Nem csak kihívás a NIS2

NIS2 - Európai UnióA kiberbiztonsági előírásokat be nem tartó cég súlyos következményekkel számolhat, ám a NIS2 ugyanakkor nem csupán egy újabb szabályozás, hanem olyan eszköz, amely versenyelőnnyé is formálhatja a kiberbiztonsági megfelelést – hangzott el a CETIN Hungary IVSZ-szel közösen rendezett rendezvényén.

A 2016-ban bevezetett európai uniós kiberbiztonsági szabályokat a 2023-ban hatályba lépett NIS2 irányelv aktualizálta annak érdekében, hogy lépést tartson a digitalizációval és a folyamatosan változó kiberbiztonsági fenyegetésekkel. Az irányelv új ágazatokra és szervezetekre terjeszti ki a kiberbiztonsági szabályok hatályát. Magyarországon az idén januárban hatályba lépett, kiberbiztonsági tanúsításról és kiberbiztonsági felügyeletről szóló törvény ültette át a hazai jogrendbe a NIS2-t. Október 18-án fontos mérföldkőhöz értünk: az érintett szervezetek innentől kezdődően kell megfeleljenek a törvény előírásainak.

Bencsik Balázs, a Szabályozott Tevékenységek Felügyeleti Hatóságának kiberbiztonsági igazgatója

Bencsik Balázs, a Szabályozott Tevékenységek Felügyeleti Hatóságának kiberbiztonsági igazgatója kiemelte: a NIS2 irányelv által támasztott új követelmények ez után komolyabb kötelezettségeket jelentenek a magyar vállalkozások számára. Az irányelv a kiberbiztonsági szabályozást az egyre komplexebb digitális fenyegetésekhez igazítja, és különös figyelmet fordít azokra a kockázatos ágazatokban működő vállalatokra, amelyek legalább ötven főt foglalkoztatnak, vagy éves árbevételük meghaladja a tízmillió eurót. A NIS2 előírások be nem tartása esetén súlyos következményekkel számolhat egy cég, hiszen a büntetés mértéke az éves árbevétel két százalékát is elérheti.

Bencsik kitért az auditálás folyamatára is, amely a vállalati informatikai rendszerek biztonsági osztályba sorolásával kezdődik, és számos vizsgálatot, köztük sérülékenységi és behatolásvizsgálatot is magába foglal. A hatóság a szervezetek értékelésére új mutatót vezet be: a védelmi megfelelőségi és a szervezeti ellenállóképességi indexből képzett mérőszám olyan mutató lesz a kiberbiztonsági auditot sikerrel teljesítő vállalatoknak, ami üzleti partnereik szemében is előnyös képet fest majd róluk.

Összességében fontos kiemelni, hogy bár az EU-s irányelvvel kapcsolatos feladatok jelentős kihívást jelentenek, a magyar vállalatok eddigi hozzáállása – az SZTFH tapasztalatai alapján – pozitív képet mutat, ami biztató jel a jövőbeni megfelelés szempontjából​.

A megfelelés elkerülhetetlenül

Weisz Csaba, a CETIN Hungary senior biztonsági tanácsadója

Weisz Csaba, a CETIN Hungary senior biztonsági tanácsadója hangsúlyozta: a NIS2 irányelv új, szigorított követelményei immár a kockázatos ágazatokban működő szervezetek beszállítóira is hatással van – így akár kisebb vállalkozásoknak is alkalmazkodniuk kell a szigorú elvárásokhoz, ami számukra teljesen új kihívást jelent. A megfelelés elkerülhetetlenül egyfajta kultúraváltáshoz is fog vezetni, az audit sikerét tapasztalt szakértők segíthetik elő. A partneri ökoszisztéma tagjai – a hatóságok, a NIS2 megfelelőségre kötelezett cégek és beszállítóik – közötti együttműködés kulcsfontosságú a NIS2-ben megfogalmazott célok eléréséhez. A CETIN számos auditot sikeresen teljesített, így megvan az a tapasztalata, amellyel segíteni tudja azokat a partnereit és beszállítóit, akik még nem vettek részt ilyen komplexitású auditokon.

A szakember előadása végén arra biztatta a jelenlévő cégek képviselőit, hogy a NIS2 előírásait ne csupán kötelezettségként, hanem lehetőségként kezeljék, ami a jövőbeni üzleti sikerük fontos összetevője lehet.

Megkerülte a Microsoft védelmi rendszerét is

Matek Kamilló, KPMG

Matek Kamilló, a KPMG Cyberlab vezetője, etikus hacker egy valós hackertámadás részleteinek feltárásával világított rá a folyamatos biztonsági tesztelések jelentőségére. A legtöbb sérülékenységvizsgálat során a cégek általában csak technológiai rendszereket vagy felhasználói tudatosságot tesztelnek, míg a folyamatok, a rendszerek és az emberi tényezők együttes vizsgálata gyakran elmarad.

Az előadás során a szakember egy ügyfélnél végrehajtott Red Teaming gyakorlatot ismertetett, ahol sikeresen kihasználta a vállalat rendszerében egy adatveszteség-megelőzés (DLP) szoftver részeként jelen lévő Python komponenst. A régi megoldást alkalmazó elem sérülékenységeit és beállításait kihasználva az etikus hacker a Microsoft védelmi rendszerét is megkerülve social engineering támadást hajtott végre, és sikeresen távoli hozzáférést szerzett a társaság rendszereihez anélkül, hogy a védelmi mechanizmusok erről riasztást adtak volna.

Matek hangsúlyozta, hogy a hagyományos biztonsági tesztek gyakran nem derítik fel ezeket a mélyen megbúvó sebezhetőségeket, ezért szükség lehet olyan biztonsági tesztelésekre, amelyek a maguk teljességében, valós körülmények között vizsgálják a cég rendszereit. Ezek a gyakorlatok nem csupán a nagyvállalatok, hanem kisebb cégek számára is elengedhetetlenek a valódi biztonság megteremtéséhez​.


 

Vélemény, hozzászólás?

Az e-mail címet nem tesszük közzé. A kötelező mezőket * karakterrel jelöltük

Next Post

4iG: Januártól One néven fut a távközlési portfólió

csü nov 7 , 2024
Jövő év januárjától a 4iG csoport One márka alatt egyesíti távközlési kereskedelmi szolgáltatásait. Utolsó szakaszához érkezik a 4iG Csoport távközlési portfóliójának teljes megújítása, illetve egységesítése. A cégcsoport 2025. január 1-jétől kivezeti a magyarországi piacról a Vodafone, a DIGI, az Antenna Hungária és az Invitech márkákat, és a társaságok ezt követően […]
Szilágyi Áron, Bányai Tamás, Mohamed ElSayad, Majoros Péter (Majka)

És még ez is...