Ha végig gondoljuk az utóbbi napokban milyen hírekkel találkoztunk, biztos találni fogunk közte olyat, aminek a témája, hogy miképp szivárogtak ki jelszavak, vagy milyen rendszert törtek fel és loptak el adatokat, esetleg egyszerűen egy megtévesztő sms-el csaltak ki pénzt valakitől. Legtöbb esetben vállat vonunk és mint oly sokszor arra gondolunk, hogy ez velünk nem történhet meg. De valóban nem történhet meg? Egy egyszerű ellenőrzést kérek az olvasótól. Kattintson rá a https://haveibeenpwned.com/oldalra, és nézze meg, hogy az általa használt email címek közül bármelyiknek is a jelszava kiszivárgott-e valaha.
Ha igen, akkor nagyon gyorsan változtassa meg. Természetesen, ha minden zöld, az egy jó jel, de nem elégséges, mert csak a jelenlegi helyzetet mutatja, ami bármikor megváltozhat.
Azonban, hogy ezért a cégek, amelyekkel kapcsolatban vagyunk mit tesznek, azzal kapcsolatban szeretnék bemutatni két irányelvet.
Az utóbbi hónapokban a hírek között számos új informatikához, kiberbiztonsághoz kapcsolódó rövidítés jelent meg. A kiberbiztonság megteremtése mindenki számára fontos, de sajnos a tapasztalat szerint kevés időt és energiát szánunk rá, mert természetesnek vesszük. Ezért az EU is lépett, hogy változtasson ezen a helyzeten. Az EU törekvéseivel most a legtöbben a NIS2 irányelv és a DORA rendelet kapcsán találkozhattak. De mit is jelentenek és miért is érintenek mindenkit az ehhez kapcsolódó tevékenységek.
Egy rövid kitérőt kell tennem, hogy a két rövidítést érhetően be tudjam mutatni. Amikor 2018. május 25-től alkalmazni kellett a GDPR rendeletet, azt legtöbben onnan vették észre, hogy minden weboldal rákérdezett a sütik (angolul cookies) használatra. Sokan nem értették, hogy miért van erre szükség, mert csak plusz idő. Valójában ennek a rendeletnek a lényege, hogy a saját személyes adatainkat védje a nagy tech cégek ellen. És ebből a szempontból rávilágítson arra, hogy a személyes adat egy rendkívül fontos érték, amivel foglalkozni és védeni kell.
Természetesen nem ez volt az első, ahol EU-s szinten fogalmaztak meg stratégiákat és ajánlásokat, de az első, ami széles körben ismert lett, mert mindenkit érintett.
Azonban adatokat, információkat nem csak a személyes érintettség okán kell megvédeni.
DORA rendelet alapvetően pénzügyi szervezetekre pl. bankok és a nekik IT szolgáltatást nyújtó külső vállalkozókra vonatkozik. Azzal mindenki egyetért, hogy szeretné biztonságba tudni a pénzügyi adatait. A DORA az eddigi törekvéseket próbálja úgy egységesíteni, hogy a teljes EU-s pénzügyi szektorra ír elő egységes, arányos és kockázatalapú megközelítést a kiberbiztonság terén.
Ez azt is jelenti, hogy ezzel kapcsolatban – ha nem ebben az iparágban dolgozunk – akkor plusz teendőnk nem lesz. Azonban a bankok továbbra is mindent meg fognak tenni, hogy az adataink védve legyenek.
A NIS2 direktíva, ahogy a nevéből adódik, már egy korábbi ajánlás továbbfejlesztése. Gondoljunk bele, hogy mi történne, ha valamiért megszűnne az áramszolgáltatás. Vagy egyszerűen elmegy az internet. Vagy elfogy a chip, ami miatt nem tudunk új autót gyártani.
Mindegyik olyan esemény, ami, ha megtörténik, akkor azonnal, érezhetően befolyásolja az életünket. A NIS2 direktíva a kiberbiztonsággal kapcsolatban ír elő kötelező lépéseket, hogy ez ne történhessen meg azáltal, hogy pl. az informatikai rendszerünket feltörik. A NIS2 itányelv a jogrendszerbe történő beillsztése Magyarországon is megtörtént, az ezzel kapcsolatos első törvény a 2023. évi XXIII. törvény a kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről. Természetesen nem mindenki tartozik a törvény hatálya alá, de sokkal többen, mint elsőre gondolnánk. Az érintett szervezetek a SZTFH alá tartozó Kiberbiztonsági Felügyelethez kell bejelentkezniük. Érdemes sietni, mert június 30-ig kell regisztrálni.
Ami azonban mindenkinek látható lesz a NIS2-ből, hogy a direktíva nagy hangsúlyt helyez az ismeretterjesztésre. Miért fontos ez? Például azért, hogy felismerjük, ha meg akarnak téveszteni, át akarnak verni minket. Hiszen, ha a munkahelyünkön olyan levelet nyitunk meg, ami vírust tartalmaz, azzal akár lebéníthatjuk cég működését is. Ez pedig veszteség. Egy kisebb cég esetében is látható kárt tud okozni egy váratlan, több órás leállás, egy miltiról nem is beszélve. Ezért a felhasználók tudatosítása, képzése rendkívül fontossá vált és erre folyamatosan időt és energiát kell szánni.
Nagy Imre
Zetron Kft.