A kibertámadások száma és az általuk okozott károk olyan mértékűvé váltak, hogy azokat globális szinten az egyik legégetőbb, hatásukat tekintve legsúlyosabb veszélyforrások között kell említenünk – figyelmeztetnek az Indexnek nyilatkozó kibervédelmi szakértők. Rámutattak, hogy Magyarország is a célpontok között szerepel. A 2024-es ITBN-konferencia (Informatikai Biztonság Napja) fő témája a kiberbiztonság és az emberi erőforrást érintő mesterséges intelligencia (MI).
A kiberbűnözők világszerte közel 8000 milliárd dollárnyi kárt okoztak a cégeknek és felhasználóknak 2022-ben.
Ez a szám 2016 óta megállás nélkül növekszik.
„A szakértők előrejelzése szerint 2025-re ez a szám eléri, majd meghaladja a 10,5 milliárd dollárt, 2028-ban pedig megközelítheti a 13,82 milliárd amerikai dollárt, tehát ez nem csak egy magyarországi jelenség” – jelezte az Indexnek Bor Olivér, a Szabályozott Tevékenységek Felügyeleti Hatóságának (SZTFH) kommunikációs szakértője.
Magyarországra is súlyos veszély leselkedik
A kibertámadások száma és az általuk okozott károk olyan mértékűvé váltak, hogy azokat globális szinten az egyik legégetőbb, hatásukat tekintve legsúlyosabb veszélyforrások között kell említenünk – véli Bor Olivér. A megállapításhoz csatlakozott Marsi Tamás, a Nemzeti Kibervédelmi Intézet (NKI) főosztályvezetője.
Magyarország, mint az összes térségbeli ország az utóbbi években növekvő mértékben vált kibertámadások célpontjává, különösen az ukrán–orosz konfliktus miatt kialakult geopolitikai helyzet és a technológiai fejlődés következtében
– világított rá Marsi, majd elmagyarázta, hogy egyre magasabb az infokommunikációs eszközök szerepe a társadalomban és a kereskedelem egyre nagyobb szelete tevődik át az internetre, ez vonzza a kiberbűnözőket.
Az ország NATO-tagsága és az Európai Unióban betöltött szerepe miatt különösen érzékeny lehet külföldi állami hackerek célpontjaként
– szögezte le. Ezekre válaszul született meg az EU kiberbiztonsággal kapcsolatos irányelvének hatályos verziója. A NIS2 irányelv elvárásai jóval nagyobb számú szervezet számára jelentenek feladatot. A NIS1-hez képest bővült a hatály alá tartozó ágazatok száma (pl. egészségügy, közlekedés, energiaágazat, űripar, gyártás) , valamint a tagállami azonosítás helyett általános méretkorlát került bevezetésre.
Egy intézmény, de akár egész város, sőt régió egészségügyi ellátását leállíthatják a kiberbűnözők, ha megvalósul a legrosszabb forgatókönyv
– mutattak rá a kibertámadások veszélyére korábbi interjúnkban egészségügyi szakértők. Egyre gyakrabban fordul elő, hogy hackerek az érzékeny egészségügyi adatokért váltságdíjat kérnek, sőt megtörtént már, hogy zsarolóvírussal kórházi rendszert bénítottak meg. Egy németországi eset során egy beteg meg is halt, mert nem jutott időben ellátáshoz – világítottak rá a szakértők. A kiberkalózok pedig nemcsak magánszemélyeket és kórházakat, de cégeket is megtámadnak.
Új elem a hazai szabályozásban, hogy a szervezeteknek rendszeresen független auditorral kell értékeltetniük a követelményeknek való megfelelést.
Magyarországon 2500-3000 vállalatnak jelenthet ez kihívást
– rögzítette Marsi Tamás. Alapesetben a kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről szóló 2023. évi XXIII. törvény (Kibertantv.) felügyeleti hatálya nem terjed ki a kis- és középvállalkozásokról, fejlődésük támogatásáról szóló 2004. évi XXXIV. törvény szerinti mikro- és kisvállalkozásokra, kivéve ha az érintett szervezet elektronikus hírközlési szolgáltató, bizalmi szolgáltató, DNS-szolgáltatást nyújtó szolgáltató, legfelső szintű domainnév-nyilvántartó vagy domainnév-regisztrációt végző szolgáltató.
Sok cég nincs felkészülve egy kibertámadásra
Minden cégnek szükséges minden tőle telhetőt megtenni annak érdekében, hogy információs rendszereit és adatait megvédje, nem csak itthon. A hazai cégek felkészültsége eltérő mértékű, és inkább szektorális megközelítést igényel.
Egyes ágazatok ellenállóbbak a kibertámadásokkal szemben, vagyis magasabb szinten áll az érettségük, más iparágak pedig akár jócskán le is vannak maradva
– jelezte Bor Olivér. Szerinte ez adódhat abból is, hogy egyes cégek, szervezetek eddig is foglalkoztak kiberbiztonsággal és áldoztak erre, mások viszont kis túlzással, azt sem tudták, hogy létezik ilyen „fogalom”.
Tehát van olyan szektor és cég, ahol kevesebb kihívást fog jelenteni a szabályozás, és bizony szép számmal akadhatnak olyan ágazatok, szervezetek, ahol bőven lesz teendő. „Az biztos, hogy az SZTFH szabályozói és hatósági tájékoztatói oldalról nézve mindent megtett és megtesz annak érdekében, hogy a legszélesebb körű tájékoztatást nyújtsa az érintett cégek számára” – szögezte le.
2023 tavaszán indítottuk az első országos tudatosító kampányunkat, amit idén tavasszal megismételtünk. Ezen roadshow keretein belül 14 vármegyébe, több mint 1000 résztvevőhöz jutottunk el és közel 5000 kilométert tettünk meg
– rögzítette a szakértő, megjegyezve, hogy ezek csak kifejezetten a NIS2 irányelvhez és az úgynevezett kibertanúsítási törvényhez kötődő tájékoztató kampányuk számai, ezen kívül kiberbiztonsági szakértő kollégáival csak idén már több mint 150 alkalommal tartottak előadást vagy vettek részt kerekasztal-beszélgetésben valamilyen kiberbiztonságot érintő aktuális témában.
Magyarország gyorsan lépett
Bor Olivér kiemelte az állam szabályozói és felügyeleti tevékenységét.
Az egész unióban Magyarország volt az első, aki megkezdte a NIS2 irányelv implementációs folyamatát.
Az SZTFH kezdeményezésére 2023 májusában már saját jogszabállyal rendelkeztünk az irányelvhez kapcsolódóan, aminek köszönhetően az érintett vállalatoknak jóval több idejük van felkészülni a megfelelésre, mint a többi tagállamnak (2023. évi XXIII. tv.).
Ezen jogszabályhoz köthető tájékoztató kampány indult el tavaly tavasszal, mellyel párhuzamosan a hazai konferencia szcéna meghatározó szereplőivé váltak a hatóság munkatársai. Így számtalan alkalommal nyílt lehetőség akár a személyes diskurzusra is, melyektől egyetlen alkalommal sem zárkóztunk el
– mutatott rá a szakértő, hozzátéve, hogy mindezek mellett a Hatóság LinkedIkn-oldalán is aktívak voltak a témában, a Minden Kiberül elnevezésű podcastben többször is feldolgozták a NIS2-t és a Kibertantv.-t.
„Az érintett cégek nyilvántartásba vételi kérelmének kezdeti időpontjáig állásfoglalás-kérésekkel is lehetett hozzánk fordulni, melyre igyekeztünk maradéktalanul válaszolni, holott jogszabályi kötelezettség nem terhelt minket.”
A hatóság saját bevallása szerint nem szeretne minden kiberbiztonságot érintő problémát egyedül megoldani, így együttműködésben dolgozik számos piaci szereplővel.
Minden esetben azt javasoltuk azon cégeknek, akik egyedül nem tudják eldönteni akár már az érintettségüket sem, vagy nem tudják, hogy kezdjék a megfelelésre való felkészülést, hogy keressenek fel egy tanácsadó céget
– mondta Bor Olivér. „Nagyon fontos, hogy merjenek segítséget kérni, hisz a korábbi statisztikai számokból jól látszik, hogy a tét nagy, ha kiberbiztonságról beszélünk.”
Büntetés jöhet annak, aki nem tartja be a határidőket
A legfontosabb határidőket is ismertette az SZTFH szakértője:
Az egyik legfontosabb határidő június 30-a volt: ez a korábban említett nyilvántartásba vételi időszak utolsó dátuma, amely 2024. január 1-től tart. Az érintett cégeknek ezen időablakban volt lehetősége a magyarorszag.hu elektronikus felületen keresztül kezdeményezni hatóságunknál a nyilvántartásba vételt. „Persze a nyilvántartásba vételi lehetőség még mindig és majd folyamatosan nyitva áll – és erre is buzdítunk mindenkit, hogy ezt tegye meg –, de a jövőben a késedelmes regisztrációért vagy annak elmaradásáért szankciókra lehet számítani.”
Ezt követően 2024-ben két fontos dátumra érdemes figyelni: október 18-án élesedik a NIS2, így innentől kezdve alkalmazni kell a védelmi intézkedéseket; valamint december 31-ig minden érintett cégnek le kell szerződnie egy olyan auditorral, aki az SZTFH vonatkozó nyilvántartásában szerepel.
2025 év végéig pedig le kell folytatni az első kiberbiztonsági auditot, amit kétévente szükséges megismételni.
Mi történik azzal, aki nem tartja be a határidőket?
A NIS 2 irányelv hazai implementációs folyamatának egyik legfontosabb eleme a már korábban is említett Kibertantv., azaz a kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről szóló 2023. évi XXIII. tv.
Ez a jogszabály – azon túlmenően, hogy felügyeleti jogkörrel ruházta fel az SZTFH-t – meghatározza azon érintett ágazatokat – illetve egyéb érintettségi kritériumokat –, ahol az uniós irányelv által szabott határidőtől kezdve kiemelten kell foglalkozni a kiberbiztonsággal, és adott esetben olyan védelmi intézkedéseket alkalmazni, amelyekre korábban nem feltétlenül volt példa.
A Kibertantv. megfogalmaz kiberbiztonsági követelményeket, kockázatkezelési intézkedéseket is, melyeket az érintett cégeknek meg kell valósítaniuk és be kell tartaniuk.
Idén július 8-án megjelent a 186/2024-es számú Kormányrendelet, ami módosítja a kiberbiztonsági bírságokról szóló 305/2023-as Kormányrendeletet. Ez a módosítás már egészen pontosan tartalmazza azon érintettekre kiszabható bírságok mértékét, akik nem teljesítik a nyilvántartásba vételre vonatkozó adatszolgáltatási kötelezettséget, vagy határidőn túl abszolválják azt.
Kisebb bírsággal kell szembenéznie annak, aki magától, de késve adja be a regisztrációs kérelmet, és nagyobbal annak, akiről a hatóság állapítja meg, hogy nem tett eleget regisztrációs kötelezettségének
– szögezte le Bor Olivér, majd hozzátette, hogy
Ha a hatóság állapítja meg a mulasztást, akkor a büntetés maximális tétele 150 millió forint
– vagy előző évi költségvetési bevételi előirányzatának legfeljebb 2 százaléka –, de már régóta kommunikálják, hogy itt GDPR-szintű bírságokkal kell szembenézni.
„Fontos még, hogy az SZTFH-nak egyéb szankciós intézkedések is a rendelkezésére állnak, és azokat is következetesen alkalmazni fogjuk.” A Kibertantv. vonatkozó része idén október 18-án lép majd hatályba, és ez meghatározza az SZTFH szankciós jogosultságát, ami a bírságok mellett lehet még figyelmeztetés, határidő tűzése, vagy akár eltiltás is.
Az egész szabályozás célja az, hogy a szervezetek képesek legyenek felismerni, ha megtámadták őket, megvédeni magukat, folyamamtosan képesek legyenek biztosítani a szolgáltatásukat,
tehát a legfontosabb cél, hogy minden a normális kerékvágásban menjen. Ha egy szervezet megfelelően felkészült, és ellenálló lesz a kibertámadásokkal szemben, akkor is lehetséges, hogy éri támadás, de ekkor már rendelkezésére áll az az eszközrendszer, melyet a szabályozás következtében beépített a működésébe, valamint a Nemzeti Kibervédelmi Intézet incidenskezelési szolgáltatását is igénybe tudja venni minden, a törvény hatálya alá tartozó ügyfél.
Cikkünk témáját járja körül különféle szakmai területek és kérdések mentén 2024 szeptemberében az ITBN-konferencia, az Informatikai Biztonság Napja CONF-EXPO. Itt szó esik majd többek közt az informatikai biztonság kérdéséről, illetve az AI terjedéséről, fejlődéséről, munka világára és teljes társadalmunkra vetített hatásairól.