Az Európai Unió a hackerek ellen: ki lehet a nyertes a végeláthatatlan küzdelemben?
A kiber sérülékenység jelei
A Forbes egyik szeptemberi cikkében felsorol néhányat 2024 legfontosabb technológiai trendjei közül. A listára felkerült a „kiber ellenállóképesség” is. Előrejelzésüket arra a tényre alapozzák, hogy a vállalkozások megközelítőleg fele ellen sikeres kibertámadást hajtottak végre mindössze az elmúlt három éven belül. A SoSafe kutatása szerint a jelenség okaként elsősorban a kialakult geopolitikai helyzetet, a mesterséges intelligenciát és a távoli munkavégzést nevezték meg. A támadás jellege többnyire kártékony program, adathalász üzenet vagy zsaroló vírus volt. Az online térben elkövetett bűncselekményekről – kiemelve a bankszektor érintettségét – Drávucz Péter is írt az Economix-on.
Alighanem mindenki találkozott már közvetve vagy közvetlenül, akár magán-, akár professzionális környezetben gyanús emailekkel, vírusos szoftverekkel, eltulajdonított belépési adatokkal, kiszivárgott információkkal. Elég említenünk az idén nyáron napvilágra került sebezhetőséget a Microsoft 365 Outlook applikációjával kapcsolatban – amit számos hacker aktívan kihasznált –, vagy a lassan egyéves, sokak által csak „KRÉTA-ügyként” említett eseményt, amikor a Köznevelési Regisztrációs és Tanulmányi Alaprendszert sikeres adathalász támadás érte.
Az Európai Unió válasza
Az Európai Unió döntéshozóinak a figyelmét sem kerülte el a kiberbiztonságra leselkedő veszélyek folyamatos eszkalálódása. Az uniós kiberbiztonsági jogszabály megalkotása Juncker 2017-es, erről szóló beszédét követően kezdődött meg, és azt végül 2019. június 7-én írtak alá. Az egykori javaslat részeként az Európai Uniós Kiberbiztonsági Ügynökség (ENISA) megkezdte az uniós tanúsítási rendszerek kidolgozását egyes szolgáltatások, többek között a felhőalapú számítástechnika vonatkozásában (EUCS).
Az Európai Bizottság által a 2019-2024-es időszakra megfogalmazott hat prioritás között is felbukkant a kiberbiztonság kérdése, mégpedig „A digitális korra felkészült Európa” névre keresztelt részben. Az említett prioritás égisze alatt számos jogalkotási javaslat került terítékre, ideértve a kiberrezilienciáról szóló jogszabályt, az uniós intézményekre vonatkozó kiberbiztonsági rendeletet, az NIS2 irányelvet és a kiberbiztonsági szolidaritási törvényt. Míg a felsorolt indítványok többsége még tárgyalás alatt áll, a NIS2 irányelv már tavaly decemberben megjelent, a tagállamoknak pedig 2024. október 17-ig kell elfogadniuk és közzé tenniük az irányelvnek való megfeleléshez szükséges intézkedéseket.
A szándék jó, de van még min csiszolni
Jóllehet a fent említett csomagok kifejezetten impresszív benyomást kelthetnek, sem a szabályozói környezet, sem az információ biztonsági iparág nem feltétlenül tudja tartani azt az iramot, amit a technológiai innováció diktál. Ennek jele lehet többek között a korábban kifejtett EUCS valamelyest elhamarkodottnak tűnő elvárása, ami a NIS2 rendelettel kiegészítve korlátozta volna az Európai Unión kívüli felhőszolgáltatók mozgását a tagállamokban. A jogalkotói törekvések kellő megfontoltságának hiánya abból is érzékelhető, hogy a napokban mérsékeltek álláspontjukon.
Amit mi megtehetünk
A kibertámadásoknak való kitettség azonban fittyet hányva a formálódó Európai Uniós törvényekre, rendeletekre és irányelvekre egyre csak növekszik. Ebben a versenyfutásban nem támaszkodhatunk pusztán az uniós szabályozásra, ezért javasolt három alapvető információbiztonsági tanács megfogadása. Előszöris biztonsági tekintetben az esetek többségében nem az alkalmazott technológia a leggyengébb láncszem, hanem az emberi tényező. A szándékosan elkövetett bűncselekmény, a hanyagság és a véletlen hiba legjobb ellenszere a tudatosság. Ez javítható rendszeres képzések, időszakosan felülvizsgált szabályzatok, továbbá tervezett és véletlenszerűen végrehajtott biztonsági tesztek beiktatásával. Másodszor a megfelelő felkészültségi szintet fenn kell tartani. Meg lehet ezt tenni különféle tervek – például üzletmenetfolytonossági terv (BCP), katasztrófa utáni helyreállítási terv (DRP) – megírása, illetőleg állandó szakszemélyzet alkalmazása révén akár belső, akár külső erőforrásból. Harmadszor pedig a technológiai fejlődés a kiberbiztonság területén is töretlen, így számos szoftveres és hardveres eszközből van lehetőségünk felállítani egy céges IT biztonsági ökoszisztémát, ideértve a tűzfalat, a biztonsági mentést, a vírusirtót, a kriptográfiai megoldásokat és a VPN-t.