A Portfolio Uzsoki Mátét, az információbiztonsággal és szoftverfejlesztéssel foglalkozó Serpentarius Software Kft. ügyvezetőjét kérdezte arról, milyen konkrét lépéseket kell megtenni a NIS2-felkészülés során, miért válik kritikus tényezővé az információbiztonság a beszállítói kapcsolatokban, illetve hogyan segíthet ebben az egyedi szoftverfejlesztés, és miként illeszkedik ebbe a folyamatba mesterséges intelligencia.
Milyen konkrét lépéseket tehetnek a cégek a NIS2-követelmények teljesítésére való felkészüléshez?
A felkészülés első lépése annak meghatározása, hogy a vállalat a tevékenysége alapján a NIS2-irányelvet átültető magyar jogszabály hatálya alá tartozik-e, ez az ágazati besorolás (például energia, közlekedés, egészségügy, digitális szolgáltatások) és a vállalat mérete alapján történik. Az érintett cégeknek már be kellett jelentkezniük a megfelelő hatósághoz, a legtöbb vállalat számára ez a Szabályozott Tevékenységek Felügyeleti Hatóságát (SZTFH) jelenti.
Ezt követően egy kockázatalapú információbiztonsági értékelést kell elvégezni, amely feltárja a vállalat sebezhetőségeit, és meghatározza az alkalmazandó technikai és szervezeti intézkedéseket. A megfelelés része egy részletes incidenskezelési terv kidolgozása is, amely lehetővé teszi az események gyors felismerését, kivizsgálását és jelentését.
A magyar jogszabály előírja, hogy az érintett szervezeteknek tanúsítással kell igazolniuk a megfelelést. Ezt a tanúsítást kizárólag az SZTFH által elismert auditor végezheti.
Célszerű már a felkészülés korai szakaszában kiválasztani egy NIS2-felkészítő tanácsadót,
aki előkészíti a szükséges dokumentációt, segít bekérni az árajánlatokat az auditra és koordinálja a teljes folyamatot.
A tanúsítás érvényessége időben korlátozott, az auditot legalább kétévente el kell majd végezni, de a hatóság vagy az auditor rendkívüli auditot is előírhat.
Hogyan érinti a kiberbiztonsági szabályozás azokat a kis- és középvállalkozásokat, amelyek nem tartoznak közvetlenül a NIS2 hatálya alá?
Azok a vállalkozások, amelyek méretük vagy tevékenységi körük alapján nem tartoznak közvetlenül a NIS2-irányelv hatálya alá, jelenleg nem NIS2-kötelezettek, de az SZTFH egyedi döntéssel később is kijelölheti őket. Ugyanakkor a szabályozás közvetett hatásai rájuk is egyre erőteljesebben érvényesülnek, különösen a beszállítói láncokon keresztül. A kötelezett, nagyobb cégek egyre gyakrabban követelnek meg információbiztonsági megfelelést partnereiktől is, akár szerződéses feltételként. Ez különösen releváns lehet IT-szolgáltatók, szoftverfejlesztők, felhőszolgáltatók, üzemeltetők és más technológiai beszállítók esetében.
Számukra a kiberbiztonság már nem csupán szakmai szempont, hanem piaci elvárás és potenciális versenyelőny is. A változó üzleti környezet miatt célszerű, hogy még a nem kötelezett vállalkozások is önkéntesen kialakítsanak egy alapvető kiberbiztonsági kontrollrendszert. Az olyan intézkedések, mint a jogosultságkezelés, az incidenskezelési protokoll, az adatmentés és a munkatársak képzése, nemcsak a vállalat működését teszik biztonságosabbá, hanem javítják annak megítélését a partnerek és ügyfelek szemében is. Különösen igaz ez az exportorientált, versenypiaci környezetben.
Hogyan választhatják ki a cégek a számukra legmegfelelőbb auditort az SZTFH által nyilvántartott cégek közül?
Az SZTFH által elismert auditáló cégek listája nyilvános, de fontos, hogy a kiválasztásnál figyelembe kell vennünk az auditorok és a szervezetünk besorolását, mivel nem ugyanazok a lehetőségeink, ha jelentős vagy magas besorolásunk van.
Lényeges szempont, hogy több ezer cég vár auditra és az auditor cégek száma jelenleg rendkívül korlátozott.
Jelenleg a legalacsonyabb, legtágabb körben végezhető „alap” besorolást mindössze 10 auditor cég jogosult elvégezni. A kiválasztásnál véleményem szerint elsősorban a felkészítő cég javaslatát érdemes figyelembe vennünk, de az audit ára, az auditor elérhetősége és a korábbi esetleges közös munka is fontos döntési paraméter.
Milyen típusú kibertámadásokkal kell szembenézniük jelenleg a magyar vállalatoknak a leggyakrabban, és mennyire vannak felkészülve ezekre a vállalati IT-rendszerek?
A magyar vállalatokat érő kibertámadások egyre célzottabbá és kifinomultabbá válnak. A leggyakoribb fenyegetések közé tartoznak pl. az adathalász (phishing) támadások, azaz személyre szabott, gyakran hitelesnek tűnő e-maileken keresztül próbálnak hozzáférni érzékeny adatokhoz vagy bejelentkezési információkhoz. Zsarolóprogramok (ransomware) esetében a támadók titkosítják a vállalat adatait, majd díjat követelnek azok feloldásáért. A támadó ilyenkor gyakran azzal fenyegetőzik, hogy nyilvánosságra hozza az adatokat. Szintén nagyon gyakori a pszichológiai manipuláció (social engineering). Ez azt jelenti, hogy a támadók a hozzáféréssel rendelkező kollégákat vagy más felhasználókat próbálják pszichológiai eszközökkel arra rávenni, hogy hibás döntéseket hozzanak, tévesen pénzt utaljanak a támadónak, vagy hozzáférési adatokat adjanak ki. Gyakori eszköz a sürgetés, bizalomépítés vagy félrevezetés.
Szintén fontos, hogy a NIS2 nem kizárólag kibertámadásokkal foglalkozik, hanem azzal is, hogy mennyire szakszerű a vállalati IT-rendszerek kialakítása és üzemeltetése. Ez valójában abszolút a tulajdonost, a vezetőket védi és az az elsődleges célja, hogy megmutassa, ha olyan hiányosság van, ami a vállalat működésében fennakadást és ezáltal anyagi veszteséget okozhat. Annak érdekében, hogy konkrét példát mondjak: ha elromlik egy szerver, és ezért bármilyen fontos adatot elveszítünk, akkor ott valami nincs rendben. Ugyanez igaz arra, amikor a weboldalunk, levelezésünk vagy az ügyviteli rendszer napokig áll. Ezeknek minden esetben egy olyan hiányosság az oka, amit előre kezelnie kellett volna az IT-rendszereket üzemeltető kollégáknak. Ha ezeket a hiányosságokat a NIS2-felkészítő cég megtalálja és az IT-szolgáltató megoldja őket, akkor nemcsak az auditon fogunk jobb eredményt elérni, hanem a vállalatunk is megbízhatóbban fog működni.
Mit jelent pontosan a pszichológiai manipuláció ebben az esetben, és mennyire a védekezés része a dolgozók felkészítése?
A társadalmi manipuláció nem korlátozódik kizárólag elektronikus csatornákra. Gyakori módszer a fizikai hozzáférés jogosulatlan megszerzésének kísérlete is, például biztonsági ellenőrzésnek álcázott látogatással vagy egy alvállalkozó nevében történő belépéssel. Ezek során a támadók célja lehet belső rendszerekhez való fizikai hozzáférés, adathordozók eltulajdonítása vagy éppen megfigyelő eszközök elhelyezése.
Hasonlóan veszélyesek a telefonos manipulációs technikák, amelyek során a támadók magukat rendszeradminisztrátornak, ügyfélszolgálati munkatársnak vagy éppen partnercég képviselőjének adják ki, és így próbálnak érzékeny információkat kicsalni. Az ilyen támadások elleni védekezés nemcsak technikai kérdés, hanem a dolgozók tudatosságán is múlik, aminek fejlesztéséhez rendszeres oktatás szükséges.
Hogyan érinti a NIS2 azokat a cégeket, amelyek már korábban is rendelkeztek fejlett kiberbiztonsági rendszerekkel?
Azok a cégek, amelyek korábban is rendelkeztek tanúsított információbiztonsági irányítási rendszerrel – például ISO/IEC 27001 szabvány alapján –, jellemzően kedvezőbb helyzetből indulnak a NIS2-nek való megfelelés szempontjából. Ugyanakkor a meglévő rendszereket is át kell világítani. Meg kell vizsgálni, hogy a korábbi gyakorlatok összhangban vannak-e a NIS2-ben előírt követelményekkel. Fontos, hogy az intézkedések dokumentáltak, naprakészek és rendszeresen felülvizsgáltak legyenek. Kiemelt figyelmet kell fordítani az incidensjelentés, a beszállítói kockázatkezelés, a szervezeti felelősségi körök és a tanúsítási követelmények beépítésére is.
A NIS2 sajátossága, hogy nemcsak technikai, hanem szervezeti, irányítási és jogi szempontból is átfogó megfelelést vár el, így azoknak a cégeknek is további fejlesztésekre lehet szükségük, akik egyébként érett kiberbiztonsági kultúrával rendelkeznek.
Milyen szerepet játszanak a beszállítók és partnerek kiberbiztonsági intézkedései egy vállalat saját védelmi stratégiájában?
A beszállítói lánc biztonsága és közvetett érintettség kérdése pontos és fontos elem, amit sok vállalat alulértékel. A NIS2 egyik fontos újítása, hogy a vállalatoknak felelősséget kell vállalniuk a beszállítói láncuk informatikai biztonságáért is. Ez azt jelenti, hogy a szerződésekben egyre gyakrabban szerepelnek kiberbiztonsági követelmények, auditálási lehetőségek és felelősségi nyilatkozatok.
A partnerkiválasztás során a biztonsági érettség is szempont, nemcsak az ár vagy a teljesítmény.
Az olyan partnerek esetében, akik hozzáférnek a vállalat rendszereihez vagy adataihoz, különösen szigorú kontroll szükséges. Célszerű bevezetni egy beszállítói kockázatértékelési rendszert, amely folyamatosan értékeli a partnerek kiberbiztonsági megbízhatóságát.
Ez a szemlélet nemcsak a szabályozási megfelelés miatt fontos, hanem a valós kockázatok kezelése és a reputáció védelme szempontjából is elengedhetetlen.
Milyen felelősséget viselnek a vállalat vezetői a NIS2-megfelelés során, és mit jelent ez a gyakorlatban?
A NIS2-irányelv a vezetői szintű felelősséget nemcsak elvárásként, hanem konkrét jogi kötelezettségként is nevesíti. Ez azt jelenti, hogy a vállalat legfelsőbb vezetése – jellemzően az ügyvezetés, az igazgatóság vagy a cégvezetés – köteles biztosítani, hogy a szervezet teljesítse az információbiztonsági előírásokat. A megfelelés nem delegálható kizárólag az IT-re vagy egy kijelölt szakértőre: a vezetőknek aktívan részt kell venniük a kockázatok értékelésében, az intézkedések jóváhagyásában és az erőforrások biztosításában.
Milyen tipikus hibákat követnek el a cégek a NIS2-felkészülés elején? Mire érdemes különösen figyelni?
A NIS2-felkészülés elején a cégek gyakran abba a hibába esnek, hogy kizárólag IT-projektként kezelik a megfelelést, miközben az irányelv valójában szervezeti szintű átalakulást kíván: vezetői elkötelezettséget, beszállítói lánc kontrollt, incidenskezelési képességet és dokumentált folyamatokat. Tipikus tévedés az is, hogy a cégek nem tudják pontosan, hogy érintettek-e, vagy későn kezdik el a felkészülést, így nem marad idejük a szükséges intézkedések bevezetésére, pláne azok bejáratására. Sokszor hiányzik a kockázatalapú szemlélet, a partneri kitettség vizsgálata, és nem ritka, hogy az incidenskezelés csak papíron létezik, a gyakorlatban viszont nincsenek begyakorolt forgatókönyvek.
A legnagyobb hiba mégis az, ha a vállalat nem integrálja a megfelelést a működésébe, hanem pusztán megfelelési „pipa-projektként” tekint rá.
A legfontosabb, hogy a felkészülést ne kampányként, hanem rendszerszintű átalakulásként kezeljük. Minél előbb tisztázza a cég az érintettségét, jelölje ki a felelősöket, térképezze fel a kockázatait, és alakítsa ki a folyamatait, és annál gördülékenyebb lesz a tanúsítás és annál valóságosabb a biztonság.
Érinti a NIS2-irányelv a felhőalapú szolgáltatások és külső IT-üzemeltetők alkalmazását is?
A NIS2 kifejezetten kiterjeszti a felelősséget a külső szolgáltatók – köztük a felhőalapú megoldások és menedzselt IT-szolgáltatók – irányába is. Ez azt jelenti, hogy a szervezet nem háríthatja át a kockázatokat pusztán azzal, hogy kiszervezi az infrastruktúráját vagy az üzemeltetést: a végső felelősség a szolgáltatást igénybe vevő szervezetet terheli. A gyakorlatban ez azt kívánja meg, hogy a felhőszolgáltatóval és egyéb külső IT-partnerrel kötött szerződésekben egyértelműen rögzítve legyenek a biztonsági elvárások, az auditálási jogok, az incidensjelentési kötelezettségek és a szolgáltatásbiztonság minimális szintje. Emellett a kiszervezett szolgáltatások biztonságát is értékelni kell a kockázatelemzés során, különösen akkor, ha ezek rendszerei vagy emberei hozzáférnek az ügyfél szenzitív adataihoz vagy kritikus rendszereihez.
A felhőmodelleknél (IaaS, PaaS, SaaS) külön figyelmet érdemel a megosztott felelősség elve: fontos, hogy a vállalat tisztában legyen azzal, milyen biztonsági rétegekért felel maga, és mit várhat el a szolgáltatótól. A NIS2 szigorúbb kontrollt követel meg a külső szolgáltatók irányába – a szerződéskötéstől a működésen át az incidensek kezeléséig.
Hogyan kommunikálhatják hatékonyan a cégek ügyfeleik felé, hogy megfelelnek az új kiberbiztonsági előírásoknak?
A kiberbiztonsági megfelelés ma már nemcsak belső kontroll, hanem PR-értékkel bíró versenyelőny is lehet, de a kommunikáció csak akkor hiteles, ha valós és rendszeresen ellenőrzött megfelelésen alapul. A kommunikáció nem helyettesíti a valódi megfelelést.
A valódi teljesítmény hatékony kommunikációja több módon történhet. Például tanúsítványok közzétételével, azaz a cég honlapján, ajánlatokban vagy üzleti dokumentumokban jelezhető, hogy a szervezet tanúsított. Adatvédelmi és IT-biztonsági nyilatkozatok frissítésével is, azaz ezekben részletezhető, hogy milyen intézkedések történtek a megfelelés érdekében.
Hogyan illeszthető be a NIS2 követelményrendszere egy már meglévő ISO-alapú compliance- rendszerbe?
A NIS2-követelmények hatékonyan integrálhatók egy már működő, ISO/IEC 27001 szabvány szerint kialakított információbiztonsági irányítási rendszerbe tekintve, hogy a két keretrendszer filozófiája és alapelvei jelentős átfedést mutatnak. A NIS2 – akárcsak az ISO 27001 – kockázatalapú megközelítést alkalmaz, hangsúlyozza a folyamatos fejlesztést, a vezetői elkötelezettséget, valamint a dokumentált és ellenőrizhető biztonsági intézkedések szükségességét. Ezért a megfelelés alapja jellemzően nem újrakezdés, hanem célzott bővítés és finomhangolás. A megfeleltetés első lépése egy alapos „gap analysis”, azaz megfelelési résvizsgálat, amely feltárja, hogy az adott szervezet meglévő ISO-rendszere milyen mértékben fedi le a NIS2 által előírt követelményeket, és hol szükséges kiegészítés. A leggyakoribb hiányosságok abból adódnak, hogy a NIS2 konkrét intézkedéseket ír elő, míg az ISO/IEC 27001 sokkal rugalmasabb, a vállalatra szabható rendszer.
A meglévő ISO 27001 alapú rendszerbe ezeket a NIS2 által megkövetelt elemeket úgy érdemes beilleszteni, hogy azok szervesen illeszkedjenek az irányítási struktúrába, ne párhuzamos, redundáns folyamatokat eredményezzenek. Például az incidenskezelési eljárásokat kiegészíthetjük a hatósági jelentési kötelezettségre vonatkozó specifikus lépésekkel; a beszállítókezelési szabályzatba beépíthetjük a biztonsági elvárásokra és auditálási jogokra vonatkozó klauzulákat; a rendszeres belső auditot pedig ki lehet terjeszteni a NIS2 által kiemelt kockázati pontokra is.
A szolgáltatók egyre gyakrabban kínálnak testreszabott informatikai megoldásokat: ezek segíthetnek a cégeknek a követelmények teljesítésében?
A NIS2-megfelelés és NIS2-felkészítés technológiai vonatkozásai gyakran túlmutatnak a szabályozási és szervezeti szinten különösen azoknál a vállalatoknál, amelyek egyedi fejlesztésű alkalmazásokat, belső rendszereket vagy integrált megoldásokat használnak. A mi csapatunk például nemcsak szabályozási, hanem szoftvermérnöki tapasztalattal is rendelkezik, egyedi szoftverfejlesztéssel is foglalkozunk, képesek vagyunk a kiberbiztonsági követelményeket közvetlenül beépíteni az ügyfeleink által használt rendszerekbe 20 éves tapasztalattal. Legyen szó naplózási funkciók fejlesztéséről, incidensérzékelési logikák implementálásáról, hozzáférés-kezelési modulok finomhangolásáról vagy szabályozásnak megfelelő riportálási funkciók kialakításáról, egyedi fejlesztéseink segítenek abban, hogy az információbiztonság ne csak dokumentumban, hanem a rendszer szintjén is megvalósuljon.
Hogyan érinti a mesterséges intelligencia népszerűsödése a követelményrendszert és az információbiztonság kérdéskörét?
A mesterséges intelligencia megjelenése új szintre emeli az információbiztonság kihívásait. Bár a NIS2 nem nevesíti az MI-t, a kockázatalapú megközelítés, az incidensjelentés és az ellátási lánc biztonsága már most kiterjed rá is.
Különösen kritikus kérdés a generatív MI, például a nagy nyelvi modellek (LLM-ek) vállalati használata. Egyre több szervezetnél fordul elő, hogy a munkavállalók érzékeny vagy üzleti titoknak minősülő adatokat visznek be nyilvános MI-szolgáltatásokba. Ez azonban komoly kockázat: ezek az adatok adott esetben nemcsak kiszivároghatnak, hanem az MI-rendszerek tanulási folyamatai révén később akár más felhasználók számára is elérhetővé válhatnak.
A szabályozási térkép is bővül: az EU nemrégiben ISO/IEC 42001 szabványként ismerte el a mesterséges intelligencia menedzsmentrendszerére vonatkozó új nemzetközi szabályozást. Ez az ISO 27001-hez hasonlóan keretet ad az MI használatának átlátható, biztonságos és felelősségteljes működtetésére, kiegészítve a NIS2 által előírt kockázatalapú megközelítést és kontrollkötelezettséget.
A Serpentarius-nál ezekre a kihívásokra privát MI-szerverek bérbeadásával válaszolunk. Ennek lényege, hogy ügyfeleink zárt, ellenőrzött környezetben, saját adatvédelmi szabályaik mentén használhatják a mesterséges intelligenciát. Emellett megkezdtük az ISO/IEC 42001-nek megfelelő MI-kompetenciák kiépítését is. Célunk, hogy ügyfeleink számára a mesterséges intelligencia nyújtotta lehetőségeket a legmagasabb szintű adatbiztonság mellett tegyük elérhetővé – akár meglévő ügyviteli rendszereikbe integrálva, akár önálló megoldásként.
A cikk megjelenését a Serpentarius Software Kft. támogatta.
Címlapkép forrása: Portfolio
Szembefordult Izraellel Brüsszel: elismerik Palesztinát, kemény szankciók jönnek
Megelégelték a tétlenséget.
Visszatér a luxusmárka a fontos tőzsdei indexbe
Egy lakásépítő cég és egy diákszállás-szolgáltató búcsúzik.
Trump bejelentette: felmondhatja az összes kereskedelmi megállapodást, amit eddig kötött Amerika
Az elnök lerántotta a leplet a nagy tervéről.
Csendes betegség pusztít Magyarországon – Már a munkahelyek is bajban vannak
Rémisztő számok jöttek.
Utolsó esélyt ad Putyinnak Donald Trump - Döntő napok elé nézünk (2.)
Hamarosan megszületik a végső döntés.
Már az Atlanti-óceán túloldaláról is betámadták Trump Fed elleni hadjáratát
Európai szakértők szerint veszélyes úton jár Amerika.
Új malac a karámban? - Francia kockázatok Európában
Franciaországban ismét nő a politikai kockázat: a kormányfő bizalmi szavazást kért maga ellen, miközben 43,8 milliárd eurós megszorító csomag készül. A francia-német kötvényhozam-spread 8
Kell-e új nevet adni az évszakoknak a klímaváltozás miatt?
Az évszakok rendjét, amelyet a modernitás és a globalizáció uniformizált, az antropocén éghajlati változásai fokozatosan felülírják.
Mit köszönhetünk a ChatGPT-nek?
Az emberi hallucinációt mint a külső inger nélküli érzékelést definiálhatjuk. Modellhallucinációról akkor beszélhetünk például, amikor egy modell elsősorban nem adatra, hanem a modell fel
Fenntartási jelentés: a KFI projektek láthatatlan aknái az EPTK-ban
Akinek KFI projektje van, nem dőlhet hátra: itt az idő a fenntartási jelentések világával szembenézni.
Fenntartási jelentés a KFI pályázatoknál: így kerüld el az EPTK buktatóit
Akinek KFI projektje van, nem dőlhet hátra: itt az idő a fenntartási jelentések világával szembenézni.
ESG és adózás: így kapcsolódik össze a társadalmi felelősségvállalás és a vállalati adományozás
Az elmúlt években egyre nagyobb figyelmet kapott az ESG, azaz a környezeti, társadalmi és vállalatirányítási szempontokat figyelembe vevő működés. Az ESG nem csupán trend vagy megfelelési k
Az ChatGPT is Redditezik - Az AI ugyanonnan tájékozódik, ahonnan mi
Az AI csak rendszerezi és újracsomagolja azt a kollektív zajt, amit mi nap mint nap a netre hordunk, kicsit ijesztő is nézni, milyen forrásokból dolgozik.... The post Az ChatGPT is Redditezik - Az A
Az UniCreditnél is kedvező kamat mellett érhető el az Otthon Start hitel
Szeptember elsejétől az UniCredit Banknál is elérhető a kedvező kamatozású Otthon Start hitel. A bank kamatkedvezménnyel, jóváírással és díjelengedéssel is várja az érdeklődőket. Az Uni
Tőzsde kezdőknek: Hogyan ne égesd el a pénzed egy hét alatt!
A tőzsde világában a lelkesedés könnyen drága hibákhoz vezethet – előadásunk abban segít, hogy kezdőként is megértsd a legfontosabb alapelveket, felismerd a kockázatokat, és elkerüld, hogy egy hét alatt elolvadjon a megtakarításod
Bikák és Medvék: Kivel jobb haverkodni a tőzsdén?
Hogyan ismerd fel, hogy épp emelkedő (bull) vagy csökkenő (bear) piacon jársz? Megtanulhatod, mikor érdemes növelni a kockázatvállalást, és mikor jobb óvatosan hátrálni.
Összefognak az új világrend erős emberei − Mi lesz ebből, ki állitja meg őket?
Erősödőben Kína bűvköre.
Nem reális, de nem is cél az áramártüskék eltüntetése
Az extrém áringadozások háttere egyáltalán nem egyértelmű.
Másfél millióig húzza a legtöbb lakás árát az Otthon Start - Mi lesz ebből?
Elindult az Otthon Start.
