De hogyan is tudunk nekiállni annak, hogy megismerjük vállalatunk CyberSecurity érettségét? Milyen eszközök állnak egy felsővezető rendelkezésére, hogyan, milyen szempontok mentén érdemes értékelni a helyzetet? Erre próbálunk választ adni a következőkben, egy rövid nemzetközi és hazai kiberkörkép után.
CyberSecurity trendek
Az elmúlt években a kiberbűnözés soha nem látott méreteket öltött. Nézzük a számokat: a Cybersecurity Ventures adatai szerint a kiberbűnözésből származó globális károk 2024-ben elérhették a 9.5 billiárd(!) dollárt – ezzel a kiberbűnözést - ha az egy ország gazdasága lenne -, rögtön a harmadik legnagyobbá téve a világon, közvetlen az USA és Kína után.
Egy konkrét nemzetközi példa a 2020-as SolarWinds-támadás utózöngéi. Ekkor orosz állami hackerek (SVR-ek) feltörték a SolarWinds Orion szoftverét, és egy SUNBURST nevű hátsó kaput csempésztek ~18 ezer ügyfél frissítésébe. A FireEye által decemberben leleplezett támadás főként amerikai kormányzati szerveket (pl. DHS, Treasury) és nagyvállalatokat (pl. Microsoft, Intel) célzott. A beszállítói lánc gyengeségeit feltáró incidens 40 millió dollár feletti kárt okozott a SolarWindsnek, és világszerte kiberbiztonsági reformokat indított el. A támadás rávilágított, hogy a legnagyobb és legfelkészültebbnek hitt szervezetek sem immunisak.
A leginkább érintett szektorok közé tartozik az egészségügy, az energiaipar és a pénzintézeti szektor. De nemcsak az okozott kár nő, hanem természetesen a támadások száma is: a Check Point Software adatai szerint 2025. első negyedévében éves szinten, globálisan 47%-kal, ezen belül Európában 57%-kal nőtt a kibertámadások száma, átlagosan heti több, mint 1600 támadással sújtva a szervezeteket. A ransomware (zsarolóvírus) támadások 126%-os megugrása éves szinten pedig mutatja, hogy ez, a hazánkban is igen „közkedvelt” támadási mód kezd az egyik leghangsúlyosabb lenni.
De nem kell ilyen drámai esetekre gondolni: egy magyar gyártócég is komoly bajba kerülhet, ha egy zsarolóvírus miatt leáll a termelés vagy egy phishing-támadás során ellopják az ügyféladatbázist. Ezek az esetek mind azt mutatják, hogy a CyberSecurity felkészültség ma már nem választható opció, hanem létkérdés – és ennek felismerése az Európai Unióban is érezhető. Az NIS2-irányelv szigorúbb követelményeket támaszt a cégekkel szemben és Magyarországon is egyre sürgetőbb a felkészülés, hiszen a hamarosan várható auditok során a hiányosságok ki fognak bukni – bővebben erről a cikk végén.
Az IFUA Horváth CyberSecurity érettségi modell
Az IFUA Horváth által kidolgozott kiberbiztonsági érettségi modell egy olyan keretrendszer, amely nemzetközi sztenderdekre – például a NIST, NIS2, ISO 27001, ITIL és CIS – épül és kifejezetten arra szolgál, hogy a vállalatok átfogó képet kapjanak CyberSecurity állapotukról. A modell hat dimenziót vizsgál és öt érettségi szintbe sorolja ezeket. Ez együttesen biztosítja, hogy minden lényeges szempont – a technológiától, a szervezeten és az emberi tényezőkön át, egészen a stratégiáig – értékelésre kerüljön.
Továbbá minden értékelés során vizsgálunk hazai, hasonló vállalatokat és nemzetközi jó gyakorlatokat, kihasználva a Horváth csoport és a Cordence Worldwide nemzetközi hálózatát is. Így nem csak egy statikus pillanatképet kapunk, hanem egy dinamikus fejlődési útvonalat is ki tudunk jelölni – a modell megmutatja, hol tartunk most, és mit kell tennünk a következő szintre lépéshez. Ez különösen fontos a magyar piacon, ahol sok cég még csak most ébred rá a kiberbiztonság stratégiai jelentőségére.
Hogy egy friss példát hozzunk, egy egyébként technológiailag fejlett és élen járó cég esetében a modell segítségével kiderült, hogy bár az elméleti, IT védelmük megfelelő, az alkalmazottak képzése elmarad, így a phishing-támadások ellen védtelenek. A modell nem csak a problémát azonosítja, hanem konkrét lépéseket is javasol a javuláshoz – például egy tudatossági kampány indítását vagy egy incidenskezelési terv kidolgozását.
A modell hat dimenziója átfogóan vizsgálja a CyberSecurity témakörét. Nézzük meg őket részletesen, hogy miért fontosak, és milyen kockázatokkal jár a hiányosságuk:
Ez a dimenzió a kiberbiztonság „vezérlőtornya”. Ha nincs világos stratégia vagy irányelvek, a vállalat olyan, mint egy hadsereg haditerv nélkül. Ha nincs megfelelő felelősségmegosztás, szabályozottság és vezetői tudatosság, akkor egy jó technológiai védelem sem tud hatékonyan működni.
Az ismeretlen veszély a legnagyobb ellenség. Melyek a legnagyobb értékű digitális eszközeink? Hol van a legsérülékenyebb pont? Ha nem tudjuk, mivel és minek vagyunk kiszolgáltatva, nem tudunk felkészülni.
Ez a technológiai pajzsunk. Egy elavult tűzfal vagy egy gyenge jelszópolitika olyan, mintha tárva-nyitva hagynánk az ajtót. A klasszikus tűzfal és antivírus eszközök mellett ide tartozik a jogosultság- és hozzáféréskezelés, az adatkezelés és még sok más terület. Ezek összehangoltsága kulcsfontosságú.
- Fenyegetések felderítése és reagálás
A gyorsaság itt létfontosságú: ha a támadást nem észleljük időben, a kár rohamosan nő. Hatékony észlelési képességek és jól kidolgozott, rendszeresen tesztelt reagálási folyamatok nélkül a szervezetek védtelenek maradnak a fenyegetésekkel szemben.
- Ellenállóképesség és helyreállítás
A támadás utáni gyors talpraállás a túlélés záloga. A biztonsági mentések, incidens utáni helyreállítás és az üzletmenet-folytonosság tervezése gyakran alábecsült, mégis kritikus terület.
Az emberi tényező gyakran a leggyengébb láncszem. A tudatos munkatársi képzés, a „frontvonali” kollégák éberen és naprakészen tartása legalább annyira fontos, mint a technológiai befektetések.
Ezek a dimenziók nem különálló szigetek, hanem egy összefüggő rendszert alkotnak, amely átfogó képet ad a vállalat kiberbiztonsági állapotáról – és segít priorizálni a fejlesztéseket.
Közel a NIS2 audit, de még időben vagyunk a felkészüléssel
2024. végén lépett életbe az EU által bevezetett NIS2 irányelv, amely a kritikus ágazatok üzemeltetőitől és a legalább középméretű IT-infrastruktúrát működtető cégektől is fokozott átláthatóságot, jelentési kötelezettséget és megfelelő biztonsági szintet vár el.
Magyarországon a NIS2-irányelv implementálása új fejezetet nyit a kiberbiztonság terén, mert szigorúbb szabályozást vezet be, amely kiterjed a hagyományos IT-rendszereken túl a beszállítói láncokra és az OT (üzemi technológia) rendszerekre is. Ez új kihívásokat hoz, különösen a kritikus infrastruktúrát működtető cégek számára, miközben egységesíti a kiberbiztonsági sztenderdeket az EU-ban, növelve a rezilienciát a modern fenyegetésekkel szemben.
A megfelelés érdekében a vállalatoknak átfogó kockázatelemzést kell végezniük, biztonsági osztályokba kell sorolniuk elektronikus információs rendszereiket, kidolgozniuk egy információbiztonsági irányítási rendszert, és biztosítaniuk a gyors incidenskezelést. Emellett rendszeres auditokra és a beszállítók kiberbiztonsági felmérésére is szükség lesz, hogy elkerüljék a súlyos szankciókat, amelyek az árbevétel akár 2%-át is elérhetik.
A Szabályozott Tevékenységek Felügyeleti Hatósága (SZTFH) legfrissebb, május 5-ei közleménye szerint a vállalatok további féléves felkészülési időt kaptak. Így ugyan 2026. június 30-ra tolódott a sikeres audit megszerzésének határideje, de mindemellett továbbra is igaz, hogy az érintett vállalatoknak idén augusztus 31-ig szerződést kell kötni egy, a hatósági nyilvántartásban szereplő auditorral.
A felkészülés előtt végzett CyberSecurity érettségi felmérés jó alapkő lehet a sikeres audithoz, mert átfogó képet ad a vállalat jelenlegi kiberbiztonsági állapotáról hazai és nemzetközi benchmarkjainkkal összevetve. Ez időt és erőforrásokat takaríthat meg, hiszen a felmérés alapján a vállalat már az elején priorizálhatja a teendőket, például egy elavult védelmi mechanizmus fejlesztését vagy hiányzó alkalmazotti képzések pótlását.