Tisztázatlanok a kiberbiztonsági szolgáltatások és az „etikus” hackelés keretei

A cégek széles körében az it-biztonságot a kiberbiztonsági szolgáltatások és az „etikus” hackelés biztosítja, ám ezek keretei nem tisztázottak, pedig hatósági előírások és ajánlások is érvényben vannak — állítják a Baker McKenzie szakértje.

Bereczki Tamás, a társaság adatvédelmi és információbiztonsági tanácsadással foglalkozó ügyvédje szerint a GDPR felé irányuló általános figyelem közepette azonban csaknem teljesen elsikkadt az a nem kevésbé fontos körülmény, hogy néhány nappal korábban itthon is hatályba léptek a NIS Irányelv hazai átültetését tartalmazó jogszabályok. A NIS Irányelv a hálózati és információs rendszerek biztonságára vonatkozó szabályokat tartalmazza, amelyeket az EU 2016/1148. sz. irányelve alapján a tagállamoknak át kellett emelniük a jogrendszerükbe. Ezek alapján azon szervezeteknek például, amelyek alapvető szolgáltatást nyújtanak, többek között a közúti, légi, vízi vagy vasúti közlekedés irányítói, pénzintézetek, egészségügyi ágazatban az aktív fekvő-beteg ellátást végzők, az állami szektor egyes kiemelt szereplőinek kötelezően kell biztonsági kockázatmenedzsment keretében például sérülékenység elemzéseket végezniük. Így többek között adott, hogy a vállalatoknak milyen biztonsági intézkedéseket kell/kellene végrehajtani digitális rendszereikkel kapcsolatban, amelyek között végezni kell például sérülékenység teszteket is. Mindezek ellenére a kiberbiztonsági szolgáltatások kereteit illetően komoly bizonytalanság tapasztalható a cégeknél. Magyarországon sok esetben az sem feltétlenül egyértelmű, hogy informatikai biztonsági ellenőrzéseket kik és hogyan, milyen formában végeznek és végezhetnek.

„Ezzel együtt az „etikus” hackelést egyre többen, és gyakrabban emlegetik, ám ahogy az információbiztonság menedzsment feladatokkal, így ezzel kapcsolatban is komoly félreértések vannak” – mondta Bereczki. Véleménye szerint előzetesen tisztázni kell például, hogy egy penetrációs teszt vagy egy sérülékenység elemzés milyen hálózatot – ip-címtartomány – eszközt, rendszert és adatokat (banktitok, személyes adat, minősített adat, stb.) érint. Jellemzően rögzíteni kell az adatkezelői, adatfeldolgozói pozíciókat is, a szolgáltató milyen adatokhoz férhet hozzá. Ugyanakkor nagyon kritikus terület lehet a harmadik fél – például beszállítók – adatainak, hálózatainak, rendszereinek és üzeneteinek a vizsgálata is. Sőt, a munkavállalói magánhasználattal kapcsolatban is fokozott gondossággal kell eljárni. A leggyakoribb rendszerhiányosságok között említették egyébként a szakemberek többek között a lejárt gyártói támogatású operációs rendszereket és a biztonsági frissítések hiányát, a nem megfelelő végponti védelmet, vagy a gyenge titkosítás alkalmazását is. A vizsgálat zárásaként a „takarítást” is meg kell tenni, azaz a kockázatok értékelése és a jelentés elkészítése után a feltárt sérülékenységeket javítani kell. A használt technikai eszközöket és behatolási pontokat pedig el kell távolítani, illetve zárni kell. Ez minden elemében érzékeny feladat, hiszen a rendszer sérülékenységi szintjének javítása csorbulhat, amennyiben ez nem történik meg tökéletesen.