem figyel, milliós büntetéseket is kaphat
További Gazdaság cikkek
A kiberbiztonság változó helyzetéről tartott sajtóbeszélgetést a Magyar Telekom, miután idén nagyon fontos határidők jönnek az Európai Unió által tavaly januárban hatályba léptetett, NIS2 névre keresztelt (Network and Information Security Directive) kibervédelmi direktíva kapcsán.
Az új direktíva célja ugyanis az, hogy
a tagállamok jóval ellenállóbbak legyenek az immáron milliárdos üzletággá nőtt kibertámadásokkal szemben.
Az elmúlt évtizedben már nem magányos hackerek viccből elkövetett magánakciói jelentik a legnagyobb problémát, hiszen az állami szereplőkön kívül a szervezett bűnözés egyik legprofitálóbb részévé váltak a kibertámadások, amelyeknek célpontjai akár középvállalkozások is lehetnek.
A támadások pedig nem kizárólag a cégekre, hanem drasztikus esetben akár a nemzetgazdaságra is kihatással lehetnek – elég arra gondolni, hogy 2021 májusában egy ransomware-támadás miatt Amerikában leállt a legnagyobb olajvezeték működése, ami miatt a keleti parton pánik lett úrrá az embereken, sok helyen azt okozva, hogy akár fizikai erőszakkal megharcolva, egymással küzdtek az autósok az utolsó csepp benzinért.
A legfrissebb, 2023-as adatok szerint a különböző zsarolóvírus-, az ún. ransomware-támadások következtében a világon 1,1 milliárd dollárt fizettek ki a megtámadott cégek a hackereknek – a ransomware ugyanis a megtámadott cég adatait elérhetetlenné teszi mindaddig, amíg az adatokért cserébe ki nem fizetik a támadókat.
a kifizetett váltságdíj ráadásul csak a jéghegy csúcsa, hiszen a gazdaságra gyakorolt hatása még ennél is nagyobb.
Sok cég eleve ugyanis nem fizet, hanem megpróbálják saját maguk visszaállítani megtámadott rendszereiket, azonban a zsarolók által zárolt adatok miatt ez akár napokig is eltarthat, ami alatt a cég nem tud működni sem, óriási kárt okozva az adott vállalat, drasztikusabb esetben pedig az egész ország gazdasága számára.
Az adat az új olaj
A kibertámadások növekedésének egyik indikátora a fentebb jelzett váltságdíj-kifizetéseknek az emelkedése, azonban bizonyára olvasóink is találkoztak már azzal, hogy SMS-ben, e-mailen vagy különböző üzenetküldő alkalmazásokon (Messenger, WhatsApp, Telegram, Signal stb.) egyre gyakoribbá váltak az ismeretlenek által küldött, linkkel ellátott üzenetek.
Az ilyen, általában vagy angolul, vagy pedig nagyon rossz gépi fordítással magyarul elküldött üzenetek általában egy linket is tartalmaznak. Az üzenetet elküldő botnak vagy személynek pedig az a célja, hogy a hivatkozásra rákattintsunk, majd ezáltal megfertőzve telefonunkat vagy számítógépünket zárolja adatainkat, amit ezután vagy váltságdíjjal megváltva vagy szakértők segítségével szerezhetünk csak vissza.
Nemes Imre, a Telekom kiberbiztonsági vezetője szerint mára az adat vált az új olajjá, ezért azt is úgy kell védenünk, mint fizikai értékeinket.
Ha van ajtónk, azt bezárjuk az idegenek elől. Minden cégnek, ami bármilyen adatot tárol, olyan vagyona van, amit ugyanígy védeni kell – fogalmazott a szakember, aki hozzátette,
[a kibertámadás] nem valami csillagháborús dolog, hiszen az már a mindennapi életünk része.
Nemes szerint emiatt is fontos, hogy mind a felhasználók, mind a cégek tisztában legyenek a lehetséges kockázatokkal, és olyan rendszereket működtessenek, ami a lehető legjobban tud ellenállni az ilyen támadásoknak.
Nagy Gergely cybersecurity konzulens szerint az utóbbi időben ráadásul már nemcsak a nagyvállalatokat érhet ilyen támadás, hanem bizonyos kkv-kat is, hiszen az utóbbi években megnőtt a középvállalatok ellen indított kibertámadások száma itthon is.
2500 cég lehet érintett, fontos időpontok jönnek
Az EU részben emiatt döntött a NIS2 életbe léptetéséről, aminek – mint fentebb jeleztük – célja, hogy a tagállamok ellenállóbbá váljanak az ilyen jellegű támadásokkal szemben. Az EU nyolc kiemelten kockázatos ágazatot (bankszektor, digitális infrastruktúra, egészségügy, energia, ivóvízellátás, közigazgatás, pénzügy) és további hat kockázatos ágazatot (digitális szolgáltatások, élelmiszer, gyógyszergyártás, hulladékgazdálkodás, postai és futárszolgálatok, vegyi anyagok) azonosított, amelyek kibervédelme létfontosságú, emiatt magasabb védelmet vár el a cégektől.
Szakértők szerint kizárólag Magyarországon 2500 cég lehet érintett az új direktíva kapcsán,
de amennyiben azoknak a beszállítóit és partnereit is beleszámoljuk, akkor már ennek a duplájáról beszélhetünk. Egyrészt a cég mérete, árbevétele és tevékenysége alapján határozták meg, hogy egy adott vállalkozás érintett-e.
Manapság ugyanis már nem elég önmagában egy vírusírtó szoftver, az nem nyújt elegendő védelmet a kitettség ellen, ennél jóval komolyabb védekezésre van szükség mind szoftver, mind hardver szempontjából. Az új direktíva a magasabb szintű védelem mellett előírja, hogy a cégeknél legyen egy információbiztonsági felelős (IBF), aki kapcsolattartóként egy incidens esetén 24 órán belül jelenti azt a hatóságnak, ami Magyarországon a Szabályozott Tevékenységek Felügyeleti Hatósága (SZTFH).
Ráadásul a magyar szabályozás szerint nem a hatóságnak kell felkutatni az érintett cégeket, hanem a cégeknek maguknak kell jelentkezniük a hatóságnál.
Az első fontos határidő pedig közeleg, ami a nyilvántartásba vétel határideje. Az érintett cégeknek június 30-ig jelentkezniük kell az SZTFH oldalán, mivel a NIS2 október 18-án fog hatályba lépni – ez időpontig egyébként minden uniós tagállamnak be kell ültetnie a jogrendjébe. Az érintett cégeknek ezután év végéig szerződést kell kötniük egy auditorral, ami legkésőbb 2025. december 31-ig az első átvilágítást végre is hajtja – Magyarországon jelenleg mindössze két cég vállal ilyen jellegű auditálást.
Arról már Boros Robin, a Telekom biztonsági specialistája beszélt, hogy ezek elmulasztása bírsággal jár, ami maximum 10 millió eurót vagy az adott cég éves forgalmának két százalékát jelentheti. Ráadásul a hatóság által kiállított csekk mellé a vállalkozás azt is kockáztatja, hogy megfelelő védelem nélkül a ransomware-támadásokkal szembeni kitettsége is magasabb, ami miatt szerinte nem éri meg ezen spórolni.
Boros szerint fontos, hogy a cégeknek olyan védelme legyen, ami már a próbálkozásokat is észleli, hiszen összességében jóval többe kerül a kár, mintha egy ellenálló védelmi mechanizmust építettek volna ki – elképzelhető, hogy a támadás miatt le kell állítani a gyárat, amíg a szakemberek vissza nem szerzik az irányítást a rendszerek felett.
Legfontosabb a prevenció és az oktatás
Abban mindhárom szakértő egyetértett, hogy fontos, hogy a cégek minél felkészültebb és jobb védelmi rendszerrel rendelkezzenek, azonban majdnem ugyanilyen fontos a személyi oktatás és a kiberbiztonsági tudatosság növelése is.
Ugyanis ha valaki nem tud felismerni egy adathalász linket, akkor is könnyen történhet baj.
Tapasztalataik szerint Magyarországon a kiberbiztonsági ismeretek alacsonyak, miközben Nagy szerint a kibervédelmi oktatásoknak legalább olyan fontosnak kéne lenniük a munkahelyeken, mint a munkavédelmi vagy tűzvédelmi oktatásnak.
Mint arra visszaemlékeztek, itthon elég gyakori, hogy egy ilyen oktatás során az adathalász tesztlevelekre a cégeknél 20, de akár 30 százaléknyian is rákattintanak, és csak több kör oktatás után sikerül ezt a számot csökkenteni, de így is akad mindig valaki, aki ezután is hibázik.
Szerintük emiatt a megfelelő védelmi rendszer kiépítése mellett az oktatással is többet kellene foglalkozni, hiszen csak így csökkenthetők a kockázatok.
(Borítókép: Oli Scarff / Getty Images)