NIS2 – Tapasztalatok első kézből

Írta: | | ,

Mi az a NIS2?

Alapvetően a cikk szakembereknek szól, szóval nagyon nem megyek bele. A NIS2 egy EU irányelv alapján készült IT biztonsági törvény ami TÖRVÉNY, nem szabvány, tehát az auditor bármit bekérhet, megnézhet, elkérhet, semmiben nem mondhatsz neki nemet, mindent meg kell mutatnod neki ami a cégben az IT biztonsághoz és a NIS2 kiberbiztonsági törvény alá tartozik.

Továbbá ha valami nem oké, akkor nem csak annyi van, hogy nem feleltél meg, hanem komoly, akár a cég éves árbevételének akár 5% -át is elérő büntetést vonhat maga után!

Innen indulunk.. és akkor most nézzük meg az előzményeket az én eseteimben 🙂

Kit auditáltunk?

Két cégben töltök be IBF pozíciót. A két cég teljesen más „pályán” mozog, az egyetlen hasonlóság, hogy mindkettő „ALAP” besorolásúnak számít a NIS2 -ben.

CÉG #1

Cég, 0 EIR-el?!?

Az egyik cég gyakorlatilag egy napelem park. Nincs benne dolgozó, nincs benne egyetlen IT eszköz, számítógép, hálózat, gyakorlatilag semmi. A NIS2 kötelezettség azért jelenik meg mégis, mert villamos energia termelő profilról van szó. Az eszközök és munkavállalók hiánya miatt viszont a jogszabály nagyon nagy része kizárásra kerül, mert nem értelmezhető a cégre.

Itt felmerül a kérdés, hogy egy ilyen cég esetében van-e értelme, létjogosultsága a NIS2 auditnak? Kértünk állásfoglalást a hatóságtól, de az audit időpontjáig az nem érkezett meg, így az audit megtörtént. Szerintem NINCS értelme ilyen cégre auditot végezni. Gyakorlatilag nincs mit auditálni. Ha helyszíni audit lett volna, akkor sétálgathattunk volna romantikusan a napelem táblák között kézenfogva az auditorokkal, de ennél sokkal többet nem tehettünk volna. Még leülni is csak akkor tudunk, ha viszünk ki magunkkal kempingszékeket.

Az alap működési és szabályozási dokumentumok közül az legjelentősebb téma, az az alvállalkozók kockázati elemzése és értékelés az a témakör, amivel érdemben foglalkozni lehet, de ez is kérdéses, hogy van-e értelme, mert egyetlen üzemeltető cég van, aki a karbantartást és az esetleges javításokat végzi, de semmilyen IT-hez kicsit is kapcsolódó feladatkort nem végez. Ezen kívül egy biztonsági céggel van alvállalkozói szerződés, akik a terület őrzés-védési feladatait látja el, de nálunk sincsen semmilyen IT vonatkozású feladatkör.

Az oktatások, tudatosítások szintén mind kiestek, mert nincs alkalmazott a cégben, csak egy ügyvezető tulajdonos.

Ennek ellenére az audithoz szükség volt

  • 24 db dokumentum elkészítésére!
  • Alvállalkozók kockázat elemzésére, értékelésére, szerződések felülvizsgálatára
  • IBF megbízására és lejelentésére
  • Illetve az IBF -nek és a tulajdonos-ügyvezetőnek az első évben kötelező 8 órás képzés elvégzésére

Ez utolsó tétel különösen érdekes, mert ez alól sehogyan sem lehet „kivételezetti” státuszt kapni, ugyanakkor nem nagyon látom, hogy egy EIR nélküli, alkalmazott nélküli cégben mi az az IT biztonsági képzés amire szükség van? Pláne úgy, hogy minden más IT biztonsági képzéssel kapcsolatos követelmény kizárásra került..

Audit eredmény

Az audit távaudit formában valósult meg, a dokumentumok ellenőrzésével, hiszen nem volt másra lehetőség, nem volt semmi, amit fizikailag meg lehetett volna nézni.

Az audit eredménye így kiemelkedően jó lett, 98% -os végső eredményt értünk el.

Ez jól hangzik, de lássuk be, hogy a kifizetett audit díj, a rengeteg beleölt munkaóra és az, hogy meg kell bízni egy külsős IBF -et, valamint az IBF -et és az ügyvezető tulajdonos is képzésre kötelezett, ezek hatalmas költségek. Pontos számokat adatvédelmi okokból nem adok meg, de bőven 5 millió forint feletti költséget vitt el összességében, és igazából nem nagyon van semmi hozzáadott értéke sem a cég, sem a hatóság szempontjából..

CÉG #2

Itt az EIR, hol az EIR?

A másik cégünk már egy sokkal komolyabb terület, itt tényleg van iroda, több telephely, külszolgálatos dolgozók, akik terepen végeznek munkát, laptopok, mobil eszközök, szerverek.. Viszont! Itt is van egy nagy csavar a történeteben..

Ugyanis ez a cég egy holding része. Maga a holding nem NIS2 kötelezett, de a leányvállalat a mérete és a tevékenységi köre miatt igen. Ugyanakkor a használt EIR -ek egyikét sem magának üzemelteti a cég, hanem mindent az anyavállalat biztosít számára. Emiatt úgy kezdtünk bele, hogy kértünk egy hivatalos állásfoglalást az SZTFH -tól, hogy mi a teendő ilyen esetben, hogyan kell eljárni.

Az állásfoglalás szerint ha egy anyavállalat NIS2 kötelezett, akkor a leányvállalatok is NIS2 kötelezettek. De a mi esetünkben mivel az anyavállalat nem NIS2 kötelezett, hanem csak a leányvállalat, így ez visszafelé nem jár semmilyen hatással. Ebben a felállásban az anyavállalat csak IT szolgáltatást nyújt a leánynak, ezért ugyan úgy kell kezelni és értékelni, mint egy külső alvállalkozót, aki szerződéssel biztosítja az IT rendszereket a cég számára.

Mivel ezek felett, az anyavállalat által biztosított rendszerek felett a cég nem rendelkezik rendelkezési joggal, ezért ezek NEM minősülnek EIR-nek.

Ugyanakkor mégis van EIR a cégben, mert a munkához használt munkaállomások, mobil eszközök és a központi irodaépületben az internetet és a hálózatot biztosító eszközök tulajdonjoga a cégé. Igaz, az üzemeltetést már nem ő végzi. A hálózati infrastruktúrát egy megbízott hálózat üzemeltető cég, a munkaállomásokat és mobil eszközöket az anyavállalat, a használt speciális ERP rendszert pedig szintén külsős cég üzemelteti, hiszen ez egy felhős megoldás, amihez sem szervert nem tartunk fenn, sem pedig teljes körű rendelkezési jogunk nincsen felette, csupán felhasználók vagyunk.

Így végül egyetlen egy EIR lett nevesítve, „Alap IT infrastruktúra” címen, és ez került 3 alrészre szétosztva:

  • Hálózati infrastruktúra
  • Munkaállomások
  • Mobil eszközök

Alapfelállás

Alapvetően itt négy fő alvállalkozó volt a képben akik működtetik a cég rendszereit

  • Hálózati üzemeltető cég
  • Munkaállomásokat, mobileszközöket, szervereket üzemeltető anyacég
  • ERP rendszert szolgáltató alvállalkozó
  • Régi, kivezetés alatt álló ERP rendszert üzemeltető alvállalkozó

Vannak munkavállalók, az eszközök az vállalat tulajdonában vannak ezért itt is vannak kizárások amik nem értelmezhetőek a cégre, de jóval kevesebb, így az audithoz 67 db szabályozási dokumentumot kellett elkészíteni, és összességében több mint 200 db evidenciát kellett leadni az audithoz.

A cég mérete és működése miatt itt már belsős munkavállaló végzi az IBF feladatkört. Egy olyan cég ahol több mint 100 munkavállaló dolgozik, ahol több mind 20 munkaállomás, és több mint 140 mobileszköz van napi használatban, ott szerintem az IBF munkakör nem oldható meg megfelelően külsős, megbízott IBF-el. Az oktatások, a dokumentumok felülvizsgálata, az incidensek állandó munkát jelentenek, és ehhez szükség van a jelenlétre. Ha tényleg lelkiismeretesen akarjuk ellátni ezt a feladatkört, akkor erre egy saját, belsős emberre van szükség, akinek ez természetesen nem viszi el minden munkaidejét, de a tapasztalatom szerint egy ilyen méretű cégben heti 3-5 órát mindig igényel. Amikor pedig a dokumentumok felülvizsgálata illetve a következő audit időpontja közeledik, akkor jó pár héten keresztül közel teljes munkaidős emberi erőforrásra van szükség a feladat ellátásárhoz.

Tehát adott a cég, 4 fontos alvállalkozóval, 1 EIR-el, belsős IBF-el. Nézzük, honnan indultunk, hova jutottunk, és mik voltak a legnagyobb emberi és technika kihívások a felkészülés és az audit során.

Kezdetek – Mi volt a legnehezebb az indulásban?

Alapvetően három tényező volt amit le kellett győzni:

  • Vezetőség ellenállása
  • Felhasználók ellenállása
  • IT -s kollégák ellenállása

Érdekes módon nálunk a legnehezebb a legutolsó volt 😀

Vezetőség

A vezetőséggel nem volt gond, hiszen törvény, hatalmas büntetés kilátásba helyezve és a csapból is az IT biztonság egyre fontosabb volta folyik jó ideje. Ehhez hozzá jött az is, hogy rengeteg spam és phishing email érkezett hozzánk eddig is, olyanok is, ami az ügyvezető nevében jött.. szóval volt nyomás, így szerencsére nem kellett azon küzdenünk, hogy a NIS2 fontosságáról meggyőzzük a vezetést.

Ami viszont már egy másik oldal volt, az a költségek.. erről majd később, külön témakörben fogok beszélni.

Felhasználók

Őket sem volt nagyon nehéz meggyőzni. Ugyanis onnantól kezdve, hogy a vezetőség beállt az ügy mögé, ők nem nagyon tudtak ellenkezni. Nyilván nem örültek a bonyolult jelszó-szabályoknak, a kétfaktoros hitelesítésnek, a rengeteg extra szabályzatnak, az oktatásoknak, a „clean desktop” elvárásnak, a zárt, csak belépőkártyára nyíló ajtóknak.. DE mivel a vezetőség egyértelműen kiállt amellett, hogy ezekre a változtatásokra szükség van és PONT, ezért a kollégák is el kellett, hogy fogadják.

Persze ettől még volt hőbörgés..

  • „minek kell ez?”
  • „miért kell így túlbonyolítani?”
  • „eddig is megvoltunk enélkül, akkor most miért kellenek ezek a változtatások?”
  • „persze erre van pénz..”
  • „miért kell minket direkt szivatni?”
  • stb. stb..

De ezek alapvetően az IT-s és a HR-es kollégák megfelelő kommunikációjával kezelhetőek voltak.

Igen, NAGYON FONTOS volt az egész folyamatba bevonni a HR-t is! Egyrészt, mert ők tartják elsődlegesen a kapcsolatot a kollégákkal, másrészt mert sok nyilatkozatot és szabályzatot alá kellett íratni a dolgozókkal, illetve nagyon sok változáson ment keresztül az dolgozók be és kiléptetési folyamata is, valamit a jogosultságok, hozzáférések beállítása, kezelése, ellenőrzése is.

A HR nagyon fontos pontja volt a NIS2 bevezetésének!

IT-s kollégák

Na ők voltak a legnehezebb falat..

Hiszen sok-sok olyan régi, „bevált” gyakorlatot követnek az IT-sok, amik lehet, hogy tökéletesen működnek sok éve, de bizony az IT biztonsági előírásoknak nem felelnek meg. Illetve a másik legnagyobb probléma mindig az, hogy a NIS2 -nek (de egyébként az ISO 27001-nek is) velejárója, hogy pontos és folyamatos adminisztrációt igényel gyakorlatilag minden IT-s területen. Nem elég ha szól a kolléga, hogy állíts be neki egy új jogosultságot, hanem ezt dokumentált módon kell megtennie, amit utána jóváhagy a felettese, és csak az az IT-s tudja ezt beállítani aki jogosult annak az adott rendszernek a jogosultság kezelésére. Ha pedig ez nem lenne elég, akkor legjobb esetben is évente egyszer végig kell nézni minden jogosultságot, hogy tényleg szükség van-e még rá, és ezt szintén dokumentálni kell, hogy megtörtént a hozzáférések felülvizsgálata.

És igen.. az IT-s kollégáknak soha nem a dokumentálás és az adminisztráció a legfontosabb és legszeretettebb tevékenysége..

Hogyan sikerült mégis elérni, hogy a megváltozott körülményekhez alkalmazkodjanak? Hát van akinél érvekkel van akinél pedig erőből. Van aki megérti, hogy erre szükség van, és ha nem is lelkesen, de csinálja, de persze mindig van olyan aki csak akkor csinálja ha kilátásba van helyezve, hogy retorzió lesz a vége, ha nem tartja be az új szabályokat.

Alapvetően azért az volt a tapasztalat, hogy 3-5 hónap alatt a legnehezebbnek tűnő változások is átmentek az IT-s kollégákon, és 5-6 hónappal a bevezetésük után már készség szinten működött mindent. Ez alatt a fél év alatt végül eljutottunk odáig, hogy nem is voltak hajlandóak a régi módon dolgozni a kollégák, felvették a multis életérzést, hogy „ticket nélkül meg sem mozdulunk” 😀

Akkor most mi is a legnehezebb, és mennyi idő kell a bevezetéshez?

Egy multi cégben a NIS2 (vagy az ISO 27001) bevezetése egyszerűbb feladat, mert ott az IT-s folyamatok és feladatok adminisztrációja nagyon régóta kötelező feladat. Mindenki ebbe szocializálódott, így ott nem kérdés, hogy így kell csinálni. „Ha nincs ticket nem csinálunk semmit!” – mantrázza sok informatikus a multis környezetben..

De a KKV környezetben ilyen nem nagyon van. Ott csak „Szólj a Pistinek, hogy állítsa be neked!” módon mennek a dolgok. Rengeteg KKV -s cég lett NIS2 kötelezett, olyanok akik eddig az IT biztonságról annyit tudtak, hogy kellene a gépekre vírusirtó, és jó lenne ha az legális is lenne.. most meg.. felfordult a teljes világuk..

Jelenleg kb. 3800 db cég van, akik most NIS2 kötelezettek, és meggyőződésem, hogy a NIS2 kötelezett cégek száma évről évre nőni fog.

Sajnos pontosan ezért meggyőződésem, hogy a legtöbb cég esetében önerőből, új ember vagy külső erőforrás bevonása nélkül nagyon nehéz, vagy akár lehetetlen is végigcsinálni a NIS2 bevezetést. Speciális tudást és hozzáállást igényel az hogy valaki végigvigyen egy KKV -n egy NIS2 bevezetést. Természetesen a vezetőség támogatásával, mert ha az nincs meg, akkor a legjobb szakember sem tud „csodát” tenni.

Ha pedig azt szeretnénk, hogy ne csak „papíron” legyen meg, hanem tényleg legyen értelme is, és tényleg segítsen megvédeni a céget a támadásoktól.. hmm.. hát ez egy teljesen más kategória! A „papíron” való bevezetés is legalább fél év, ha nulláról kezdjük, de ez csak ideális esetben, ha minden erőforrás és vezetői elkötelezettség rendelkezésre áll. De ha azt szeretnénk, hogy tényleg megfeleljünk az előírásoknak, védve legyünk, tudjuk mit kell tenni katasztrófahelyzet esetén és sem hacker támadás, sem szerver hdd meghibásodás, sem adatszivárgás esetén ne kerüljön kritikus helyzetbe a cég, akkor inkább 1-1,5 év az az idő, míg tényleg készség szintűvé válnak az IT folyamatok, és akkor is tudja mindenki, hogy mit kell tennie, ha a bevezetést végző ember szabadságon van és elérhetetlen..

Most akkor ez egy hülyeség vagy tényleg van értelme?

A mi esetünk tényleg annyira „tipikus KKV-s működés”, hogy tökéletesen be lehet mutatni rajta, hogy honnan indultunk el, és hol tartunk most. A végére pedig vond le TE a következtetést, hogy nekünk hasznos volt-e, hogy megjelent a NIS2, és kötelezettek lettünk 🙂

Kiindulási helyzet

  • Asztali számítógépek, laptopok, telefonok, tabletek, NAS, file szerver, alkalmazás server, adatbázis szerver, routerek, switchek, wifi, vpn
  • Mindenki „rendszergazda” a saját gépén, hiszen sűrűn kell új szoftver, így nem kell az IT-t zaklatni vele
  • Vírusírtó van minden gépen, legális, amikor már nagyon hisztizik akkor rányom a user a frissítésre, legalábbis a többség
  • Minden gépen olyan verziós Windows ami épp a géphez járt. Igen, egy-egy gépen home verzió is előfordul
  • VPN van, mindenkinek fix felhasználó névvel és jelszóval, az bele is mentve a progiba, hogy ne kelljen mindig beírni
  • A gépek jelszóval védve, olyannal amihez kedved van. Van akinek 4 karakter, parásabbaknak 8 karakter
  • E-mail? Van. Saját levelező szerver, linux alapon, ha megy megy, ha nem, akkor szólni kell a külsős IT-snek, ő pedig mókol valamit, hogy menjen, amikor épp ráér a többi cégnél betöltött feladata mellett.
  • Van vendég és rendes wifi, de igazából mindenki tudja mindkettőnek a kódját..
  • Microsoft Office csomag? van. előfizetéssel, hogy milyen? hát nem is tudom, az ami még olcsó, és benne van ami nagyon kell..
  • Biztonsági mentés a gépekről? van egy kis progi, ami néha csinál egy mentést a gépről a NAS-ra. De mindegy is, mert ott a fileserver, úgyis mindenki tudja, hogy oda kell dolgozni
  • Jogosultság kezelés? Semmi extra, ha kell valami, hívd fel az IT-s srácot, beállítja neked. Ha valaki elment a cégtől, akkor majd elvesszük a jogait. Ha nem felejtjük el, akkor párhéten belül.
  • Szerver biztonsági mentése: van benne raid.. szóval nagy gond nem lehet, de néha csinál mentést valahova az IT-s srác
  • Nyomtatók és fénymásolók vannak, címlistában mindenki benne, lehet szkenneli, nyomtatni, ha baj van, jön a szolgáltató és javítja a gépeket
  • IT biztonsági oktatás egyszer már volt, mikor Marika rossz helyre kattintott és ezért feltörték az email postafiókját.
  • Az IT-s kolléga néha, ha sok a munka, akkor elfeledkezik a kevésbé fontos feladatokról, ha nagyon fontos, akkor megírjuk neki email -ben, mert ha csak telefonon szólunk, akkor néha megfeledkezik róla.
  • Ha egy IT eszköz már nem kell, vagy elromlott akkor leselejtezzük. Egy darabig az IT szobában kallódik, aztán elvisszük a külsős telephelyre, mert ott több a hely. 1-2 évente ha már sok gyűlt fel, akkor elvitetjük egy erre szakosodott céggel.
  • Az épületben gyakorlatilag szabadon lehet jönni-menni. Belépőkártya ugyan van, de az ajtó mindig tárva nyitva, a vendégek csak simán felsétáltak és megkeresték akihez jöttek. Mi ilyen kis nyitott, családias, vendégszerető cég vagyunk, nem olyan nagy multi akik ebből olyan nagy ügyet csinálnak..

Úgy gondolom, hogy ez a fajta IT állapot nem kirívó a KKV szektorban. Sőt azt hiszem kijelenthetem, hogy ez az általános hozzáállás a témához. Azt kell, hogy mondjam, hogy alapvetően ezzel nem is szokott gond lenni, ettől még a cég és a tevékenysége tökéletesen működik. Van vírus felügyelet, van szerver, van mentés, védett a wifi, van VPN. Már így is jobbak vagyunk, mint a legtöbb cég az iparágunknak.. Nem nagyon szokott komoly gond lenni ebből. Azaz EDDIG NEM VOLT!

Hova jutottunk el?

  • Asztali számítógépek, laptopok, telefonok, tabletek, routerek, switchek, wifi, vpn vannak. Megszüntetésre került: NAS, file szerver, alkalmazás szerver, adatbázis szerver.
  • Az szervereket (alkalmazás és adatbázis) már nem mi üzemeltetjük, szolgáltatásként vesszük igénybe egy profi szerverparkból. 0-24 órás felügyelet, többirányú energia és internet ellátással, folyamatos georedundáns biztonsági mentéssel. Azon fut az ERP rendszerünk.
  • Active Directory bevezetve. Senkinek nincs „rendszergazda” joga a saját gépén, még az IT-s kollégáknak és vezetőknek sem! Szigorú policy van, hogy mit lehet és mit nem lehet csinálni a gépeken.
  • A Microsoft M365 Business Premium csomaggal együtt a Microsoft Defender és Intune csomag felügyeli a gépeket. Minden frissítés azonnal felkerül. Ütemezett ellenőrzések, központi log, azonnali automatikus riasztás az IT supportnak, ha valami gyanús tevékenységet észlelnek a szoftverek.
  • Minden gépen Microsoft Windows 11 van. Megjelenés után amint az IT tesztelte, automatikusan azonnal települő frissítésekkel. Amelyik számítógép nem volt Windows 11 kompatibilis, azt lecseréltük.
  • VPN van, AD authentikációval és kétfaktoros hitelesítéssel.
  • A gépek jelszóval védve az AD-n keresztül. Minimum 14 karakter kisbetű, nagybetű, szám, speciális karakter és 90 naponta meg kell változtatni (a 90 naponta való változtatás nem NIS2 előírás hanem egyéb okok miatt került beállításra). Hatalmas jelszó kizárási táblázattal.
  • Microsoft M365 levelezés. Felhős működés, folyamatos felügyelettel és vírusellenőrzéssel.
  • Van vendég és üzleti wifi. A belsős wifi AD authentikált, vendég wifi jelszava publikus, de arról semmilyen belsős rendszer nem érhető el, és maximum 4 órán keresztül enged egy huzamban fent lenni az eszközöknek.
  • Microsoft Office csomag van, M365 előfizetéssel, többféle csomagot is használunk, minden felhasználó a munkakörének megfelelő tartalmú csomagot kap. Ez rendszeresen (évente) felülvizsgálatra is kerül.
  • Biztonsági mentés az asztali számítógépekről és laptopokról nem készül! Mindenki a SharePoint -ot használja a munkájához. Ott van adatmentés, verzió kezelés, jogosultság kezelés, folyamatos IT support felügyelettel.
  • Jogosultság kezelés AD alapon történik munkakörökhöz szabott csoportokon keresztül. Ticketing rendszeren keresztül, felettesi jóváhagyással lehet jogosultságot igényelni. Távozó kolléga esetén azonnal elvételre és dokumentálásra kerül minden jogosultság, még mielőtt elhagyja az épületet az utolsó munkanapján.
  • Szerver biztonsági mentése: van benne raid, folyamatos HDD és kötet monitorozással. Ezen kívül meg van oldva a georedundáns biztonsági mentés egy másik telephelyre. A mentések folyamatosan monitorozva vannak, és az IT szabályzatban leírt módon visszaállítási tesztek kerülnek elvégzésre rendszeres időközönként. De ezt sem mi végezzük, hanem egy profi szerverfarm szolgáltatásként kapjuk.
  • Nyomtatók és fénymásolók helyett multifunkciós készülékek vannak. Mindegyik kártyaolvasóval van ellátva. Központi nyomatmenedzsment szoftver felügyeli a nyomtatást, másolást, szkennelést.
  • Kötelező IT biztonsági oktatást kap minden új dolgozó. A meglévő kollégáknak évente egyszer általános IT biztonsági oktatás van és annak megtörténik a visszamérése is online teszttel. Ha valaki rosszul teljesít, akkor annak pótoktatás és teszt. Emellett tematikus IT biztonsági oktatások és közlemények negyedévente.
  • Az IT feladatok ticketing rendszerben vannak nyilvántartva, ahonnan bármikor visszakereshetőek. Ezekből a ticketekből automatikusan frissülnek a statisztikai adatok és kimutatások is az IT feladatokról, az IT support tevékenységéről.
  • Ha bármilyen IT biztonsági esemény történik, akkor az a ticketing rendszerben van kezelve, és minden esetben megtörténik a helyzet elemzése, és a felkészülés, hogy legközelebb ilyen ne következhessen be!
  • Ha egy IT eszköz már nem kell, vagy elromlott akkor leselejtezzük. Ekkor az eszközben található adathordozó törlésre kerül egy speciális törlő szoftverrel, hogy semmilyen adat ne legyen róla visszaállítható. Erről jegyzőkönyv is készül. Ezt a törlést akkor is elvégezzük, ha egy eszköz az eddigi felhasználó helyett egy másikhoz kerül. Ha egy eszközt selejtezni kell, akkor arról az adattörlésin kívül selejtezési jegyzőkönyv is készül. Minden évben ütemezetten elszállításra kerül minden selejtezett eszköz egy erre specializálódott alvállalkozó által.
  • Természetesen készült egy szigorú porta és fizikai-biztonsági szabályzat is. Ezzel együtt a bejárati ajtó folyamatosan zárva van, csak kártyával lehet bejönni. Ha pedig vendég érkezik akkor ő vendég kártyát kap, a recepcióról felszólnak az emeletre, hogy vendég érkezett és szükség van egy fogadó félre, aki végig kísérgeti a vendéget amíg nálunk tartózkodik. Távozáskor szintén adminisztráció, kártya visszavét, és természetesen a teljes folyamat során figyelembe véve a GDPR szabályok az adatkezeléssel kapcsolatban.

Szerinted megérte?

Messziről indultunk, de nagy utat tettünk meg. Szerinted biztonságosabb lett az IT működésünk?

Szerintem ég és föld a helyzet a kiinduláshoz képest!

És hogy mennyi idő volt ezt mindet végigcsinálni? Hát mindennel együtt ez egy 1,5 éves időtartam volt. Persze ebben már a NIS2-höz szükséges IT biztonsági dokumentáció elkészítése is benne van.

Van még hova fejlődni, közel sem értük még el mindenben azt a szintet amit szeretnénk! Nem értünk a végére az összes fontos IT biztonsági módosításnak. Ezekről készült egy intézkedési terv, amiben jelenleg 18 tétel van amivel még foglalkozni kell. Mindegyikhez határidő és felelős van rendelve. Ebben a feladatok státuszát rendszeresen frissítjük, ahogy halad előre a megvalósítás, és a következő auditon ezekkel a feladatokkal el kel számolnunk, hogy hogyan áll a megvalósításuk.

Nem kell mindennek tökéletesnek lennie az auditra! De ami nincs rendben, azt nem szabad eltitkolni! Dokumentálni kell, intézkedési tervbe rakni, és dolgozni a megvalósításán!

Nem azért, mert az auditoroknak ez a heppje, hanem azért, mert nem szeretnénk benyelni mondjuk egy zsarolóvírust és elveszíteni az összes fontos információt ami a cég napi működéséhez szükséges.

Hogyan zajlott az audit?

Összesen 3.800 db céget kell auditálni az országban. Erre összesen fél éve van az auditor cégeknek, és összesen van 6 db auditor cég, aki auditot végezhet. Ez kb. naponta 21 auditot jelent, azaz auditor cégenként elvileg naponta 3,5 db auditot kellene megcsinálni. Ez óriási szám. Ezért a legalacsonyabb, „alap” besorolási szintre került cégeket a legtöbb auditor nem személyesen hanem távaudit formájában auditálja. Ezt azt jelenti, hogy adnak valamilyen felületet, ahová az elkészült dokumentációt és evidenciákat fel kell tölteni.

Ezeket utána az auditorok alaposan átnézik ezeket, hozzánézik az evidenciákat, és interjús formában kérdeznek. Ha pedig valami nagyon nem tiszta, és komoly aggályok merülnek fel, akkor személyesen kimennek a helyszínre.

Ha lezajlott az audit, akkor készül egy ideiglenes audit jelentés amit átad az auditor. Ezt át kell nézni, és ha elfogadjuk az eredményét, akkor jelezni, hogy rendben van, elfogadjuk. Ezzel az audit lezárult. Jön a számla, és az auditori számla kifizetése után válik hivatalossá és véglegessé az audit eredmény! Persze utána az összes audit anyagot az auditor cégek leadnak a hatóságnak is, és ők is végeznek egy ellenőrzést és minőségbiztosítást, de az a tapasztalat, hogy nem szokott gond lenni az auditorok által leadott anyagokkal. Már csak azért sem, mert az auditorok is nagyon szigorú felügyelet alatt vannak, és ha valamit nem kellő körültekintéssel végeznek el, akkor ők is komoly büntetést kapnak a hatóságtól, sőt, extrém esetben megvonhatják az auditálási jogosultságukat is!

A NIS2 kötelezett és az auditon megfelelt cégeknek legközelebb 2 év múlva kellene az auditot megismételniük, de lássuk be, ha így lenne, akkor megint rengeteg céget kellene egyszerre ellenőrizni. Emiatt a következő auditokat biztosan jobban szét fogják húzni az auditorok. Úgy gondolom, hogy lesznek akik nem 2 hanem már 1 év után le fogják folytatni a második auditot. Továbbá abban is szinte biztos vagyok, hogy akinek az első audit távaudit volt, ahhoz a következő alkalommal már személyesen fognak kijönni auditálni.

Természetesen a következő auditnál kiemelt figyelmet fognak fordítani az intézkedési tervben szereplő tételek megvalósítására, azokat nem lehet elmismásolni!

Audit eredmény

Itt azért nem lett ennyire szép eredményünk, a végső eredmény kicsivel 80% feletti lett. Azonban ez is egy nagyon szép eredmény tudva, hogy honnan indultunk és tudva, hogy a teljes cég IT működését átalakítottuk nem teljesen 1 év alat!

Az audit eredménye egyébként egy több mint 200 oldalas dokumentum, ahol részletesen ki van fejtve, hogy minek feleltünk meg, minek nem, miért nem, min kell javítani. Ezt az anyagot felhasználva utánatudunk tovább haladni és fejlődni, hogy a következő auditon még szebb eredmény szülessen meg!

Egyébként csak ennek az audit eredménynek az átnézése, kielemzése is több napot visz el az audit után, és ez elengedhetetlen a fejlődéshez!

A egyes területeket egyébként külön-külön is értékeli az auditor és minden témában van egy minimum elvárás aminek meg kell felelni, valamit van egy végső eredmény ami megadja hogy sikeres volt-e az audit. A minimális szint amit összességében el kell érni 70% -ot jelent.

Nem kis munka! Nem elég az utolsó pillanatban nekikezdeni!

Hogyan tovább?

Az, hogy az audit megtörtént, nem azt jelenti, hogy nincs semmi teendő, és lehet ülni a babérjainkon büszke mosollyal az arcunkon. Szép lenne, de a helyzet azért ennél nehezebb egy csöppet 🙂

Rengeteg olyan feladat van, amit folyamatosan végezni kell és dokumentálni, nem pedig „majd a következő audit előtt összedobjuk”.. egyrészt azért sem, mert utólag már nem emlékszik rá senki, másrészt pedig azért, mert haladni kell az intézkedési és az oktatási tervekben szereplő feladatokkal és azokat dokumentálni is kell.

Nézzük meg mik is ezek a dolgok részletesen amiket folyamatosan csinálni kell

  • Havonta
    • IBIR teljesítmény mutatók frissítése – (mit csinált az IT, milyen IT feladatok, incidensek, események történtek a cég életében
  • Negyedévente
    • Intézkedési terv – Frissítés, felülvizsgálat, haladás a benne szereplő feladatokkal
    • Vezetőségi átvizsgálás – Hogy állunk a feladatokkal, történt-e bármi IT biztonsági esemény
  • Évente
    • Kockázatelemzés – frissítése, esetleges új kockázatok feltárása
    • ISO felkészülés támogatása – ha van a cégben ISO is a NIS2 mellett, akkor ezeknek minden esetben vannak közös átfedéseik, ezeket szinkronban kell tartani
    • Szabályozások és dokumentumok felülvizsgálata – minden dokumentum ami a NIS2 -höz kapcsolódik minimum évente, de bizonyos dokumentumoknak negyedévente vagy félévente felülvizsgálatra és ha szükséges aktualizásásra kell, hogy kerüljenek.
    • Jogosultságok felülvizsgálata – a felhasználók jogosultságait minimum évente egyszer, de kritikus rendszerek esetén akár sűrűbben is felül kell vizsgálni
    • Kollégák IT biztonsági oktatása és tudásának tesztelése
    • Ügyvezető és IBF IT biztonsági továbbképzése – minimum 4 óra/fő/év

Azért ez elég szép kis lista ahhoz, hogy legyen az IBF kollégának mindig feladata és legyen mire pénzt költeni. A listából az is egyértelműen látszik, hogy ezt muszáj folyamatosan végezni, nem lehet az összes feladatot „csak gyorsan összedobni” a következő audit előtti hetekben..

NIS2 vs. ISO 27001

A NIS2 törvény! Nem opcionálisan megszerezhető tanúsítvány.

Az ISO auditornak mondhatod azt, hogy ezt vagy azt nem mutatom meg mert ez üzleti titok. De a NIS2 auditornak nem. Ő olyan, mintha a hatóság embere lenne. Mindent megnézhet, mindenre rákérdezhet. Sokkal magasabb jogkörben van a NIS2, mint az ISO 27001 auditor, de ugyanakkor a két dolog nagyon hasonló egymáshoz.

Ha valakinek megvan az ISO 27001 -e, akkor lényegesen könnyebb dolga van megszerezni a NIS2 auditot.

Megoszlik róla a szakma véleménye, de én úgy gondolom, hogy ha valakinek megvan a NIS2 alap besorolású auditja, akkor az teljes mértékben kiváltja az ISO 27001 et, ugyanis annál komolyabb megfeleléseket ír elő. Persze ettől függetlenül az ISO 27001 -et nem feltétlenül tudjuk megkerülni, mert sok olyan terület van, ahol az is előírás, hogy meglegyen. Persze ez idővel szerintem változni fog, és egyre több helyen a NIS2 t fogják kérni, nem az ISO 27001 -et.

A két magasabb szintű NIS2 pedig bőven túlszárnyaja az ISO -t. Úgy érzem, hogy az ISO-t annak lesz érdemes megcsinálnia, aki nem NIS2 kötelezett, de én bevezetném azt is, hogy ha egy cég szeretné, akkor csinálhassa meg a NIS2 auditot akkor is, ha jogilag nem kötelezett rá.

A piszkos anyagiak..

A költségeket több részre bontom:

  • Az IBF feladatkört ellátó személy költsége (ez a mi esetünkben egy részmunkaidős, 2 órás munkakör)
  • Az auditor cégnek fizetendő audit díj ami hatósági áras (ez függ az EIR-ek számától, 1 EIR esetén kb. 3,2 millió Ft + ÁFA)
  • Az IBF és a cégvezető számára kötelező IT biztonsági oktatás, ami az első évben 8-8 órásnak kell lennie. Erre több megoldás is van, fejenként 100.000 – 200.000 Ft közötti áron lehet ilyen képzéseket találni a piacon.
  • Oktatások házon belül a dolgozóknak (A mi esetünkben ez nem igények extra költséget, mert az IBF végzi el)
  • DE legnagyobb költséget az jelentette, hogy át kellett alakítani a teljes IT működést. Eszközöket kellett vásárolni, frissíteni, cserélni. Ezeket utána telepíteni, használatukat oktatni a lecserélt régi eszközökön pedig adattörlést végezni, jegyzőkönyvezni, majd a selejt eszközöket elszállíttatni megsemmisítésre.

Pontos számot nem árulok el, mert üzleti titok, de az audit díj többszörösét vitték el az egyéb költségek, főleg az eszköz cserék és frissítések. A többszörös pedig nem 1-2 -őt jelent, hanem valahol 5 és 10 közötti szorzót.

Min van a legnagyobb fókusz?

Igazából két terület van, ami a legnagyobb erőforrás igényel rendelkezik ebben az átalakulási folyamatban, amire a legtöbb időt, pénzt és energiát kell tölteni:

  • Végponti védelem
  • Emberi tényező (oktatások)

A legtöbb problémát és támadást ebből a két irányból szenvedhetjük el. Ez a kettő az amire a legnagyobb fókuszt kell helyezni és ami a legtöbb energiát és pénzt viszi el. Viszont, ha a megfelelő biztonsági szoftverekkel garantálni tudjuk a végpontok védelmét, és mellette komoly hangsúlyt fektetünk a dolgozók oktatására és tudatosítására, akkor ezzel már drasztikusan (töredék részére) tudjuk csökkenteni az IT biztonsági incidensek bekövetkezését.

Ezeket a lépéseket elsősorban nem is a NIS2 miatt kell megtennünk, hanem azért, hogy a privát és a céges életünkben is TÉNYLEG védve legyünk a támadókkal szemben!

A NIS2 költséges és időigényes „játék”. De SZÜKSÉG van rá! Soha nem látott léptékú az online átverések, csalások, lopások mennyisége és a kicsalt pénz összeges is!

2025-ben becslések szerint 4,4 milliárd euró bevételt értek el európai felhasználókat célzó csaló hirdetésekből. Magyarország esetében ez az összeg 48 millió euróra tehető, amelyet magyar fogyasztókat célzó csaló hirdetésekből generáltak.

Azért ezek elég kemény számok.. és ebbe elsősorban a magánembereket érő átverések vannak benne, a cégeket érő ransomware (zsarolásos) támadások során előkerülő zsarolási összegek, és a közvetett., okozott kár ebben nincs benne.

Az IT biztonság nem vicc. Nem valakinek a „fura hobbija” amire heccből szeretne rengeteg pénzt és erőforrást elkölteni. Napról napra kritikusabb a cégek és a magánemberek életében is az adataink, IT rendszereink védelme, ehhez pedig tenni kell. Csak úgy „magától” nem lesznek biztonságosak a rendszereink.

Igen, ez pénzbe kerül. Igen, ez időbe kerül. Igen, ez sokszor azzal jár, hogy a megszokott feladatokat egy kicsit bonyolultabban, körülményesebben tudjuk elvégezni, DE sajnos nincs más megoldás ha nem akarjuk megszívni.. :D

Érdekességek

Régóta bevett gyakorlat az IT biztonságban, hogy beállításra kerül az, hogy X naponta kötelező megváltoztatni a jelszót. Ennek régen, mikor nem voltak megkövetelve az ennyire hosszú és összetett jelszavak, addig volt értelme, de ma már többet árt, mint használ. Miért? Mert minél hosszabb és összetettebb egy jelszó, és minél sűrűbb időközönként követeljük meg a jelszó megváltoztatását, annál nagyobb az esélye, hogy a userünk nem fogja tudni megjegyezni, és ezért felírja magának a jelszót valahová. Így pedig nemhogy biztonságosabbá hanem kevésbé biztonságossá válik a jelszava, hiába hossz és összetett.. 🙂

Egy kis statisztika, hogy a beérkezett e-mail -ek mekkora része valós, és mekkora az ami valamiféle IT biztonsági kockázatot jelent. Nem a tényleges darabszámokat, hanem az arányokat érdemes megfigyelni az ábrán

Címke , , .Könyvjelzőkhöz Közvetlen link.

Vélemény, hozzászólás?

Az e-mail címet nem tesszük közzé. A kötelező mezőket * karakterrel jelöltük