Ha egy vállalat informatikai rendszereket működtet, interneten keresztül nyújt publikus szolgáltatásokat, vagy saját információs rendszere az internetet is használja, elemi érdeke, hogy felmérje az ebből eredő kockázatait. Ez az első lépés ugyanis ahhoz, hogy nagyobb eséllyel védjen ki például egy ransomware-támadást amely köztudottan pénzügyi és reputációs veszteséggel is járhat. Utána persze fel kell építeni a megfelelő színvonalú védelmet is. Az általánosan magas szintű kiberbiztonság lehetőségét teremti meg az Unió tagállamaiban a NIS2 – mondta dr. Bencsik Balázs, a Szabályozott Tevékenységek Felügyeleti Hatósága (SZTFH) kiberbiztonsági igazgatója lapunknak az idén ősszel életben lépő EU-s direktíva hátteréről.

"A direktíva, illetve annak hazai implementációja túl sok újdonságot nem hoz a szakmai sztenderdekhez képest. Bármilyen bechmarkot, jó gyakorlatot nézünk, szinte mindegyikben ugyanezek az alapelvek vannak: az első lépés a kockázatelemzés, a második az információs rendszerek – szoftverek és az általuk használt adatok, különböző információk stb. – értékelése, hogy tudjam, mit kell megvédenem, végül kell egy módszer, amivel meg is tudom azokat védeni. Az audit pedig segít a folyamatos fejlődésben azáltal, hogy megmutatja, a vállalat hogyan oldotta-e meg a három alapfeladatot, mi működik jól, hol vannak hiányosságok, mit kell fejleszteni" – foglalta össze a szabályzói szándékot az igazgató, aki abban látja a NIS2 legfontosabb újdonságát, hogy uniós szinten generális szabállyá teszi a szervezetek biztonsági képességeinek folyamatos javítását.

Bitport: Hogy látják az SZTFH-nál a magyar szervezetek jelenlegi felkészültségi szintjét?

Bencsik Balázs: Ha el akarnám kerülni a választ, azt mondanám, attól függ, mert ez valóban sokváltozós függvény. De a hiteles válasz valójában az, hogy nem tudjuk. Erre ugyanis nem létezik mérés. Nehéz is lenne mérni, hiszen nincs olyan mérőszám, amivel kifejezhetnénk egy adott vállalat kiberbiztonsági felkészültségét. Indikátorok azonban vannak, melyekből lehet következtetni a fejlettség szintjére.

Ilyen indikátornak tekinthető, ha adott szektorban van valamilyen külső elvárás a cégekkel szemben. Ez lehet például jogszabály, mint ami például a kritikus infrastruktúrát üzemeltető cégek kibervédelmét szabályozza, lehet valamilyen cégen belüli szabály, például amikor egy globális vállalat meghatároz bizonyos követelményeket leányvállalatai, beszállítói számára, de lehet piacra lépés feltétele is, amikor bizonyos tanúsítványok megszerzése az előfeltétele, hogy adott cégnek esélye legyen adott piacon. Ilyenkor az érintettek többnyire igyekeznek is teljesíteni a rájuk vonatkozó előírásokat.

A másik oldalon viszont vannak azok a cégek, amelyek ilyen előírásokkal egyáltalán nem találkoznak. Ezek a szervezetek vagy egyáltalán nem foglalkoznak a kérdéssel – mert nem is akarnak rá költeni –, vagy önkéntesen próbálnak néhány dolgot bevezetni, ami legalább részleges felkészültséget jelenthet.

A NIS2 ezeket az egyenlőtlenségeket kívánja felszámolni a szabályozás segítségével. A szabályzó meghatározta azt a minimumot, amit minden szervezetnek teljesítenie kell. Mivel általános érvényű, ezért az elvárás nem lehet túl magas, és természetesen túl alacsony sem. A NIS2 jól egyensúlyoz, nem fogalmaz meg teljesíthetetlen elvárásokat, és betartása jó védelmi szintet ad.

Bitport: Hogy halad a direktíva átültetése a magyar jogrendbe?

B. B.: Magyarország korán ébredt. Hamarosan egy éves lesz a Kibertan.tv., amely az alapvető szabályokat átültette a magyar jogrendbe. Tavaly május 23-án jelent meg a törvény, amely alapján a cégek hozzákezdhettek a felkészüléshez. De az SZTFH-t sem érheti az a vád, hogy nem jelezte időben a teendőket.

Bitport: Az érintettek viszont a végrehajtási utasítás és a részleteket szabályzó rendeletek hiányára panaszkodnak...

B. B.: Erre valóban hivatkozhatnak, de ha megnézik, hogy melyek az alapvető követelmények, amiknek meg kell felelniük, akkor azt is látják, hogy a teendőket bármilyen szakmai irányelvből vagy kiberbiztonsági szabványból, valamint létező magyar jogszabályokból ki tudja olvasni. Szóval azt állítani, hogy nem állnának rendelkezésre kapaszkodók a felkészüléshez, túlzás.

Abban valóban igazuk van a cégeknek, hogy a biztonsági osztályba sorolásról szóló rendelet még nem készült el. Ezt eredeti ütemezés szerint januárra kellett volna kiadni. Ez várhatóan hamarosan megtörténik – mi is nagyon várjuk az SZTFH-nál. De még egyszer szeretném hangsúlyozni: a meglévő jogszabályok, például a biztonsági osztályba és biztonsági szintbe sorolásra vonatkozó követelményekről kiadott 41/2015 BM rendelet alapján, amely az új rendelet egyik alapjai is, el lehetett kezdeni a munkát, hogy az október 18-ai startra minden kész legyen.

Ráadásul onnan számítva 2025. december 31-éig még mindig lesz idő pótolni az esetleges hiányosságokat, finomítani a finomítandókat. Összességében a törvény hatályba lépésétől számítva több mint két és fél év áll a cégek rendelkezésére a felkészüléshez.

Bitport: A leendő auditoroknak is vannak ilyen támpontjaik?

B. B.: Ehhez is szükség lesz a már említett rendeletre, mert az alapján lehet határozni az auditorokkal szemben támasztott követelményeket. Egy alapfeltételt a törvény fogalmaz meg: a pályázóknak bele kell kerülniük a sérülékenység-vizsgálat lefolytatására jogosult gazdálkodó szervezetek nyilvántartásába az Alkotmányvédelmi Hivatalnál. Ennek feltételei elég szigorúak, de nem teljesíthetetlenek.

Bitport: A SZTFH többször is kommunikálta, hogy mintegy 2000-2500 céget kell majd auditálni. De olvashattunk már 4000-es számról is. Hány auditor cégre van szükség ahhoz, hogy a teljes cégkört kétévente lehessen auditálni?

B. B.: A jogalkotó nem innen közelített ehhez. Azt a kérdést tette fel: kinek van nagyobb esélye arra, hogy kétezer céget auditáljon, az államnak vagy a piacnak? A választ pedig a törvény tükrözi. Az állam itt csak szabályzóként akar fellépni, és lehetővé teszi, hogy a kereslet és a kínálat egymásra találjon.

Az persze jó kérdés, hogy van-e ehhez elegendő kibervédelmi szakember. Általában nincs. Magyarországon sem, Európában sem, de globálisan sem. Szerintünk Magyarországon még annál is kevesebben vannak, mint ahányra minimálisan szükség lenne. A NIS2 talán arra is jó lehetőség, hogy a szakma bővüljön. Ha látszik, hogy tartósan nagy a kereslet a kibervédelmi szakértelemre, akkor a terület több szakembert és céget fog vonzani.

Bitport: Ha már itt tartunk, készített az SZTFH arra vonatkozóan becsléseket, hogy a NIS2 milyen hatással lesz a kiberbiztonsági piacra?

Dr. Bencsik Balázs
Az IKT szakjogászi és kiberbiztonsági végzettséggel rendelkező szakember több mint hét évig irányította a Nemzeti Kibervédelmi Központot. 2022-től az SZTFH kibevédelmi igazgatója.

B. B.: Azt egyértelműen látjuk, hogy megmozdítja a piacot. Egyrészt némileg átszervezi a cégek belső életét, a megfeleléshez ugyanis belső erőforrásokat kell mozgósítani. Hat a gyártói oldalra, mert olyan cégek vásárolnak eszközöket, szolgáltatásokat, melyek korábban esetleg csak minimálisan költöttek kiberbiztonságra. De a legjelentősebb hatást az auditori és főleg a tanácsadói piacon várom. Tanácsadókra azért lesz nagy a kereslet, mert sok cégnél korábban nem volt semmiféle biztonsági előírás, ezért a NIS2-megfeleléshez szükséges kompetenciákat a leggyorsabban tanácsadóktól tudják megszerezni.

Arra vonatkozóan sajnos nincs adatunk, hogy a megoldásszállítók mennyire készültek fel a megugró kereslet kiszolgálására. De a piac rugalmas. A 2010-es évek elején mindössze néhány kiberbiztonságra koncentráló cég volt a piacon. Most viszont bőséges a kínálat, sőt a klasszikus vállalati megoldásszállítók többsége szintén rendelkezik kiberbiztonsági üzletággal. Úgy vélem, a piaci szereplők felnőttek ehhez a feladathoz, megoldásszállítók, szolgáltatók, tanácsadók egyaránt.

Bitport: Segíthetnek-e az auditjelentések, hogy átfogóbb képet kapjunk a magyar vállalati szféra kiberbiztonsági felkészültségéről? Van terve az SZTFH-nak az auditjelentésekből kinyerhető adatokkal?

B. B.: Egy audit célja az, hogy a cég átfogó képet kapjon jelen állapotáról, és lássa, hogy milyen irányba kell fejlődnie. Az SZTFH viszont ezekből a jelentésekből elkészítheti a magyar vállalati szektor kiberbiztonsági lenyomatát, akár ágazati bontásban. Az adatokból megrajzolható az ország kockázati térképe, ami felhasználható akár védelmi, nemzetbiztonsági értékelésekhez is.

Bitport: Képesek lesznek tartani a határidőket a magyarországi szervezetek? Hoz a NIS2 tényleges változásokat a cégek biztonsághoz való hozzáállásában?

B. B.: Mi úgy véljük, mindkét kérdésre igen a válasz. Emlékezzen vissza a GDPR bevezetésére! Ott hasonló volt a helyzet. Persze kétségtelen, hogy akkor szabályzatok készítésével is el lehetett jutni a megfelelésig, és ez a NIS2-nél nem elég. El kell végezni a GAP-elemzést, amely megmutatja az elérendő cél és a jelen állapot különbségét, azonosítani kell a legfőbb kockázatokat, azokra megoldást találni, akár eszközvásárlással. Ha egy cég csak a legsúlyosabb hiányosságait pótolja, máris jelentős pozitív elmozdulás történt.

Abban persze nem hiszünk, hogy két év múlva Magyarországon minden "zöld" lesz a vállalatok kibervédelmében. Ez nem is lehet cél. Olyan vállalat nincs, amelynél minden tökéletes. De olyan vállalat igenis létezhet, amelynél nincs magas biztonsági kockázat; az alacsonyabb kockázatok ugyanis általában menedzselhetők. Az audit feltárta hiányokat természetesen pótolni kell, de épp ez a lényege: felhívni a figyelmet a pótolandókra.

_{(Fotó: SZTFH)}

Ez a cikk független szerkesztőségi tartalom, mely a RelNet Technológia Kft. támogatásával készült. Részletek »