NIS 2: szigorodó it-biztonsági szabályok

Az Európai Tanács (ET) „A digitális évtizedhez vezető út” nevet viselő programja keretén belül kiadott NIS 2 direktíva új kihívásokat jelent az it-szolgáltatók számára.

A Network and Information Security (NIS 2) irányelv általános szabályként kiterjed majd a hatálya alá tartozó ágazatokban működő vagy szolgáltatásokat nyújtó minden közepes és nagyméretű szervezetre, tekintettel többek között az energiaszektorra, a közlekedésre, az egészségügyre és a digitális infrastruktúrára.

Az Európai Tanács a 2019. június 20-án felkérte az uniós intézményeket, hogy a tagállamokkal közösen dolgozzanak ki olyan intézkedéseket, amelyek fokozzák az Európai Unió (EU) ellenálló-képességét az Unión kívülről érkező kiber-, és hibrid fenyegetésekkel szemben, illetve javítják az EU biztonsági kultúráját. Az egyik fő cél, hogy az uniós információs és kommunikációs hálózatok és az EU döntéshozatali folyamatai tekintetében hatékonyabb védelmet biztosítanak a rossz szándékú tevékenységek minden formájával szemben. A Bizottság 2021 márciusában előterjesztette azt a „digitális iránytű” elnevezésű jogszabályi keretet, amely 2030-ig kijelöli az Unióban a digitalizáció előmozdításával kapcsolatos jövőképet és célokat. A stratégiának részét képezi az „A digitális évtizedhez vezető út” elnevezésű szakpolitikai program létrehozásáról szóló határozati javaslat is, amely megteremti a 2030-ra kitűzött digitális célok elérését szolgáló irányítási keretet.

Az irányelv nem lesz alkalmazható például a védelem vagy a nemzetbiztonság, a közbiztonság, illetve a bűnüldözés, az igazságszolgáltatás, a parlamentek és a központi bankok területén, azonban a központi és regionális szintű közigazgatási szervekre viszont igen.

Még erőteljesebb támadásokra lehet számítani

Az ET szerint a COVID-19 felgyorsította a digitalizációt, így a nagyvállalati szektorban szinte minden üzleti és magán adatunk okoseszközökre és adatközpontokba került vagy a felhőalapú és hibrid környezetben tárolódik el. Amennyire azonban a digitalizáció megkönnyítette életünket, úgy váltunk könnyebben támadhatóvá és sérülékenyebbé is. Mindezt fokozta, hogy az Ukrajna elleni orosz katonai agresszió 2022-ben átalakította a fenyegetettségi térképet Európában. A konfliktus számos hacktivistát, kiberbűnözőt és államilag támogatott csoportot mozgósított. Becslések szerint a kiberbűnözés 2020 végére évi 5,5 ezer milliárd eurós kárt okozott a világgazdaságnak, ami kétszerese a 2015. évinek.

“Nemzetközi rendszerintegrátorként számolnunk kell azzal, hogy az új irányelv hatással lesz a szolgáltatás-portfóliónkra, illetve a szakembereink képzettségi követelményeire is. Az általunk forgalmazott dobozos termékek és nyílt forrású technológián alapuló fejlesztéseink biztonsági tesztelését immár az új szempontok szerint kell elvégeznünk az érzékeny adatok biztonságos tárolása vagy a frissítések telepítése érdekében” – jelentette ki Hasznics Milán, a Qualysoft Csoport vezérigazgatója.

A legjelentősebb kiberfenyegetések az EU-ban

• Zsarolóvírus-támadás: olyan támadások, amelyek során kiberbűnözők átveszik az irányítást az áldozat eszköze felett és váltságdíjat követelnek azért, hogy ismét elérhetővé tegyék azt. Az ilyen támadások áldozataivá vált szervezetek akár 60%-a is kifizethette a váltságdíjat.
• Elosztott szolgáltatásmegtagadással járó (DDoS) fenyegetések: olyan támadások, amelyek megakadályozzák, hogy egy hálózat vagy rendszer felhasználói hozzáférjenek a releváns információkhoz, szolgáltatásokhoz és egyéb erőforrásokhoz. Egy európai fogyasztó elleni valaha regisztrált legnagyobb támadásra 2022 júliusában került sor.
• Rosszindulatú szoftver: olyan rosszindulatú szoftver, amelyet azzal a céllal terveztek, hogy kárt okozzon egy eszközben, megzavarja annak működését vagy jogosulatlan hozzáférést biztosítson hozzá. Csak 2022 júniusában mintegy 10 milliószor töltöttek le reklámprogramba rejtett trójai programot.
• Pszichológiai manipulációs fenyegetések: olyan fenyegetés, amelynek elkövetői valamilyen emberi hibát vagy viselkedést kihasználva férnek hozzá információkhoz vagy szolgáltatásokhoz. Az adatvédelmi incidensek 82%-ának van emberi összetevője.
• Adatokkal szembeni fenyegetések: olyan támadások, amelyek célja adatokhoz való jogosulatlan hozzáférés, illetve az adatok manipulációja az adott rendszer működésének megváltoztatása érdekében. A támadások célpontjai leggyakrabban (mintegy 90%-ban) szerverek voltak.
• Internetes fenyegetések: az internet elérhetőségére hatással lévő támadások. Például határkapu protokoll (BGP) feletti irányítás megszerzése. Oroszország 2022 júniusára tönkretette Ukrajna internet-infrastruktúrájának 15 százalékát.
• Dezinformáció – félretájékoztatás: olyan szándékos támadás, amelynek során a közvélemény manipulálása érdekében hamis és félrevehető információkat hoznak létre, illetve osztanak meg. Ukrajna már azelőtt tömeges félretájékoztatási kampányok célpontja volt, hogy megindult volna az orosz invázió.
• Az ellátási láncokat érintő támadások: a szervezetek ellátási láncának sebezhetőségét kiaknázó támadási stratégia, amely dominóhatások kiváltására is képes lehet. Az ellátási láncokat érintő incidensek 2021-ben a behatolások 17 százalékát tették ki, a 2020-ban regisztrált kevesebb mint egy százalékkal szemben.