2025. június 16.

Miért fontos látni, hol is állunk a CyberSecurity érettségben?

Ma már nem kérdés, hogy a kiberbiztonság egy vállalat életében kulcsfontosságú tényező – legyen szó multinacionális óriásról vagy egy családi kisvállalkozásról. Az üzletmenet–folytonosság, az üzleti titkok védelme és a reputációnk múlhat azon, hogy mennyire vagyunk felkészülve a digitális fenyegetésekre. De vajon tudjuk-e pontosan, hogy hol tartunk ebben a folyamatban?

Ha van terület, ahol a "nem tudás" nemcsak, hogy nem boldogít, hanem kifejezetten veszélyes, az a kiberbiztonság. Évek óta hangoztatott frázis, hogy "nem az a kérdés, téged megtámadnak-e, hanem csak az, hogy mikor" – mégis, a magyar vállalatok döntő többsége még mindig inkább reaktívan, semmint proaktívan foglalkozik a kiberkockázatokkal.
Pedig a megfelelő védekezés első lépése a tájékozottság és saját helyzetünk alapos ismerete - ez ma már nem csupán egy IT-szintű kérdés, hanem felsővezetési felelősség.

Forrás:
Portréfotó: https://commons.wikimedia.org/wiki/File:Robert_Mueller,_2012.jpg

De hogyan is tudunk nekiállni annak, hogy megismerjük vállalatunk CyberSecurity érettségét? Milyen eszközök állnak egy felsővezető rendelkezésére, hogyan, milyen szempontok mentén érdemes értékelni a helyzetet? Erre próbálunk választ adni a következőkben, egy rövid nemzetközi és hazai kiberkörkép után. 

 

CyberSecurity trendek

Az elmúlt években a kiberbűnözés soha nem látott méreteket öltött. Nézzük a számokat: a Cybersecurity Ventures adatai szerint a kiberbűnözésből származó globális károk 2024-ben elérhették a 9.5 billiárd(!) dollárt – ezzel a kiberbűnözést - ha az egy ország gazdasága lenne -, rögtön a harmadik legnagyobbá téve a világon, közvetlen az USA és Kína után. 

Egy konkrét nemzetközi példa a 2020-as SolarWinds-támadás utózöngéi. Ekkor orosz állami hackerek (SVR-ek) feltörték a SolarWinds Orion szoftverét, és egy SUNBURST nevű hátsó kaput csempésztek ~18 ezer ügyfél frissítésébe. A FireEye által decemberben leleplezett támadás főként amerikai kormányzati szerveket (pl. DHS, Treasury) és nagyvállalatokat (pl. Microsoft, Intel) célzott. A beszállítói lánc gyengeségeit feltáró incidens 40 millió dollár feletti kárt okozott a SolarWindsnek, és világszerte kiberbiztonsági reformokat indított el. A támadás rávilágított, hogy a legnagyobb és legfelkészültebbnek hitt szervezetek sem immunisak.

A leginkább érintett szektorok közé tartozik az egészségügy, az energiaipar és a pénzintézeti szektor. De nemcsak az okozott kár nő, hanem természetesen a támadások száma is: a Check Point Software adatai szerint 2025. első negyedévében éves szinten, globálisan 47%-kal, ezen belül Európában 57%-kal nőtt a kibertámadások száma, átlagosan heti több, mint 1600 támadással sújtva a szervezeteket. A ransomware (zsarolóvírus) támadások 126%-os megugrása éves szinten pedig mutatja, hogy ez, a hazánkban is igen „közkedvelt” támadási mód kezd az egyik leghangsúlyosabb lenni.

De nem kell ilyen drámai esetekre gondolni: egy magyar gyártócég is komoly bajba kerülhet, ha egy zsarolóvírus miatt leáll a termelés vagy egy phishing-támadás során ellopják az ügyféladatbázist. Ezek az esetek mind azt mutatják, hogy a CyberSecurity felkészültség ma már nem választható opció, hanem létkérdés – és ennek felismerése az Európai Unióban is érezhető. Az NIS2-irányelv szigorúbb követelményeket támaszt a cégekkel szemben és Magyarországon is egyre sürgetőbb a felkészülés, hiszen a hamarosan várható auditok során a hiányosságok ki fognak bukni – bővebben erről a cikk végén.

 

Az IFUA Horváth CyberSecurity érettségi modell

Az IFUA Horváth által kidolgozott kiberbiztonsági érettségi modell egy olyan keretrendszer, amely nemzetközi sztenderdekre – például a NIST, NIS2, ISO 27001, ITIL és CIS – épül és kifejezetten arra szolgál, hogy a vállalatok átfogó képet kapjanak CyberSecurity állapotukról. A modell hat dimenziót vizsgál és öt érettségi szintbe sorolja ezeket. Ez együttesen biztosítja, hogy minden lényeges szempont – a technológiától, a szervezeten és az emberi tényezőkön át, egészen a stratégiáig – értékelésre kerüljön.

Továbbá minden értékelés során vizsgálunk hazai, hasonló vállalatokat és nemzetközi jó gyakorlatokat, kihasználva a Horváth csoport és a Cordence Worldwide nemzetközi hálózatát is.  Így nem csak egy statikus pillanatképet kapunk, hanem egy dinamikus fejlődési útvonalat is ki tudunk jelölni – a modell megmutatja, hol tartunk most, és mit kell tennünk a következő szintre lépéshez. Ez különösen fontos a magyar piacon, ahol sok cég még csak most ébred rá a kiberbiztonság stratégiai jelentőségére.

Hogy egy friss példát hozzunk, egy egyébként technológiailag fejlett és élen járó cég esetében a modell segítségével kiderült, hogy bár az elméleti, IT védelmük megfelelő, az alkalmazottak képzése elmarad, így a phishing-támadások ellen védtelenek. A modell nem csak a problémát azonosítja, hanem konkrét lépéseket is javasol a javuláshoz – például egy tudatossági kampány indítását vagy egy incidenskezelési terv kidolgozását.

A modell hat dimenziója átfogóan vizsgálja a CyberSecurity témakörét. Nézzük meg őket részletesen, hogy miért fontosak, és milyen kockázatokkal jár a hiányosságuk:

  • Stratégia & Governance

Ez a dimenzió a kiberbiztonság „vezérlőtornya”. Ha nincs világos stratégia vagy irányelvek, a vállalat olyan, mint egy hadsereg haditerv nélkül. Ha nincs megfelelő felelősségmegosztás, szabályozottság és vezetői tudatosság, akkor egy jó technológiai védelem sem tud hatékonyan működni.

  • Kiberkockázat azonosítás

Az ismeretlen veszély a legnagyobb ellenség. Melyek a legnagyobb értékű digitális eszközeink? Hol van a legsérülékenyebb pont? Ha nem tudjuk, mivel és minek vagyunk kiszolgáltatva, nem tudunk felkészülni.

  • Védelmi mechanizmusok

Ez a technológiai pajzsunk. Egy elavult tűzfal vagy egy gyenge jelszópolitika olyan, mintha tárva-nyitva hagynánk az ajtót. A klasszikus tűzfal és antivírus eszközök mellett ide tartozik a jogosultság- és hozzáféréskezelés, az adatkezelés és még sok más terület. Ezek összehangoltsága kulcsfontosságú.

  • Fenyegetések felderítése és reagálás

A gyorsaság itt létfontosságú: ha a támadást nem észleljük időben, a kár rohamosan nő. Hatékony észlelési képességek és jól kidolgozott, rendszeresen tesztelt reagálási folyamatok nélkül a szervezetek védtelenek maradnak a fenyegetésekkel szemben.

  • Ellenállóképesség és helyreállítás

A támadás utáni gyors talpraállás a túlélés záloga. A biztonsági mentések, incidens utáni helyreállítás és az üzletmenet-folytonosság tervezése gyakran alábecsült, mégis kritikus terület.

  • Erőforrások

Az emberi tényező gyakran a leggyengébb láncszem. A tudatos munkatársi képzés, a „frontvonali” kollégák éberen és naprakészen tartása legalább annyira fontos, mint a technológiai befektetések.

Ezek a dimenziók nem különálló szigetek, hanem egy összefüggő rendszert alkotnak, amely átfogó képet ad a vállalat kiberbiztonsági állapotáról – és segít priorizálni a fejlesztéseket.

 

Közel a NIS2 audit, de még időben vagyunk a felkészüléssel

2024. végén lépett életbe az EU által bevezetett NIS2 irányelv, amely a kritikus ágazatok üzemeltetőitől és a legalább középméretű IT-infrastruktúrát működtető cégektől is fokozott átláthatóságot, jelentési kötelezettséget és megfelelő biztonsági szintet vár el.

Magyarországon a NIS2-irányelv implementálása új fejezetet nyit a kiberbiztonság terén, mert szigorúbb szabályozást vezet be, amely kiterjed a hagyományos IT-rendszereken túl a beszállítói láncokra és az OT (üzemi technológia) rendszerekre is. Ez új kihívásokat hoz, különösen a kritikus infrastruktúrát működtető cégek számára, miközben egységesíti a kiberbiztonsági sztenderdeket az EU-ban, növelve a rezilienciát a modern fenyegetésekkel szemben.

A megfelelés érdekében a vállalatoknak átfogó kockázatelemzést kell végezniük, biztonsági osztályokba kell sorolniuk elektronikus információs rendszereiket, kidolgozniuk egy információbiztonsági irányítási rendszert, és biztosítaniuk a gyors incidenskezelést. Emellett rendszeres auditokra és a beszállítók kiberbiztonsági felmérésére is szükség lesz, hogy elkerüljék a súlyos szankciókat, amelyek az árbevétel akár 2%-át is elérhetik.

A Szabályozott Tevékenységek Felügyeleti Hatósága (SZTFH) legfrissebb, május 5-ei közleménye szerint a vállalatok további féléves felkészülési időt kaptak. Így ugyan 2026. június 30-ra tolódott a sikeres audit megszerzésének határideje, de mindemellett továbbra is igaz, hogy az érintett vállalatoknak idén augusztus 31-ig szerződést kell kötni egy, a hatósági nyilvántartásban szereplő auditorral.

A felkészülés előtt végzett CyberSecurity érettségi felmérés jó alapkő lehet a sikeres audithoz, mert átfogó képet ad a vállalat jelenlegi kiberbiztonsági állapotáról hazai és nemzetközi benchmarkjainkkal összevetve. Ez időt és erőforrásokat takaríthat meg, hiszen a felmérés alapján a vállalat már az elején priorizálhatja a teendőket, például egy elavult védelmi mechanizmus fejlesztését vagy hiányzó alkalmazotti képzések pótlását.

AZ IFUA Horváth NIS2 felkészítési módszertanában ezt követi az ideális célállapothoz képesti gap-elemzés elvégzése, a risk-scoring és akciótervezés, valamint az implementáció hathatós támogatása. Ez a strukturált megközelítés nem csupán időt és erőforrásokat takarít meg, hanem hatékonyan segít a legkésőbb jövő júniusi audit sikeres abszolválásában. Módszertanunk egy NIS2-kompatibilis, rugalmas és proaktív kiberbiztonsági kultúrát épít, amely hosszú távon is védelmet nyújt a modern fenyegetésekkel szemben.

 

Szerzők:
Szabó Péter Gábor, vezető tanácsadó
Krén Enikő, tanácsadó