A kiberbiztonság üzleti felelőssége, nem csupán informatikai feladat


Október 18-án lép hatályba a NIS2 magyar megfelelője, a kibertan törvény, most kell megkezdeni a felkészülést!



Tedd azt az elképzelést, hogy a mai technológiai környezetben – gondoljunk csak a mesterséges intelligencia ugrásszerű fejlődésére – bármilyen vállalati érték biztonságban van az optimális kibervédelmi feltételek megteremtése. Míg korábban ennek kiépítése vagy elhanyagolása kizárólag a vezetők kezében volt, ez most is. Négy és fél évvel a hatástalannak bizonyuló NIS irányelvet követ az Európai Unió 2022-ben elfogadta és kihirdetett a szélesebb kört érintő NIS2 irányelvet. Bár a kibertan törvény utolsó lépésének október 18-án, de az érintetteknek már most kell kezdeni a felkészülést, hogy a határidőt be kell tartani, hogy megfelelő legyen az elvárásoknak.

A NIS2 irányelv, a kibertan törvény kiterjeszti az alá tartozó szolgáltatások körét, az utolsó szélesíti azon nemzetgazdasági ágazatok körét, amelyek kötelező érvénnyel vonatkoznak a törvényi előírásokra. Az új kategóriák, kiemelt kockázatos és kockázatos ágazatokba sorolja az érintett területeket. Kiemelten kockázatos ágazat például az energetika, a közlekedés, a digitális infrastruktúra, míg a kockázatos ágazatként lett minősítve többek között a postai és futárszolgálatok, a gyártás és a hulladékgazdálkodás.

„Az irányelv életbe lépésével ugrásszerűen megnő az érintettek köre. Míg eddig néhány száz vállalat tartozott a hatálya alá Magyarországon, október 18-a után számuk a 3000-et is elérheti. Ezért nincs idő a tétlenkedésre. Aki számára világossá válik, hogy az elvárások ezentúl rá is vonatkoznak, már most el kellenie a felkészülést, mert ha nem teszi, könnyen megcsúszhat számos teendővel”, hangsúlyozta Papp Albert üzleti informatika tanácsadó.

A szakember arra is emlékeztetett, hogy a felkészülés korántsem merül ki egyszerű termékvásárlással vagy egy kiberbiztonsági tanúsítvány beszerzésével, ennél sokkal bonyolultabb folyamat. A NIS2 komplex kockázatkezelést vár el, aminek csakis jól átgondolt, megtervezett és szakszerűen kivitelezett megoldásokkal lehet eleget tenni.

Fokozódó elvárások

A kibertan törvény által támasztott követelmények magukban foglalják a kockázatok kezelését, jelentős események esetén az azonnali értesítést a biztonsági csapat vagy a hatóság irányába, valamint az ellátást, a tájékoztatást.
A NIS2 részletesen kiegészíti a korábbi szabályozást, különös tekintettel a kockázatelemzésre, a biztonsági irányelvekre, az incidensek kezelésére, valamint az üzletmenet-folytonosság és a válságkezelés fontosságára. tervez a beszállítói lánc biztonságának, a technológiai rendszerek beszerzésének, fejlesztésének és karbantartásának szigorúbb ellenőrzését, a kiberbiztonsági intézkedések folyamatos felülvizsgálatát, valamint a munkaerő és hozzáférési jogosultságok biztonságának biztosítását.

„A NIS2 megvalósíthatatlan detekciós és reakciós képesség nélkül. Ez akkora problémát jelent, hogy még a nyugat-európai cégek és szervezetek közül csak 5% rendelkezik olyan rendszerekkel, amelyek jelenlegi állapotukban teljesen megfelelnek a követelményeknek. Magyarországon ez az arány bizonnyal még magasabb”, ismertette Bódis Ákos, a 18 éve kibervédelemmel foglalkozó Yellow Cube ügyvezetője, elárulva azt is, hogy csapatával egy új, kaliforniai gyártóval indított együttműködést annak érdekében, hogy minden komplexebb és átfogóbb kibervédelemmel áll ügyfeleik rendelkezésére.

„Autós hasonlattal élve azt mondhatnám, hogy eddig különböző darabjait kínáltuk külön-külön egy autónak, volt egy nagyszerű motorunk, kényelmes üléseink… Azonban október közepétől már nem száz, hanem háromezer autó szervizelésére lesz szükség, ezért olyan opciót keresünk, ami az alkatrészek helyett. egyben leszállítja az autót. Az új partnerünk OpenXDR (Extended Detection and Response) technológiával teljeskörűen egyesíti a már megvásárolt kibervédelmi rendszereket, így minden vállalat számára a legoptimálisabb és legköltséghatékonyabb megoldást nyújthatjuk”, fejtette ki Bódis Ákos.

Jó kiberbiztonságot építeni nehéz, rosszat könnyű

Nem csak Magyarországon, de világviszonylatban is megfigyelhető, hogy a vállalatok mostohagyereknek tekintik a biztonság kérdését, nincs megfelelően felkészülve egy esetleges támadásra, így ha az bekövetkezik, kapkodnak és túlreagálják. Többnyire olyan megfelelő hoznak, ami biztonsági szempontból lényegtelenek, a gördülékeny működést viszont nagyon akadályozzák. Ilyenek például az extrém módon bonyolult és folyamatos megújítást igénylő házirend, ami tipikusan egy korábbi incidens túlreagálásából adódik.

„Azt is tapasztaltam, hogy amióta csak kibertámadások érik a gazdasági szervezeteket, inkább kifizetik aságot vagy benyelik a támadásból eredő károkat, minthogy ténylegesen, költségesen, átgondolt igénylőre bírjuk tegyenek a biztonságot. Ha pedig a piaci szereplőknek olcsóbb és egyszerűbb kiberbiztonság nélkül működni, szabad prédává tenni a személyes adatokat, akkor az állam feladata közbelépni. Ezért látta fontosnak az EU, hogy beavatkozzon és előírja azt a minimális biztonságot szintet, hogy mindenért kötelezően meg kell felelnie, és olyan büntetéseket kell kilátásba helyezni, ami ugyancsak a szabályok betartására sarkall”, emelte ki a kiber szakértői szakértőt.

A biztonság üzleti előnyt jelent

„Arra próbáljuk tanítani a partnereinket, hogy a kiberbiztonság eredményét az üzlet sikeréhez mérjék. Ha a cég megduplázza az árbevételt, akkor a kiberbiztonság terén is dupla sikereket könyvelhet el, hiszen anélkül nem tudott volna az üzleti cél megvalósulni. Azt is szem előtt kell tartani, hogy a kiberbiztonság megteremtése nem egyszeri befektetés, folyamatosan fent kell tartani a szinte elengedhetetlen technológiai fejlődés napi szintű követését”, mutatott rá a Yellow Cube ügyvezetője.
Mint mondja, a mesterséges intelligencia az egyik legnagyobb rizikófaktor, mert fejlődésének sebessége akár hónapról hónapra hatalmas lehet.

„A mesterséges inligenciát, amely a gépi tanuláson alapul, már 10 éve használjuk kibervédelmi termékeinkben. Kétélű fegyver, mert egyszerre és jól segíti a támadásokat is, mint a védekezést. Például a kiberűnözők kezében az átlagosi az átverések automatizálását. Viszont a gépi tanulást használta kibervédelmi rendszereink egyedülálló pontosan és korábban elképzelhetetlen szintű megbízhatósággal működhetnek. Összerakjuk a különálló rendszerből érdekes apró jeleket, és ha azok alapján úgy értékeli a mesterséges intelligencia, hogy egy kiberbűnöző már behatolt a hálózatba, akkor valós időben riasztani tudunk, ami elengedhetetlen az azonnali reagáláshoz és a kibertámadás sikeres kivédéséhez”, zárta gondolatait Bódis Ákos.

Lényeges határidők:

2024. június 30.
Önazonosítás
Biztonsági osztályba sorolás
Elektronikus információs rendszerek biztonságáért felelős személy feladatköre és kijelölése
Nyilvántartásba vételre bejelentkezés

2024. október 18.
Védelmi intézkedések alkalmazása
Felügyeleti díjazás

2024. december 31.
Első kiberbiztonsági audittal kapcsolatos szerződéskötés az auditorral

2025. december 31.
Első kiberbiztonsági audit lefolytatása