A változás több ezer céget érint, jobb, ha időben felkészülnek rá

„Az elmúlt évek gyors digitális átalakulása hatalmas lehetőséget rejt magában, amelyet a nemzetállamoknak indokolt és javasolt kihasználni, figyelembe véve az Európai Unió erre vonatkozó törekvéseit. Azonban a biztonsági faktor szintén fontos, erről sem szabad megfeledkezni. A digitalizáció teremtette lehetőségek csak akkor válhatnak a szervezetek hasznára, illetve egy-egy ország fejlődése szempontjából értékessé és teremthetnek versenyelőnyt, ha a fejlesztések és az innovációs tevékenységek mellé kellő biztonsági faktor, valós kockázatértékelésen alapuló, a fenyegetésekre arányos választ adni képes kiberbiztonsági érettség is párosul” – fogalmazott az Indexnek Bor Olivér kiberbiztonsági szakértő.

A legsúlyosabb veszélyforrás

A szakember szerint az elmúlt évek kibertámadási trendjeit elemezve megállapítható, hogy a kiberbűnözők egyik legkedveltebb célcsoportja maguk a felhasználók, mert rajtuk – vagy éppen egy cég beszállítóján – keresztül gyakorta sokkal egyszerűbb egy-egy szervezet elektronikus információs rendszerébe behatolni, kárt okozni, illetve egyéb inkriminált cselekményt elkövetni, mint a célpontként kiszemelt szervezet elektronikus információs rendszerén a technikai sebezhetőségeket kihasználni.

A kibertámadások száma és az általuk okozott károk mára már olyan mértékűvé váltak, hogy azokat globális szinten az egyik legégetőbb, hatásukat tekintve legsúlyosabb veszélyforrások között kell említenünk. 2022-ben kiberbűnözők világszerte közel 8000 milliárd dollárnyi kárt okoztak a cégeknek és felhasználóknak. Ez a szám 2016 óta megállás nélkül növekszik. A szakértők előrejelzése szerint 2025-re ez a szám eléri, majd meghaladja a 10.500 milliárd dollárt, 2028-ban pedig megközelítheti a 13.820 milliárd amerikai dollárt. Ez főleg a korábban említett digitalizációval összefüggésben nagyon érdekes, hiszen az elmúlt években a digitalizáció rohamos mértékben fejlődött világszerte, amire a koronavírus-járvány is jelentős mértékben hatott

– tette hozzá Bor Olivér. A kiberbiztonsági szakember szerint az Európai Unió Kiberbiztonsági Ügynöksége (ENISA) által publikált 2023-as fenyegetettségi jelentés hitelesen bemutatja az aktuális kiberbiztonsági trendeket. A legfrissebb, 2022 júliusa és 2023 júniusa közti időszakot vizsgálta. Kiderült, hogy a vizsgált időszakban a kibertámadások száma és változatossága egyaránt nőtt, amire nagy hatással volt Oroszország ukrajnai háborúja.

„A hacktivizmus új csoportok megjelenésével bővült, a zsarolóvírusok száma nőtt, de ezek mellett a különféle káros kódok és az adathalászat, a dezinformációs tevékenység és a túlterheléses támadások (DDoS és DoS támadások) határozták meg a trendeket. A jelentés az összes vizsgált iparág közül a közigazgatást azonosította a leginkább célzott ágazatként (19 százalék), amelyet a magánszemély felhasználók ellen elkövetett csalások, támadások halmaza követ (11 százalék), de az egészségügy (8 százalék) sincs biztonságban” – ismertette a jelentést a szakember.

Bor Olivér szerint senki sincs biztonságban, és ezzel összefüggésben érdemes megemlíteni a KiberPajzs Projektet, amely kifejezetten azzal a céllal jött létre, hogy edukálja és informálja a potenciális áldozatjelölteket, valamint segítse a felhasználók eligazodását az online csalások tengerében.

„A közös felelősség közös fellépést sürgetett, ennek megfelelően a Magyar Nemzeti Bank mellett a Magyar Bankszövetség (mint a hazai bankok érdekképviseleti szerve), az Országos Rendőrfőkapitányság, a Nemzetbiztonsági Szakszolgálat Nemzeti Kibervédelmi Intézet, valamint a Nemzeti Média- és Hírközlési Hatóság 2022 őszén KiberPajzs néven közös kommunikációs és edukációs kampányt indított, amelyhez időközben az Igazságügyi Minisztérium, a Szabályozott Tevékenységek Felügyeleti Hatósága, a Magyar Államkincstár és a Gazdaságfejlesztési Minisztérium is csatlakozott. A szervezetek az együttműködés révén folyamatosan vizsgálják a fogyasztói szokásokat, azok változásait, valamint a pénzügyek, illetve a pénzforgalom lebonyolítása során megfigyelhető visszaélési mintázatokat és kiberbiztonsági kockázatokat. Figyelembe veszik a nemzetközi trendeket, szakmai munkájukba beépítik ezeket a tapasztalatokat, amelyeket végső soron a pénzügyi rendszer biztonságának, valamint az ügyfelek pénzügyi tudatosságának növelésére fordítanak” – mondta Bor Olivér.

A vállalatoknak fel kell készülniük

A szakértő kérdésünkre válaszolva elmondta, hogy az Európai Unió az állami intézményekre és a vállalatokra leselkedő kiberkockázatok miatt kidolgozta a Network and Information Systems direktíva második változatát, NIS 2-t, amelynek célja a kiberbiztonsági képességek egységesítése és az unióban működő szervezetek védelmének megerősítése. A vállalatoknak – ahogy más európai országokban – Magyarországon is fel kell készülniük az új követelményekre.

„Az EU-nak muszáj volt reagálnia a kiberfenyegetések jelentette kockázatokra, amit elsősorban a kiberbiztonsági képességek egész unióban történő kiépítésével, a NIS2 irányelv megalkotásával kíván – szabályozás útján – biztosítani, ezzel is hozzájárulva az unió biztonságához, valamint a gazdaság és a társadalom hatékony működéséhez. A NIS 2-t 2024. október 18-tól az EU tagállamaiban kötelező lesz alkalmazni. Ez nemcsak egy újabb EU-s irányelv, hanem elengedhetetlen lépés a modern kiberbiztonsági kihívások kezelésében.

Célja, hogy megfelelő válaszokat adjon a dinamikusan változó kiberfenyegetésekre, és létrehozza azokat a keretfeltételeket, amelyek segítségével a vállalatok megfelelő védelmet biztosíthatnak az adataiknak és rendszereiknek” – magyarázta a szakértő, aki szerint Magyarország kifejezetten jól áll az implementációs folyamatban, hiszen lassan egyéves az egyik meghatározó hazai jogforrás, a kiberbiztonsági tanúsításról és kiberbiztonsági felügyeletről szóló 2023. évi XXIII. törvény (Kibertantv.), ami a Szabályozott Tevékenységek Felügyeleti Hatóságának (SZTFH) kezdeményezésére jött létre. A kiberbiztonsági követelmények megvalósulásának ellenőrzésére a jogszabály felügyeleti jogkörrel ruházza fel az SZTFH-t és rögzíti az ellenőrzés, nyilvántartás és szankcionálás rendjét.

Az irányelv egy keretjogszabály, amely zsinórmértéket szab a tagállamok számára az elérendő célok és a szabályozás alá vont területet érintő alapvető követelmények vonatkozásában, egyebekben a tagállamokra bízza, hogy milyen formában és módszerrel biztosítják nemzeti jogukban az irányelvben meghatározott célok és alapvető követelmények érvényesülését. Ez lehetőséget ad minden tagállamnak, hogy a nemzeti sajátosságait figyelembe véve (piaci körülmények, államigazgatási berendezkedés, kiberbiztonsági célkitűzések és szervezetrendszer) alakítsa NIS2 irányelvi megfelelését.

A szakértő úgy látja, hogy a Kibertan.tv. lényeges szerepet játszik abban, hogy erősítse a gazdasági szereplők és szolgáltatók kiberbiztonsági szintjét, amelyek kulcsfontosságúak a társadalom és a gazdaság szempontjából. A Kibertan.tv. kiberbiztonsági követelményrendszert állít fel a szereplők számára, és meghatározza a betartásukhoz szükséges felügyeleti intézkedéseket és bevezeti a hatósági felügyeleti rendszert a NIS 2 alapján, amelynek értelmében a Szabályozott Tevékenységek Felügyeleti Hatósága (SZTFH) lesz az egyik fő felelős a kiberbiztonsági követelmények betartásának ellenőrzéséért, valamint meghatározza az ellenőrzés, nyilvántartás és szankcionálás módját is.

Mit kell tenniük a vállalkozóknak?

„A NIS 2-megfelelés első lépcsőfoka a felismerés, hogy cégünk érintett-e. A NIS 2 irányelv hatálya alá tartozó szervezeteknek saját maguknak szükséges felismerniük érintettségüket, amelyet követően az SZTFH rendeletben meghatározott adataikat a Hatóság felé nyilvántartásba vételre meg kell küldeniük. A nyilvántartásba vételi kérelem határideje – a január 1. előtt működő szervezetek esetén – 2024. június 30., az újonnan a szabályozás hatálya alá kerülő cégek esetén a változást követő 30 nap áll rendelkezésére” – mondta Bor Olivér, hozzátéve, hogy a NIS 2 követelményeinek megfelelően a törvény hatálya alá alapértelmezetten a minimum középvállalati besorolást elérő szervezetek tartoznak.

Gyakorlati megközelítéssel elsődlegesen ezért a Kkvtv. szerinti besorolást érdemes vizsgálni. A középvállalkozási minősítéshez legalább 50 fő foglalkoztatott vagy 10 millió eurót meghaladó előző évi árbevétel szükséges. Természetesen ez nem jelenti azt, hogy ha a ma még 51 főt foglalkoztató cég holnap 49 munkavállalóval rendelkezik, kikerülne a törvény hatálya alól: a Kkvtv. szerint az átsoroláshoz az elmúlt 2 évben fenn kell álljanak az ahhoz szükséges statisztikai feltételek. Bonyolultabb lehet a vállalatcsoportos működés esetén a méret meghatározása, esetükben a Kkvtv. szerint a konszolidált beszámoló az irányadó

– fűzte hozzá. Bor Olivér szerint a fentebb említettek még nem elegendőek az érintettség megállapításához, mert a NIS 2 alapján a Kibertan.tv. is meghatároz érintett ágazatokat, tehát a mellékleteket is érdemes böngészni, mert a Kibertan.tv. mellékleteiben felsorolt tevékenységek vizsgálata nem kikerülhető. Ilyen ágazat – többek között – a gyártás, az élelmiszer-előállítás és forgalmazás, az egészségügy, a hulladékgazdálkodás, a digitális szolgáltatások, digitális infrastruktúrák vagy épp az energiaszektor.

Bor Olivér kifejtette, hogy az előzetesen meghatározott cégméret szerinti besorolás alapján a legegyszerűbb feladatuk a mikro- és kisvállalkozásoknak van, mert esetükben csak öt tevékenység vizsgálandó, amelyek az alábbiak szerint ellenőrizhetők:

• Elektronikus hírközlési szolgáltatók és bizalmi szolgáltatók: Nemzeti Média- és Hírközlési Hatóság vezeti a nyilvántartásuk.
• Legfelsőbb szintű domainnév-nyilvántartó: Magyarországon ez egyetlen szervezet, az ISZT Nonprofit Kft.
• Domainnév-regisztrációt végző szolgáltató: az ISZT által üzemeltetett domain.hu oldalon elérhető regisztrátorok.
• DNS-szolgáltató: azok a szervezetek, melyek a törvény értelmező rendelkezései szerinti szolgáltatások valamelyikét nyújtják.

Az SZTFH 2024. január 1-től kezdte meg az érintett szervezetek nyilvántartásba vételét, amely egy olyan önazonosítási folyamat, amit a cégeknek maguknak kell véghez vinniük és a magyarorszag.hu felületén online kezdeményezni a nyilvántartásba vételüket a szervezetnél.

„Az önazonosításra és a nyilvántartásba vételre 2024. június 30-ig van lehetőségük a cégeknek. Eddig a dátumig kell meghatározni a biztonsági osztályba sorolást (alap, jelentős, magas), illetve ki kell jelölnie az elektronikus információs rendszerek biztonságáért felelős személyt és feladatkörét. 2024. október 18-tól az érintett cégeknek alkalmaznia kell a törvénynek megfelelő védelmi intézkedéseket, és a felügyeleti díj megfizetése is ettől a dátumtól kezdve válik esedékessé. Az érintett cégeknek pedig ez év december 31-éig meg kell kötni a szerződést a kiberbiztonsági audit vonatkozásában, amelynek legkésőbb 2025. december 31-ig el kell készülnie” – válaszolta az Index kérdésére Bor Olivér kiberbiztonsági szakértő.

(Borítókép: Helen King / Getty Images)