Mutatjuk, mit kell most tennie, hogy cége megfeleljen az EU-s kibervédelmi előírásnak

Pár hónap múlva a magyar cégek jó részének is lépnie kell: életbe lépnek az új európai uniós kiberbiztonsági szabályozáscsomag, a NIS2 (National Information Security) magyarországi szabályai. A jogszabály a korábbinál több területet és több céget érint, az előírásai is átfogóbbak. Mivel a kiberbiztonsági fenyegetések is kiterjedtebbek, összetettebbek és gyakoribbak, nem is alaptalan a védekezés erősítése: elég csak a most már gyakorlatilag napi szintű banki csalásokra gondolnunk, de – világszinten – adatszivárgásból és zsarolóvírusból is minden hétre jut egy-egy nagyobb, sőt a (valószínűleg) államok által szponzorált, komoly, akár kritikus infrastruktúrákat érintő kibertámadások is egyre szaporodnak.

„Az emberiség régóta foglalkozik fizikai vagyonvédelemmel. Ez többek között pénzeszközeink, tulajdonunk és különböző tárgyaink védelmét jelenti. Az információbiztonság vagy a kibervédelem pontosan ugyanilyen „vagyonvédelem”, csak a kibertérben, az interneten és a hozzá kapcsolódó hálózatokban. Az elsődleges cél az adatvédelem, ami a legfontosabb lépés kellene, hogy legyen, hiszen számos bevált megoldás létezik már erre.” – magyarázza, Boros Robin, a Telekom IT-biztonsági specialistája.

Mostanra a valódi gazdaság mellett, gyakorlatilag létezik egy ún. sötét gazdaság is, ahol mindenféle szolgáltatásokat kínáló „cégek” specializálódnak arra, hogy az embereket, vállalatokat meghekkeljék, átverjék, adatokat szivárogtassanak ki tőlük, pénzt lopjanak el, zsarolóvírusokat telepítsenek a céges hálózatokra. „Képzeljük el, hogy valaki tudtunk nélkül betör a házunkba, valahogy bejut a kapun, átveri a riasztónkat, mert hozzáfért némi személyes információhoz, átkutatja a házunk szobáit, megtalálja a széfünket és ellopja belőle a nagyanyánk ékszerét, és mondjuk egy válási papírt, és utána ezt pénzért akarja nekünk visszaadni. Viszont amikor fizetünk neki, nem adja vissza, hanem föltölti az internetre. Mára minden kibertérben elkövetett lépésnek megvan a mi megszokott, valós fizikai énünkre való lefordítása” – mondja.

A NIS2 azért jött létre, hogy ezeket az egyre kifinomultabb támadásokat megállítsa, az Európai Uniót nagyobb védelmi fokozatba kapcsolja, bezárja azokat a sebezhetőségeket, ahol a bűnözők betörhetnek.

Az első lépés a besorolás

A NIS2 törvény értelmében a vállalatoknak és 2024. június 30-ig be kell sorolniuk magukat a kijelölt három biztonsági osztály – alap; jelentős; magas – egyikébe, aztán az adott kategóriához tartozó intézkedéseket is meg kell tenniük. A Szabályozott Tevékenységek Felügyeleti Hatóságánál (SZTFH) kell jelentkezni: a hatóság azt javasolja, hogy aki bizonytalan, az is tegye meg – ugyanis, ha valaki nem teszi meg, a várható büntetés akár 50 millió forint is lehet (pontos számot még nem tudni, mert a kapcsolódó rendelet még nem hatályos).

Arról, hogy konkrétan mely cégek esnek majd bele az egyes kategóriákba, érdemes a szakértőktől tájékozódni, annyit viszont jó tudni, hogy az érintett iparágak bővültek. „Korábban, amikor a NIS direktíva született, még nem volt űrkereskedelem és űrtechnológia, most már azért Magyarországon is van nem is egy olyan cég, aki az űrutazáshoz vagy az űrbe juttatáshoz fejleszt technológiákat, és kibővült bizonyos olyan kritikus szolgáltatókra is, mint a közintézmények, a gyártócégek, azok az üzletágak, akik olyan kritikus infrastruktúrában, kritikus iparágban működnek, ami mondjuk a napi működésünkhöz kötelező. Például a víz-, gáz és a közművek” – mondja Boros Robin.

„Én azt javaslom mindenkinek, hogy olyan szakértőhöz forduljon, akik értenek hozzá és segítenek a beazonosításban, mert nagyon sok múlik ezen, nemcsak a büntetési tételek: az információbiztonságunkhoz is abszolút tudunk vagyoni értékű jogokat kapcsolni. Gondolhatunk akár egy kiszivárgott üzleti tervre, vagy egy ellopott fizetési adatra és egy ellopott személyazonosságra” – folytatta a szakember.

Legalább vírusírtó legyen

Fontos tudni, hogy a direktíva arányos intézkedéseket ír elő, ez azt jelenti, hogy azok a cégek, ahol például amúgy sem erős a digitalizáció, mert nem olyan dologgal foglalkoznak, nem lesznek arra kötelezve, hogy hirtelen külön kiberbiztonsági központot üzemeltessenek. Arra viszont igen – már az „alap” kategóriában is –, hogy legalább a számítógépieket védjék vírusvédelemmel, vagy ahogy manapság mondják, pontosabban: végpontvédelemmel.

A jelentős kategória már feltételezi, hogy a cégnek hálózata van, ezért ott már bejön a hálózat védelme; tűzfal használata is (sok egyéb mellett).

A „magas” osztályba eső cégeknél sok felhasználóval, kritikus infrastruktúrával számol a jogalkotó, ezért a fentiek mellé már előírja az incidens- és sérülékenységkezelést is, valamint a naplóelemzést is; be kell kapcsolnunk a működésünkbe egy úgynevezett Security Operational Centert (SOC), ahol mindezeket a tevékenységeket célzottan lehet végezni.