IT security mindenkinek

Az hiszem, sokakat meglepett Edit, amikor elmesélte, hogy IT-biztonsági képzésre megy. Nyilván nem értették, hogy mit keres a “szőke pénzügyes” a sok “kocka” között.

Szerintünk nem csodálkozni kell ezen, hanem örülni, hogy tovább erősödik a cég védelme. Szó sincs arról, hogy ezentúl Editnek kellene megvédeni a 250 fős céget a kiberbűnözőktől, de az IT security képzés révén csökkennek a vállalat biztonsági kockázatai.

A kibervédelemmel kapcsolatos mítoszok

Mítosz 1: “Majd az IT megoldja!” Sok cégvezető gondolja úgy, hogy azért vannak a cégnél informatikusok, hogy törődjenek a kibervédelemmel (is).
A valóság: Az informatikusoknak millió dolguk van, ebből az IT secutity valószínűleg valahol a lista végén van. Nagy leterheltségük mellett nem tudják nyomon követni a legújabb sérülékenységeket, a friss fenyegetéseket. 

Mítosz 2: “Van IT-security szakemberünk, tehát biztonságban vagyunk.”

A valóság: A kibertámadás nem olyan, mint amikor torpedótámadás ér egy hajót. A kibertámadások általában nem egyetlen nagy lyukat nyitnak, hanem a bűnözők leggyakrabban apró réseken, lyukakon hatolnak be. Ezek a lyukak pedig az egyes dolgozóknál keletkeznek. 

IT-security nem csak az informatikusok dolga

Hiába veszi meg a cég a legkorszerűbb védelmi szoftvereket, hiába vesz fel kitűnő IT-biztonsági szakembereket, ha dolgozók óvatlanul beengedik a bűnözőket a kiskapun.

A kiberbűnözők ma nem is annyira kártékony kódok írásával foglalkoznak – ezek már könnyen beszerezhetők a dark weben -, hanem a pszichológiában képzik magukat. Ezzel a tudással képesek rávenni a gyanútlan felhasználókat, hogy megnyissanak egy fájlt, vagy kattintsanak rá egy linkre, ami azután utat nyit a támadásnak.

IT security képzés vállalati dolgozóknak

A fentieket felismerve alakítottuk ki a Panor “laikusokat” célzó képzését. A személyre szabott foglalkozáson mindenki megismerheti a legelterjedtebb támadási módokat: 

“Nem elég az IT szakembereket képezni. A támadások többsége a munkatársak eszközein keresztül éri a céget.”

Sulák Zsolt

Üzletfejlesztési vezető

Social engineering

Ma az egyik legelterjedtebb csalási módszer, amikor a kiberbűnöző különböző hamis emailekkel, telefonhívásokkal próbálja megszerezni az érzékeny információkat. (Ne hidd azt, hogy te biztosan észrevennéd a csalást. Gyakran még tapasztalt banki szakembereket is sikerül – szerencsére többnyire csak tesztek során – megtéveszteni.

Malware

Ez a rosszindulatú szoftverek gyűjtőneve. Ide tartoznak a trójaiak, a különféle vírusok, férgek és banki kártevők. Rendszerint megtévesztő emailek, vagy hamis weboldalak megnyitása révén kerülnek a gépedre. A legtöbbször fel sem tűnik, hogy megfertőződtél.

Zsarolóvírus

Ez utóbbi években rendkívül elterjedt, speciális malware titkosítja a megfertőzött gépen lévő adatokat és csak váltságdíj fejében oldja fel a titkosítást (gyakran akkor sem).

Jelszólopás

A biztonságos jelszókezelés (illetve annak hiánya) általánosan elterjedt probléma. A gyenge, könnyen feltörhető jelszó az egyik legkönnyebb út a hackerek számára. A biztonságos jelszó beállítása, a kétfaktoros azonosítás (2FA) vagy a passkey alkalmazása gyorsan megtanulható. Ennél lényegesen lassabb folyamat megértetni a felhasználókkal, hogy a jelszókezelés “leegyszerűsítése” később nagyságrendekkel nagyobb bonyodalmakat okoz. 

Közös felelősség

A nem informatikával foglalkozó  vállalati dolgozók IT security képzése révén erősödik a kollégák információbiztonsági tudatossága. A képzést követően sokkal jobban megértik a kritikus adatok védelmének fontosságát, hamarabb és magabiztosabban ismerik fel az esetleges veszélyeket. Hasznos a képzés azért is, mert  a kollégák a munkán kívül, a közösségi médiában is biztonságosabban mozoghatnak.
A képzésnek köszönhetően cége újabb eszközök, szoftverek beszerzése nélkül is nagyobb biztonságban tudhatja rendszereit, kritikus adatait.

Keressen minket, hogy mihamarabb megtervezhessük cége dolgozói számára az IT security képzést!

Gyakran Ismételt Kérdések (GYIK) – IT Security Képzés

Miért van szükség IT security képzésre a nem informatikai dolgozók számára?

Az IT-biztonság nem csupán az informatikusok felelőssége. A legtöbb kibertámadás az egyes dolgozók óvatlanságán keresztül történik. Egy jól képzett munkatárs képes felismerni a fenyegetéseket és elkerülni a veszélyeket.

Milyen támadási módszerekkel próbálkoznak leggyakrabban a kiberbűnözők?

A leggyakoribb módszerek közé tartozik a social engineering (megtévesztő e-mailek és telefonhívások), a malware (rosszindulatú szoftverek, például vírusok), a zsarolóvírusok (fájlokat titkosító és váltságdíjat követelő programok) és a jelszólopás (gyenge jelszavak feltörése vagy ellopása).

Hogyan segíthet a képzés a cégem biztonságának növelésében?

A képzés során a munkatársak megismerik a legelterjedtebb kibertámadási módszereket és megtanulják, hogyan védekezzenek ellenük. Ennek köszönhetően csökken a vállalat biztonsági kockázata anélkül, hogy újabb drága szoftvereket kellene beszerezni.

Mennyire időigényes egy ilyen képzés, és milyen formában zajlik?

A Panor képzése rugalmasan alakítható a vállalat igényeihez, és akár néhány órás, gyakorlati fókuszú foglalkozásként is lebonyolítható. A résztvevők interaktív módon sajátíthatják el az alapvető biztonsági ismereteket, amelyeket azonnal alkalmazhatnak a mindennapi munkájuk során.

Oracle: egy kibertámadás tanulságai

2025. márciusa közepén egy különleges áru bukkant fel a dark weben. Egy „rose87168,” nevet viselő hacker egy 6 millió adatrekordból álló csomagot kínált értékesítésre. A különleges “árut” felfedező, kiberbiztonsággal és az új fenyegetések felismerésével foglalkozó CloudSEK szakértői hamarosan arra a véleményre jutottak, hogy az incidens még valamikor januárban történhetett és a kiszivárgott adatok az Oracle felhőszolgáltatásából, az Oracle Cloudból származnak.

Az eset nem mindennapos, hiszen az Oracle Cloud széles körben használt felhőszolgáltatás, így az érintettek köre nagyon nagy lehet. Ehhez képest meglepetést okozott, hogy az Oracle illetékesei első körben tagadták a hackertámadás és az adatszivárgás tényét.

Ezzel szemben a hacker azt állítottaja, hogy – valószínűleg a beléptetést kezelő Oracle Weblogic Server eddig ismeretlen sérülékenységét kihasználva – sikerült bejutni a rendszerbe és többek között SSO és LDAP jelszavakat is megszereznie. A szivárgás mértékét mutatja, hogy a hacker több, mint 140.000 érintett céggel vette fel a kapcsolatot, hogy tőlük “váltságdíjat” követeljen.

A hacker által közreadott “mintaadatok” alapján egyes szakértők 2023-as belépési adatokat véltek azonosítani, de a hacker állítottaja, hogy az áruba bocsátott rekordok között egészen friss, 2025-ösök is akadnak.

Érintettek 90 országban

Biztonsági szakértők szerint több, mint 90 országban lehetnek áldozatai az adatszivárgásnak. A legnagyobb arányban az Egyesült Királyság, az USA, Olaszország, Németország és Franciaország egyes cégei, szervezetei lehetnek érintettek, de szóba jöhetnek még kisebb országok cégei is.

A HWSW cikke szerint az érintett domainnevek listáján szerepel a MOL, a 4iG, az OTP, a Budapest Bank, a MÁV Informatika, az MTVA, az Index, az Opten, vagy akár a Digitális Állampolgárság appot fejlesztő Idomsoft is. A felsorolt cégeknél belső vizsgálat folyik, az OTP és a 4iG már napokkal ezelőtt jelezte, hogy náluk nem történt adatvesztés.

Az időközben nyilvánosságra került adatok (és a hackerrel folytatott levelezés) alapján kiderült, hogy időközben kibertámadás érte az Oracle Healthcare egészségügyi rendszert is. (Az is kiszivárgott, hogy az Oracle illetékesei már fel is vették a kapcsolatot az érintettekkel.)

Egy hackertámadás tanulságai

A Panor Informatikai nem érintett az adatszivárgásban, ezért objektív külső szemlélőként figyeli az eseményeket.

Kalmár István, IT architect CISO az alábbi tanulságokat emelte ki:

“A nagy cégeket ért támadások nemcsak őket, hanem a felhasználóikat is veszélyeztetik.”

Kalmár István

IT Architect, CISO

Globális rendszer- globális fenyegetések

Miközben egyre jobban támaszkodunk a globális rendszerekre, tudomásul kell vennünk, hogy még a világ vezető cégeinek rendszerei is sérülékenyek. Az őket ért támadások a felhasználókat is veszélyeztetik.

A komplexitás veszélyei

A legnagyobb rendszerek ma már olyan összetettek, hogy hagyományos módszerekkel átláthatatlanok. Az esetleges kibertámadások, adatszivárgások sokszor csak késve érzékelhetők. Az ilyen komplex rendszerek komplex kibervédelmet követelnek, ennek azonban ára van, amit a felhasználók nem szívesen fizetnek meg.

A felhőben levő rendszereket is védeni kell.

A felhős rendszerek védelme nem terjed ki a felhőben futtatott rendszerek védelmére. Ha a felhőszolgáltatás belépési rendszereit támadás éri is, a felhőben futó rendszerek nem válhatnak védtelenné.

A transzparencia, a saját érdekeke felett

A hackertámadás, vagy az adatvesztés elismerése árthat a cég szakmai presztízsének, akár komoly anyagi károkat is okozhat. Ugyanakkor a kiberbiztonsági incidensek elhallgatása, tagadása megnehezíti a hackerek megtalálását, az esetleges sérülékenységek feltárását, a hibák kijavítását. Mindez óriási károkat okozhat más cégeknek, szervezeteknek. Csak az összefogás és a transzparencia segítheti a gyors hibaelhárítást és a károk enyhítését.

Így készülj fel a NIS2 auditra!

NIS2. Vajon ki az az informatikai vezető, aki ne ismerné ezt a rövidítést?

Röviden: A NIS2 egy irányelv, aminek célja az EU kibervédelmi képességeinek megerősítése a folyamatosan növekvő kiberfenyegetésekkel szemben.

A NIS2 nálunk nagyjából 4000 céget érint közvetlenül. Ha nem teljesítik a NIS2 követelményeit, amit egy NIS2 audittal ellenőriznek, akkor a cég és annak vezetője is nagyon súlyos bírságra számíthat.

A jelek szerint azonban sok érintett szakember és cégvezető úgy volt ezzel, mint a laikus közönség a Födhöz közeli aszteroidákkal: “Még sok idő, mire ideér, talán addig eltérül, vagy a légkörbe lépve elég.”

Nos, a NIS2 esetében nem így történt. Az egész valóban messziről indult, a teljes nevén (amit senki sem használ) Network and Information Systems Directive 2 irányelvet az EU 2021. december 27-én hirdette ki és 2023. január 16-án lépett hatályba.

Hogy akkor miért mostanában riogatják ezzel az érintett cégeket? Az EU tagországai némi haladékot kaptak arra, hogy a NIS2 irányelveit saját jogrendjükbe ültessék át, de a legtöbben nem tartották be az előírt határidőt. Magyarország végül 2024. december 17-én fogadta el azt az új törvényt, ami 2025. január 1-jén lépett hatályba.

Felkészülés a NIS2 auditra.

Szerencsére nem kell tartani attól, hogy a kiberbiztonsági felügyeletet ellátó Nemzetbiztonsági Szakszolgálat és a Szabályozott Tevékenységek Felügyeleti Hatósága (SZTFH) emberei napokon belül kopogtatnak a céged ajtaján. Először is, az elfogadott törvény nem vonatkozik mindenkire. Elsősorban az 50 főnél nagyobb, vagy 10 millió eurót meghaladó cégek, illetve a fontos szolgáltatók – a Postától a  hulladékfeldolgozókig – esnek a NIS2 hatálya alá. (Ha még mindig nem vagy biztos benne, hogy a céged érintett-e a témában, érdemes tanulmányoznod ezt az infografikát. 

A NIS2 alá eső cégeknek december 31-ig maradt ideje, hogy teljesítsék  az előírt követelményeket, vagy pótolják a feltárt hiányosságokat.

“A NIS2 audit már egy folyamat vége. Erre már sokkal korábban el kell kezdeni a felkészülést.”

Kalmár István

IT Architect, CISO

Felkészülés a NIS2 auditra

Bár egyesek azt gondolják, hogy a NIS2 csupán “papírok kitöltögetéséről szól”, egyáltalán nem így van. A NIS2 megfelelőség alapja a jól megtervezett, kitűnően működő kiberbiztonsági rendszer. Ezt követheti a kiberbiztonsági hiányosságokat feltáró GAP analízis, az adathalász-, illetve kibertámadás-szimulációk.

Hazánkban nagyjából 500 szakember rendelkezik IT-biztonsági auditor képzettséggel, de csak egy részük felel meg a NIS2 követelményeinek. A céged tehát csak az SZTFH honlapján szereplő auditorok közül választhat.

Út az auditálás felé

Ahhoz, hogy a céged sikeresen vághasson bele a NIS2 auditba, alaposan fel kell készülni. Ennek fontos része a megfelelő eszközök és szoftverek beszerzése, beüzemelése, de legalább ilyen fontos az informatikus kollégák és a cég vezetőinek folyamatos kiberbiztonsági képzése. 

A Panor tanácsadással és előzetes audittal ebben is segíti a cégedet. Így még idejében felfedhetők az esetleges problémák és a “hivatalos” audit előtt orvosolhatók azok.

A 2025-i NIS2 audit mindenki számára különleges lesz, hiszen idehaza először kerül erre sor. Kérj szakértői tanácsadást, tedd fel kérdéseidet, vedd fel kollégánkkal a kapcsolatot még ma!

Gyakran Ismételt Kérdések – NIS2 audit

Milyen cégekre vonatkozik a NIS2 irányelv?

A NIS2 elsősorban az 50 főnél nagyobb, vagy 10 millió eurót meghaladó árbevételű cégekre, valamint a létfontosságú szolgáltatásokat nyújtó szervezetekre vonatkozik.

Mikor kell teljesíteni a NIS2 követelményeit?

A cégeknek 2025. december 31-ig van idejük teljesíteni a NIS2 előírásait és pótolni az esetleges hiányosságokat, hogy elkerüljék a bírságokat.

Mit tartalmaz egy NIS2 audit?

Az audit során ellenőrzik a cég kiberbiztonsági rendszereit, az alkalmazott védelmi intézkedéseket, valamint az esetleges sebezhetőségeket egy GAP analízis és szimulációk segítségével.

Ki végezheti el a NIS2 auditot?

Csak az SZTFH által jóváhagyott, hivatalosan regisztrált auditorok végezhetik el a NIS2 auditot. A megfelelő szakember kiválasztása kulcsfontosságú a sikeres megfelelés érdekében.

Megéri az IT biztonságba fektetni?

Szakértői becslések szerint 2025-ben világszerte 10,5 milliárd dollár kárt okoznak majd a kiberbűnözők. 2023 első negyedéve és 2024 hasonló negyedéve között csaknem megduplázódott a zsarolóvírus-támadások száma. Miközben 2001-ben óránként még csak 6 ember esett a kiberbűnözés áldozatául, 2021-ben ez a szám már 97 volt.

A riasztó adatok még hosszan sorolhatók, de a lényeg egyszerűen megfogalmazható: a kiberbűnözés dinamikusan fejlődő “iparág”, aminek a növekedése a következő években is gyorsulni fog.

Senki sincs biztonságban

Míg korábban leginkább a nagy és fizetőképes cégekre irányult a hackerek figyelme, ma már szinte válogatás nélkül érik a kicsiket és nagyokat is a támadások. A Statista adatai szerint a leginkább veszélyeztetettek a gyártó cégek, de dobogósok a pénzügyi cégek és az egészségügy is. 

A “hőskorral” szemben jellemzően már nem a behatolás ténye, a szakmai bravúr, hanem a pénz a fő motiváló tényező. (Ezért is a zsarolóvírus ma a kiberbűnözők kedvenc eszköze.)

A kár mértéke

Egy kibertámadás okozta kár több tételből adódik össze:

  • az ellopott, elérhetetlenné tett, megsérült információk értéke,
  • a rendszerek sérülése miatt kiesett munkaidő,
  • a helyreállításhoz szükséges idő (átlagosan 35-50 nap),
  • reputációs veszteség.

A cégek többsége nem veri nagydobra, ha feltörik rendszereiket. Félnek tőle – joggal – hogy ezzel romlana a megítélésük. Így viszont nehezen jutunk pontos adatokhoz.

Hogyan térül meg az IT biztonságba fektetett pénz?

Sokan hajlamosak a biztosításhoz hasonlítani az IT biztonságot: ha nem történik semmi baj, “felesleges” volt a költés. Miközben azonban egy baleset, egy tűzkár vagy egy betörés valószínűsége viszonylag alacsony, az erősen automatizált, AI eszközöket is használó kiberbűnözők folyamatosan, aktívan keresik a gyenge, támadható pontokat. A nem védekezés leginkább az orosz ruletthez hasonlítható. Van, aki megússza, de van, aki nem.

Az IT biztonsági költések megtérülése

A biztonságnak ára van. A pénzügyi vezető vagy a CEO pontosan tudja, mennyibe kerül ez a biztonság, de tudni akarja azt is, mekkora ennek az IT biztonságba fektetett pénznek a megtérülése.

Kalmár István
IT architect, CISO

“Amíg nem következik be a baj, nehéz megmondani, mekkora lenne egy IT-biztonsági esemény okozta kár. A saját tapasztalat helyett itt  is érdemes más kárából tanulni.”

Az IT-biztonságra fordított pénz akkor tekinthető megtérülő befektetések (ROI), ha a biztonsági résekből eredő potenciális pénzügyi veszteségek csökkenését eredményezi. Ezt kifejezetten a biztonsági beruházások megtérülése (ROSI) segítségével mérik.

A ROSI kiszámításához a szervezeteknek fel kell mérniük a biztonsági intézkedések bevezetésének költségeihez képest az elkerült biztonsági jogsértések költségeit. Ehhez meg kell becsülni az egyes kiberbiztonsági fenyegetések éves várható veszteségét (Annual Loss Expectancy, ALE), amely az adott fenyegetésből származó, évente várható pénzügyi veszteséget jelenti.

Ha például egy vállalat olyan kiberbiztonsági intézkedésekbe fektet be, amelyek megakadályozzák a biztonsági résből eredő potenciális 100 millió forintos veszteséget, és ezen intézkedések költsége 10 000 forint, akkor a befektetés jó megtérülésnek tekinthető.

A ROSI kiszámítása azonban kihívást jelenthet, hiszen nehéz megjósolni a biztonsági incidensek éves előfordulási arányát, valamint a biztonsági intézkedések különböző iparágakban és régiókban eltérő hatékonyságát.

A szervezeteknek a pénzügyi mérőszámokon túl a biztonsági beruházások szélesebb körű előnyeit is figyelembe kell venniük, mint például a jobb megfelelés, a csökkentett állásidő és a jó hírnév.

Összefoglalás

Alacsony belépési küszöb, mérsékelt rizikó. Kitűnő jövedelmezőség. Ezekkel a jellemzőkkel könnyű megérteni, hogy a kiberbűnözés egyre terjed. Az egyre nagyobb kitettség miatt a védekezés elkerülhetetlen. Az IT-biztonsági költések a legjobb megtérülési befektetések közé tartoznak.

Gyakran ismételt kérdések

Miért válik egyre sürgetőbbé az IT biztonságba történő befektetés a mai üzleti környezetben?

A kiberbűnözés dinamikusan növekszik, a támadások száma és az általuk okozott károk pedig napról napra nőnek. Ezért hatékony a  védelem a súlyos anyagi veszteségek elkerülése érdekében elengedhetetlen.

Hogyan mérhető a kiberbiztonsági beruházások megtérülése, és mi az a ROSI?

A megtérülést az elkerült veszteségek és a biztonsági intézkedések költségeinek arányával számolják, amit a ROSI (Return on Security Investment) képlettel – (Előnyök – Költségek) / Költségek x 100% – mérnek.

Milyen anyagi károkat okozhat egy kibertámadás, és milyen tényezők befolyásolják ezek mértékét?

A károk az ellopott vagy megsérült információk értékéből, a kiesett munkaidőből, a helyreállításra fordított időből (35-50 nap) és a reputációs veszteségből adódnak. Ezek mértékét a támadás típusa és a meglévő védekezési intézkedések hatékonysága befolyásolja.

Miért nem csak a nagyvállalatok, hanem a kisebb cégek is egyre inkább célpontjai a kiberbűnözők támadásainak?

A modern, automatizált és AI eszközöket használó támadók nem válogatnak méret szerint, így a kisebb cégek – gyakran gyengébb védelemmel – könnyebb célpontokká válnak.

Milyen egyéb előnyökkel jár az IT biztonságba való befektetés a pénzügyi megtakarításokon túl (például a jó hírnév és a csökkentett leállási idő)?

Az IT biztonsági beruházások javítják a vállalat hírnevét, növelik a megfelelőséget, csökkentik a leállási időből eredő kiesést, és hozzájárulnak az üzleti folytonosság fenntartásához.