Nem szabad, és nem is lehet megúszni az új úniós kibervédelmi irányelvet

A Klasszis Média Lapcsoport április 10-én tartott "A Jó, a Rossz és NIS2" című konferenciáján a hatóságok képviselői, illetve a piacon működő kiberbiztonsági cégek szakértői is jelen voltak, így a szabályozási kérdések mellett a gyakorlati tennivalókról is átfogó képet kaphattak a résztvevők.

Nyitóelőadásában Virág Csaba, az Európai Unió kibervédelmi ügynöksége, az ENISA tanácsadó csoportjának tagja arról beszélt, hogy látszólag folyamatosan nő a kibertámadások száma a világban, de a digitális transzformációt ez nem fogja megállítani, sem lassítani, ezért mindenképpen szükség van egy, a közös biztonság, illetve az elszámoltathatóság feltételeit megteremtő keretrendszerre. Ezt várják az Unióban a NIS2 irányelvtől, illetve ennek a tagállamok jogrendjéhez igazított implementációtól.

„A szabályozásokat gyakran szükséges rosszként kezeljük, de ha őszinték akarunk lenni magunkhoz, a biztonság nem fog magától megteremtődni”

– fogalmazott Virág Csaba, aki példaként felhozta a repülésbiztonságot, az élelmiszerbiztonságot, a közlekedésbiztonságot, ahol a növekvő biztonság a tapasztalatok mellett a szabályozási és megfeleltetési környezetnek is köszönhető. Nem volt egyszerűen a szektor szereplőinek belátására bízva, hogy milyen biztonsági szabványokat alkalmaznak, milyen követelményekhez alkalmazkodnak.

Az új uniós kiberbiztonsági alapelv, a NIS2 sem a digitális fejlődést megbéklyózó lánc lesz, hanem a biztonságos fejlődés megteremtését lehetővé tevő közös alap.

Marsi Tamás, a Nemzeti Kibervédelmi Intézet főosztályvezetője előadásában bemutatta, milyen elképesztő léptéket öltött mára a kiberbűnözés, amely több ezer milliárd dollárnyi kárt okoz évente világszerte, és senki, tényleg senki nem érezheti biztonságban magát, hiszen digitális adatai annak is vannak, aki esetleg mondjuk nem hajlandó online vásárolni sem.

„A kibertér veszélyes hely, és valamit tennünk kell, hogy kevésbé legyen veszélyes”

– szögezte le.

A főosztályvezető több, ma bevettnek számító kibertámadási módszert is bemutatott az adathalász emailektől kezdve a különböző szolgáltatói oldalak lemásolásán túl a látszólag csomagküldő szolgálatoktól érkező sms-ekig, végezetül pedig bemutatta a különböző magyar, a kibervédelemmel foglalkozó hatóságokat, illetve működési területüket.

Bor Olivér, a Szabályozott Tevékenységek Felügyeleti Hatóságának (SZTFH) kiberbiztonsági és kommunikációs szakértője a NIS2 irányelv magyar implementációját, illetve az ehhez kapcsolódó tudnivalókat, teendőket és határidőket ismertette.

Felhívta a figyelmet arra, hogy a magyar cégek 70 százaléka egyáltalán nem alkalmaz informatikai szakembert, ahol pedig van ilyen, többségében egyetlen ember felelős a kiberbiztonságtól kezdve a nyomtatópatronok cseréjééig mindenért.

Közben pedig elképesztően nő a támadások száma és léptéke is, világszerte csak a zsarolóvírusok miatt kifizetett váltságdíjak összege elérhette 2023-ban a 900 millió dollárt, és ezek csak az ismertté vált esetek.

A magyar cégeknek a NIS2 irányelvet implementáló Kibertan-törvényt kell most elsősorban tanulmányozniuk, hiszen az érintett cégeknek június 30-áig regisztrálniuk kell magukat az SZTFH-nál, október 18-ától pedig már alkalmazni kell az irányelvet Magyarországon is.

Mit kell, és mit lehet tenni?

Cseh Patrik, a Hactify International Kft. ügyvezetője arról beszélt, hogyan tudnak felkészülni a cégek a megváltozó szabályozásra. Figyelmeztetett arra, hogy aki túl sokat vár a tájékozódással, a felkészülés megkezdésével, az könnyen időzavarba kerülhet.

„Olyan helyzetbe kerülhetünk, hogy nincs megfelelő szakértő a piacon, nincs olyan auditor, aki határidő előtt el tudná végezni a tanúsítást vagy az auditot”

– mondta, és hozzátette, hogy a NIS2 csak az egyike a közelmúltban bevezetett jogszabályi változásoknak, követelményeknek.

Azt tanácsolta, hogy azok a cégek, amelyek felismerik, hogy vonatkozik rájuk a Kibertan-törvény, azok végezzenek egy GAP-analízist, amely megmutatja, milyen követelményeknek kellene megfelelni, és ezek közül melyekkel kell foglalkozni, majd azt is, hogy milyen kockázatok leselkednek a cégünkre. Azt is leszögezte, hogy nincs „dobozos” megoldás, minden cégnek egyedi módon kell alkalmazkodnia az új követelményekhez.

A pódiumbeszélgetésen Bónak Ákos, a Quadron Cybersecurity Zrt. kiberbiztonsági és kockázatkezelési szakértője vezetésével Marsi Tamás, Bor Olivér és Cseh Patrik mellett Herk Imre, az Invitech Services Kft. IT biztonsági üzletág Technical sales csoportvezetője, valamint Hargitai László, a KPMG szakértője folytatott érdekes eszmecserét.

Hargitai László leszögezte, hogy a kibervédelem jelenlegi rendszere

„nem működik jól, bármit is tettünk ezen a területen, bármilyen szabályozásokat hoztunk is, nem volt elég. Ezért van most szükség egy új szabályozásra.”

A beszélgetés során az is szóba került, hogy nagy problémát jelent a nagy cégeknél, hogy csak azután hajlandó a legfelsőbb vezetés pénzt és erőforrást áldozni a kiberbiztonságra, ha már megtörtént a baj, esetleg büntetés kapott a cég. Mivel a NIS2 értelmében súlyos hiányosságok esetén akár a cégvezetők is eltilthatók lesznek a cégvezetéstől (bár Magyarországon egyelőre ezt nem vezették be), ez jó motiváció lehet, hogy proaktívan foglalkozzanak ezekkel a kérdésekkel.

Az is segíthet a helyzet javulásában, ha maguk a végfelhasználók fogják elvárni a cégektől, hogy megfelelő kibervédelmi tanúsításokkal, gyakorlatokkal rendelkezzenek.

A konferencia második részében a NIS2 és a Kibertan-törvény által előírt, az érintett szervezeteknek 2026. január 1-jéig kötelezően elvégzendő kiberbiztonsági auditálás gyakorlati kérdéseiről volt szó. Bódis Péter, az SMP Solutions IT-üzletágának vezetője számos hasonló munkában vett már részt, és azt emelte ki, hogy a NIS2-t

„nem lehet megúszni, ez tényleg kötelező”.

Elmondta azt is, hogy az új szabályozást gyakorlati alapon fogják ellenőrizni, ez egyrészt kihívást fog jelenteni, másrészt viszont ezért a megfelelés valós hozzáadott értéket fog adni a cégek számára. Beszélt arról is, hogy dolgoznak azon is, hogy az auditálás során, illetve a megfelelés érdekében a cégek mesterséges intelligenciával támogatott megoldásokat is használhassanak.

Bányai Árpád, a Microsoft kiberbiztonsági tanácsadója ehhez kapcsolódóan a mesterséges intelligencia kiberbiztonságban játszott szerepéről tartott előadást. „Nem lehet már elmenni a mesterséges intelligencia mellett egy IT-biztonsági szabályozásról szóló konferencián sem.” Hihetetlen sebességgel robbant be a piacra a mesterséges intelligencia, de ennek persze vannak kiberbiztonsági veszélyei is.

Ezek a veszélyek nem feltétlenül azonosak azokkal, amelyek a közvéleményben elterjedtek a mesterséges intelligenciával kapcsolatban, azonban komoly odafigyelést fog igényelni a szakemberektől.

A záró pódiumbeszélgetésen Bódis Péter és Bányai Árpád mellett Bóna Ákos beszélgetett a felmerült kérdésekről. Bódis Péter felhívta a figyelmet arra, hogy az állami szereplőknél is lenne tennivaló az IT-biztonság területén, de a magáncégeknél is.

„Nagyon sok nulla forintos feladat van a vállalatoknál. Ezeken végig kell menni: tűzfalbeállítások, otthagyott gépek, sok a hanyagság, nem minden a pénz”

– fogalmazott Bódis Péter.

Bányai Árpád arról beszélt, hogy még mindig reaktív üzemmódban vannak a magyar cégek, tehát akkor foglalkoznak a kiberbiztonsággal, amikor „már fáj”, de a publicitással ez talán kicsit változni kezd.

A beszélgetőtársak egyetértettek abban, hogy a magyar cégek, szervezetek kiberbiztonsági érettsége nem megfelelő, remélni lehet, hogy a NIS2 javítani fog ezen. A pénzhiány mellett a tudatosság hiánya is problémát is jelent, sok cégnél azt gondolják, őket nem érheti támadás, pedig mindenkit érhet ilyen, súlyos következményekkel.