Így alakítja át a mesterséges intelligencia a kiberbiztonságot

Az internet feltalálása óta nem volt még olyan technológia, ami ilyen gyorsan elterjedt volna. A gyártástól az egészségügyig nagyon rövid idő alatt számtalan területen jelent meg a mesterséges intelligencia (AI). Ma már nyugodtan elmondhatjuk: az AI megváltoztatott mindent.  

Természetesen a kiberbiztonság sem maradhatott ki. Az AI (különösen a generatív AI) gyors terjedése, a használat “demokratizálódása” új lehetőségeket teremtett a “rablók” és a “pandúrok”, a kiberbűnözők és az IT security szakemberek számára is. Miközben az AI képességei lehetővé teszik a gyorsabb és pontosabb fenyegetésészlelést, a rosszindulatú szereplők a korábbinál sokkal gyorsabban képesek új eszközöket fejleszteni, és egyre kifinomultabb módszerekkel hajtják végre a támadásaikat. Tisztában kell lenni azonban azzal, hogy az AI csak egy újabb réteget jelent a kiberbiztonságban, de nem cseréli le a már bevált, jól működő megoldásokat. 

AI a kiberbiztonság szolgálatában

Fenyegetésészlelés és válaszadás

Az AI-alapú rendszerek talán legfontosabb jellemzője, hogy képesek hatalmas mennyiségű adat valós idejű elemzésére, mintázatok és az azoktól való eltérések azonosítására. Mindez kiválóan alkalmazható a potenciális fenyegetések felismerésére, különösen hasznos a nulladik napi támadások és más kifinomult fenyegetések felismerésében, amelyeket a hagyományos módszerek esetleg nem észlelnek. Az AI segíthet a riasztások kockázat szerinti besorolásában is, lehetővé téve a biztonsági csapatok számára, hogy a legkritikusabb eseményekre összpontosítsanak. Mindez persze nem működik automatikusan, hiszen az AI csak a neki előzetesen megtanított információk alapján képes dolgozni.

Automatizált válaszintézkedések

Az AI nemcsak a fenyegetések észlelésében, hanem a válaszintézkedések automatizálásában is szerepet játszik. Például képes lehet automatikusan izolálni egy fertőzött eszközt a hálózatról, vagy blokkolni egy gyanús IP-címet, mielőtt a támadás kárt okozna. Ez jelentősen csökkentheti a válaszidőt és minimalizálhatja a károkat.

Viselkedésalapú hitelesítés

Az AI képes elemezni a felhasználók viselkedését, például bejelentkezési szokásaikat, gépelési mintáikat vagy eszközhasználatukat, így észlelni tudja azokat az eltéréseket, amelyek jogosulatlan hozzáférésre utalhatnak. Ez a viselkedésalapú hitelesítés további biztonsági réteget jelenthet a hagyományos jelszavas védelem mellett. (A nem megfelelő betanítás esetén ugyanakkor ezek a technikák képesek megkeseríteni a felhasználók életét.)

Az AI kihívásai a kiberbiztonságban

AI-alapú támadások

Sajnos nemcsak az IT-biztonsági szakemberek, hanem a rosszindulatú szereplők is kihasználják mesterséges intelligencia lehetőségeit. Gyakoriak például az  automatizált adathalász kampányok, melyek a személyre szabásnak köszönhetően minden korábbi  próbálkozásnál meggyőzőbbek lehetnek. Az AI segítségével generált deepfake tartalmak vagy adaptív zsarolóprogramok is új kihívásokat jelentenek a védekezésben. 

AI integrálása a vállalati kiberbiztonsági stratégiába

Képzés és készségfejlesztés

A kiberbiztonsági szakembereknek új készségeket kell elsajátítaniuk az AI rendszerek hatékony használatához és felügyeletéhez. Ebben egyre nagyobb szerepet kapnak a céges IT szakembereknek szánt képzések, ahol első kézből kaphatnak ismereteket a legújabb veszélyekről és azok kivédéséről. Mivel a mesterséges intelligencia alkalmazása rendkívül gyorsan változik, a tegnapi tudás ma már nem érvényes, nagyon fontossá vált a rendszeres képzés. 

Együttműködés és partnerségek

A cégeknek, vállalatoknak együtt kell működniük technológiai partnerekkel, kutatóintézetekkel és szabályozó hatóságokkal az AI-alapú kiberbiztonsági megoldások fejlesztése és bevezetése érdekében. Ez magában foglalhatja az adatmegosztást, a közös kutatásokat, valamint a legjobb gyakorlatok megosztását is.

Jövőbeli kilátások

A mesterséges intelligencia alkalmazása nem egy átmeneti divat, szerepe a kiberbiztonságban a jövőben tovább fog növekedni. Ez természetesen új lehetőségeket és kihívásokat hoz magával. A szervezeteknek proaktívan kell alkalmazkodniuk ehhez a változó környezethez, befektetve az AI technológiákba, képzésekbe és etikus gyakorlatokba, hogy megvédjék adataikat és rendszereiket a jövőben is.

Gyakran ismételt kérdések a kiberbiztonság és az AI kapcsolatáról

Mi az AI szerepe a kiberbiztonságban?

Az AI valós időben elemzi az adatokat, felismeri a fenyegetéseket, automatizálja a védekezést, és segíti a gyorsabb reagálást.

Hogyan használják a támadók az AI-t?

AI-alapú eszközökkel, például deepfake-ekkel és automatizált adathalász kampányokkal, célzottabb támadásokat indíthatnak.

Leválthatja-e az AI a hagyományos biztonsági megoldásokat?

Nem, az AI egy plusz védelmi réteget jelent, amely kiegészíti, nem pedig lecseréli a meglévő biztonsági módszereket.

Milyen kihívásokat jelent az AI integrálása a céges biztonságba?

Új készségek elsajátítása, folyamatos képzés, valamint együttműködés technológiai partnerekkel és hatóságokkal.

Miért fontos a viselkedésalapú hitelesítés?

Az AI felismeri a szokatlan felhasználói viselkedést, így kiszűri a jogosulatlan hozzáféréseket, növelve a biztonságot.

IT biztonsági audit a gyakorlatban

Amikor életemben először önálló házba költöztem, kicsit elbizonytalanodtam: Rácsok mögé kell magam zárni? Hagyományos riasztót kell vennem, vagy hasznosabb egy videokamerás rendszer?

Szerencsére egy barátom ajánlott egy biztonsági audittal foglalkozó szakembert, aki egy alapos bejárás után megállapította, hogy “papírból” van a bejárati ajtó, érdemes fóliát szereltetni az ablakokra, és sürgősen le kell cserélnem a műanyag redőnyöket alumíniumra.

Nagyon hasonló a helyzet az IT területén is. Szükség van egy olyan szakértőre, aki kellő rutinnal és friss szemmel képes megvizsgálni az IT biztonságot. Professzionális IT auditra tehát minden IT rendszerekkel rendelkező cégnek szüksége van. 

A digitalizáció nemcsak lehetőségeket, hanem komoly változásokat és növekvő kockázatot is hozott a vállalatok számára. Az egyik legfontosabb kérdés, amivel egy cégvezetőnek vagy IT döntéshozónak feltétlenül foglalkoznia kell: biztonságban van-e a cég informatikai rendszere? A válasz nem szakértelem, intuíció, hanem alapos vizsgálat kérdése. Az igazi megoldás a szakszerű, külső  IT biztonsági audit.

Mi is az  IT biztonsági audit?

Egyszerűen megfogalmazva: egy IT biztonsági audit az informatikai rendszerek, folyamatok, szabályzatok és eszközök rendszeres, módszeres átvizsgálása a sebezhetőségek, hiányosságok és a megfelelőségi problémák feltárása érdekében. Az audit célja annak biztosítása, hogy a cég IT környezete, annak működése megfelel a jogszabályoknak, az iparági szabványoknak (pl. ISO 27001, NIS2, GDPR) és  persze az üzleti céloknak is.

Az IT biztonsági audit nem egyszerűen egy tétel a compliance listán. Egy jól elvégzett biztonsági audit képes:

  • megelőzni súlyos adatvédelmi incidenseket,
  • csökkenteni a működési kockázatokat,
  • növelni az ügyfelek és partnerek bizalmát,
  • és nem utolsósorban: védeni a cég reputációját és pénzügyi stabilitását.

A NIS2 és az IT biztonsági audit

A NIS2 az EU kibervédelmi irányelveinek teljesítését ellenőrzi. A NIS2 audit csak a vállalkozások, szervezetek egy meghatározott csoportjára terjed ki. Számukra is fontos, hogy már a NIS2 audit előtt elvégezzenek egy IT biztonsági auditot, hiszen a feltárt hiányosságok pótlásával megelőzhetnek egy jelentős NIS2 bírságot. Szeretném azonban hangsúlyozni: a NIS2 hatálya alá nem eső cégeknek is nagyon fontos az IT biztonsági audit.

Mit vizsgál egy IT biztonsági audit?

Az audit terjedelme mindig a cég méretétől, iparágától, és IT környezetének komplexitásától függ, de a következő területeket általában lefedi:

“Az IT biztonsági audit nem a hibák kereséséről szól, hanem a fejlődés lehetőségéről. Lehetőség arra, hogy a céged valóban biztonságos, stabil és megbízható IT környezetet építsen.”

Kalmár István

IT Architect, CISO

Az IT biztonsági audit menete

Ahogy a cégek különböznek egymástól, úgy az auditnak is illeszkednie kell az egyedi igényekhez. A következő elemek valamilyen súllyal minden IT biztonsági auditban szerepelnek:

  1. Előkészítés és a “scope” meghatározása
    Az első lépés mindig a célok meghatározása, annak eldöntése, mit is akarunk megvizsgálni. A teljes IT környezet? Csak a felhőszolgáltatásokat? A külső partner által üzemeltetett rendszereket? Ez a lépés határozza meg a ráfordítandó időt, energiát, erőforrásokat.
  2. Adatgyűjtés és interjúk
    Az auditorok nemcsak technikai eszközöket használnak (pl. vulnerability scanner), hanem beszélgetnek is a kulcsemberekkel: az IT vezetőkkel, a rendszergazdákkal, akár a felhasználókkal is.
  3. Elemzés és értékelés
    Az összegyűjtött adatok alapján az auditorok feltérképezik a jelenlegi állapotot, majd azonosítják a hiányosságokat, kockázatokat.
  4. Jelentés készítése
    A végső auditjelentés tartalmazza az észlelt problémákat, azok kockázati szintjét, és konkrét javaslatokat a megoldásra. A jó jelentés nemcsak technikai nyelven szól, hanem üzleti szempontból is értelmezhető.
  5. Követés és javítás

Az audit vége nem a történet vége. A megállapításokat követni kell, akciótervet készíteni, és biztosítani, hogy a szükséges változások meg is történjenek.

Tippek az IT biztonsági auditra való felkészüléshez

 Az IT biztonsági audit sikere nagymértékben függ az auditra való felkészüléstől. 

  • Ne utólag kapkodjunk. Egy audit nem kampányszerű, hanem rendszeres esemény kell, hogy legyen.
  • Vonjuk be a menedzsmentet. Az IT biztonság nem csak az IT csapat felelőssége, hanem vezetői kérdés is.
  • Dokumentáljunk mindent. Szabályzatok, naplók, jogosultságkezelési jegyzőkönyvek – minden számít.
  • Támogassuk a dolgozói tudatosságot. A legtöbb IT incidens nem technológiai hiba, hanem emberi mulasztás eredménye.
  • Dolgozzunk együtt az auditorral. Ne „ellenőrként”, hanem partnerként tekintsünk rá.

Miért éri meg?

Egy IT biztonsági audit költsége eltörpül amellett, amibe egy adatvesztés, zsarolóvírusos támadás vagy hatósági bírság kerülhet. De az audit nem csak a „mit nem csináltunk jól” kérdéséről szól. Lehetőséget ad arra is, hogy az IT működést fejleszthessük, átláthatóbbá és hatékonyabbá tegyük.

Záró gondolatok

Az IT biztonsági audit nem a hibák kereséséről szól, hanem a fejlődés lehetőségéről. Egy jól felépített auditfolyamat segíthet a cégnek, hogy ne csak megfeleljen az előírásoknak, hanem valóban biztonságos, stabil és megbízható IT környezetet építsen.

Az IT biztonság nem opció, hanem üzleti alapkövetelmény. És ennek az egyik legfontosabb eszköze az audit. Vezetőként pedig a legfontosabb kérdés: mikor végeztük el utoljára – és mikor tervezzük legközelebb?

IT biztonsági audit – Gyakran ismételt kérdések

Miért van szükség IT biztonsági auditra?

Az IT biztonsági audit átfogó képet ad a teljes informatikai rendszer állapotáról, beleértve a hozzáférések kezelését, a biztonsági szabályzatokat, az incidenskezelési protokollokat és még sok mást. Segít feltárni a rejtett hiányosságokat és megelőzni a jövőbeli problémákat.

Milyen gyakran javasolt elvégezni egy IT biztonsági auditot?

Ideális esetben évente legalább egyszer, illetve jelentősebb IT rendszerfrissítés, átszervezés vagy új jogszabályi előírások (pl. NIS2) bevezetése előtt. A rendszeres audit segít a folyamatos megfelelés és biztonság fenntartásában.

Miben különbözik egy IT biztonsági audit egy NIS2 audittól?

A NIS2 audit egy jogszabályi megfelelést vizsgáló eljárás, amely csak bizonyos szervezetekre vonatkozik. Egy általános IT biztonsági audit ezzel szemben szélesebb körű, a technikai és szervezeti biztonság minden aspektusát vizsgálja, és akár a NIS2-re való felkészülést is támogatja.

Mennyire terheli meg az IT csapatot az audit folyamata?

Egy jól előkészített audit nem okoz jelentős fennakadást. Az auditorok törekednek arra, hogy a lehető legkevesebb erőforrást vonják el a napi működésből. A kulcskérdés az előzetes felkészülés és az együttműködés – ez nagyban csökkenti a terhelést és növeli az audit hatékonyságát.

IT security mindenkinek

Az hiszem, sokakat meglepett Edit, amikor elmesélte, hogy IT-biztonsági képzésre megy. Nyilván nem értették, hogy mit keres a “szőke pénzügyes” a sok “kocka” között.

Szerintünk nem csodálkozni kell ezen, hanem örülni, hogy tovább erősödik a cég védelme. Szó sincs arról, hogy ezentúl Editnek kellene megvédeni a 250 fős céget a kiberbűnözőktől, de az IT security képzés révén csökkennek a vállalat biztonsági kockázatai.

A kibervédelemmel kapcsolatos mítoszok

Mítosz 1: “Majd az IT megoldja!” Sok cégvezető gondolja úgy, hogy azért vannak a cégnél informatikusok, hogy törődjenek a kibervédelemmel (is).
A valóság: Az informatikusoknak millió dolguk van, ebből az IT secutity valószínűleg valahol a lista végén van. Nagy leterheltségük mellett nem tudják nyomon követni a legújabb sérülékenységeket, a friss fenyegetéseket. 

Mítosz 2: “Van IT-security szakemberünk, tehát biztonságban vagyunk.”

A valóság: A kibertámadás nem olyan, mint amikor torpedótámadás ér egy hajót. A kibertámadások általában nem egyetlen nagy lyukat nyitnak, hanem a bűnözők leggyakrabban apró réseken, lyukakon hatolnak be. Ezek a lyukak pedig az egyes dolgozóknál keletkeznek. 

IT-security nem csak az informatikusok dolga

Hiába veszi meg a cég a legkorszerűbb védelmi szoftvereket, hiába vesz fel kitűnő IT-biztonsági szakembereket, ha dolgozók óvatlanul beengedik a bűnözőket a kiskapun.

A kiberbűnözők ma nem is annyira kártékony kódok írásával foglalkoznak – ezek már könnyen beszerezhetők a dark weben -, hanem a pszichológiában képzik magukat. Ezzel a tudással képesek rávenni a gyanútlan felhasználókat, hogy megnyissanak egy fájlt, vagy kattintsanak rá egy linkre, ami azután utat nyit a támadásnak.

IT security képzés vállalati dolgozóknak

A fentieket felismerve alakítottuk ki a Panor “laikusokat” célzó képzését. A személyre szabott foglalkozáson mindenki megismerheti a legelterjedtebb támadási módokat: 

“Nem elég az IT szakembereket képezni. A támadások többsége a munkatársak eszközein keresztül éri a céget.”

Sulák Zsolt

Üzletfejlesztési vezető

Social engineering

Ma az egyik legelterjedtebb csalási módszer, amikor a kiberbűnöző különböző hamis emailekkel, telefonhívásokkal próbálja megszerezni az érzékeny információkat. (Ne hidd azt, hogy te biztosan észrevennéd a csalást. Gyakran még tapasztalt banki szakembereket is sikerül – szerencsére többnyire csak tesztek során – megtéveszteni.

Malware

Ez a rosszindulatú szoftverek gyűjtőneve. Ide tartoznak a trójaiak, a különféle vírusok, férgek és banki kártevők. Rendszerint megtévesztő emailek, vagy hamis weboldalak megnyitása révén kerülnek a gépedre. A legtöbbször fel sem tűnik, hogy megfertőződtél.

Zsarolóvírus

Ez utóbbi években rendkívül elterjedt, speciális malware titkosítja a megfertőzött gépen lévő adatokat és csak váltságdíj fejében oldja fel a titkosítást (gyakran akkor sem).

Jelszólopás

A biztonságos jelszókezelés (illetve annak hiánya) általánosan elterjedt probléma. A gyenge, könnyen feltörhető jelszó az egyik legkönnyebb út a hackerek számára. A biztonságos jelszó beállítása, a kétfaktoros azonosítás (2FA) vagy a passkey alkalmazása gyorsan megtanulható. Ennél lényegesen lassabb folyamat megértetni a felhasználókkal, hogy a jelszókezelés “leegyszerűsítése” később nagyságrendekkel nagyobb bonyodalmakat okoz. 

Közös felelősség

A nem informatikával foglalkozó  vállalati dolgozók IT security képzése révén erősödik a kollégák információbiztonsági tudatossága. A képzést követően sokkal jobban megértik a kritikus adatok védelmének fontosságát, hamarabb és magabiztosabban ismerik fel az esetleges veszélyeket. Hasznos a képzés azért is, mert  a kollégák a munkán kívül, a közösségi médiában is biztonságosabban mozoghatnak.
A képzésnek köszönhetően cége újabb eszközök, szoftverek beszerzése nélkül is nagyobb biztonságban tudhatja rendszereit, kritikus adatait.

Keressen minket, hogy mihamarabb megtervezhessük cége dolgozói számára az IT security képzést!

Gyakran Ismételt Kérdések (GYIK) – IT Security Képzés

Miért van szükség IT security képzésre a nem informatikai dolgozók számára?

Az IT-biztonság nem csupán az informatikusok felelőssége. A legtöbb kibertámadás az egyes dolgozók óvatlanságán keresztül történik. Egy jól képzett munkatárs képes felismerni a fenyegetéseket és elkerülni a veszélyeket.

Milyen támadási módszerekkel próbálkoznak leggyakrabban a kiberbűnözők?

A leggyakoribb módszerek közé tartozik a social engineering (megtévesztő e-mailek és telefonhívások), a malware (rosszindulatú szoftverek, például vírusok), a zsarolóvírusok (fájlokat titkosító és váltságdíjat követelő programok) és a jelszólopás (gyenge jelszavak feltörése vagy ellopása).

Hogyan segíthet a képzés a cégem biztonságának növelésében?

A képzés során a munkatársak megismerik a legelterjedtebb kibertámadási módszereket és megtanulják, hogyan védekezzenek ellenük. Ennek köszönhetően csökken a vállalat biztonsági kockázata anélkül, hogy újabb drága szoftvereket kellene beszerezni.

Mennyire időigényes egy ilyen képzés, és milyen formában zajlik?

A Panor képzése rugalmasan alakítható a vállalat igényeihez, és akár néhány órás, gyakorlati fókuszú foglalkozásként is lebonyolítható. A résztvevők interaktív módon sajátíthatják el az alapvető biztonsági ismereteket, amelyeket azonnal alkalmazhatnak a mindennapi munkájuk során.

Így készülj fel a NIS2 auditra!

NIS2. Vajon ki az az informatikai vezető, aki ne ismerné ezt a rövidítést?

Röviden: A NIS2 egy irányelv, aminek célja az EU kibervédelmi képességeinek megerősítése a folyamatosan növekvő kiberfenyegetésekkel szemben.

A NIS2 nálunk nagyjából 4000 céget érint közvetlenül. Ha nem teljesítik a NIS2 követelményeit, amit egy NIS2 audittal ellenőriznek, akkor a cég és annak vezetője is nagyon súlyos bírságra számíthat.

A jelek szerint azonban sok érintett szakember és cégvezető úgy volt ezzel, mint a laikus közönség a Födhöz közeli aszteroidákkal: “Még sok idő, mire ideér, talán addig eltérül, vagy a légkörbe lépve elég.”

Nos, a NIS2 esetében nem így történt. Az egész valóban messziről indult, a teljes nevén (amit senki sem használ) Network and Information Systems Directive 2 irányelvet az EU 2021. december 27-én hirdette ki és 2023. január 16-án lépett hatályba.

Hogy akkor miért mostanában riogatják ezzel az érintett cégeket? Az EU tagországai némi haladékot kaptak arra, hogy a NIS2 irányelveit saját jogrendjükbe ültessék át, de a legtöbben nem tartották be az előírt határidőt. Magyarország végül 2024. december 17-én fogadta el azt az új törvényt, ami 2025. január 1-jén lépett hatályba.

Felkészülés a NIS2 auditra.

Szerencsére nem kell tartani attól, hogy a kiberbiztonsági felügyeletet ellátó Nemzetbiztonsági Szakszolgálat és a Szabályozott Tevékenységek Felügyeleti Hatósága (SZTFH) emberei napokon belül kopogtatnak a céged ajtaján. Először is, az elfogadott törvény nem vonatkozik mindenkire. Elsősorban az 50 főnél nagyobb, vagy 10 millió eurót meghaladó cégek, illetve a fontos szolgáltatók – a Postától a  hulladékfeldolgozókig – esnek a NIS2 hatálya alá. (Ha még mindig nem vagy biztos benne, hogy a céged érintett-e a témában, érdemes tanulmányoznod ezt az infografikát. 

A NIS2 alá eső cégeknek december 31-ig maradt ideje, hogy teljesítsék  az előírt követelményeket, vagy pótolják a feltárt hiányosságokat.

“A NIS2 audit már egy folyamat vége. Erre már sokkal korábban el kell kezdeni a felkészülést.”

Kalmár István

IT Architect, CISO

Felkészülés a NIS2 auditra

Bár egyesek azt gondolják, hogy a NIS2 csupán “papírok kitöltögetéséről szól”, egyáltalán nem így van. A NIS2 megfelelőség alapja a jól megtervezett, kitűnően működő kiberbiztonsági rendszer. Ezt követheti a kiberbiztonsági hiányosságokat feltáró GAP analízis, az adathalász-, illetve kibertámadás-szimulációk.

Hazánkban nagyjából 500 szakember rendelkezik IT-biztonsági auditor képzettséggel, de csak egy részük felel meg a NIS2 követelményeinek. A céged tehát csak az SZTFH honlapján szereplő auditorok közül választhat.

Út az auditálás felé

Ahhoz, hogy a céged sikeresen vághasson bele a NIS2 auditba, alaposan fel kell készülni. Ennek fontos része a megfelelő eszközök és szoftverek beszerzése, beüzemelése, de legalább ilyen fontos az informatikus kollégák és a cég vezetőinek folyamatos kiberbiztonsági képzése. 

A Panor tanácsadással és előzetes audittal ebben is segíti a cégedet. Így még idejében felfedhetők az esetleges problémák és a “hivatalos” audit előtt orvosolhatók azok.

A 2025-i NIS2 audit mindenki számára különleges lesz, hiszen idehaza először kerül erre sor. Kérj szakértői tanácsadást, tedd fel kérdéseidet, vedd fel kollégánkkal a kapcsolatot még ma!

Gyakran Ismételt Kérdések – NIS2 audit

Milyen cégekre vonatkozik a NIS2 irányelv?

A NIS2 elsősorban az 50 főnél nagyobb, vagy 10 millió eurót meghaladó árbevételű cégekre, valamint a létfontosságú szolgáltatásokat nyújtó szervezetekre vonatkozik.

Mikor kell teljesíteni a NIS2 követelményeit?

A cégeknek 2025. december 31-ig van idejük teljesíteni a NIS2 előírásait és pótolni az esetleges hiányosságokat, hogy elkerüljék a bírságokat.

Mit tartalmaz egy NIS2 audit?

Az audit során ellenőrzik a cég kiberbiztonsági rendszereit, az alkalmazott védelmi intézkedéseket, valamint az esetleges sebezhetőségeket egy GAP analízis és szimulációk segítségével.

Ki végezheti el a NIS2 auditot?

Csak az SZTFH által jóváhagyott, hivatalosan regisztrált auditorok végezhetik el a NIS2 auditot. A megfelelő szakember kiválasztása kulcsfontosságú a sikeres megfelelés érdekében.

Megéri az IT biztonságba fektetni?

Szakértői becslések szerint 2025-ben világszerte 10,5 milliárd dollár kárt okoznak majd a kiberbűnözők. 2023 első negyedéve és 2024 hasonló negyedéve között csaknem megduplázódott a zsarolóvírus-támadások száma. Miközben 2001-ben óránként még csak 6 ember esett a kiberbűnözés áldozatául, 2021-ben ez a szám már 97 volt.

A riasztó adatok még hosszan sorolhatók, de a lényeg egyszerűen megfogalmazható: a kiberbűnözés dinamikusan fejlődő “iparág”, aminek a növekedése a következő években is gyorsulni fog.

Senki sincs biztonságban

Míg korábban leginkább a nagy és fizetőképes cégekre irányult a hackerek figyelme, ma már szinte válogatás nélkül érik a kicsiket és nagyokat is a támadások. A Statista adatai szerint a leginkább veszélyeztetettek a gyártó cégek, de dobogósok a pénzügyi cégek és az egészségügy is. 

A “hőskorral” szemben jellemzően már nem a behatolás ténye, a szakmai bravúr, hanem a pénz a fő motiváló tényező. (Ezért is a zsarolóvírus ma a kiberbűnözők kedvenc eszköze.)

A kár mértéke

Egy kibertámadás okozta kár több tételből adódik össze:

  • az ellopott, elérhetetlenné tett, megsérült információk értéke,
  • a rendszerek sérülése miatt kiesett munkaidő,
  • a helyreállításhoz szükséges idő (átlagosan 35-50 nap),
  • reputációs veszteség.

A cégek többsége nem veri nagydobra, ha feltörik rendszereiket. Félnek tőle – joggal – hogy ezzel romlana a megítélésük. Így viszont nehezen jutunk pontos adatokhoz.

Hogyan térül meg az IT biztonságba fektetett pénz?

Sokan hajlamosak a biztosításhoz hasonlítani az IT biztonságot: ha nem történik semmi baj, “felesleges” volt a költés. Miközben azonban egy baleset, egy tűzkár vagy egy betörés valószínűsége viszonylag alacsony, az erősen automatizált, AI eszközöket is használó kiberbűnözők folyamatosan, aktívan keresik a gyenge, támadható pontokat. A nem védekezés leginkább az orosz ruletthez hasonlítható. Van, aki megússza, de van, aki nem.

Az IT biztonsági költések megtérülése

A biztonságnak ára van. A pénzügyi vezető vagy a CEO pontosan tudja, mennyibe kerül ez a biztonság, de tudni akarja azt is, mekkora ennek az IT biztonságba fektetett pénznek a megtérülése.

Kalmár István
IT architect, CISO

“Amíg nem következik be a baj, nehéz megmondani, mekkora lenne egy IT-biztonsági esemény okozta kár. A saját tapasztalat helyett itt  is érdemes más kárából tanulni.”

Az IT-biztonságra fordított pénz akkor tekinthető megtérülő befektetések (ROI), ha a biztonsági résekből eredő potenciális pénzügyi veszteségek csökkenését eredményezi. Ezt kifejezetten a biztonsági beruházások megtérülése (ROSI) segítségével mérik.

A ROSI kiszámításához a szervezeteknek fel kell mérniük a biztonsági intézkedések bevezetésének költségeihez képest az elkerült biztonsági jogsértések költségeit. Ehhez meg kell becsülni az egyes kiberbiztonsági fenyegetések éves várható veszteségét (Annual Loss Expectancy, ALE), amely az adott fenyegetésből származó, évente várható pénzügyi veszteséget jelenti.

Ha például egy vállalat olyan kiberbiztonsági intézkedésekbe fektet be, amelyek megakadályozzák a biztonsági résből eredő potenciális 100 millió forintos veszteséget, és ezen intézkedések költsége 10 000 forint, akkor a befektetés jó megtérülésnek tekinthető.

A ROSI kiszámítása azonban kihívást jelenthet, hiszen nehéz megjósolni a biztonsági incidensek éves előfordulási arányát, valamint a biztonsági intézkedések különböző iparágakban és régiókban eltérő hatékonyságát.

A szervezeteknek a pénzügyi mérőszámokon túl a biztonsági beruházások szélesebb körű előnyeit is figyelembe kell venniük, mint például a jobb megfelelés, a csökkentett állásidő és a jó hírnév.

Összefoglalás

Alacsony belépési küszöb, mérsékelt rizikó. Kitűnő jövedelmezőség. Ezekkel a jellemzőkkel könnyű megérteni, hogy a kiberbűnözés egyre terjed. Az egyre nagyobb kitettség miatt a védekezés elkerülhetetlen. Az IT-biztonsági költések a legjobb megtérülési befektetések közé tartoznak.

Gyakran ismételt kérdések

Miért válik egyre sürgetőbbé az IT biztonságba történő befektetés a mai üzleti környezetben?

A kiberbűnözés dinamikusan növekszik, a támadások száma és az általuk okozott károk pedig napról napra nőnek. Ezért hatékony a  védelem a súlyos anyagi veszteségek elkerülése érdekében elengedhetetlen.

Hogyan mérhető a kiberbiztonsági beruházások megtérülése, és mi az a ROSI?

A megtérülést az elkerült veszteségek és a biztonsági intézkedések költségeinek arányával számolják, amit a ROSI (Return on Security Investment) képlettel – (Előnyök – Költségek) / Költségek x 100% – mérnek.

Milyen anyagi károkat okozhat egy kibertámadás, és milyen tényezők befolyásolják ezek mértékét?

A károk az ellopott vagy megsérült információk értékéből, a kiesett munkaidőből, a helyreállításra fordított időből (35-50 nap) és a reputációs veszteségből adódnak. Ezek mértékét a támadás típusa és a meglévő védekezési intézkedések hatékonysága befolyásolja.

Miért nem csak a nagyvállalatok, hanem a kisebb cégek is egyre inkább célpontjai a kiberbűnözők támadásainak?

A modern, automatizált és AI eszközöket használó támadók nem válogatnak méret szerint, így a kisebb cégek – gyakran gyengébb védelemmel – könnyebb célpontokká válnak.

Milyen egyéb előnyökkel jár az IT biztonságba való befektetés a pénzügyi megtakarításokon túl (például a jó hírnév és a csökkentett leállási idő)?

Az IT biztonsági beruházások javítják a vállalat hírnevét, növelik a megfelelőséget, csökkentik a leállási időből eredő kiesést, és hozzájárulnak az üzleti folytonosság fenntartásához.

A kiberbiztonsági tudatosság nélkül nincs védekezés

A napokban levelet kaptam a bankomtól. A borítékban egy hűtőmágnes volt, amin az állt, hogy legyünk óvatosak, ha online vagy telefonon bankszámlánkkal kapcsolatban keresnének. A mutatós hűtőmágnes mellett volt még egy levél is, ami csupa átverős (rém)történetet tartalmazott. Veszélyes időket élünk.

Az ember a leggyengébb láncszem

Rég elmúltak azok az idők, amikor a hackerek még unatkozó fiatalok voltak, akik azon versengtek, ki tud nagyobb, ismertebb cég rendszereibe bejutni. Akiket ma hackereknek becézünk, jellemzően kiberbűnözők, akik kárt akarnak okozni vagy adatokat akarnak lopni, zsarolni próbálják az áldozatokat. Az IT biztonsággal foglalkozó szakemberek sokáig kizárólag az informatikai rendszerek védelmére összpontosítottak. A támadások detektálása és meghiúsítása egyre komolyabb erőforrásokat emészt fel. Hiába azonban a legkorszerűbb védekezés, ha a felhaszálókban, a vállalat dolgozóiban nincs meg a kiberbiztonsági tudatosság.

A felhasználói viselkedés gyenge pontjai

A mai csalók mindig alaposan tanulmányozzák az emberi viselkedést, és annak gyenge pontjait használják ki a támadásaikhoz. Az offline világban a hagyományos  csalások mindig is az emberek manipulálhatóságán alapultak. Amikor azonban a számítógépek is bekerültek a képbe, a csalási potenciál hatványozódott. Ahhoz, hogy a számítógépek tömegesen használhatók legyenek az emberek számára, feltalálták az ember-számítógép interakció (Human-Computer-Interface – HCI) tudományágát. Az olyan cégek, mint az SRI International – az egér feltalálója -, olyan módokat nyitottak meg a számítógépekkel való interakcióra, amelyek az emberi viselkedést szorosan összekötötték a számítógép működésével. A HCI-kutatás a számítástechnika, a kognitív tudományok és az emberi tényezők (UX) egyesítését jelentette.

A HCI létfontosságú volt a számítástechnika humanizálásában, mivel lehetővé tette, hogy a kezelő (az ember) természetesebb élményt szerezzen a számítógép használata során, ami zökkenőmentesebb működést tesz lehetővé. Idővel azonban az ember és a számítógép közötti szoros kapcsolat a kiberbűnözés nyitott kapujává vált. Ahogy a HCI fejlődött – és ahogy az UI mérnökök olyan szintre emelték a felhasználói élményt, ahol a számítógépes felülettel való interakció szinte automatikus lett -, a felhasználó rosszindulatú manipulálása is egyszerűbbé vált.

Az emberi viselkedés: mi késztet minket kattintásra?

Az informatikai eszközök használatához bizonyos viselkedésformákat is elsajátítunk. A jobb felhasználói élmény kialakítása az informatika egyik olyan területe, ami olyan rendszerek tervezésén alapul, amelyek természetes viselkedéseket használnak, vagy amelyek elkerülik az olyan interakciókat, amelyek új viselkedéseket kell, hogy létrehozzanak. A számítógépek használata bizonyos megtanult viselkedésformáktól függ, például attól, hogy egy linkre kattintva megnyílik egy új weboldal. 

A felhasználói élmény (UX), a felhasználói utak és a felhasználói felület tervezése az ilyen viselkedéses kondicionálásra épül. Célja, hogy a technológia használatát könnyebbé és intuitívabbá tegyék. A UX-tervezők a pavlovi kondicionálás módszerét használják a felhasználói viselkedésminták kialakítására. Erre példa a visszajelzési mechanizmusok használata, például a linkek és gombok színének megváltoztatása a kattintás hatására.

A legtöbb számítógépes feladat fárasztó és repetitív. A berögzült automatikus kattintások segítik  a számítógépek intuitív használatát, ugyanakkor ezt használja ki a csalások többsége is. A nagy mennyiségű  beérkező információ miatt gyakran automatikussá válik a kattintás, ami megnehezíti azok alapos ellenőrzését; az időhiánnyal küzdő alkalmazottak a rendszeres feladatokhoz kapcsolódóan gondolkodás nélküli, a tanult viselkedésminták alapján nyithatnak meg egy emailt vagy kattintanak a linkekre. Ez a kondicionált viselkedés a kiberbűnözők álma. Ők az UI tervezőkhöz hasonlóan ugyanezt a pszichológiai kondicionálást használják ki, hogy a felhasználók az adathalász emailben automatikusan rákattintsanak egy linkre.

Viselkedésalapú kiberbiztonság

Ha a kiberbűnözők a pszichológia felé fordultak, a kibervédelemnek is ezeket az eszközöket kell használnia. Az új módszer a a viselkedéstudományt ötvözi a kiberbiztonsággal. Azt az elképzelést, hogy a humán tényezőt kell a kibervédelem középpontjába állítani, visszaigazolta a kiberbűnözők gyakorlata.

A pszichológia és a viselkedéstudomány széleskörűen elismert tudományos alapelveket kínál, amelyek alkalmazhatók a kiberbiztonsági tudatossági programokban, valamint a kibertámadásokkal szembeni intézkedések megtervezésében és kidolgozásában. E tudományágak egyesítésével a viselkedésalapú kiberbiztonság új területe jött létre. A viselkedéstudomány megkönnyíti a kockázatnak a viselkedéshez való hozzárendelését, és a különböző típusú alkalmazottak kockázatértékelésének megértését. Az eredmény a kiberbiztonság emberközpontú szemlélete, a viselkedésalapú kiberbiztonság.

Viselkedésalapú kiberbiztonsági és tudatossági programok

A kiberbűnözők pszichológia módszereinek kivédéséhez feltétlenül szükséges azok felismerése.
A korszerű kiberbiztonsági képzés fontos része a kiberbiztonsági tudatossági program, ami a legfontosabb pszichológiai alapelvekre épül.

Ezeknek a tréningeknek a legfőbb feladata, hogy a résztvevők elsajátítsák a kritikai gondolkodást, felismerjék a veszélyre figyelmeztető jeleket, képesek legyenek a betanult, automatikus működést tudatos gondolkodásra váltani.

IT security képzés – nem csak informatikusoknak

A Panor IT security képzése felkészíti kollégáit a kibertámadásokra. Megismerik ezek leggyakoribb formáit:

  • a social engineeringet – a manipuláción alapuló csalásokat
  • a malewareket
  • a zsarolóvírusokat
  • a jelszólopást

A képzést elvégzők a korábbinál könnyebben, hamarabb felismerik a kiberfenyegetéseket, jobban reagálnak rájuk, így biztonságosabbá válik saját és környezetük munkája.

Hogyan növelhető az email biztonság?

leadkép e-mail higiénia

Ma már az iMesage-től a Messengerig, a WhatsApptól a Signalig rengeteg online kommunikációs csatorna áll rendelkezésünkre, de az üzleti levelezés, külső és belső információk megosztásának legfontosabb eszköze még mindig az emal. Az elektronikus levelezés meglepően régi találmány, de használata igazából csak a 21. század első éveiben vált általánossá.

Régóta tudjuk, hogy ahol sokan megfordulnak, ott hamarosan megjelennek a bűnözők is. Nincs ez másképpen az online világban sem. Mára a spamelők, adathalászok, vírusterjesztők, zsarolóvírus-gyártók tömegesen fenyegetik az emailek biztonságát.

Fontos a felhasználói kultúra

Az email megjelenése és tömeges elterjedése óta több generáció is felnőtt, de még ma is csak kevesen tudják igazán, hogyan kell ez emailt használni. Az inkább csak bosszantó, hogy sokan nem ismerik a CC vagy a BCC címzés használatát, nem képesek megkülönböztetni az email üzenetet a történelmi regénytől, de az igazán nagy bajok az alapvető biztonsági követelmények mellőzésével történnek.

képregény

Email higiénia: alapvető követelmények

Az email higiénia, vagyis az email biztonsággal kapcsolatos legfontosabb tudnivalók röviden így foglalhatók össze: biztonságos jelszó, a spammerek kerülése és a túl szépnek tűnő ígéretek fenntartásokkal való kezelése. (Az utóbbihoz kategóriához tartozik az emailekben szereplő linkekkel és csatolmányokkal kapcsolatos fokozott óvatosság is.)

Biztonságos jelszavak

Érthető törekvés, hogy az emberek egyszerű, könnyen megjegyezhető jelszóval próbálják megúszni az azonosítást. Sajnos ez nem működik. Szakértők szerint a véletlenszerűen generált (kis- és nagybetűket, számokat és speciális karaktereket tartalmazó) legalább 14 karakter hosszú jelszavak csak a biztonságosak. Ezeket azután rendszeresen frissíteni kell, a korábbi jelszavak “újrahasznosítása” tilos!

Több faktoros azonosítás

Bár az MFA, illetve a 2FA (kétfaktoros azonosítás) sokáig jó megoldásnak tűntek, a Gmail fiókok elleni legújabb tömeges hackertámadás (a 2FA védelem megkerülése) is bizonyítja, hogy még ez, a sokáig bombabiztosnak tűnő módszer sem nyújt tökéletes védelmet a kiberbűnözők ellen. 

Az adathalász levelek felismerése

Egyre gyakoribbak “hivatalosnak” tűnő, látszólag pénzintézettől, adóhatóságtól vagy futárcégtől, valójában adathalászoktól érkező levelek. Megfelelő tréninggel, kis gyakorlattal ezek könnyen felismerhetők.

Linkek és csatolmányok óvatos kezelése

Az emailekben található linkek adathalász oldalakra vezethetnek, az ismeretlen eredetű csatolmányok pedig maleware-t tartalmazhatnak. Érdemes háromszor is meggondolni, hova kattintunk. Egy felelőtlen kattintás akár egy egész vállalati rendszert is megfertőzhet.

Email biztonság gépi segítséggel

Az e-mail higiénia megfelelő szoftverekkel is támogatható. A bejövő és kimenő e-mailek ellenőrzése, szűrése és biztonságos kezelése révén minimalizáljuk a fenyegetések lehetőségét. Ennek része az emailek hitelességének ellenőrzése, az ártalmas tartalmak szűrése. A Panor a Cisco, a Fortinet és a Microsoft erre a feladatkörre szakosodott szoftverei segítségével teszi biztonságosabbá a céges emailezést. Ezek integrált védelmet nyújtó megoldások a legújabb technológiákra építenek, mint például a gépi tanulás, a mesterséges intelligencia és a felhő alapú szolgáltatások.

A biztonságos emailezés tanulható

A jól megválasztott szoftverek biztonságosabbá eszik az emailezést, de nem védenek meg minden veszélytől. Fontos felhívni a kollégák figyelmét az emailezés veszélyeire, de a tapasztalat azt mutatja, hogy ez nem elég. Meggyőződésünk, hogy a kibertámadások kivédése nem kizárólag az IT-biztonsággal foglalkozó szakemberek feladata. A dolgozók képzése, a veszélyek tudatosítása és az alapvető védekezési / elkerülési stratégiák megtanulása bizonyítottan komoly eredményekkel jár.Te melyik jelszókezelőt használod?
Feleslegesek. Egy Post-ittel kiragasztom a monitorom szélére