blank
blank

2024.06.28.

,,Azt semmiképp sem lehet mondani, hogy a kiberbiztonsági szakma unalmas napjait éli.” – interjú Bor Olivérrel, az SZTFH kiberbiztonsági szakértőjével

Szerző:

Kategóriák:

A NIS2 alapjaiban igyekszik megváltoztatni és tovább fejleszteni az európai és regionális kiberbiztonságot. A jogszabályok betartásáért felelős Szabályozott Tevékenységek Felügyeleti Hatóságának (SZTFH) kiberbiztonsági szakértőjét, Bor Olivért kérdeztük a vészesen közeledő határidőkről és a NIS2 által elénk állított kihívásokról.

Milyen mértékű kihívást jelent a pénzügyi szektor számára a NIS2 irányelv?

Bor Olivér: A pénzügyi szektor számára alapvetően nem nagyot, hiszen abban a szerencsés helyzetben vannak, hogy rájuk egy másik Uniós jogszabály vonatkozik majd. 2022. december 27-én, közel 2 évnyi jogalkotási egyeztetés és tárgyalást követően, megjelent az EU Hivatalos Lapjában a pénzügyi ágazat digitális működési rezilienciájáról szóló (EU) 2022/2554 rendelet (DORA rendelet).

A rendelet fő célja, hogy a NIS2 irányelv lex specialis-aként, a teljes pénzügyi szektorra vonatkozó, uniós szintű, egységes ellenálló képességi előírásokat fogalmazzon meg.

A DORA előírásokat fogalmaz meg IKT kockázatok kezelése, incidens bejelentés, tesztelés, valamint IKT harmadik fél szolgáltatókkal kapcsolatos követelmények és felvigyázói keretrendszer létrehozására vonatkozóan, melyek 2025. január 17- től kötelezően alkalmazandóak.

Tehát azért van némi összefüggés a kettő Uniós jogi aktus között, de a NIS2 közvetlenül nem érinti a pénzügyi szektort.

Mindezek ellenére nagyon sok olyan ágazat van, amiket meg érint az új EU-s irányelv, így azt semmiképp sem lehet mondani, hogy a kiberbiztonsági szakma unalmas napjait éli. Magyarországon várhatóan nagyságrendileg 2500-3000 vállalatot érint a szabályozás.

Nemzetközi viszonylatban hol áll Magyarország kiberbiztonsága?

Bor Olivér: Ez mindig egy nehéz és összetett kérdés, amire nem egyszerű válaszolni.

Hamis biztonságérzetet pedig senkiben sem szeretnénk kelteni, főleg mert ez a hazai online felhasználókra sok esetben jellemző magatartás.

A hazai kibervédelmi struktúra a 2015-ös átalakítása után kezdett megszilárdulni, és egyre jobban teljesíteni (ezt különböző felmérések is igazolják), viszont hátradőlni semmiképp sem érdemes. Mindig van mit tanulni, van hova fejlődni, és nagyon-nagyon sok múlik a végfelhasználókon, de persze az állam sem bízhat minden védekezési feladatot kizárólag az állampolgárra.

Ezért is érdemes megemlíteni olyan sikeres együttműködéseket, mint a KiberPajzs, ami kifejezetten az online pénzügyi csalások háttérbe szorítása érdekében jött létre.

De említhetném az állam szabályozói és felügyeleti tevékenységét is, amelyhez kapcsolódóan az egész Unióban Magyarország volt az első, aki megkezdte a NIS2 irányelv implementációs folyamatát.

Az SZTFH kezdeményezésére 2023 májusában már saját jogszabállyal rendelkeztünk az irányelvhez kapcsolódóan, aminek köszönhetően az érintett vállalatoknak jóval több idejük van felkészülni a megfelelésre, mint a többi tagállamnak.

Ha még egy dolgot kéne kiemelnem, akkor az a kiberbiztonsági tudatosítás, ami az SZTFH egyik missziója is. Ahogy Hatóságunk elnöke, Dr. Nagy László is említette egy korábbi közleményünkben:

„Össztársadalmi érdek a magasabb szintű kiberbiztonság”.

Tervez-e az SZTFH országos tudatosító kampányt a kiberbiztonság növelése érdekében?

Bor Olivér: Nemcsak tervez, hanem folytat is. 2023 tavaszán indítottuk az első ilyen országos tudatosító kampányunkat, amit idén tavasszal megismételtünk.

Ezen roadshow keretein belül 14 vármegyébe, több mint 1000 résztvevőhöz jutottunk el és közel 5000 kilométert tettünk meg.

És ezek csak kifejezetten a NIS2 irányelvhez és az ún. Kibertantv-hez kötődő tájékoztató kampányunk számai.

Kiberbiztonsági szakértő kollégáimmal csak idén már több mint 150 alkalommal tartottunk előadást vagy vettünk részt kerekasztal-beszélgetésben valamilyen kiberbiztonságot érintő aktuális témában.

2022-ben elindítottuk a Minden Kiberül podcastünket, amiben megtörtént eseteket dolgozunk fel ismert emberek és az IT szakmában elismert szakemberek segítségével. Tesszük mindezt úgy, hogy még az is értse, hogy miről beszélünk, akinek amúgy teljesen más az érdeklődési köre.

Sőt, igazából hozzájuk szeretnénk a leginkább szólni, a podcast mottója is ez: „egy podcast azoknak, akiket érdekel a kiberbiztonság, és főleg azoknak, akiket nem”.

Jelenleg is fut „a tét Te vagy” elnevezésű kampányunk, ami a labdarúgó EB kiberbiztonsági veszélyeire és az illegális sportfogadás kockázataira fókuszál. Ehhez a kezdeményezéshez olyan szervezetek csatlakoztak a felkérésünknek eleget téve, mint az ORFK, az MLSZ és az SZRT. Fontos, hogy nem ez az első ilyen jellegű tudatosító kampányunk, és biztos, hogy nem is az utolsó. Hiszen hamarosan itt az Olimpia is…

Van-e korosztályonkénti különbség az online biztonsághoz való hozzáállásban?

Bor Olivér: Ez is egy érdekes kérdés. Rendszeresen tartunk kiberbiztonsági témájú interaktív foglalkozásokat általános és középiskolákban, ahol a tipikusan rájuk leselkedő veszélyekről beszélgetünk, illetve adunk tippeket a védekezésre.

A gyerekek legtöbbször nagyon befogadóak, ez lehet, most sok mindenkit meglep, de tényleg így van.

A legtöbb iskolás korú gyermek tisztában van az online tér veszélyeivel, de sok esetben nem vesznek róla tudomást, náluk is fellelhető az az automatizmus és hamis biztonságérzet, hogy ő biztos nem lehet áldozat, és őt biztosan nem verik át.

Sajnos bárki: nemtől, kortól, iskolai végzettségtől függetlenül lehet áldozat. A gyermekek, vagy akár a fiatal felnőtt korosztály, leginkább nem akar tudomást venni erről, és ebből lehetnek az igazi problémák. Ez a korosztály kütyükkel a kezükben, és az internet adta lehetőségekkel nőtt vagy nő fel, ők a digitális bennszülettek.

A legidősebb közülük az Y generáció tagjai, akik a korai 80-as évek és a 90-es évek közepe között születtek. Sokuk még internetes kütyük nélkül nőtt fel, de már viszonylag fiatalon beleszoktak a digitális kultúrába. Őket követte a Z generáció, a „zoomerek”, akik a késő 90-es és a nagyon korai 2010-es évek között születtek.

A bennszülöttek legfiatalabb generációja a 2010-es évek elején kezdődő és még most is születő Alfa generáció, akik közül a legtöbben már az Y generáció gyerekei.

A digitális bennszülöttek mellett pedig ott vannak a digitális bevándorlók: az a generáció, aki a digitális eszközök használatát már csak felnőttként tanulták meg.

Ahogy a nyelvtanulásban, úgy itt is igaz, hogy a gyerekként és felnőttként elsajátított tudást, azt máshogy kezeljük, más kihívásokkal szembesülünk.

Szóval van különbség, persze. Az idősebb generációk pedig sok esetben nincsenek is tisztában azzal, hogy milyen veszélyek leselkedhetnek rájuk az online térben. A kommunikáció – akár családon belül is – sokat segíthet.

Mi az SZTFH szerepe és jelentősége a NIS2 irányelv végrehajtásában?

Bor Olivér: Az irányelv hazai implementációs folyamat egyik legfontosabb eleme a már korábban is említett Kibertantv., azaz a kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről szóló 2023. évi XXIII. tv.

Ez a jogszabály – azon túlmenően, hogy felügyeleti jogkörrel ruházta fel az SZTFH-t – meghatározza azon érintett ágazatokat – illetve egyéb érintettségi kritériumokat -, ahol az Uniós irányelv által szabott határidőtől kezdve bizony kiemelten kell foglalkozni a kiberbiztonsággal, és adott esetben olyan védelmi intézkedéseket alkalmazni, amelyekre korábban nem feltétlenül volt példa.

Ezen túlmenően a kiberbiztonság kulcsfontosságú tényező számos kritikus ágazat számára a digitális átalakulás sikeres felkarolásához és a digitalizáció gazdasági, társadalmi és fenntartható előnyeinek teljes körű kiaknázásához.

A Kibertantv. III. fejezete éppen ezért azokra a vállalatokra, szervezetekre fogalmaz meg kiberbiztonsági követelményeket, kockázatkezelési intézkedéseket, amelyek a társadalom és a gazdaság működése szempontjából kiemelt fontosságúak. Az érintett cégeknek pedig Hatóságunknál kell kezdeményeznie a nyilvántartásba vételt.

A követelmények megvalósulásának ellenőrzésére a törvény – ahogy korábban is említettem – felügyeleti jogkörrel ruházta fel az SZTFH-t, hatósági felügyeleti jogkörében rögzítette az ellenőrzési, nyilvántartás vezetési és szankcionálási felhatalmazást.

A törvény alapján kialakítandó felügyeleti rendszerben a kiberbiztonsági kockázatkezelési követelmények betartásának ellenőrzését elsősorban a szakmai felkészültséggel rendelkező és az SZTFH által nyilvántartásba vett auditorok végezhetik a kötelezettel megkötött szerződés alapján, de a Hatóság által szabályozott díjazás mellett.

Az auditorok által végrehajtott ellenőrzéseket az SZTFH dolgozza fel, amellett, hogy a saját kockázatértékelése alapján elkészített éves ellenőrzési terv mentén folytatja le a hatósági ellenőrzéseket egyes kötelezettek tekintetében.

Mik a legfontosabb határidők a NIS2 kapcsán?

Bor Olivér: A legfontosabb határidő az pont a napokban, június 30-án jár le: ez az előbb említett nyilvántartásba vételi időszak utolsó dátuma, ami 2024. január 1-től tart.

Az érintett cégeknek ezen időablakban van lehetősége a magyarorszag.hu elektronikus felületen keresztül kezdeményezni Hatóságunknál a nyilvántartásba vételt.

Ezt követően 2024-ben két fontos dátumra érdemes figyelni: október 18-án élesedik a NIS2, így innentől kezdve alkalmazni kell a védelmi intézkedéseket; valamint december 31-ig minden érintett cégnek le kell szerződnie egy olyan auditorral, aki az SZTFH vonatkozó nyilvántartásában szerepel.

2025 év végéig pedig le kell folytatni az első kiberbiztonsági auditot, amit kétévente szükséges megismételni.

Címlapfotón: Bor Olivér, a SZTFH kiberbiztonsági szakértője

Címkék:

blank