A kiberbiztonsági előírásokat be nem tartó cég súlyos következményekkel számolhat, ám a NIS2 ugyanakkor nem csupán egy újabb szabályozás, hanem olyan eszköz, amely versenyelőnnyé is formálhatja a kiberbiztonsági megfelelést – hangzott el a CETIN Hungary IVSZ-szel közösen rendezett rendezvényén.
A 2016-ban bevezetett európai uniós kiberbiztonsági szabályokat a 2023-ban hatályba lépett NIS2 irányelv aktualizálta annak érdekében, hogy lépést tartson a digitalizációval és a folyamatosan változó kiberbiztonsági fenyegetésekkel. Az irányelv új ágazatokra és szervezetekre terjeszti ki a kiberbiztonsági szabályok hatályát. Magyarországon az idén januárban hatályba lépett, kiberbiztonsági tanúsításról és kiberbiztonsági felügyeletről szóló törvény ültette át a hazai jogrendbe a NIS2-t. Október 18-án fontos mérföldkőhöz értünk: az érintett szervezetek innentől kezdődően kell megfeleljenek a törvény előírásainak.
Bencsik Balázs, a Szabályozott Tevékenységek Felügyeleti Hatóságának kiberbiztonsági igazgatója kiemelte: a NIS2 irányelv által támasztott új követelmények ez után komolyabb kötelezettségeket jelentenek a magyar vállalkozások számára. Az irányelv a kiberbiztonsági szabályozást az egyre komplexebb digitális fenyegetésekhez igazítja, és különös figyelmet fordít azokra a kockázatos ágazatokban működő vállalatokra, amelyek legalább ötven főt foglalkoztatnak, vagy éves árbevételük meghaladja a tízmillió eurót. A NIS2 előírások be nem tartása esetén súlyos következményekkel számolhat egy cég, hiszen a büntetés mértéke az éves árbevétel két százalékát is elérheti.
Bencsik kitért az auditálás folyamatára is, amely a vállalati informatikai rendszerek biztonsági osztályba sorolásával kezdődik, és számos vizsgálatot, köztük sérülékenységi és behatolásvizsgálatot is magába foglal. A hatóság a szervezetek értékelésére új mutatót vezet be: a védelmi megfelelőségi és a szervezeti ellenállóképességi indexből képzett mérőszám olyan mutató lesz a kiberbiztonsági auditot sikerrel teljesítő vállalatoknak, ami üzleti partnereik szemében is előnyös képet fest majd róluk.
Összességében fontos kiemelni, hogy bár az EU-s irányelvvel kapcsolatos feladatok jelentős kihívást jelentenek, a magyar vállalatok eddigi hozzáállása – az SZTFH tapasztalatai alapján – pozitív képet mutat, ami biztató jel a jövőbeni megfelelés szempontjából.
A megfelelés elkerülhetetlenül
Weisz Csaba, a CETIN Hungary senior biztonsági tanácsadója hangsúlyozta: a NIS2 irányelv új, szigorított követelményei immár a kockázatos ágazatokban működő szervezetek beszállítóira is hatással van – így akár kisebb vállalkozásoknak is alkalmazkodniuk kell a szigorú elvárásokhoz, ami számukra teljesen új kihívást jelent. A megfelelés elkerülhetetlenül egyfajta kultúraváltáshoz is fog vezetni, az audit sikerét tapasztalt szakértők segíthetik elő. A partneri ökoszisztéma tagjai – a hatóságok, a NIS2 megfelelőségre kötelezett cégek és beszállítóik – közötti együttműködés kulcsfontosságú a NIS2-ben megfogalmazott célok eléréséhez. A CETIN számos auditot sikeresen teljesített, így megvan az a tapasztalata, amellyel segíteni tudja azokat a partnereit és beszállítóit, akik még nem vettek részt ilyen komplexitású auditokon.
A szakember előadása végén arra biztatta a jelenlévő cégek képviselőit, hogy a NIS2 előírásait ne csupán kötelezettségként, hanem lehetőségként kezeljék, ami a jövőbeni üzleti sikerük fontos összetevője lehet.
Megkerülte a Microsoft védelmi rendszerét is
Matek Kamilló, a KPMG Cyberlab vezetője, etikus hacker egy valós hackertámadás részleteinek feltárásával világított rá a folyamatos biztonsági tesztelések jelentőségére. A legtöbb sérülékenységvizsgálat során a cégek általában csak technológiai rendszereket vagy felhasználói tudatosságot tesztelnek, míg a folyamatok, a rendszerek és az emberi tényezők együttes vizsgálata gyakran elmarad.
Az előadás során a szakember egy ügyfélnél végrehajtott Red Teaming gyakorlatot ismertetett, ahol sikeresen kihasználta a vállalat rendszerében egy adatveszteség-megelőzés (DLP) szoftver részeként jelen lévő Python komponenst. A régi megoldást alkalmazó elem sérülékenységeit és beállításait kihasználva az etikus hacker a Microsoft védelmi rendszerét is megkerülve social engineering támadást hajtott végre, és sikeresen távoli hozzáférést szerzett a társaság rendszereihez anélkül, hogy a védelmi mechanizmusok erről riasztást adtak volna.
Matek hangsúlyozta, hogy a hagyományos biztonsági tesztek gyakran nem derítik fel ezeket a mélyen megbúvó sebezhetőségeket, ezért szükség lehet olyan biztonsági tesztelésekre, amelyek a maguk teljességében, valós körülmények között vizsgálják a cég rendszereit. Ezek a gyakorlatok nem csupán a nagyvállalatok, hanem kisebb cégek számára is elengedhetetlenek a valódi biztonság megteremtéséhez.