Ahogy a korábbi cikkünkben is írtuk, az első határidő lejár 2024 június 30. napjával. Valószínűleg lesz némi türelmi idő, mert a törvényi szabályozás is 2024 . június 24. landolt csak a Magyar Közlönyben. Egy rövid magyarázat újra, hogy mi is az a NIS2 direktíva és kikre vonatkozik: “Uniós szintű kiberbiztonsági irányelv, melynek célja, hogy az EU tagállamai egységes, magas szintű érettséget érjenek el a kiberbiztonsági ellenállóképesség fejlesztése érdekében állami és magán tulajdonban lévő vállalatoknál.” 

Kikre vonatkozik?!

Érintett területek

Mivel az irányelvet közvetlenül nem lehetett minden tagállamra alkalmazni, létrejött a Kibertant tv. ami az iparágak szerint két kategóriát különböztet meg:

• A kiemelten kritikus kategóriába tartoznak az energia, szállítás, egészségügy, ivóvíz, szennyvíz, digitális infrastruktúra, IKT-szolgáltatások irányítása (vállalkozások között), közigazgatás, illetve űripari ágazatokban működő szolgáltatók és vállalatok.
• A törvény az egyéb kritikus ágazatok kategóriába sorolja a postai és futárszolgáltatásokat, hulladékgazdálkodást, vegyszerek gyártását, előállítását és forgalmazását, élelmiszer-termelését, -feldolgozását és -forgalmazását, gyártást, a digitális szolgáltatókat, valamint a kutatást.

Az érintetteknek 2024. június 30-ig nyilvántartásba szükséges vetetniük magukat az SZTFH-ban, amit cégkapun keresztül is egyszerűen megtehetnek. A következő mérföldkő 2024. október 18-a, ameddig az érintett szervezeteknek be kell vezetni a védelmi intézkedéseket. Emellett legkésőbb december 31-ig auditori szerződést kell kötnie egy független külső auditorral.

Itt csinálhatsz egy önellenőrzést, hogy érint-e?! Nyomtasd ki magadnak az eredményt, hátha később kell.

Mivel jár ez?

• Nagyon sok pénzzel!
• A regisztráció elmulasztása is hatósági szankciókkal járhat, amely a regisztrációs díj sokszorosa is lehet
• A szervezeteknek szükséges kijelölniük információbiztonsági felelőst, illetve biztonsági osztályba kell sorolniuk a rendszereiket
• Kiemelt szervezetnél 10 millió EURO is lehet a bírság

A helyzet legnagyobb felelőse az állam

Elsősorban az oktatási rendszer maga a probléma! A fejlődni képtelen, a Microsoft amerikai vállalatnak teljesen kiszolgáltatott egysíkú oktatási rendszer, a bármi mást használni, és önálló gondolkodásra képtelen felhasználók eredménye! Nem utolsó sorban, évtizedeken át nem csak hogy eltűrte az illegális szoftverfelhasználást, hanem sokszor bele is kényszeríti az embereket, vállalatokat azok használatába!

Ha az oktatás megfelelő hangsúlyt fektetett volna az informatikai biztonságra, etikára, és törvényi eszközökkel szankcionálná, ellenőrizné az illegális szoftverek használatát, előtérbe helyezni a nyílt forráskodú alternatívák használatát, nem lenne ennyire katasztrófális ma a kiberbiztonsági helyzet. Mi több mint 20 éve kántáljuk ezt!

NIS2 paradoxonok

1. Például a gyártás területén 50 fő alatt nem kell alkalmazni a NIS2-t. Ez az egész azért is kirakat és nevetséges, mert egyetlen cég, vagy személy is pont akkora – vagy nagyobb – a kárt tud okozni, mint egy 50 (vagy nagyobb) fős vállalat! Megint egy logikai bukfenc valamiben amit esztelenül erőltetnek rá az emberekre. Hol van a fokozatosság, ésszerűség, gyakorlat elve?!
2. Az auditorjelöltek még dolgoznak valószínűleg azon, hogy milyen megfelelési szempontokat állítsanak fel, de valójában csak látszatkövetelményeket hozhatnak, hiszen maga a Microsoft Windows a jelenleg ismert nagyjából 1.000.000.000 vírusfenyegetettséggel teljességgel alkalmatlan arra, hogy ezeken egy NIS2 biztonsági auditot felelősségteljesen el lehessen végezni. Illetve ezt csak úgy lehetne megtenni, ha ezeket a rendszereket elizolálják, vagy több lépcsős EDR/IDS rendszerrel védik. Aminek a felállítása, költsége és üzemeltetése egy kisebb cég számára költséghatékonyan kivitelezhetetlen, és biztosan végzetes lesz.
3. További probléma az illegális szoftverek jelenléte a teljes magyar informatikai világban. Ideértve az otthoni számítógépeket, magántulajdonban levő lapotopokat, tableteket és mobileszközöket is! Az auditor a céges infrastruktúrát, szabályokat tudja auditálni, és jön Józsi a lopott Windozzal, Photoshop-al, “fellövi magát” a hálózatra egy kis csetre, a vírus pedig kompromittálja a hálózati gépeket. Persze ez egy leegyszerűsített képlet, de amikor ez megtörténik, a szerencsétlen “kijelölt felelős” megy a bíróságra, holott tehetetlen a főnökével, Józsival szemben, aki viszont a bírósági lejárás mellé még tetemes bírságot is fizetni fog.
4. A cégeknél kötelező kijelölni egy “felelőst”, ami azért is abszurd, mert ha ez a felelős nem egy hacker múltú személy, akkor teljesen alkalmatlan lesz arra, hogy felügyelje az infrastruktúrát.  Így előfordulhat az, hogy akár felsőfokú végzettséggel is, komoly bajba kerülhet az aki felelősséget vállal egy ilyen rendszerért. Az elmúlt években számos IT mérnökkel, kiberbiztonsági szakemberrel dolgoztunk együtt, akiknek többször egy alapvető rootkit-es támadás felismerése és értelmezése is, problémát okozott már szervernapló szinten is. Amennyiben a szerver pedig nem Microsoft termék volt, a több diplomás végzettség arcpirító helyzeteket tudott okozni. Persze a rendelet megint csak a végzettséget írja elő, a hozzáértést nem!

Költői kérdés: Audit egy olyan infrastruktúrán ahol JAVA alkalmazások (például a sok milliárdból fejlesztett magyar ÁNYK) fut? Hát ez aztán a kiberiztonsági kihívás!

NIS2 várható következményei

Amiről nem szól a fáma, soha senki nem beszél, mert amit nem mondunk ki az biztos nincs… El kell, hogy keserítsek mindenkit, van néhány látens veszély, mégpedig az egyik az, hogy bármilyen kiberbiztonsági eszköz, kizárólag azután hatékony csak, hogy a kiberbiztonsági problémát, sérülékenységet, vírust már ismerik! Tehát, már pár millió gépet megfertőzött és szedte az áldozatait. Amennyiben egy új vírus készül, ami már saját maga képes létrehozni mondjuk egy VPN tunnelt, vagy ez a vírus hibridként úgy funkcionál mint egy rootkit, semmi sem állítja meg, hogy az elvégezze a küldetését. Tehát új kártevők fognak születni, új technológiákat fognak alkalmazni, sokkal nagyobb figyelmet kapnak az EFI és BIOS sérülékenységek, és a Rootkit típusú támadások.

Költséghatékonyság

Az egyik lehetőség a vállalatoknak, hogy a infrastruktúráikat diverzifikálják, olyan költséghatékony megoldásokkal mint a blackPanther OS is. A gyakorlatban ez úgy néz ki, hogy azokat a számítógépeket amin nincs semmilyen célszoftver (például egy gyártósor, tervezőprogram stb. által megkövetelt szoftver), azokat a rendszereket egyszerűen lecserélik.

A diverzifikáció által azonnal:

• mentesülnek a Microsoft rendszereket támadó összes vírustól és fenyegetettségüktől
• megszabadulnak minden egyéb költségtől ami a Microsoft rendszerek biztonságának növeléséhez kell
• megszabadulnak a Microsoft rendszerek licencének díjától
• legalizálják a szoftvereiket
• esélyt kapnak arra, hogy a megtámadott infrastruktúra működőképes és biztonságos maradjon akkor is, ah az összes Windows érintett lenne
• sokkal kevesebb erőforrással, kevesebb költséggel tartható fenn a NIS2 megfelelés

A blackPanther OS tartalmazza:

• Végponti IDS (behatolásjelző és kezelő) technológiát
• Végponti személyes tűzfalat
• Teljesen testre szabható, akár KIOSK szintű hozzáférési korlátozást
• Több víruskereső technológiát amivel akár más számítógépeket is át lehet vizsgálni
• Felhasználható EDR szolgáltatóként is a hálózatban működő számítógépek felügyeletére
• Közvetlen magyar támogatást (opcionális)

Remélem sikerül más megvilágításba helyezni ezt az elmebajt, ami hideg zuhany lesz sok érintettnek.

Kapcsolódó cikkünk

• Ingyenes kiberbiztonsági vizsgálat NIS2 megfeleléshez is

Besorolva mint 2023. évi XXIII. törvény, Kibertan, kibertan tv., NIS 2, NIS2