NIS2: ki feleljen a biztonságért?
Az érintett szervezeteknek már nincs sok idejük eldönteni, hogy ki legyen a NIS2 égisze alatt az információbiztonsági vezetőjük.Előzetes becslések szerint a NIS2 (Network Information System v2) irányelv hatálya alá 2500-3000 hazai társaság kerül. Az érintett cégeknek 2024. június 30-ig kell regisztrálniuk a Szabályozott Tevékenységek Felügyeleti Hatóságánál (SZFTH). Ennek során adminisztratív és technikai jellegű cégadatok megadása mellett az információs rendszerek biztonságáért felelős személy (IBF) adatait és elérhetőségét is fel kell tüntetni. Kóczé Péter, a Grant Thornton cég digitális üzletágának vezetője segített átgondolni, hogy milyen szempontokat mérlegeljenek az érintett szervezetek.
IBF: Ki legyen a felelős?
Az SZFTH-regisztráció során az egyik kérdés az IBF kijelölése.
- mondta Kóczé Péter."Meglátásunk szerint a nemzetközi hátterű cégek számára még úgy is nehéz ez a döntés, hogy a "Kibertan-törvény" nem fogalmaz meg semmilyen konkrét elvárást és követelményt a kijelölt felelős személyével kapcsolatban, valamint kimondottan lehetővé teszi a pozíció betöltését akár külső szakértő bevonásával is"
Az információbiztonsági felelős kiszervezése elsőre racionális megoldásnak tűnhet akkor, amikor házon belül nem állnak rendelkezésre a pozíció betöltéséhez szükséges szakmai ismeretek vagy erőforrások. A tapasztalatok egyébként azt mutatják, hogy sok vállalatnál belső munkatársak közül regisztrálnak valakit az SZTFH űrlapján információbiztonsági felelősként.
Miért felel az IBF?
A kiberbiztonsági események rendszerint a cégek adatvagyonának megszerzésére irányulnak. Az incidensek súlyosságát tovább növeli, hogy sok esetben a lopási kísérlet következtében a szolgáltatás teljes/részleges leállásával vagy akár a teljes üzleti tevékenység felfüggesztésével is számolni kell, ami jelentős, esetenként akár katasztrofális következményekkel is járhat egy vállalatra nézve.
- véli Kóczé Péter."A NIS2 újdonsága abban rejlik, hogy az érintett vállalatok rá lesznek kényszerítve arra, hogy folyamatosan fejlesszék kibervédelmi képességeiket, amihez a jogszabály megkísérel egy közösségi szinten egységes sztenderdet biztosítani"
Az IBF egyik fontos feladata pedig az, hogy a kötelezően alkalmazandó információbiztonsági intézkedések a fenyegetettségekkel összhangban kerüljenek kialakításra, valamint a rendelkezésre álló büdzsé kereteibe is beleférjenek.
A belső információbiztonsági felelősnek az üzlet egészét kell figyelembe vennie, amikor a fenyegetettségre adott válaszokról gondolkozik, és amikor a helyi IT-csapattal, az üzleti területek vezetőivel, a jogászokkal, a központi (külföldi) irányítással vagy éppen az SZTFH-val működik együtt.
Az IBF feladata a kiberbiztonsági események kockázatának csökkentése, valamint az azok felfedezéséig eltelt idő lerövidítése is.
Magyar cégnek magyar NIS2
Annak ellenére, hogy a NIS2 egy EU-s irányelv, és célja egy egységes, közös kiberbiztonsági keretrendszer, illetve védelmi szint megalkotása, a tagállamok nem azonos ütemezésben és nem teljesen egységes tartalommal ültetik azt át saját jogrendjükbe.
Egy magyar leányvállalat belső információbiztonsági felelősének képben kell lennie a hazai NIS2-szabályozás specialitásaival, hogy ezeket is képviselni tudja a globális szinten menedzselt információbiztonsági irányítási rendszer kialakítása és adaptálása során.
A magyarországi illetékességű vállalatok megfelelőssége minden esetben a magyar jogszabályok, végrehajtási rendeletek és módszertani útmutatók alapján, magyar nyelven és magyar auditorok révén kerül majd minősítésre. A felkészülés így minden esetben igényli a hazai operáció aktív közreműködését.
Mi helyzet az IT-vezetővel?
Nemzetközi hátterű vállalatcsoportokban egy meglehetősen összetett felelősségi kör vár az információbiztonsági felelősökre, ezért annak teljes kiszervezése nem mindenhol bizonyulhat hatékony megoldásnak.
Ezeknél a társaságoknál célszerűnek tűnhet a helyi megfelelősségi vezető képességeinek és erőforrásainak bővítése annak érdekében, hogy koordinálni tudja a NIS2 által támasztott új megfelelési elvárásokra való felkészülést. Ez külső tanácsadók és szakértők igény szerinti bevonásával is történhet.
Egy megfelelési vezető helyismerete, meglévő csatornái és elfogadottsága a helyi IT-csapat, a központi IT-irányítás, az üzleti területek és a menedzsment részéről olyan előnyöket jelentenek, amelyekre szükség lesz a NIS2-re hangolt információbiztonsági irányítási rendszer bevezetése során.
Az IT meghatározó szereplője lesz a változásoknak, de a többi területhez hasonlóan sok szempontból végrehajtó szerepben marad. Emiatt sem szerencsés az IT és az információbiztonsági vezetői pozíciók összekapcsolása.
A szakmai mentorálás jó irány lehet
A NIS2 folyamatos fejlődést követel meg a vállalatoktól a kibervédelmi képességek terén. Ennek során egy hatékonyan működtethető és stabilan auditálható információbiztonsági rendszert kell kialakítaniuk. Ahhoz, hogy a megbízott vezető sikerrel járhasson, nemcsak a nemzetközi és a hazai szabályozásokat, hanem a vállalat belső folyamatait és működését is megfelelő mélységben ismernie kell.
- zárta gondolatait Kóczé Péter."Azt gondoljuk, hogy ez megnehezítheti a NIS2 felkészítés teljes körű kiszervezését, és inkább a belső kompetenciák fejlesztésének irányában tolhatja el a cégeket. A megfelelő mentorálás hozzásegítheti a megfelelési vezetőket az új követelményekhez való alkalmazkodáshoz"
-
Az IBM a QRadar SIEM-ben egy kritikus biztonsági hibát javított.
-
A LibreOffice-hoz egy biztonsági javítás vált elérhetővé.
-
A Google ismét súlyos sérülékenységeket szüntetett meg a Chrome böngészőben.
-
Az SAP kiadta a májusi biztonsági frissítéseit.
-
Az Adobe egy tucat sebezhetőséget orvosolt a PDF-kezelő alkalmazásai kapcsán.
-
Az Adobe Illustrator három sebezhetőség miatt kapott frissítést.
-
A VMware fontos hibajavításokat adott ki a Workstation és a Fusion megoldásaihoz.
-
Az Apple kiadta a mobil operációs rendszereinek legújabb biztonsági javításait.
-
Jelentős biztonsági frissítés érkezett a macOS operációs rendszerhez.
-
Elérhetővé váltak a Windows májusi frissítései.
Minden szülő legrosszabb rémálma felvenni egy ismeretlen számról érkező hívást, és azt hallani, hogy a gyermeke segítségért kiált.
Az online társkeresés elterjedésével alapjaiban változott meg az emberek közötti kapcsolatteremtés.