Előzmények
Az MKIK 2015-ben indította el a KKV-k általános digitális felzárkóztatását segítő kamarai tanácsadói projektet, a Modern Vállalkozások Programját. Az MVP projekt célja, hogy a vállalkozások számára megmutassuk az informatikában rejlő lehetőségeket és feloldjuk a digitalizációval szembeni fenntartásokat félelmeket. Működésének hét éve alatt a projekt több mint 25 000 vállalkozást vont be, 16 000 helyszíni üzleti informatikai audit alapján készített fejlesztési koncepciót adott át a vállalkozásoknak, amelyeknek IT biztonsággal kapcsolatos elemei is voltak. A tapasztalatok azt mutatták, hogy a kiberbiztonsági téma iránt van vállalkozói érdeklődés, aminek jele többek között az volt, hogy a Program rendezvényein a kiberbiztonság a legnépszerűbb tématerület volt. Az MVP során világossá vált, hogy a vállalkozások szívesen vennének igénybe egy dedikált projekt keretében ezzel kapcsolatos célzott tájékoztatást és segítő szolgáltatásokat. Első lépésként az uniós pályázati rendszerben is akkreditált szállítói és minősített termékkatalógus jött létre, a digitális üzleti és kibervédelmi megoldások egyfajta virtuális piactereként. Mindez nem pusztán a kiválasztást és beszerzést, de a pályázatokon való indulást, a piaci ár igazolását is jelentősen megkönnyítette. A katalógusban jelenleg is több mint 1300 szállító és 3 ezer feletti termék található.
A KKV-k körében még él az az általános vélekedés, hogy csak a nagyvállalatok lehetnek a támadások célpontjai. Ez már tényszerűen nem igaz. 2024-ben a zsarolóvírus támadások 71% -a kisvállalkozásokat célzott meg. Egy ilyen támadás során több tízmillió forintos kár is keletkezhet, nem beszélve a negatív reputációs hatásról.
A fenyegetés napról napra nő, a kibervédelmi ismeretek hiánya miatt a vállalatok egyre kiszolgáltatottabbá válnak. Ez a probléma különösen a kis- és középvállalkozásokat érinti. Az ESET kiberbiztonsági cég kutatói 2024-ben több mint 700, különböző iparágakban tevékeny KKV körében azt mérték fel, képesek-e felismerni a legújabb kiberfenyegetéseket, és tudnak-e reagálni rájuk. Az derült ki, hogy míg bizonyos ágazatokban a KKV-k nagyobb önbizalommal rendelkeznek, és másoktól eltérő megközelítéseket alkalmaznak a kiberbiztonság terén, gyakran ezek a vállalkozások teljes mértékben maguk kezelik az IT-védelmet, ami hamis biztonságérzetet adhat. Az ESET kiberbiztonsági szakértői szerint akkor is érdemes rendszeresen harmadik fél által végzett ellenőrzéseket végrehajtani, biztonsági irányelveket létrehozni és rendszeresen frissíteni azokat, ha a feladatok házon belül maradnak. Az adatok szerint az egyes szektorokban működő KKV-k negyede nem, vagy alig bízik a vállalaton belüli saját kiberbiztonsági ismereteikben.
Az MNB adatai alapján a 2024 júniusát megelőző egy évben közel 44,5 milliárd forinttal rövidítették meg a lakossági és a vállalati ügyfeleket a bűnözők bankkártyacsalások, illetve a bankszámla hozzáférések útján.
A Sophos felmérése szerint 2023-ban minden ötödik magyar vállalatnál történt zsarolóvírus általi támadási kísérlet, amelyeknek csak mintegy 40 százalékát tudták elhárítani az érintettek, a többi esetben történt károkozás: valamilyen szinten hozzáfértek a támadók az adatokhoz, illetve sok esetben titkosították is azokat.
A Magyar Bankszövetség tájékoztatása szerint 2023-ról 2024-re megháromszorozódott a vállalatok elleni kibercsalások száma, ez a tendencia idén sem mutat csökkenést. Sajnos ezek a számok nagy valószínűséggel a kárértékekben is meg fognak mutatkozni.
A Kiberbiutonsági szolgáltatásokat a Kamara térítésmentesen biztosítja.
A kiberbiztonsági projekt elemei
SecureBot automata sérülékenységvizsgáló rendszer
A SecureBot egy központi és díjmentes sérülékenység vizsgálati eszköz, amely távolról képes vizsgálni a cégek publikus hálózatán található biztonsági kockázatokat és ad azonnali javaslatot a védekezésre.
A vizsgálatok párhuzamosan tudnak futni, a rendszer képes a tömeges automata vizsgálatra. A tömeges IT-biztonsági vizsgálatok végrehajtásának több folyamatszintű és technikai feltétele van, amelyek elérését és a kapcsolódó funkciókat a rendszer biztosítja. Ennek keretében a rendszer az alábbi funkciókkal rendelkezik:
- regisztráció
- technikai paraméterek kezelése
- jogi nyilatkozatok, engedélyek, tájékoztatók kezelése
- automata sérülékenységvizsgálat lefolytatása
- eredménytermékek előállítása
- vizsgálatok utókövetése
- műszaki sérülékenységek kezelésének nyomon követése
- szükséges ügyféladatok kérdőíven való bekérése
A vizsgálati eredmények jelentés formájában kerülnek elküldésre a kezdeményező fél felé.
NIS szakértői támogatás
A szolgáltatás keretében a Kamara a KKV szektor érintettjei számára a NIS2-auditra való felkészítést, jogi/auditori szakértői támogatás nyújt. Az MKIK és az SZTFH együttműködésével megvalósuló projekt a hazai vállalkozásokat segíti a NIS2 irányelv és a hazai Kiberbiztonsági törvény követelményeire történő hatékony és eredményes felkészülésben.
A szolgáltatás az alábbi elemekből áll:
- egyéni jogértelmezési konzultáció
- személyes workshopok
- online workshopok
A személyes workshopok 3 budapesti és 7 nem budapesti eseményből állnak. Az online workshopok 10 alkalmat foglalnak magukban. Az egyéni jogértelmezési konzultációban a Kiberbiztonsági törvény által érintett, vagy a törvény iránt érdeklődő bármely vállalkozás részt vehet. Mind a három szolgáltatási elem esetében előfordulhatnak nehezen tisztázható, komplex jogesetek. Ha az adott kérdés a konzultáció vagy a workshopok keretében nem válaszolható meg egyértelműen, akkor a Kamara által megbízott szakértők az SZTFH-hoz fordulnak, és a Hatósággal történő együttműködés keretében a Hatóság megválaszolja a kérdést. A SZTFH válaszai irányadó jogi állásfoglalásnak minősülnek.
A szolgáltatás elindításának hátterében az áll, hogy a digitális átállás gyors üteme és a kiberfenyegetések egyre növekvő kockázatai miatt az Európai Unió új szabályozásokat vezetett be a kiberbiztonság terén. A NIS2 irányelv és a tagállami Kiberbiztonsági törvény követelményei jelentős kihívások elé állítják a hazai vállalkozásokat. A NIS2 megfelelés tekintetében a szabályozási és piaci környezet, illetve sajátosságok és mechanizmusok az EU általános adatvédelmi rendeletének előkészítési bevezetési időszakához hasonlatosak; jelentős szakember és információhiány, jogértelmezési nehézségek, megválaszolatlan szakmai kérdések, a kezdeti, hiányzó szakmai és hatósági gyakorlat.
Egy magas szakmai színvonalú és a hatóság álláspontját is tükröző iránymutatások, jógyakorlatok, ajánlások, állásfoglalások nagy segítséget jelentenek a szakma egésze számára, valamint ezeket a felkészítő szervezetek és az auditorok is fel tudják használni vitás kérdésekben. A szolgáltatás ezért az SZTFH szakértői támogatása erősíti, elősegítve, hogy vitás jogértelmezési kérdésekben megalapozott szakvélemény születhessen, amely hasznos mind a vállalkozások, mind az auditorok számára.
Automata kiberbiztonsági riasztórendszer, ARR
Az automata kiberbiztonsági riasztó rendszer az MKIK Securebot keretrendszeréhez kapcsolódva külön modulként kerül megvalósításra. A szolgáltatás keretében a már ismert hibákról, sérülékenységekről a cégre szabott értesítés és tájékoztatás kerül kiküldésre minden érintett vállalkozásnak. A rendszer lényege, hogy a csatlakozott KKV-k számára „testreszabott” riasztásokat küld a releváns kiberbiztonsági kockázatokról, fenyegetésekről. A rendszer működése azon alapul, hogy az informatikai rendszerek világában természetes, hogy a nagy gyártók, fejlesztők és egyes kiberbiztonsági szervezetek publikus adatbázisokat, nyilvántartásokat vezetnek a rendszereket érintő sérülékenységekről, pontosan azzal a céllal, hogy az érintett felhasználók képesek legyenek felkészülni, védekezni. Ezeken a csatornákon naponta jelennek meg a sérülékenységek leírásai. Sajnos ezen adatbázisokat általában csak a komolyabb szakmai felkészültségű, enterprise üzemeltetéssel foglalkozó, valamint a kiberbiztonsági tanácsadással foglalkozó cégek ismerik és használják rendszeresen. A nem specialista cégek számára probléma, hogy több száz-ezer informatikai rendszerrel kapcsolatban jelennek meg ezek az információk, így viszonylag kevés az adott szervezet számára a valóban releváns és személyre szabott jelzés, ezek követése számukra nehézkes és időigényes. Az ügyfélre szabott riasztórendszer ezen a problémát orvosolja.
Minősített kiberbiztonsági szállítói adatbázis
A keretrendszer része egy akkreditált ágazati szállító és termékkatalógus. Ebben a regisztrált cégek olyan szállítók és termékek közül választhatnak, melyeik képesek biztosítani számukra az egyenszilárd információbiztonsági működést és a kockázatarányos védelmet.