Nyáron lezárult a NIS2 uniós irányelv nyomán bevezetett új kiberbiztonsági szabályozás által érintett cégek regisztrációjának határideje. Néhány héttel a határidő előtt még elég kevés cég regisztrált, de végeredményben hogy alakult a dolog?
Mi hatóságként különféle adatbázisok, információk, például a KSH adatai alapján úgy számoltunk, hogy nagyjából 2200-2500 érintett szervezet lehet Magyarországon. Ehhez képest a határidő lejárta előtti másfél-két hétben nagyjából olyan 1000-1200 regisztrációnál tartottunk. Ez így aggodalomra adott okot, hogy most mi is fog történni.
Aztán nagy hirtelenjében, pár napon belül több dolog is történt a kiberbiztonsági szabályozás kapcsán. Többek között megjelent a rendelet a biztonsági osztályokba sorolásról. [Azaz a 7/2024. (VI. 24.) MK rendelet a biztonsági osztályba sorolás követelményeiről, valamint az egyes biztonsági osztályok esetében alkalmazandó konkrét védelmi intézkedésekről.] Ezt az egész szakma nagyon várta, hiszen ez tartalmazza az úgynevezett biztonsági osztályba sorolásnak a követelményeit, és ez alapján a cégek már el tudják kezdeni biztonsági osztályba sorolni az elektronikus információs rendszereiket, és meg tudják nézni, hogy milyen védelmi intézkedéseket kell hozni. Ezt tényleg nagyon-nagyon várta a szakma, és mi is azt gondoltuk, hogy talán a legtöbb cég erre várhat, és ezért nem kezdeményezik a nyilvántartásba vételüket.
Emellett egy másik nagyon fontos rendelet is megjelent, a szintén 7/2024-es, de SZTFH rendelet, ez pedig a kiberbiztonsági auditokhoz, illetve auditszervezetekhez kapcsolódik, és meghatározza, hogy nekik milyen követelményeknek kell megfelelniük.
Megjelent tehát ez a két rendelet és ezt követően bő egy hét alatt elértük a 3500 regisztrációs kérelmet. Az utolsó másfél hét tehát egy elképesztő dömping volt, brutális számokat produkáltak a cégek.
Akkor összességében végül többen is regisztráltak, mint amire számítottak?
Fontos azért megjegyezni, hogy némi adattisztításra még szükség van, mert vannak olyan cégek, akik biztosra mentek, és kétszer vagy háromszor is bejelentkeztek. Szükséges kiemelni, hogy a hatósági „visszatájékoztatási” idő – határozat kiadása – 8 napról 60 napra növekedett.
Ráadásul kénytelenek voltunk beszüntetni azt a még tavasszal jellemző gyakorlatot, hogy önként vállalt feladatként és segítségként állásfoglalási kérelmekre is válaszolunk, mivel rettentően sok ilyen kérelem érkezett. Így aztán – talán ennek is hatására is – jó pár olyan cég is beregisztrált, amelyek egyébként nem érintettek.
Szóval így kell ezt a 3500-as számot értelmezni, de ez azért 3 ezer alá vélhetően már nem nagyon fog menni az adattisztítás után sem. Ami meglepő, hogy azóta is minden nap jön új regisztráció. Talán ez annak is köszönhető, hogy közben megjelent a bírságokkal kapcsolatos rendelet módosítása is, ez már taxatíve tartalmazza azokat a bírságtételeket, amelyeket az SZTFH alkalmazhat. Ez egyébként különbséget tesz a között, ha valaki elmulasztja a regisztrációt, illetve a között, aki ezt késve teszi meg. Ez a rendelet október 18-án lép hatályba.
Volt bármilyen váratlan eleme e három rendeletnek? Mit érdemes kiemelni ezekből? Hogyan alakultak például a büntetési tételek?
A kiszabható bírságok mértékéről azt kell tudni, hogy a mostani egy módosítás, amely a korábbi kormányrendeletet módosította. Mindkét jogszabály végén van egy melléklet, amely tételesen tartalmazza a szabálytalanságokat, illetve az azokért kiszabható bírság legkisebb és legnagyobb mértékét.
A lényeg az, hogy nem véletlenül mondogatjuk hónapok óta, hogy itt GDPR-szintű bírságokra lehet számítani. Ha megnézzük a mostani módosítást, akkor látható, hogy az adatszolgáltatás elmulasztása miatt legalább 1, legfeljebb 150 millió forintos bírság szabható ki, aki pedig nyilvántartásba veteti magát, de az adatszolgáltatást határidőn túl teljesíti, az minimum 50 ezer, maximum 15 millió forintos bírságra számíthat. Lényeges különbség van tehát a nem teljesítés és a határidőn túli teljesítés között, de mindenképpen jelentős bírságokra lehet számítani, és ezzel az eszközzel az idő előrehaladtával élni is fog a hatóság.
Mi a helyzet a biztonsági osztályokba sorolással? Ez mennyire érhette váratlanul az érintetteket?
A büntetési tételekhez képest ez azért már egy Háború és béke terjedelmű szöveg. Váratlanul szerintem senkit sem érhetett, hiszen ez egy létező amerikai szabvány átvétele, egy működő modellt vett alapul a jogalkotó, és mi is ezt kommunikáltuk a kiberbiztonsági szakmának, hogy aki erre felkészül, azt nagy meglepetés nem fogja érni.
A védelmi intézkedések katalógusát érdemes viszont kiemelni, amely a második számú mellékletként jelenik meg az MK-rendeletben. Ebben elég részletesen le van írva az, hogy az egyes követelménycsoportoknál miknek kell megfelelni – tényleg, A-tól ZS-ig fel van sorolva minden, hogy mit kell végigvenni, amikor valaki elkezdi az elektronikus információs rendszereit felkészíteni, illetve biztonsági osztályba sorolni az audithoz.
Fotó: SZTFH
Ez egy nagyon részletes leírás, egészen onnan indul, hogy van például az információbiztonsági szabályzat, és akkor az első rubrika az, hogy ezt ki kell dolgozni, ki kell hirdetni, többek között tartalmaznia kell a szervezet által működtetett, vagy bevezetni kívánt védelmi intézkedéseket, és még sorolhatnám. Mellette pedig ott van, hogy melyik biztonsági osztálynál kell az adott feladatot elvégezni. Ebből egyébként a korábbi öt helyett három lett, alap, jelentős és magas biztonsági osztályba sorolja a rendelet az érintett szervezeteket.
Mindenképpen felhívnám arra a figyelmet, hogy ehhez a rendelethez és táblázathoz készült egy támogatói útmutató kézikönyv, és ez tényleg segít az egész követelményrendszer megértésében, a biztonsági osztályokba sorolásban is.
Mit emelne ki az auditorokról szóló rendelet kapcsán? Erről a sajtó is cikkezett…
Itt érdemes megállni egy pillanatra és tisztázni egy alapvető félreértést: van egy nyilvántartás az SZTFH weboldalán, talán már egy éve fent van, és sajnos a szakmán belül is sokan hitték azt, hogy ez a nyilvántartás az, ami az auditorokra vonatkozik. Pedig nem, hanem ez a megfelelőséget értékelő cégekre vonatkozik (a nyilvántartás elnevezése is ez: Megfelelőségértékelő szervezetek), és nem az auditori nyilvántartás – ilyen nem is lehetett, hiszen nem ismertük a részletszabályokat. Ez a kettő teljesen más feladatkör.
Azóta viszont már van auditori nyilvántartásunk is, mivel a júniusban megjelent SZTFH-rendelet értelmében 2024. június 25-én megkezdtük ennek a vezetését. Ez azt jelenti, hogy ettől a dátumtól kezdve azok a cégek, amelyek auditorok szeretnének lenni, és úgy gondolják, hogy megfelelnek a fent említett rendelet kritériumainak, akkor kérelmezheti az auditorok nyilvántartásába történő felvételét hatóságunknál, az SZTFH pedig hatósági eljárás keretében megvizsgálta, megvizsgálja, hogy tényleg megfelelnek-e, mely eljárás végén egy határozatot ad ki. Az utolsó frissítés szerint jelenleg [szeptember 9-én] négy auditorcég szerepel ezen a listán, ezeket már meg is lehet keresni auditálás ügyében. De a lista folyamatosan bővül, ahogy érkeznek a jelentkezések és zajlik az elbírálás – tehát az SZTFH weboldalán található lista nem tekinthető véglegesnek.
Mit érdemes most tennie az érintett szervezeteknek? Mi alapján érdemes például auditort választaniuk? Lesz egyáltalán elég auditor mindenkinek?
Az utolsó kérdésre azt tudom mondani, hogy voltak becsléseink, amelyek alapján nagyjából 20-30 cégről gondoltuk azt, hogy teljesíthetik valamelyik biztonsági osztály követelményeit. Tudni kell, hogy az alap biztonsági osztály auditálására jogosultságot szerző cégek nem vizsgálhatják a jelentős vagy magas biztonsági osztályba sorolt szervezeteket, visszafele viszont ennek semmi akadálya, tehát a magas biztonsági osztályra alkalmasnak talált auditorok minden érintett céget auditálhatnak.
A magasabb osztályok esetén az azért látszik, hogy az olyan kritériumok, mint például a foglalkoztatottak létszáma, illetve a megfelelő mértékű felelősségbiztosítás, vagy a telephelybiztonsági tanúsítvány megléte szűk keresztmetszetet fognak jelenteni. Ha csak azt nézzük, hogy van nagyjából 3 ezer érintett szervezet és a becsléseink szerint 20-30 auditor lesz, akkor könnyen belátható, hogy érdemes időben leszerződni egy az SZTFH nyilvántartásában szereplő auditor céggel.
De tényleg az utolsó órában vagyunk már: akik eddig még nem tették meg, és nincs hozzá belső humánerőforrásuk, tapasztalatuk, nem kerülhetik el, hogy felvegyék a kapcsolatot egy tanácsadó céggel. Nagyon sokat tud segíteni egy tanácsadó, főleg az olyan szervezeteknél – és az érintett szervezetek nagy része ilyen –, ahol korábban nem foglalkoztak kiberbiztonsággal, és például azt se igazán tudják, milyen adatvagyonnal rendelkeznek. Október 18-ától élesednek a NIS2 előírásai, 2024. december 31-éig pedig már egy auditorcéggel is le kell szerződni az érintett cégeknek.
Az SZTFH például a Klasszis rendezvényein keresztül is a piac számtalan meghatározó szereplőjével tartja a kapcsolatot, a következő, szeptember 17-ei rendezvényünkön is több tanácsadó cég vagy éppen nyilvántartásba vett auditor cég szakembereivel találkozhatnak akár az olvasók is.
A Klasszis Média és az SZTFH újabb közös rendezvénnyel kívánja segíteni az érintettek felkészülését a NIS2 nyomán született szabályozásnak való megfelelésre. A 2024. szeptember 17-én 16 órai kezdettel megrendezendő Klasszis Kiberbiztonsági Klub keretében a következő fő kérdésekre kaphatnak választ az érdeklődők:
- Hogyan tovább?
- Mit kell most tenni?
- Ki tud ebben segíteni és hogyan?
A tájékozódást a hatóság képviselői, tanácsadó és auditor cégek képviselői, a téma legjobb szakértői segítik, akiktől kérdezni is lehet, a rendezvényt pedig borkóstoló zárja.
Jelentkezés, további információk itt>>>
Mennyibe fog mindez kerülni?
Fontos tehát, hogy az érintett cégeknek le kell szerződnie egy nyilvántartott auditor szervezettel, mi hatóságként viszont nem szólunk bele a szereplők között létrejövő szerződések tartalmába. Egy dologba viszont bele fogunk: az auditori árba.
Az mindenképpen kimondható, hogy a kiberbűnözők által okozni képes károkhoz képest elhanyagolható összegekről beszélhetünk, de még az esetleges büntetési tételek ismeretében is sokkal jobban megéri a megfelelésre törekedni.
Ha valakit már nagyon szorongat a határidő, érdemes kihagyni mondjuk a tanácsadást, és egyből auditort keresni? És mi van az auditálással – nem tartanak attól, hogy az érintettek esetleg valamiképpen „megoldják okosban” a dolgot?
Nem javasolnám a tanácsadás kihagyását, mert akkor könnyen előfordulhat, hogy az audit nagyon sok hiányosságot, pótolnivalót fog találni. Ha nincs egy adatvagyon-leltár, egy a szervezet Achillesz-sarkait feltáró GAP-analízis, akkor nagy meglepetések érhetik a céget – és ezeknek, meg mondjuk egy informatikai biztonsági szabályzatnak a megírása azért nem hetekig-hónapokig tartó dolgok.
A rendszerbe egyébként számos olyan elem van beépítve, amely kizárja a „megoldjuk okosban” módszereket, például az auditjelentéseket nemcsak az auditorok, hanem az auditált szervezetek is megküldik majd az SZTFH-nak.
De nemcsak ezért nem érdemes ügyeskedni, hanem azért sem, mert az auditálás nem egy egyszeri megmérettetés lesz, amelyet most meg kell ugrani, aztán meg lehet nyugodni. Két évente meg kell ismételni, ami nagyjából azt jelenti – egy kis túlzással –, hogy ahogy lezárul egy auditálási ciklus, szinte el is kell kezdeni felkészülni az újabbra.
Ez nem véletlenül van így. Ahogy befejezzük ezt az interjút, lehet, hogy már 2-3-4, 10-20 új káros kód jön létre vagy új sérülékenységeket fedeznek fel. Ilyen dinamikusan változik a kiberbiztonsági fenyegetettségek tárháza, és ezt kell követnie a cégek felkészültségének is.
Azt várom ettől az új szabályozástól, hogy ki fognak kopni az olyan módszerek, amikor mondjuk egy e-learning tanfolyamon egy ember az egész cégnek kijegyzeteli a jó válaszokat és ez alapján gyorsan mindenki elvégzi az e-learninget. Ezt már meghaladta a technológia, és a kiberbűnözők módszerei is. Továbbra is az ember az informatikai rendszerek legsérülékenyebb pontja, minden vezetőnek meg kell értenie, hogy a kiberfenyegetések itt vannak, velünk vannak, és óriási árat fizethetünk a hibákért, a felelőtlenségekért. Elég, ha a széles körben ismert diszkontlánchoz kötődő, közelmúltbeli esetre gondolunk, ahol egy e-maillel kezdődő történet okozott végül körülbelül 6 milliárd forintos kárt.
Miként telt a nyár kiberbiztonsági szempontból?
A sportesemények uralták a mindennapjainkat, és ezek voltak a fókuszban a kiberbűnözők számára is. Megpróbálták átverni a fogadni vágyókat, az események iránt érdeklődő embereket. Ki lehet azért emelni, hogy kibertámadás érte az olimpiai vívószámoknak is otthont adó párizsi Grand Palais rendszerét. Itt is egy munkatárs fiókját törték fel a vége pedig egy zsarolóvírus-támadás lett. Mivel nem akartak fizetni, az egész rendszert leválasztották a hálózatról, de ez azt eredményezte, hogy egy időre teljes Franciaországban szünetelt a múzeumokba történő beléptetés és az online jegyvásárlás.
Mint mindennek, a kibertámadásoknak is megvannak a szezonjai, az iskolakezdéssel például albérletes csalásokkal, „back to school” akciókkal próbálták átverni az embereket a csalók. Arra lehet számítani, hogy ősszel a kiberbűnözők is visszafordulnak a hagyományos célpontok felé, ezért egy pillanatra sem szabad figyelmetlennek lenni.
