Téves az az elképzelés, hogy a mai technológiai környezetben – gondoljunk csak a mesterséges intelligencia ugrásszerű fejlődésére – bármilyen vállalati érték biztonságban van az optimális kibervédelmi feltételek megteremtése nélkül. Míg korábban ennek kiépítése vagy elhanyagolása kizárólag a vezetők kezében volt, ez most megváltozik. Négy és fél évvel a hatástalannak bizonyuló NIS irányelvet követően az Európai Unió 2022-ben elfogadta és kihirdette a szélesebb kört érintő NIS2 irányelvet. Bár a kibertan törvény hatályba lépésének dátuma október 18-a, de az érintetteknek már most el kell kezdeniük a felkészülést, hogy a kijelölt határidőre képesek legyenek megfelelni az elvárásoknak.
A NIS2 irányelv, a kibertan törvény kiterjeszti az előírások alá eső szolgáltatások körét, miközben jelentősen szélesíti azon nemzetgazdasági ágazatok körét, melyekre kötelező érvénnyel vonatkoznak a törvényi előírások. Az új kategóriák, kiemelten kockázatos és kockázatos ágazatokba sorolja az érintett területeket. Kiemelten kockázatos ágazat például az energetika, a közlekedés, a digitális infrastruktúra, míg kockázatos ágazatként lett minősítve többek között a postai és futár szolgálaok, a gyártás és a hulladékgazdálkodás.
„Az irányelv életbe lépésével ugrásszerűen megnő az érintettek köre. Míg eddig néhány száz vállalat tartozott a hatálya alá Magyarországon, október 18-a után számuk a 3000-et is elérheti. Éppen emiatt nincs idő a tétlenkedésre. Aki számára világossá válik, hogy az elvárások ezentúl rá is vonatkoznak, már most el kell kezdenie a felkészülést, mert ha nem teszi, könnyen megcsúszhat a számos teendővel”, hangsúlyozta Papp Albert üzleti informatika tanácsadó.
A szakember arra is emlékeztetett, hogy a felkészülés korántsem merül ki egyszerű termékvásárlással vagy egy kiberbiztonsági tanúsítvány beszerzésével, ennél sokkal összetettebb folyamat. A NIS2 komplex kockázatkezelést vár el, aminek csakis jól átgondolt, megtervezett és szakszerűen kivitelezett megoldásokkal lehet eleget tenni.
Fokozódó elvárások
A kibertan törvény által támasztott követelmények magukban foglalják a kockázatok kezelését, jelentős események esetén az azonnali értesítést a biztonsági csapat vagy a hatóság irányába, valamint az ügyfelek, felhasználók tájékoztatását.
A NIS2 részletesen kiegészíti a korábbi előírásokat, különös tekintettel a kockázatelemzésre, a biztonsági irányelvekre, az incidensek kezelésére, valamint az üzletmenet-folytonosság és a válságkezelés fontosságára. Emellett hangsúlyozza a beszállítói lánc biztonságának, a technológiai rendszerek beszerzésének, fejlesztésének és karbantartásának szigorúbb ellenőrzését, a kiberbiztonsági intézkedések folyamatos felülvizsgálatát, valamint a munkaerő és a hozzáférési jogosultságok biztonságának garantálását.
„A NIS2 megvalósíthatatlan detekciós és reakciós képesség nélkül. Ez akkora problémát jelent, hogy még a nyugat-európai cégek és szervezetek közül is nagyjából csak 5% rendelkezik olyan rendszerekkel, amelyek jelenlegi állapotukban teljes mértékben megfelelnek a követelményeknek. Magyarországon ez az arány minden bizonnyal még alacsonyabb”, ismertette Bódis Ákos, a 18 éve kibervédelemmel foglalkozó Yellow Cube ügyvezetője, elárulva azt is, hogy csapatával egy új, kaliforniai gyártóval indítottak együttműködést annak érdekében, hogy minél komplexebb és átfogóbb kibervédelemmel álljanak ügyfeleik rendelkezésére.
„Autós hasonlattal élve azt is mondhatnám, hogy eddig különböző darabjait kínáltuk külön-külön egy autónak, volt egy nagyszerű motorunk, kényelmes üléseink… Azonban október közepétől már nem száz, hanem háromezer autó szervizelésére lesz szükség, ezért olyan opciót kerestünk, ami az alkatrészek helyett egyben leszállítja az autót. Az új partnerünk OpenXDR (Extended Detection and Response) technológiával teljeskörűen egyesíti a már megvásárolt kibervédelmi rendszereket, így minden vállalat számára a legoptimálisabb és legköltséghatékonyabb megoldást nyújthatjuk”, fejtette ki Bódis Ákos.
Jó kiberbiztonságot építeni nehéz, rosszat könnyű
Nem csak Magyarországon, de világviszonylatban is megfigyelhető, hogy a vállalatok mostohagyereknek tekintik a biztonság kérdését, nincsenek megfelelően felkészülve egy esetleges támadásra, így, ha az bekövetkezik, kapkodnak és túlreagálják. Többnyire olyan intézkedéseket hoznak, amelyek biztonsági szempontból lényegtelenek, a gördülékeny működést viszont jelentősen akadályozzák. Ilyenek például az extrém módon bonyolult és folyamatos megújítást igénylő jelszó házirend, ami tipikusan egy korábbi incidens túlreagálásából adódik.
„Azt is egyértelműen tapasztaltuk, hogy amióta csak kibertámadások érik a gazdasági szervezeteket, inkább kifizetik a bírságot vagy benyelik a támadásból eredő károkat, minthogy tényleges, költséges, átgondolást igénylő lépéseket tegyenek a biztonságuk érdekében. Ha pedig a piaci szereplőknek olcsóbb és egyszerűbb kiberbiztonság nélkül működni, szabad prédává tenni a személyes adatainkat, akkor az állam feladata közbelépni. Ezért látta fontosnak az EU, hogy beavatkozzon és előírja azt a minimális biztonsági szintet, amelynek minden értintettnek kötelezően meg kell felelnie, és olyan büntetéseket helyezett kilátásba, ami ugyancsak a szabályok betartására sarkall”, emelte ki a kiberbiztonsági szakértő.
A biztonság üzleti előnyt jelent
„Arra próbáljuk tanítani a partnereinket, hogy a kiberbiztonság eredményességét az üzlet sikeréhez mérjék. Ha a cég megduplázza az árbevételét, akkor az a kiberbiztonság terén is dupla sikernek könyvelhető, hiszen anélkül nem tudott volna az üzleti cél megvalósulni. Azt is szem előtt kell tartani, hogy a kiberbiztonság megteremtése nem egyszeri befektetés, folyamatosan fent kell tartani a szintet és elengedhetetlen a technológiai fejlődés napi szintű követése”, mutatott rá a Yellow Cube ügyvezetője.
Mint mondja, a mesterséges intelligencia az egyik legnagyobb rizikófaktor, mert fejlődésének sebessége akár hónapról hónapra hatalmas lehet.
„A mesterséges intelligenciát, amely a gépi tanuláson alapul, már nagyjából 10 éve használjuk kibervédelmi termékeinkben. Kétélű fegyver, mert egyszerre és ugyanolyan jól segíti a támadásokat is, mint a védekezést. Például a kiberbűnözők kezében jelentősen megkönnyíti az átverések, csalások automatizálását. Viszont a gépi tanulást felhasználva kibervédelmi rendszereink egyedülállóan pontosan és korábban elképzelhetetlen szintű megbízhatósággal működhetnek. Összerakjuk a különálló rendszerekből érkező apró jeleket, és ha azok alapján úgy értékeli a mesterséges intelligencia, hogy egy kiberbűnöző már behatolt a hálózatba, akkor valós időben riasztani tudunk, ami elengedhetetlen az azonnali reagáláshoz és a kibertámadás sikeres kivédéséhez”, zárta gondolatait Bódis Ákos.
Lényeges határidők:
2024. június 30.
Önazonosítás
Biztonsági osztályba sorolás
Elektronikus információs rendszerek biztonságáért felelős személy feladatköre és kijelölése
Nyilvántartásba vételre bejelentkezés
2024. október 18.
Védelmi intézkedések alkalmazása
Felügyeleti díj megfizetése
2024. december 31.
Első kiberbiztonsági audittal kapcsolatos szerződéskötés az auditorral
2025. december 31.
Első kiberbiztonsági audit lefolytatása