Váltságdíj helyett kibervédelem – Érkezik a cégek EU-s kötelezettsége
Mintegy 2500 magyar cégnek kell június 30-áig jelentkeznie a Szabályozott Tevékenységek Felügyeleti Hatóságánál az Európai Unió új kibervédelmi direktívája nyomán – derül ki az index.hu írásából. Az EU célja, hogy növelje a tagállamok kibertámadásokkal szembeni ellenállóságát, mivel mára dollármilliárdos iparággá nőtte ki magát ez a terület és a hozzákapcsolódó adathalászat.
A kiberbiztonság változó helyzetéről tartott sajtóbeszélgetést a Magyar Telekom, miután idén nagyon fontos határidők jönnek az Európai Unió által tavaly januárban hatályba léptetett, NIS2 névre keresztelt (Network and Information Security Directive) kibervédelmi direktívája kapcsán. Annak célja ugyanis az, hogy a tagállamok jóval ellenállóbbak legyenek az immár dollármilliárdokban mérhető üzletággá nőtt kibertámadásokkal szemben.
Az elmúlt évtizedben már nem magányos hackerek viccből elkövetett magánakciói jelentik a legnagyobb problémát, hiszen az állami szereplőkön kívül a szervezett bűnözés egyik legprofitálóbb részévé váltak a kibertámadások, amelyeknek célpontjai akár középvállalkozások is lehetnek – emlékeztet cikkében az index.hu.
A támadások pedig nem kizárólag a cégekre, hanem drasztikus esetben akár a nemzetgazdaságra is kihatással lehetnek – elég arra gondolni, hogy 2021 májusában egy ransomware-támadás miatt Amerikában leállt a legnagyobb olajvezeték működése, ami miatt a keleti parton pánik lett úrrá az embereken, sok helyen azt okozva, hogy akár fizikai erőszakkal megharcolva, egymással küzdtek az autósok az utolsó csepp benzinért.
A legfrissebb, 2023-as adatok szerint a különböző zsarolóvírus-, az úgynevezett ransomware-támadások következtében a világon 1,1 milliárd dollárt fizettek ki a megtámadott cégek a hackereknek – a ransomware ugyanis a megtámadott cég adatait elérhetetlenné teszi mindaddig, amíg az adatokért cserébe ki nem fizetik a támadókat.
A kifizetett váltságdíj ráadásul csak a jéghegy csúcsa, hiszen a gazdaságra gyakorolt hatása még ennél is nagyobb. Sok cég ugyanis eleve nem fizet, hanem megpróbálja saját maga visszaállítani megtámadott rendszereit, azonban a zsarolók által zárolt adatok miatt ez akár napokig is eltarthat, ami alatt a cég nem tud működni sem, óriási kárt okozva az adott vállalat, drasztikusabb esetben pedig az egész ország gazdasága számára.
A Magyar Nemzeti Bank és a keretei között működő Pénzügyi Békéltető Testület a hazai alternatív vitarendezés fontos pilléreként támogatja az alternatív vitarendezési kultúra fejlődését és elterjedését. Ennek részeként – szakmai partnereivel közösen – június 6-án hetedik alkalommal rendez konferenciát a témában. A konferencia célja annak bemutatása, hogy az online tér kockázatai milyen veszélyeket hordoznak magukban a pénzügyeink biztonsága tekintetében, és a kibercsalások milyen kihívások elé állítják az alternatív vitarendezés szereplőit. A konferencián elhangzó előadások a Magyar Nemzeti Bank YouTube csatornáján megtekinthetőek élőben és utólag is:
VII. Alternatív Vitarendezési Konferencia | Kibercsalások és az alternatív vitarendezés (youtube.com)
Az adat az új olaj
A kibertámadások növekedésének egyik indikátora a fentebb jelzett váltságdíj-kifizetéseknek az emelkedése, azonban bizonyára olvasóink is találkoztak már azzal, hogy sms-ben, e-mailben vagy különböző üzenetküldő alkalmazásokon (Messenger, WhatsApp, Telegram, Signal stb.) egyre gyakoribbá váltak az ismeretlenek által küldött, linkkel ellátott üzenetek.
Az ilyen, általában vagy angolul, vagy pedig nagyon rossz gépi fordítással magyarul elküldött üzenetek általában egy linket is tartalmaznak. Az üzenetet elküldő botnak vagy személynek pedig az a célja, hogy a hivatkozásra rákattintsunk, majd ezáltal megfertőzve telefonunkat vagy számítógépünket zárolja adatainkat, amit ezután vagy váltságdíjjal megváltva, vagy szakértők segítségével szerezhetünk csak vissza.
Nemes Imre, a Telekom kiberbiztonsági vezetője szerint mára az adat vált az új olajjá, ezért azt is úgy kell védenünk, mint fizikai értékeinket. Ha van ajtónk, azt bezárjuk az idegenek elől. Minden cégnek, amelyik bármilyen adatot tárol, olyan vagyona van, amit ugyanígy védeni kell – fogalmazott a szakember, aki hozzátette, [a kibertámadás] nem valami csillagháborús dolog, hiszen az már a mindennapi életünk része. Szerinte emiatt is fontos, hogy mind a felhasználók, mind a cégek tisztában legyenek a lehetséges kockázatokkal, és olyan rendszereket működtessenek, ami a lehető legjobban tud ellenállni az ilyen támadásoknak.
Nagy Gergely cybersecurity konzulens szerint az utóbbi időben ráadásul már nemcsak nagyvállalatokat érhet ilyen támadás, hanem bizonyos kkv-kat is, hiszen az utóbbi években megnőtt a középvállalatok ellen indított kibertámadások száma itthon is.
2500 cég lehet érintett, fontos időpontok jönnek
Az EU részben emiatt döntött a NIS2 életbe léptetéséről, aminek – mint fentebb jeleztük – célja, hogy a tagállamok ellenállóbbá váljanak az ilyen jellegű támadásokkal szemben. Az EU nyolc kiemelten kockázatos ágazatot (bankszektor, digitális infrastruktúra, egészségügy, energia, ivóvízellátás, közigazgatás, pénzügy) és további hat kockázatos ágazatot (digitális szolgáltatások, élelmiszer, gyógyszergyártás, hulladékgazdálkodás, postai és futárszolgálatok, vegyi anyagok) azonosított, amelyek kibervédelme létfontosságú, emiatt magasabb védelmet vár el a cégektől.
Szakértők szerint csak Magyarországon 2500 cég lehet érintett az új direktíva kapcsán, de ha azoknak a beszállítóit és partnereit is beleszámoljuk, akkor már ennek a duplájáról beszélhetünk. Egyrészt a cég mérete, árbevétele és tevékenysége alapján határozták meg, hogy egy adott vállalkozás érintett-e.
Manapság ugyanis már nem elég önmagában egy vírusirtó szoftver, az nem nyújt elegendő védelmet a kitettség ellen, ennél jóval komolyabb védekezésre van szükség mind a szoftver, mind a hardver szempontjából. Az új direktíva a magasabb szintű védelem mellett előírja, hogy a cégeknél legyen egy információbiztonsági felelős (IBF), aki kapcsolattartóként egy incidens esetén 24 órán belül jelenti azt a hatóságnak, ami Magyarországon a Szabályozott Tevékenységek Felügyeleti Hatósága (SZTFH).
Ráadásul a magyar szabályozás szerint nem a hatóságnak kell felkutatnia az érintett cégeket, hanem azoknak maguknak kell jelentkezniük a hatóságnál.
Az első fontos határidő pedig közeleg, ami a nyilvántartásba vétel határideje. Az érintett cégeknek június 30-áig jelentkezniük kell az SZTFH oldalán, mivel a NIS2 október 18-án fog hatályba lépni – addig egyébként a direktívát minden uniós tagállamnak át kell ültetnie saját jogrendjébe. Az érintett cégeknek ezután év végéig szerződést kell kötniük egy auditorral, ami legkésőbb 2025. december 31-éig az első átvilágítást végre is hajtja – Magyarországon jelenleg mindössze két cég vállal ilyen jellegű auditálást.
Arról már Boros Robin, a Telekom biztonsági specialistája beszélt, hogy ezek elmulasztása bírsággal jár, ami maximum 10 millió eurót vagy az adott cég éves forgalmának két százalékát jelentheti. Ráadásul a hatóság által kiállított csekk mellé a vállalkozás azt is kockáztatja, hogy megfelelő védelem nélkül a ransomware-támadásokkal szembeni kitettsége is magasabb, ami miatt nem éri meg ezen spórolni.
Boros szerint fontos, hogy a cégeknek olyan védelme legyen, ami már a próbálkozásokat is észleli, hiszen összességében jóval többe kerül a kár, mintha egy ellenálló védelmi mechanizmust építettek volna ki – elképzelhető, hogy a támadás miatt le kell állítani a gyárat, amíg a szakemberek vissza nem szerzik az irányítást a rendszerek felett.
Legfontosabb a prevenció és az oktatás
Abban mindhárom szakértő egyetértett, fontos, hogy a cégek minél felkészültebb és jobb védelmi rendszerrel rendelkezzenek, azonban majdnem ugyanilyen fontos a személyi oktatás és a kiberbiztonsági tudatosság növelése is. Ugyanis, ha valaki nem tud felismerni egy adathalász linket, akkor is könnyen történhet baj.
Tapasztalataik szerint Magyarországon a kiberbiztonsági ismeretek alacsonyak, miközben Nagy szerint a kibervédelmi oktatásoknak legalább olyan fontosnak kéne lenniük a munkahelyeken, mint a munkavédelmi vagy tűzvédelmi oktatásnak.
Mint arra utaltak, itthon elég gyakori, hogy egy ilyen oktatás során az adathalász tesztlevelekre a cégeknél 20, de akár 30 százaléknyian is rákattintanak, és csak több körös oktatás után sikerül ezt a számot csökkenteni, de így is akad mindig valaki, aki ezután is hibázik. Szerintük emiatt a megfelelő védelmi rendszer kiépítése mellett az oktatással is többet kellene foglalkozni, hiszen csak így csökkenthetők a kockázatok.