"A kibertámadókat nem érdekli, hogy valaki megfelel-e a szabályozásnak"

Milyen tapasztalatokat szereztek eddig a NIS2-auditok során? Mit lát, mennyire felkészültek a magyar vállalatok?

Alapvetően két nagy csoportot látunk. Az egyikbe a nagyobb, nemzetközi hátterű vállalatok tartoznak. Náluk általában megvan a szükséges szabályozottság és szervezeti háttér, ugyanakkor a magyar kiberbiztonsági követelmények teljesítése számukra sem mindig egyszerű.

A másik csoportot a kisebb magyar vállalkozások alkotják. Náluk sokszor az informatikai biztonság még mindig távoli téma, és előfordul, hogy alapvető biztonsági folyamatok vagy szabályzatok sem léteznek.

Ezeknél a cégeknél gyakran teljesen a nulláról kell elkezdeni a munkát.

Vannak olyan iparágak, amelyek különösen nehéz helyzetben vannak?

Igen. Az élelmiszeriparban, az agrárszektorban és a gyártóipar több területén is jelentős hiányosságokat látunk. A gépgyártásban, a szerszámiparban vagy az elektronikai gyártásban működő cégek egy része még mindig idegenkedve tekint a kiberbiztonsági követelményekre.

Pedig ezek a vállalatok ugyanúgy célpontjai lehetnek egy kibertámadásnak, mint bármely más szervezet.

Melyek a leggyakoribb problémák és kihívások, amelyekkel az auditok során találkoznak?

Sok esetben hiányosak a szabályzatok, vagy egyes területek teljesen szabályozatlanok. Gyakran nincs üzletmenet-folytonossági terv,

hiányzik a katasztrófahelyzeti felkészülés, nem megfelelő az adatmentés vagy az adatok földrajzi elkülönítése.

Szintén gyakori probléma a nem megfelelő jelszókezelés, illetve az, hogy bizonyos biztonsági területeknek nincs kijelölt felelőse.

A vállalatok inkább kötelező megfelelési feladatként vagy stratégiai lehetőségként tekintenek a NIS2 magyar átültetését megvalósító kiberbiztonsági törvényre?

A többség próbál megfelelni, és sok ügyfél valóban komolyan veszi a követelményeket. Ugyanakkor még mindig jelentős azoknak a cégeknek a száma, akik inkább megpróbálnak kibújni a szabályozás alól.

Előfordul például, hogy

egyes cégek a regisztráció során nem tüntetnek fel minden tevékenységet, vagy módosítják a tevékenységi köreiket annak érdekében, hogy ne kerüljenek a szabályozás hatálya alá.

És ez működő stratégia lehet?

Szerintem nem. A kibertámadókat ugyanis nem érdekli, hogy egy vállalat a NIS2 hatálya alatt végzi a tevékenységét vagy sem.

Ők azt nézik, hogy egy szervezet mennyire sérülékeny, milyen adatokkal rendelkezik, milyen könnyű neki kárt okozni és mekkora összeget lehet rajta keresztül megszerezni.

Attól, hogy valaki kikerüli a szabályozást, még nem lesz kevésbé támadható.

Június 30-a az első kötelező kiberbiztonsági audit tényleges lefolytatásának és zárásának végső határideje. Mennyire ösztönzi ez a cégvezetőket arra, hogy érdemben foglalkozzanak a kiberkockázatokkal?

Ez az egyik legnagyobb probléma. Sok vezető úgy gondolkodik, hogy ha tegnap nem történt semmi, akkor holnap sem fog.

Többször találkoztunk olyan esettel, amikor egy vállalat korábban elutasította a biztonsági fejlesztéseket, majd néhány hét múlva zsarolóvírus-támadás áldozata lett.

Ilyenkor már nemcsak az informatikai rendszer helyreállítása kerül sokba, hanem az ügyfelek bizalmának visszaszerzése is. Egy komoly incidens akár egy teljes üzleti modell összeomlásához vezethet.

Mi jelenti a legnagyobb kihívást a NIS2-követelmények teljesítésében?

A legfontosabb kérdés az, hogy a vállalat vezetése valóban felismeri-e a kockázatokat. Ha valaki nem hiszi el, hogy egy kibertámadás az ő cégét is érintheti, akkor nagyon nehéz előre lépni. Pedig ugyanúgy, ahogy egy autóban bekötjük a biztonsági övet, a digitális térben is szükség van alapvető védelmi intézkedésekre.

A kibervédelem terén mekkora szerepe van a dolgozók képzésének?

Óriási. A biztonságtudatossági oktatás önmagában is jelentős védelmi szintet adhat egy szervezetnek. Ha a munkatársak felismerik a gyanús e-maileket, nem kattintanak minden linkre és tudatosabban használják a vállalati rendszereket, máris jelentősen csökken a kockázat.

A legtöbb incidens ugyanis nem technológiai hiba, hanem emberi mulasztás miatt következik be.

Milyen technikai hiányosságokkal találkoznak a leggyakrabban?

Meglepően sok helyen ugyanazon a hálózaton működnek az ipari rendszerek és a dolgozók személyes eszközei. Előfordul, hogy egy gyártósori számítógép ugyanarra a hálózatra csatlakozik, mint egy régi, nem frissített mobiltelefon vagy egy otthonról behozott laptop. Ez rendkívül veszélyes, mert egy fertőzött eszközön keresztül az egész vállalati rendszer veszélybe kerülhet.

Mi alapján lehet majd megítélni, hogy sikeres volt-e a NIS2 bevezetése Magyarországon?

A legfontosabb mérce az lesz, hogy a cégek hogyan reagálnak az első auditok eredményeire. Kijavítják-e a feltárt hibákat? Fejlesztik-e a rendszereiket? Képezik-e a dolgozóikat? Beépítik-e a biztonságot a napi működésbe?

Azok a szervezetek, amelyek

az auditot nem egyszeri kötelezettségként, hanem fejlődési lehetőségként kezelik, hosszú távon sokkal jobb helyzetbe kerülnek.

Ön évtizedes tapasztalattal rendelkezik a kibervédelem terén. Mi a véleménye, várhatók még változások a rendszerben?

Igen, erre számítok. A jelenlegi szabályozás elsősorban a megfelelésre és a dokumentációra helyezi a hangsúlyt. A jövőben várhatóan egyre több technikai követelmény és gyakorlati biztonsági elvárás jelenik majd meg. Emellett fontos változás, hogy a közelmúltban a hatóság egységesítette az auditorokkal szemben támasztott követelményeket, ezáltal

egyszerűbbé válik az auditor kiválasztása és az auditfolyamat megszervezése az érintett cégek számára. ami erősítheti a versenyt és kedvezőbb helyzetet teremthet a vállalatok számára.

Mi a legfontosabb üzenet a vállalatok számára a kibervédelem terén?

A NIS2 nem önmagáért létezik és nem pusztán egy újabb adminisztratív kötelezettség.

A cél az, hogy a magyar vállalatok ellenállóbbak legyenek a kibertámadásokkal szemben.

A kérdés nem az, hogy valakit érhet-e támadás, hanem az, hogy amikor bekövetkezik, képes lesz-e kezelni annak következményeit.