Ma már kiterjedt bűnözői hálózatok fenyegetik a cégek működését a kibertérben, amit komolyan kell venni, mert nemcsak a bűnözőkkel, de a törvénnyel is szembekerül az a vállalkozás, aki nem figyel a kibervédelemre – hangzott el a Telekom szakembereivel folytatott háttérbeszélgetésen, aminek apropója a küszöbön álló NIS2 szabályozás.
A vállalatoknak és üzleti partnereiknek fel kell ismerniük, hogy a kiberfenyegettség már a mindennapi üzletmenet része, így a védekezésnek is annak kell lennie.
Az uniós szintű törvényi előírásokra pedig azért van szükség, mert a kiterjedt digitális ökoszisztémában mindig vannak gyenge láncszemek, akik késlekednek a felismeréssel, és a gyenge védelmen keresztül bárkit meg lehet támadni.
Indul a visszaszámlálás
Magyarországon a „2023. évi úgynevezett „Kibertan-törvény” alapján az érintett vállalatoknak június 30-ig regisztrálniuk kell magukat a Szabályozott Tevékenységek Felügyeleti Hatósága (SZTFH) által kijelölt Cégkapu felületen – emlékeztet a PWC összefoglalója.
A NIS2 átfogó kiberbiztonsági kockázatkezelési és kiberincidens-kezelési keretrendszer bevezetését követeli meg, hogy növelje az EU-n belüli kiberellenállás általános szintjét.
Bár a tényleges végrehajtási rendelet még várat magára, az első fontos határidő: június 30. már itt a nyakunkon. Első körben azt kell megállapítani, hogy a rendelet és a magyar jogszabály mennyiben lesz érvényes egy adott vállalat tevékenységére, illetve annak mely területére.
Az ezekre vonatkozó kockázatok értékelése és az üzleti hatáselemzés alapján lehet aztán elkészíteni a biztonsági osztályba sorolást, majd elvégezni az eltéréselemzést.
Checklist és önértékelés
Nem a hatóság fogja meghatározni és értesítést küldeni az egyes vállalatoknak, hogy rájuk vonatkozik-e a NIS2 irányelv. Az érintetteknek olyan kritériumok alapján kell önértékelést készítenie, amelyek ágazati elemeket és méretbeli eltéréseket egyaránt tartalmaznak.
A Telekom szakemberei: Nemes Imre, Cybersecurity CoE Lead, Boros Robin – PKI és IT biztonsági specialista és Nagy Gergely – Cybersecurity konzulens kiemelték, hogy a NIS2 az elődjéhez képest sokkal szélesebb vállalati körre terjeszti ki az IT biztonsági védelmi kötelezettséget.
A rendelkezés az érintettség alapján három kategóriába sorolja be a cégeket, figyelembe véve mind a létszám, mind az árbevételi mutatókat.
Az önazonosítás az alap, a közepes és a jelentős kategóriák közül a cégekre van bízva. Az önazonosítás után, amikor majd ténylegesen elindulnak az információbiztonsági auditok, akkor lehet ezen korrigálni, de mindenkinek kötelező valamelyik kategóriába sorolnia magát.
A Telekom saját magát, mint kritikus infrastruktúrát üzemeltető cég a jelentős kategóriába sorolta.
A szakértők emlékeztettek rá, hogy az új rendszerben nem vezetnek majd nyilvántartást. A nem megfelelően működő vállalkozásokról, a nem megfelelést az auditor állapítja meg, és hívja fel a figyelmet a hiányosságokra
A nem megfelelően működőkre pénzbüntetést is kiróhatnak. Minden közepes és jelentős cégre vár majd egy szimulált támadás – a vezetők előbb-utóbb találkozni fognak ennek tanulságaival.
A NIS 2-ben már nemcsak saját magáról kell gondoskodnia a cégeknek, hanem a biztonsági elvárások kiterjednek az érintett vállalat beszállítói láncára is. Adott vállalatnak kötelessége elvárni ugyanazokat a biztonsági szinteket a beszállítói láncába tartozó cégektől, mint ami rá vonatkozik.
A kis létszámú és bevételű beszállítónak pedig akkor is meg kell felelnie ennek az előírásnak, ha egyébként nem esne bele egyik kategóriába egyszerűen azért, mert IT-szolgáltatásokat nyújtó kkv beszállítója egy nagyvállalatnak.
Kettős szerepben a Telekom
A szakértők elmondták, hogy a Telekom számára az adatvédelem mindig is prioritás volt, akkor is, amikor semmilyen jogszabály nem rendelkezett erről.
Üzleti érdekük, hogy a digitalizáció jelenlegi fokán ne csak alkalmazásokat, fejlesztéseket kínáljanak, hanem az ügyfelek a digitális biztonságukat is rájuk bízhassák.
A Telekom, mint távközlési, és IT szolgáltató maga is a legfenyegetettebb társaságok közé sorolható, így rengeteg tapasztalatot gyűjtöttek erről a területről az elmúlt évtizedekben.
Mivel maga a cég is kritikus infrastruktúrát üzemeltet, elemi érdeke a maximális védelem. A kibertámadások ma már nemcsak virtus jellegűek, hanem komoly pénzekben is kifejezhető fenyegetések lettek, és már ipari méreteket öltenek.
A Telekom kétféle biztonsági központot működtet(SOC), az egyik a Telekom belső infrastruktúrájért felel, a másik pedig az ügyfeleknek nyújt IT-biztonsági szolgáltatásokat.
A már említett okok miatt a szabályozás ugyan még nem része a jogszabályi környezetnek, de az igény már ma is valós. Ahogy fogalmaztak: a fizikai valóságban is igyekszünk minden értékünket – házunkat, autónkat, ékszereinket, üzlethelyiségeinket védeni, miért tennénk másként a digitális értékeinkkel?
A Telekom pedig felkészült arra, hogy egy kézből tudja nyújtani az összes kritikus IT védelmi szolgáltatást.
Így állnak hozzá a hazai vállalkozások
A Telekom szakértői egy közelmúltbeli felmérés eredményeiről beszámolva elmondták, ma még sokan nem érzik a veszélyt. A megkérdezettek 89%-a az elmúlt években nem tapasztalt érdemi fenyegetést.
Mindössze 2 százalékuk számolt be adatvesztéssel járó incidensről, amiket egyébként a jövőben kötelező lesz jelenteni. A kisebb cégek nem is észlelik a fenyegetést.
A megkérdezettek közel negyede viszont már úgy véli, hogy az informatikai támadások és incidensek jelentős mértékű fenyegetést jelenthetnek a számukra. Ezen a véleményen főként a hazai nagy-(37%) és középvállalatok(32%) vannak.
Mi a legsürgősebb teendő?
Ezeket a szakértők kategóriánként vették sorra. Az ”alap” kategóriában elsődleges feladat a felhasználói edukáció, valamint ha van rá mód, dedikált IT-biztonsági felelőst sem árt kijelölni. Végül minden felhasználónak végpont védelmi megoldásokat kell telepítenie a gépére.
A „közepes” kategóriánál fontos biztosítani az IT infrastruktúra folyamatos védelmét, legyen megfelelő a hálózat- és a határvédelem. A folyamatos védelem érdekében rendszeres sérülékenységvizsgálatokat kell futtatni, tűzfal általi hálózati védelemmel kell rendelkezniük, és biztosítani kell a végponti védelmet a zero trust elve szerint.
A rendelkezések előírják a naprakész operációs rendszerek használatát, a megfelelő jelszókezelést és szigorú szabályokat a hálózatra csatlakozó eszközökkel kapcsolatban.
A „jelentős” kategóriába sorolható szervezeteknél kiemelt feladat a szofisztikált esemény és incidens kezelés, valamint a biztonsági műveleti központ(SOC) felállítása, vagy egyéb módú igénybevétele.
Ezek a kötelezettségek egyébként az alapkategóriában már kötelezőek, a közepes és jelentős kategóriában inkább a szerepkörönkénti jogosultság kezelés és az automatizáció lesz kötelező.
Az incidensek ügyféloldali kezeléséhez kapcsolódóan elhangzott, hogy a Telekomnál megvan a technológiai tudás, hogy más vállalatnál is képesek legyenek, akár teljesen automatizált szolgáltatásban SOC-ot kiépíteni.
A megfelelés erőforrásigényes, amire a szolgáltatás alapú megoldás lehet az egyik válasz
A kibervédelemre fordított pénzügyi forrásokat be kell tervezni az üzleti tervekbe, akárcsak korábban a vagyonvédelemét, vagy a marketingét.
Nagyon nem mindegy, milyen szinten születnek meg a kiberbiztonsági szintet befolyásoló döntések és, hogy a menedzsmentnek milyen a tapasztalata a kibervédelemmel kapcsolatban.
Egyik cégnél fókuszban van, másik cégnél még nem is nagyon tudják felismerni, és ahogy haladunk lefelé a kkv-szektorban, még nagyobb a szórás, hogy mennyire fogékonyak az IT-jellegű kihívásokra.
Hátráltató tényező lehet, hogy kevés a kiberbiztonsághoz értő szakember, a hazai piacon többezer, világszerte 3,5 millió ilyen pozíció van. Magyarországon egy keresés akár 3-5 hónapig is eltarthat.
Mind a pénzügyi, mind a humán forrás szűkössége miatt várható, hogy a legtöbb vállalat szolgáltatásként veszi majd igénybe a kibervédelmet, a kapcsolódó sérülékenységi- és kockázatelemzést is.
Végül a szakértők kiemelték a kockázatelemzés kritikus fontosságát, mondván ez ma a döntéshozatali szint legfontosabb kihívása a kibervédelemmel kapcsolatban.
Ez főként azokra a cégekre igaz, amelyeknek szakértelem és belső erőforrás hiányában még működő és reális védelmi stratégiája sincs. Márpedig ezek nélkül nem lehet megalapozott döntéseket hozni. Ehhez pedig kevés az egyetlen IT-vezető és a szabályok által előírt IT-védelmi felelős.