Tech hvg.hu 2024. május. 10. 10:03

Mit nyerhet bármelyik munkavállaló a NIS2-vel, ami már hatályba is lépett?

Sok probléma forrása az emberi tényező, amit gyakran a kiberbűnözők is igyekeznek kihasználni. A NIS2 néven emlegetett uniós irányelv lesújt minden cégre, amelyik nem veszi elég komolyan saját emberei felkészítését. Akármilyen furcsán hangozhat elsőre, ebből a munkavállalók profitálhatnak. De csak az, aki nem veszi félvállról.

Kibervédelem otthon
Friss cikkek a témában

Gyakran nem informatikai rendszerének programkódban mérhető sérülékenysége jelenti a problémát a vállalat számára, hanem azok a dolgozók, akik figyelmetlenségből vagy épp tudatlanságból hozzásegítenek illetékteleneket a számítógépes hálózatba bejutáshoz.

Ezt már régen észrevették a kiberbűnözők is. Míg korábban feltörni akarták a számítógépes rendszereket, ma már egyszerűen csak bejutni szeretnének – ehhez időnként jobban jön a pszichológiai tudás, mint az informatikai.

Az egyik ilyen közkedvelt módszer a social engineering. Ez annyit tesz: a bűnözők megpróbálnak minden elérhető információt begyűjteni egy felhasználóról – például azt, hogy melyik szolgáltatók ügyfele, hol nyaralt legutóbb, hol bankol stb. Minél többet tudnak meg róla, annál jobb, hiszen annál életszerűbb megtévesztő e-mailt küldhetnek ki neki. Néhány valós információval a megbízhatóság látszatát keltik, így nyerhetnek ki belőle még több infót, és juthatnak be általa például a munkahelyi számítógépes hálózatba is.

Persze olyan időpontban próbálkoznak a céges adatok megszerzésével, amikor az illető figyelme már lankadt. Ilyen lehet egy péntek délután, vagy egy december 23-án elküldött e-mail, esetleg amikor kisebb az esélye, hogy a munkavállalók alaposan ellenőrzik, hogy például egy átutalás, ami rossz a megfelelő helyre megy-e.

Emiatt a módszerváltás miatt is látták szükségesnek az Európai Unió döntéshozói a kibervédelmi szabályozás aktualizálását. (A NIS2 lényegéről alábbi cikkünkben olvashat.)

Három betű és egy szám, amikről mostantól gyakran fog hallani: mi az a NIS2?

Már hatályba lépett, hamarosan élesedik is a felülvizsgált uniós kibervédelmi irányelv, a NIS2, amely itthon több ezer vállalkozás és munkavállalóik mindennapjait érinti. Tennivaló már most is akad vele.

A NIS2 – illetve az annak való megfelelőséget a hazai jogban kitöltő évi XXIII. törvény – éppen ezért nemcsak a vállalatok, de a munkavállalók számára is egy biztonságosabb digitális munkakörnyezetet teremt, amelyben kevesebb az esély a kibertámadásokra és az adatvesztésekre. Az irányelv ennek köszönhetően hatással lehet a munkavégzés helyének és módjának változatosságára is: mivel a munkakörnyezet biztonságosabbá válhat miatta, a munkáltatók több digitális eszközt és rugalmasabb munkaidőt is kínálhatnak a munkavállalók számára. Mivel utóbbi lehetőség a koronavírus-járvány kirobbanása óta rendkívül komoly vonzerővel bír, a munkaerőpiacon is több lehetőség közül választhatnak majd azok, akik számára ez fontos szempont a döntésnél.

A NIS2 már hatályba lépett, ám még igen friss, így egyelőre nem tudni például, hogy az illetékes hatóságok – idehaza a Nemzeti Kiberbiztonsági Intézet, valamint a Szabályozott Tevékenységek Felügyeleti Hatósága – milyen előírásokat vagy ajánlásokat fogalmaznak meg az emberi tényező erősítéséhez. Azaz hogy pontosan milyen kibervédelmi oktatásban kell majd részesíteni a dolgozókat, ezt milyen gyakran, milyen tartalommal és mely munkakörű munkavállalók részére kell megtartani.

A jelenléti ív és a tűzvédelmi oktatás mellé jön még valami, és ezt érdemes lesz még azoknál is komolyabban venni

Az Európai Unió a minél nagyobb adatbiztonság felé terelné a vállalatokat, amit a NIS2 nevű irányelvvel kíván megtenni. Ha célt ér vele, az megnehezítheti a kibertámadásokat végrehajtó hackerek dolgát.

A megfelelő kibervédelmi oktatás előnye lesz, hogy a munkavállalók valóban megértik nemcsak a digitális veszélyeket, hanem azt is, hogy hogyan reagálhatnak azokra hatékonyan. (Ezt a készséget aztán természetesen nemcsak a munkában, hanem magánéletükben is kamatoztatni tudják.) Tehát aki munkavállalóként komolyan veszi a munkahelye által szervezett kiberbiztonsági oktatást – legyen az akármilyen színvonalú –, odafigyel a tanfolyamon, majd tudatos felhasználóként be is tartja az azon tanultakat, a saját részét már megtette, ő már nem lesz elővehető, ha gond van.

A NIS2 mellett a GDPR is érvényes

A NIS2 nem írja elő a cégeknek, hogy tájékoztassák a felhasználókat, ügyfeleket egy kiberbiztonsági eseményről. Erre a GDPR, vagyis az Európai Unió általános adatvédelmi rendelete tartalmaz egyértelmű előírást, és csak a személyes adatokat érintő, úgynevezett adatvédelmi incidensek esetén, így a mostani uniós irányelv nem felülírja a GDPR-t, hanem párhuzamosan létezik mellette. (Másról szól.)

Ha egy cég elmulasztja például a kétévente kötelező auditálást, és történik egy kiberbiztonsági esemény, akkor borítékolható egy ellene indított per eredménye is.

Alapvetően kétféle kár érheti a vállalatokat és a felhasználókat: vagyoni és nem vagyoni. Előbbi közé tartozik például az, ha a kiberbiztonsági esemény miatt a vállalatnak új hardvert vagy szoftvert kell beszereznie, vagy számszerűsíthető kár éri, mert leállt az üzletmenete. A nem vagyoni kár meghatározása már valamivel nehezebb. Az érintettek megpróbálhatják beperelni az adott céget például azért, mert a kiberbiztonsági esemény miatt jelentős stressz éri őket, vagy mert a kiszivárgott adatok miatt sorra kell járniuk különböző szolgáltatók ügyfélszolgálatait, hogy megváltoztassák adataikat.

Ha máskor is tudni szeretne hasonló dolgokról, lájkolja a HVG Tech rovatának Facebook-oldalát.

hvg360 Fetter Dóra 2024. december. 28. 07:00

„Három kérdés, és kiderül, felkészültek vagyunk-e váratlan vészhelyzetekre – ezen a teszten a lakosság fele elvérezne”

Van, aki túlaggódja, és van, aki félvállról veszi a ránk leselkedő veszélyeket, legyen szó háborúról, klímakatasztrófáról vagy csak egy kiadós áramszünetről. A kormány háborús veszélyről beszél, de nem tartja fontosnak az ország, az emberek felkészítését váratlan helyzetekre. Vasárus Gábort, a Hun-Ren KRTK Regionális Kutatások Intézete tudományos munkatársát arról kérdeztük, mit lehetne tenni azért, hogy valóban senkit ne érjen készületlenül, ha jönne a baj.