Rébuszok helyett kézzelfogható megoldások a NIS2 fejtörőhöz

forrás: Prím Online, 2024. november 22. 11:39

Nagy érdeklődés övezte a Gábor Dénes Egyetem NIS2 konferenciáját. Ennek egyik oka a téma aktualitása, hiszen a kiberbiztonság szavatolása kötelező törvényi előírás az érintett vállalatok részére. A másik ok, hogy kevés az egész folyamatot átfogó és bemutató esemény, amely nemcsak a NIS2 irányelvben meghatározott jogszabályi előírásokat mutatja be és értelmezi, hanem kézzelfogható, gyakorlati megoldásokat is kínál a vállalatok részére. 

A konferencia kiemelt és gyakran felmerülő megállapításai közé tartozott az edukáció és tájékoztatás fontossága, a most még távolinak tűnő határidők reális megközelítése és a folyamatok elindítása, valamint a tény, miszerint a kiberbiztonság minden vállalat alapvető, elemi érdeke.

 

A kiberfenyegetések egyre gyakrabbak és személyre szabottabbak lesznek, célpontjaik a vállalkozások, az egyének, illetve az MI eszközeik. Azaz mindenhol támadásra kell számítani, ahol értékes adat, pénzügyi forrás van és meggyengült a védelem. Így a NIS2 nem csupán egy újabb kötelező jogszabály, amit be kell tartanunk, hanem a digitális létünk egyik sarokköve! – figyelmeztetett köszöntőjében Dr. Dietz Ferenc, a Gábor Dénes Egyetem elnöke. 

 

Az egyetem az elmúlt három évben a vállalati partnerek bevonásával új egyetemi szakokat, kutatásokat, Magyarországon elsőként mikrotanúsítványt adó képzéseket indított. A piaci igényekre reagálva, partnereivel együtt olyan digitális – így térben és időben szabadon elsajátítható – tananyagot készített, amely segít eligazodni a vállalkozásoknak a kiberjogszabályok útvesztőiben. 

 

Dr. Dietz Ferenc beszédében utalt a konferencia elnevezésére is: Az a biztonságos digitális védelem, amely olyan, mint az ördöglakat, olyan sok idő és energia kell a feltöréséhez, hogy nem éri meg a támadónak azzal foglalkoznia.

 

Détári István, a Gábor Dénes Egyetem üzleti innovációs rektorhelyettese kiemelte, hogy a kiberincidensek 80-90%-ban emberi tényezőkre, azaz információhiányra, mulasztásra vezethető vissza, így az kiberbiztonsági tudatosításnak és képzésnek kiemelt szerepe van. A Gábor Dénes Egyetem a Szabályozott Tevékenységek Felügyeleti Hatóságával együtt olyan ingyenesen elérhető, NIS2-höz kapcsolódó tájékoztató anyagokat készített, amelyek a legfontosabb információt biztosítják a vállalatok részére, érintettségi kérdőívével pedig azon cégeknek is segített, akik bizonytalanok voltak a NIS2 relevanciájukat illetően. Az Egyetem továbbá a NIS2 érintett cégek számára olyan célzott kiberbiztonsági oktatóanyagokat is készített, amellyel egyszerűbben teljesíthetik NIS2-es tudatosítási és képzési kötelezettségeiket. 

 

 

Az edukáció fontosságának hangsúlyozásával indította előadását Bor Olivér, a Szabályozott Tevékenységek Felügyeleti Hatóságának kiberbiztonsági és kommunikációs szakértője is. Ismételten felhívta a figyelmet arra, hogy a kiberbiztonság a cégvezető felelőssége, sőt az ügyvezetés várhatóan eltiltható lesz a tevékenységtől, amennyiben a vállalat folyamatosan szabálysértést követ el e téren. 

 

Előadásából megtudhattuk, hogy a kibertámadások okozta ismert károk összege 2023-ban 8 ezer milliárd dollár volt. A támadások jellegét nézve továbbra is a zsarolóvírusok vezetnek, de egyre fajsúlyosabban jelenik meg az dezinformáció és az ellátási láncok elleni támadásoknak a formája, azaz nem a célvállalatot, hanem valamelyik partnercégét célozzák meg első körben a kiberbűnözők.  2022-ben a támadások 61%-a már a beszállítókat is érintette.

 

Magyarországon – méret és tevékenység alapján – az előzetes várakozások szerint közel 2.500 regisztrációs kérelemre számítottak, de a hatósághoz hozzávetőlegesen 3.900 regisztráció érkezett – ezek feldolgozása folyamatosan zajlik. Szankciók kapcsán kiemelte, hogy hatóságként azt szeretnék, ha a bírság elkerülése helyett a kibertámadások megelőzése lenne az igazi motiváció. Személy szerint is bízik abban, hogy a kiberbiztonság és annak megfelelő szintje a jövőben versenyelőny is lehet a vállalatoknál.  

 

Gondolatát Bíró Róbert, a Nemzeti Kibervédelmi Intézet kiberbiztonsági szakértője is folytatta, aki szintén azt hangsúlyozza, hogy a törvényben előírt szabályozás betartása tulajdonképpen a vállalatok elemi érdeke, és a megelőzésnél sokkal nagyobb károkat okozhat egy esetleges kibertámadás. 

 

A Nemzeti Kibervédelmi Intézet kapcsán nagyon sok téves információ van a köztudatban, előadása során pontosította a szervezet jogkörét, hatáskörét, illetve a kiberbiztonsági incidens fogalmát is. Felhívta a figyelmet a bejelentési kötelezettségre, az incidens jelentéssel kapcsolatos határidőkre, illetve hangsúlyozta, hogy a hatóság milyen segítséget tud adni kibertámadás esetén: eseménykezelési útmutatás, szaktanácsadás, adott esetben az intézetnek elemzési kapacitása is használható.

 

 

Az Educational Development Informatikai Zrt. vezérigazgatója, Dr. Szabó Balázs konkrét példán keresztül mutatta be, milyen folyamatok zajlottak eddig vállalatuknál a NIS2 megfelelés kapcsán. Példájuk azért is különleges, az e-Kréta rendszer fejlesztőiként egy rendkívül összetett, többszereplős folyamat szereplői, akik nem közvetlen a felhasználókkal, az iskolákkal és szülőkkel, hanem a megrendelő állami intézményekkel vannak kapcsolatban.

 

A konferencia szervezői megoldásokat is ígértek, és ezt be is tartották: bemutatták a Spartan Code Zrt. fejlesztését, az AEGIS Megfelelés Menedzsment Rendszert, amelyet Suti Péter, a cég üzletfejlesztési igazgatója ismertetett röviden. Egy olyan rendszerről van szó, amely segít rendszerezni a követelményeket, teljeskörűen támogatja a megfelelési folyamatokat, dokumentálja az incidenseket és vizsgálatokat, és valós idejű információt ad a döntéshozatalhoz. A kkv-k, nagyvállalatok és állami szervezetek számára egyaránt megoldást kínál ahhoz, hogyan lehet konzekvensen végigvinni és dokumentálni egy szervezetet a NIS2 megfelelés és egyben a kibervédelem folyamatán.  

 

A konferencia utolsó két egységében egy kiberbiztonsági tanácsadó és egy auditor cég képviselője tartottak előadást.

 

Dellei László a Cybersafe Hungary Zrt. kiberbiztonsági szakértője kiemelte, hogy nagyon fontos az emberi tényező, épp ezért kell olyan rendszereket alkalmazni, amely kiküszöböli, megelőzi az emberi mulasztást. Röviden bemutatta, milyen folyamatokon kell végigvinni a vállalatot, és milyen fontos paramétereket érdemes figyelembe venni a kiberbiztonsági szakértő kiválasztása kapcsán. 

 

Magyarországon jelenleg 8 olyan akkreditált auditor cég van az SZTFH adatbázisában, akik közül a NIS2 érintett cégek választhatnak. Ezen cégek egyike az Alverad Kft., akinek képviselője, Hinkel Attila az auditor feladatairól beszélt. Amit kiemelt, hogy a piaci szereplőkkel együtt már nagyon várják azt a rendeletet, amely szabályozza, hogy az audit során milyen paramétereket és hogyan kell vizsgálni, és ez a szabályozás ad majd iránymutatást arra is, hogy milyen keretek között mozog majd a kiberbiztonsági audit ára. 

 

Mindketten - mind a kiberbiztonsági szakértő, mint az auditor cég képviselője – felhívták a figyelmet arra, hogy az audit törvényben meghatározott végső határideje még távolinak tűnik, de nagyon sok a feladat addig, ráadásul azon szakértők és auditorok száma is korlátozott, akik segíteni tudják ezekben a folyamatokban a vállaltokat.

 

A konferencia korlátozott ideig visszanézhető a nis2konferencia.gde.hu weboldalon, ahol hamarosan elérhető lesz az előadások rövid írásos összefoglalója is.