ÜZLETI IT- Tartalmas, előremutató, vicces de közben halálosan komoly

EURO ONE

Megjelent a NIS2 – Kibertantv. részletes követelmény tervezet – elemzés

Tóth Tamás cikke

2024. február 07. - EURO ONE

Bizonyára a magyar információbiztonsági piac sok másik szereplője is hozzánk hasonlóan várta a Kibertantv. részletes biztonsági követelményeire vonatkozó híreket. Napi szinten figyeltük a Kormány Dokumentumtárát, ahol 2024. január 31-én reggel megjelent a Biztonsági osztályba sorolás követelményeiről, valamint az egyes biztonsági osztályok esetében alkalmazandó konkrét védelmi intézkedésekről szóló miniszteri rendelet tervezete. Aki követi az iparági híreket és podcastokat, az a Nemzeti Kibervédelmi Intézet (NKI) Kibertámadás! podcast S3E82 adásában már hallhatta az erre vonatkozó utalásokat. Ugyan csak tervezetről beszélünk, de ez már sok alap kérdésre választ ad az érintett szervezeteknek arról, hogy milyen irányba kell elindulniuk, ha eddig ezt nem tették meg.

artboard_1.png

Az iparági hírek és előadások alapján sejteni lehetett, hogy a Kibertantv. érintetti körére is a közismert 41/2015 BM rendelet követelményei fognak valamilyen formában vonatkozni, amely egyénként a NIST SP 800-53 alapjaira épült. A hivatkozott tervezet a BM rendeletet fogja kiváltani és egységesen fog érvényesülni a Kibertantv. és az Ibtv. érintetti köreire. Ebben a cikkben kívánom bemutatni a tervezet lényegi elemeit.

Kockázatmenedzsment keretrendszer

A tervezet egyik újdonsága az úgynevezett Kockázatmenedzsment keretrendszer, ami átfogóan tartalmazza a PDCA módszer elemeit. A Kibertantv. ugyan az információbiztonsági irányítás rendszerét említi, de úgy gondolom, hogy jelen esetben, lényegében ugyanannak tekinthetjük a két kifejezés lényegét. Ugyanakkor fontos megjegyezni, hogy a Kibertantv.-ben sehol sem említik az ISO 27001-alapú információbiztonsági irányítás rendszert, a kockázatmenedzsment keretrendszer felépítése más, mégis vannak közös pontok.

1. Pillér – Keretrendszer létrehozása és rendszerek meghatározása

A keretrendszer első pillére a keretrendszer, kézenfekvő módon először a szervezet elektronikus információs rendszerek védelmével kapcsolatos szerepköröket, felelősségeiket, feladataikat kell meghatározni és dokumentálni. 

Meg kell alkotni egy kockázatmenedzsment stratégiát is, amely leírja, hogy a szervezet hogyan azonosítja, értékeli, kezeli és felügyeli a biztonsági kockázatokat. Ezen felül egy biztonság-felügyeleti stratégiát is ki kell dolgozni, amely magába foglalja a védelmi intézkedésekhez kapcsolódó tevékenységek ellenőrzésének gyakoriságát, felügyeletének módszereit és eszközeit.

A tervezet is tovább viszi a BM rendelet rendszerfókuszú megközelítését és a követelmények teljesítését, illetve dokumentációját az egyes elektronikus információs rendszerek szintjén írják elő, de még ne szaladjunk előre a biztonsági osztályba sorolásig.

A rendszerekkel kapcsolatban az alábbiakat kell dokumentálni:

  • a rendszer által támogatandó üzleti célokat, funkciókat és folyamatokat,
  • a tervezésben, fejlesztésben, implementálásban, üzemeltetésben, karbantartásban, használatban és ellenőrzésben érintett személyeket,
  • érintett vagyonelemeket,
  • a rendszer szervezeti és technológiai határát,
  • a rendszer által feldolgozandó, tárolandó és továbbítandó
  • adatköröket és azok életciklusát,
  • a rendszerrel kapcsolatos fenyegetettségből adódó biztonsági kockázatok értékelését és kezelését,
  • a rendszer helyét a szervezeti architektúrában, amennyiben a szervezet rendelkezik vele.

Ha gyakorlati oldalról közelítjük meg ezt az elvárást, akkor a megfeleléshez komoly szervezeti érettség kell, hiszen ehhez több naprakész és teljeskörű nyilvántartással kell rendelkezni, amelyek a valóságban kevés helyen vannak meg megfelelő formában. Pl.: üzleti folyamatok listája, üzleti célok „listája” explicit módon, hardver- és rendszernyilvántartás, IP nyilvántartás, adatvagyonleltár, kockázatnyilvántartás.

2. pillér – Biztonsági osztályba sorolás

Azt, hogy a rendszereket biztonsági osztályba kell sorolni, már a Kibertantv. szövegéből tudni lehetett, ahogy azt is, hogy a megszokott 5 fokozatú biztonsági osztály 3 biztonsági osztályba lett összevonva: Alap, Jelentős, Magas. Az egyes biztonsági osztályokhoz tartozó hatás skálák viszont korábban nem voltak ismertek, erre a tervezet adott választ. A tervezetben részletezett hatás skála alapján úgy látom, hogy egy átlagos szervezetnek viszonylag kevés Magas besorolású rendszere lesz, vagy akár egyáltalán nem is lesz.

Az osztályba sorolást minden elektronikus információs rendszerre el kell végezni, függetlenül attól, hogy az esetleg egy harmadik fél által működtetett rendszer. Ha az érintett szervezet rendelkezési joga az elektronikus információs rendszernek csak egyes elemeire vagy funkcióira terjed ki (pl. egy SaaS alkalmazás hozzáférés kezelésére), akkor az irányadó biztonsági követelményeket ezen elemek és funkciók tekintetében kell teljesítenie az érintett szervezetnek. Ezt a kérdést érdemes lehet a felhős rendszerek felelősségi mátrixához hasonlóan megközelíteni.

3. pillér – Védelmi intézkedések kiválasztása

Főszabály szerint a biztonsági osztályba sorolás alapján kell kiválasztani, majd testre szabni és alkalmazni a kontrollokat a tervezetben található védelmi intézkedés katalógusból, de a Kibertantv.-vel kapcsolódó előadásokban elhangzottak szerint kockázat-alapon van lehetőség némi eltérésre és helyettesítő intézkedések alkalmazására, amelyeket később fejtek ki.

Az alkalmazandó biztonsági követelményeket az adott rendszer rendszerbiztonsági tervében kell dokumentálni, amit a szervezet vezetője, vagy az elektronikus információs rendszer biztonságáért felelős szerepkört betöltő személy hagy jóvá.

Nem elég magában az alkalmazandó biztonsági követelményeket kidolgozni, ezek alkalmazásának az ellenőrzésére is létre kell hozni egy eljárásrendet a biztonság-felügyeleti stratégiával összhangban. Az eljárásrendnek kell választ adnia, hogy ki, milyen védelmi intézkedéseket, milyen eszközökkel, hogyan és mikor kell ellenőriznie. Röviden: kontroll tesztelés.

4. pillér – Védelmi intézkedések alkalmazása

Az egyes védelmi intézkedéseket be kell vezetni vagy ki kell terjeszteni az új rendszerekre. A védelmi intézkedések bevezetésére vonatkozóan a tervezet tartalmaz egy fokozatosságra vonatkozó rendelkezést: „A védelmi intézkedések fokozatosan vezethetők be. A fokozatosságot a védendő elektronikus információs rendszerek biztonsági osztályozása alapján lehet felállítani.” Ennél több útmutatás nincs, ellenben sok kérdést lehet felvetni ezzel kapcsolatban.

Ha egy korábban információbiztonsági szempontból nem szabályozott, alacsony érettségi szinttel rendelkező szervezetnek a Jelentős biztonsági osztályhoz tartozó 302 kontrollt kell alkalmaznia az első kiberbiztonsági auditig, akkor nem lesz egyszerű dolguk. Ha a fokozatosság azt jelenti, hogy először az Alap követelményeket kell teljesíteni, majd az Ibtv-ben jelenleg létező kétéves biztonsági osztály emeléshez hasonló megoldást (Ibtv. 8.§ (3) bekezdés) lehetne alkalmazni, az nagy segítség lenne minden megfelelni akaró érintett szervezetnek. Erre vonatkozóan nincs konkrét információ, de remélhetően a hatályos szabályozásban ez tisztázásra kerül.

5. pillér – Védelmi intézkedések értékelése

A PDCA ciklusból elérkeztünk a C betűhöz, vagyis a Check-hez. A kontrollokat nem elég csak alkalmazni, azok hatékonyságáról rendszeres időközönként meg is kell győződni. Nem csak a Kibertantv. által előírt kétéves auditokkal, mert ez ahhoz  hosszú ciklus.

A biztonság-felügyeleti stratégia és a biztonságértékelési eljárásrend alapján rendszeres időközönként értékelni (tesztelni) kell a kontrollokat és meg kell állapítani, hogy azok megfelelően működnek-e.  Ennek az outputjaként dokumentálni kell az értékelési jelentést, amely tartalmazza az észrevételeket és javaslatokat. Ezek alapján kell – szükség esetén – további intézkedéseket bevezetni a követelmények teljesítése érdekében.

A szervezet vezetőjének – szervezeti szinten az információbiztonság legmagasabb szintű felelőseként – meg kell vizsgálnia rendszer biztonsági állapotára vonatkozó dokumentumokat (pl. értékelési jelentés, vagy inkább ezek vezetői összefoglalóját) és át kell tekintenie a kockázatokat. Ezek alapján kell döntést hoznia az érintett rendszer üzembehelyezésére (értelemszerűen új rendszernél) vagy üzemben tartására (meglévő rendszernél) vonatkozóan.

6. pillér – Folyamatos felügyelet

Ha kialakításra került a keretrendszer, be lettek vezetve a biztonsági kontrollok, akkor ezt a működést és az állapotot fenn is kell tartani. A folyamatos felügyelet keretében elfogadható szinten kell tartani a kockázatokat, lekövetve és alkalmazkodva a szervezeti, technológiai és biztonsági környezet változásaihoz. Ennek érdekében felül kell vizsgálni a rendszerek biztonsági állapotát, továbbra is értékelni kell a védelmi intézkedéseket, átvezetni a változásokat. Ha egy rendszert ki kell vezetni, akkor ezt a kockázatcsökkentő intézkedéseket tartalmazó folyamat vagy terv alapján kell megtenni (pl. hozzáférések megszüntetése, adatok biztonságos törlése).

Védelmi intézkedések katalógusa

Fontos a keretrendszer, de talán mindenki érdekesebbnek tartja a Védelmi intézkedések katalógusát, amely a tervezet 2. mellékletében található. Végső soron ez tartalmazza a megfeleléshez szükséges feladatok nagy részét.

A cikknek nem célja az összes kontroll ismertetése. E helyett inkább az összefüggésekre és a háttérre szeretnék rávilágítani. Aki gyakran használta az Osztályba sorolás és védelmi intézkedés űrlapot, vagyis az OVI táblát, annak sok ismerős kontroll lesz. Ennek az az oka, hogy az NKI podcastjában elhangzottak szerint a NIST SP 800-53 Rev. 5 szabvány előírásai lettek átemelve a tervezetbe, amely korábbi verzióján alapult az OVI tábla is. A biztonsági osztályok 3 szintje is innen eredhet, hiszen a NIST SP 800-53 Rev. 5-nek is 3 security baseline-ja van hasonló céllal. Némi elemzéssel további érdekességekre is bukkanhatunk.

A tervezet védelmi intézkedés katalógus fejezetei megegyeznek a NIST SP 800-53 Rev. 5 Control Family-k angol megfelelőjével.

Tervezet követelmény fejezet

NIST SP800-53 Control Family

Programmenedzsment

Program Management

Hozzáférés-felügyelet

Access Control

Tudatosság és képzés

Awareness and Training

Naplózás és elszámoltathatóság

Audit and Accountability

Értékelés, engedélyezés és monitorozás

Assessment, Authorization, and Monitoring

Konfigurációkezelés

Configuration Management

Készenléti tervezés

Contingency Planning

Azonosítás és hitelesítés

Identification and Authentication

Biztonsági események kezelése

Incident Response

Karbantartás

Maintenance

Adathordozók védelme

Media Protection

Fizikai és környezeti védelem

Physical and Environmental Protection

Tervezés

Planning

Személyi biztonság

Personnel Security

Kockázatelemzés

Risk Assessment

Rendszer- és szolgáltatásbeszerzés

System and Services Acquisition

Rendszer- és kommunikációvédelem

System and Communications Protection

Rendszer- és információsértetlenség

System and Information Integrity

Ellátási lánc kockázatkezelése

Supply Chain Risk Management

Arányukban megegyeznek az egyes forrásokban megtalálható követelmények száma is:

Tervezet biztonsági osztályok

Tervezetben található védelmi intézkedések száma

NIST SP800-53 Rev. 5 védelmi intézkedések száma

NIST SP800-53 Rev. 5 Security Baseline-ok

Alap

164

170

Low

Jelentős

302

308

Moderate

Magas

385

391

High

A tervezetben található táblázatban feltüntetésre kerültek a követelménycsoportok, követelmények, valamint a biztonsági osztályok is. X-szel van jelölve, hogy az adott követelményt melyik biztonsági osztályban kell alkalmazni. Vannak olyan sorok is, amelyekben mindhárom biztonsági osztálynál – jel került feltüntetésre.  Ezek kiegészítő védelmi intézkedések, amelyeket egyik biztonsági osztály esetében sem kötelező alkalmazni, a szervezetek azonban felhasználhatják ezeket a rájuk vonatkozó egyéb követelmények teljesítése érdekében.

Úgy gondolom, hogy továbbra is üdvözlendő az a megközelítés, hogy egy bevált, immár 19 éve létező, világszerte elismert szabványt vesznek alapul a követelmények meghatározásánál. A már hivatkozott podcast adás alapján ezeket a kontrollokat tovább csiszolták a hazai viszonyokra.

Eltérések és helyettesítő védelmi intézkedések

Az eddigi szabályozástól eltérően a tervezetben meghatározott keretek közt el lehet térni a követelményektől, de ehhez megfelelő indoklás és kockázatelemzés kell, tehát senkinek sem érdemes erre alapoznia. Néhány példa: A szervezeti létesítményekkel kapcsolatos védelmi intézkedések csak azokra a létesítményekre alkalmazandók, amelyek közvetlenül nyújtanak védelmet vagy biztonsági támogatást az elektronikus információs rendszernek, vagy kapcsolatosak azzal. Specifikus technológiára [például vezeték nélküli kommunikáció, kriptográfia, nyilvános kulcsú infrastruktúrán (PKI) alapuló hitelesítési eljárás] vonatkozó védelmi intézkedések csak akkor alkalmazandók, ha ezeket a technológiákat használják az elektronikus információs rendszerben, vagy jogszabály, vagy szervezetre vonatkozó szabályozó előírja ezek használatát.

A helyettesítő védelmi intézkedések, ismertebb nevükön kompenzációs kontrollok intézménye sem volt elterjedt jogszabályi szinten, de más keretrendszerek, szabványok régebb óta ismerik és alkalmazzák, pl. PCI-DSS. A PCI-DSS esetében a kompenzációs kontrollok akkor vehetők figyelembe, ha a szervezet nem tud megfelelni az előírt követelményeknek bizonyos technológiai vagy üzleti korlátok miatt, de rendelkezik más védelmi intézkedésekkel, amelyekkel a kockázatot kellőképpen csökkentik. A tervezet is biztosítja a lehetőséget, hogy a szervezet egy adott biztonsági osztályhoz tartozó védelmi intézkedés helyett egyenértékű vagy összemérhető védelmet nyújtson az adott elektronikus információs rendszerre valós fenyegetést jelentő veszélyforrások ellen. Természetesen az eltérésekhez hasonlóan ennek is megvannak a keretei: akkor alkalmazandó, ha a védelmi intézkedések katalógusa nem tartalmaz az adott viszonyok között eredményesen alkalmazható intézkedést, felmérték az ezzel járó kockázatot, dokumentumban bemutatják a körülményeket és jóváhagyta a kockázatok felvállalására jogosult szerepkört betöltő személy.

Kockázatelemzés és a kockázatok kezelése

A tervezet ír a kockázatelemzésről és a kockázatok kezeléséről is. Itt sok újdonság nincs, ezeket a követelményeket egy bevált kockázatkezelési keretrendszer megfelelő átültetésével könnyen lehet teljesíteni, pl. ISO 27005, NIST SP800-30, CIS RAM, FAIR és még folytathatnánk.

Minimálisan négy fokozatú kockázati besorolást kell alkalmazni, amire azért lehet szükség, hogy a szervezetek elkerüljék azt, hogy túl sok közepes besorolású kockázatuk legyen és ezeket nehezen lehessen megközelíteni. A tervezet 3. mellékletében találhatunk egy fenyegetési katalógust is, amellyel kapcsolatban előírják, hogy legalább az abban található elemeket kell figyelembe venni a kockázatelemzések során. Úgy gondolom, hogy a szakmailag megfelelően összeállított kockázatkezelési módszertanok teljesítik a fenti elvárásokat.

Konklúzió és a következő lépések

A jogszabály társadalmi véleményezésének határideje hamarosan lejár, véleményünk szerint nem sok változásra kell számítani. Az előírások gyakorlati alkalmazásánál, különösen az új lehetőségek (pl. fokozatosság, eltérések, helyettesítő intézkedések) esetében biztosan sok kérdés lesz, ezért továbbra is érdemes lesz részt venni a konferenciákon, szakmai előadásokon és meghallgatni az ezzel kapcsolatos podcastokat.

Mi a következő lépés az érintett szervezeteknél? Gap elemzés végrehajtása és a keretrendszer kialakításának megkezdése. Eddig viszonylag kérdéses volt, hogy milyen követelményrendszer alapján érdemes megcsinálni a kezdeti felméréseket, de a tervezet megjelenése óta ez már nem kérdés. Minden érintett szervezetnek továbbra is azt javasoljuk, hogy önállóan vagy külső segítséggel mérje fel a mostani biztonsági szintjét és tervezze meg a feltárt hiányosságok megszüntetéséhez szükséges feladatokat. A cikkben már említett – korábban nem szabályozott, információbiztonsági szempontból alacsony érettségi szintű – szervezeteknek nagyon sok teendőjük lesz, a piac kapacitásai végesek, ezért nem lehet az utolsó pillanatra hagyni a felkészülést.

Új rendelet a NIS2-Kibertantv. hatálya alá tartozó szervezetek nyilvántartásba vételéről

Tóth Tamás cikke

2024. január 09. - EURO ONE

A NIS2 irányelvvel kapcsolatos információkat 2022 nyara óta követjük figyelemmel és folyamatosan tájékoztatjuk ügyfeleinket a megfeleléshez vezető lépésekről, hogy senkit ne érjen váratlanul a kötelező védelmi intézkedések alkalmazásának bevezetése, majd az ezt követő auditok.

blognis2_1.png
Új rendelet jelent meg 2023 végén. A Szabályozott Tevékenységek Felügyeleti Hatósága (SZTFH) kiadta az érintett szervezetek kiberbiztonsági felügyeleti hatósági nyilvántartásáról szóló 23/2023. (XII. 19.) SZTFH rendeletet. A hivatkozott jogforrás részletezi a Kibertantv. hatálya alá tartozó, érintett szervezetek nyilvántartásba vételének részleteit, amit 2024. június 30-ig kell megtenni.
Olvassa el bővebb cikkünket nis2 iranyelv weboldalunkon, amelyben összefoglaljuk a rendelet lényeges pontjait.

A legnépszerűbb trend és kiberbiztonsági előrejelzések 2024-ben: Védekezés a fejlődő fenyegetésekkel szemben

2024. január 08. - EURO ONE

Az elmúlt évekhez hasonlóan igyekeztünk összegyűjteni számotokra a 2024-ben várható kiberbiztonsági fenyegetésekről szóló információkat és jóslatokat. Az idei évben is a nemzetközi piacvezető tanácsadók, biztonsági megoldásszállítók, kiberbiztonsági-fenyegetés kutatóintézetek jóslataiból válogattunk olyan várható fenyegetési faktorokat és tényezőket, amelyek hazánkban is dominálhatnak és nagy valószínűséggel bekövetkezhetnek 2024-ben.

2024-trendek-blogposzt.jpg

Mivel a digitális környezet évről évre tovább fejlődik,  új lehetőségeket és kihívásokat jelent az egyének, a vállalkozások és a kormányok számára egyaránt. A technológia fejlődésével a kiberfenyegetések kifinomultsága is fejlődik. A különféle ágazatok gyors digitalizálása és a technológiától való növekvő függőség következtében a vállalkozásoknak és szervezeteknek proaktívan kell végrehajtaniuk és tervezniük az IT-biztonsági stratégiát és az érzékeny információik védelmét.

1. Az AI és az ML használata a kibertámadásokban egyre gyakoribb, elsősorban az olyan platformokhoz való könnyű hozzáférés miatt, mint az OpenAI. Ezek az eszközök egyszerűbbé tették a támadók számára a kódírást és az exploit-ok gyors fejlesztését. A kifinomult támadási vektorok mesterséges intelligencia segítségével történő generálásának képessége jelentős kihívást jelent, mivel lehetővé teszi az összetettebb és célzottabb fenyegetések létrehozását és automatizálását.
kep1_1.jpg

2. 2024-ben az egyik legjelentősebb kiberbiztonsági fenyegetés várhatóan a fejlett tartós fenyegetések (APT) térnyerése lesz. Az APT-k olyan kifinomult támadások, amelyek meghatározott szervezeteket vagy iparágakat céloznak meg hosszabb ideig. Ezek a támadások a social engineering-től kezdve a nulladik napi sebezhetőségek kihasználásán keresztül egészen a fejlett rosszindulatú programok kombinációjáig terjednek, hogy jogosulatlan hozzáférést szerezzenek, és fenntartsák a hálózaton belüli állandóságot a szervezeten belül, amelyet megtámadnak. Mivel a nemzetállamok és a szervezett bűnözői csoportok egyre gyakrabban alkalmaznak APT-ket, a szervezeteknek fokozniuk kell biztonsági intézkedéseiket, hogy hatékonyan észleljék ezeket a fenyegetéseket és képesek legyenek reagálni rájuk.

3. A ransomware támadások riasztóan gyakoriak lettek az elmúlt években, a kiberbűnözők a sebezhetőségeket kihasználva alapvető adatokat titkosítanak és váltságdíjat követelnek a kiadásukért. Sajnos ez a tendencia 2024-ben valószínűleg folytatódni fog, és tovább fog fejlődni. A támadók egyre gyakrabban veszik célba a létfontosságú infrastruktúrákat, egészségügyi rendszereket, egyetemi hálózatokat, állami intézményeket, sőt az összekapcsolt járműveket is, ami jelentős fennakadásokat okozhat és életveszélyt is jelenthet egyes esetekben. Továbbá 2023-ban egyre növekvő veszélyt jelentett, hogy a támadók már nem csak titkosították az adatokat, hanem el is lopták azokat és mint egy második zsarolási faktor használták fel az áldozatokkal szemben a megszerzett információkat. A titkosítással egybekötött adatlopások száma és az ilyen jellegű incidensek sűrűsége 2024-ben jelentősen gyakoribb és több is lesz, mint az elmúlt évben.
A zsarolóvírus-támadások kockázatának csökkentése érdekében a szervezeteknek előnyben kell részesíteniük a rendszeres adatmentéseket, az alkalmazottak adathalászattal és közösségi manipulációval kapcsolatos képzéseket, valamint a robusztus proaktív következő generációs végpontvédelmi és detektációs megoldásokat. A ransomware elleni küzdelem továbbra is a kiberbiztonság első számú prioritása marad.
kep2.jpg

 4. Az IoT-eszközök terjedése hatalmas támadási felületet jelent, amelyet a kiberbűnözők kihasználhatnak. Az IoT számos iparágat átalakított, nagyobb kapcsolódást és hatékonyságot tesz lehetővé. Az IoT-eszközök gyors elterjedése azonban új sebezhetőségeket és belépési pontokat is teremtett a kibertámadók számára. Az IoT eszközök biztonsága kiemelt gond lesz idén, mivel a hackerek a gyengén védett eszközöket célozzák meg leggyakrabban, hogy jogosulatlan hozzáférést szerezzenek a szervezeten belül és megzavarják a szolgáltatásokat. 2024-ben az előrejelzések szerint az IoT botnetek elterjedtebbé válnak, lehetővé téve a kiberbűnözők számára, hogy nagyszabású elosztott szolgáltatásmegtagadási (DDoS) támadásokat indítsanak, és jogosulatlan hozzáférést kapjanak a kritikus rendszerekhez.
E fenyegetések leküzdése érdekében az IoT-eszközgyártók robusztus biztonsági protokolljai és bevált gyakorlatai kulcsfontosságúak lesznek az összekapcsolt eszközök növekvő ökoszisztémájának védelme érdekében.

5. A Bring Your Own Device (BYOD) trend nem mutatja a lassulás jeleit. A távmunka megszokottá válásával az alkalmazottak személyes eszközeiket használják a munkával kapcsolatos feladatokra. Bár ez a megközelítés rugalmasságot és kényelmet kínál, biztonsági kihívásokat is jelent.
2024-ben a BYOD és a mobileszközök használatának robbanásszerű növekedésének leszünk tanúi. Az érzékeny vállalati adatok ezeken az eszközökön való védelme érdekében a szervezeteknek robusztus mobileszköz-felügyeleti (MDM) és végpontvédelmi megoldásokat kell bevezetniük, és biztonsági szabályzatokat kell kialakítaniuk és betartaniuk. A kihívás az, hogy egyensúlyt találjunk az alkalmazottak termelékenysége és az adatvédelem között.

6. Míg a külső fenyegetések gyakran dominálják a címlapokat, a bennfentes fenyegetések egyre nagyobb aggodalomra adnak okot. A bennfentes fenyegetés lehet rosszindulatú vagy nem szándékos. Az alkalmazottak vagy megbízható személyek véletlenül vagy rosszindulatú szándékkal veszélyeztethetik a biztonságot.
A szervezetek felügyeleti és észlelési képességeik fejlesztésére összpontosítanak, hogy azonnal azonosítsák a bennfentes fenyegetéseket. Az alkalmazottak képzése és tudatosítása döntő szerepet fog játszani e kockázatok mérséklésében. A kulcs az, hogy megtaláljuk az egyensúlyt a bizalom és az éberség között.

7. Az egyre gyorsabban fejlődő kvantumszámítástechnika forradalmasítja az adatfeldolgozásról és a problémamegoldásról való gondolkodásunkat. A klasszikus számítástechnikától eltérően, amely 0-ként vagy 1-ként ábrázolt biteket használ, a kvantumszámítás qubiteket használ. A kvantum-szuperpozíciónak köszönhetően a qubitok egyidejűleg több állapotban is létezhetnek. Ez lehetővé teszi a kvantumszámítógépek számára, hogy hatalmas mennyiségű adatot dolgozzanak fel soha nem látott sebességgel, és sokkal gyorsabban oldják meg az összetett problémákat, mint a hagyományos számítógépek.
A kvantumszámítástechnika térnyerése egyszerre jelent lehetőségeket és kihívásokat a kiberbiztonság számára. Egyrészt hatalmas feldolgozási teljesítménye lehetőséget kínál a kiberbiztonsági intézkedések megerősítésére. A kvantumszámítástechnika javíthatja a titkosítási módszereket, kifinomultabb algoritmusokat fejleszthet ki a kiberfenyegetések észlelésére, és hatékonyan kezelheti a nagy léptékű, biztonságos adatműveleteket.
Másrészt a kvantumszámítástechnika jelentős fenyegetést jelent a jelenlegi kiberbiztonsági protokollokra nézve. A hagyományos titkosítási módszerek, például az RSA és az ECC gyors feltörésére való képessége számos meglévő biztonsági rendszert sebezhetővé tehet. Ez a sebezhetőség rávilágít arra, hogy sürgősen szükség van kvantumrezisztens titkosítási technikák kifejlesztésére, ezt a területet posztkvantum kriptográfiaként ismerik.
Ahogy előre haladunk 2024-ben, a kiberbiztonsági környezetnek gyorsan fejlődnie kell, hogy kihasználja a kvantumszámítástechnika előnyeit és mérsékelje a kockázatokat. Ez magában foglalja a jelenlegi titkosítási módszerek frissítését és a rendszerek felkészítését a kvantumtechnológiák fejlett képességeivel szembeni ellenálló képességre.
kep3_1.jpg8. A képzett kiberbiztonsági szakemberek iránti kereslet nagyobb, mint valaha. Azonban egyre nagyobb a szakadék a kereslet és a rendelkezésre álló jó szakemberek száma között. 2024-ben ez az informatikai készséghiány továbbra is fennáll, és kihívást jelent a szervezetek számára, hogy képzett szakértőket találjanak kiberbiztonsági igényeik kezelésére.
A szervezeteknek képzési és fejlesztési programokba kell befektetniük meglévő munkatársaik képzettségének javítása érdekében. A kiberbiztonsági szakértők hiánya sürgető probléma, amelyet nem lehet figyelmen kívül hagyni.

9. A Zero Trust modell egy olyan koncepció, amely az elmúlt években jelentős teret nyert. Ez arról szól, hogy ne bízz meg egyetlen entitásban sem a hálózaton belül, sem azon kívül. Minden felhasználót és eszközt, tartózkodási helyétől függetlenül, potenciális fenyegetésként kezelünk. Ez a modell a személyazonosság-ellenőrzésre és a folyamatos felügyeletre összpontosít a biztonság érdekében.
A Zero Trust kiberbiztonság továbbra is egyre népszerűbb lesz és egyre több iparágban vezetik be a biztonsági szint növelése érdekében. Ez egy proaktív megközelítés, amely védelmet nyújt a bennfentes fenyegetésekkel, a külső jogsértésekkel és a hálózaton belüli oldalirányú mozgásokkal szemben. A zéró bizalmi keretrendszer bevezetésével a szervezetek megerősíthetik biztonsági helyzetüket, és minimalizálhatják az illetéktelen hozzáférés kockázatát.

10. Az elmúlt néhány évben az üzleti adatok, folyamatok és infrastruktúra jelentős migrációja ment végbe a felhőalapú számítástechnika felé. Az előnyök egyértelműek: gyorsabb piacra lépés, megnövekedett termelékenység, költségcsökkentés és jobb rugalmasság. A Gartner előrejelzése szerint 2023-ban a felhőszolgáltatásokra fordított állami kiadások elképesztően 20,7%-kal nőnek, és elérik a figyelemre méltó 600 milliárd dollárt.
Ez a váltás azonban nem mentes a kihívásoktól. A felhőalapú fenyegetések, mint például a csökkent láthatóság és vezérlés, rosszul konfigurált felhőalapú tárolás és beállítások, sebezhető felhőalkalmazások, hiányos adattörlés, megfelelőségi problémák és migrációs problémák továbbra is hatással lesznek a vállalkozásokra. A szervezeteknek meg kell küzdeniük azzal a kihívással, hogy megvédjék kritikus adataikat a felhőszolgáltatások elleni támadásokkal szemben. A siker kulcsa egy kiforrott és áramvonalas felhőalapú irányítási modell bevezetésében rejlik, amely jelentősen felgyorsíthatja a biztonsági válaszadási képességeiket.

+1 NIS2 irányelv és megfelelés:

Az idei év külön kihívásokat jelenthet sok szervezet számára ugyanis a NIS2 bevezetésére való felkészülés során a szervezeteknek biztosítaniuk kell az új előírások betartását. A NIS2 célja a kritikus infrastruktúra-üzemeltetők kiberbiztonsági helyzetének javítása és a tagállamok közötti együttműködés fokozása. A szervezeteknek átfogó kockázatértékelést kell végezniük, incidens-elhárítási terveket kell kidolgozniuk, és egyértelmű kommunikációs vonalakat kell kialakítaniuk az illetékes hatóságokkal. A szervezeteknek prioritásként kell kezelniük az adatvédelmet, és átlátható adatkezelési gyakorlatot kell alkalmazniuk, hogy megfeleljenek a változó szabályozásnak, és elkerüljék a súlyos szankciókat. A felkészülést nem árt mielőbb megkezdeni és felmérni a megfeleléshez szükséges hiányosságokat.

Konklúzió

Összefoglalva, ahogy 2024-re tekintünk, a fejlődő kiberbiztonsági környezet megköveteli a szervezetektől, hogy proaktívak legyenek a fejlett informatikai biztonsági stratégiák megvalósításában. Az APT-k terjedése, az IoT sebezhetősége és a fejlődő ransomware támadások átfogó megközelítést tesznek szükségessé a kiberbiztonság terén. A proaktív fenyegetésfelderítő program elfogadásával, a biztonsági ellenőrzések többrétegű bevezetésével, az alkalmazottak képzésének és tudatosításának előtérbe helyezésével, valamint a NIS2-megfelelőségre való felkészüléssel a szervezetek fokozhatják kiber-ellenálló képességüket, és megvédhetik kritikus eszközeiket a folyamatosan változó kiberfenyegetésekkel szemben.

 

 

PCI-DSS: a kártyaadatok védelmében

Szalárdi Tamás cikke

A digitális bankolás és bankkártyás tranzakciók térnyerésével megnyílt egy innovatív, előremutató, ugyanakkor veszélyekkel teli új dimenzió, amely mind a kényelem, mind a praktikum miatt villámgyorsan szerves részévé vált mindennapjainknak. Mára gyakorlatilag el sem tudnánk képzelni az életünket internetes vásárlás, PayPass, ATM-es készpénzfelvételi lehetőség nélkül, miközben az évezred elején ez a szolgáltatási irányzat még épp csak a szárnyát bontogatta.

pci-dss-blogposzt.jpg

Egy kis történelem

A folyamatos térnyerés és a szolgáltatások minőségi fejlődése mellett a biztonság sajnos nem kapott kellő figyelmet, így annak érdekében, hogy a kártyás vásárlások biztonságát megfelelő és egységes szintre emeljék, 2006-ban a MasterCard, Visa, JCB International, Discover Financial Services és American Express megalapította a PCI-SSC-t (Payment Card Industries Security Standards Council), hogy az általuk brandelt kártyák adatait a tranzakciók teljes életciklusa során csak olyan szervezetek kezelhessék - bármilyen formában -, amelyek megfelelnek az általuk támasztott követelményeknek. Követelményeik fő célja az adatlopások és visszaélések számának visszaszorítása és a kártyás tranzakciók általános védelmének növelése. Mára tizenöt szabvány köthető a PCI-SSC-hez, ezek közül a legismertebb a PCI-DSS (Payment Card Industries Data Security Standard), amely a legnagyobb szeletét fedi le a tranzakciók életciklusának.

PCI-DSS

A PCI-DSS központi eleme a kártyaadat, amelynek védelméhez szükséges követelményeket foglalja magában, hat nagyobb, illetve összesen tizenkét kisebb területre vetítve. Kártyaadatnak számít minden olyan információ, amely a kártyabirtokos azonosítására alkalmas:

  • a kártyabirtokos neve,
  • a kártyaszám,
  • a kártyaazonosító szám,
  • a kártya lejárati dátuma,
  • a kártyakibocsátó neve,
  • a mágnescsík,
  • a PIN kód,
  • a chip,
  • a CAV2/CVC2/CVV2 kód.

Ezek kezelését és tárolását szigorú szabályokkal korlátozzák, amelyek betartását évente kell bizonyítani. A szabvány által taglalt követelmények lefedik az információbiztonság területeit: nevesítve kitér a hálózatbiztonság, adatvédelem, sérülékenység-menedzsment, hozzáférés-kezelés, ellenőrzés- és felügyelet, valamint szabályozás témakörökre. A szabvány követelményei objektív szemléletűek, így teret engednek több megközelítési módnak is, persze csak akkor, ha a követelményben foglaltak teljesülnek. Az előírások mellett ellenőrzési leírásokat is tartalmaznak, amelyek elsősorban az auditorok számára készültek, ugyanakkor az ellenőrzési szemlélet megismerésével a vállalat helyzetét is segíthetik a megfelelőbb kontrollok kialakításában. A követelmények egyéb segédpontokat is megfogalmaznak, amelyek segítenek az elvárások relevanciáját, súlyát és szerepét megérteni. Felsorakoztatnak bevált praktikákat és példákat, hogy a megvalósítás egyszerűbbé váljon.

A technológia fejlődésével a szabvány is folyamatosan bővül, az újításokkal járó problémaforrásokat és a kiforratlanságokból eredő anomáliákat igyekszik újabb követelményekkel vagy korábbiak kiegészítésével lefedni. A változtatásokat mindig egy új verzióban közlik, ilyenkor az előző és az új kiadás alapján is lehet auditáltatni. E rugalmasság egyben időt biztosít arra is, hogy a szabvány hatálya alá tartozó szervezetek felkészülhessenek az új verzióban található módosításokra, szükség esetén bevezethessenek új kontrollokat, így az audit során már - jó eséllyel - nem éri őket meglepetés.

A 4.0-ás szabvány

A szabvány legújabb, 4.0-ás kiadása 2022. március végén lépett hatályba. A korábbi 3.2.1-es verzió még érvényben van egészen 2024.március végéig. Ezen időszak alatt az érintett szervezeteknek még lehetőségük van a 3.2.1-es verzió alapján auditáltatni, azonban érdemes rákészülni az 4.0-ás kiadásra, hiszen 2024. március után az auditoroknak már kötelező lesz az új verzió alapján ellenőrizni a vállalat PCI-DSS hatálya alá tartozó részeit, működését, kontrolljait.

A szabvány újabb verziói jellemzően mindig a korábbi kiadásokra épülnek, az olyan követelmények, amelyek a megfelelő minimális biztonsági szintet képesek megkövetelni, változatlanul vagy kisebb módosításokkal benne maradnak az új kiadásban is, míg az olyan területeket, amelyeket az előző verzió nem taglalt, de kiemelkedő jelentőséggel bírnak, új követelmények formájában részletezi a szabvány. Az ilyen új és módosított követelményekre való felkészülés az, ami a korábban már sikeresen auditált vállalatok számára a felkészülési időszakban a legnagyobb odafigyelést igényli: fel kell mérni, hogy az aktuális működés és az érvényben levő kontrollok, gyakorlatok milyen mértékben találkoznak a követelmények által meghatározott minimális feltételekkel, a felmérést követően össze kell gyűjteni azokat a kontrollokat, amelyeket módosítani szükséges vagy újonnan létre kell hozni, ezt követően pedig ütemtervet kell készteni a változtatások bevezetésére, melyeket a vállalati kultúrával összhangban a következő – már új verzió alapján történő – auditig kell bevezetni.

A 4.0-ás verzió a korábbi kiadáshoz képest innovatívabb megközelítést alkalmaz, teret enged a felhő-érának, nagyobb hangsúlyt fektet az adathalász támadások elleni védekezésre és felderítésre, illetve szigorítja az authentikációs folyamatokhoz tartozó kritériumokat (szigorúbb jelszókövetelmények, MFA). Az incidenskezelés területén elvárásként fogalmazza meg a naplófájlok automatizált mechanizmusokkal történő elemzését is, minden olyan területen, ahol kártyaadat megfordulhat.

Egy elkülönített terület: CDE

A szabvány nem kötelezi a vállalatokat arra, hogy a kártyaadatok kezelését egy különálló hálózatban, elkülönített irodában végezzék, de elvárja, hogy azok a területek, ahol az adatok tárolása, kezelése, továbbítása megtörténhet, a PCI-DSS szabvány által meghatározott követelményeknek eleget tegyenek. Bevált praktika ezért, hogy a vállalatok külön hálózatot alakítanak ki azon munkavállalóknak és eszközöknek, amelyek részt vesznek e folyamatokban. Emellett fizikailag elkülönített irodát hoznak létre a kártyaadatokkal munkát végző munkavállalóknak is, hogy a szabvány hatályát azokra a közegekre korlátozzák, ezzel csökkentve a megfeleléshez szükséges anyagi- és erőforrásbeli igényeket. Ezt az elkülönített területet Cardholder Data Environment-nek, röviden CDE-nek hívjuk.

Azzal, hogy az auditor által ellenőrizendő területet csökkenti a vállalat, könnyíthet a dolgán és egyszerűbbé teheti az életét, de még ha kisebb területen is, a kritériumoknak mindenképpen meg kell felelni. Vannak feltételek, amelyek folyamatos odafigyelést igényelő kontrollok meglétét várják el. Ilyenek például az ismétlődő feladatok, amelyeket folyamatos, negyedéves, féléves és éves ciklusokban kell megismételni. De ide tartoznak még a negyedéves - külső és belső - elfogadható eredménnyel záruló sérülékenység-vizsgálatok, Rogue AP vizsgálatok, féléves tűzfalszabály felülvizsgálatok, éves képzések, kockázatértékelések, incidenskezelési folyamatok felülvizsgálata, penetrációs tesztek lefolytatása, és azok eredményeinek rögzítése, szükség esetén azonnali javítása. Folyamatos feladat az általános üzemeltetés mellett a folyamatos naplóelemzés és a potenciális incidensek korai szakaszban történő detektálása és elhárítása.

Komplex folyamat: PCI-DSS és SOC megfelelés

A PCI-DSS-nek való megfelelés komplex, több területen átívelő folyamat, amely gördülékenységet és hatékonyságot igényel. Mivel az incidenskezelés és a védelem megfelelő szinten tartása sarkalatos pontok, így egy Biztonsági Műveleti Központ (Security Operation Center – SOC) nagy segítség lehet a vállalat számára. Legyen szó külső, vagy akár belső SOC kialakításáról, a feladatok elvégzésének hatékonysága markánsan nőhet, ha azok végrehajtását, menedzselését egy arra dedikált csoport végzi. Ilyen feladatok lehetnek a sérülékenység-menedzsment, fenyegetések felderítése (threat intelligence), az incidenskezelés, vagy a naplófájlok automatikus mechanizmusokkal ellátott elemzése. Ugyan egy SOC központi feladata általában a naplófájlok elemzése és az incidenskezelés, e tevékenység bővülhet, s jellemzően bővülni is szokott, természetesen a szerződő felek közti megállapodás alapján.

Felmerülhet a kérdés, hogy olyan esetben, amikor a vállalatnak meg kell felelnie a PCI-DSS követelményeinek, és e feladatok elvégzésére SOC-ként külsős felet bíz meg, a külsős fél számára is kötelező érvényűvé válik-e a szabványnak való megfelelés? A válaszhoz a szabvány által meghatározott definíciót érdemes alapul venni, miszerint: „A PCI-DSS követelményei azokra a szervezetekre vonatkoznak, amelyek környezetében kártyaadatokat (kártyabirtokosi adatok és/vagy érzékeny hitelesítési adatok) tárolnak, feldolgoznak vagy továbbítanak, valamint azokra az entitásokra, amelyek környezetében a CDE biztonságát befolyásolhatják.”

E fenti idézet alapján, mivel a SOC a CDE biztonságát pozitív irányban befolyásolja, egyértelmű a válasz: igen. További tényező még, hogy a PCI-DSS szerint minden olyan kapcsolódó rendszer is a hatókörbe tartozik, amely támogatja a PCI-DSS követelményeknek való megfelelést, illetve biztonsági szolgáltatást nyújt a CDE számára.

Összegzésül

Összességében elmondható, hogy a PCI-DSS egy innovatív, gyakorlatorientált és következetes szabvány, amely biztosítja, hogy a kártyás tranzakciók során a kártyaadatok biztonságos környezetben kerüljenek feldolgozásra, kezelésre, tárolásra. A szabványban meghatározott követelmények ésszerűek és teljesíthetők, ám a megfelelés komoly tervezést, odafigyelést, költségvetést és folyamatos üzemeltetést igényel.

Filmekből a valóságba: a ChatGPT előnyei és hátrányai

Polyák Bea cikke

Most, hogy már a csapból is a ChatGPT nevű, mesterséges intelligenciára épülő chatbot folyik, bizonyára sokak szeme előtt felderengenek azok a sci-fi jelenetek, amelyekben öntudatra ébredő, intelligens gépek gyilkolják le önfeledten a főhős családtagjait és barátait, vagy igyekeznek változatos módszerekkel elpusztítani, rabigába hajtani az egész emberiséget. Talán ez lehet az egyik oka annak is, hogy az emberek kétkedéssel és félelemmel állnak a mesterséges intelligenciához. Szerencsére még jó néhány évünk van - vagy nem - ahhoz, hogy a T1000-s robotok ellepjék a földet, és a Skynethez hasonló, öntudatra ébredő számítógépes rendszer valamiféle elődje létrejöjjön. De mi a helyzet akkor ChatGPT-vel? Használja bátran, aki csak teheti? Vagy érdemes már most fenntartásokkal kezelni, hogy egy MI alapú robottal cseverészünk? Vannak a ChatGPT-nek és a hasonló megoldásoknak veszélyei?
chatgpt-blogposzt.jpg

A ChatGPT biztonsági kockázatai

Az OpenAI Mesterséges Intelligencia Kutatólaboratórium által kifejlesztett ChatGPT megjelenése óriási port kavart a világban. Mivel ez a chatbot önálló tudással jelenleg nem rendelkezik - a generált válaszok betanított adatokon alapulnak -, így nem lehet még úgy jellemezni, hogy jó vagy rossz robot. Egyelőre mindössze egy sok szempontból hatékony eszköz. Akadnak azonban olyan, biztonsággal kapcsolatos problémái amelyektől már most óvakodnunk kell.

A mesterséges intelligencia egyre jobban beépül az életünkbe azáltal, hogy képes végrehajtani emberi intelligenciát igénylő feladatokat is. Az AI és az ML (gépi tanulás) együttesen alakítja át az olyan iparágakat, mint például az egészségügy, a pénzügy, a közlekedés, vagy akár a kiberbiztonság. Utóbbinál pedig kiváló lehetőséget teremt a kiberbűnözők számára is. Lássunk erre néhány példát:

  • Adathalász emailek: A ChatGPT megjelenése előtt ezeknek az üzeneteknek a legnagyobb buktatói a helyesírási, nyelvtani hibák voltak, de a hackerek immár olyan adathalász e-maileket írhatnak AI segítséggel, amelyek ránézésre egy hivatalos személy vagy egy szakértő tollából is származhatnak. Túlontúl hitelessé válhatnak.
  • Adatlopás: A ChatGPT megkönnyítheti a kiberbűnözők életét, hiszen - mint az már több cikkben is olvasható volt - képes hazugságra is, így bárkinek kiadhatja magát, hibátlan szövegeket írhat, kódokat hozhat létre. A támadók eddig is mindig megtalálták a módját különféle eszközökkel és technikákkal az adatok ellopására, de most egy egészen új színteret, mondhatni egy komplett játszóteret kaphatnak.
  • Félretájékoztatás: Korunkban, ahol a clickbait-újságírás és a közösségi média hódít, hatalmas kihívás jelent megkülönböztetni egymástól a hamis és a valós híreket. Az álhírek kiszűrése azért is fontos, mert vannak akik propagandát terjesztenek, míg mások rosszindulatú oldalakra vezetnek a segítségükkel. Például a természeti katasztrófákról szóló álhírek arra csábíthatják a gyanútlan felhasználókat, hogy adományokat küldjenek a csalóknak. Ezek az összegek nyílván nem a vélt vagy valós szerencsétlenség áldozatainál landolnak.
  • Malware fejlesztés: Kutatók szerint a ChatGPT segíthet a rosszindulatú programok továbbfejlesztésében. Kutatásaik alapján, a rosszindulatú szoftverek készítői fejlett alkalmazásokat is készíthetnek, például polimorf vírusokat, amelyek könnyen megváltoztatják a kódjukat, hogy beépüljenek, láthatatlanok maradjanak.
  • Megszemélyesítés: A ChatGPT akár másodpercek alatt képes egy valódi személy hangján és stílusában szöveget írni. Ezen képessége, hogy akár híres embereket is meg tud személyesíteni, egyre nagyobb és nagyobb mértékű csalásokat eredményezhet. Bizonyára mindenki hallott már az Elon Musk nevével visszaélő kriptopénz-csalásokról, amelyekkel akár milliókat is kicsalhattak a jóhiszemű, amatőr befektetőktől. Az ilyen átverések még meggyőzőbbek, ha Elon stílusában írja őket egy AI chatbot. Ez valóban hátborzongató képesség, mely akár tömeges átverésekhez is vezethet.
  • Ransomware: A zsarolóprogramok segítenek a támadóknak a számítógépes rendszereket feltörni és pénzt szerezni az áldozatoktól. De a zsarolók közül sokan nem saját kódot írnak, hanem a Dark Weben keresztül vásárolják meg azt különféle fejlesztőktől. Kutatók szerint a ChatGPT már sikeresen tud olyan rosszindulatú kódokat írni, amelyek akár egy egész rendszert képesek titkosítani egy zsarolóvírus támadás során, így lassan nem szükséges mástól megvásárolni ezeket.
  • Spam: Bár a legtöbb spam levél megírása pár percet vesz igénybe és alapvetően ártalmatlan, reklám jellegű tartalmuk van, de a ChatGPT segítségével ez a munkafolyamat is felgyorsítható, és ezek a spam levelek is hordozhatnak kártékony kódokat vagy rosszindulatú weboldalra terelhetik a felkészületlen, figyelmetlen felhasználókat.
  • Social engineering: Az eltereléses csalás (BEC, Business Email Compromise) az egyik legelterjedtebb módszer. Ennél a csaló e-mailben rávesz valakit - az adott szervezeten belül - arra, hogy bizalmas vállalati adatokat osszon meg, esetleg pénzt küldjön. A “hagyományos” BEC támadások könnyen észlelhetők minták azonosításával, ám a ChatGPT által működtetett támadások már átjuthatnak a biztonsági szűrőkön.

Van tehát miért tartani a ChatGPT és a hasonló megoldások gyors terjedése miatt. De természetesen a fentiek mellett azért előnyös tulajdonságokkal is bírnak ezek az eszközök.

Milyen előnyei vannak?

Az esetek többségében a világ nem fekete vagy fehér, így a hátrányok mellett azért jelentős előnyökkel is szolgál számunkra a ChatGPT. Igaz, a használatának módját a felhasználó határozza meg, így a kibertámadásoknak újabb ajtók nyílnak, de ugyanez igaz a kiberbiztonságra is. A ChatGPT a biztonsági csapatok számára is értékes információkkal, ajánlásokkal szolgálhat, lehetővé téve számukra, hogy megalapozottabb döntéseket hozzanak. Nagy mennyiségű adatot képes egy időben elemezni és olyan mintákat azonosítani, amelyek az ember számára nem feltétlenül tűnnek fel azonnal. Képes a trendek azonosítására és a jövőbeli kiberfenyegetések előrejelzésére is, így segítve a biztonsági csapatokat a lehetséges támadásokra való felkészülésben és tervezésben. Íme néhány példa:

  • Fenyegetések fokozott észlelése: A nagy mennyiségű adatok elemzése és a potenciális kiberfenyegetések azonosítása által elősegítheti a fenyegetések észlelési képességeinek javítását. Az adatok mintáit elemezve képes felismerni a gyanús viselkedést és a kibertámadásra utaló anomáliákat. A ChatGPT segíthet a rosszindulatú programok, az adathalászat és más kiberfenyegetések azonosításában és kategorizálásában is, ami megkönnyíti a biztonsági elemzők számára a gyors és hatékony reagálást.
  • Gyors reagálás: Az idő fontos tényező kibertámadás esetén. A mesterséges intelligencia valós idejű adatelemzéssel, cselekvési javaslatok kidolgozásával segíthet a biztonsági csapatoknak gyorsabban reagálni a támadásokra. Automatizált válaszokat generálhat bizonyos típusú fenyegetésekre, felszabadítva ezzel a biztonsági elemzőket, hogy a komplexebb fenyegetésekre koncentrálhassanak. Értékes információkkal és ajánlásokkal szolgálhat rövid időn belül.
  • Hibaelhárítási kód: A kiberbiztonsági szakemberek arra is használhatják a ChatGPT-szerű megoldásokat, hogy felfedezzenek egy biztonsági rést valamely programban. A kiberbiztonságban kritikus fontosságú a biztonsági hibák kiküszöbölése, mielőtt a hackerek kihasználnák azokat.
  • Intelligens szerződésben lévő hibák felfedezése: Az intelligens szerződés egy kódba ágyazott, önvégrehajtó dokumentum a szerződés feltételeivel. Bár a ChatGPT-t nem az intelligens szerződésekben lévő hiányosságok azonosítására tervezték, bizonyítottan képes megtalálni a szerződés hibáit. Szakértők szerint a szerződéshibák azonosítására való képessége a fejlesztésekkel csak javulni fog.
  • Network Mapper vizsgálatok elvégzése: Az Nmap (Network Mapper) hasznos megoldás a biztonsági auditáláshoz, behatolásvizsgálathoz és a sebezhetőség értékeléséhez. Az AI segíthet az eszköznek a beolvasások vizsgálatával és elemzésével.
  • Szakmai hiányosság megszüntetése: A kiberbiztonsági képzés kritikus fontosságú minden szervezet számára, amely csökkenteni szeretné a kibertámadások kockázatát. A képzett munkatársak kisebb valószínűséggel nyitnak meg rosszindulatú linkeket vagy webhelyeket, amelyek zsarolóprogramokkal, trójaiakkal és kémprogramokkal fertőzhetik meg a vállalati rendszereket. A mesterséges intelligencia segíthet megszüntetni a kiberbiztonsági tudáshiányt azáltal, hogy tömör, összeszedett válaszokkal nyújt segítséget a megelőző intézkedésekbe.

Így már azért jobban hangzik a dolog. Ezek alapján a ChatGPT és társai nem pusztán a kiberbűnözők számára jelentenek új eszközt, hanem a védekezésre koncentráló szakembereknek is. A macska-egér harc tehát ugyanúgy folytatódhat, csak modernebb, kicsit a tudományos-fantasztikus regények világát idéző eszközökkel.

Mit hozhat a jövő?

A sci-fi rajongók tömege üdvözli lelkesen a mesterséges intelligencia térnyerését, míg a technológia ellenesek tábora aggódik, hogy mivel jár majd az AI terjedése az emberiség jövőjére nézve. Ám a technológia fejlődését nem lehet megakadályozni, legfeljebb határokat szabhatunk neki. Annyi biztos, hogy a ChatGPT népszerűségének köszönhetően, az ilyen jellegű mesterséges intelligenciával új és ismeretlen ajtók nyílnak meg mindenki számára, ami gyökerestül képes átalakítani a jövőnket. Mi ugyan most csak a kibertérben lévő lehetőségeket rágtuk át, de az AI rengeteg lehetőséget és egyben veszélyt is tartogat. A rendező és forgatókönyvíró James Cameront - vagy inkább magát Schwarzeneggert - idézve: “Visszatérek” még az újabb fejleményekkel.

Megjelent a NIS2 irányelvet nemzeti jogba átültető jogszabálytervezet

Tóth Tamás cikke

2023. április 11. - EURO ONE

A korábbi NIS2 irányelv (a továbbiakban: irányelv) témájában írt cikkemben még nem voltak konkrétumok arra vonatkozóan, hogy az irányelv milyen jogszabállyal lesz átültetve a nemzeti jogunkba, továbbá melyik hatóság lesz kijelölve a terület felügyeletére.

Ebben a cikkben összefoglalom a NIS2 irányelv hazai átültetésével kapcsolatos újdonságokat.

nis2-magyar-tervezet-blogposzt.jpg

Jogszabálytervezet benyújtása és a felügyeleti hatóság

A Miniszterelnöki Kabinetiroda az előző cikk megjelenése után csaknem két héttel 2023. februárban benyújtotta a Kiberbiztonsági tanúsításról és felügyeletről szóló törvénytervezetet (T/3314. törvényjavaslat: A kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről) a Parlament számára, így új fejleményekről számolhatunk be.

A jogszabálytervezet egyszerre kívánja átültetni az Európai Parlament és a Tanács (EU) 2019/881 rendeletét (2019. április 17.) az ENISA-ról (az Európai Uniós Kiberbiztonsági Ügynökségről) és az információs és kommunikációs technológiák kiberbiztonsági tanúsításáról (Cybersecurity Act), valamint a NIS2 irányelvet.

A jogszabálytervezet a Szabályozott Tevékenységek Felügyeleti Hatóságát (SZTFH) jelölte ki kiberbiztonsági felügyeleti hatóságként. A hatóságnak rendkívül szerteágazó tevékenységei vannak, hozzájuk tartozik a szerencsejáték felügyelet, dohányügyi felügyelet, felszámolói és bírósági végrehajtói felügyeleti terület, bányászati felügyeleti tevékenység és a földtani tevékenység is.

Jogszabálytervezet hatálya

A jogszabálytervezet 1. és 2. mellékletében vannak felsorolva a magas kockázatú ágazatokban működő szolgáltatók és szervezetek, illetve a jelentős kockázatú ágazatokban működő szolgáltatók és szervezetek, amelyek hálózati és információs rendszereire alkalmazni kell a követelményeket. Ez egybevág a korábbi cikkekben is bemutatott, irányelvben meghatározott szervezeti körrel.

A jogszabálytervezet is tartalmazza az irányelv által meghatározott „kedvezményt” miszerint az elvárások nem vonatkoznak mikro- és kisvállalkozásokra, mert esetükben gyakran aránytalan költségekkel járna a követelmények teljesítése. Azonban nem mindenki lélegezhet fel közülük, hiszen az elektronikus hírközlési szolgáltatók, bizalmi szolgáltatók, DNS-szolgáltatást nyújtó szolgáltatók, legfelső szintű domainnév-nyilvántartók és a domainnév regisztrációt végző szolgáltatók továbbra is a szabályozás alá tartoznak. Úgy gondolom, hogy ez a felsorolt szolgáltatók tevékenységi köreit átgondolva teljesen érthető.

Alkalmazandó követelmények és osztályba sorolás

A jogszabálytervezet természetesen magában foglalja a sokak által ismert kiberfenyegetések által okozható károk mértékével arányos védekezés elvét, bizalmasság – sértetlenség – rendelkezésre állás védelmét,  hálózati és információs rendszerei és azok fizikai környezetének biztonságának biztosítását.

Az előírások szerint a védelemnek ki kell terjednie a(z):

  • információbiztonsági irányítás rendszerére,
  • hálózati és információs rendszerek kockázatainak feltárására és kezelésére,
  • kockázatok csökkentésére irányuló, a szervezet kockázatelemzésében rendszerenként meghatározandó biztonsági osztálynak megfelelő adminisztratív, logikai és fizikai intézkedések alkalmazására,
  • biztonsági incidensek megelőzésére, felismerésére, kezelésére és hatásainak csökkentésére, az üzletmenet folytonosság biztosítására és
  • hálózati és információs rendszerek és az ezek által használt szoftver és hardver termékek beszerzésére, fejlesztésére, üzemeltetésére.

A jogszabálytervezet által elvárt védelmi intézkedések szűkebb körűek, mint az irányelv 21. cikkében felsorolt – és sokat hivatkozott - kiberbiztonsági kockázatkezelési intézkedések:

  • kockázatelemzési és az informatikai rendszerek biztonságára vonatkozó szabályzatok;
  • eseménykezelés;
  • üzletmenet-folytonosság, például tartalékrendszerek kezelése, valamint katasztrófa utáni helyreállítás és válságkezelés;
  • az ellátási lánc biztonsága, ideértve az egyes szervezetek és közvetlen beszállítóik vagy szolgáltatóik közötti kapcsolatok biztonságával kapcsolatos szempontokat;
  • biztonság a hálózati és információs rendszerek beszerzésében, fejlesztésében és karbantartásában, beleértve a sérülékenységek kezelését és közzétételét;
  • szabályzatok és eljárások a kiberbiztonsági kockázatkezelési intézkedések hatékonyságának értékelésére;
  • alapvető kiberhigiéniai gyakorlatok és kiberbiztonsági képzés;
  • a kriptográfia és adott esetben a titkosítás használatára vonatkozó szabályzatok és eljárások;
  • humánerőforrás-biztonság, hozzáférés-ellenőrzési szabályzatok és eszközgazdálkodás;
  • adott esetben többtényezős hitelesítési vagy folyamatos hitelesítési megoldások, biztonságos hang-, video- és szöveges kommunikáció, valamint biztonságos vészhelyzeti kommunikációs rendszerek használata a szervezeten belül.

Ha csak szűken nézve a jogszabálytervezet által felsorolt védelmi intézkedések alapján akarja valamelyik szervezet kidolgozni, mappelni a saját kontrolljait, akkor nem lesz egyszerű dolga, mivel sok konkrétum hiányzik. Ez azonban nem ritka, hiszen törvényi szinten ez a szint megszokott és a részletes előírásokat egy alsóbb szintű szabályozásban szokás meghatározni.

A szervezetek vezetőinek

  • ki kell jelölniük az elektronikus információs rendszerek biztonságáért felelős személyt és meg kell határozni feladatait és felelősségi körét (IBF, CISO),
  • meg kell határozni az elektronikus információs rendszerek felhasználóira vonatkozó szabályokat (ami véleményem szerint nem azonos az információbiztonsági szabályzattal),
  • gondoskodniuk kell a szervezet munkatársainak rendszeres információbiztonsági képzéséről és ismereteinek szinten tartásáról (vagyis tudatosító programot és oktatásokat kell szervezni és végrehajtani).

A jogszabálytervezet hatálya alá tartozó szervezeteknek a hálózati és információs rendszereiket, valamint az azokon tárolt, továbbított vagy feldolgozott adatokat is biztonsági osztályba kell sorolni. Ez sokaknak ismerős lehet az Ibtv. kapcsán. Jelen esetben viszont különálló osztályba sorolási kritériumok lesznek meghatározva: a bizalmasság, a sértetlenség, a rendelkezésre állás sérülésének kockázata alapján „alap”, „jelentős” vagy „magas” biztonsági osztályokat kell majd alkalmazni. A biztonsági osztályok részletei jelenleg még nem nyilvánosak, azokat majd egy SZTFH elnöki rendelet fogja tartalmazni. Ez logikailag összefügg majd az alkalmazandó védelmi intézkedésekkel, mert azok körét és mélységét a biztonsági osztályoktól fogják meghatározni. Ezeket is egy SZTFH elnöki rendelet fogja tartalmazni.

Az ellátási láncok védelme kiemelkedő fontosságú, erre a SolarWinds elleni támadás is rámutatott. A támadásban a SolarWinds mellett több ezer szervezet volt érintett, köztük az Egyesült Államok kormánya is. Az irányelvvel összhangban a jogszabálytervezet is előírja, hogy a hálózati és információs rendszer létrehozásában, üzemeltetésében, karbantartásában vagy javításában közreműködő harmadik feleknek is teljesíteni kell a követelményeket és ezt az adott tevékenységre vonatkozó szerződésbe is bele kell foglalni, amiért az érintett szervezet vezetője felel.

Biztonsági incidensek bejelentése

Ha a szabályozás hatálya alá eső szervezet rendszerében olyan biztonsági incidens történt vagy annak közvetlen bekövetkezése fenyeget, amely az érintett szervezet működésében vagy az általa végzett szolgáltatásnyújtásban súlyos zavart vagy vagyoni kárt okoz vagy jelentős vagyoni, vagy nem vagyoni kárt okoz más természetes vagy jogi személyek számára, akkor azt be kell jelentenie.

A jogszabálytervezet szerint a biztonsági incidenseket az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény szerinti eseménykezelő központ részére a Kormány rendeletében részletezettek szerint bejelentést tenni.

Ezt konkrétumokra fordítva a bejelentést vélhetően az eseménykezelő központok feladat- és hatásköréről, valamint a biztonsági események kezelésének és műszaki vizsgálatának, továbbá a sérülékenységvizsgálat lefolytatásának szabályairól szóló 271/2018. (XII. 20.) Korm. Rendelet előírásai alapján (8. §-12.§) a Nemzeti Kibervédelmi Intézet számára kell megtenni.

Hatósági felügyelet

A jogszabálytervezet az SZTFH-t jelölte ki a szabályozás hatálya alá eső szervezetek kiberbiztonsági felügyeleti szerveként. A felügyelet részletes tartalmát majd SZTFH elnöki rendeletben fogják kidolgozni, de több fontos tényezőt már jelenleg is megismerhetünk.

A közigazgatási felügyelet fogalma tágabb az ellenőrzésnél annyiban, hogy a felügyelet egyrészt magában foglalja az ellenőrzés fogalmát, az ellenőrzési jogkört és ellenőrzési eszközöket. Másrészt az ellenőrzési jogosítványokon túlmenően tartalmazza – az ellenőrzés eredményétől függően – a beavatkozás eszközeit, a különböző típusú jogi és nem jogi következmények alkalmazásának jogát is.

Az SZTFH kiberbiztonsági felügyeleti jogkörében jogosult dokumentumokat bekérni a biztonsági követelményekre, osztályba sorolásra vonatkozóan, hatósági ellenőrzést végezhet, akár rendkívüli auditot is elrendelhet és természetesen bírságot is kiszabhat.

Az SZTFH elrendelheti az érintett szervezet által nyújtott szolgáltatásokat igénybe vevők tájékoztatását az azokat potenciális érintő fenyegetésről vagy az ilyen fenyegetés elhárításához szükséges megelőző intézkedések várható hatásairól, ami jelentős reputációs károkat okozhat a szabálytalan szervezetnek. Az SZTFH végső esetben eltilthatja az érintett szervezetet a biztonsági követelmények teljesülését közvetlenül veszélyeztető tevékenységtől.

További érdekesség, hogy a szabályozás hatálya alá tartozó szervezetnek felügyeleti díjat kell fizetnie az SZTFH részére, ami a szervezet előző üzleti évi nettó árbevételének legfeljebb 0,15 százaléka.

Kötelező audit

A jogszabálytervezet előírja, hogy az érintett szervezetnek 2 évente auditáltatnia kell magát arra vonatkozóan, hogy megfelel-e a rá vonatkozó kiberbiztonsági követelményeknek. Ez az audit nem hatósági ellenőrzés, hanem független vizsgálat, amit csak az SZTFH által nyilvántartott, független auditorok végezhetnek el. Az auditoroknak rendelkezniük kell a feladat ellátásához szükséges szakértelemmel és infrastrukturális feltételekkel, valamint az állami és önkormányzati szervek elektronikus információbiztonságáról szóló törvény szerinti sérülékenységvizsgálat lefolytatására is jogosult gazdálkodó szervezetnek kell lenniük. További követelményeket és az audit legmagasabb díját szintén SZTFH elnöki rendelet fogja meghatározni.

Az auditok az alábbiakra terjednek ki, azok mélysége függ az érintett szervezet biztonsági osztályától:

  • belső informatikai biztonsági és távoli sérülékenységvizsgálat, valamint „jelentős” vagy „magas” biztonsági osztály esetén behatolásvizsgálat,
  • kriptográfiai megfelelőségvizsgálat, valamint
  • „jelentős” vagy „magas” biztonsági osztály esetén a kritikus biztonsági funkciókat végző egyedileg fejlesztett szoftverek biztonsági forráskód-vizsgálata.

Az auditor a vizsgálat lefolytatása után haladéktalanul egyaránt megküldi az érintett szervezet és az SZTFH részére és hivatalosan jelezni kell, ha a szervezet folyamatos működését súlyosan veszélyezteti vagy bűncselekmény elkövetésére, jogszabály megsértésére vagy az érintett szervezet belső szabályzatának súlyos megsértésére vagy ezek veszélyére utaló körülményeket észlelnek.

Konklúzió  - Hogyan tovább?

A benyújtott és hivatkozott törvényjavaslat számos új információt tartalmaz, amelyek valószínűleg nem fognak jelentősen változni. A teljeskörű megfeleléshez szükséges információk – pl. biztonsági osztályok tartalma, részletes biztonsági követelmények – viszont még nem állnak rendelkezésre, mivel azokat a sokszor hivatkozott SZTFH elnöki rendeletben fogják konkretizálni. A hatóság oldaláról célszerű lenne praktikus, informatív útmutatókat készíteni a szabályozás hatálya alá tartozó szervezetek számára, hogy könnyebben eligazodjanak a paragrafusok, követelmények, határidők közt.

A tervek szerint a jogszabálytervezet részben a kihirdetést követő 8. napon, a követelményekre vonatkozó részek pedig 2024. január 1-től lépnének hatályba. Az auditra, hatósági felügyeleti intézkedésekre vonatkozó részek 2024. október 18-tól lépnének hatályba, ami összhangban van a NIS2 irányelv 2024. október 17-i nemzeti jogba való átültetésére vonatkozó határidőjével.

A szabályozás hatálya alá tartozó szervezeteknek azt javasoljuk, hogy kísérjék figyelemmel a jogszabály kihirdetését és indítsanak projektet a szabályozásnak való megfelelés értékelésére, elérésére. A felkészült szervezeteknek végre kell hajtaniuk a biztonsági osztályba sorolást, felül kell vizsgálni és ki kell egészíteni az információbiztonsági szabályozásukat.

A kevésbé felkészült szervezeteknek ki kell jelölniük a biztonságért felelős személyt, ki kell dolgozniuk a szabályozásukat, információbiztonsági tudatosító kampányokat kell kidolgozniuk és végrehajtaniuk, valamint be kell vezetni a többi alkalmazandó kontrollt.

A sikeres felkészüléshez az alábbi kapcsolódó cikkeimet javaslom:

Lépések a NIS 2 megfeleléshez

Kiberbiztonsági projektek megközelítése az ITIL 4 Continual Improvement Model alapján

Így vágj bele egy ISMS bevezetési projektbe

Egy sikeres ISO 27001 bevezetés gyakorlati tapasztalatai

 

Források

T/3314. törvényjavaslat: A kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről

Gyurita E. Rita — Hulkó Gábor — Józsa Fábián — Lapsánszky András — Varga Zs. András A közigazgatási hatósági eljárásjog jogintézményei, Dialóg Campus Kiadó, Budapest, 2019.

Minden amit tudnod kell a TISAX-ról

Hüvelyes Péter cikke

2023. március 23. - EURO ONE

A TISAX megalkotásának háttere

A vállalatok működése az elmúlt évtizedekben gyökeresen átalakult, nagy mértékben megnőtt az informatikától való függőségük. Mára elképzelhetetlen olyan vállalat, amely ne használna informatikai rendszereket működése szinte minden területén. Az informatikai támogatás megvalósításához egyre nagyobb számítástechnikai kapacitás, egyre erősebb informatikai infrastruktúra, valamint ezek üzemeltetéséhez megfelelő, speciális szaktudás szükséges. Több ok miatt bevált gyakorlat, hogy ezen feladatok nagy részét, az informatikai infrastruktúra üzemeltetését és akár magát az infrastruktúrát a rajta futó alkalmazásokkal együtt a vállalatok kiszervezik külsős, erre szakosodott vállalkozásoknak, majd azokat felhőszolgáltatásként veszik igénybe.

tisax-blogposzt.jpg

A felhőszolgáltatások előretörése mellett az internetre csatlakoztatott IoT eszközök és az Ipar 4.0 is egyre inkább terjed. Ez a trend azonban számos előnye mellett sok újfajta veszélyt, kockázatot is hordoz. A vállalat működése nagy mértékben kiszolgáltatottá vált az azt támogató informatikától, és ezáltal az azt szolgáltató vállalatoktól. Hogyha az adott folyamatot támogató informatikai szolgáltatás nem érhető el, akkor már az érintett folyamat sem tud működni. Ha az informatikai szolgáltatásban hiba, szolgáltatás megszakadás történik, akkor az a támogatott folyamat hibás működését is eredményezi. Ez könnyen bekövetkezhet akárcsak a szoftver hibájából, üzemeltetési problémából, vagy kibertámadásból (pl. ransomware) kifolyólag, és mindegyik jelentős kárt okozhat. De gondolhatunk az információ bizalmassági kérdéseire is, hiszen a vállalat működését támogató rendszerekben lévő adatok bizalmas üzleti információkat jelentenek, illetéktelenek általi megismerésük beláthatatlan üzleti kárt, veszteséget, akár jogi következményeket vonhat maga után.

A fentiek miatt egyre fontosabb a vállalatok számára nem csak saját, hanem beszállítóik információbiztonsági rendszereinek biztonságos működése is. A járműgyártásra jellemző különleges elvárások, kiemelt minőségi és biztonsági követelmények miatt pedig kiemelten fontos ez az autóipar esetében. Ennek biztosítása érdekében a német autóipari vállalatok szakmai képviseleti szervezete (VDA - Verband der Automobilindustrie / Német Autóipari Szövetség) 2017-ben létrehozott egy autóipari információbiztonsági követelmény- és auditálási rendszert TISAX (Trusted Information Security Assessment Exchange) néven. Bár ezek részlegesen az autóipari minőségirányítási szabvány-követelményekben már eddig is megjelentek, viszont a TISAX-ban tisztult le egységes formában, ez egységesíti a kiberbiztonsági elvárásokat az autóipari szereplők számára. A TISAX szabványnak két nagy előnye van: egyrészt meghatároztak egy kötelezően elérendő, egyenszilárd és magas biztonsági szintet, másrészt közös nevezőt hoztak létre a megalkotásával. Egy nagy, több gyártóval is együttműködő autóipari beszállító számára nagy kihívást jelentene elérni és összehangolni a gyártónként eltérő és szigorú követelményeknek való megfelelést, a bizonyosságnyújtásról, például a gyártónként külön végrehajtott auditok lebonyolításáról már nem is beszélve. A TISAX követelményrendszer egységes formában összefoglalja az autóipari beszállítókra vonatkozó információbiztonsági elvárásokat, így minden autóipari gyártó és megrendelő azonosan értelmezi, auditálja, és fogadja el, és emiatt általában kiindulási feltételként is fogalmazódik meg az autóipari beszállítóvá váláshoz.

Az autóipar és a harmadik felek által jelentett kockázatok

A Gartner 2019-es felmérése[1] alapján a compliance vezetők – iparágtól függetlenül – a harmadik felek által jelentett kockázatot (third party risk) tartották a legnagyobb fenyegetésnek, ami azóta is meghatározó. Egyetlen szervezet sem működik teljesen önállóan, mindegyiknek vannak kiszervezett tevékenységei, beszállítói, amelyeknek érzékeny adatokat kell átadni vagy hozzáférési jogosultságot kell biztosítani, hogy megfelelően végezhessék a feladataikat az ellátási- és értékláncokban. Gyakori támadói megközelítés, hogy nem a jól védett, elsődlegesen célpontnak számító szervezetet támadják, hanem a gyengébb védelmi intézkedéseket alkalmazó beszállítókat támadják meg, amit könnyebb kivitelezni. Így a támadók ugyanúgy hozzájuthatnak a megszerezni kívánt érzékeny adatokhoz vagy a hozzáférési jogosultságokhoz, amivel további cselekményeket követnek el.

Mindez igaz az autóiparra is, ami egy rendkívül kompetitív és gyorsan fejlődő iparágnak minősül és hazánknak is nagy érintettsége van a nálunk működő gyárak és a számos beszállító miatt. Az új fejlesztések, innovációk által biztosított versenyelőny kulcsfontosságú, éppen ezért a TISAX szabvány és az ennek alapját képező ISA felmérés a fejlesztések biztonságát és bizalmasságát célzó követelményekre fókuszál. Az egyik legszembetűnőbb dolog, hogy a prototípusokat a mai napig legfőképp álcázással védik a kémfotósoktól, de számos hírt lehetett olvasni az iparági fejlesztésekre vonatkozó érzékeny adatok megszerzésére irányuló ipari kémkedésekről is, ami a jelenlegi trendeknek megfelelően a kibertérben is zajlik.

A TISAX megalkotásának oka, hogy az autógyártóknak kezelniük kellett a nem megfelelő információbiztonsági szinttel rendelkező beszállítóik által jelentett kockázatokat. A TISAX a VDA tagjai (pl. ismert autó-, busz- és teherautógyártók, alkatrészgyártók) által a beszállítóikkal szemben elvárt információbiztonsági követelményeket tartalmazza, a széles körben ismert ISO 27001 szabvány kontrolljain alapulva, de számos egyedi elemet is tartalmaz.

 A TISAX felépítése

Fő dokumentumok

A TISAX szabvány két fontos dokumentumon alapul: a minősítés megszerzésének szabályait tartalmazó Participant Handbook-on és az információbiztonsági követelményeket tartalmazó VDA Information Security Assessment (ISA) táblázaton.

Értékelési célok (Assessment objectives)

A TISAX által meghatározott információbiztonsági követelmények logikájának megértése érdekében át kell tekinteni az ENX TISAX Participant Handbook jelenlegi, v2.5.1 kiadásában részletezett értékelési célokat is. Az értékelési célok az autógyártók és más partnerek által a beszállítónak átadott adattól függenek és ezek határozzák meg az alkalmazandó védelmi intézkedéseket is.

A beszállítónak ki kell választania az általa folytatott tevékenységeket és az ezekhez tartozó védelmi intézkedéseket kell alkalmaznia. Megfelelés esetén ezekre vonatkozóan kapja meg a TISAX minősítést. Az értékelési célokat három csoportba lehet sorolni:

  1. Általános információbiztonság (védendő átadott információ)
  2. Prototípus védelem (védendő átadott prototípus alkatrész és jármű)
  3. Adatvédelem (átadott, feldolgozott személyes adatok)

Információbiztonsági követelmények

Az általános információbiztonságra vonatkozó katalógus értékelése minden felmérés esetén kötelezően elvégzendő. Az információbiztonsági kritériumokon belül a meghatározott védelmi igény függvénye, hogy melyik kontrollokat szükséges alkalmazni. A másik két kritérium teljesítése opcionális, a beszállító által meghatározott értékelési céloktól függ. A prototípusok védelme a kifejlesztett prototípusok és egyes komponensek kezelésére, fotózásokon és egyéb eseményeken történő prezentálására, általános fizikai védelmére vonatkoznak, míg az adatvédelmi követelmények értékelése során GDPR-releváns kérdések felmérésére kerül sor.

Az információbiztonságra vonatkozó TISAX követelmények tartalmilag az ISO 27001 szabvány kontrolljaira támaszkodnak, az ISA táblában ezek egyértelműen megfeleltethetőek egymásnak. Az ISA követelmények viszont sokkal részletesebbek és konkrétabbak, míg az ISO 27001 szabvány kontrolljai általánosak, amelyeket az adott szervezetnek kell kidolgoznia.

A meghatározott védelmi igény függvényében minden követelményt legalább a TISAX szabvány által meghatározott hármas (3 - Established) érettségi szinten kell teljesíteni, viszont, ha ez akár csak egy követelmény esetében nem teljesül, akkor ez már nemmegfelelőséget eredményez.

TISAX folyamatok

A TISAX szabvány csak a követelmények tartalmában támaszkodik a ISO 27001 szabványra, a megfeleléssel kapcsolatos szabályokat, folyamatokat és nyilvántartásokat külön alkották meg, amiket a szintén autóipari szereplőket összefogó ENX Association felügyel. A TISAX megfelelés elérésének három lépése van:

  1. Regisztráció,
  2. Értékelés,
  3. Megosztás.

Regisztráció

A megfelelési folyamat a regisztrációval indul, amiről a Participant Handbook részletes leírásokat tartalmaz. Ez egy adminisztratív eljárás, amit az ENX Portálon kell végrehajtani.

A regisztrációnál egy fontos döntést kell meghozni: az értékelés hatókörének kijelölését, aminek ki kell terjednie a beszállító szervezetének minden olyan elemére, amelyek részt vesznek az autógyártók és más partnerek által a beszállítónak átadott adatok kezelésében. Ilyen elemek lehetnek a fizikai telephelyek, IT rendszerek és hardverek, igénybe vett felhőszolgáltatások és más kiszervezett tevékenységek is. A standard scope a meghatározott telephelyeken található összes olyan folyamatot és érintett erőforrást magában foglalja, amelyekre biztonsági követelmények vonatkoznak.

Értékelés

Felkészülés

Elsőként a szervezetnek el kell jutnia a TISAX szabvány – és a kiválasztott értékelési cél(ok) – által elvárt információbiztonsági szintre. A beszállítóknak a kiinduló helyzetben ajánlott egy gap assessment-et végezni, vagyis felmérni, hogy a TISAX szabvány követelményei közül milyen alkalmazandó előírásoknak felel meg és melyeknek nem. A felmérést követően – akár külső segítséget is igénybe véve – egy vagy több belső projektet kell indítani az azonosított hiányosságok megoldása érdekében. Ha mindent sikerült pótolni, akkor ezek ellenőrzéseként sor kerülhet a TISAX szabvány által is előírt önértékelésre (self-assessment), ami előfeltétele az éles értékelésnek is.

Auditor kiválasztása

Más információbiztonsági szabványokhoz hasonlóan a TISAX megfelelést is csak az arra jogosult, az az ENX oldalán listázott auditorok tanúsíthatják, akiket a szabvány audit provider-ként nevez meg.

Információbiztonsági értékelés végrehajtása

A TISAX szabvány többféle információbiztonsági értékelési megközelítést alkalmaz, amelyek közül az Assessment Level 2 (AL2) és az Assessment Level 3 (AL3) releváns. Az AL2 audit csak néhány értékelési cél esetén lehetséges, ilyenkor az auditorok az önétékelés (self-assessment) meglétét és az evidenciák hitelességét ellenőrzik és az interjúkat is videokonferencián keresztül folytatják le, a beszállító telephelyein történő helyszíni vizsgálat opcionális. Az értékelési célok nagyobb része az AL3 auditot várja el, amely keretében helyszíni vizsgálat történik és az evidenciákat és az önértékelést is szigorúbban vizsgálják visszaigazolás útján.

Megosztás

A sikeres audit lebonyolítását követően az auditor feltölti az auditról készült jelentését az ENX Portálra és az a portálon keresztül, az autógyártók és más partnerek információigényétől függően több szinten megosztható: akár csak a címke, de a jelentés összefoglalása, részletei és az érettségi szintje is.

Konklúzió

Az ISA követelményeknek való megfelelés és a TISAX minősítés megszerzése komoly kihívás elé állíthatja a szervezetet, ugyanakkor a befektetett energia minden esetben meghozza az elvárt eredményeket.

A nehézségek között számolni kell azzal, hogy az információbiztonsági követelményeknél ismertetett elvárások minimálisan hármas érettségi szinten történő teljesítése, kidolgozása és bevezetése azok átfogó jellege és számossága miatt jelentős munkamennyiséggel jár, ha az még nincs alkalmazva a beszállítónál.

Ez első lépésként intenzív dokumentáció készítést, majd ennek folyamatos működtetését jelenti, ami jelentős és megfelelő szakértelemmel bíró erőforrás bevonást tesz szükségessé. Ehhez szorosan kapcsolódik, hogy a dokumentáció elkészítése nem a cél, hanem az eszköz, a gyakorlatban valós kockázatkezelésre van szükség, ami a szervezet saját érdeke is, hiszen csak ezáltal tud hozzáadott értéket teremteni.

A leküzdendő nehézségek mellett érdemes szem előtt tartani a minősítéssel járó előnyöket is. A TISAX olyan szemlélettel került megalkotásra, hogy közös nevezőt teremtsen a beszállítók közt, az elvárások a keretek között egységesek legyenek. A szervezet számára is előnyös, mivel hathatósan hozzájárul a szervezet reputációja, know-howja, és közvetetetten a működése védelméhez és pénzügyi stabilitásának fenntartásához (pl. egy beszállító által elszenvedett zsarolóvírusos támadás megakasztja az ellátási láncot és nem lehet teljesíteni a just in time rendeléseket, vagy a beszállító jelentős kötbér megfizetésére számíthat, ha kibertámadás során ellopják egy alkatrész prototípusáról készült szigorúan bizalmas CAD rajzokat).

Érdemes tehát a TISAX minősítésre való felkészülés és megszerzés folyamatára nem mint elvárt, kötelezően teljesítendő feladatra, hanem mint lehetőségre gondolni.

Hogyan segít az EURO ONE

Ügyfeleinket a TISAX tanúsítvány megszerzéséhez vezető úton több ponton is tudjuk támogatni:

  • Lehetőséget biztosítunk egy ingyenes kiinduló konzultációra. Ennek keretében felmérjük a szervezet jelenlegi helyzetét annak érdekében, hogy a legmegfelelőbb ajánlatot kapja a TISAX auditra történő felkészítésre, és az információbiztonság további eredményes menedzselése érdekében.
  • Támogatást nyújtunk a felkészülés során, ami magában foglalhatja a szabályozási keretrendszer magalkotását, kockázatelemzés elvégzését vagy a személyes adatok kezelési rendjének kialakítását.
  • Előzetes próba-audit keretében felmérjük a vállalat megfelelőségét, így egy valós audit előtt kiderülhetnek az esetleges hiányosságok.

Amennyiben cégüknek szüksége van az EURO ONE tanácsadási tevékenységére a TISAX tanúsításra való felkészüléshez, keressen minket bizalommal!

 

[1] https://www.gartner.com/en/legal-compliance/insights/third-party-risk-management

Purple Teaming: a penteszt új megközelítése

2023. február 21. - EURO ONE

Az elmúlt évek során bebizonyosodott, hogy ma már egyetlen cég sem veheti félvállról az IT biztonságot, így a vállalatvezetők szemében jelentősen felértékelődtek a megbízható biztonsági tesztek is. Ezek közé tartozik a red teaming, amely a vállalatok kiberbiztonsági intézkedéseinek tesztelésére szolgál, mint kipróbált és jól bevált gyakorlati módszer. E tesztek segítségével ellenőrizhető, hogy egy szervezet mennyire felkészült a kibertámadásokkal szemben. A klasszikus esetben a piros és a kék csapat általában egymástól elkülönítve dolgozik, de az úgynevezett lila csoport alkalmazása új szintre emeli a red teaminget, amely így a csapatok elszigetelése helyett az átláthatóságra és az együttműködésre összpontosít.

purple-teaming-blogposzt.jpg

A felügyelt biztonság ma már számos különböző összetevőt és módszert foglal magába. Azok, akik nem csak elméletben, hanem a gyakorlatban is próbára tennék biztonsági infrastruktúrájukat, gyakran választják a red teaminget. Sajnos még a leggondosabban kidolgozott biztonsági intézkedéseknél is megbújhatnak gyenge pontok, s ezek kizárólag gyakorlati teszteléssel felfedezhetők. A red teaming bizonyítottan jó választás a sérülékenységek, sebezhető pontok felfedezésére, ám még az ilyen jól bevált módszereket is érdemes továbbfejleszteni: a Purple Teaming a következő lépcsőfokot jelenti a pentesztelés fejlődéstörténetében.

Klasszikus pentesztelés: közel a valósághoz, elszigetelt csapatokon keresztül

A penteszt alapelve mindeddig éppoly nyilvánvaló volt, mint amennyire bevált és kipróbált: egy, a valósághoz minél közelebb álló támadási forgatókönyvet játszottak el, s a biztonsági intézkedéseket a hatékonyság és a reakciógyorsaság szempontjából tesztelték.

Egy etikus hackerekből álló csoport vállalta a támadói (vörös csapat) szerepkört. Céljuk az volt, hogy leküzdjék a biztonsági szakértők egy csoportja - a kék csapat - által védelmezett falakat. A különböző pentesztek főként a tesztelt támadási mintákban különböztek, illetve abban, hogy a vörös csapatnak mennyit kellett előre tudnia a biztonsági struktúrákról (fekete doboz vs fehér doboz). Egy valami azonban szinte minden pentesztben közös volt: a piros és a kék csapat egymástól függetlenül, titokban tevékenykedett, hogy a forgatókönyv a lehető legközelebb álljon a valósághoz. Ám az ilyen eseteknél mindig szem előtt tartandó, hogy ez a tesztelés csak a technikai felkészültség révén nyújt megfelelő tájékoztatást.

Az átláthatóság pontosabb eredményekhez vezet

A Purple Teaming alapgondolata már a nevében is következik: a red teaminggel ellentétben ez enyhíti a piros és kék csapatok közötti együttműködés tilalmát. Ahelyett, hogy a két csoport egymástól tökéletesen elszigetelten dolgozna, a Purple Teamingben mindketten átláthatóan munkálkodnak. Ha a piros csapat teszi meg az első lépést és kezdi meg a támadást, tájékoztatja a kék csapatot a követett stratégiáról és az alkalmazott technikákról. A kék csapat így láthatja, hogy a használt biztonsági eszközök mennyire működnek, és az is kiderülhet, hogy az ilyen esetre létrehozott eljárások ésszerűek és hatékonyan megtervezettek-e. Ennek során olyan értékeket mérnek, amelyek indikátorként szolgálnak. Az összegyűjtött mérőszámok így összehasonlítók az elméletben meghatározott incidensre adott válaszstratégiával, és a gyakorlatban értékelhető a hatékonyságuk. 

Nagyobb hatásfokú tanulás, együttműködéssel

Az újonnan nyert átláthatóság előnye az értékelés pontosságában rejlik. Természetesen a red teaming a saját struktúrák hatékonyságát is elemzi, hisz végsősoron ez az egész módszer célja. A Purple Teaming azonban a pontos jelentés új szintjét éri el, mert ahelyett, hogy csak azt ellenőriznénk, hogy egy támadás működött-e, így közvetlenül felismerhetők a gyenge pontok, illetve beazonosítható, hogy a támadás mely fázisában volt átjárható a rendszer. Ha a vörös csapat a támadás során közvetlenül tájékoztatja a kék csapatot arról, hogy hol található sebezhetőség, az időt és energiát takarít meg a kék csapatnak, mivel így közvetlenül kiküszöbölhetik a meglévő sebezhetőségeket.

A lila csoport másik előnye a megismételhetőség. Ha minden támadási terv nyitott, akkor azok célzottan megismételhetők, így a védők egy második kísérletben tesztelhetik, hogy újonnan kidolgozott védelmük megállítja-e a behatolókat.

Végül, de nem utolsósorban, a Purple Teaming óriási hatással van a tanulásra is: a vörös csapat nemcsak ismerteti a védőkkel az alkalmazott stratégiákat, technológiákat, hanem lépésről lépésre elmagyarázza azt is, hogy miért éppen ezt a módszert választották. Így a kék csapat megismeri a támadókat és megérti gondolkodásmódjukat. Az esetleges működési vakság ezzel hatékonyan ellensúlyozható.

Így sikeres a Purple Teaming

A Purple Teaming hatékony alkalmazásához számos szempontot kell figyelembe venni, amelyek közül talán ezek a legfontosabbak:

  • Technikai szakértelem a különböző módszerekkel kapcsolatban: A szolgáltatóknak ismerniük kell mind a kék, mind a piros csapat módszereit. Ez magában foglalja például a biztonsági felügyeletet és a támadásokra való reagálást, az úgynevezett incidensreakciót a kék csapat számára, vagy az automatizált támadásokat a piros csapat esetében. Ennek eredményeképpen a helyes tartalmi beállítások és egyéb rendszerspecifikus tippek is elérhetők.
  • Csapatvezetés és -irányítás: Mivel a Purple Teaming a tanulás sikerességére összpontosít és rendszeres ellenőrzéseket igényel annak megállapítása érdekében, hogy a fejlődés megvalósul-e, a szolgáltatóknak a csapatok vezetésében és irányításában is jártasságot kell szerezniük.
  • Tervezés: Mint minden pentesztelési módszer esetében, a Purple Teaming sikeréhez is fontos a pontos terv kidolgozása. Ha a csapat aprólékosan felkészült, az eredmények is magasabb színvonalúak és meggyőzőbbek lesznek.

Annak érdekében, hogy a kék csapatnak legyen elképzelése arról, hogy mire számíthat a végső gyakorlaton, a csapatok általában ismert APT-támadók - mint mondjuk az APT29 - többlépcsős kibergyilkos láncát használják.

Együtt a sikerért

A Purple Teaming sikeréhez elengedhetetlen, hogy a két csapat szorosan és átláthatóan összedolgozzon. Ez egyrészt azt jelenti, hogy a vörös csapat nyilvánosságra hozza: hogyan, miért és milyen eljárásokat alkalmaz. Így a kék csapat jobban megismeri a támadókat és viselkedési mintáikat. Mindeközben a kék csapatnak is közölnie kell, hogy milyen hibákat követett el, és hol képes javítani a hozzáállásán. Ha a csapatok ily módon kéz a kézben dolgoznak, a gyakorlat tartós hatású lehet és elősegíti a biztonsági szint növelését.

Számos előnye ellenére azonban nem az a cél, hogy a Purple Teaming teljesen felváltsa a red teaminget, inkább azok továbbfejlesztésére alkalmas. A helyzettől függően az is lehet, hogy a csapatok egymástól függetlenül dolgoznak, így a tesztkörnyezet közelebb kerül a valósághoz.

A Purple Teaming esetében a SOC szolgáltató alkalmazása is előnyös lehet: ez a szolgáltató olyan további lehetőségekkel rendelkezik, amelyekkel még átfogóbbá tehető a teszt. A kiberbiztonság területén szerzett magas szintű szakértelemmel, valamint a legkorszerűbb eszközökkel és módszerekkel a SOC szolgáltató pontosan az adott vállalatra szabhatja az eljárást, s így teljes mértékben kiaknázhatja a Purple Teamingben rejlő lehetőségeket.

DORA: hatékony és egységes kockázatkezelési gyakorlatok a pénzügyi szektornak

Hüvelyes Péter cikke

2023. február 14. - EURO ONE

Mint az manapság a vállalati szegmens legtöbb területén tapasztalható, a digitalizációnak köszönhetően a pénzügyi szektor kitettsége is folyamatosan növekszik. Eddig az IKT (információs és kommunikációs technológia) -kockázatokat a különböző pénzügyi felügyeletek az EU-n belül is eltérő módon és eltérő hatékonysággal kezelték. A ma bemutatásra kerülő, a pénzügyi ágazat digitális működési rezilienciájáról - ellenálló képességéről - szóló EU 2022/2554 rendelet (hivatalos nevén Digital Operational Resilience Act, vagy röviden DORA) megalkotásának célja az IKT-kockázatkezelési gyakorlatok egységesítése, javítása az EU pénzügyi szektorában. Ennek megvalósítása a pénzügyi szervezetekre és a nekik IKT szolgáltatásokat nyújtó harmadik felekre vonatkozó kockázatkezelési követelmények konszolidálásával, vagyis azonos alapokra helyezésével történik.

dora-blogposzt.jpg

A DORA rendelet előírja a pénzügyi szervezetek és nekik IKT-szolgáltatásokat nyújtó vállalatok számára, hogy a digitális ellenálló képességet működésük minden szintjén alkalmazzák. Ennek megfelelően az érintett szervezeteknek sürgősen el kell kezdeniük a hiányosságok felmérését és ütemtervet kell készíteniük a megfelelés elérése érdekében. Mai cikkünkben ehhez igyekszünk segítséget nyújtani, tisztázva a szabályozás fontos részleteit, s természetesen elérhető gyakorlati segítséggel is szolgálva.

Mit kell tudni a DORA szabályozásról?

A kiberbiztonságot érintő más uniós jogszabályokkal ellentétben a DORA nem egy elvi alapú jogszabály, hanem a pénzügyi szervezetek működési és biztonsági képességeinek fokozását célzó követelmények részletes listája. Bár a DORA a korábbi uniós és tagállami jogszabályokra, a felügyeleti hatóságok iránymutatásaira, nemzetközi biztonsági és IKT-kockázatkezelési szabványokra épül, valójában első ízben a DORA kísérli meg az IKT-kockázatkezelés minőségi követelményeinek uniós szintű harmonizálását, a szabályozási keretrendszer egységesítését.

Az új követelményeknek való megfelelés a pénzügyi szervezetek és kritikus fontosságú külső IKT-szolgáltatóik közös érdeke, a megfelelés közös munkát, együttműködést, koordinációt igényel. Bár nem minden követelmény teljesen új, fontos megjegyezni, hogy a teljesítendő kritériumok immár nem csupán IKT-szabványokon és hatósági iránymutatásokon, hanem kötelező érvényű uniós és nemzeti jogszabályokon és rendeleteken alapulnak.

Emellett szintén fontos változás, hogy az IKT-szolgáltatók félig felügyelt szervezetekké válnak, azaz az európai felügyeleti hatóságok felhatalmazást kapnak az értékelésükre, iránymutatást adhatnak nekik, a megfelelés elmulasztása esetén pedig szankciókat alkalmazhatnak.

A menetrend

Az Európai Bizottság már 2020 szeptemberében javaslatot tett a pénzügyi szervezetek és egyes IKT-szolgáltatók számára a digitális kockázatkezelés teljesen új szabályozási keretére. A DORA rendelet 2022. december 27-én jelent meg az Európai Unió Hivatalos Lapjában, majd 2023. január 16-án lépett hatályba, és 2025. január 17-től alkalmazandó.

A következő 24 hónap szolgál a hatóságok részéről az úgynevezett Szabályozási Technológiai Előírások (Regulatory Technological Standards / RTS) és Végrehajtási Technikai Előírások (Implementation Technical Standards / ITS) által definiált részletszabályok véglegesítésére, az érintett szervezeteknek pedig - a felkészülésre fordítható - türelmi időt biztosít. Ez idő alatt a szabályok részletekbe menő pontosítása történik meg, a már hatályba lépett törzsszövegben előírtakon módosítani nem fog.

Mivel a megfelelés elérése sok időt, erőforrást igénylő feladat, ezért a felkészülést érdemes időben elkezdeni, hogy a 24 hónap elteltével biztosan felkészült legyen a szervezet. A határidő leteltével a rendelet kötelezően alkalmazandó lesz, a penetrációs tesztek elvégzését előíró fejezetek kivételével, amelyekre további 12 hónap felkészülési idő biztosított.

Kire vonatkozik a DORA-rendelet?

Mivel a rendelet egyik fő célja az IKT-kockázatkezelésre vonatkozó szabályok harmonizálása, a DORA meglehetősen széles körben alkalmazható. A hitelintézetektől kezdve a pénzforgalmi intézményekig, biztosítótársaságokig, minden pénzügyi szereplőre kiterjed. A kifejezetten pénzügyi szereplőkön túlmenően azok kritikus IKT-szolgáltatóit is szabályozza, beleértve például a felhőszolgáltatókat is. A javaslat szerint a kritikus IKT-szolgáltatók mindegyikének lesz egy-egy kiemelt felügyelője (az EBA, az ESMA vagy az EIOPA), aki ellenőrzi a pénzügyi szereplőknél esetlegesen jelentkező IKT-kockázatok kezelésére hozott szolgáltatói eljárásokat és intézkedéseket. A vezető felügyelő hatásköre az információk bekérésétől kezdve, a vizsgálatok lefolytatásán át, a szolgáltatókkal szembeni kényszerítő bírságok kiszabásáig terjedhet.

Melyek a DORA szerinti legfontosabb kötelezettségek?

A DORA átfogó keretet határoz meg a pénzügyi ágazat fokozódó digitalizációjával kapcsolatos kockázatok kezelésére, a rendeletet az alábbi fejezetekre osztva fel:

  • IKT-kockázatkezelés:
    Továbbra is a pénzügyi szervezet vezető testülete bír a végső felelősséggel az IKT-kockázat kezeléséért. Ehhez a DORA felsorolja a vezetőségre vonatkozó feladatokat és kötelezettségeket, beleértve a vezetőség tagjainak arra vonatkozó kifejezett kötelezettségét, hogy fejlesszék és fenntartsák az IKT-kockázatokkal kapcsolatos ismereteiket.
    A pénzügyi szervezeteknek azonosítaniuk kell az IKT-kockázati környezetüket, átfogó IKT-kockázatkezelési keretrendszerrel kell rendelkezniük, amely az IKT-kockázatkezeléssel kapcsolatos valamennyi munkát irányítja és vezérli. A mikrovállalkozások kivételével a pénzügyi szervezetek kötelesek nemzetközileg elismert információbiztonsági irányítási rendszert is bevezetni és működtetni. 
  • Az IKT-val kapcsolatos incidensek osztályozása és jelentése:
    A pénzügyi szervezetek kötelesek az IKT-vel kapcsolatos incidenskezelési folyamatot bevezetni, és az ilyen incidensek kezelésére, nyomon követésére alkalmas képességeket kialakítani.
    Az incidenseket osztályozni kell a rendeletben meghatározott tényezők szerint, mint például az incidens földrajzi kiterjedtsége, az érintett szolgáltatások kritikussága, vagy az incidens időtartama. A súlyos incidenseket a rendeletben meghatározott háromszintű eljárásnak megfelelően jelenteni kell az illetékes hatóságnak.
  • Digitális működési ellenállóképesség tesztelése:
    A DORA előírja az arányos és kockázatalapú digitális működési reziliencia tesztelési program végrehajtását. Ennek a programnak tesztek teljes körét kell biztosítania, például sebezhetőségi értékelések, vizsgálatok, és hálózatbiztonsági értékelések elvégzését.
    A kritikus IKT-rendszereket és alkalmazásokat évente tesztelni kell, egyes pénzügyi szervezetek pedig háromévente egyszer kötelesek úgynevezett fenyegetés-vezérelt behatolásvizsgálatot (TLPT - Threat Led Penetration Testing) is végezni.
  • Beszállítóktól eredő IKT-kockázatok kezelése:
    A DORA a pénzügyi szervezet számára IKT szolgáltatást nyújtó külső féllel szembeni kockázatot is az IKT kockázatkezelési keretrendszer szerves részének tekinti. A pénzügyi szervezetek ezért kötelesek rendszeresen felülvizsgálni az IKT harmadik féllel szembeni kockázatra vonatkozó stratégiát, valamint egy nyilvántartást vezetni, amely tartalmazza az IKT harmadik felekkel kötött valamennyi szerződéses megállapodást.
    A DORA meghatározza továbbá az új IKT-szolgáltatások alkalmazásának legfontosabb lépéseit, a szolgáltatások megszüntetésére vonatkozó követelményeket, valamint a külső szolgáltatókkal kötött szerződésekben szerepeltetendő konkrét rendelkezéseket. Előírja továbbá a pénzügyi szervezetek számára, hogy új szerződéses megállapodások megkötése előtt végezzenek IKT-koncentrációs kockázatértékelést.
  • Pénzügyi szervezetek közötti információmegosztás:
    A pénzügyi szervezetek megoszthatják egymással a kiberfenyegetettséggel kapcsolatos információkat és hírszerzési információkat, feltéve, hogy az ilyen információcsere célja a pénzügyi szervezetek digitális működési ellenálló képességének növelése, megbízható közösségeken belül történik, és az alkalmazandó - például adatvédelemre, üzleti titkokra és verseny védelmére vonatkozó - jogszabályokkal összhangban történik.

A szabályozás jövője

Szerencsére az átfogó kép mostanra némileg letisztult. Az újonnan megállapított követelmények részleteit azonban még a felügyeleti hatóságok (EBA, ESMA, EIOPA) fogják meghatározni a második szintű intézkedések, például a Szabályozási Technológiai Előírások (RTS) és Végrehajtási Technikai Előírások (ITS) által. Így minden érintett fél számára javasolt a második szintű intézkedések kialakítására vonatkozó egyeztetések figyelemmel kísérése, hogy a végleges követelményeknek időben megfelelhessenek.

Miben tud segíteni az EURO ONE?

A DORA fontos előrelépést jelent a pénzügyi szervezetek és IKT szolgáltatóik biztonsági érettségének fejlesztésében. E terület egységes, áttekinthető és számonkérhető szabályozása a kiberbiztonsági szempontból ellenálló és naprakész vállalatok alapköve és digitalizálódó társadalmunk egyik fontos bástyája.

A pénzügyi szektor számára kritikus szolgáltatásokat nyújtó pénzügyi szervezeteknek, IKT-szolgáltatóknak, partnereknek azt tanácsoljuk, hogy tervezzék meg a szigorított, illetve teljesen új követelmények 2024 végére történő megfelelését. A követelmények némelyike ugyan nem hoz jelentős változásokat a jelenlegi keretekben és intézkedésekben, de akadnak olyanok, melyek sok időt, koordinációt és erőfeszítést igényelnek a szervezeteken belül, a legkülönbözőbb szakemberektől.

Az EURO ONE Infosec üzletága számos projekt során nyújtott már tanácsadást az IKT kockázatkezeléssel, a rugalmassággal, a kiberbiztonsággal, a külső felek kezelésével és a pénzügyi szektor szabályozási kereteivel kapcsolatban. Munkatársaink több éves, a pénzügyi- és infokommunikációs szektorba tartozó ügyfeleknek nyújtott tanácsadói tapasztalattal rendelkeznek, s a DORA felkészítés esetében is jól használható, széleskörű szakértelemmel bírnak a megfeleltetés, a vezetői döntéstámogatás és kockázatértékelés (GRC) terén.

Forduljon hozzánk bizalommal, ha többet szeretne megtudni, vagy ajánlatot kérne az alábbi témák bármelyikében:

  • Gap-elemzés az előírt működési rugalmassági keretrendszer teljesítéséhez szükséges ütemterv kidolgozásához
  • A kritikus IKT-szolgáltatók azonosítása és nyilvántartásba vétele
  • Szállítói menedzsment / kiszervezés / harmadik fél kockázatkezelés (TPRM)
  • A beszerzési / kiszervezési megállapodások jogi felülvizsgálata
  • Incidenskezelés és jelentéstétel
  • Az üzletmenet-folytonosság és a katasztrófa utáni helyreállítás értékelése

Lépések a NIS 2 megfeleléshez

Tóth Tamás cikke

2023. február 09. - EURO ONE

A korábbi, NIS 2 irányelvet (a továbbiakban: irányelv) bemutató cikkeink után a cikksorozatunk következő részében néhány praktikus tanácsot kívánunk adni a megfelelésre való felkészüléshez. Mint ismert, az irányelv magyar jogba való átültetésének végső határideje 2024. október 17-e, azonban még nincsenek hírek arról, hogy az irányelv követelményei melyik jogszabályba lesznek bevonva. Teljesen új jogszabály megalkotása kérdéses, hiszen ez a NIS irányelvnél sem történt meg.

nis2lepesek-blogposzt.jpg

Nem ajánlott megvárni a magyar jogba való átültetést, hiszen egy alacsony kiberbiztonsági érettségi szintű szervezetnek hosszú utat kell megtennie a teljes megfeleléshez. 

A GRC projekt tapasztalataink alapján az alábbi felkészülési lépéseket javasoljuk:

  1. Irányelv hatálya alá való tartozás vizsgálata: a szervezeteknek először is meg kell vizsgálniuk, hogy az irányelv hatálya alá tartoznak-e. Ezt egyszerűen meg lehet állapítani, hiszen az irányelv I. melléklete tartalmazza a kiemelten kritikus ágazatokat. Akinek az ágazata itt fel van sorolva, az alapvető szervezetként az irányelv hatálya alá tartozik. Az irányelv II. melléklete az egyéb kritikus ágazatokat sorolja fel, amely szereplői a fontos szervezetek lesznek.
  2. Gap assessment felmérés végrehajtása: a gap assessment felmérés célja a meghatározott baseline-tól, követelményektől való eltérés(ek) megállapítása és a jelenlegi helyzet feltérképezése. A NIS 2-nek való megfelelésnél viszont nem egyszerű meghatározni a baseline-t, hiszen még nincsenek ezzel kapcsolatos magyar jogszabályok, amelyek pontos követelményeket fogalmaznak meg. Az irányelv taxatív módon felsorolja az általa elvárt kiberbiztonsági kockázatkezelési intézkedéseket, de ezek csak témakörök és nem konkrét követelmények. Hogyan lehet ezt feloldani? Röviden a szabványosítással és a jelenlegi jogszabályok ismeretével. Az ajánlásaink azonban kettéválnak az alapvető és fontos szervezetek tekintetében.
    a.) Az alapvető szervezetek gyakorlatilag lefedik a létfontosságú rendszerelem kategóriát, ebből az következik, hogy nekik a rájuk irányadó nemzeti jogszabálynak való megfelelést kell felmérniük, amelyek alapján egyébként is működniük kell: 2012. évi CLXVI. Törvény (Lrtv.), 2013. évi L. törvény (Ibtv.), ami gyakorlatban az 41/2015. (VII. 15.) BM rendelet (Vhr.). Ez gyakorlatban a Vhr.-ben található kontrollok felmérését jelenti, praktikusan a hatóságok által kiadott osztályba sorolási „OVI” táblával történhet. Ennek a körnek valószínűleg nem tartogat sok újdonságot az új szabályozás.
    b.) Az irányelv az általa elvárt kiberbiztonsági kockázatkezelési intézkedések konvergens, egymáshoz közelítő – vagyis hasonló – megvalósítása érdekében ösztönzi a releváns európai és nemzetközi szabványok és műszaki előírások alkalmazását. Ez alapján azt javaslom, hogy a gap assessment baseline-jaként a felkészülő fontos szervezetek alkalmazzák az ISO 27001:2022 szabványt. Könnyű mellette érvelni: azon túl, hogy ez a terület nemzetközileg legnagyobb mértékben elismert szabványa, lefedi az irányelv követelményeit. Erről magunk is meggyőződhetünk a szabvány Operational Capabilities listája és a szabvány A mellékletének átolvasása alapján.
  3. Kockázatelemzés végrehajtása és baseline meghatározása: azon túl, hogy az irányelv elvárja, egy kockázatelemzés végrehajtását is javasoljuk. A kockázatelemzés során – a control assessment lépésben - fel lehet használni a gap assessment eredményeit és fel lehet tárni a szervezet működését fenyegető tényezőket. Természetesen meg kell határozni a kockázatkezelési intézkedéseket is és intézkedési tervet kell létrehozni. Az intézkedéseknél már erősen ajánlott figyelembe venni a baseline-ként meghatározott követelményt, mint elérendő célt. Természetesen a kockázatokkal arányosan, figyelembe véve a szervezet méretét, lehetőségeit és egyéb tényezőit.
  4. Projektek indítása a baseline eléréséhez: a szervezet védelme és a követelmények teljesítése érdekében a feltárt kockázatokat meg kell szüntetni. Ajánlott összegyűjteni az összefüggő kockázatokat és ezeket együtt, projektekben kezelni.
  5. Fenntartható folyamatok kialakítása, szerepkörök meghatározása: a felkészülés hosszú folyamat és ha a szervezet elérte a kitűzött céljait, akkor sem lehet hátradőlni, hiszen fenn kell tartani az elért állapotot és folyamatosan fejleszteni kell a működést, lekövetni a változásokat. Ehhez fenntartható kiberbiztonsági folyamatokat kell kialakítani és szerepköröket kell kijelölni, mind a kontrollok üzemeltetésére, mind a kockázatok nyomon követésére és az átfogó kiberbiztonsági irányítására vonatkozóan.

 

süti beállítások módosítása