A vállalatok 2025-ben olyan kiberfenyegetésekkel néznek szembe, amelyek mélységüket és kiterjedtségüket tekintve messze túlmutatnak a korábbi évek tapasztalatain. A digitális támadások – amelyek indításához ma már különösebb szakértelem sem kell – egyre szervezettebbek, kifinomultabbak és üzletszerűbbek, miközben az EU kiberbiztonsági szabályozása, a NIS2 irányelv személyes felelősséget helyez a cégvezetők vállára a kockázatok kezelésében.
Ez alapvető változás: a kiberbiztonság megteremtése nem maradhat csupán az informatikai csapat elkülönült feladata, hiszen a felsővezetés stratégiai kérdésévé vált.
A kiberfenyegetés, mint üzleti vállalkozás
A szakértők szerint a kiberbűnözés üzleti modellként fejlődik tovább. A Munich Re globális biztosító elemzése rámutat, hogy a zsarolóvírusok esetében elterjedt a „Cybercrime-as-a-Service” (CaaS) koncepció, ami drámaian alacsony szintre csökkentette a belépési küszöböt a támadók számára. Ez a szolgáltatás lehetővé teszi, hogy a rosszindulatú felek akár mély technikai tudás nélkül kibertámadást indítsanak: elég megvásárolni vagy kibérelni a kész eszközöket, amelyek elérhetők a feketepiacon.
A zsarolóvírusok terjedése mellett különösen aggasztóak az ellátási láncokat érintő támadások. A Világgazdasági Fórum 2025-ös kockázatelemzése azt mutatja, hogy a szervezetek 45 százaléka számít beszállítói oldalát érintő, súlyos kibertámadásra. És mivel a cégek működése gyakran több száz partneren vagy alvállalkozón keresztül épül fel, egyetlen gyenge pont is elég lehet a lánc összeomlásához.
Az állami támogatással zajló kiberműveletek szintén gyakoriak. Ezekben az esetekben főleg kritikus infrastruktúrákat (pl. pénzügyi rendszer, energiaellátás, közlekedés, egészségügy) ér támadás. Világszerte több százmillió ilyen kísérlet történik évente, és a számuk 2023-ban már 30 százalékos növekedést mutatott.
| Érintett infrastruktúra | A globális kibertámadások aránya 2024-ben* |
| Pénzügyi rendszer | kb. 45% |
| Egészségügy | kb. 30% |
| Kormányzati / állami szféra | kb. 17% |
| Energiaellátás | 2024-ből nincs adat, 2023-ban kb. 11% |
A kibertér tehát nem csak bűnözői csoportok terepe, hanem a geopolitikai küzdelem új frontvonala.
A kiberfenyegetés visszaszorítása nem csupán az IT feladata
Az észak-amerikai Association of Equipment Manufacturers kereskedelmi szövetség riportja arra jut, hogy a kiberfenyegetések mostanra a vállalat teljes működésére kihatnak, és nem korlátozódnak a számítástechnikai infrastruktúrára. Joe Hopper biztonsági szakértő egyenesen kijelentette, hogy „ez valóban üzleti, és nem pusztán informatikai probléma”.
Az International Bar Association (IBA) elemzése rámutat, hogy a NIS2 irányelv ennek megfelelően paradigmaváltást követel: a kiberbiztonság többé nem opcionális jó gyakorlat, hanem kötelező jogi előírás, amelyben a technikai kérdések összefonódnak a vezetői felelősséggel.
Egy kiberfenyegetés kockázata közvetlenül érintheti a cég stratégiai döntéseit, pénzügyi helyzetét és piaci hírnevét. Az igazgatósági szinten hozott döntések így közvetlen hatással vannak arra, hogy a vállalat képes-e ellenállni a digitális fenyegetéseknek.
A NIS2-irányelv és a vezetői felelősség
A DLA Piper nemzetközi ügyvédi iroda kijelenti, hogy a NIS2 új korszakot nyit: amennyiben egy vállalat elmulasztja a kiberbiztonsági előírások teljesítését, a vezetők személyes szankciókra számíthatnak. Ez alapjaiban változtatja meg a felelősségvállalás kereteit, hiszen a felsővezetésnek ugyanúgy foglalkoznia kell a kiberfenyegetés kockázataival, mint bármely más stratégiai vagy pénzügyi kérdéssel.
A NIS2 előírja, hogy súlyos kibertámadás esetén 24 órán belül értesíteni kell a nemzeti hatóságokat, majd 72 órán belül részletes jelentést is be kell róla nyújtani. Ez az időkeret jelentős nyomást helyez a cégekre, hiszen gyors reakcióra és jól begyakorolt protokollokra van szükség.
| Teendők a NIS2 sikeres implementálásához* | |
| 1. Szisztematikus kockázatelemzés és felmérés | A szervezet kiberbiztonsági kockázatainak részletes felmérése, beleértve a gyenge pontok, adatáramlások, adattárolási szokások és technológiák vizsgálatát. |
| 2. Szabályzatok és eljárásrendek kidolgozása | A kockázatelemzés alapján világos és érthető szabályzatok, protokollok és útmutatók létrehozása a NIS2 előírásainak betartásához. |
| 3. Képzés és tudatosság növelése | A munkatársak felkészítése kiberbiztonsági ismeretekkel, a fenyegetések felismerésének és kezelésének módjaival, valamint a szabályzatok gyakorlati alkalmazásával. |
| 4. Technológiai eszközök és megoldások | A megfelelő szoftverek és hardverek beszerzése és alkalmazása, különös tekintettel a testreszabhatóságra és skálázhatóságra. |
| 5. Monitorozás és incidenskezelés | Folyamatos megfigyelés és incidenskezelési tervek kidolgozása, amelyek kiterjednek az események felismerésére, kezelésére, helyreállítására és megelőzésére. |
| 6. Értékelés és folyamatos fejlesztés | A biztonsági intézkedések rendszeres értékelése és frissítése a változó fenyegetésekhez és technológiai fejlődéshez igazodva. |
*Forrás: IT Secure
Az IBA arra figyelmeztet, hogy még ha a tagállami átültetés lassan is halad, a vállalatoknak nem szabad kivárásra játszani: azonnal meg kell vizsgálniuk, hogy a tevékenységük a NIS2 hatálya alá tartozik-e, és ha igen, akkor ennek megfelelően javítaniuk kell az irányítási folyamataikat és a kockázatkezelési rendszereiket.
A CaaS és más jellegű beavatkozások terjedése világosan bizonyítja, hogy a kiberbiztonság immár nem elszigetelt informatikai kérdés. A fenyegetések egyre összetettebbek, a támadások mögött pedig gyakran szervezett bűnözői hálózatok vagy államilag támogatott szereplők állnak. A cégeknek éppen ezért nem elég, ha csak informatikai eszközökre támaszkodnak, hanem fel kell ismerniük, hogy a kibervédelem a vállalatirányítás egyik legfontosabb eleme, ami átfogó, vállalati szintű stratégia létrehozását igényli.
A címlapkép illusztráció. Fotó: Elizeu Dias/Unsplash
