Mennyire jelent valós veszélyt a kiberbűnözés egy átlagos magyar cég számára, miért van szükség a kiberbiztonság törvényi szintű szabályozására?
Igazából az egésznek az a lényege, hogy az elmúlt évek során gyors digitalizálódást, meg digitális általakulást tapasztalunk szerte a világban, amit a pandémia még egy fokkal meggyorsított, és gyakorlatilag ott az alatt a másfél-két év alatt 10-15 évet kellett fejlődnünk digitálisan, ami számtalan veszélyt is rejt magában. Viszont ez a digitalizálódás, illetve a gyors digitális átalakulás hatalmas lehetőséget rejt magában, amelyet a nemzetállamoknak amúgy indokolt és javasolt is kihasználni, főleg ha figyelembe vesszük az Európai Unió erre vonatkozó törekvéseit is.
Itt a digitális átalakuláson minden olyan technológiát, digitális technológiának a bevezetését kell érteni, ami mondjuk a termelési rendszerek, a munkaszervezetek, a stratégia döntéshozatal átalakítását célozza, és ez a digitalizáció azon alapul, hogy a cégek újonnan megjelenő technológiákat kezdenek el alkalmazni. Ezáltal módjukban áll javítani saját, illetve ellátási láncaiknak hatékonyságát, növelni munkájuk minőségét, és akár megduplázni, triplázni profitjukat is.
És ez minden ágazatot érint, még azokat is, amelyeknél az ott működő cégek azt mondják, őket nem érinti – előbb vagy utóbb találkozni fognak valamilyen digitális technológiával, ezt nem lehet megkerülni.
Muszáj viszont szót ejtenünk a kiberbiztonságról is. A digitalizáció teremtette lehetőségek csak akkor válhatnak a szervezetek hasznára, illetve akkor tudják egy-egy ország fejlődését szolgálni, akkor tudnak értéket, versenyelőnyt teremteni, ha a fejlesztések és az innovációs tevékenység mellé kellő biztonság, kiemelten megfelelő szintű, és valós kockázatértékelésen alapuló, a kiberbiztonsági fenyegetésekre arányos választ adni képes digitális érettség is párosul.
A kiberbűnözés okozta károk eszméletlen mértéket kezdenek elérni, a kibertámadások kifinomultsága, összetettsége, kreativitása nem nagyon ismer határokat. A World Economic Forum a 2023-as és 2024-es jelentése is a top 5-be rangsorolja a kiberbiztonsági fenyegetettségeket, 2026-ra pedig a három legsúlyosabb fenyegetés közé prognosztizálja ezeket. A kibertámadások okozta károk globális szinten 2022-ben meghaladták a 8 ezer milliárd dollárt, 2025-re, azaz jövőre pedig elérhetik a 10,5 ezer milliárd dollárt.
Mi volt a baj a korábbi uniós szabályozással, miben hoz újat a nemrég elfogadott új irányelv?
Nem csoda, hogy az Európai Unió az elmúlt években számos kísérletet tett annak érdekében, hogy ezt a kiberkitettséget csökkentse. Ennek tükrében érdemes megvizsgálni azt, mi is volt az uniós jogalkotók szándéka azzal, hogy lefektessen bizonyos kötelezően alkalmazandó minimumkövetelményeket egy irányelven keresztül. Az eredeti, most már NIS1-nevezett irányelvet még 2016-ban fogadták el, és a maga nemében úttörő volt, hiszen első ízben született olyan uniós jogforrás, amely célul tűzte ki az EU-hálózat és információs rendszereinek kiberbiztonsági kockázatokkal szembeni ellenállóképességének a javítását.
Ezt az irányelvet vizsgálta felül az Európai Bizottság 2019 és 2020 között, majd nyilvános konzultációra is bocsájtották, és ennek során sok hiányosságot állapítottak meg. 2022 májusában aztán megállapodás született a felülvizsgálat szabálykészletének megállapításáról, majd 2022 év végén fogadták el az új, NIS2-nek nevezett irányelvet, amely összehangolt kiberbiztonsági keretet nyújt a tagállamok számára.
Amennyiben szeretné megismerni a kibertérben leselkedő legújabb veszélyeket, illetve elhárításuk legjobb módjait, valamint a NIS2 irányelv hazai alkalmazásához köthető gyakorlati tennivalókat, jöjjön el a Klasszis lapcsoport 2024. április 10-i rendezvényére, amelynek egyik előadója Bor Olivér lesz.
A Jó, a Rossz és a NIS2 című eseményen felszólalnak a téma neves szakértői és a hatóságok képviselői is, akiktől kérdezni is lesz lehetősége a résztvevőknek. Részletes program, jelentkezés itt>>>
Sok hiányosságként azonosított dologgal egészíti ki a NIS2 az előző irányelvet, például szabályozza az információmegosztás szabályait a nemzetközi szintű együttműködés tekintetében, bevezeti a kiberbiztonsági kockázatok kezelésére vonatkozó követelményeket, megerősíti az ENISA, azaz az Unió kiberbiztonsági ügynökségének szerepét, illetve tovább erősíti a nemzetállamok hatóságainak szerepét, előírja, hogy a tagállamoknak kiberbiztonsági felügyeleti hatóságokat kell létrehoznia, valamint kötelezővé tette az irányelvben foglaltakat, amelyeket korábban nem tettek kötelezővé.
Azt gondolom, hogy egy következő szintje a NIS1 újragondolásának, és ezzel talán megvalósulhat az, amit az EU-s jogalkotók szerettek volna.
Hogyan tudnak, hogyan kell megfelelni ezeknek az új követelményeknek Magyarországon? Milyen szempontból okozta, okozza ez a legnagyobb fejtörést a magyar cégeknek, hatóságoknak?
Fontos, hogy a NIS2 egy keretjogszabály, az egyes tagállamoknak ezt implementálni kellett, ennek a határideje 2024. október 17., azaz 2024. október 18-ától kezdődően kötelezően alkalmazni kell a NIS2-ben leírtakat.
Magyarországon az implementáció első és legfontosabb lépése már megtörtént, a 2023. májusában kihirdetett 2023. évi XXIII. törvény a kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről formájában, amelyet röviden csak Kibertan-törvényként szokás emlegetni. Ezzel egyébként Magyarország az elsők között kezdte meg az implementációs folyamatot, 2023 májusában még senki nem tartott ott, ahol mi, sok ideje volt tehát az érintett cégeknek a felkészülésre.
A legnagyobb kihívását az jelentette az implementációnak, hogy az új irányelv nagyon-nagyon durván kibővítette az érintett szektorok körét. A NIS1 leginkább az állami szektornak, a létfontosságú kritikus infrastruktúrának nyújtott kiberbiztonsági irányelveket, most ezzel a második irányelvvel ez jelentősen kibővül.
A NIS2 és a Kibertan-törvény is úgy fogalmaz, hogy vannak a kiemelten kockázatos, illetve a kockázatos ágazatok, de valójában semmi különbség nincs a kettő között, így gyakorlatilag 16 ágazatot kell szigorúan beleérteni ebbe, és még ott vannak a szabályokat erősítő kivételek.
Ez azt jelenti, hogy olyan cégek, illetve szektorok is bekerültek ebbe a körbe, amelyek eddig nem feltétlenül áldoztak, költöttek kiberbiztonságra. Az energiaágazattól kezdve a postai futárszolgálatok, közlekedés, egészségügy, járműgyártás, kutatóhelyek, ezek mind-mind megjelennek az érintetti körben – a pontos felsorolást a Kibertantv. I. és II. számú melléklete tartalmazza.
Van még egy fontos kritérium: azokra az előbbi ágazatokban tevékenykedő szervezetekre vonatkozik a törvény, amelyek a 2004. évi XXXIV. törvény a kis- és középvállalkozásokról, fejlődésük támogatásáról meghatározása szerint közép- és nagyvállalati besorolásba tartoznak, kivéve ha azok bizonyos kritikusnak minősített szolgáltatásokat nyújtanak. Ez azt jelenti, hogy minden, az érintett ágazatokban működő, 50, vagy annál több főt foglalkoztató, 10 millió eurót elérő árbevételű cég a jogszabály hatálya alá fog tartozni. A mi előrejelzéseink szerint nagyjából 2500 érintett cég lesz Magyarországon.
Ez önmagában elég nagy kihívás, hiszen tényleg olyan szektorok is érintettek, amelyekben eddig jellemzően nem nagyon vagy nem eleget áldoztak a kiberbiztonságra. Másrészt ez a jogszabály egy olyan hibrid modellt vezet be, amely számos kötelezettséget ró az érintett szervezetekre, többek között azt, hogy kétévente kiberbiztonsági auditokat kell lefolytatniuk – tehát nem úgy van, hogy ezen most átesünk, és akkor meg is vagyunk vele, hanem kétévente meg kell ezt ismételni.
Ez egyben egyfajta piacélénkítő és serkentő hatással is bír, megjelenik itt egy piaci rés mind tanácsadói, mind auditori szempontból, mert a tanácsadást és az auditálást nem az SZTFH fogja végezni. Az SZTFH-t a Kibertan-törvény felügyeleti jogkörrel ruházta fel, ezért tekinthetjük ezt egy hibrid modellnek.
Ha nem tudja, cége érintett lehet-e, vagy érintett, de nem tudja, mi az az auditor, milyen intézkedéseket kell végrehajtani az auditálás előtt, akkor ott a helye a Klasszis lapcsoport a témával foglalkozó rendezvényén, amelynek egyik előadója Bor Olivér lesz.
A Jó, a Rossz és a NIS2 című eseményen felszólalnak a téma neves szakértői és a hatóságok képviselői is, akiktől kérdezni is lesz lehetősége a résztvevőknek. Részletes program, jelentkezés itt>>>
A tanácsadás egyébként nem kötelező érvényű, egyes cégeknek erre lehet belső erőforrásuk is, az azonban biztos, hogy 2025 december végéig az auditálást el kell végeztetni, azaz 2026. január 1-jén mindenkinek úgy kell felébrednie, hogy azon méretbeli korlátozások és az ágazati besorolások alapján érintett cégeknek megvan az első kiberbiztonsági auditja, amelyet egy arra akkreditált auditorszervezet végzett el. Az érintett szervezeteknek, melyek 2024. október 18-a előtt megkezdték működésüket, az auditorral történő szerződéskötést 2024. december 31-ig kell teljesítsék, az ezen túl érintett szervezetekké válók esetén, a főszabály szerinti 120 napos határidő áll rendelkezésre.
Az első kiberbiztonsági audit lefolytatására a 2024. január 1. előtt működő és érintett szervezetnek minősülő szervezeteknek 2025. december 31-ig van haladéka, egyéb szervezetek esetén ennek teljesítésére a nyilvántartásba vételtől számított 2 év áll rendelkezésre.
Miként kell ezt elképzelni a gyakorlatban? Mennyire tud egy törvényi szabályozás valós javulást hozni a kiberbiztonság területén, mennyire lesz betartható a magyar szabályozás?
A Kibertan-törvény bevezeti a kiberbiztonsági kontrollok alkalmazásának kötelezettségét. Ezeket a kontrollokat alkalmazni kell, ez már önmagában magasabb szintre emeli a kiberbiztonságát az érintett szervezeteknek. Rendelkezéseket tartalmaz a törvény a beszállítói ellátási láncok kiberbiztonsági kockázatainak csökkentésére, erre vonatkozó intézkedéseket is kell tennie a cégeknek. A biztonsági események, incidensek kezelésének is vannak különféle követelményei, ezeket be kell jelenteni, meg van határozva, hogy mikor és hogyan kell bejelenteni.
E követelmények betartásának az ellenőrzését az SZTFH látja el oly módon, hogy a nyilvántartásunkba vett auditorok fogják végezni az ellenőrzést. És ezzel összeér a láncolat, megfogalmazunk kontrollszetteket, kritériumokat, amelyeket be kell tartani, meg kell valósítani, és ezt egy külsős auditor fogja leellenőrizni. És amikor ez az ellenőrzés megvolt, ezt mind az érintett cég, mind az auditor beküldi nekünk, és ezt az SZTFH munkatársai fognak szakmai szemmel átnézni.
Persze a szabályozás önmagában, magától nem tudja megoldani a problémákat, de a szabályozás és az ellenőrzés olyan rendszert hoz létre, amely ösztönzi a cégeket arra, hogy a kiberbiztonsággal igenis foglalkozni kell. Fontos azt is megjegyezni, hogy az SZTFH rendkívüli ellenőrzéseket, rendkívüli auditokat is el tud rendelni, ha jelentős biztonsági esemény következik be, esetleg a biztonsági követelményeknek meg nem felelés gyanúja merül fel egy szervezettel kapcsolatban.
Mindenkinek a saját érdeke, hogy a saját elektronikus információs rendszereiket érintő kockázatokat feltárja, és ha vannak hiányosságok, akkor intézkedéseket tegyen a kockázatok csökkentésére, a hiányosságok felszámolására.
Milyen lépéseket tesznek az érintett cégek a megfelelés érdekében – és milyen lépéseket lenne érdemes tenniük?
Mivel az adott szervezeteknek nem kell beszámolniuk arról, hogy jelen pillanatban mit tesznek kiberbiztonsági érettségük növelésére, nem rendelkezünk információval arról, hogy mi az, amit megtettek, vagy megtenni terveznek e tekintetben, hogyan állnak mondjuk a tanácsadási folyamatban.
Azonban egy nagyon-nagyon fontos határidőciklusban vagyunk már most benne, amely 2024. január 1-jével indult. Június 30-áig azon érintett szervezeteknek kell nyilvántartásba vetetni magukat az SZTFH-nál, amelyek 2024. január 1. előtt megkezdték a működésüket. Ez egy önazonosítási folyamat, tehát az érintett cégeknek magukat kell azonosítani a jogszabály alapján, és a magyarorszag.hu-n keresztül be kell jelentkezniük egy kérelem formájában, és egy űrlap kitöltésével nyilvántartásba kell vetetniük magukat. Nagyon fontos, hogy a hatóság nem fogja egyesével értesíteni a cégeket, érdemes átnézni az SZTFH által összeállított segédletet is az SZTFH weboldalán, de kapunk is napi több megkeresést azzal kapcsolatban, hogy egy szervezet érintett-e vagy sem.
Az eddigi tapasztalat az, hogy elég csekély számban jelentkeztek ezek a cégek, március legvégén még száz alatt volt a számuk, pedig – mint említettem – 2500 körüli céget várunk a nyilvántartásba. Az SZTFH mindent megtett és megtesz azért, hogy teljes körű tájékoztatást adjon, már tavaly országjáró turnét tartottunk, ezt idén áprilisban megismételjük, és ennek lezárásaképpen a tavalyihoz hasonlóan megrendezzük a Híd a kibertér biztonságért című konferenciát. Ezen kívül saját podcast-csatornánk is van, aminek Minden Kiberül a neve, aktívak vagyunk a közösségi médiában is, rengeteg interjút is adunk, és számtalan előadást tartunk szerte az országban.
Úgy gondolom, sok időt kaptak a felkészülésre az érintett szervezetek, de persze sajnos benne van a pakliban, hogy az utolsó előtti napon fognak felébredni, pedig – mint mondtam – október 18-án már alkalmazni kell a törvény egyes rendelkezéseit, és ha törik, ha szakad, 2025. december 31-éig meg kell történnie az első kiberbiztonsági auditnak is. De a legfontosabb most a nyilvántartásba vételi kérelem.
Ha jól tudjuk, auditorcégeket még nem jelöltek ki. Ezek hiányában mit lehet tenni azért, hogy a majdani auditálás a legsimábban menjen?
Igen, auditorcégekkel még nem tudnak leszerződni az érintett szervezetek, illetve még nem ismertek, hogy mely cégek lesznek majd azok, amelyek a törvényben megszabott auditálást el tudják végezni, ugyanis a kritériumok még nem születtek meg ehhez. Ezt nagyon fontos leszögezni.
Az érintett szervezetek többsége vélhetően elég messziről indul, ezért érdemes lenne minél előbb áttekinteni a feladatokat és megkezdeni a felkészülést. Nem lehetetlen eleget tenni ezeknek a feltételeknek, semmi megvalósíthatatlan nincs benne. Viszont megvalósítható feladatból van bőven, ezt is érdemes tisztázni magunkban.
Ha a fentebb leírt nyilvántartásba vétel megtörtént, akkor érdemes egy adatvagyon-leltárt készíteni, hogy egyáltalán mink van. Mi az az elektronikus információs rendszer, amit adott esetben meg kell védenünk? Ezt követően jól jöhet egy úgynevezett GAP analízist készíteni, egy felmérést a hiányosságokról, sebezhető pontokról, amelyek a cégünknél ott vannak. Sokszor érdemes lehet tanácsadót igénybe venni, mindenesetre el lehet indulni a GAP analízis által megállapított pontok mentén, hogy amikor aztán a tényleges auditra sor kerül, már minél kevesebb hiányosságot állapítson meg az auditor.
Szükség lesz kijelölni az érintett szervezeteknél egy elektronikus információs rendszerekért felelős személyt is, a rendszereket pedig biztonsági osztályokba kell sorolni.
Milyen költségekre számíthatnak az érintett cégek? Megéri egyáltalán jókora összegeket költeni a kiberbiztonságra?
Induljunk ki onnan, amit az elején mondtam, azaz hogy 8000 ezer milliárd dollár kárt okoztak 2022-ben a kiberbűnözők, ezt forintban már leírni se lenne könnyű, annyi nulla kellene hozzá. A kiberbiztonság nem hoz közvetlen hasznot, az a haszna, hogy nincs veszély, nincs kockázat, nincs támadás, vagy legalábbis minimalizáljuk a támadás kockázatát, a veszélyforrásokat.
Mert ha sikeres támadás éri a cégünket, akkor az reputációs veszteség, elpártolhatnak az ügyfelek, megroppanhat a belénk vetett bizalom, megszakadhat az üzletmenet folytonossága, elpártolhatnak a partnereink, és akkor még csak a járulékos károkról beszélünk.
Maga a támadás, mondjuk egy zsarolóvírus-támadás konkrétan azzal járhat, hogy zárolják az információs rendszereim egy részét, nem férek hozzá adatbázisokhoz, nem tudok dolgozni, adott esetben termelni, váltságdíjat kell fizetnem, hogy feloldják ezt a zárolást. Ez a váltságdíj nem 100 ezer forint szokott lenni, 2021-ben a Magyarországon áldozatul esett cégek esetében az átlagosan kifizetett váltságdíj összege 240 millió forint volt. Ezek után az érintett cégek átlagosan még 540 millió forintot költöttek a rendszereik helyreállítására és biztonságuk megerősítésére. És ezek csak azok az esetek, amelyekről tudunk.
Innentől kezdve az, ha mondjuk ennek a tizedét költjük védelmi intézkedésekre, az sok vagy kevés? A hatóság mindenesetre nem írja elő, mennyit kell költeni kibervédelmi intézkedésekre, ráadásul minden rendszer, minden cég, minden szektor, minden iparág más, mindenhol más és más védelmi intézkedésekre van szükség, és ami a legfontosabb, minden cég más érettségi szinten van.
Ahol eddig is költöttek kiberbiztonságra, ott valószínűleg nem ugyanazokat az intézkedéseket kell meghozni, nem ugyanazokat az összegeket kell elkölteni, mint ahol még mondjuk vírusírtó vagy tűzfal sincsen. Ha kijön a miniszteri rendelet az elektronikus információs rendszerek biztonsági osztályba sorolásáról, és ennek alapján megtörténik ez a besorolás egy cégnél, akkor egy szakember már elég jó közelítő becslést tud majd mondani arról, hogy milyen intézkedésekre, milyen eszközökre lesz szükség, és ezek várható költségeiről is. Ezért is érdemes már most elkezdeni a fent említett adatvagyon-összeírást, hogy legyen honnan elindulni.
A várható költségek arányban vannak a szervezetek jelenlegi kiberbizontsági ellenállóképességével, illetve érettségével. A tapasztalataim alapján azt ki lehet emelni, hogy ha nem valamilyen kiemelt, létfontosságú rendszerelemről vagy mondjuk egy titkosszolgálatról van szó, akkor nem százmilliókban mérik ezeket az eszközöket, védelmi ökoszisztémákat.
Mindenképpen fontos kiemelni, hogy az elektronikus információs rendszereknek minden esetben az ember a leggyengébb láncszeme, mindig rajtunk, felhasználókon keresztül akarnak majd elsőként bejutni a rendszerbe. Sokkal nehezebb feltörni egy céges infrastruktúrát, mint a pénzügyes vagy HR-es munkatársnak küldeni egy adathalász levelet, aki rákattint a linkre, és már kész is lehet a baj. Nem véletlen, hogy a mai kibertámadások egyik legfőbb eszköze az emailben, telefonon, SMS-ben, közösségi médián keresztül érkező adathalász üzenet.
Ezért fontos a tudatosság, a munkavállalók edukációja, és erre a NIS2, illetve a Kibertan-törvény is külön kitér, a felkészítés, a naprakész felkészítés fontosságára. Ezek pedig jóval kevésbé költséges dolgok, mint szinte feltörhetetlen védelmi rendszereket vásárolni, hatásuk pedig óriási lehet.
Lesz valamilyen állandó költsége is a megfelelésnek? Mire számíthat az a szervezet, ahol nem tartják be a szabályokat?
Az érintett szervezeteknek egyébként kötelesek lesznek egy éves kiberbiztonsági felügyeleti díjat fizetni, amelynek a mértéke az előző évi nettó árbevétel legfeljebb 0,015 százaléka, de maximum 10 millió forint lehet, egyes meghatározott esetekben, vállalatcsoportok esetén sem haladhatja meg az 50 millió forintot. Tehát egy egymilliárd forintos árbevételű cégnél egy gyors fejszámolással láthatjuk, hogy a díj 150 ezer forint lehet.
A büntetési tételek részletei egyelőre magyar viszonylatban még nem ismertek, de a NIS2 erre vonatkozó javaslatai maximum 10 millió euróban, illetve az éves árbevétel 2 százalékában határozzák meg a fizetendő büntetési tételeket. Itt is jól látható tehát, hogy a jogszabályoknak való megfelelés, a kiberbiztonsági fenyegetések csökkentése nemcsak a jobb, de az olcsóbb út is az érintett szervezetek számára