Erre nagyon kell figyelni a magyar cégeknek: fontos határidő közeleg, a biztonságuk a tét

Az elmúlt 10 évben exponenciálisan nőtt a kibertámadások száma és a technológia fejlődésével ezek minősége is egyre magasabb szintű. A pénzügyi csalásokhoz köthető online károk értéke 2023-ban csak Magyarországon meghaladta a 30 milliárd forintot, 2022-ben pedig a kiberbűnözők okozta kár globálisan 8 ezer milliárd dollár volt. A szakértők szerint ez az összeg 2026-ra elérheti a 13-14 ezer milliárd dollárt is. Ha a kibertámadások által okozott kárértéket „átváltjuk” GDP-re, akkor látható, hogy a kiberbűnözés az általa okozott károk mértéke alapján a világ harmadik legnagyobb nemzetállama lenne.

“Kétfajta szervezet létezik a világon, az egyik, akit már megtámadtak és meghackeltek, a másik pedig, akit meg fognak. Gyakorlatilag bárki áldozatul eshet egy ilyen támadásnak, aki rendelkezik értékes adatokkal, információkkal vagy pénzzel. Márpedig minden cég rendelkezik ezekkel” – mondta el a Portfolio-nak Bor Olivér.

A támadók lényegében ugyanazokat a módszereket használják, mint az elmúlt 10 évben. Az egyik leggyakoribb támadási forma továbbra is az adathalászat, hiszen ezzel a legkönnyebb átverni a felhasználókat és jogosultságokat, információkat szerezni egy adott rendszerből. A zsarolóvírus-támadásokból fakadó váltságdíj-követelések mértéke szintén nagyon magas, a váltságdíjért fizetett összeg globális szinten 2022-ben és 2023-ban is elérte a 760 millió dollárt, ebből is látszik, hogy milyen károk okozására képesek a kiberbűnözők.

Magyarországon 2021-ben azok a cégek, akiket valamilyen zsarolóvírus-támadás ért, átlagban 250 millió forintot fizettek váltságdíjként, a helyreállításra pedig további 540 millió forintot költöttek.

Továbbra is népszerű támadási mód az ún. túlterheléses támadás, amely nagyon sok kellemetlenséget okozhat egy cégnek, hiszen ilyen esetben egy rendszer vagy rendszerelem, vagy akár egy egész weboldal válik túlterheltté, ezáltal akár elérhetetlenné is. Ha visszatérünk az adathalászathoz, akkor érdemes kiemelni még annak egy speciális típusát is, az ún. eltereléses csalást (BEC - Business Email Compromise), amely során a csaló, egy bizonyos munkavállalót megszemélyesítve e-mailen rávesz valakit arra, hogy pénzt utaljon vagy bizalmas céges adatokat osszon meg vele.

Ezek a támadások kifejezetten olyan munkavállalók ellen irányulnak, akik vezetői pozícióban vannak, vagy jogosultak különféle kritikus tranzakciók végrehajtására is. Ezekben az esetekben tipikusan az a cél, hogy megszerezzék a céges adatbázisokat, vagy pénzt csaljanak ki mondjuk egy vezérigazgató nevében írt e-maillel vagy a hangját meghamisító deep fake hanghívással.

A mesterséges intelligencia által elérhető lehetőségeket a kiberbűnözők is előszeretettel használják, amelyre szintén reagálni kell kiberbiztonsági szempontból.

Az innováció, illetve a digitalizáció szerepe és használata megkerülhetetlenné vált a cégek életében, viszont versenyelőnyt csak akkor fognak tudni elérni, ha a rendszereiket biztonságban működtetik

– hangsúlyozta Bor Olivér.

A gazdasági károk mellett a támadások társadalmi károkat is okoznak. A szolgáltatásokba vagy egy cégbe, szervezetbe vetett bizalom nagyon könnyen elveszhet, ha kibertámadás éri, illetve az emberek hajlamosak a digitalizációra negatív tényezőként tekinteni, ha túl sok ilyenről hallanak.

„A kibertámadások társadalomra gyakorolt hatása többek között itt jelenik meg, hiszen, ha az emberek rendszeresen azt tapasztalják, hogy a létfontosságú minisztériumi, banki vagy kórházi rendszereket támadás éri, akkor az károsan befolyásolhatja azok megítélését, illetve ilyenkor egy-egy szolgáltatásba vetett bizalom is sérülhet. Társadalmi hatásként lehet még értelmezni - mindezeket figyelembe véve -, hogy az egyes digitalizációs újításokkal szemben az állampolgároknak, felhasználóknak fenntartásai lehetnek. Ez különösen annak fényében nyer jelentőséget, hogyha megvizsgáljuk jelenlegi digitális világunkat, ahol a társadalom legtöbb funkciója olyan digitális szolgáltatásokra épül, amelyek az emberek magánéletétől kezdve az oktatásban, a közlekedésben, az egészségügyben, a gyártásban, az energiaellátásban vagy éppen egyes állami szolgáltatások tekintetében jelen vannak” – folytatta a szakértő.

A kiberbiztonsági szabályozásnak is reagálnia kellett

A felgyorsult digitalizáció és a mindennapossá váló, egyre kifinomultabb kibertámadások számos hiányosságra világítottak rá az Európai Unión belül is. Elkerülhetetlenné vált a 2016. óta hatályos NIS irányelv modernizálása. A legnagyobb problémát az jelentette, hogy nem volt elég széles kört érintő direktíva, és a kor szelleme nagyon hamar meghaladta. A tagállamoknak elég nagy mozgásteret adott, akik a benne foglaltakat sok esetben sajátos módon értelmezték, nem feltétlenül tartották be, vagy implementálták maradéktalanul. A NIS 2-vel az érintetti kör lényegesen kibővült, ezt az irányelv részletekbe menően szabályozza a vonatkozó kötelezettségekkel együtt. Az új irányelv 2023. január 16-án lépett hatályba, és az ennek való megfelelést a tagállamoknak 2024. október 17-ig kell biztosítaniuk.

Az EU tagállamai között a legelsők között vagyunk az implementációs folyamatot tekintve.

5 hónappal a NIS 2 bejelentése után Magyarországon már elkészült az a kiberbiztonsági jogszabály, ami az implementáció egyik legfontosabb eleme. Tavaly májusban hatályba lépett a kiberbiztonsági tanúsításról és kiberbiztonsági felügyeletről szóló hazai jogszabály (2023. évi XXIII. tv., Kibertantv.).

Kiemelten kockázatos ágazatok:

• energetika (villamos, távfűtés és -hűtés, olaj, gáz, hidrogén)
• közlekedés (légi, vízi, vasúti, közúti, tömegközlekedés)
• egészségügy
• ivóvíz, szennyvíz
• gyógyszeripar
• digitális infrastruktúra (internet-, DNS- és felhőszolgáltatók)
• kihelyezett szolgáltatók
• világűr

Kockázatos ágazatok:

• postai és futárszolgáltatások
• hulladékgazdálkodás
• elektronikai és járműgyártás
• élelmiszer-előállítás, -feldolgozás, -forgalmazás
• digitális szolgáltatások
• vegyipar
• kutatóhelyek

„A Kibertantv. közel 2500 hazai vállalkozást érint közvetlenül. Ahhoz, hogy a versenyelőny megvalósuljon, az érintett cégeknek a szabályozás nélkül is kiemelten kellene kezelniük a kiberbiztonságot, és inkább önreflexióként, gyakorlati motivációs tényezőként tekinteni rá, mintha egyfajta befektetés lenne, hiszen valahol az is” – emelte ki Bor Olivér.

A cégek hogyan fognak ennek megfelelni?

Ha az érintett vállalkozásnál eddig nem volt erre dedikált személy vagy csapat, akkor a kötelezettségek teljesítéséhez érdemes lehet külső tanácsadót bevonni. “Nagyon fontos felismerni, hogy nem magányos hősökre van szükség, ne egy rendszergazda vagy informatikus legyen az egy személyben, aki a hagyományos informatikai feladatok mellett kezeli például az incidensek bejelentését, meg sok minden mást is, hiszen ezek különálló munkafolyamatok, adott esetben más-más szaktudást igényelnek.”

A tanácsadókra vonatkozóan a hatóság nem határoz meg külön kritériumokat, viszont lesz egy kritériumrendszer, amelynek az auditor cégeknek meg kell felelniük. Az audit költséggel is jár majd, de a hatóság tervezi az ehhez kapcsolódó árplafon bevezetését.

Egyelőre nem ismert, hogy ki végezhet ilyen auditori tevékenységet, mivel a vonatkozó szabályozás még nem jelent meg, annyit azonban már lehet tudni, hogy ezeknek a cégeknek is nyilvántartásba kell vetetniük magukat a hatóságnál. Az érintett vállalkozások október 18-tól év végéig ebből a nyilvántartásból tudják majd kiválasztani a számukra szimpatikus auditor céget, amellyel le is kell szerződniük,

2025. december 31-ig minden érintett szervezetnek át kell esnie egy kiberbiztonsági auditon.

A vállalati kiberbiztonság erősítése érdekében a Szabályozott Tevékenységek Felügyeleti Hatósága (SZTFH) április elejétől egy több állomásos országos rendezvénysorozatot indított az érintettek tájékoztatása céljából. Ez már a második ilyen edukációs sorozat, 2023-ban szintén tavasszal bonyolították le az első kört. Érdemes lehet ezen felül belehallgatni a “Minden Kiberül” c. podcastba, illetve a “Híd a kibertér biztonságáért” konferenciát felkeresni tavasz végén.

A cégeknek felügyeleti díjat is kell fizetniük a hatóságnak, ami az előző éves árbevétel 0,015%-a, de max. 10 millió forint. 1 milliárd forintos árbevétel esetén ez az összeg 150 ezer forint lesz.

Adminisztrációs terhet fog majd jelenteni a nyilvántartásba vételi kérelemhez kapcsolódó űrlap kitöltése és előtte az érintett szervezetek önazonosítása, amelyhez azonban a hatóság készített egy útmutatót, amely a honlapjukon is elérhető.

„Nagyon fontos az egészet stratégiai szemlélettel nézni, hiszen az egész folyamat által a vállalkozások képet kapnak arról, hogy pontosan milyen adatvagyon birtokában vannak, hol állnak az érettségi szinten és hova kellene eljutniuk, illetve ez egy lehetőség arra, hogy magasabb szintre emeljék saját cégük biztonságát. Erre tényleg befektetésként érdemes tekinteni.”

Mi történik akkor, ha egy vállalkozás nem tesz eleget a kötelezettségnek?

A pontos bírságtételek egyelőre nem ismertek, mert még nem jelent meg az erre vonatkozó hazai rendelet, de a NIS 2 irányelv által meghatározott maximum – az éves árbevétel 2%-a, de akár 10 millió euró – alapján a cégeknek érdemes lesz elkerülni a jogsértést. Bor Olivér hangsúlyozta, hogy aki arra apellál, hogy inkább kifizeti a büntetést, mintsem megfelel, nagyon nem fog jól járni. A felügyeleti díj relatív kicsi, viszont a NIS 2-ből kiindulva – várhatóan – sokkal nagyobbak lesznek a bírságtételek, a cégeknek ezért is önös érdeke, hogy teljesítsék az előírásokat.

Ezeket a határidőket kell betartania a vállalkozásoknak:

2024. január 1-től

• Önazonosítás, nyilvántartásba vételre bejelentkezés 2024. június 30-ig
• Biztonsági osztályba sorolás
• Elektronikus információs rendszerek biztonságáért felelős személy feladatköre és kijelölése

2024. október 18-tól:

• Védelmi intézkedések alkalmazása
• Felügyeleti díj megfizetése

2024. december 31-ig:

• Az első kiberbiztonsági audittal kapcsolatos szerződéskötés az auditorral

2025. december 31-ig:

• Az első kiberbiztonsági audit lefolytatása

A cikk megjelenését az SZTFH támogatta.

Címlapkép forrása: Shutterstock