Online vonatjegy, villanyóraállások, EESZT – csak néhány példa azokra a kritikus területekre, mint a közlekedés, az energetika és az egészségügy, amelyek az életünket egyre inkább átható digitális technológiákra támaszkodnak. Az infrastruktúra információs védelme közvetlenül érint minket: életünk és jólétünk függ tőle. Ebben segítene a NIS2.
Elképzelni sem szeretnénk, mi történik, ha ezek a rendszerek célponttá válnak, vagy már létező célpontként úgy „igazán” kihasználják őket. Vegyük az egészségügyet: az egészségügyi rendszerek gyakran elavultak, és nincs elegendő védelmük a modern kiberfenyegetésekkel szemben. Készítésüknél a funkcióra, esetleg az üzembiztonságra optimalizáltak, a biztonság sokadlagos lehetett. A támadók számára az egészségügyi adatok aranyat érnek. Nagyobb zsarolási potenciált jelentenek, így ez a szektor kiemelten érintett, főleg, ha nem fektetnek elég erőforrást a védelmi rendszerük fejlesztésébe.
Hátborzongató példák a közelmúltból
Hackerek törölhetik a hónapokkal ezelőtt lefoglalt orvosi konzultációkat, eltüntethetik az e-recepteket vagy átütemezhetik a műtéteket. Rémisztő ugye? Pontosan ilyesmi történt 2017-ben. Az Egyesült Királyság Nemzeti Egészségügyi Szolgálata (NHS) egy globális kibertámadás részeként a WannaCry zsarolóvírus támadásának áldozata lett, ami súlyos zavart okozott az ellátásban. Ennek eredményeképpen sok helyen leállt a munka. Műtéteket és orvosi vizsgálatokat kellett elhalasztani, és sok esetben a betegek ellátása is akadozott, mivel a személyzet nem férhetett hozzá az elektronikus egészségügyi nyilvántartásokhoz és más fontos információkhoz.
2021-ben a Kaseya IT-menedzsment-szolgáltatásában felfedezett biztonsági rést kihasználva hackerek százával fertőztek meg vállalati és kormányzati rendszereket világszerte. Ez az amerikai kórházak informatikai szisztémáiban is komoly fennakadásokat okozott.
2022-ben pedig Ausztráliára járt rá a rúd, amikor a több más szereplő mellett a Mediabank közel 10 millió felhasználójának az adataival zsarolták a szolgáltatót. A lakosság több mint harmadát érintő incidensben olyan eset is előfordult, hogy a hackerek tömegében keresték meg beteg, rákos gyermekek szüleit közvetlenül, hogy tőlük is pénzt zsaroljanak ki.
A NIS2-irányelv szigorítja a biztonsági előírásokat ezekben a szektorokban. Olyan dolgokról van szó, amelyekkel már eddig is foglalkozni kellett volna, csak nem sikerült, nem akarták vagy talán, eszükbe sem jutott.
Rés a pajzson átállás közben?
Logikus válasz tehát, hogy a létfontosságú ágazati szereplők a NIS2-irányelvet alkalmazzák, elérve az IT-biztonság egy magasabb szintjét. A NIS2-irányelv nem csupán egy szabvány; ez egy új védelmi mérföldkő a létfontosságú ágazatok számára. Bár még nem világos, milyen új típusú kibertámadásokat generálhatnak a változások, egy dolog biztos: az átmeneti időszak különösen kritikus. Ekkor a cégek még csak ismerkednek az új előírásokkal, sőt gyakran a védelem logikájával, gyakorlatával is, ami biztonsági réseket hagyhat nyitva, növelve a kibertámadások kockázatát.
De milyen rések ezek? A hackerek kreatívak lehetnek:
- adathalászat: bizalmas információkat csalhatnak ki gyanútlan alkalmazottaktól hamis, hivatalosnak tűnő kommunikációval,
- rosszindulatú kódok bejuttatása szoftver- és biztonsági frissítései során,
- belső fenyegetések: a szervezeteken belüli biztonsági gyengeségek kihasználása,
- harmadik fél kockázatai: a NIS2-előírásoknak nem megfelelő külső szolgáltatók kitettsége,
- a cégek ügyfeleinek és partnereinek megzsarolása a saját adataik, mentéseik, szellemi tulajdonuk foglyul ejtésével és annak eladásával.
Különösen veszélyeztetettek azok az ágazatok, amelyek eddig nem fektettek elegendő erőforrást a védelmi rendszereik modernizálásába és az incidensek megfelelő kezelésébe. Egyeseknek talán a nulláról kell újraépíteniük a védelmi falukat. Az átmeneti időszakban fennálló biztonsági rések nem csak feltételezések, valós fenyegetések, amelyek ellen azonnali lépéseket kell tennünk.
Csatlakozás után jön a neheze
A szabványok, előírások és direktívák betartása jelentős mértékben növelheti az informatikai rendszereink védelmi képességét, de ne tévesszük szem elől: ez még nem garantál teljes körű védelmet a kiberfenyegetésekkel szemben. Ezek a szabályozások alapvetően javítják a kiberhigiéniánkat, szigorúan szabályozzák az események jelentési kötelezettségét és büntetésekkel sarkallnak minket arra, hogy komolyabban invesztáljunk a biztonsági rendszereinkbe.
De vigyázat! A hackerek nem állnak meg csak azért, mert mi betartjuk a szabályokat. Ha csak a minimális elvárásokat teljesítjük, az ő szemükben ez csupán egy könnyű célpont. Itt nem csak több pénzről van szó, hanem arról is, hogy elkerülhetetlenül előfordulnak biztonsági rések – és ezt nem szabad félvállról venni. A legnagyobb veszélyt az jelenti, ha a rendszerünk mélyebben és észrevétlenül kompromittálódik, órákig, napokig, hetekig vagy akár hónapokig észrevétlenül maradva. Majd aztán egyszer pár óra alatt a teljes rendszert térdre kényszerítik. Láttunk már olyan céget Magyarországon is, amely egy támadást követően napok alatt jutott el odáig, hogy többé már nem tudta visszaszerezni a működési képességét, és szinte az alapokról kellett újra építeni.
Éppen ezért: figyelem, cégtulajdonosok, CEO-k és pénzügyi vezetők! Ne dőljetek be annak a tévhitnek, hogy a szabályozásnak való megfelelés immunizál benneteket a támadásokkal szemben.
Az MI-szabályozás kihívásai: a következő lépcsőfok a kibervédelemben
Ahogy a NIS2-irányelv új követelményeket támaszt az IT-biztonság terén, ugyanúgy a mesterséges intelligencia (MI) szabályozása is kihívások elé állítja a vállalatokat. A technológiai fejlődés rohamos üteme, különösen az MI területén, új kérdéseket vet fel, amelyekre a jelenlegi jogi keretek gyakran nem nyújtanak kielégítő válaszokat.
Az MI-alkalmazások, mint például az arcfelismerő vagy az előítéletekkel terhelt döntéstámogató rendszerek nem csupán technológiai innovációkat képviselnek, hanem komoly etikai és adatvédelmi kihívásokat is felvetnek. Ezek a technológiák gyakran jelentős mennyiségű személyes adatok feldolgozását igénylik, ami súlyos adatvédelmi aggályokat ébreszthet. Tovább nehezíti a dolgot, hogy alapos monitorozás nélkül nincs biztonság, megfelelő inszentívák nélkül pedig nincs irányítás. Tehát nagy kihívás, hogy ennek fényében egy MI-rendszerből hogyan nem lesz társadalmi megfigyelés és ember pontozásos szisztéma.
Az átláthatóság hiánya és a rendszerek belső működésének ismeretlen, szokatlan, emberhez hasonló természete az MI döntéshozatali folyamataiban tovább nehezíti a felelősség megállapítását, amikor hibák vagy károk történnek. A nemzetközi együttműködés és szabványok hiánya pedig akadályozhatja egy egyenletes és hatékony szabályozás kialakítását. Ezek a problémák rámutatnak arra, hogy az MI szabályozása egy dinamikus és alkalmazkodó megközelítést igényel a jogalkotóktól és szabályozóktól, hogy az előnyeit maximálisan kihasználhassuk, miközben minimalizáljuk a potenciális károkat.
Mint láthatjuk, a NIS2-hez hasonlóan az MI szabályozása is elengedhetetlenül fontos a vállalati biztonság és ellenálló képesség növelése érdekében. Ahogy a kibervédelmi előírásokat, úgy az MI-t érintő szabályozásokat is folyamatosan frissíteni és finomítani kell, hogy lépést tartsanak a technológia fejlődésével.
Ezek mellett fontos, hogy minden szervezet tekintsen előre, és készüljön fel a támadások új nemzedékére is. Tervezze a felkészülését a NIS3-ra! Hogyan? Tekintsünk a jövőbe – nem is biztos, hogy egy állandó (statikus) követelményrendszerből kell, hogy álljon ez, hanem inkább élő, folyamatosan változó és magunkkal szemben is érvényes követelményorganizumus lesz, ami a szervezet immunrendszerét védi az idők végezetéig…
(Kép: Freepik, Needpix | Szerző: Keleti Arthur és Balogh Turul)
