Több ezer magyar cég fizethet, mint a katonatiszt, ha ezt nem lépi meg

2024. október 18-a újabb mérföldkő a kiberbiztonsági szegmensben. Ekkortól él ugyanis az úgynevezett NIS2 európai uniós irányelv, aminek bevezetésével még hangsúlyosabbá válik az IT-biztonság kérdése a vállalatok számára. Az új szabályozás célja, hogy a kritikus infrastruktúrák és digitális szolgáltatók, továbbá valamennyi, a törvényben kötelezett cég és egyéb szervezet megfelelően felkészüljön a kibertámadásokkal szemben. A direktíva nem csak a legnagyobb vállalatokat érinti. Magyarországon több ezer olyan cég van, amely még felkészületlen az európai uniós kibervédelmi jogszabályokra.

Márton Miklós, az elsősorban IT-biztonsági megoldásokat kínáló ViVeTech Nyrt. vezérigazgatója, valamint Balogh Turul kiberbiztonsági szakember segítségével jártuk körbe, mi fán terem a NIS2, és miért volt szükség a bevezetésére.

Kritikus ágazatok védelme

A NATO néhány évvel ezelőtt a fizikai terek – a föld, levegő, víz, űr – mellett a kiberteret is műveleti területként deklarálta – mutatott rá Balogh Turul kiberbiztonsági szakember, az ITBN (Informatikai Biztonság Napja) szervezője. „Láthatjuk, hogy ma már minden a kibertérben, az interneten dől el, még az amerikai elnökválasztás is. Ajtót nyit a megtévesztő kampányok, a deep fake-ek előtt, ezért is kiemelten fontos a kibertámadások elleni védekezés, adataink és a hiteles információk védelme” – tette hozzá. Az információbiztonság érdekében eddig is számos uniós törvény született, ám ezek felett eljárt az idő, ezért volt szükség a megújításra. Ez a NIS2 irányelvben öltött testet, amit az eddigieknél több iparágra kiterjesztettek.

A NIS2 célja, hogy az összes iparág ugyanolyan intenzitású védelmet kapjon, ne csak a kritikus ágazatok

– húzta alá Balogh Turul.

Az Európai Bizottság honlapján fellelhető információk szerint „a NIS2 irányelv közös kiberbiztonsági szabályozási keretet határoz meg, amelynek célja a kiberbiztonság szintjének növelése az Európai Unióban; ehhez előírja az uniós tagállamok számára a kiberbiztonsági képességek megerősítését, valamint a kiberbiztonsági kockázatkezelési intézkedések és jelentéstétel bevezetését a kritikus ágazatokban, továbbá az együttműködésre, az információcserére, a felügyeletre és a végrehajtásra vonatkozó szabályokat”.

Minden tagországnak lehetősége volt arra, hogy a NIS2 irányelveit saját képére alakítsa, a követelményeket 2024. október 18-tól alkalmazni kell, azoknak meg kell felelni. Magyarországon a törvényalkotó egy amerikai szabvány, az NIST 800-53 keretrendszerét vette alapul, de tagországonként eltérőek a szakmai követelmények.

A kibertámadások ugyanis már rég nem magányos hekkerek viccből elkövetett magánakcióit jelentik. Az állami szereplőkön kívül a szervezett bűnözés egyik legprofitálóbb részévé vált, amelyeknek célpontjai akár középvállalkozások is lehetnek. A kibercsalók okozta károk ma már dollármilliárdokban mérhetők.

Milliárdos üzletág

„Amerikából jöttem – utalt egyesült államokbeli szakmai útjára és nem a közismert játékra Márton Miklós –, ahol irigykednek az előrehaladott európai kibervédelmi szabályozási környezetre” – mondta a ViVeTech vezérigazgatója, példaként említve a kritikus infrastruktúrák védelme érdekében kidolgozott korábbi intézkedéseket vagy épp a személyes adatok védelmére irányuló GDPR-t (General Data Protection Regulation = általános adatvédelmi rendelet).

Míg utóbbi mechanizmusok főként a magánszemélyek védelmét hivatottak szolgálni, addig a NIS2 kifejezetten a vállalatok részére kötelező érvénnyel meghozott információbiztonsági szabályozás.

„Néhány kritikus iparágban – mint a telekommunikáció, a bank-, illetve biztosítási szektor – hosszú évek óta jelentős kiberbiztonságot erősítő lépések mentek végbe, köszönhetően annak, hogy a kormányok belátták ennek fontosságát, amit cselekvés követett.”

A NIS2 gyakorlatilag azt jelenti, hogy a kibervédelmi szabályozásokat a teljes gyártási, illetve ellátási láncban részt vevő, bizonyos méret, illetve árbevétel felett diszponáló vállalatokra is kiterjesztették

– vázolta a NIS2 bevezetése mögött húzódó okokat Márton Miklós.

A vonatkozó cégméretet 50 főben, míg az árbevétel alsó határát 10 millió euróban, vagyis több mint 4 milliárd forintban határozták meg. Mindezt két évre visszamenőleg nézik, ezáltal kimozogva az irányelv hatálya alóli kibújás szándékát.

Inkább a büntetés

Márton Miklós rámutatott, hogy számos olyan magyarországi vállalat van, amelyek az ISO 27001 információbiztonsági szabványnak megfelelve eddig is jelentős kibervédelmi lépéseket tettek – többek között azért, mert egy kibertámadás okán komoly, akár a további működésüket is veszélyeztető üzleti kár érheti őket. Számukra ezért a NIS2 nem jelent az eddigiekhez képest jelentős változást. (Az ISO 27001 vagy ISO/IEC 27001 egy információbiztonsági szabvány, amelyet a Nemzetközi Szabványügyi Szervezet [ISO] és a Nemzetközi Elektrotechnikai Bizottság [IEC] együttesen tesz közzé a globális kiberbiztonsági kihívások kezelése és a digitális bizalom javítása érdekében.)

Azonban idehaza is több ezer olyan vállalat van, amelyek életébe jelentős változást hoz az uniós irányelv. „Ez többek között azért is van így, mert az esetek döntő többségében az a tapasztalatom, hogy a vállalatok a különböző biztonsági előírásoknak megfelelés helyett eleve inkább a büntetést vállalták be” – mondta Márton Miklós.

Ezzel egybehangzóan nyilatkozott Balogh Turul is. „Sok vállalat csak akkor kezd el foglalkozni a kibervédelemmel, amikor megtörténik a baj. Ezt követően egyből egy csillagrombolót akarnak építeni. Addig azonban a költségek miatt sok esetben csak a szükséges minimumra szorították le a biztonsági intézkedéseket, a NIS2 többek között ezt hivatott megelőzni” – mondta.

A NIS2 irányelv nem teljesítése azonban már olyan szintű anyagi retorziót vonhat maga után, aminek elrettentő hatása lehet.

Interjúnk készítésének idejében 3700 körül volt azon cégek száma, amelyek regisztráltak a Szabályozott Tevékenységek Felügyeleti Hatóság (SZTFH) portálján.

A NIS2 implementálásának egy fontos eleme, hogy a vállalatoknak év végéig le kell szerződniük egy auditorcéggel, amely a hatóság irányába igazolja az irányelvnek való megfelelést. A független vizsgálat lefolytatására 2025. december 31-ig van lehetőség. Akik ezt elmulasztják, jön az említett büntetés.

A cégeknek egy úgynevezett IBIR-rendszernek (Információbiztonsági irányítási rendszer) kell megfelelniük, ami sok adminisztrációs terhet von maga után. Azoknak, akik eddig is kellő figyelmet fordítottak az információbiztonságra, könnyebb lehet az új irányelv implementálása, a legtöbben azonban szakértői segítségre szorulnak – hívta fel a figyelmet Balogh Turul, hozzátéve, hogy a megfelelést nem csak egyszer kell elvégezni, az auditációt kétévente meg kell újítani.

„Muszáj volt döntéshozói szinten lépni, mert számos kritikus tevékenységet folytató vállalat önerőből nem fordított kellő figyelmet a biztonságra” – mondta Márton Miklós. Elég csak arra gondolni, hogy a kibertámadások már a háborúk szerves részét képezik. Továbbá egyre-másra érkeznek az olyan nagy port kavaró hírek, hogy hekkerek épp mely cégek rendszerét bénították le, súlyos károkat okozva ezáltal.

„Kockázatarányos védelmi rendszerek kiépítésére van szükség, természetesen a törvényi előírásokat alapul véve. 100 százalékos védekezés nincs, van az a kibererő, amivel bármilyen védelmi rendszert át lehet törni, a cél a támadások minél hatékonyabb kivédése, illetve sikeres támadás esetén a károk minimalizálása” – hívta fel a figyelmet Márton Miklós, aki szerint sok vállalat számára már eleve az előírások értelmezése nehézséget okoz, ezért van szükség tanácsadóra. A törvényi előírás azonban azért fontos, és jelent előrelépést a kibervédelem területén, mert eddig nem létező minimumszintet határoz meg a vállalatok, kiváltképp a kritikus területen tevékenykedők részére. „A NIS2-nek egyfajta nevelő szándéka és remélhetőleg hatása is lesz a vállalatok életére” – fogalmazott a cégvezér.

Mit lehet tenni a csalók ellen?

A kibertámadásokat nemcsak a vállalatok, de a magánszemélyek is érzékelik. Az elmúlt években a digitalizáció fénysebességre kapcsolásával, a felhőalapú szolgáltatások és a mesterséges intelligencia terjedésével párhuzamosan rohamosan növekednek a kibertámadások, valamint az elkövetett csalások által okozott károk, legyen az adathalászat vagy konkrét pénzösszegben mérhető támadás. „Egy bankrablás ma már az interneten történik” – fogalmazott Márton Miklós.

Az eszköztárukat folyamatosan bővítő kibercsalók, valamint a támadásokat kivédeni igyekvő biztonsági szakemberek között folyamatos macska-egér harc folyik.

A vállalatok a NIS2 irányelv és az ehhez hasonló törekvések által támogatást kapnak, de mit tehet egy magánszemély annak érdekében, hogy megóvja például bankkártyaadatait, így a pénzét, e-mailjeit, közösségifiók-, illetve egyéb adatait?

Alapvetés, hogy a bankkártyához tartozó PIN-kódot nem adjuk ki, gyanút kell fogni, ha egy magát banki alkalmazottnak hitelesen kiadó csaló telefonon keresztül kéri négy számjegyű azonosítónkat. Szintén nagy gondossággal kell védenünk jelszavainkat, hiszen ma már akár a kávéfőzőnk adatait is tárolhatjuk a felhőben, nem beszélve egyéb érzékeny, például egészségügyi adatainkról. A kódvédelemre megoldást jelenthet egy erre kifejlesztett jelszótároló mobilalkalmazás.

„Felépítettünk egy olyan világot, amelyben a kényelemre fókuszálva minden adat, szolgáltatás távolról elérhető, ám ezzel egy időben kiszolgáltatottá is tettük magunkat. Ezért is kiemelten fontos a megfelelő információbiztonság. El kell fogadni, hogy az információ ma már érték, egyes esetekben nagyobb érték, mint maga a pénzünk” – fogalmazott Márton Miklós.

Balogh Turul arra irányította rá a figyelmet, hogy adatainkat célszerű biztonságos felhőalapú szoftver segítségével tárolni, sőt hasznos, ha időnként egy fizikai merevlemezre is lementjük őket. Emellett, ahol csak lehetőség adódik, használjunk kétlépcsős azonosítást. A szakértő hozzátette: az információbiztonságra való törekvés a magánszemélyeknél kezdődik, csak ezt követően gyűrűzhet tovább, és válhat a vállalati kultúra szerves részévé.

Nem kímélnek a csalók, mindenre lőnek

A teljesség igénye nélkül összegyűjtöttünk néhány adatot, kutatást arra nézve, mennyire felgyorsult a kibercsalók tevékenysége az elmúlt években.

• A karácsonyi vásárlások 63 százaléka online, webshopon keresztül történik, ezért az ünnepi időszak tökéletes alkalom a kiberbűnözőknek a támadásra: egy felmérés szerint a zsarolóvírus-támadások száma 30 százalékkal nő advent idején az év többi hónapjához képest. Az adathalász támadások nagyobb valószínűséggel lesznek hatékonyak az ünnepi szezonban, mivel a felhasználók több webshopban adják meg az adataikat úgy, hogy nem ellenőrzik az oldal hátterét, annak megbízhatóságát.
• A kibertámadások száma 2022-ben világszerte 38 százalékkal növekedett, a szervezeteket érő károkozások mintegy felét nem jelentik sem a cégeken belül a felső vezetőknek, sem kifelé, a hatóságoknak – derül ki egy kutatásból. A felmérés során megkérdezett informatikai vezetők 40 százalékának volt már dolga kibertámadással.
• A vállalati kiberbiztonsági incidensek száma 51 százalékkal nőtt a Scale 2023-as felmérése szerint. A tavalyi évben a szervezetek 71 százaléka tapasztalt három vagy több biztonsági incidenst, ami 51 százalékos növekedést jelent az előző évhez képest. A legtöbben a felhőhasználattal kapcsolatban tapasztaltak problémákat.
• Az egészségügy digitalizációjával a szektor a kiberbűnözők egyre fontosabb célpontjává válik. Egy 2022-es jelentés szerint 2021-hez képest 74 százalékkal növekedett az egészségügyi intézményekre irányuló kibertámadások száma világszerte.
• Az elmúlt években egyre gyakoribbá váltak a korábban ritkának számító, kritikus infrastruktúrák elleni kibertámadások, ezen belül is a gyártóipar a legnagyobb mértékben veszélyeztetett. 2022-ben a gyártók jelentős része, 37 százaléka lett rosszindulatú vírustámadás áldozata, és egy éven belül 38 százalékkal növekedett a sérülékenységük.
• Az Eurostat adatai szerint az európai uniós vállalkozások jelentős része védtelen lenne egy váratlan kibertámadással szemben. Minden ötödik uniós kis- és közepes vállalkozás (kkv) tapasztalt már IT-biztonsági incidenst, mégis csak negyedük rendelkezik a szükséges biztosításokkal, a magyarországi cégek pedig még rosszabbul teljesítenek, mindössze 5 százaléknál működnek a megfelelő biztonsági rendszerek. A legtöbb hazai kkv ráadásul nem tart különösebben az adathalászattól, hiába növekszik globálisan az online támadások száma. Szintén az Eurostat végzett átfogó kutatást a legalább 10 alkalmazottal rendelkező európai uniós vállalkozások kiberbiztonságáról. A megkérdezett cégek ötöde tapasztalt már biztonsági incidenst.

(Borítókép: Németh Emília / Index)