ELŐADÓK
BÍRÓ RÓBERT
Nemzeti Kibervédelmi Intézet (NKI), incidenskezelője
DELLEI LÁSZLÓ BOR OLIVÉR DÉTÁRI ISTVÁN
Cybersafe Hungary Zrt. kibervédelmi üzletágvezetője
Szabályozott Tevékenységek Felügyeleti Hatósága (SZTFH), kiberbiztonsági és kommunikációs szakértő, egyetemi vendégoktató
Gábor Dénes Egyetem üzleti innovációs rektorhelyettese
DR. DIETZ FERENC
Gábor Dénes Egyetem elnöke
HINKEL ATTILA
Alverad Technology Focus Kft. IT biztonsági szakértője
SUTI PÉTER
Spartan Code Zrt. üzletfejlesztési igazgatója
DR. SZABÓ BALÁZS
Educational Development Informatikai Zrt. vezérigazgatója
Elnöki köszöntő
A történelemben mindig voltak olyanok, akik gazdasági, politikai vagy személyes érdekből csalást követtek el. Az ókorban az adó és vám befizetéseket, valamint a katonai üzeneteket törölhető viasztáblákra írták, amit fakerettel, szíjakkal összefogtak majd lepecsételtek. Vérmérséklet szerint nevezhetők, élelmes vállalkozóknak, ravasz hadvezéreknek vagy elvetemült gonosztevőknek, akik ezeket a viasztáblákat meghamisították.
Manapság azonban a csalások egyre merészebbek és ügyesebbek. Naponta hallunk új vírusokról, adathalász akciókról és mesterséges intelligenciával elkövetett támadásokról. Ijesztő valóság, hogy sokan közülünk személyesen vagy barátaikon keresztül már érintettek kibertámadásban. Gazdasági számítások szerint, ha a kibercsalások kárértéket „átváltanánk” GDPre, ez az összeg a világ harmadik legnagyobb nemzetállama GDP-jének felelne meg.
A technológiai fejlődés megállíthatatlanul robog előre, a nyelvi modellek amióta berobbantak a köztudatba már számtalan munkaterületet átírtak és folyamatosan jönnek az új, még összetettebb tudással rendelkező mesterséges intelligenciák. Egyre gyakoribb és egyre nagyobb technikai ugrások előtt állunk. A kvantumszámítógépek elterjedése felülírja az eddigi védekező mechanizmusokat, de szintén új trend, hogy idővel egyre kevésbé mi leszünk a kiberbűnözők célpontjai, hanem a mesterséges intelligencia ügynökünk, illetve a virtuális világban minket képviselő digitális ikrünk. Ráadásul itt nemcsak az adataink és a megtakarításaink, hanem az egész személyiségünk veszélyben lesz!
A Gábor Dénes Egyetem az utóbbi 3 évtizedben mindig az oktatási innováció élvonalában volt, azaz nemcsak követjük a trendeket, hanem alakítjuk is azokat. A magyar informatikai képzésben, a távoktatást is mi vezettük be. Az elmúlt 3 évben vállalati partnereink bevonásával és fenntartónk támogatásával új fejlődési pályára állítottuk az intézményünket, új egyetemi szakokat, kutatásokat, itthon elsőként mikrotanúsítványos képzéseket indítottunk. A kiberbiztonság kiemelt kutatási területünk, a gyakorlati megközelítés, a friss ismeretek átadása az oktatásunk alapelve, mindezekre építve partnereinkkel olyan digitális tananyagot készítettünk, amely segít eligazodni a kiberjogszabályok útvesztőiben. Online tananyag, így térben és időben szabadon, saját ütemben sajátítható el.
Dr. Dietz Ferenc
elnök, Gábor Dénes Egyetem
Mindenhol személyre szabott támadásra kell számítani, ahol értékes adat, pénzügyi forrás van, így a NIS2 nem csupán egy újabb kötelező jogszabály, amit be kell tartanunk, hanem a digitális létünk egyik sarokköve! Ebben a kihívásban nincsenek egyedül, mert számíthatnak a támogatásunkra!
A biztonságos digitális védelem, olyan, mint az ördöglakat: annyi idő és energia kell a feltöréséhez, hogy nem éri meg a csalónak azzal foglalkoznia.
Az előadás itt tekinthető meg
Jövő a jelenben, fókuszban a tudatosítás és képzés: hogyan tud segíteni a GDE a NIS2 megfelelésben?
A humán tényező, mint a kiberbiztonsági események egyik legnagyobb kockázati eleme, továbbra is elsődleges kihívás.
A technológiai megoldások hatékonysága azoktól az emberektől függ, akik azokat használják. A felmérések szerint az incidensek 82-95%-a emberi hibából eredhet, legyen szó figyelmetlenségről, gyenge jelszavakról, gyanús e-mailek megnyitásáról vagy nem megfelelő adatkezelésről.
A KPMG Cyber Security Survey becslése szerint a munkahelyi adatlopások 95%-ért valamilyen emberi hiba okolható, legyen szó akár munkavállalói hanyagságról, akár elégtelen kiberbiztonsági képzésről. És itt lép be a képbe a GDE.
A GDE számára kiemelten fontos a kiberbiztonsági tudatosítás, amelyet az alábbiakkal támogat:
1. SZTFH-val együttműködésben elkészített, ingyenesen elérhető NIS2 tájékoztató anyagok (vezetők és szervezetek számára).
2. Szintén ingyenesen elérhető Érintettségi modul, melynek segítségével a szervezetek megvizsgálhatják, hogy NIS2 érintettek-e?
3. Zárt rendszerű távoktatási rendszerben biztosított, NIS2 biztonságtudatosítási e-learning tananyagok, amelyek megfelelnek a 7/2024. (VI. 24.) MK rendelet tudatosítási, képzési követelményeinek.
4. Mikrotanúsítványt nyújtó képzések, amelyek korszerű piaci tudást biztosítanak széles körben elérhető formában.
A folyamatos képzés és tudatosítás nemcsak jogszabályi kötelezettség, hanem a szervezetek versenyképességének alapfeltétele.
Peter Drucker-t idézve szabad fordításban:
„Ha azt hiszed, hogy a képzés drága, próbáld ki a tudatlanságot.” Détári
A humán tényező a kiberbiztonsági események egyik legnagyobb kockázati eleme.
Üzleti Innovációs Rektorhelyettes, Gábor Dénes Egyetem
„Fáj vagy nem fáj, ha lecsap a NIS2? Hogy állunk most?”
Az ENISA 2023-as és 2024-es jelentései alapján azonosított legjelentősebb fenyegetések között kiemelt szerepet kaptak a zsarolóvírusok, a társadalmi manipulációs támadások (például spear-phishing, smishing, whaling), valamint az ellátási lánc elleni támadások, amelyek drasztikus növekedést mutattak az elmúlt években.
A NIS2 irányelv által támasztott követelmények közül legfontosabbak a nyilvántartásba vétel - amely 2024. október 18-tól kötelező - valamint a kapcsolódó felügyeleti díjak és az auditálási folyamatok.
Az auditálás során a szervezeteket biztonsági osztályba sorolják, ahol értékelik a védelmi intézkedéseiket, sérülékenységvizsgálatokat végeznek, valamint behatolási és forráskód-elemzéseket is készítenek. Ezeket az ellenőrzéseket a jövőben kétévente kötelező elvégezni.
A megfelelőséghez szükséges a megfelelő tanúsítványok és felelősségbiztosítás megléte. Az auditálási folyamat alapja a 7/2024 MK rendeletben meghatározott követelménykatalógus, amely szigorú előírásokat tartalmaz az auditorok képesítésére és a vizsgálatok módszertanára vonatkozóan. Fontos felhívni a figyelmet a szabályozás bevezetésével járó kihívásokra és szankciókra is. Az érintett szervezetek számára kulcsfontosságú a határidők betartása és a felkészülés időben történő megkezdése.
A hatóság is azt szeretné, ha bírság elkerülése helyett a kibertámadások megelőzése lenne az igazi motiváció, hiszen a kiberbiztonság és annak megfelelő szintje a jövőben versenyelőny is lehet a vállalatoknál.
Bor Olivér
kiberbiztonsági és kommunikációs szakértő, egyetemi vendégoktató
A NIS2 célja a digitális szolgáltatások védelmének megerősítése, különösen a folyamatosan növekvő fenyegetettségi környezetben.
Az előadás itt tekinthető meg
2024.
NIS2: Incidens bejelentés és válságkezelés
A NIS2 irányelv új fejezetet nyit a kiberbiztonság területén, egyértelmű követelményeket támasztva a szervezetek számára a kiberbiztonsági incidensek bejelentésére és kezelésére vonatkozóan.
FŐBB TÉMÁK:
1.Kiberbiztonsági incidensek osztályozása:
• Üzemeltetési incidensek: A szolgáltatások elérhetőségét nem szándékosan csökkentő, akadályozó események.
• Jelentős incidensek: Szignifikáns pénzügyi veszteséget, működési zavart vagy reputációs károkat okozó esetek.
• Incidensközeli helyzetek: Azon események, amelyek veszélyt jelenthettek volna, de elhárították őket.
2.Incidensbejelentési folyamatok:
• 24 órás bejelentés: Az incidens tényének, illetve rendelkezésre álló kezdeti adatainak gyors megosztása a CSIRT-tel (Computer Security Incident Response Team).
• 72 órás jelentés: Az eseménnyel kapcsolatos részletesebb információk, rendelkezésre álló IoC-k megosztása. Az esemény hatásának felmérése/értékelése.
• Zárójelentés: Egy hónapon belül az incidens kezelésének teljes dokumentációja.
3.NKI szerepe:
• Az incidensek elemzésére és kezelésére vonatkozó támogatás, útmutatás és tanácsadás biztosítása.
• Kétirányú információmegosztás nemzetközi kapcsolatokon keresztül a kiberbiztonság terén, például a CSIRT hálózaton keresztül.
• Sérülékenységvizsgálatok és proaktív védekezési stratégiák kidolgozása.
4.Szabályozási háttér és jogkövetkezmények:
• A NIS2 irányelv szerint a szervezetek számára a jogszabályi követelmények be nem tartása bírságokat, illetve egyéb szankciókat vonhat maga után.
• A szabályozás célja az egységes biztonsági standardok megteremtése, valamint a kockázatok gyors és hatékony kezelése.
A Nemzeti Kibervédelmi Intézet elkötelezett az irányelv sikeres implementálása és a szervezetek támogatása mellett.
A kiberbiztonsági incidensek kezelésében kulcsszerepet játszik a szervezeti együttműködés, az időben történő bejelentés és az incidenskezelési kapacitások fejlesztése. Az előadás itt tekinthető meg
Bíró Róbert
Incidenskezelési szakértő, Nemzeti Kibervédelmi Intézet
NIS2 Érintett vagyok, mit teszek?
Az érintettség azonosításához az alábbi jogszabályok nyújtanak segítséget
• 2023. évi XXIII. törvény
• 2004. évi XXXIV. törvény
• További segédlet elérhető az Európai Bizottság által kiadott „Felhasználói útmutató a kkv-k fogalommeghatározásához” útmutatóban
A nyilvántartásba vétel, azaz a bejelentkezésre való kötelezettségnek 2024. június 30-ig kellet eleget tenni. A cégkapun volt szükséges kitölteni az SZTFH 420-as űrlapot.
KAPCSOLÓDÓ FELADATOK
IBF kijelölése
Kockázatkezelés és biztonsági osztályba sorolás. Ehhez a jogszabályi hátteret a 7/2024. (VI. 24.) MK rendelet szolgáltatja, amely tartalmazza
• a kockázatmenedzsment keretrendszert
• a biztonsági osztályba sorolásra vonatkozó előírásokat
• az esetleges eltérési lehetőségekkel és helyettesítő védelmi intézkedésekkel kapcsolatos előírásokat
• valamint a kockázatelemzés és kockázatok kezelésével kapcsolatos követelményeket
• a védelmi intézkedések katalógusát
Dr. Szabó Balázs
Kik és milyen folyamatok
segítenek eligazodni a szabályozás útvesztőjében, valamint segítenek hatékonyan beépíteni a NIS2 előírásokat a cégek mindennapi életébe.
vezérigazgató, Educational Development Informatikai Zrt.
Hogyan is zajlott ez a gyakorlatban?
• Saját IBF-el és a szabályzatok egy részével már rendelkeztünk
• 2023 Q4-ben cégcsoport szinten készítettünk egy üzleti hatáselemzést (BIA)
• A 7/2024. (VI. 24.) MK rendelet megjelenését követően cégcsoport szinten GAP analízist végeztünk
• A GAP analízis által feltárt hiányosságok kiküszöbölésére Intézkedési tervet készítettünk
• A nyilvántartásba vételre bejelentkezésnek eleget tettünk 2024. június 30-ig
• Cégcsoport szinten elkészítettük a szükséges szabályzatokat, amelyek finomhangolása folyamatos
• Cégcsoport szinten véghez vittük a szükséges beszerzéseket
Mi vár még ránk?
• 2024. december 31-ig a kiberbiztonsági audit vonatkozásában le kell szerződnünk egy auditorral
• a szabályzatokban előírt kontrolloknak folyamatosan eleget kell tennünk
• hatósági felügyeleti díjat fizetünk amint megjelenik a kapcsolódó részletszabályozás
• 2025. év elején céges szinten belső auditot fogunk lefolytatni
• Belső audit során feltárt hiányosságok ismeretében felülvizsgájuk az érintett folyamatot és módosítjuk a kapcsolódó szabályzatot is.
• 2025. évben sikeres kiberbiztonsági audit lefolytatása
AEGIS NIS2 Megfelelés Menedzsment Rendszer – mindig egy lépéssel a fenyegetések előtt
Maga a névválasztás az ókori mitológiára utal: Zeusz pajzsára, amely a védelem és szilárdság szimbóluma. Ezt a filozófiát átültetve a jelenbe az AEGIS célja, hogy a megfelelést és a szervezeti kiberbiztonságot egyszerűbbé, hatékonyabbá és átláthatóbbá tegye.
A modern kor labirintusa – Szervezeti kihívások
A megfelelési követelmények és a kiberbiztonsági kihívások olyanok, mint egy modern labirintus. Néha úgy érezzük, nincs kijárat.
Milyen kihívásokkal szembesülünk a különböző szervezetek esetében?
• Kkv-k esetében az erőforráshiány és a költségek jelentik a fő akadályt.
• Nagyvállalatoknál a belső kommunikáció és az osztályok közötti koordináció a legnagyobb kihívás.
• Állami vállalatoknál pedig a szabályozási nyomás és a bürokrácia lassítja a folyamatokat.
Az AEGIS három pillére
1. Átláthatóság: Egyértelmű és könnyen követhető folyamatok kialakítása
Suti Péter
2. Adaptivitás: Az AEGIS legnagyobb előnye, hogy nincs más platform, amely ilyen gyorsan lekövetné a változásokat és ennyire rugalmasan alkalmazkodna a szervezet egyedi igényeihez
3. Automatizáció: A kézi adminisztráció csökkentése, hogy a csapat a lényegre koncentrálhasson
üzletfejlesztési igazgató, Spartan Code Zrt.
Az előadás itt tekinthető meg
Az AEGIS minden szervezet számára egységesíti a folyamatokat, támogat a biztonsági rések lezárásában és segít eligazodni a megfelelési labirintusban:
• Rendszerezi a követelményeket
• Teljeskörűen támogatja a megfelelési folyamatokat
• Dokumentálja az incidenseket és vizsgálatokat
• Valós idejű információt ad a döntéshozatalhoz
Az AEGIS funkcionalitása
• Egyéni és vezetői dashboard
• Fenyegetettség és kockázatmenedzsment
• Biztonsági osztályba sorolás
• GAP elemzés
• Intézkedés menedzsment
• Nyilvántartások
• Rendszerbiztonsági terv generálás
• Széleskörű elemzési lehetőségek (pl.: hálózati topológia térkép)
Az AEGIS-t folyamatosan úgy fejlesztjük, hogy egy lépéssel mindig a fenyegetések előtt járjunk.
„Hogyan tovább?”
Melyek a NIS2 irányelv céljai és hatásai, amelyek az EU kritikus digitális infrastruktúrájának megerősítésére és az egységes kiberbiztonsági szabványok létrehozására irányulnak?
Az irányelv kibővített hatálya új ágazatokra, például hulladékgazdálkodásra és postai szolgáltatásokra is kiterjed, miközben a kritikus infrastruktúrák védelmére és a sebezhetőségek csökkentésére összpontosít.
A kibertámadások fenyegetése egyre növekszik, és a Verizon DBIR 2024 jelentés főbb megállapításai rámutatnak a sebezhetőségek és az emberi hibák kritikus szerepére. A NIS2 irányelv bevezetésének hosszú távú előnyei többek között az adatvédelem megerősítése, az ellátási lánc biztonsága és az incidensek gyors jelentésének fontossága.
A GAP-értékelési folyamat segíti a szervezeteket a megfelelésben. A négy szakaszból álló elemzés – kezdeti felmérés, jelenlegi állapot értékelése, kockázatelemzés és ütemterv kidolgozása – támogatja a szervezeteket a biztonsági erőfeszítések hatékony rangsorolásában és a NIS2 követelmények teljesítésében.
Az előadás javaslatokat fogalmaz meg a technikai és adminisztratív védelmi intézkedésekre, kiemelve a folyamatos fejlesztés fontosságát a kiberbiztonsági ellenállóképesség érdekében.
Dellei László
Az irányelv kibővített hatálya új ágazatokra is kiterjed, miközben a kritikus infrastruktúrák védelmére és a sebezhetőségek csökkentésére összpontosít.
a Cybersafe Hungary Zrt. kibervédelmi üzletágvezetője
Az előadás itt tekinthető meg
NIS2 Audit – Tudtuk, de nem sejtettük…célegyenesben az audit
Az Európai Unió NIS2 irányelve új megközelítést hoz a kiberbiztonsági megfelelés területén, szigorú követelményeket támasztva az informatikai (IT) és ipari, technológiai (OT) rendszerek számára. Az előadás részletesen bemutatta az auditfolyamatokat, a megfelelési követelményeket és az érintett szervezetek felelősségeit.
Az NIS2 szabályozás alapjai
Az irányelv célja a kijelölt ágazatok ellenállóképességének növelése egységes kockázatértékelés és biztonsági intézkedések révén. A szervezeteknek az alábbi főbb feladatokat kell ellátniuk:
• Nyilvántartás és osztályozás: Adatok és rendszerek nyilvántartásba vétele és biztonsági osztályba sorolása.
• Védelmi intézkedések meghatározása: A kockázatokkal arányos védekezési stratégiák, intézkedések kidolgozása.
• Védelmi intézkedések implementálása: A kidolgozott védelmi intézkedések megvalósítása
• Rendszeres auditok: Kétévente történő, feljogosított auditor által végzett ellenőrzések.
Az audit folyamata és követelményei
Az auditok a szervezeti biztonsági intézkedések teljes körű vizsgálatát foglalják magukban, beleértve a technológiai képességek elemzését, a dokumentációs megfelelőség vizsgálatát és a helyszíni ellenőrzéseket. A magasabb biztonsági osztályok esetében speciális vizsgálatokra, például forráskód-elemzésekre és behatolási vizsgálatokra is sor kerülhet.
Az NIS2 auditok elősegítik a szervezetek kiberbiztonsági ellenállóképességének növelését, csökkentve ezzel az esetleges incidensek kockázatát. Az előadás itt tekinthető meg
Felelősség és felkészülés
A szervezet vezetője felel a biztonsági osztályba sorolás jogszerűségéért és az intézkedések végrehajtásáért. A nyilvántartásba vételt követően legfeljebb két év áll rendelkezésre a szükséges biztonsági szint eléréséhez. Az előadás hangsúlyozta a felkészülési lépések, például a GAP-elemzés, a szabályzatok kialakítása és a megfelelő technológiák beszerzésének fontosságát.
Előnyök és kihívások
Az NIS2 auditok elősegítik a szervezetek kiberbiztonsági ellenállóképességének növelését csökkentve ezzel az esetleges incidensek kockázatát. A felkészülési lépések kiemelt figyelmet és erőforrásokat igényelnek, hogy a szervezetek megfeleljenek a szabályozás által támasztott követelményeknek.
Az előadás rávilágított, hogy az NIS2 nem csupán megfelelési kötelezettség, hanem stratégiai lehetőség is a hosszú távú kiberbiztonsági fejlődés érdekében.
A konferencia teljes felvétele megtekinthető a Gábor Dénes Egyetem YouTube csatornáján!
ABSZTRAKTKÖTET 2024.
További információ:
nis2.gde.hu/pub/index nis2.spartancode.hu/pub/index
ISBN 978-615-80541-8-8
