Search
Close

Az Európai Unió a hackerek ellen: ki lehet a nyertes a végeláthatatlan küzdelemben?

Brüsszel, 2023. október 5.
Az elmúlt néhány év technológiai fejlődése elvitathatatlanul hozott magával szinte bárki által elérhető, hasznos vívmányokat. Példának okáért megemlíthetjük az egyre inkább elterjedő felhőalapú számítástechnikát, illetve a generatív mesterséges intelligenciát. Noha az említett megoldások új lehetőségeket nyitottak meg számunkra, nem csak ezek előnyeiről, hanem hátrányairól is érdemes beszélni. Ez utóbbi ösztökélte az Európai Unió intézményeit is az információs és kommunikációs technológiai biztonság növelésére.

A kiber sérülékenység jelei

A Forbes egyik szeptemberi cikkében felsorol néhányat 2024 legfontosabb technológiai trendjei közül. A listára felkerült a „kiber ellenállóképesség” is. Előrejelzésüket arra a tényre alapozzák, hogy a vállalkozások megközelítőleg fele ellen sikeres kibertámadást hajtottak végre mindössze az elmúlt három éven belül. A SoSafe kutatása szerint a jelenség okaként elsősorban a kialakult geopolitikai helyzetet, a mesterséges intelligenciát és a távoli munkavégzést nevezték meg. A támadás jellege többnyire kártékony program, adathalász üzenet vagy zsaroló vírus volt. Az online térben elkövetett bűncselekményekről – kiemelve a bankszektor érintettségét – Drávucz Péter is írt az Economix-on.

Alighanem mindenki találkozott már közvetve vagy közvetlenül, akár magán-, akár professzionális környezetben gyanús emailekkel, vírusos szoftverekkel, eltulajdonított belépési adatokkal, kiszivárgott információkkal. Elég említenünk az idén nyáron napvilágra került sebezhetőséget a Microsoft 365 Outlook applikációjával kapcsolatban – amit számos hacker aktívan kihasznált –, vagy a lassan egyéves, sokak által csak „KRÉTA-ügyként” említett eseményt, amikor a Köznevelési Regisztrációs és Tanulmányi Alaprendszert sikeres adathalász támadás érte.

Az Európai Unió válasza

Az Európai Unió döntéshozóinak a figyelmét sem kerülte el a kiberbiztonságra leselkedő veszélyek folyamatos eszkalálódása. Az uniós kiberbiztonsági jogszabály megalkotása Juncker 2017-es, erről szóló beszédét követően kezdődött meg, és azt végül 2019. június 7-én írtak alá. Az egykori javaslat részeként az Európai Uniós Kiberbiztonsági Ügynökség (ENISA) megkezdte az uniós tanúsítási rendszerek kidolgozását egyes szolgáltatások, többek között a felhőalapú számítástechnika vonatkozásában (EUCS).

Az Európai Bizottság által a 2019-2024-es időszakra megfogalmazott hat prioritás között is felbukkant a kiberbiztonság kérdése, mégpedig „A digitális korra felkészült Európa” névre keresztelt részben. Az említett prioritás égisze alatt számos jogalkotási javaslat került terítékre, ideértve a kiberrezilienciáról szóló jogszabályt, az uniós intézményekre vonatkozó kiberbiztonsági rendeletet, az NIS2 irányelvet és a kiberbiztonsági szolidaritási törvényt. Míg a felsorolt indítványok többsége még tárgyalás alatt áll, a NIS2 irányelv már tavaly decemberben megjelent, a tagállamoknak pedig 2024. október 17-ig kell elfogadniuk és közzé tenniük az irányelvnek való megfeleléshez szükséges intézkedéseket.

A szándék jó, de van még min csiszolni

Jóllehet a fent említett csomagok kifejezetten impresszív benyomást kelthetnek, sem a szabályozói környezet, sem az információ biztonsági iparág nem feltétlenül tudja tartani azt az iramot, amit a technológiai innováció diktál. Ennek jele lehet többek között a korábban kifejtett EUCS valamelyest elhamarkodottnak tűnő elvárása, ami a NIS2 rendelettel kiegészítve korlátozta volna az Európai Unión kívüli felhőszolgáltatók mozgását a tagállamokban. A jogalkotói törekvések kellő megfontoltságának hiánya abból is érzékelhető, hogy a napokban mérsékeltek álláspontjukon.

Amit mi megtehetünk

A kibertámadásoknak való kitettség azonban fittyet hányva a formálódó Európai Uniós törvényekre, rendeletekre és irányelvekre egyre csak növekszik. Ebben a versenyfutásban nem támaszkodhatunk pusztán az uniós szabályozásra, ezért javasolt három alapvető információbiztonsági tanács megfogadása. Előszöris biztonsági tekintetben az esetek többségében nem az alkalmazott technológia a leggyengébb láncszem, hanem az emberi tényező. A szándékosan elkövetett bűncselekmény, a hanyagság és a véletlen hiba legjobb ellenszere a tudatosság. Ez javítható rendszeres képzések, időszakosan felülvizsgált szabályzatok, továbbá tervezett és véletlenszerűen végrehajtott biztonsági tesztek beiktatásával. Másodszor a megfelelő felkészültségi szintet fenn kell tartani. Meg lehet ezt tenni különféle tervek – például üzletmenetfolytonossági terv (BCP), katasztrófa utáni helyreállítási terv (DRP) – megírása, illetőleg állandó szakszemélyzet alkalmazása révén akár belső, akár külső erőforrásból. Harmadszor pedig a technológiai fejlődés a kiberbiztonság területén is töretlen, így számos szoftveres és hardveres eszközből van lehetőségünk felállítani egy céges IT biztonsági ökoszisztémát, ideértve a tűzfalat, a biztonsági mentést, a vírusirtót, a kriptográfiai megoldásokat és a VPN-t.