A gyakorlatban a hazai céges irodák, telephelyek és épületek nagy részébe ma is viszonylag könnyen be lehet jutni — még akkor is, ha beléptetőrendszer működik. Ennyire sérülékenyek ezek a rendszerek, vagy más oka van a biztonsági hiányosságoknak?
Sajnos a ma használatban lévő beléptetőeszközök jelentős része valójában nem nyújt megfelelő védelmet. Sok rendszer egyszerű, titkosítás nélküli technológián alapul, ezért viszonylag könnyen kijátszható, egyszerű eszközökkel könnyedén feltörhető. Elég, ha valaki egy erre alkalmas olvasóeszközzel a táskájában elsétál egy dolgozó mellett, és azzal máris kiolvashatja a zsebében vagy táskájában lévő belépőkártya azonosítóját. Ezt az azonosítót egy másik kártyára másolva – vagyis klónozva – gyakorlatilag ugyanazokat a jogosultságokat szerezheti meg, mint az eredeti kártya tulajdonosa. Ezt a sebezhetőséget gyakran szemléltetni is szoktam szakmai bemutatókon, természetesen kontrollált környezetben, hogy látható legyen: a beléptetés biztonsága nemcsak a hardveren, hanem a használt technológián és az üzemeltetésen is múlik.
Az emberek többsége hajlamos azt gondolni, hogy ha kártyával kell bejutni egy épületbe, akkor az a rendszer automatikusan biztonságos. Mi a tapasztalat, mennyire tudatosak a vállalatok és a felhasználók ezzel kapcsolatban, mennyire látják a valós kockázatokat?
A probléma egyáltalán nem új keletű. A beléptető rendszerek jelentős része már húsz évvel ezelőtt is könnyen feltörhető volt – és ez sajnos ma sincs másként. Számos cikk, videó és konferencia-előadás foglalkozik a témával, mégis azt tapasztaljuk, hogy a közbeszédben alig esik szó róla. Az átlagfelhasználók többsége nem tudja, hogy milyen egyszerű módszerekkel másolható vagy kijátszható egy belépőkártya, de ami még aggasztóbb: sok biztonságtechnikai szakember sincs tisztában a rendszerek valós sebezhetőségeivel.
A fejlesztőcsapatunk ezért döntött úgy, hogy jogszerű, kontrollált környezetben felméri a ma elterjedt beléptetőrendszerek biztonsági szintjét. Ehhez kifejezetten olyan, nyíltan elérhető, legális eszközöket és módszereket alkalmaztunk, amelyek bárki számára hozzáférhetők – éppen ez volt a kísérlet lényege. Bizonyos típusú beléptetők egy erős mágnessel is kinyithatók, de letöltöttünk ingyenes mobilapplikációt is, amivel kártyát másolhattunk. Az eredmények megdöbbentőek voltak: a legtöbb vizsgált rendszer néhány másodperc alatt kompromittálható volt, különösebb technikai tudás nélkül.
A célunk nem a hibák kihasználása, hanem a tudatosítás: szeretnénk felhívni a figyelmet arra, hogy
a fizikai védelem legalább annyira fontos, mint a kiberbiztonság.
A gyenge beléptetőrendszer ugyanis ugyanúgy adatlopáshoz, ipari kémkedéshez vagy üzleti károkhoz vezethet, mint egy feltört informatikai hálózat. Éppen ezért elengedhetetlen, hogy a vállalatok ne csupán IT-szinten, hanem az épületüzemeltetés és hozzáférés-kezelés szintjén is auditálják rendszereiket, és korszerű, kriptográfiailag védett megoldásokra álljanak át.
A probléma gyökere összetett, de jól körülírható: a forgalomban lévő olcsó beléptetők évtizedes kommunikációs protokollokra épülnek, amelyek titkosítási hiányosságai régóta ismertek. Már húsz éve is voltak olyan módszerek, amelyekkel ezek a rendszerek viszonylag egyszerűen kijátszhatók voltak, mára az ilyen megoldásokhoz használható eszközök — valamint azok hozzáférhetősége — egyre fejlettebbé és könnyebben beszerezhetővé váltak. Természetesen léteznek korszerű, titkosított rendszerek, de sok szervezet a tervezési kompromisszumok, a költségszempontok vagy a meglévő infrastruktúra megtartása miatt mégis elavultabb megoldásokat telepít vagy üzemeltet tovább.
Sokan azt hiszik, hogy az adatlopás kizárólag hackertámadással történik. Valójában mennyire reális veszély, hogy a probléma a bejárati ajtón keresztül érkezik?
A fizikai biztonsági incidensek alapvetően két típusba sorolhatók. Az egyik a klasszikus, látványos betörés: felfeszített ajtó, betört ablak, feltört zár – ezekre a cégek azonnal reagálnak, mert nyilvánvalóak. A másik, sokkal alattomosabb forma, amikor valaki megszerzi vagy lemásolja egy munkatárs beléptetőkártyáját, és észrevétlenül mozog az épületben. Ilyenkor gyakorlatilag semmilyen nyom nem marad, hiszen a legtöbb helyen nincs rendszeres napló- vagy kamerafelvétel-összevetés, így az ilyen események szinte mindig rejtetten történnek. A kockázat súlyát az adja, hogy
a fizikai biztonsági hiányosságok ugyanúgy vezethetnek adatlopáshoz, üzleti titkok kiszivárgásához is.
Ezeket az incidenseket leginkább megelőzéssel lehet kezelni. Megfelelő rendszerrel és jól működő folyamatokkal a biztonsági kockázatok jelentősen csökkenthetők. Az emberi tényező persze mindig jelen van, ezért a dolgozók oktatása is kiemelten fontos. Ha a munkavállalók tudják, hogyan kell biztonságosan kezelni a beléptetőkártyájukat, mit tegyenek gyanús esetben, és miért fontos ez a mindennapi működés szempontjából, akkor sok visszaélés egyszerűen megelőzhető.
Életbe lépett a NIS2, azaz az Európai Unió új kiberbiztonsági irányelve. Mennyire jellemző, hogy NIS2-nek való megfelelés miatt kezdenek bele ilyen fejlesztésekbe?
A NIS2-nek való megfelelésre sok vállalat nincs még felkészülve. Ide azok a cégek tartoznak, amelyek legalább 50 főt foglalkoztatnak, 10 millió euró feletti árbevételük van, és valamilyen kritikus infrastruktúrához kapcsolódnak. Tapasztalataink szerint sokan közülük még azt sem tudják, hogy rájuk is vonatkozik a szabályozás, és akik tudják, azok is gyakran csak az informatikai biztonságot fejlesztik. Pedig a NIS2 a fizikai biztonságra is kiterjed:
hiába védjük tűzfallal a szervert, ha közben bárki besétálhat a szerverterembe és leemelheti a gépet a polcról.
Ez a szemléletbeli hiányosság az egyik legnagyobb probléma ma a vállalatoknál. Akik mégis komolyan foglalkoznak vele, általában nem a kötelezettség miatt teszik, hanem azért, mert felismerik, hogy a korszerű, integrált beléptető- és biztonsági rendszerek nemcsak nagyobb védelmet nyújtanak, hanem hosszú távon a működési költségeket is csökkentik.
Az, hogy egy cég foglalkozik-e a fizikai beléptetéssel, nagyrészt a vezetés prioritásaitól és a digitalizáció szintjétől függ. A mi ügyfélkörünkben van 5 fős mikrovállalkozás és 8000 fős nagyvállalat is, teljesen vegyes a kép. Meglepő módon viszont még az 50 fő feletti cégeknél is előfordul, hogy papíron vezetik a jelenléti íveket.
Az elmúlt évtizedekben sok helyen áttértek a kulcsos rendszerekről az elektronikus beléptetésre. Hogyan működik egy ilyen rendszer?
Régen a beléptetést főként mechanikus kulcsokkal oldották meg, mindenkinek megvolt a saját kulcsa, amit gyakran kulcsszekrényben tartottak. Ezekhez könnyű volt hozzáférni vagy lemásolni, és ha valaki kilépett, sokszor az egész zársorozatot ki kellett cserélni. Az elektronikus rendszerek ehhez képest jelentős előrelépést hoztak: egy központi adatbázis kezeli, ki hová jogosult belépni. Az ajtóvezérlők és kártyaolvasók a helyszínen olvassák le az azonosítót, a vezérlő ellenőrzi a jogosultságot, és ha rendben van, aktiválja az elektromágneses zárat.
Nagy előnye, hogy a jogosultságok és a naplók központilag kezelhetők, így egy elveszett vagy gyanús kártya gyorsan deaktiválható akár mobilapplikációval is. Tűz vagy egyéb biztonsági incidens esetén nélkülözhetetlen egy integrált rendszer, ami egy szoftveres felületen jeleníti meg a kamera-, a tűzjelző- és a beléptető rendszer eseményeit.
Nemzetközi összehasonlításban hol tartunk ezen a téren? A régióban mennyire elterjedt a biztonságos, korszerű beléptető rendszerek használata?
A nyugat-európai országokban, például Németországban, Franciaországban vagy az Egyesült Királyságban ma már szinte kizárólag titkosított, korszerű beléptető rendszereket használnak. Ott minden olyan megoldás, ami nem biztonságos kommunikációt alkalmaz, egyszerűen elavultnak számít. A közép- és délkelet-európai régióban viszont, így Magyarországon is, még sok a régi típusú, olcsó és nem titkosított rendszer. Ennek fő oka az árérzékenység:
a vállalatok jelentős része inkább a kedvezőbb árú eszközöket választja, még akkor is, ha azok biztonsági szempontból gyengébbek.
Az árérzékenység azonban önmagában nem magyarázza a helyzetet. Számos nagyvállalatnál járva azt tapasztalom, hogy bár egy esetleges illetéktelen behatolás komoly kockázatot jelentene, a rendszereik mégis meglepően sebezhetők. Ezek a cégek jellemzően megengedhetnék maguknak a korszerű, biztonságos megoldásokat is, ezért valószínűbb, hogy nem kaptak megfelelő szakmai tájékoztatást, és nem voltak tisztában a különböző technológiák valódi előnyeivel és kockázataival.
Hogyan néz ki a gyakorlatban egy fizikai biztonsági felmérés? Milyen lépéseken haladnak végig, amikor egy cég telephelyének védelmi szintjét vizsgálják?
A fizikai biztonság felmérése mindig az adott telephely adottságaihoz és a vállalat működéséhez igazodik. A NIS2 is kockázatalapú megközelítést ír elő, vagyis először azt kell meghatározni, mely területek számítanak valóban kritikusnak – hiszen nem kell őrizni a kávégépet, de a szervertermet vagy az irattárat mindenképpen. A gyakorlatban ez azt jelenti, hogy először fel kell mérni, hogy mivel foglalkozik a cég, milyen értékeket kell védenie, és mekkora a kockázata annak, hogy illetéktelen személy bejuthat.
Ezt követően áttekintjük a meglévő rendszereket és feltérképezzük a gyenge pontokat. Végül olyan javaslatokat adunk, amelyek műszaki, szervezeti és emberi intézkedéseket is tartalmaznak. Fontos, hogy nincs univerzális megoldás, ami pont abban a formában mindenkinek megfelelő. Minden vállalatnál más a prioritás. A cél mindig az, hogy a legnagyobb biztonsági réseket zárjuk be először, és a védelem arányban álljon a valós kockázattal.
Egy ilyen rendszer kiválasztása hosszú távú döntés, hiszen a fizikai védelem mellett az információbiztonság és a működés stabilitása is múlhat rajta. Mire kell figyelni a tervezés, a telepítés és az üzemeltetés során?
Egy ilyen beruházásnál nemcsak a biztonság, hanem termelékenység is fontos szempont. A Predor moduláris felépítésű, és rendkívül sok beállítási lehetőséget kínál. A vállalatok igényeitől és kockázati szintjétől függően különböző biztonsági modulokkal, illetve további funkciókkal bővíthető. Kiemelten fontos, hogy a telepítés során mindig a megfelelő kiegészítőket válasszuk ki – például a kártyaolvasókat, forgóvillákat, gyorskapukat vagy más beléptető eszközöket. Nemcsak az eszközök típusa, hanem azok elhelyezése és a telepítés módja is meghatározza a rendszer hatékonyságát. Egy jól működő rendszerhez
szakértő tervezésre, precíz telepítésre, az üzemeltetés során rendszeres felülvizsgálatra, valamint a dolgozók oktatására van szükség.
Jóval a NIS2 rendelet hatályba lépése előtt elkezdtünk egy átfogó fejlesztést, ennek részeként integráltuk a rendszert egy vezető kártyaolvasó-gyártó megoldásával, amely biztonságos kommunikációs protokollt biztosít – így az adatok a kártyától egészen a szerverig titkosított formában utaznak. Fontos alapelvünk, hogy egy rendszer csak annyira biztonságos, amennyire a leggyengébb komponense. Ezért mi nemcsak egy-egy eszközt, hanem a teljes adatvonalat védjük, amelyen AES-128-as titkosítás óvja az adatokat minden ponton.
Emellett beépítettük a NIS2 megfelelőséget támogató funkciókat is. A rendszer folyamatosan monitorozza önmagát, figyeli a hiányzó beállításokat vagy a nem megfelelően működő eszközöket, és egy interaktív felületen részletes teendőlistát ad az információbiztonsági felelősnek. Ő eldöntheti, hogy egy adott figyelmeztetést elhalaszt, priorizálja a javítást, vagy lezárja a feladatot. Ez a funkció különösen hasznos egy NIS2-audit során, hiszen az auditor számára gyorsan és átláthatóan bemutatható, mely pontokon milyen intézkedések történtek.
Egy ilyen rendszer esetében költségről és beruházásról is beszélhetünk? Mekkora kiadással érdemes számolni, és mennyire bonyolult a használata, illetve a karbantartása?
A költség elsősorban a dolgozói létszámtól és a beléptetési pontok számától függ – minél nagyobb a vállalat, annál több eszközre és modulra van szükség. Ugyanakkor mi mindig rugalmasan, az igényekhez igazítva építjük fel a megoldást: el lehet indulni egy alapverzióval, akár néhány átjáróval, majd később fokozatosan bővíteni. Ez azért is előnyös, mert az ügyfelek így a gyakorlatban látják, mennyi adminisztrációs terhet spórolnak meg, és mennyire növekszik a biztonság, a további fejlesztésekről pedig már tapasztalat alapján tudnak dönteni.
Az általunk fejlesztett Predor egyik nagy előnye a rugalmasság. Gyakran a meglévő, korábban telepített rendszer is „felokosítható”, bővíthető anélkül, hogy az egész infrastruktúrát le kellene cserélni. A cégek fokozatosan, költséghatékonyan tudnak átállni egy biztonságos, modern és könnyen kezelhető megoldásra – további nagyobb beruházás nélkül.
A beléptetőrendszerek nemcsak a biztonságot szolgálják, hanem a munkaidő-nyilvántartásban és a termelékenység mérésében is fontos szerepük lehet. Milyen előnyöket jelent ez például egy termelőüzem esetében?
A Predor rendszer ilyenkor nemcsak a belépést rögzíti, hanem teljes körű munkaidő-nyilvántartást is biztosít: automatikusan generálja a jelenléti íveket, továbbítja az adatokat a bérszámfejtés felé, és összeköthető a vállalatirányítási vagy termelésirányítási rendszerekkel is, így
az adminisztráció szinte teljesen automatizálható.
Emellett fejlesztettünk egy beosztástervező modult is, amellyel előre beállítható, hogy az egyes munkakörökből hány emberre van szükség a különböző műszakokban. A rendszer figyelmeztet, ha a beosztás nem optimális – például túl sok vagy túl kevés embert rendeltek be –, és a Munka Törvénykönyvének szabályai alapján automatikusan javaslatot tesz, kik oszthatók be. Így nemcsak a biztonság, hanem a termelékenység és a költséghatékonyság is mérhetően javul.
A cikk megjelenését a Leviathan Solutions Kft. támogatta.
A címlapkép illusztráció. Címlapkép forrása: Getty Images
Megdöbbentő számok a magyar egészségügyből: az orvosok fele nem volt a munkahelyén
Kemény szavakkal üzent a betegeknek Pintér Sándor egy előadásában.
Egyetlen tény mutatja meg igazán, hogy mennyire felpörögtek az oroszok a fronton
Még soha nem volt ennyi.
Felsorakoztak a fenyegetett sziget páncélosai: elsöprő támadásra készülnek
Nagyon is valós a veszély.
Ismeretlen drón bénította meg a forgalmat Európa egyik legfontosabb repterén - Brüsszel vizsgálatot indít
Minden járatot átirányítanak.
Bejelentést tett a Revolut: fordulat jött a kriptopénz-szolgáltatásokban
A magyar ügyfelekre külön információk vonatkoznak.
Itt meg mi történik? Amerika kapujában mozgolódnak az oroszok, ez olaj lehet a tűzre
Rendkívül feszült a helyzet.
Ez már válság: marad a káosz Amerikában, történelmi rekord született
14. alkalommal sem sikerült elfogadni az átmeneti költségvetést.
"Már anyám is Pythonban kódol" - Az automatizáció, ami nem is létezik
Mindenki programozóvá vált, hiszen a ChatGPt lekódol nekünk mindent – persze, pont úgy, ahogy mindenki tolmáccsá vált a Google Translate-től. Az AI olyan forradalommal kecsegtet,... The pos
Lakásárak: rekordtempó Budapesten, komoly lendület vidéken
A magyar lakáspiac 2025 második felében izgalmas átalakuláson megy keresztül. Az MNB frissen közzétett lakásárindexe és a novemberi kamatstatisztika egyaránt megerősíti: Budapest és a nagyob
Forint a reflektorfényben, régiós devizák a kulisszák mögött
2025-ben a forint a régió sztárja, miközben a cseh korona, a lengyel zloty és a román lej vegyes képet mutat. Mit üzen ez az EUR/HUF pályáról és a hozamgörbékről? The post Forint a reflektor
Az osztalék portfólióm - 2025. október
Ebben a hónapban is bevásároltam rendesen, általában a jelentések után. A cégek nagy részét nem örökre, hanem csak pár hónapra terveztem megvenni, aztán majd eladom, ha felmennek. Ha mégsem
VSME keretrendszer: egyszerű ESG és fenntarthatósági jelentés KKV-knak
Bár a fenntarthatósági jelentéstétel egyre inkább az üzleti működés része, a kis- és középvállalkozások számára továbbra is önkéntes marad. A VSME (Voluntary Sustainability Reporting S
Top10 upgrade
A roic.ai pár hónapja kijött egy API fejlesztéssel (v2), kipróbáltam, mert az AAPL ticker minden adatához hozzá lehet férni az API-n keresztül, hogy tesztelhessük a dolgot, és előfizettem rá.
A tudás gazdasága: Joel Mokyr és a fenntartható növekedés Nobelje
A közgazdsági Nobel-díjban eddig már 99 ember részesült, mégis közülük nagyon kevesen foglalkoztak kifejezetten gazdaságtörténettel. 2025-től már Joel Mokyr is a ritka kivételek közé tart
Kamu MI videók a politika szolgálatában: mit lehet tenni a visszaélések ellen?
A mesterséges intelligencia nyújtotta lehetőségek visszaélésszerű alkalmazására régóta figyelmeztetnek, mostanra azonban saját bőrünkön tapasztalhatjuk ezt. Egymás után, szinte naponta jel
Kisokos a befektetés alapjairól, tippek, trükkök a tőzsdézéshez
Előadásunkat friss tőzsdézőknek ajánljuk, összeszedünk, minden fontos információt arról, hogy hogyan működik a tőzsde, mik a tőzsde alapjai, hogyan válaszd ki a számodra legjobb befektetési formát.
Tőzsde kezdőknek: Hogyan ne égesd el a pénzed egy hét alatt!
A tőzsde világában a lelkesedés könnyen drága hibákhoz vezethet – előadásunk abban segít, hogy kezdőként is megértsd a legfontosabb alapelveket, felismerd a kockázatokat, és elkerüld, hogy egy hét alatt elolvadjon a megtakarításod
Ráugrottak a cégek az alacsony kamatra - Mi történt?
Szabados Richárd, a Nemzetgazdasági Minisztérium államtitkára volt a vendégünk.
Elfeledett adónemre vetett szemet a kormány: újra jön a reklámadó?
Váratlan emelés jöhet.
Jelentősen változhat a kibercsalásokhoz kötődő kártérítési felelősség rendszere
Jön a digitális euró is, nem kevés aggállyal.
