Tegye fel kérdéseit szakértőinknek!

Beszélgessünk!

Az információbiztonság a mai üzleti világ egyik legkritikusabb eleme, különösen az adatvezérelt gazdaságban, ahol az információ az új &#8220;arany&#8221;. Ebben az összefüggésben az ISO 27001 szabvány kiemelkedő szerepet játszik a vállalati információbiztonság megerősítésében.



<figure class="wp-block-image size-large"><img loading="lazy" decoding="async" width="1024" height="682" src="https://static.fortix.hu/app/uploads/2024/05/Untitled-1024x682.jpg" alt="" class="wp-image-1816" srcset="https://static.fortix.hu/app/uploads/2024/05/Untitled-1024x682.jpg 1024w, https://static.fortix.hu/app/uploads/2024/05/Untitled-300x200.jpg 300w, https://static.fortix.hu/app/uploads/2024/05/Untitled-768x512.jpg 768w, https://static.fortix.hu/app/uploads/2024/05/Untitled-1536x1023.jpg 1536w, https://static.fortix.hu/app/uploads/2024/05/Untitled.jpg 1600w" sizes="(max-width: 1024px) 100vw, 1024px" /></figure>



Ez a nemzetközi szabvány olyan követelményeket határoz meg, amelyek segítenek a szervezeteknek kialakítani, megvalósítani, fenntartani és folyamatosan fejleszteni az információbiztonsági irányítási rendszerüket (IBIR/ISMS).



Az <a href="https://hu.wikipedia.org/wiki/ISO_27001">ISO 27001</a> egy átfogó módszertant kínál a kockázatkezelésre, amely nélkülözhetetlen a biztonsági rések és az adatsértések kezelésében.



Tartson velünk, hiszen részletes elemzés alá vetjük, hogy miért fontos az ISO 27001 minden modern vállalat számára, hogyan működik, és milyen előnyökkel járhat a megfelelő működtetése.



<h2 class="wp-block-heading">Mi az ISO 27001?</h2>



Az ISO 27001, hivatalos nevén ISO/IEC 27001:2022, egy nemzetközi szabvány, amelyet az International Organization for Standardization (ISO) és a Nemzetközi Elektrotechnikai Bizottság (IEC) állított össze.



És milyen történet bújik meg a szabvány mögött? Mutatjuk:



A szabvány alapjait az 1990-es években vetették meg, amikor az angol kormány támogatásával létrejött egy &#8220;gyakorlati kódex&#8221; az információbiztonság terén. Ezt a kódexet a Shell vállalat információbiztonsági szabályzata inspirálta, amely 1991 novemberében jelent meg. Az angol szabványügyi testület ezt a dokumentumot vette alapul, és 1995. február 15-én BS7799 szabványként hivatalosan is kiadta.



Az új évezred hajnalán, az ISO/IEC nemzetközi szabványügyi testület adoptálta ezt a szabványt, és 2000-ben kiadták ISO/IEC 17799:2000 néven. Később, 2005-ben a szabványt átszámozták ISO/IEC 27001:2005-re, ami egyben felgyorsította a hivatalos tanúsítási eljárásokat és folyamatokat is.



Napjainkban az ISO/IEC 27001 része egy szélesebb szabványcsaládnak, amely az információbiztonságot szabályozza. Ez a szabványcsalád folyamatosan bővül újabb és újabb szabványokkal, amelyeket néhány évente felülvizsgálnak és újrakiadnak, hogy megfeleljenek a változó technológiai és üzleti környezet követelményeinek.



A szabvány célja, hogy világszerte egységes kereteket szabjon az információbiztonsági irányítási rendszerek számára.



Az ISO 27001 az információbiztonsági irányítási rendszer (ISMS) alapkövetelményeit foglalja magában, beleértve a tervezést, a bevezetést, a felügyeletet, az áttekintést, a fenntartást és a folyamatos fejlesztést.



Az ISMS lényegében egy dokumentált menedzsment rendszer, amely segít megvédeni a fizikai, digitális és szellemi tulajdont a fenyegetésektől, biztonsági résektől és más kockázatoktól.



Az ISO 27001-en alapuló ISMS az adatok bizalmasságát, sértetlenségét és rendelkezésre állását tartja szem előtt, miközben az üzleti, jogi, etikai és szerződéses követelményeknek is megfelel.



<figure class="wp-block-image size-large"><img loading="lazy" decoding="async" width="1024" height="682" src="https://static.fortix.hu/app/uploads/2024/05/image-1024x682.jpeg" alt="" class="wp-image-1814" srcset="https://static.fortix.hu/app/uploads/2024/05/image-1024x682.jpeg 1024w, https://static.fortix.hu/app/uploads/2024/05/image-300x200.jpeg 300w, https://static.fortix.hu/app/uploads/2024/05/image-768x512.jpeg 768w, https://static.fortix.hu/app/uploads/2024/05/image-1536x1023.jpeg 1536w, https://static.fortix.hu/app/uploads/2024/05/image.jpeg 1600w" sizes="(max-width: 1024px) 100vw, 1024px" /></figure>



<h2 class="wp-block-heading">Az ISO 27001 előnyei a vállalati információbiztonság szempontjából</h2>



<a href="https://www.fortix.hu/szolgaltatasok/iso27001-isms-bevezetes">Az ISO 27001 bevezetése</a> olyan előnyökkel jár, amelyek nélkülözhetetlenek egy vállalat versenyképességéhez és gördülékeny működéséhez. Ezek a következők:



<ul>
<li>Kockázatkezelés: az ISMS keretrendszer segít azonosítani, értékelni és kezelni az információbiztonsági kockázatokat, minimalizálva a potenciális incidensek valószínűségét.</li>
</ul>



<ul>
<li>Megfelelőség: az ISO 27001 megkönnyíti a különböző szabályozási és jogi követelmények teljesítését, csökkentve a jogi és szerződéses büntetések kockázatát.</li>
</ul>



<ul>
<li>Bizalom: a tanúsítvánnyal rendelkező vállalatok bizalmat építhetnek ügyfeleik, partnereik és más érdekelt felek (akár a shareholderek) körében, mivel ez azt jelzi, hogy komolyan veszik az információbiztonságot és aktívan kezelik az ezzel kapcsolatos kockázatokat.</li>
</ul>



<h2 class="wp-block-heading">Hogyan implementáljuk az ISO 27001-et?</h2>



Az ISO 27001 implementálása komplex folyamat, amely stratégiai tervezést, erőforrás-allokációt és vezetői elkötelezettséget igényel.



Az alábbi lépések segíthetnek Önnek a sikeres bevezetésben:



<ol>
<li>Elkötelezettség és támogatás a vezetőségtől: az ISMS sikeres implementálása a felsővezetés támogatását és részvételét igényli.</li>
</ol>



<ol start="2">
<li>A cégpolitika és a célok meghatározása: egyértelműen definiálni kell az információbiztonsági célokat, amelyek összhangban vannak a vállalati stratégiával.</li>
</ol>



<ol start="3">
<li>Kockázatértékelés: az információbiztonsági kockázatok azonosítása, értékelése elengedhetetlen a célravezető védelmi intézkedések kialakításához.</li>
</ol>



<ol start="4">
<li>Végrehajtás: meg kell valósítani az ISMS keretrendszer alapján szükséges biztonsági kontrollokat és eljárásokat.</li>
</ol>



<ol start="5">
<li>Felülvizsgálat és folyamatos fejlesztés: a hatékonyság rendszeres ellenőrzése és a szükség szerinti finomhangolása biztosítja a rendszer relevanciájának és hatékonyságának fenntartását.</li>
</ol>



<h2 class="wp-block-heading">Hogyan néz ki a megfelelőség folyamata?</h2>



Ez egy közel sem egyszerű, jelentős információbiztonsági tapasztalatot igénylő procedúra, így legegyszerűbb módja, ha szakértői segítség felé folyamodunk. A FORTIX-nál a következő folyamaton megyünk keresztül a megbízható, eredményes végkifejlet érdekében:



<ol>
<li>Külső és belső környezet felmérése: az első lépés a vállalat környezetének teljes körű áttekintése. Ide értjük az aktuális információbiztonsági kontrollokat és azok érettségi szintjét – ez magában foglalja az összes releváns folyamat, rendszer és eszköz felülvizsgálatát, hogy megértsük a cég aktuális biztonsági állapotát és annak kockázati kitettségét.</li>
</ol>



<ol start="2">
<li>Információbiztonsági irányítási keretrendszer kialakítása: ez a lépés magában foglalja az információbiztonságért felelős szerepkörök kijelölését, az alkalmazandó kockázatelemzési módszertan meghatározását, és az irányítási rendszer operatív feladatainak kijelölését.</li>
</ol>



<ol start="3">
<li>Kockázatelemzés: a kockázatelemzés során felmérjük és auditáljuk azokat a kritikus információs vagyonelemeket, amelyek az üzleti tevékenységek során veszélyeztetve lehetnek. Ez a lépés lehetővé teszi cége számára, hogy megértse és priorizálja azokat a kockázatokat, amelyekkel szemben védekezni kell.</li>
</ol>



<ol start="4">
<li>Kontrollok bevezetése: a kockázatelemzést követően kialakítjuk a kockázatkezelési stratégiáját és segítünk bevezetni azokat az információbiztonsági kontrollokat, amelyek csökkentik ezeket a kockázatokat.</li>
</ol>



<ol start="5">
<li>Teljesítmény nyomon követése: a megvalósított kontrollok hatékonyságának mérésére segítünk vállalatának releváns információbiztonsági célokat kitűzni, kulcs teljesítménymutatókat elemezni, és elvégezzük a belső auditot.</li>
</ol>



<ol start="6">
<li>Tanúsító auditra felkészítés: miután a fent említett lépéseket sikeresen végrehajtottuk, cége felkészült a tanúsító auditra.</li>
</ol>



Tesszük mindezt a szabvány által is definiált PDCA (Plan-Do-Check-Act) életciklusnak megfelelően.



<h2 class="wp-block-heading">Következtetések</h2>



Az ISO 27001 alkalmazása elengedhetetlen azon “korral haladó” vállalatok számára, akik elkötelezettek az adat- és információbiztonság iránt.



A szabvány amellett, hogy egy keretrendszert nyújt az adatvédelemhez, egy átfogó módszertanként is szolgálhat a céget érintő információbiztonsági kockázatok kezelésére.



Bevezetése hozzájárul a…



<ul>
<li>kockázatarányos védelemhez,</li>



<li>vállalati hitelesség növeléséhez,</li>



<li>a jogi megfelelőség biztosításához,</li>



<li>a biztonsági incidensek csökkentéséhez.</li>



<li>a jelenlegi ügyfelek, partnerek megtartásához,</li>



<li>a szervezet folyamatainak fejlesztéséhez,</li>
</ul>



…miközben csökkenti a váratlan költségeket, erőforrás-felhasználásokat.



A szabvány bevezetésén gondolkodik, azonban nem talált még erre megfelelő partnert? <a href="https://www.fortix.hu/szolgaltatasok/iso27001-isms-bevezetes">Válassza a FORTIX-ot!</a>

Az ISO 27001 szerepe a vállalati biztonságban

Fedezd fel, hogyan válhatsz kiberbiztonsági szakemberré mindössze hat hónap alatt, és lépj be egy gyorsan fejlődő, kihívásokkal teli szakmába, ahol garantáltan értékes munkaerő leszel. A CyberCamp kerekasztal beszélgetése során részletes betekintést nyerhetsz a képzésünkbe, meghallgathatod volt diákjaink és oktatóink inspiráló történeteit, és megtudhatod, hogyan segítünk neked a karriered új irányba terelésében.



<figure class="wp-block-image size-medium"><img loading="lazy" decoding="async" width="300" height="300" src="https://static.fortix.hu/app/uploads/2024/04/CC_Webinar_0425-Instagram-bejegyzes-1-300x300.png" alt="" class="wp-image-1791" srcset="https://static.fortix.hu/app/uploads/2024/04/CC_Webinar_0425-Instagram-bejegyzes-1-300x300.png 300w, https://static.fortix.hu/app/uploads/2024/04/CC_Webinar_0425-Instagram-bejegyzes-1-1024x1024.png 1024w, https://static.fortix.hu/app/uploads/2024/04/CC_Webinar_0425-Instagram-bejegyzes-1-150x150.png 150w, https://static.fortix.hu/app/uploads/2024/04/CC_Webinar_0425-Instagram-bejegyzes-1-768x768.png 768w, https://static.fortix.hu/app/uploads/2024/04/CC_Webinar_0425-Instagram-bejegyzes-1.png 1080w" sizes="(max-width: 300px) 100vw, 300px" /></figure>



<h3 class="wp-block-heading">A webináron megismerkedhetsz a CyberCamp</h3>



&#8211; egyik elismert oktatójával



&#8211; tapasztalt mentorával



&#8211; vezetőjével



&#8211; alapítójával



&#8211; korábbi hallgatójával



Mindegyikük megosztja velünk azokat a kulcsfontosságú ismereteket, amelyek megkülönböztetik a CyberCampet más képzések közül.



<h2 class="wp-block-heading">Miért érdemes részt venned?</h2>



Szakmai betekintés: Hallgasd meg az oktatók és a résztvevők élménybeszámolóit, akik már megtapasztalták a CyberCamp által nyújtott lehetőségeket.



Értékes ismeretek: Minden előadónk kulcsfontosságú betekintést nyújt abba, hogyan készít fel a CyberCamp a kiberbiztonsági piac kihívásaira.



Inspiráló közösség: Ismerkedj meg a CyberCamp közösségével, amely támogató és dinamikus környezetet biztosít minden diák számára.



Kérdések és válaszok: Kérdezz bátran a képzéssel, a karrier lehetőségekkel vagy bármilyen specifikus témával kapcsolatban.



Ne hagyj ki egy olyan eseményt, ahol minden kérdésedre választ kaphatsz a kiberbiztonsági pályával kapcsolatban! Ez a webinár tökéletes lehetőséget nyújt, hogy megtudd, hogyan válaszol a CyberCamp a kiberbiztonsági szakma kihívásaira, és hogyan segíthet neked abban, hogy értékes és keresett szakember váljon belőled. Tarts velünk, és tedd meg az első lépést egy biztonságosabb digitális jövő felé!



<h3 class="wp-block-heading">Időpont: 2024. április 25., csütörtök, 16:00 &#8211; 17:00</h3>



<h3 class="wp-block-heading">Helyszín: Online – az előadás ingyenes, de regisztrációhoz kötött</h3>



Korábbi webinarjaink visszanézhetők&nbsp;<a href="https://youtube.com/playlist?list=PL8l3STN19M7yOXxr_8pbQhRm9Q7_y1sFJ&amp;si=4VcArX3thMlZx1vY">YouTube csatornánk lejátszási listáján</a>.



<div class="wp-block-buttons is-content-justification-left is-layout-flex wp-container-core-buttons-layout-1 wp-block-buttons-is-layout-flex">
<div class="wp-block-button has-custom-width wp-block-button__width-100 is-style-outline"><a class="wp-block-button__link has-text-align-center wp-element-button" href="https://my.demio.com/ref/AJObvUIAu1ATEYPi">Regisztráció az eseményre</a></div>
</div>

Mire válasz a CyberCamp? Kerekasztal beszélgetés

<div class="wp-block-image">
<figure class="aligncenter size-medium"><img loading="lazy" decoding="async" width="300" height="300" src="https://static.fortix.hu/app/uploads/2024/03/sulimobil-300x300.png" alt="" class="wp-image-1664" srcset="https://static.fortix.hu/app/uploads/2024/03/sulimobil-300x300.png 300w, https://static.fortix.hu/app/uploads/2024/03/sulimobil-150x150.png 150w, https://static.fortix.hu/app/uploads/2024/03/sulimobil.png 756w" sizes="(max-width: 300px) 100vw, 300px" /></figure></div>


Időnként felizzik a téma, hogy legyen-e mobileszköz használat az iskolában. Ha megjelenik egy bejegyzés, cikk, akár most a szlovák oktatási miniszter, Tomáš Drucker javaslata miatt, akár korábban, a kommentek tömege jelzi, hogy milyen jó lenne, ha betiltásra kerülne a sulikban minden kütyü. Látszólag „mindenki” ezt akarja. Mondjuk én meg szeretnék egy Lamborghinit – mert mindenki pont úgy szakértő a témában, ahogy én autóversenyző.



Félreértés ne essék, jóideje az a véleményem, hogy kb. az alsó tagozat végéig, az alapkészségek elsajátításáig ne legyen mobil, meg tablet: Minek?! De ez nem az iskolára vonatkozik, hanem mindenhová, legfőképpen otthonra. De ez sem ilyen egyszerű.



Nem vagyok gyermekpszichológus, csak a környezetemre és családi tapasztalataimra hagyatkozhatom, mikor arról van szó, mit is szeretne a totyogós csemete. Alapesetben „Flappy Bird”-öt és „Google account”-ot biztosan nem. Kapcsolódni szeretne, számára megfelelő feladatot, visszajelzést, játszani és azt csinálni, amit a szülő szokott. Ilyen egyszerű. (Persze majd jöhetnek a szakértők és megmondhatják, miért nem az mégsem.) Tehát a gyermek azt akarja csinálni, amit mi – autót szerelni, főzni, tüzet oltani és űrsétát tenni. Ezért van a játék villáskulcs, a babakonyha, a tűzoltóautó és az űrhajós-sisak a gyerekszoba polcán. De figyeljünk kicsit magunkra, és nézzük meg mit is csinálunk, amikor a gyerek a közelünkben van: Kezeljük az ezerféle kommunikációs csatornán felénk ömlő információt, anyuka megrendeli a webshopból a hétvégi rántottszeletet, csetel az ovis csoport anyukáival a megosztott farsangi fotókkal kapcsolatban, rendezi a banki ügyeket a telefonján. Főzés közben meg tableten nézi a receptet a menőséf YouTube csatornájáról. Apuka – legyen mondjuk építési vállalkozó – ha hazajön, még lenyom egy Teams-meetinget, majd streameli a hétvégi meccset, közben letölti a CAD fájlokat és áttölti a méreteket a lézeres mérőeszköz szoftverébe. A nagyobb tesó épp a konzolon CoD-ban lövi szét egy másik online játékos virtuális fejét. Ovisunk meg ott áll, mutat valami kütyüre és üvölt: – Nem kell a tűzoltóautó! Tablet kell meg okostelefon!



Ugye mindenki érti? Mi, felnőttek, akik hű, de nagyon szeretnénk, hogy tilcsákbe’ mutatjuk azt a példát, amit. Üvölt a gyerek, hogy tablet kell?! Adjunk neki gyorsan egyet, „google account”-tal és „Flappy Bird”-el, akkor csönd lesz, mehet tovább a főzőshow és a meccsstream. A tűzoltóautó pedig összekarolva a villáskulccsal és űrhajós-sisakkal szomorúan könyökölnek a babakonyha pultján.



Így érünk az iskolába, ahol a népek és egyes szakértők szerint sem kell a mobil, a tablet és talán az informatika oktatás se – mondjuk nem is nagyon van, tisztelet a kivételnek. Pedig pont nem itt kellene elvonni az elmúlt évtizedek legnagyobb fejlődését hozó informatikai eszközöket, ahol azok hasznosan és előnnyel forgathatók, mint a matekóra, a földrajz vagy a fizika. Mennyivel egyszerűbb látványosan elsajátítani az emberi test működését egy 3D oktatóprogramban, vagy kémiai anyagok robbanását szimulálni virtuálisan, a valódi szertár levegőbe repítése nélkül. A nyelvtanár unalmas frontoktatásának hatásfoka is messze elmarad az anyanyelvi diákokkal beszélgetést szervező oktatóprogram eredményei mellett.



Ehhez kellenek megfelelő eszközök, kialakított környezet, biztonságos hálózat. Szükség van a tanárok felkészítésére és oktatására – sokkal hatékonyabban –, bátorításuk a különféle informatikai megoldások bevezetésére és fejlesztésére. Támogatás a pedagógiai célok eléréséhez. Kell hozzá a pedagógus elkötelezettsége, a szülő támogatása, és a megfelelő informatikai eszközök használatára optimalizált gyermekbarát feladatokban is van még hiányosság. Mondjuk az elöregedett, már a technikai megoldásokra kevésbé fogékony pedagógustársadalom sem ideális az oktatás informatikai fejlesztéséhez. Pedig lassan van, vagy akár lehet elegendő eszköz is.



A kommentelő szülők az látják, amit látni akarnak, és tolják át a felelősséget az iskola felé, nem veszik észre és nem is akarják tudomásul venni azt a lehetőséget, ha a gyermek egy munkaeszközként tekint a kütyüre, akkor azt a felhasználási formát tanulja meg, és kevésbé lesz csak a szórakozás, a hamis pozitív visszajelzést adó játékprogramok és a céltalan időtöltés eszköze.



De ez nehéz. Ahogy az én korosztályomnak a matinéadás, úgy a mai kicsiknek a tablet, a youtube vagy a minecraft a póráz, a szülőnek a folyamatos csendes időszak, hiszen olyan jól elvan a gyerek a képernyő előtt. Mindezt úgy, hogy sokszor sem szülői felügyelet, sem kontrol, sem beszélgetés nincs a gyerekkel az ő szintjén a kiberkockázatokról, hogy mit csinálunk a neten, hogy miért, és hogyan kellene. De ez nem csoda, a szülőknek sokszor fogalmuk sincs ezekről, hiszen saját maguk is áldozatai az adathalász támadásoknak, a zsarolóvírusoknak vagy akár online zaklatásnak – amik olyanok, mint egy piszkos folt a szőnyegen: ha nem jön ki, rátoljuk a fotelt és nem beszélünk róla többet, pláne a gyerekkel &#8211; de a suliban ne legyen mobilkütyü!



Szerintem meg inkább otthon legyen sok foci, társas és medzsboxozás a szőnyegen. Meg kutyasétáltatás, rohangálás a réten, a téren vagy a gangos ház udvarán. Keressük és találjuk meg a digitális egyensúlyt a családban, együtt, nem az iskolára mutogatva tiltással, hanem otthon, a saját környezetünkben teremtve meg az egészséges élet feltételeit. Az iskola meg alakítsa ki a korszerű, hatásos oktatás digitális feltételeit, és legyen ott annyi mobileszköz, amennyi szükséges.



<hr class="wp-block-separator has-alpha-channel-opacity"/>



<div style="height:40px" aria-hidden="true" class="wp-block-spacer"></div>



A szerző kiberbiztonsági tanácsadó, családapa, a saferinternet.hu oktatója.

Kütyükérdés: mobil a suliban?!?

A digitális világunkban a kiberbiztonság már nem csak egy opció, hanem egy alapvető szükséglet. Nap mint nap szembesülünk a virtuális tér veszélyeivel: legyen szó email fiókok támadásáról vagy zsarolóvírusokról, a fenyegetések valósak és állandóak. Itt jön képbe a kiberbiztonsági karrier, mint a modern kor egyik legdinamikusabban fejlődő szakterülete.



A <a href="https://www.fortix.hu/cybercamp-kiberbiztonsagi-kepzes">CyberCamp</a> missziója egyértelmű: olyan junior kiberbiztonsági szakembereket képezni, akik képesek lesznek megküzdeni a folyamatosan változó és egyre összetettebb kiberfenyegetésekkel. A képzésünk nem csupán elméleti tudást nyújt, hanem gyakorlati készségekre is koncentrál, hogy a résztvevők valós kihívások megoldására legyenek felkészülve.



<h2 class="wp-block-heading">Kiberbiztonsági karrier: Biztonságos jövőt építünk</h2>



<ol>
<li>Offensive Security (Támadói biztonság) &#8211; Ez magába foglalja az etikus hackereket, akik a rendszerek sebezhetőségeit keresik és tesztelik annak érdekében, hogy erősítsék a védelmet.</li>



<li>Defensive Security (Védekező biztonság) &#8211; A &#8216;blue team&#8217; tagjai, akik az IT rendszerek biztonságáért felelnek, beleértve a megfigyelést és a biztonsági események kezelését.</li>



<li>GRC (Governance, Risk, Compliance) &#8211; A kormányzás, kockázat és megfelelés területe, amely a biztonsági irányelvek, eljárások és szabályozások betartásáért felel.</li>



<li>További területek &#8211; Más funkciók, amelyek a kiberbiztonságot támogatják, mint például projektmenedzsment, tanácsadás, oktatás/tréning, vagy értékesítés.</li>
</ol>



A kiberbiztonsági szakma lényege: Nem csupán technológia 



A kiberbiztonsági karrier lehetőségei széleskörűek. Függetlenül attól, hogy milyen előzetes tapasztalatokkal rendelkezel, a CyberCamp képzés segítségével hozzájárulhatsz a digitális világunk biztonságához. Fedezd fel, hogyan válhatsz te is részévé ennek a jövőálló és folyamatosan fejlődő szakmának.



<figure class="wp-block-image size-large"><img loading="lazy" decoding="async" width="349" height="1024" src="https://static.fortix.hu/app/uploads/2024/02/kiberbiztonsag-karrierek-infografika1-349x1024.png" alt="" class="wp-image-1616" srcset="https://static.fortix.hu/app/uploads/2024/02/kiberbiztonsag-karrierek-infografika1-349x1024.png 349w, https://static.fortix.hu/app/uploads/2024/02/kiberbiztonsag-karrierek-infografika1-102x300.png 102w, https://static.fortix.hu/app/uploads/2024/02/kiberbiztonsag-karrierek-infografika1-768x2256.png 768w, https://static.fortix.hu/app/uploads/2024/02/kiberbiztonsag-karrierek-infografika1-523x1536.png 523w, https://static.fortix.hu/app/uploads/2024/02/kiberbiztonsag-karrierek-infografika1-697x2048.png 697w" sizes="(max-width: 349px) 100vw, 349px" /><figcaption class="wp-element-caption">Forrás: cybercamp.hu</figcaption></figure>

Kiberbiztonsági karrier

<h1 class="wp-block-heading">A tudatosítás ereje nem csak fiataloknak</h1>



Az internet biztonságossá tétele nem korhatáros feladat. A CyberCampben arra törekszünk, hogy mindenki számára elérhetővé tegyük a digitális világban rejlő veszélyek megértését és az azokkal szembeni védekezés módszereit. 



Ebben a webinarban Szabó Zoltán kiberbiztonsági szakértőnk segítségével megvizsgáljuk, hogy a tudatosítás milyen szerepet játszik a kiberbiztonságban, és hogyan lehet a legjobban felhívni a figyelmet a digitális biztonság fontosságára minden korosztály számára. Kitérünk arra is, hogy a figyelemfelkeltő programok mérhető hatásai mellett milyen szerepet játszik a családi számítógép, és hogyan kapcsolódik a célzott adathalász támadások kivédéséhez.



<h2 class="wp-block-heading">Mire fogsz választ kapni a webinar során?</h2>



<ul>
<li>Hogyan építsük fel a kiberbiztonsággal kapcsolatos oktatásokat? </li>



<li>Milyen hatást lehet kiváltani egy jól irányzott figyelemfelkeltéssel? </li>



<li>Mi a fontosabb, az auditra való felkészítés, vagy a kávészünet? </li>



<li>Mérhető-e egy figyelemfelkeltő program összes hatása? </li>



<li>Hogyan kapcsolódik a családi számítógép a célzott adathalász támadások kivédéséhez?</li>
</ul>



<h3 class="wp-block-heading">Előadó: Szabó Zoltán, kiberbiztonsági szakértő</h3>



<figure class="wp-block-image size-large is-resized is-style-default"><img loading="lazy" decoding="async" width="1024" height="1024" src="https://static.fortix.hu/app/uploads/2023/11/BS-35-1-1024x1024.jpg" alt="" class="wp-image-674" style="object-fit:cover;width:207px;height:auto" srcset="https://static.fortix.hu/app/uploads/2023/11/BS-35-1-1024x1024.jpg 1024w, https://static.fortix.hu/app/uploads/2023/11/BS-35-1-300x300.jpg 300w, https://static.fortix.hu/app/uploads/2023/11/BS-35-1-150x150.jpg 150w, https://static.fortix.hu/app/uploads/2023/11/BS-35-1-768x768.jpg 768w, https://static.fortix.hu/app/uploads/2023/11/BS-35-1-1536x1536.jpg 1536w, https://static.fortix.hu/app/uploads/2023/11/BS-35-1-2048x2048.jpg 2048w" sizes="(max-width: 1024px) 100vw, 1024px" /></figure>



<h3 class="wp-block-heading">Időpont: 2024. március 12., kedd &#8211; 16:00 &#8211; 17:00</h3>



Helyszín: online &#8211; az előadás ingyenes, de regisztrációhoz kötött







Korábbi webinarjaink visszanézhetők <a href="https://youtube.com/playlist?list=PL8l3STN19M7yOXxr_8pbQhRm9Q7_y1sFJ&amp;si=4VcArX3thMlZx1vY">YouTube csatornánk lejátszási listáján</a>. 



<div class="wp-block-buttons is-layout-flex wp-block-buttons-is-layout-flex">
<div class="wp-block-button has-custom-width wp-block-button__width-100 is-style-outline"><a class="wp-block-button__link has-white-color has-vivid-cyan-blue-background-color has-text-color has-background has-link-color wp-element-button" href="https://my.demio.com/ref/STSfMIoGCGwvFIDu" style="border-radius:100px" target="_blank" rel="noreferrer noopener">Regisztráció az eseményre</a></div>
</div>







<script async id="demio-js" type="text/javascript" src="https://cdn.demio.com/production/dashboard/embed.bundle.js"></script>

WEBINAR – Hogyan lesz biztonságos az internet a Saferinternettől?

<h2 class="wp-block-heading">Bevezető a NIS2 irányelvről és annak jelentőségéről</h2>



A NIS2 irányelv az Európai Unióban a meghatározott szervezetek részére egy kockázatarányos és magasabb szintű kiberbiztonságot előirányzó intézkedés, amely 2023-ban lépett hatályba. Magyarországon a Szabályozott Tevékenységek Felügyeleti Hatósága (SZTFH) biztosítja a NIS2 irányelvnek történő megfeleléshez a hazai jogszabályi környezet kialakítását. Ehhez megalkották a kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről szóló 2023. évi XXIII. (Kibertan.) törvényt.


<div class="wp-block-image">
<figure class="aligncenter size-large is-resized"><img loading="lazy" decoding="async" width="1024" height="512" src="https://static.fortix.hu/app/uploads/2023/11/Nevtelen-terv-38-1024x512.png" alt="" class="wp-image-1423" style="width:534px;height:auto" srcset="https://static.fortix.hu/app/uploads/2023/11/Nevtelen-terv-38-1024x512.png 1024w, https://static.fortix.hu/app/uploads/2023/11/Nevtelen-terv-38-300x150.png 300w, https://static.fortix.hu/app/uploads/2023/11/Nevtelen-terv-38-768x384.png 768w, https://static.fortix.hu/app/uploads/2023/11/Nevtelen-terv-38-1536x768.png 1536w, https://static.fortix.hu/app/uploads/2023/11/Nevtelen-terv-38.png 2000w" sizes="(max-width: 1024px) 100vw, 1024px" /></figure></div>


<h2 class="wp-block-heading">Kiemelten kockázatos és kockázatos ágazatok a NIS2 irányelv alapján</h2>



Kijelöltek kiemelten kockázatos (alapvető szervezetek) és kockázatos ágazatokat (fontos szervezetek), melyek részletes meghatározása a törvény mellékletében található.



<h3 class="wp-block-heading">A NIS2 irányelv hatálya és az érintett szervezetek kötelezettségei</h3>



A törvény hatálya alá tartoznak a kijelölt ágazatokon belül többek között azok a szervezetek, amelyeknél:



<ul>
<li>50 főnél több a foglalkoztatott, vagy</li>



<li>10M Euro feletti az éves árbevétel.</li>
</ul>



A szervezetek számára az információbiztonsági érettségük függvényében nem feltétlenül újdonság a törvény szerinti információbiztonsági elvárások és megfelelésük.



<h2 class="wp-block-heading">A NIS2 megfelelési folyamat lépései</h2>



<h3 class="wp-block-heading">Első lépések a NIS2 megfelelés felé</h3>



A Kibertan. törvény hatálya alá tartozó szervezet feladatai a megfelelés kapcsán:



<ul>
<li>Önazonosítás, nyilvántartásba vételre bejelentkezés, az elektronikus információs rendszerek biztonságáért felelős személy (IBF) kijelölése és bejelentése &#8211; 2024.01.01. és 2024.06.30. között</li>



<li>Rendszerek biztonsági osztályba sorolása &#8211; 2024.01.01. és 2024.06.30. között</li>



<li>Első kiberbiztonsági audit vonatkozásában szerződés kötés auditorral &#8211; a nyilvántartásba vételtől számított 120 napon belül</li>



<li>Éves felügyeleti díj megfizetése &#8211; 2024.10.18-ig</li>



<li>Biztonsági osztálytól függően a védelmi intézkedések alkalmazása és megfelelése &#8211; 2024.10.18-től</li>



<li>Első kiberbiztonsági audit lefolytatása &#8211; 2025.12.31-ig</li>
</ul>



A kiberbiztonsági audit rendszeres elvárás lesz, legalább kétévente ismétlődően.



<h2 class="wp-block-heading">Hogyan kezdjünk hozzá a NIS2 megfelelés felkészüléséhez?</h2>



Első lépés 2024.06.30-ig a nyilvántartásba vételhez történő bejelentkezés, cégkapun keresztül lehet elindítani a Hatóság felé, ehhez részletek és útmutatás:



<a href="https://sztfh.hu/ugyintezes/nyomtatvanyok-es-urlapok/sztfh420/">https://sztfh.hu/ugyintezes/nyomtatvanyok-es-urlapok/sztfh420/</a>



Következő lépésként az osztályba sorolást kell elvégezni, illetve auditorral szerződést kell kötni, a nyilvántartásba vételtől számított 120 napon belül. A hatóság által akkreditált auditorok listája itt található: 



<a href="https://sztfh.hu/nyilvantartasok/megfelelosegertekelo-szervezetek/">https://sztfh.hu/nyilvantartasok/megfelelosegertekelo-szervezetek/</a>



<h3 class="wp-block-heading">A felkészülés fontossága és a szakértők szerepe</h3>



Fentiekkel párhuzamosan a felkészülést, a szervezet kiberbiztonsági érettségének felmérését már most javasolt megkezdeni. Mivel a jelenlegi állapottól függően jelentős nagyságú és számú feladatok is állhatnak előttünk, javasolt a témában tapasztalattal rendelkező szakértőhöz fordulni, aki tematikusan tud segíteni a felkészülésben, &nbsp;rá tud világítani a hiányos területekre.







<a href="https://www.fortix.hu/szolgaltatasok/nis-2-kiber-tanusitasi-felkeszites" target="_blank" rel="noreferrer noopener">NIS2-re való felkészítési szolgáltatásunk a vállalatoknak nyújt támogatást az új NIS2 irányelv követelményeinek megértésében és azoknak való megfelelésben.</a>



<hr class="wp-block-separator has-alpha-channel-opacity"/>



<h3 class="wp-block-heading">Hivatkozások a NIS2 irányelv hazai implementációjának törvényére és a vonatkozó rendeletekre:</h3>



<ul>
<li><a href="https://net.jogtar.hu/jogszabaly?docid=a2300023.tv&amp;timeshift=20240101">2023. évi XXIII. törvény a kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről &#8211; Hatályos Jogszabályok Gyűjteménye</a></li>



<li><a href="https://njt.hu/jogszabaly/2023-10-20-8K">10/2023. (V. 15.) SZTFH rendelet &#8211; az információs és kommunikációs technológiák kiberbiztonsági tanúsításáról</a></li>



<li><a href="https://njt.hu/jogszabaly/2022-30-20-8K">30/2022. (II. 14.) SZTFH rendelet &#8211; a nemzeti kiberbiztonsági tanúsító hatóság eljárásával összefüggő kiberbiztonsági tanúsítás keretében fizetendő igazgatási szolgáltatási díjról</a></li>



<li><a href="https://njt.hu/jogszabaly/2023-305-20-22">305/2023. (VII. 11.) Korm. Rendelet &#8211; a kiberbiztonsági bírságok mértékéről, a bírság kiszabásának és befizetésének részletes eljárási szabályairól</a></li>



<li><a href="https://njt.hu/jogszabaly/2023-23-20-8K">23/2023. (XII. 19.) SZTFH rendelet az érintett szervezetek kiberbiztonsági felügyeleti hatósági nyilvántartásáról</a></li>
</ul>

Az EU NIS2 irányelv megvalósulása Magyarországon

A NIS2 irányelv az egész Európai Unióban egységesen magas szintű kiberbiztonságot előirányzó intézkedés, amely 2023-ban lépett hatályba. Az irányelv kötelezettségeket ír elő a tagállamok számára és olyan ágazatokra terjed ki, amelyek a gazdaság működése szempontjából kiemelt fontosságúak.



Töltse le a FORTIX szakértői által készített részletes anyagot a legfontosabb információkért!


<div class="wp-block-image is-style-default">
<figure class="aligncenter size-large is-resized"><img loading="lazy" decoding="async" width="1024" height="684" src="https://static.fortix.hu/app/uploads/2024/02/O9ykINRd5ed-1024x684.png" alt="" class="wp-image-1415" style="width:621px;height:auto" srcset="https://static.fortix.hu/app/uploads/2024/02/O9ykINRd5ed-1024x684.png 1024w, https://static.fortix.hu/app/uploads/2024/02/O9ykINRd5ed-300x200.png 300w, https://static.fortix.hu/app/uploads/2024/02/O9ykINRd5ed-768x513.png 768w, https://static.fortix.hu/app/uploads/2024/02/O9ykINRd5ed-1536x1026.png 1536w, https://static.fortix.hu/app/uploads/2024/02/O9ykINRd5ed-2048x1368.png 2048w" sizes="(max-width: 1024px) 100vw, 1024px" /></figure></div>

Megérkezett a NIS2 Magyarországra

<div class="wp-block-image">
<figure class="aligncenter size-large is-resized"><img loading="lazy" decoding="async" width="1024" height="574" src="https://static.fortix.hu/app/uploads/2024/02/lakatosdaniel88_Online_scam_involving_a_credit_card_a_hackers_d_2dd1842b-773c-4541-a8e3-c5818ee12d1d-1024x574.png" alt="" class="wp-image-1327" style="width:500px" srcset="https://static.fortix.hu/app/uploads/2024/02/lakatosdaniel88_Online_scam_involving_a_credit_card_a_hackers_d_2dd1842b-773c-4541-a8e3-c5818ee12d1d-1024x574.png 1024w, https://static.fortix.hu/app/uploads/2024/02/lakatosdaniel88_Online_scam_involving_a_credit_card_a_hackers_d_2dd1842b-773c-4541-a8e3-c5818ee12d1d-300x168.png 300w, https://static.fortix.hu/app/uploads/2024/02/lakatosdaniel88_Online_scam_involving_a_credit_card_a_hackers_d_2dd1842b-773c-4541-a8e3-c5818ee12d1d-768x430.png 768w, https://static.fortix.hu/app/uploads/2024/02/lakatosdaniel88_Online_scam_involving_a_credit_card_a_hackers_d_2dd1842b-773c-4541-a8e3-c5818ee12d1d.png 1456w" sizes="(max-width: 1024px) 100vw, 1024px" /></figure></div>


A generatív mesterséges intelligencia lehetővé teszi, hogy bárki kifinomult adathalász támadásokat indítson, amelyeket csak az újgenerációs MFA-eszközök tudnak megállítani.



A 2023-as év legkevésbé meglepő fejleménye, hogy a zsarolóvírusok ismét rekordot döntöttek az incidensek számát és az okozott károkat tekintve.&nbsp;Minden héten új szalagcímeket láthattunk, amelyekben a nagynevű szervezetek ki-ki névsora szerepelt. Ha az MGM, a Johnson Controls, a Chlorox, a Hanes Brands, a Caesars Palace és még sokan mások nem tudják megállítani a támadásokat, akkor hogyan fogja egy kisebb szervezet? 



<h2 class="wp-block-heading">Ransomware és adathalászat, kéz a kézben</h2>



 Az adathalászatból kiinduló zsarolóvírus támadás, az a kiberfenyegetés, amely minden másnál nagyobb és veszélyesebb.&nbsp;A CISA és a Cisco jelentése szerint az adatvédelmi incidensek&nbsp;90 százaléka&nbsp;adathalász támadás eredménye, és a pénzbeli veszteségek összességében meghaladják a&nbsp;10 milliárd dollárt. A Splunk jelentéséből kiderült, hogy&nbsp;a vállalatok 96 százaléka&nbsp;legalább egy adathalász támadás áldozatává vált az elmúlt 12 hónapban, 83 százalékuk pedig kettőt vagy annál többet szenvedett el.



Aki a kiberbiztonsági szegmensben dolgozik, az az elmúlt 20 évben hihetetlen előrelépéseket látott a védelem terén. Az egyetlen dolog, ami nem fejlődött, az az ember. A felhasználók minden szervezetben nem sokkal fejlettebbek a kibertámadások megállításában, mint két évtizeddel ezelőtt. Ezért olyan hatékony az adathalászat a kiberbűnözők számára &#8211; mert az emberi gyengeségeket használja ki, nem pedig a technológiát. Így marad a hagyományos MFA a legkritikusabb védelmi mechanizmus, és képzeld, a legtöbb vállalat olyan régi MFA-technológiát használ, amely szintén 20 éves.



Itt van, hogy a dolgok miért lesznek sokkal rosszabbak. A generatív mesterséges intelligencia (GenAI) térhódításával a kiberbűnözők képesek az adathalászatot egy teljesen új szintre emelni, ahol minden támadás esetében szinte lehetetlenné válhat a felhasználók számára az azonosítás, és a támadók most már kis erőfeszítéssel képesek lesznek ezt megtenni.



<h2 class="wp-block-heading">Mi köze a GenAI-nak az adathalászathoz?</h2>



Az adathalászat megtévesztő kommunikációt &#8211; e-maileket, szöveges üzeneteket és hangüzeneteket &#8211; használ arra, hogy a felhasználókat szenzitív adatok, például bejelentkezési adatok, jelszavak, egyszer használatos jelszavak, személyes adatok és hamis jóváhagyó üzenetekre való kattintás megtévesztésére csábítsa.



A kiberbűnözői bandák megtanulják használni a GenAI-eszközök, például a ChatGPT csalás-verzióinak hihetetlen erejét, hogy meggyőzőbbnél meggyőzőbb és valósághűbb adathalász üzeneteket hozzanak létre. Ez a nagymértékben személyre szabott és kontextustudatos szöveg gyakorlatilag megkülönböztethetetlen a normál emberi kommunikációtól. Ez pedig rendkívül nehézzé teszi a címzettek számára, hogy különbséget tegyenek a valódi és a hamis üzenetek között. Az LLM-ek (<a href="https://eur02.safelinks.protection.outlook.com/?url=https%3A%2F%2Fwww.cloudflare.com%2Fen-gb%2Flearning%2Fai%2Fwhat-is-large-language-model%2F&amp;data=05%7C02%7Cvajk.koka%40fortix.hu%7Cca38a6b865044e1ea2b208dc22fcb7f4%7C53c89eb8b5084d6c9c7b94377f0401a0%7C0%7C0%7C638423716018092340%7CUnknown%7CTWFpbGZsb3d8eyJWIjoiMC4wLjAwMDAiLCJQIjoiV2luMzIiLCJBTiI6Ik1haWwiLCJXVCI6Mn0%3D%7C0%7C%7C%7C&amp;sdata=EEQkUUDy0so9z5jCThneTB0cebBFzDXzqQXl%2F0mBXZw%3D&amp;reserved=0">Large Language Model</a>) azt is lehetővé teszik, hogy szinte bárki &#8211; nem csak a profi hackerek &#8211; adathalász támadásokat indítson.



Ráadásul a hagyományos adathalászat elleni megoldások nem hatékonyak a GenAI által létrehozott legújabb adathalász üzenetek felismerésében. A GenAI-tartalomból hiányoznak az adathalászat árulkodó jelei, mint például a helyesírási hibák vagy az általános nyelvezet. Az adathalászatot észlelő eszközök a mintafelismerésre és az adathalászat ismert jelzőire támaszkodnak, amelyek már nem lesznek jelen. Talán még aggasztóbb, hogy a GenAI-eszközök lehetővé teszik a kiberbűnözők számára, hogy tömegesen, rendkívül célzott adathalászkampányokat folytassanak. A fenyegető szereplők ma már gyakorlatilag korlátlan számú, személyre szabott adathalász üzenetek generálását automatizálhatják az áldozatok széles köre számára.



<h2 class="wp-block-heading">Változó taktika az adathalászat ellen</h2>



A GenAI-alapú adathalász támadások robbanásszerű terjedése felvet egy nagy kérdést: képesek leszünk-e valaha is kiszúrni a szuperrealisztikus hamisítványokat? Elveszítjük az adathalászat elleni harcot?



Ez a kérdés számos vállalatot arra késztet, hogy felülvizsgálja adathalászat elleni taktikáját. Az adathalász támadások elleni küzdelem érdekében fejleszteniük kell az adathalászat elsődleges célpontjait: a hitelesítő adatokat és a hagyományos MFA-t. Jelszómentessé válva a hagyományos hitelesítő adatokra való támaszkodás megszüntetésével, valamint a következő generációs MFA bevezetésével a 20 éves technológia, a hagyományos MFA felváltására.



Az okos vállalatok a felhasználónév és jelszó helyett a jelszó nélküli hitelesítésre állnak át. Ezek a megoldások azonban, bár óriási előrelépést jelentenek, korlátokkal is rendelkeznek. Egy elveszett, ellopott vagy kompromittált eszköz, amely nem biometrikus, felhasználható jogosulatlan hozzáférés megszerzésére, a mobiltelefonok és más BYOD-eszközök pedig kikerülnek a szervezet ellenőrzése alól, és fogékonyak a felhasználó által letöltött mindenféle rosszindulatú szoftverre.



Ezen és más okokból kifolyólag a biztonságot előtérbe helyező vállalatok úgy döntenek, hogy áttérnek a következő generációs többfaktoros hitelesítésre.


<div class="wp-block-image">
<figure class="aligncenter size-full is-resized"><img loading="lazy" decoding="async" width="579" height="302" src="https://static.fortix.hu/app/uploads/2024/02/adathalaszat2.png" alt="" class="wp-image-1328" style="width:500px" srcset="https://static.fortix.hu/app/uploads/2024/02/adathalaszat2.png 579w, https://static.fortix.hu/app/uploads/2024/02/adathalaszat2-300x156.png 300w" sizes="(max-width: 579px) 100vw, 579px" /></figure></div>


<h2 class="wp-block-heading">Next-Gen MFA: Az adathalász támadási felület megzavarása</h2>



Az újgenerációs MFA felváltja a hagyományos hitelesítő adatokat, a jelszóalapú hitelesítést és a kényelmetlen és sebezhető régi MFA-megoldásokat. A következő generációs MFA paradigma egy fizikai, viselhető, FIDO2-kompatibilis eszközre támaszkodik, amely kiküszöböli az emberi tényezőt az adathalászatban &#8211; így gyakorlatilag adathalászbiztos. Ezek az élvonalbeli biometrikus viselhető eszközök a szervezeteket a BYOD sebezhetőségek, az elveszett és ellopott hitelesítő adatok, a gyenge jelszavak, a hitelesítő adatok kitöltése, az MFA kifárasztás és a könnyen ellopható SMS egyszeri jelszavak ellen is védik. A hagyományos MFA-val ellentétben a támadók egyszerűen nem tudják megkerülni a következő generációs MFA-t rosszindulatú szoftverekkel, MFA kifárasztással, adversary-in-the-middle (AiTM) támadásokkal és más módszerekkel. Mivel a hitelesítő mindig a felhasználóval marad, a viselhető next-gen MFA tokenek folyamatosan biztonságban vannak és azonnal rendelkezésre állnak a hitelesítéshez. Az eszközt csak az arra jogosult felhasználó használhatja, és egyetlen támadó sem férhet hozzá a rajta tárolt titkokhoz, kulcsokhoz és biometrikus adatokhoz.



A GenAI hajtja az adathalász támadások közelgő cunamiját, amely hatékonyan semmisíti meg a hagyományos adathalász védelmet, és feleslegessé teszi a hagyományos MFA-t. A viselhető, új generációs MFA-eszközök, mint pl. a Token Ring, megállítják a legkifinomultabb adathalász támadásokat, és jó védelmet jelenthetnek a közelgő adathalász armageddon ellen.







Felhasználói tudatosságtól függően az emberek képesek lehetnek észlelni, cselekedni, jelenteni és megállítani ezeket a támadásokat. Azonban ehhez a megfelelő ismeretekre és tudatosságra van szükség.



<a href="https://www.fortix.hu/szolgaltatasok/phishing">Segítünk&nbsp;ellenőrzött körülmények között végzett adathalász szimuláció lefolytatásával, anélkül, hogy a szervezetet valós anyagi kár érné.</a>







<hr class="wp-block-separator has-alpha-channel-opacity"/>



Forrás: <a href="https://thehackernews.com/2024/01/there-is-ransomware-armageddon-coming.html">There is a Ransomware Armageddon Coming for Us All (thehackernews.com)</a>

Adathalászat és Ransomware Armageddon!

<h2 class="wp-block-heading">Jelenthet-e a NIS2 valódi támogatást?</h2>



NIS előttem, NIS mögöttem, azt sem tudom, honnan jöttem… jut eszünkbe kissé átírva Szabó Lőrinc ismert verssora, de valóban hasonló a helyzet. A kiberbiztonsági piac szereplői közül a szolgáltatók az új piaci lehetőségekre számítva, az ügyfelek pedig bizonytalan érzésekkel várják a NIS2 iránymutatásának magyar jogszabályokba történő illesztését, a konkrét végrehajtási rendeleteket, pedig nem a várakozás a legjobb dolog, amit tenni lehet.



<h2 class="wp-block-heading">Jönnek a határidők</h2>



<div class="wp-block-columns is-layout-flex wp-container-core-columns-layout-1 wp-block-columns-is-layout-flex">
<div class="wp-block-column is-layout-flow wp-block-column-is-layout-flow" style="flex-basis:33.33%">
<figure class="wp-block-image size-medium"><img loading="lazy" decoding="async" width="300" height="271" src="https://static.fortix.hu/app/uploads/2024/01/NIS2_ima1-300x271.jpg" alt="" class="wp-image-1289" srcset="https://static.fortix.hu/app/uploads/2024/01/NIS2_ima1-300x271.jpg 300w, https://static.fortix.hu/app/uploads/2024/01/NIS2_ima1-1024x926.jpg 1024w, https://static.fortix.hu/app/uploads/2024/01/NIS2_ima1-768x695.jpg 768w, https://static.fortix.hu/app/uploads/2024/01/NIS2_ima1-1536x1389.jpg 1536w, https://static.fortix.hu/app/uploads/2024/01/NIS2_ima1.jpg 1819w" sizes="(max-width: 300px) 100vw, 300px" /></figure>
</div>



<div class="wp-block-column is-layout-flow wp-block-column-is-layout-flow" style="flex-basis:66.66%">
A kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről szóló 2023. évi XXIII. (Kibertan.) törvény már elindította a folyamatot, a kijelölt felügyeleti hatóságnál (SZTFH) elindult a munka. A megjelent és a közeljövőben várható jogszabályok pedig bízzunk benne, megfelelően végrehajthatóak lesznek a szervezetek számára. Már megnyílt a lehetőség a nyilvántartásba vételre, melyet önazonosítás után 2024.06.30-ig kell megtenni, és fel lehet készülni a felügyeleti díj megfizetésére is, mely a szervezet előző évi árbevételének 0,015%-a (max. 10 M Ft). Ennek határideje 2024.10.18. Reméljük hamarosan látható lesz az auditot lefolytatni képes vállalkozások köre, mert a nyilvántartásba vételtől számított 120 napon belül szerződést kell kötni egy kiberbiztonsági auditot végző céggel és nem utolsósorban találni valakit, aki erre képes felkészíteni a szervezetet, amennyiben erre nincs belső erőforrás. De a fentiek elsősorban csak adminisztratív terhet jelentenek, a kiberkockázatok csökkentésére nem sok hatásuk van, pedig az lesz, ami igazán számít. Ugyan mindenki pontosan szeretné látni, hogy az irányelv három szintű biztonsági osztályba sorolásának folyamata hogyan kerül kialakításra, hogyan kapcsolódik majd a hatályos végrehajtási rendelethez (41/2015), de a várakozásban már az is előrelépés, ha egyáltalán el tudja helyezni magát a szervezet valamilyen skálán, ha tudja milyen környezetekben kell a biztonsági osztályokat meghatározni.
</div>
</div>



<h2 class="wp-block-heading">Ami igazán fontos</h2>



<div class="wp-block-columns is-layout-flex wp-container-core-columns-layout-2 wp-block-columns-is-layout-flex">
<div class="wp-block-column is-layout-flow wp-block-column-is-layout-flow" style="flex-basis:33.33%">
<figure class="wp-block-image size-medium"><img loading="lazy" decoding="async" width="300" height="292" src="https://static.fortix.hu/app/uploads/2024/01/NIS2_ima2-300x292.jpg" alt="" class="wp-image-1288" srcset="https://static.fortix.hu/app/uploads/2024/01/NIS2_ima2-300x292.jpg 300w, https://static.fortix.hu/app/uploads/2024/01/NIS2_ima2-1024x995.jpg 1024w, https://static.fortix.hu/app/uploads/2024/01/NIS2_ima2-768x747.jpg 768w, https://static.fortix.hu/app/uploads/2024/01/NIS2_ima2.jpg 1432w" sizes="(max-width: 300px) 100vw, 300px" /></figure>
</div>



<div class="wp-block-column is-layout-flow wp-block-column-is-layout-flow" style="flex-basis:66.66%">
Az irányelv szélesíti a korábbi NIS1 érintettjeinek körét, meghatároz fő alapelveket melyet érvényesíteni kell az információbiztonságot érintő folyamatokban, de ha mélyebben megnézzük, nem látunk olyan elemet, mely ne jelenne meg más kiberbiztonsági keretrendszerekben, szabványokban, sőt jógyakorlatokban, legyen az üzletmenet folytonosság biztosítása, biztonságtudatosítás, vagy az ellátási lánc biztonságának növelése. Fel kell készülni a feladatokra, de nem a NIS2 miatt jó, ha van egy megbízott, aki összefogja a feladatokat – nevezzük IBF-nek, vagy CISO-nak – és nem a NIS2 miatt kell, hogy megjelenjenek valahol a kiberbiztonsági kockázatok és azok értékelései. Ezt figyelembe véve, az adminisztrációs teendők mellett, már a pontos szabályozás megjelenése előtt előre lehet lépni számos kérdésben, mint a kockázatelemzés, a szabályozás vagy az információbiztonsághoz kapcsolódó irányítási rendszer és kontrolljainak megjelenése a működésben.
</div>
</div>



<h2 class="wp-block-heading">Van jó oldala</h2>



<div class="wp-block-columns is-layout-flex wp-container-core-columns-layout-3 wp-block-columns-is-layout-flex">
<div class="wp-block-column is-layout-flow wp-block-column-is-layout-flow" style="flex-basis:33.33%">
<figure class="wp-block-image size-medium"><img loading="lazy" decoding="async" width="300" height="300" src="https://static.fortix.hu/app/uploads/2024/01/NIS2_ima3-1-300x300.jpg" alt="" class="wp-image-1313" srcset="https://static.fortix.hu/app/uploads/2024/01/NIS2_ima3-1-300x300.jpg 300w, https://static.fortix.hu/app/uploads/2024/01/NIS2_ima3-1-1024x1024.jpg 1024w, https://static.fortix.hu/app/uploads/2024/01/NIS2_ima3-1-150x150.jpg 150w, https://static.fortix.hu/app/uploads/2024/01/NIS2_ima3-1-768x768.jpg 768w, https://static.fortix.hu/app/uploads/2024/01/NIS2_ima3-1-1536x1536.jpg 1536w, https://static.fortix.hu/app/uploads/2024/01/NIS2_ima3-1-2048x2048.jpg 2048w" sizes="(max-width: 300px) 100vw, 300px" /></figure>
</div>



<div class="wp-block-column is-layout-flow wp-block-column-is-layout-flow" style="flex-basis:66.66%">
Többen tekintenek az irányelvre úgy, mint valami nagy és hatalmas tehertételre, de nem ez a jó hozzáállás. Értelmezhető az támogatásként is. Egy adminisztratív eszköz, mely segíti a szervezetet a kiberbiztonsági kockázatok jelentős csökkentésében, jóval olcsóbban, mint egy zsarolóvírus-támadás költsége, vagy hosszútávú szolgáltatás kiesés hatása. Elsősorban figyelni kell arra, hogy az irányelvben meghatározott elvárások kockázatarányosan kerüljenek kialakításra, teljesítésre. Mindenki egyben szeretne túlesni megfeleléshez kapcsolódó feladatokon, letudni az egészet valamilyen szolgáltatás, sőt eszköz vásárlásával, de maradni kell inkább a realitás talaján. Kiemelten figyelni kell a fájó, egyértelmű hiányosságokra, a szervezet által végzett szolgáltatásokhoz közvetlenül kapcsolódó elemekre, a problémák feltárására és a pontos kimenetek megfogalmazására. Ez nem napok alatt, nem projektfeladatokkal, hanem rendszeres és értő kommunikációval, a szervezet folyamatainak ismeretével és a szakterületek együttműködésével valósítható meg. Ez utóbbiakat sem csak a NIS2 miatt kell elérni, hanem a szervezet fejlődéséhez, zavartalan és biztonságos működéshez szükséges.
</div>
</div>



<div style="height:100px" aria-hidden="true" class="wp-block-spacer"></div>



<a href="https://sztfh.hu/tevekenysegek/kiberbiztonsag-felugyelete/">https://sztfh.hu/tevekenysegek/kiberbiztonsag-felugyelete/</a>



<hr class="wp-block-separator has-alpha-channel-opacity"/>



<div style="height:100px" aria-hidden="true" class="wp-block-spacer"></div>



<a href="https://www.fortix.hu/szolgaltatasok/nis-2-kiber-tanusitasi-felkeszites" target="_blank" rel="noreferrer noopener">NIS2-re való felkészítési szolgáltatásunk a vállalatoknak nyújt támogatást az új NIS2 irányelv követelményeinek megértésében és azoknak való megfelelésben.</a>

NIS2 előttem

<h2 class="wp-block-heading">Esemény leírása</h2>



Fedezd fel a kiberbiztonsági szakma világát a CyberCamp webinarján, ahol a kiberbiztonság különböző területeinek szakértői osztják meg tapasztalataikat és tudásukat.



Farkas Ottó, a CyberCamp vezetője, saját útját mesélte el, hogyan vált kiberbiztonsági szakemberré és hogyan került a CyberCamp élére. A webinar során a résztvevők betekintést nyerhettek abba, hogy a különböző előadók – akik az oktatás, szabványok készítése, phishing szimulációk, penetrációs tesztelés és egyéb területeken tevékenykednek – hogyan találták meg helyüket ebben a dinamikusan fejlődő iparágban.







<h2 class="wp-block-heading">Miről volt szó?</h2>



A személyes történeteken keresztül megismerhettük, hogy az előadók gyermekkori álmaikból hogyan jutottak el a kiberbiztonsági szakma csúcsára, milyen kihívásokkal néztek szembe karrierjük során, milyen előzetes ismeretekkel rendelkeztek a szakmába lépés előtt, és hogyan találták meg a helyüket a kiberbiztonság sokszínű világában. Megtudhatjuk, melyek voltak azok az erőforrások és támogatások, amelyek elengedhetetlenek voltak a sikerhez, valamint a jövőbeli karriercélokról és fejlődési lehetőségekről is szó esik majd.



<figure class="wp-block-embed is-type-video is-provider-youtube wp-block-embed-youtube wp-embed-aspect-16-9 wp-has-aspect-ratio"><div class="wp-block-embed__wrapper">
<iframe loading="lazy" title="Kiberbiztonsági pályaképek - a kezdőtől a szakértőig" width="500" height="281" src="https://www.youtube.com/embed/rKTv37dB53c?feature=oembed" frameborder="0" allow="accelerometer; autoplay; clipboard-write; encrypted-media; gyroscope; picture-in-picture; web-share" allowfullscreen></iframe>
</div></figure>

CyberCamp Kiberbiztonsági pályaképek webinar

A felhőalapú védelmi technológiák rohamos fejlődése és az egyre összetettebb kiberfenyegetések világában a biztonsági szakértők számára elengedhetetlen, hogy naprakészek legyenek a legújabb felhőbiztonsági megoldásokkal és trendekkel kapcsolatban. A felhőbiztonság területén megjelenő újítások, mint a SASE, CASB, ZTNA, CNAPP, és mások, nem csupán új eszközök és technológiák megismerését jelentik, hanem egy teljesen új gondolkodásmódot és megközelítést is követelnek meg.&nbsp;



Készítettünk egy induló térképet azoknak, akik a folyamatosan fejlődő felhőbiztonsági megoldások erdejében szeretnének eligazodni.


<div class="wp-block-image">
<figure data-wp-context="{ &quot;core&quot;:
				{ &quot;image&quot;:
					{ &quot;imageLoaded&quot;: false,
						&quot;initialized&quot;: false,
						&quot;lightboxEnabled&quot;: false,
						&quot;hideAnimationEnabled&quot;: false,
						&quot;preloadInitialized&quot;: false,
						&quot;lightboxAnimation&quot;: &quot;zoom&quot;,
						&quot;imageUploadedSrc&quot;: &quot;https://static.fortix.hu/app/uploads/2023/12/Kepernyokep-2023-11-28-130101-e1701175700345.png&quot;,
						&quot;imageCurrentSrc&quot;: &quot;&quot;,
						&quot;targetWidth&quot;: &quot;1032&quot;,
						&quot;targetHeight&quot;: &quot;589&quot;,
						&quot;scaleAttr&quot;: &quot;&quot;,
						&quot;dialogLabel&quot;: &quot;Enlarged image&quot;
					}
				}
			}" data-wp-interactive class="aligncenter size-large wp-lightbox-container"><img loading="lazy" decoding="async" width="1024" height="584" data-wp-effect--setStylesOnResize="effects.core.image.setStylesOnResize" data-wp-effect="effects.core.image.setButtonStyles" data-wp-init="effects.core.image.initOriginImage" data-wp-on--click="actions.core.image.showLightbox" data-wp-on--load="actions.core.image.handleLoad" src="https://static.fortix.hu/app/uploads/2023/12/Kepernyokep-2023-11-28-130101-e1701175700345-1024x584.png" alt="" class="wp-image-877" srcset="https://static.fortix.hu/app/uploads/2023/12/Kepernyokep-2023-11-28-130101-e1701175700345-1024x584.png 1024w, https://static.fortix.hu/app/uploads/2023/12/Kepernyokep-2023-11-28-130101-e1701175700345-300x171.png 300w, https://static.fortix.hu/app/uploads/2023/12/Kepernyokep-2023-11-28-130101-e1701175700345-768x438.png 768w, https://static.fortix.hu/app/uploads/2023/12/Kepernyokep-2023-11-28-130101-e1701175700345.png 1032w" sizes="(max-width: 1024px) 100vw, 1024px" /><button
			class="lightbox-trigger"
			type="button"
			aria-haspopup="dialog"
			aria-label="Enlarge image"
			data-wp-on--click="actions.core.image.showLightbox"
			data-wp-style--right="context.core.image.imageButtonRight"
			data-wp-style--top="context.core.image.imageButtonTop"
		>
			<svg xmlns="http://www.w3.org/2000/svg" width="12" height="12" fill="none" viewBox="0 0 12 12">
				<path fill="#fff" d="M2 0a2 2 0 0 0-2 2v2h1.5V2a.5.5 0 0 1 .5-.5h2V0H2Zm2 10.5H2a.5.5 0 0 1-.5-.5V8H0v2a2 2 0 0 0 2 2h2v-1.5ZM8 12v-1.5h2a.5.5 0 0 0 .5-.5V8H12v2a2 2 0 0 1-2 2H8Zm2-12a2 2 0 0 1 2 2v2h-1.5V2a.5.5 0 0 0-.5-.5H8V0h2Z" />
			</svg>
		</button><figcaption class="wp-element-caption">Az ábra a képre kattintva nagy felbontásban letölthető</figcaption> <div data-wp-body="" class="wp-lightbox-overlay zoom"
 data-wp-bind--role="selectors.core.image.roleAttribute"
 data-wp-bind--aria-label="selectors.core.image.dialogLabel"
 data-wp-class--initialized="context.core.image.initialized"
 data-wp-class--active="context.core.image.lightboxEnabled"
 data-wp-class--hideAnimationEnabled="context.core.image.hideAnimationEnabled"
 data-wp-bind--aria-modal="selectors.core.image.ariaModal"
 data-wp-effect="effects.core.image.initLightbox"
 data-wp-on--keydown="actions.core.image.handleKeydown"
 data-wp-on--touchstart="actions.core.image.handleTouchStart"
 data-wp-on--touchmove="actions.core.image.handleTouchMove"
 data-wp-on--touchend="actions.core.image.handleTouchEnd"
 data-wp-on--click="actions.core.image.hideLightbox"
 tabindex="-1"
 >
 <button type="button" aria-label="Bezárás" style="fill: #000" class="close-button" data-wp-on--click="actions.core.image.hideLightbox">
 <svg xmlns="http://www.w3.org/2000/svg" viewBox="0 0 24 24" width="20" height="20" aria-hidden="true" focusable="false"><path d="M13 11.8l6.1-6.3-1-1-6.1 6.2-6.1-6.2-1 1 6.1 6.3-6.5 6.7 1 1 6.5-6.6 6.5 6.6 1-1z"></path></svg>
 </button>
 <div class="lightbox-image-container"><div class="wp-block-image">
<figure class="aligncenter size-large responsive-image"><img decoding="async" data-wp-bind--src="context.core.image.imageCurrentSrc" data-wp-style--object-fit="selectors.core.image.lightboxObjectFit" src="" alt="" class="wp-image-877"/><figcaption class="wp-element-caption">Az ábra a képre kattintva nagy felbontásban letölthető</figcaption></figure></div></div>
 <div class="lightbox-image-container"><div class="wp-block-image">
<figure class="aligncenter size-large enlarged-image"><img decoding="async" data-wp-bind--src="selectors.core.image.enlargedImgSrc" data-wp-style--object-fit="selectors.core.image.lightboxObjectFit" src="" alt="" class="wp-image-877"/><figcaption class="wp-element-caption">Az ábra a képre kattintva nagy felbontásban letölthető</figcaption></figure></div></div>
 <div class="scrim" style="background-color: #fff" aria-hidden="true"></div>
 </div></figure></div>

CLOUD SECURITY TOOLING STARTER PACK

A cikk megjelenésének szakmai támogatója a CyberCamp,  Magyarország első széles körben elérhető junior kiberbiztonsági szakember képzése, amely során 6 hónap alatt junior kiberbiztonsági szakember lehetsz. <a href="https://www.fortix.hu/cybercamp-kiberbiztonsagi-kepzes/" target="_blank" rel="noreferrer noopener">www.cybercamp.hu</a>



Nem elég nekünk a karácsonyi vásár, az adventi mindenki nyitva van mindig hétvégék? Nem. Tömeg mindenhol, az online piactereken is ott villog a számláló: Csak itt és csak most! 70% vagy akár mi fizetünk, ha veszel! Vegyél! Vegyél még! Sőt, ez már nem is péntek, hanem időszak.



A marketinges felkel reggel, kint süt a nap, még 30 fok van és talán egy napszúrás hatására megfogan a gondolat: nálunk legyen 1-2-3 héttel előbb a „fekete péntek”, és holdról is látszik majd, ahogy a leárazások hatására megugrik a forgalom. Majd vért izzad a raktáros, a logisztika, meg az összes futárszolgálat. Nekik marad a black igazán fekete. A vásárlók meg már nem is akarnak emlékezni a név eredetére, az azt kísérő betört kirakatokra, sérültekre, a káoszra, ahol akár síró gyerekek hátán kapaszkodik az akcióvadász vásárló az engedményekért. Rég volt, USA ’50-es évek.



Így megyünk neki az adventi időszaknak, aztán karácsonyig tart majd az őrületes fogyasztói társadalom feszt. Tavaly rekordot döntött az ebben az időszakban regisztrált vásárlások száma, és ez úgy tűnik idén sem lesz másképp. Karácsony a szeretet, az előtte lévő hónap pedig a vásárlás szeretetének az ünnepe.



Persze nem csak a boltok polcai között, a webshop-ok szerverein lesz megnövekedett forgalom. A kiberbűnözők is jönnek majd a legjobb ajánlataikkal. Árleszállított vírus, ingyen botnet, leértékelt kulcs a zsarolóvírushoz, olcsóbb a SPAM is ilyenkor. A tudatos vásárló ugyan igyekszik ezeket elkerülni, de a nagy tömegben érkező szenzációs ajánlatok között biztosan lesz majd egy-egy kellemetlen meglepetés. Az egyik legrosszabb része ennek, hogy anyához, apához hasonlóan a fiatalok, a gyerekek is látják ebben a beetetésre is alkalmas végtelen spórolási lehetőséget. Nekik is fájó lesz a nemlétező 90%-os leértékelésen vett okoskütyü üres doboza, a szuperhősbábú áraként a végtelenbe utalt és egy kiberbűnözői csoport offshore számláján landolt zsebpénz. Az idősebbek is kockázatosan, néha vakon játszák meg a nyugdíjat olyan ajánlatokra, melyek egyébként is hulladéktermékekre vonatkoznak, de most tízezer helyett féláron, már tizenötezerért megvehető a kicsorbuló okospenge, a sötétre sötétedő olvasószemüveg, csak itt, csak most. Itt tetszik kérem aláírni, nem robot ugye? Ide jöhet a bankkártyáról az adat, és most a telefonján a pittyegés után látható kódot is… Köszönöm.


<div class="wp-block-image">
<figure class="aligncenter size-large"><img loading="lazy" decoding="async" width="1024" height="574" src="https://static.fortix.hu/app/uploads/2023/12/lakatosdaniel88_Black_Friday_online_scam_scene_depicting_a_chao_6d1c168e-0bb2-49d0-8e04-7fedabfb342d-1024x574.png" alt="" class="wp-image-880" srcset="https://static.fortix.hu/app/uploads/2023/12/lakatosdaniel88_Black_Friday_online_scam_scene_depicting_a_chao_6d1c168e-0bb2-49d0-8e04-7fedabfb342d-1024x574.png 1024w, https://static.fortix.hu/app/uploads/2023/12/lakatosdaniel88_Black_Friday_online_scam_scene_depicting_a_chao_6d1c168e-0bb2-49d0-8e04-7fedabfb342d-300x168.png 300w, https://static.fortix.hu/app/uploads/2023/12/lakatosdaniel88_Black_Friday_online_scam_scene_depicting_a_chao_6d1c168e-0bb2-49d0-8e04-7fedabfb342d-768x430.png 768w, https://static.fortix.hu/app/uploads/2023/12/lakatosdaniel88_Black_Friday_online_scam_scene_depicting_a_chao_6d1c168e-0bb2-49d0-8e04-7fedabfb342d.png 1456w" sizes="(max-width: 1024px) 100vw, 1024px" /></figure></div>


Beszélgessünk a családdal a hirdetések hatásáról, a felesleges vásárlásról, az ilyenkor megugró és komoly bevételt termelő kibercsalási üzletekről, az adataink – fizetőeszközeink adatainak – használatáról, a körültekintő és értő internetezésről. Jó, ha mindenki tudja, ilyenkor a marketinges módszere ugyanaz, mint a csalóké: „Csak itt, és csak most! Azonnal, gondolkodás nélkül!” Nem könnyű kiszúrni az átverést. Az egyikhez van valami termék is, a másikhoz viszont csak az áldozatok szomorú tapasztalata jár.



Persze ne hagyjuk ki a jó ajánlatokat. Sokan tudnak okosan, kedvezőbb árakon vásárolni ilyenkor, de



<ul>
<li>figyeljünk az ajánlatok részleteire</li>



<li>kerüljük az ismeretlen online piactereket, weboldalakat</li>



<li>nagyobb összeg esetén kérjünk meg valakit, aki ránéz az ajánlatra</li>



<li>online vásárlásokra kialakított, limitekkel biztosított bankkártyát, fizetőeszközt használjunk</li>



<li>preferáljuk a könnyedén cserélhető virtuális bankkártyákat</li>



<li>vásároljunk akár együtt a családtagokkal</li>
</ul>



Apróságoknak tűnnek, de megmenthetnek minket a csalóktól – és nem is csak az interneten.



Úgy gondolom hosszú távon jobban járunk, ha a vásárlás kényelmét, a sztár ajánlat megszerzésének izgalmát kicsit visszaszorítjuk, és előtérbe helyezzük a tudatos, ésszerű internethasználatot. A fogyasztói társadalom ünneplése helyett koncentráljunk a biztonságra, a sokszor szükségtelen kütyük megszerzése helyett készüljünk az ünnepek valóban meghitt hangulatának megteremtésére.

Black Friday

A FORTIX ÉS A CYBERCAMP IS ELENYERTE A MAGYARBRANDS DÍJAT



A FORTIX és a CyberCamp is elnyerte a MagyarBrands 2023 díjat „Innovatív Márka” kategóriában. Az elismerés nem csupán a mi teljesítményünket díjazza, hanem az információbiztonság és kiberbiztonság iránti elkötelezettségünket és szakértelmünket is elismeri.



A MagyarBrands díj az egyik legkiemelkedőbb hazai márkadíj, amely a hazai márkákat értékeli és elismeri. Az elismerés szempontjai között szerepel a márka hírneve, hazai márképítési gyakorlata, innovatív megoldásai és társadalmi hasznossága. Az „Innovatív Márka” kategória különösen az innováció és az újítások terén elért eredményeket hangsúlyozza.



Ez a díj nemcsak az elkötelezettségünket és kitartásunkat díjazza, hanem az egész csapatunk kiemelkedő munkáját is. A FORTIX mindig is a magas színvonalú információbiztonság, adatvédelem és üzletmenet-folytonosság szolgáltatások megteremtésére törekedett, míg a CyberCamp célja a következő generáció kiberbiztonsági szakértőinek képzése és felkészítése.



Az elismerés arra ösztönöz bennünket, hogy folytassuk a magas színvonalú munkát és tovább fejlesszük szolgáltatásainkat az ügyfeleink és a kiberbiztonsági közösség javára.



<div class="wp-block-columns is-layout-flex wp-container-core-columns-layout-4 wp-block-columns-is-layout-flex">
<div class="wp-block-column is-layout-flow wp-block-column-is-layout-flow">
<figure class="wp-block-image size-large"><img decoding="async" src="https://static.fortix.hu/app/uploads/2023/12/posztok-masolata-1200-×-630-keppont-49-1-1-1024x538.png" alt="" class="wp-image-883"/></figure>
</div>



<div class="wp-block-column is-layout-flow wp-block-column-is-layout-flow">
<figure class="wp-block-image size-large"><img loading="lazy" decoding="async" width="1024" height="538" src="https://static.fortix.hu/app/uploads/2023/12/posztok-masolata-1200-×-630-keppont-50-1024x538.png" alt="" class="wp-image-884" srcset="https://static.fortix.hu/app/uploads/2023/12/posztok-masolata-1200-×-630-keppont-50-1024x538.png 1024w, https://static.fortix.hu/app/uploads/2023/12/posztok-masolata-1200-×-630-keppont-50-300x158.png 300w, https://static.fortix.hu/app/uploads/2023/12/posztok-masolata-1200-×-630-keppont-50-768x403.png 768w, https://static.fortix.hu/app/uploads/2023/12/posztok-masolata-1200-×-630-keppont-50.png 1200w" sizes="(max-width: 1024px) 100vw, 1024px" /></figure>
</div>
</div>

MAGYARBRANDS DÍJ

<h3 class="wp-block-heading">BÜSZKÉN JELENTJÜK BE, HOGY 2023-BAN CSALÁDBARÁT VÁLLALAT LETTÜNK!</h3>



Nagy öröm számunkra, hogy a FORTIX csapatát 2023-ban Családbarát Vállalatnak minősítették, és bekerültünk a TOP 3 kisvállalkozás közé ebben a kategóriában. Ez az elismerés nem csak munkatársaink, hanem a szakma részéről is igazolja, hogy családbarát kezdeményezéseinkkel valóban pozitív hatást gyakorlunk.



Az idei „Családbarát Vállalat 2023” pályázat fő célja a közösség fejlesztése, a mentális egészség elősegítése és az elmagányosodás elleni küzdelem volt. Büszkén állíthatjuk, hogy a FORTIX ezeken a területeken is vezető szerepet tölt be, támogatva dolgozóinkat és családtagjaikat egy kiegyensúlyozottabb élet felé.



Köszönjük minden kollégánknak, akiknek odaadása és elkötelezettsége nélkül ez az elismerés nem jöhetett volna létre. Együtt továbbra is elkötelezettek vagyunk amellett, hogy munkahelyünkön a családbarát kultúra még inkább megerősödjön.


<div class="wp-block-image">
<figure class="aligncenter size-large"><img loading="lazy" decoding="async" width="1024" height="538" src="https://static.fortix.hu/app/uploads/2023/12/posztok-masolata-1200-×-630-keppont-48-1024x538.png" alt="" class="wp-image-887" srcset="https://static.fortix.hu/app/uploads/2023/12/posztok-masolata-1200-×-630-keppont-48-1024x538.png 1024w, https://static.fortix.hu/app/uploads/2023/12/posztok-masolata-1200-×-630-keppont-48-300x158.png 300w, https://static.fortix.hu/app/uploads/2023/12/posztok-masolata-1200-×-630-keppont-48-768x403.png 768w, https://static.fortix.hu/app/uploads/2023/12/posztok-masolata-1200-×-630-keppont-48.png 1200w" sizes="(max-width: 1024px) 100vw, 1024px" /></figure></div>

CSALÁDBARÁT VÁLLALAT MINŐSÍTÉS

A csalók folyamatosan keresik azokat a módszereket, amelyekkel visszaélhetnek személyes adatainkkal és bankszámláinkon lévő pénzünket megszerezhetik. Ezért rendkívül fontos, hogy minden területen különösen óvatosak legyünk. 



Nem elég csupán bizalmasan kezelnünk és védenünk az adatainkat. Tisztában kell lennünk azzal is, hogy milyen következményekkel jár, ha a csalók bármilyen módon akár manipulációval rávesznek minket azok kiadására, vagy észrevétlenül megszerzik azokat. Ezért elengedhetetlen, hogy mindannyian ismerjük a személyazonosító okmányok, céges dokumentumok, aláírásminták és az adathalászat jellegzetességeit és módszereit. 



Csak így készülhetünk fel hatékonyan és védekezhetünk ezek ellen.



<figure class="wp-block-embed aligncenter is-type-video is-provider-youtube wp-block-embed-youtube wp-embed-aspect-16-9 wp-has-aspect-ratio"><div class="wp-block-embed__wrapper">
<iframe loading="lazy" title="Adataink a csalók kezében Webinar" width="500" height="281" src="https://www.youtube.com/embed/_eLxHshMDIY?feature=oembed" frameborder="0" allow="accelerometer; autoplay; clipboard-write; encrypted-media; gyroscope; picture-in-picture; web-share" allowfullscreen></iframe>
</div></figure>

CyberCamp – Adataink a csalók kezében webinar

Nézünk, mint a moziban, vagy tudatában vagyunk a feladatinknak?



<figure class="wp-block-image size-full is-resized"><img loading="lazy" decoding="async" width="499" height="417" src="https://static.fortix.hu/app/uploads/2023/12/NIS2.png" alt="" class="wp-image-890" style="width:220px;height:auto" srcset="https://static.fortix.hu/app/uploads/2023/12/NIS2.png 499w, https://static.fortix.hu/app/uploads/2023/12/NIS2-300x251.png 300w" sizes="(max-width: 499px) 100vw, 499px" /></figure>



Nincs a távolba sem ISMS a fegyvertárban?! Nem foglalkozott a szervezeted eddig eléggé a kiberbiztonsággal?! Kapjátok a pofonokat a kiberbűnözőktől?! Meg kellene úszni valahogy a kiberbiztonsági tanúsításra vonatkozó elvárásokat?! – Gratulálok, szervezeted kellően éretlen, hogy a NIS2-re való felkészítésre vonatkozó felhívással alanya legyen számos megkeresésnek, de el foglak szomorítani: Nem a NIS2 miatt kellene ezzel foglalkozni.



Az mindenkinek megvan, aki a témában olvasott már pár cikket, bejegyzést, hogy az EU tavaly decemberben elfogadta a korábbi, 2016-os Network and Information Security irányelv módosítását a NIS2-t, kötelezően magasabb felkészültséget írva elő a kiberbiztonság területén az Uniós országokban. A tagállamok neki is álltak a jogalkotásnak: Magyarországon 2023.05.15-én megjelent a 2023. évi XXIII. törvény a kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről, továbbá a 10/2023. (V. 15.) SZTFH rendelet az információs és kommunikációs technológiák kiberbiztonsági tanúsításáról. Illetékes seriff a Szabályozott Tevékenységek Felügyeleti Hatóság (SZTFH), alanyai a hazai közép- és nagyvállalkozások, meghatározott ágazatokban, illetve létszám és éves árbevétel alapján.



De mit akart tőlünk a korábbi NIS?! Semmi extrát, csak megfelelő és kockázatarányos kibervédelmet írt elő bizonyos szolgáltatók részére, mint az energia, közlekedés, digitális szolgáltatások és más kiemelt, kritikus infrastruktúra. A NIS2 szélesíti a kört, bevonva ezzel számos egyéb, létfontos területet, mint a hulladékkezelés, szélesebb digitális és közösségi szolgáltatások (ICT), gyártás, fejlesztés, de nem is áll meg itt, mivel a beszállítókkal kapcsolatban is megfogalmaz elvárásokat. Ha nem vagy a NIS2 alanya most, majd leszel, ha partnerévé válsz, vagy válnál egy érintett szervezetnek.



Tudom, kemények vagyunk, mint Bud Spencer, és nem esünk hanyatt az alábbi célok elérésétől, amit a NIS2 meghatároz nekünk:



<ul>
<li>Információbiztonsági szabályozási rendszer</li>



<li>Kockázatelemzési gyakorlat módszertana</li>



<li>Védelmi intézkedések megvalósítása</li>



<li>Incidenskezelés folyamata, kommunikációja</li>



<li>Üzletmenet folytonosság kialakításának kockázatarányossága</li>



<li>Ellátási láncban szereplő partnerek IT biztonsági megfelelése</li>
</ul>



Állj! Ezeket csak most akarjuk elérni? Nincs szabályzatunk, kockázatelemzésünk, cselekvési tervünk baj esetére?! Akkor ugyan gáz van, de nem a rendelet, vagy az előírások, hanem az informatikai rendszereinket érintő fenyegetések miatt. Nem a NIS2, hanem az adataink biztonsága, a rendszereink megfelelő működése miatt kell kialakítanunk a biztonsági környezetet.



A hatósági megfeleléshez van azért extra feladat is, de ne ez legyen a kapkodás tárgya:



<ul>
<li>Önazonosítás, nyilvántartásba vételre bejelentkezés – 2024.01.01-től 06.30-ig.</li>



<li>Biztonsági osztályba sorolás – 2024.01.01-től, de nem ugrik a nyakunkba senki, hiszen a részletszabályok még nem ismertek.</li>



<li>Elektronikus információs rendszerek biztonságáért felelős személy kijelölése – 2024.01.01-től, de most komolyan, eddig nem foglalkozott vele senki?!</li>



<li>Védelmi intézkedések bevezetése biztonsági osztály függően, de mint az előbb, itt is várjuk meg a pontos elvárásokat, ha már tudjuk és van kockázatarányos védelmünk, akkor ne kapkodjunk új megoldások felé.</li>



<li>Felügyeleti díj megfizetése Hatóság felé – 2024.10.18-tól. Ez fájt, de ha kap a szervezet olyan jógyakorlatokat, értelmezhető biztonsági osztályokat, amik valóban javítják a szervezet kibervédelmét, akkor akár meg is érheti.</li>



<li>Első kiberbiztonsági audit vonatkozásában szerződéskötés auditorral (tanúsítóval?) – 2024.12.31-ig – kell valaki aki a körmünkre néz, de figyeljünk rá, hogy ne egy önbecsülésünket és korábbi intézkedéseinket porig alázó ellenőr, hanem egy racionális, kockázatarányos intézkedéseket elváró és szükség esetén arra gazdaságos javaslatot tévő partnert válasszunk.</li>



<li>Első kiberbiztonsági audit lefolytatásának határideje – 2025.12.31-ig – szabad egy táncra? A Sheriff jöhet, jönni is fog, de nem lő le azonnal.</li>
</ul>



A jelenleg még nem ismert részletszabályok és a kapkodás elkerülése miatt vegyünk egy nagy lélegzetet mielőtt a NIS2 totemoszlopa előtt rettegve várjuk a Seriff bírság formájában megjelenő bilincsét. Az előírt feladatok elvégzésére, némi extra adminisztráción kívül akkor is szükség van a számítógéppel vezérelt, adatközpontú világunkban, ha senki sem szórná tele a kockázatokra való felhívás füstjeleivel az eget. Lehet nem egy hatóság, vagy az EU, hanem a zsarolóvírusok, vagy az adatszivárgások miatti NAIH bírságok okoznák nekünk az igazán nagy fejvakarást.

NIS2 NÉGY NÉLKÜL

BÜSZKÉK VAGYUNK AZ ÚJONNAN SZERZETT ISO 27001 TANÚSÍTVÁNYUNKRA, AMELY AZ ELKÖTELEZETTSÉGÜNK ZÁLOGA



A FORTIX számára nem csupán egy tanúsítványt, de a biztonság és megbízhatóság garanciáját is jelenti az ISO 27001 tanúsítvány megszerzése. Az ISO 27001 nemzetközi sztenderd biztosítja, hogy a cégünk által nyújtott szolgáltatások a legmagasabb biztonsági követelményeknek felelnek meg, ezzel is garantálva ügyfeleink adatbiztonságát és az információk védelmét.



Az információbiztonsági menedzsment rendszert (ISMS) irányító standard megszerzésével a FORTIX tovább erősíti piaci pozícióját és bizonyítja, hogy képes megfelelni a legmodernebb és legmagasabb követelményeknek egyaránt. A tanúsítvány a vállalatunk belső folyamatainak hatékonyságát és a felelősségteljes működését is igazolja.



<figure class="wp-block-image size-large is-resized"><img loading="lazy" decoding="async" width="724" height="1024" src="https://static.fortix.hu/app/uploads/2023/12/ISO27001-724x1024.png" alt="" class="wp-image-894" style="width:535px;height:auto" srcset="https://static.fortix.hu/app/uploads/2023/12/ISO27001-724x1024.png 724w, https://static.fortix.hu/app/uploads/2023/12/ISO27001-212x300.png 212w, https://static.fortix.hu/app/uploads/2023/12/ISO27001-768x1086.png 768w, https://static.fortix.hu/app/uploads/2023/12/ISO27001-1086x1536.png 1086w, https://static.fortix.hu/app/uploads/2023/12/ISO27001.png 1414w" sizes="(max-width: 724px) 100vw, 724px" /></figure>

ISO 27001 TANÚSÍTVÁNY

Csók Sándor, mint a FORTIX Consulting Kft. szakértő&nbsp;fraud&nbsp;tanácsadója szeretnék egy olyan csalási eseményt megosztani, amiből sokan tanulhatnak.



Az elmúlt időszakban sajnos megtapasztaltam, hogy a csalások megelőzésének fontosságát nem lehet elégszer hangsúlyozni, és minél szélesebb körben kell terjeszteni ezt az információt. Ráadásul mindenki számára kiemelten fontos azoknak a lépéseknek az ismerete, amelyeket csalás bekövetkeztekor érdemes megtenni.



Az idő itt a legfontosabb faktor, hiszen minél hamarabb észleljük a csalást, annál nagyobb eséllyel tudjuk visszaszerezni a pénzünket.



<h2 class="wp-block-heading">MI IS TÖRTÉNT A CSALÁSI ESEMÉNY SORÁN?</h2>



A múlt héten felhívott az egyik ismerősöm, hogy segítsek neki, mert a számlájáról elvittek néhány millió forintot. Természetesen segítettem. Elmondta, hogy a következők történtek: 1) Hívást kapott egy pénzintézettől, amely azt állította, hogy tranzakcióját csalási gyanú miatt megállították. 2) Felhívták a figyelmét, hogy pénze veszélyben van, ezért át kell helyezni egy biztonságos számlára. 3) Ehhez szükséges volt egy program telepítése a számítógépre (az Anydesk nevű szoftverről volt szó). 4) A program telepítése után, a csalók hozzáfértek az internetbankjához. 5) Ezután több, kisebb összeg formájában indították az utalásokat a számláról. 6) Folyamatosan hívták több telefonszámról. 7) Egy SMS üzenetet is küldtek az ügyfélnek, hogy az utalások teljesültek.



<h2 class="wp-block-heading">MIT IS TEHETÜNK CSALÁS ESETÉN?</h2>



Amint észlelte a csalást, az ismerősöm azonnal lépett: elment a saját pénzintézetéhez és feljelentést tett a rendőrségen.



Én pedig a következő intézkedéseket ajánlom csalás esetén:



<ul>
<li>Blokkolni kell azt az elektronikus csatornát, ahol a csalási tranzakciók történtek.</li>



<li>Be kell menni a számlavezető pénzintézethez, panaszt kell tenni, kérni az összeg jóváírását és a tranzakciós listát, amin az érintett tranzakciók szerepelnek.</li>



<li>A tranzakciós listával és panasszal feljelentést kell tenni a rendőrségen.</li>



<li>Ha forint számláról történt az utalás, kérd azonnali zárolást a feljelentésedben.</li>



<li>Az érintett számítógépet vagy telefonkészüléket újra kell telepíteni, hogy minden potenciálisan kártékony szoftvert eltávolítsunk.</li>



<li>Ha a pénzintézettől negatív választ kapunk, akkor a Békéltető testülethez fordulhatunk segítségért.</li>
</ul>



Javaslom, hogy mindenképpen fordítsanak kiemelt figyelmet a telefonhívásokra, e-mailekre, győződjenek meg arról, hogy kivel beszélnek és ne dőljenek be a csalóknak. Ha ez mégis megtörtént, mindenképpen azonnal használják a fenti intézkedéseket a károk enyhítésére és a pénz visszaszerzésére.&nbsp;



További&nbsp;csalásmentes&nbsp;szép napot kívánok,



Csók Sándor&nbsp;

MILYEN FELADATAINK VANNAK EGY CSALÁSI ESEMÉNY BEKÖVETKEZÉSE ESETÉN?

Tavasszal kaptam egy csodálatosan szép üzenetet Messenger-en, hogy nagyon szeretne velem megismerkedni egy bankár hölgy. Persze nem azért, amiért elsőre gondolná az ember, hanem mert a nevem nagyon hasonló egy törökországi bankfiókban lévő számla tulajdonosáéhoz, aki elhalálozott és nagyon kellene valaki, aki segít a megboldogult számlájához hozzájutni, akinek sajnos egy szem örököse sincsen. Ez lennék én. Természetesen az üzenetet lendületből töröltem, de megkaptam megint, egy gmail címmel egyetemben.



<blockquote class="wp-block-quote">
„Dear, Adrian Szabo



I write to you with a language translator. I have been in search of someone with this last name, Szabó, so when I saw your profile on Facebook I decided to add you and write to you this message to see how best we can assist each other.” …
</blockquote>



Legyen – gondoltam – úgyhogy az elvárt névvel regisztráltam egy e-mail fiókot és válaszoltam, úgyis kíváncsi voltam, mit lehet egy ilyen beszélgetésből kihozni. Pillanatok alatt érkezett is egy egész korrektnek tűnő választ, miszerint a bankár hölgy tanúsítaná, hogy én vagyok az elhunyt örököse, és segítene elintézni ennek igazolását. Ha ez megtörténik, a számlán lévő 9,5 millió dollár felszabadulhatna és tudnánk osztozni. Én nem tudom, hány örökös nélküli aranykereskedéssel foglalkozó Szabó Adriánnak van tízmillió dolláros megtakarítása az Isbank-ban, de nem soknak, az tuti.



<blockquote class="wp-block-quote">
„One late Mr. Adrian Szabó, a citizen of your country who was in Gold business here in Instanbul, had a fixed deposit with my bank in 2007 for 108 calendar months, valued at US$9,500,000.00 (Nine Million Five Hundred United State Dollars) the due date for this deposit was last year. Adrian Szabó, was among the death victims in April 30 Covid19 2020 Pandemic in Ankara province in Turkey.”
</blockquote>



Ugyan hezitáltam én Adriánként, hogy szabad-e, törvényes-e ilyet tenni, de levelezőpartnerem megnyugtatott, hogy ez totál rendben van, hiszen a pénz nem is hiányozna senkinek, a banknak meg nem számít. Egészen Robin Hoodnak érezhettem magam… és közben valahogyan magyar nyelvre váltott. Ki tudja miért…


<div class="wp-block-image">
<figure class="aligncenter"><img decoding="async" src="https://static.fortix.hu/app/uploads/2023/06/0615_1.png" alt="" class="wp-image-15869"/></figure></div>


Csak az alapok, hogy értehető legyen: Valakinek a feltételezett nevem miatt én kellek, hogy egy csalással hozzáférjünk más pénzéhez. Mennyivel szebb ez, mármint hogy bevonnak az amúgyis csalásba, mintha simán csak át akarna nekem utalni egy afrikai herceg néhány milliót. Ugye?



Pont, mint a nigériai-csalás (vagy 419-es csalás), ami az egyik legrégebbi internetes csalási forma. Maga az átverés technikája visszanyúlik a faxok korába, de akár korábbra, a 19. századba is (Spanish Prisioner). A lényege, hogy egy gazdagnak látszó személy – uralkodó, magasrangú hivatalnok, üzletember – kis segítségért cserébe nagy összeget ígér, amihez nem kell mást tenni, mint adatokat megadni… Egyszerű nem? Mégis sokan áldozatul esnek egy ilyen egyszerű svindlinek.



Meg is állapodtunk újdonsült barátommal, hogy a kapcsolati bizalom érdekében, mindketten küldünk magunkról igazolványmásolatot, bár tőlem elvárás volt a telefonszám is. Valódi igazolványképet én sem küldtem, csak olyan photoshopolt másolatot, mint amilyet én is kaptam, egy banki belépőkártya és egy személyi igazolvány képében. Annyira nem törte magát a csaló, hogy egyszerű ránézésre is kiszúrható volt a kamu. Telefonszámot nem váltottunk, így maradt a levelezgetés, egyre sürgetőbb hangnemben.


<div class="wp-block-image">
<figure class="aligncenter"><img decoding="async" src="https://static.fortix.hu/app/uploads/2023/06/0615_2.png" alt="" class="wp-image-15870"/></figure></div>


Közben körbenéztem és könnyedén megleltem a valódi személyt a név mögött, aki évekkel ezelőtt valóban a megadott banknak az alkalmazásában állt, így egy egyszerű internetes keresés akár azt a benyomást kelthette volna, hogy még igaz is lehet a sztori, bár ehhez nagyon vágyakozónak és figyelmetlennek kellett volna lennem. Kár, hogy ez a személy már egy másik szervezetnél dolgozik, igaz, itt is eléggé magas beosztásban. Természetesen megkerestem az érintettet is a cégén keresztül, de csak annyit sikerült kideríteni, hogy jogi eljárás van folyamatban az ügy kapcsán. Pedig nagyon kíváncsi lettem volna milyen ellenlépések történtek, mikor kiderült, hogy felhasználják ehhez a csaláshoz a személyes adatokat. A Facebookon jelenleg is közel 100 aktív profil van a nevében, különféle médiamegjelenések képeivel feltöltve, elsősorban 2022. második felétől, de akadt 2017-es is.


<div class="wp-block-image">
<figure class="aligncenter"><img decoding="async" src="https://static.fortix.hu/app/uploads/2023/06/0615_3.png" alt="" class="wp-image-15871"/></figure></div>


A csalókkal közben levelezgettem, de nem sikerült dűlőre jutnunk. Ők nem akartak sajnos közvetlen elérést küldeni, az e-mail is hallgat már (ami egyébként a mai napig él, de már nem írnak nekem). Megunhatták. Mondjuk valóban unalmassá vált így, hogy én nem küldtem semmi értelmezhetőt, ők sem küldtek semmit. Talán annyit sikerült elérnem, hogy egy pár percre lefoglaltam őket (vagy az általuk használt MI-t, de ez egy másik történet)



<blockquote class="wp-block-quote">
„Kedves barátom, biztosítom Önt, hogy amint ez a tranzakció megtörtént, a bank átutalja a pénzt az Ön országából származó bármely számlára, így most csak annyit kell tennie, hogy megadja nekem az összes szükséges adatot. az e-mail címemre, hogy azonnal folytathassuk ezt a tranzakciót.”
</blockquote>



Csak gondolatkísérletként futottam egy kört pár banki biztonsági osztálynál, mi lenne, ha egy hozzájuk tartozó, kontrollált számla ilyen célra elérhető lenne. Ha tudnék mutatni a csalóknak egy pármilliós számlát, ellenőrzött telefonszámot, lehet ők is bekapnák a csalit, hogy egy ilyen lükével kapcsolatban akár nagyobb kockázatot is vállalhatnak, mint az e-mail. Tudom, naiv elképzelés. Mégis, hátha a valódi számlaadatok hozzáféréseinek alapján beazonosíthatóak lennének a csalók, nem ilyen szürkezónás bénácska próbálkozással, mint én teszem, hanem igazi csalásfelderítéssel. Sajnos a felmerülő kockázatok és költségek mellett úgy tűnik ez általában nem egy elérhető megoldás.



Szóval ez az e-mail hallgat már, de a csalók tuti nem alszanak. Marad a figyelemfelkeltés. Az ehhez hasonló cikkek, a blokkolás, a tudatos internethasználat és a józan ész fogja az ilyeneket egyszer megszűntetni, de nem mostanában. Az utolsó általam talált kárbecslés a „nigériai herceg jellegű” csalásokkal is évi több millió dollár…és a csalók egyre ügyesebbek.



Mindenesetre, ha valaki írna nektek, nagy zsozsót ígérve… gondoljatok inkább arra a jelmondatra: Ha valami túl szép, hogy igaz legyen, akkor az általában nem is igaz.

A NIGÉRIAI-CSALÁS ÉL ÉS VIRUL

A cikk megjelenésének szakmai támogatója a CyberCamp,  Magyarország első széles körben elérhető junior kiberbiztonsági szakember képzése, amelyen a cikk szerzője is oktat. <a href="https://www.fortix.hu/cybercamp-kiberbiztonsagi-kepzes/" target="_blank" rel="noreferrer noopener">www.cybercamp.hu</a>



A rövid válasz az, hogy igen, de még gyerekcipőben jár, és nem minden eszköz támogatja egyelőre.



2023. május 3-tól kezdve létre lehet hozni úgynevezett passkey-eket a személyes Google-fiókokhoz. Ez a&nbsp;Google „Advenced Protection Program”&nbsp;részeként jött létre. A Google nem fog jelszót kérni vagy kétlépcsős azonosítást a bejelentkezéskor. Az ilyen&nbsp;passkey-ek&nbsp;kényelmesebb és biztonságosabb alternatívát jelenthetnek&nbsp;a jelszavakhoz képest. Működnek minden jelentős platformon és böngészőben, és lehetővé teszik a felhasználók számára, hogy bejelentkezzenek a számítógépükbe vagy mobil eszközükbe&nbsp;ujjlenyomatuk, arcfelismerésük vagy PIN-kódjuk segítségével.



<figure class="wp-block-image size-full"><img loading="lazy" decoding="async" width="980" height="409" src="https://static.fortix.hu/app/uploads/2023/12/Data_Privacy_Blog_Header_Opt_2_1_1-980x409-1.png" alt="" class="wp-image-926" srcset="https://static.fortix.hu/app/uploads/2023/12/Data_Privacy_Blog_Header_Opt_2_1_1-980x409-1.png 980w, https://static.fortix.hu/app/uploads/2023/12/Data_Privacy_Blog_Header_Opt_2_1_1-980x409-1-300x125.png 300w, https://static.fortix.hu/app/uploads/2023/12/Data_Privacy_Blog_Header_Opt_2_1_1-980x409-1-768x321.png 768w" sizes="(max-width: 980px) 100vw, 980px" /></figure>



<h2 class="wp-block-heading">MIÉRT BIZTONSÁGOSABB, MINT A JELSZÓ?</h2>



A passkey-ek, ellentétben a jelszavakkal,&nbsp;csak saját eszközökön tárolódnak. Ez azt jelenti, hogy a&nbsp;passkey-ek&nbsp;védelmet nyújthatnak a phishing támadások, jelszó újrahasználás, vagy adatszivárgások ellen.&nbsp;Ez erősebb védelmet jelent, mint amit a legtöbb kétfaktoros módszer kínál ma, ezért a kétfaktoros azonosítást is kihagyhatod, amikor passkey-t használsz. A meglévő bejelentkezési módszerek, mint például a jelszavak, még mindig működni fognak, ha szükség van rájuk, például olyan eszközök használatakor, amelyek még nem támogatják a passkey-t. A passkey-ek még újnak számítanak, és időbe telik, amíg minden eszközön működni fognak.&nbsp; Ha új eszközön szeretnél először bejelentkezni, vagy ideiglenesen másvalaki eszközét szeretnéd használni, használhatod a telefonodon tárolt passkey-t erre.&nbsp;Ha elveszítesz egy olyan eszközt, amelyen van egy passkey a Google-fiókodhoz, és úgy gondolod, hogy más fel tudja azt oldani, azonnal visszavonhatod a passkey-t&nbsp;a fiókbeállításokban.



<h2 class="wp-block-heading">DE HOGYAN IS MŰKÖDIK?</h2>



A passkey fő összetevője egy&nbsp;kriptográfiai privát kulcs, amely a készülékeiden tárolódik.&nbsp;Amikor létrehozol egyet, azzal a hozzá tartozó publikus kulcsot feltöltik a Google-rendszerbe. Amikor bejelentkezel, a Google kéri az eszközödet, hogy&nbsp;a privát kulccsal aláírjon egy egyedi hívást.&nbsp;Az eszköz csak akkor teszi ezt meg, ha ezt jóváhagyod, ezután ellenőrzi a publikus kulcsoddal az aláírást. Az eszközöd továbbá&nbsp;biztosítja, hogy az aláírás csak a Google weboldalain és alkalmazásain keresztül legyen megosztva.&nbsp;Az aláírás bizonyítja a Google számára, hogy az eszköz a tied, mivel rendelkezik a privát kulccsal, hogy jelen voltál annak feloldásakor, és hogy valóban a Google-be szeretnél bejelentkezni. Ehhez csak a publikus kulcsot és az aláírást osztod meg a Google-lel.&nbsp;Egyik sem tartalmaz semmilyen információt a biometrikus adataidról.&nbsp;Mivel minden passkey csak egyetlen fiókhoz használható, nincs kockázata annak, hogy ugyanazt újrahasználod más szolgáltatásokhoz, így a jelszó újra használást ki lehet zárni.



<h2 class="wp-block-heading">MIÉRT NEM SZEREZHETIK MEG TÁVOLRÓL A BEJELENTKEZÉSI INFORMÁCIÓKAT?</h2>



Amikor egy másik eszközön szeretnél először bejelentkezni a telefonodban tárolt passkey segítségével, az első lépés az, hogy&nbsp;beolvasd a másik eszközön megjelenő QR-kódot.&nbsp;Az eszköz ezután ellenőrzi, hogy a telefonod közel van-e egy kis, anonim&nbsp;Bluetooth-üzenet segítségével, majd egy végponttól végpontig&nbsp;titkosított kapcsolatot hoz létre&nbsp;az interneten keresztül a telefonnal. A telefon ezt a kapcsolatot használja a kért egyszeri passkey aláírásának elküldésére, amelyhez jóváhagyásod és a&nbsp;telefonon található biometrikus vagy képernyőzárolási lépés szükséges.&nbsp;Sem maga a passkey, sem a képernyőzárolási információ nem kerül elküldésre az új eszközre. Az Bluetooth-közelség ellenőrzés biztosítja, hogy távoli támadók ne szerezhessenek meg semmilyen infomációt.



<h2 class="wp-block-heading">MIÉRT BÍZHATUNK BENNE?</h2>



A passkey-ek a&nbsp;FIDO Alliance és a W3C WebAuthn&nbsp;munkacsoport által létrehozott protokollokra és szabványokra épülnek.&nbsp;Ez azt jelenti, hogy a passkey támogatás működik az összes platformon és böngészőn, amelyek elfogadják ezeket a szabványokat. Ugyanezek a szabványok és protokollok biztosítják a biztonsági kulcsokat, amelyek erős védelmet nyújtanak.&nbsp;A passkey-ek sok erős fiókvédelmi intézkedést örökölnek a biztonsági kulcsoktól, de kényelmesek mindenki számára.



Ez még egy új eljárás, és technikai korlátai is vannak, mert nem minden eszköz tud úgynevezett Bluetotth Low Enegry-t észlelni, de izgalmas látni, hogy a Google hogyan próbálja kiváltani a jelszavak használatát, és növelni a fiókok biztonságát.



Források:



<a href="https://landing.google.com/advancedprotection/">https://landing.google.com/advancedprotection/</a>



<a href="https://security.googleblog.com/2023/05/so-long-passwords-thanks-for-all-phish.html?m=1">https://security.googleblog.com/2023/05/so-long-passwords-thanks-for-all-phish.html?m=1</a>

JELSZÓ MENTES ÉLET? LEHETSÉGES EZ?

Hónapok óta megy az AI körüli buli. Olvastam valahol, hogy mindenki mesterséges intelligencia szakértővé vált az utóbbi időben, és ez milyen igaz. A diákok helyett megírja a dolgozatot, a tanár helyett a kérdéseket, tanácsot ad a bírósági ítélethez, lerajzolja a pápát pufidzsekiben, elhozza a világvégét, meg feltöri a jelszavainkat… Én meg most adok még egy lökést az infarktushoz…


<div class="wp-block-image">
<figure class="aligncenter size-full"><img loading="lazy" decoding="async" width="600" height="377" src="https://static.fortix.hu/app/uploads/2023/12/960x0-600x377-1.jpg" alt="" class="wp-image-929" srcset="https://static.fortix.hu/app/uploads/2023/12/960x0-600x377-1.jpg 600w, https://static.fortix.hu/app/uploads/2023/12/960x0-600x377-1-300x189.jpg 300w" sizes="(max-width: 600px) 100vw, 600px" /></figure></div>


Ha mi ilyen technológiához férünk hozzá, akkor vajon hol tartanak az APT-k&nbsp;(Advanced Persistent Threat – fejlett erőforrással rendelkező fenyegetések, kormányok támogatásával rendelkező hekkercsoportok), a kormányok és a különféle szakszolgálatok? Vajon mire átlagpolgárként látjuk az eredményét a fejlesztéseknek, mire „alufólia lesz a holdraszállásból”, holt tartanak a párbetűs nevek alatt dolgozó titkosszolgálatok? De nyugi, ettől sem kell, hogy megálljon a szívünk.



Azt is vegyük végre tudomásul, hogy az AI még nem Ő. Bár a hatalmas tömegű információs bázis, és a nyelvi eljárások megfelelő programozása miatt a kapott válaszok olyanok, mintha egy tudattal, személyiséggel rendelkező entitástól kapnánk, nincs sem tudata, sem énképe és a kreativitása is egy jó véletlenszám generátorral megdolgozott statisztikai feldolgozó egység.



Pár napja futott egy kört a médiában, hogy az AI az emberek elpusztítását akarja (ChaosGPT), de ha eltekintünk a kattintásvadász címtől, a teljesen laikus újságírói fordulatoktól, mást látunk. Ha egy program bemeneteként meghatározzuk az emberiség elpusztítását, mint cél, és irányba állítjuk az algoritmust, akkor a legerősebb tömegpusztító fegyver google keresésével (spoiler: Cár-bomba) akkor is csak egy ügyes ovis szintjét éri el a gonosznak titulált program, ha már ez is hihetetlen technológiai bravúr. Tény, ha a ChaosGPT lenne az atombombák megkérdőjelezhetetlen ura egy ilyen utasítás után, akkor bajban lennénk. De egyelőre maradjunk a szöveges játék szintjén.


<div class="wp-block-image">
<figure class="aligncenter size-full"><img loading="lazy" decoding="async" width="600" height="334" src="https://static.fortix.hu/app/uploads/2023/12/indianexpress-600x334-1.jpg" alt="" class="wp-image-930" srcset="https://static.fortix.hu/app/uploads/2023/12/indianexpress-600x334-1.jpg 600w, https://static.fortix.hu/app/uploads/2023/12/indianexpress-600x334-1-300x167.jpg 300w" sizes="(max-width: 600px) 100vw, 600px" /></figure></div>


Egy másik, internetes éterbe kiáltott sikoly volt, hogy az AI pillanatok alatt fejti meg a jelszavainkat. A cikk mellé feltöltött táblázatból azonban csak annyi derül ki, ami már évekkel ezelőtt is igaz volt, hogy a rövid, könnyen kitalálható jelszavak nem érnek fabatkát sem, hiszen egy mai jelszótörésre szánt eszköz a 12 karakternél rövidebb komplex jelszavakat is percek alatt fejtheti vissza. Az megint nem került be a cikkbe egyértelműen, hogy ehhez nem kell AI. Szóval nem amiatt, hanem az informatikai eszközök általános fejlődése miatt kell többfaktoros hitelesítés, jelmondat és körültekintés a jelszavak használata közben. A kockázata azért ott van, hogy egy AI támogatott rendszer, a meglévő eszközök alkalmazásával vajon milyen sebességgel lesz képes sérülékenységeket kihasználni, hiszen már ma is optimalizálhatjuk akár a rosszindulatú programunk kódját a mesterséges intelligencia segítségével.



Bár itt van a finisben a depressziót szövegfelolvasás alapján jelző alkalmazás, az AI nem feltétlenül fog orvosi szinten beszélgetni velem, ha az elmém és érzelmeim komplex problémájával oda fordulnék. Nem a gép miatt, hanem az embertelen és sokszor érzelemmentes társadalom miatt leszek öngyilkos. A felelős pedig nem a fejlesztő kell legyen. Ha felvágom az ereim, ott sem a penge lenne a hibás.



Az egész dolog lényege, hogy a félinformációk, hangzatos címek ellopják a show-t. Ahelyett, hogy gondolkoznánk, hogy keresnénk és tanulnánk az AI használatának megfelelő formáit, csak szívjuk magunkba a pletykalapok hasábjain és a likevadász közösségi médiában megjelenő bejegyzéseket.



Én úgy gondolom, hogy a felelősségen áll vagy bukik majd a kérdés. Ha tudom, hogy milyen tevékenységért ki a felelős, ha tudom, hogy egy eszköz, jelen esetben az AI használata közben a társadalmi normák betartásra kerülnek, ha ismerem a működésének környezetét, a lehetőségeit – de ez igaz akár simán az internetre ugyanúgy –, akkor olyan lesz ez is, mint a kenyérvágókés… Ledöfhetném vele a szomszédot, de általában csak eszek egy jó szelet vajaskenyeret.



Források:



<a href="https://www.hwsw.hu/hirek/66012/homesecurity-mi-jelszo-feltores-passgan-jelentes.html">https://www.hwsw.hu/hirek/66012/homesecurity-mi-jelszo-feltores-passgan-jelentes.html</a>



<a href="https://hvg.hu/tudomany/20230414_chaosgpt_mesterseges_intelligencia_alapulo_chatbot_gonosz_tervei">https://hvg.hu/tudomany/20230414_chaosgpt_mesterseges_intelligencia_alapulo_chatbot_gonosz_tervei</a>



<a href="http://www.ma.hu/eletmod.hu/387648/Ongyilkos_lett_egy_apa_miutan_egy_AI_chatbot_rabeszelte" target="_blank" rel="noreferrer noopener">http://www.ma.hu/eletmod.hu/387648/Ongyilkos_lett_egy_apa_miutan_egy_AI_chatbot_rabeszelte</a>



<a href="https://telex.hu/zacc/2023/03/26/papa-kabat-slay-fake">https://telex.hu/zacc/2023/03/26/papa-kabat-slay-fake</a>

AI MEGINT, MEGINT ÉS MEGINT…

Ebben a webinárban Farkas Imre, a FORTIX Consulting cégvezetője vezeti be a résztvevőket az IaaS használatának előnyeihez és a felmerülő biztonsági kihívásokhoz. Ha már használod vagy tervezed bevezetni az IaaS-t vállalkozásodban, ez a webinár értékes információkat és gyakorlati tippeket kínál a biztonságos IaaS használatához. 



Az előadás tartalma: 



<ul>
<li>Az IaaS előnyei és használatának háttere </li>



<li>IaaS biztonsági kihívások és kockázatok </li>



<li>Megoldások és stratégiák a kockázatok minimalizálására </li>



<li>Gyakorlati tippek a biztonságos IaaS használatához </li>
</ul>



Előadónk, Farkas Imre, több mint 20 éves tapasztalattal rendelkezik a kiberbiztonság, adatbiztonság és internetbiztonság területén, és számos nemzetközi projektekben vett részt vezetői, tanácsadói és auditori szerepkörökben.



<figure class="wp-block-embed aligncenter is-type-video is-provider-youtube wp-block-embed-youtube wp-embed-aspect-16-9 wp-has-aspect-ratio"><div class="wp-block-embed__wrapper">
<iframe loading="lazy" title="Webinar: Az IaaS felhőszolgáltatások használatának top 10 biztonsági buktatója" width="500" height="281" src="https://www.youtube.com/embed/BXcMBN49ct4?feature=oembed" frameborder="0" allow="accelerometer; autoplay; clipboard-write; encrypted-media; gyroscope; picture-in-picture; web-share" allowfullscreen></iframe>
</div></figure>

Az IaaS felhőszolgáltatások használatának top 10 biztonsági buktatója webinar

A VDA egy, az autóiparban egyre inkább megkövetelt, korábban minőségügyi (6.3), napjainkban már információbiztonsági (ISA) követelményszabvány is. A VDA ISA abban nyújt segítséget, hogy az autóiparban tevékenykedő vállalatok könnyebben tudják értelmezni és teljesíteni azon biztonsági követelményeket, amelyeket a gyártók (OEM-ek) megkövetelhetnek tőlük. 



A webinár során bemutattuk a vonatkozó szabvány és ahhoz kapcsolódó keretrendszer főbb jellemzőit, céljait és követelményeit, valamint azt, hogyan lehet ezek figyelembevételével megbízható beszállítóként működni az autóipari szektorban. Továbbá betekintést nyújtottunk a tanúsítás folyamatába, és segítettünk megérteni, milyen előnyöket nyújthat a vállalatok számára. 



Miről volt szó a webinaron? 



<ul>
<li>Jelenlegi autóipari trendek (különös tekintettel az információbiztonságra) bemutatása </li>



<li>Miért is fontos a VDA ISA? Mik az előnyei? </li>



<li>A keretrendszer főbb elemeinek ismertetése </li>



<li>Tanúsítási folyamat bemutatása </li>



<li>Egy megvalósult felkészítés tapasztalatai – a beszállító szemével</li>
</ul>



<figure class="wp-block-embed aligncenter is-type-video is-provider-youtube wp-block-embed-youtube wp-embed-aspect-16-9 wp-has-aspect-ratio"><div class="wp-block-embed__wrapper">
<iframe loading="lazy" title="Webinar: Információbiztonság - fókuszban az autóipar" width="500" height="281" src="https://www.youtube.com/embed/KOguXXPmY0s?feature=oembed" frameborder="0" allow="accelerometer; autoplay; clipboard-write; encrypted-media; gyroscope; picture-in-picture; web-share" allowfullscreen></iframe>
</div></figure>

Információbiztonság – fókuszban az autóipar webinar

– Ha ez a mondat hangzik el egy megbeszélésen a rendszerüzemeltetők csapatában, akkor nem feltétlenül egy sportesemény szép pillanatáról, hanem az informatikai rendszerek mentésének megfelelőségéről lehet szó.&nbsp;Március 31. az adatmentés&nbsp;– biztonsági mentés –&nbsp;világnapja, melynek célja, hogy felhívja a felhasználók, vállalatok figyelmét az adatmentés fontosságára, hiszen információs társadalmunkban az adat vált az egyik legfontosabb kinccsé (az adat az új olaj), az informatikai szolgáltatások pedig az üzleti működés legfontosabb támogatójává, így ezeket védenünk kell. A védelem egyik legfontosabb eleme pedig az adataink, rendszereink megfelelő mentése.



Informatikai környezetünk, az otthoni hálózatban található eszközöktől egészen a robosztus nagyvállalati rendszerekig tartalmaznak olyan elemeket, ahol az adatokat vagy a beállításokat (konfiguráció) menteni kell. Erre azért van szükség, hogy bármilyen fellépő probléma, baj esetén ezek helyreállíthatók legyenek, hiszen az adataink elvesztése költséges üzleti kockázatokat, egy felhasználó esetén pedig a pénztárca mélyére ható kiadást okoz, de akár lelki bajok forrása lehet – hiszen senki nem szeretné elveszteni a családi fotókat, a számítógépen vagy más adattároló eszközön lévő emlékeit, munkáit. Adatvesztést, szolgáltatáskiesést számos nem várt esemény okozhat, ahol a mentések adják az egyedüli megoldást. Leggyakrabban hardver meghibásodás, számítógépes vírusok, szándékos, vagy véletlen emberi beavatkozás okozza az adatvesztéseket, és bár számos lehetőség, különböző mód van a védekezésre, az utolsó és legbiztosabb mentsvár mindig a megfelelően végzett adatmentés.



<figure class="wp-block-image size-large"><img loading="lazy" decoding="async" width="1024" height="538" src="https://static.fortix.hu/app/uploads/2023/12/posztok-masolata-1200-×-630-keppont-21-1024x538.png" alt="" class="wp-image-933" srcset="https://static.fortix.hu/app/uploads/2023/12/posztok-masolata-1200-×-630-keppont-21-1024x538.png 1024w, https://static.fortix.hu/app/uploads/2023/12/posztok-masolata-1200-×-630-keppont-21-300x158.png 300w, https://static.fortix.hu/app/uploads/2023/12/posztok-masolata-1200-×-630-keppont-21-768x403.png 768w, https://static.fortix.hu/app/uploads/2023/12/posztok-masolata-1200-×-630-keppont-21.png 1200w" sizes="(max-width: 1024px) 100vw, 1024px" /></figure>



<blockquote class="wp-block-quote">
„Sajnos hónapok óta nem készítettem mentést a telefonomról. Mikor leejtettem jöttem rá, hogy az összes utóbbi időben készített családi fotó oda lett. Bár egy szakértőnek sikerült másolatot készítenie, jóval olcsóbb lett volna, ha korábban gondolok rá és bekapcsolom az adatmentést, vagy rendszeresen odafigyelek rá.”

</blockquote>



Persze az adatmentés, a biztonságunk megteremtésének többi eleméhez hasonlóan nem egy egyszeri, könnyedén letudható feladat, hanem egy folyamat számos elemmel, hiszen adataink, az általunk használt informatikai szolgáltatások és megoldások változnak, ezeket a változásokat pedig követnünk kell.



<h3 class="wp-block-heading">MI SZÜKSÉGES AHHOZ, HOGY MEGFELELŐ MENTÉSSEL RENDELKEZZÜNK?</h3>



<ul>
<li>Elsősorban ismernünk kell az adataink helyét, az adataink felhasználási módját és tudnunk kell, mekkora problémát okoz ezen adatok elérhetetlenné válása, esetleg teljes megsemmisülése.</li>



<li>Fel kell mérnünk, mekkora a kockázata egy hardvermeghibásodásnak, egy zsarolóvírus támadásának vagy más katasztrófahelyzetnek például tűzeset, vagy más természeti kár által, ami hatással van a rendszereinkre.</li>



<li>Azt is meg kell vizsgálnunk, hogy az adott helyen lévő adataink milyen gyakran változnak, és ennek megfelelően meghatározni a mentések gyakoriságát.</li>



<li>El kell döntenünk, hogy milyen mentési megoldást választunk, milyen adathordozó, vagy tároló lesz a helye a mentett adatainknak. Egy vállalatnak pontosan kell ismernie egy adott rendszer esetében, hogy egy káros eseménytől számított mekkora időkülönbség lehet az elfogadható mentési időpont (RPO – recovery point objective) és mennyi időn belül kell a rendelkezésre álló mentésből az adatokat vagy a szolgáltatást helyreállítani (Recovery Time Objective – RTO)</li>
</ul>



<blockquote class="wp-block-quote">
„Hiába költöttünk redundáns elemeket tartalmazó szerverre, a hibásan bekötött tápellátás olyan meghibásodást okozott, melyet csak a tárolórendszer cseréje és az adatmentésből történő helyreállítás tudott megoldani.”
</blockquote>



<h3 class="wp-block-heading">LEGFONTOSABB FELADATOK:</h3>



<ul>
<li>Mentendő adataink meghatározása – ez lehet felhasználó adat, kép, dokumentum, vagy akár adatbázis, komplett alkalmazás vagy rendszer az összes adatával együtt.</li>



<li>A mentési megoldás kiválasztása – lehet egy egyszerű külső tároló, valamilyen felhőszolgáltatás, vagy komplett mentési rendszer szolgáltatás</li>



<li>A mentések rendszeres elvégzése – lehetőleg automatikusan</li>
</ul>



Fontos, hogy a mentéseket időnként ellenőrizzük, állítsunk vissza belőle adatokat, hiszen nagyon kellemetlen, ha kiderül, hogy csak abban a hitben vagyunk, hogy van mentésünk, de a meglévő mentésekből mégsem lehet a visszaállítást elvégezni. Lényeges, hogy a mentéseket kellően elkülönítve tároljuk, ha egy káros esemény bekövetkezik, akkor a mentés ne sérüljön meg a működő rendszerünkkel egyidőben. Érdemes olyan mentési folyamatot kialakítani, ahol van az üzemeltetéstől fizikailag elválasztott távoli tárolására is lehetőség.



<blockquote class="wp-block-quote">
„Sajnos a mentési rendszerünk a vállalat hálózatában folyamatosan elérhető volt, így a zsarolóvírus az abban tárolt adatokat is elzárta. Az archívumból történő visszaállítás miatt több mint egy havi munkánk elveszett, ami az incidens elhárításában magas költségeket jelentett és jelentősen rontotta a társaságunk hírnevét.”
</blockquote>



Persze egy vállalkozásnak máshol vannak az adatmentési elvárásai és lehetőségei, mint egy felhasználónak, de mindkettő részéről kiemelkedően fontos, hogy az adatai mentésével rendszeresen és körültekintően foglalkozzon. Erre jó például a mai nap!

EZ SZÉP MENTÉS VOLT!

A cikk megjelenésének szakmai támogatója a CyberCamp,  Magyarország első széles körben elérhető junior kiberbiztonsági szakember képzése, amely során az etikus hackelés alapjai is megtanulhatók. <a href="https://www.fortix.hu/cybercamp-kiberbiztonsagi-kepzes/" target="_blank" rel="noreferrer noopener">www.cybercamp.hu</a>



<h2 class="wp-block-heading">ETIKUS HACKELÉS TÖRTÉNETE: AZ 1960-AS ÉVEKTŐL NAPJAINKIG</h2>



Talán senki nem gondolt rá a ’60-as években, amikor az MIT (Massachusetts Institute of Technology) mérnöki karán először használták az „ethical hack” (azaz etikus hackelés) kifejezést, hogy 60 év múlva mennyire ismert – és talán sokszor félreismert – kifejezés lesz ez az információbiztonság területén.&nbsp;



Hackereknek kezdetben azokat a nagy tudással bíró szakembereket nevezték, akik talán néha „favágó” módszerekkel, például egy csákánnyal, vagy kalapáccsal, de technikai problémákat oldottak meg. Innen ered maga a kifejezés is, a „hack” ige egyik jelentése csapkod, míg a „hacker” csákányozót is jelent.&nbsp;



Mivel a múlt század közepén még nem voltak internetet érintő problémák, mai tudásunk szerint, komolynak mondható informatika rendszerek, így az első hackerek sem köthetők közvetlenül az internethez. Talán még néhányan emlékeznek arra az időre, amikor csak utcai telefonfülkékből, pénzérmékkel, majd később telefonkártyával lehetett telefonálni. Az első hacker akciók is az érmés telefonálás „hackelésére” irányultak.


<div class="wp-block-image">
<figure class="aligncenter size-full"><img loading="lazy" decoding="async" width="600" height="400" src="https://static.fortix.hu/app/uploads/2023/12/hackeles-1-600x400-1.jpg" alt="" class="wp-image-937" srcset="https://static.fortix.hu/app/uploads/2023/12/hackeles-1-600x400-1.jpg 600w, https://static.fortix.hu/app/uploads/2023/12/hackeles-1-600x400-1-300x200.jpg 300w" sizes="(max-width: 600px) 100vw, 600px" /><figcaption class="wp-element-caption"><a href="https://mitmuseum.mit.edu/collections/object/1986.082.001?query=&amp;filters%5B0%5D%5Bfield%5D=namedCollection&amp;filters%5B0%5D%5Bvalue%5D=MIT%20Hacks%20Collection&amp;sort=dateAddedAsc&amp;resultIndex=2" target="_blank" rel="noreferrer noopener">Forrás: Az MIT Museum engedélyével</a></figcaption></figure></div>


<h2 class="wp-block-heading">MISZTIKUM, ROMANTIKA, ÉS A NEM OLYAN RIDEG VALÓSÁG</h2>



Mint korábban, napjainkban is a hackereket, etikus hackereket mindig valamilyen romantikus, misztikus kép lengte körül, melyhez képest a valóság sokkal szakmaibb.&nbsp;



Az etikus hackerek valójában információbiztonsági szakemberek. Feladatuk egy informatikai rendszer vizsgálata abból a célból, hogy megelőzzék a rendszerben lévő esetleges sérülékenységek „rosszszándékú” támadók általi kihasználását. A vizsgálatok során feltárják a rendszer gyengeségeit, rámutatnak a felfedezett gyengeségek kihasználásának következményeire, és javaslatokat adnak egy esetleges támadás kivédésére. Mindezt abból a célból, hogy megelőzzék a nagyobb anyagi kárt, illetve reputációs (jó hírnévet érintő) veszteségeket egy szervezet életében.&nbsp;



<h2 class="wp-block-heading">MITŐL ETIKUS EGY HACKER?</h2>



Bár a vizsgálatok során az etikus hackerek is hackerként viselkednek, ugyanazokat az eszközöket használják, a legfőbb különbség a vizsgálat motivációjában, és eredmények átadásában keresendő.&nbsp;&nbsp;



Míg a hackerek valamilyen anyagi, vagy egyéb haszonszerzési célból, esetleg szórakozásból végzik tevékenységüket, az etikus hackerek ezzel szemben mindig az adott rendszer tulajdonosának megbízásából dolgoznak, céljuk a biztonsági hibák felderítése, a károkozás megelőzése.&nbsp;



A „fekete kalapos” hackerek nincsenek tekintettel a vizsgálat által esetlegesen okozott károkra, és a megszerzett információkat vagy saját céljaikra használják fel, vagy anyagi ellenszolgáltatás fejében adják át, utólag. Az etikus hackerek mindig a megbízójuknak közvetlenül tartoznak beszámolással, és szánt szándékkal sohasem okoznak kárt a vizsgált rendszerekben.&nbsp;



<figure class="wp-block-image size-large"><img loading="lazy" decoding="async" width="1024" height="256" src="https://static.fortix.hu/app/uploads/2023/12/Nevtelen-terv-12-1024x256.jpg" alt="" class="wp-image-938" srcset="https://static.fortix.hu/app/uploads/2023/12/Nevtelen-terv-12-1024x256.jpg 1024w, https://static.fortix.hu/app/uploads/2023/12/Nevtelen-terv-12-300x75.jpg 300w, https://static.fortix.hu/app/uploads/2023/12/Nevtelen-terv-12-768x192.jpg 768w, https://static.fortix.hu/app/uploads/2023/12/Nevtelen-terv-12-1536x384.jpg 1536w, https://static.fortix.hu/app/uploads/2023/12/Nevtelen-terv-12-2048x512.jpg 2048w" sizes="(max-width: 1024px) 100vw, 1024px" /></figure>



<h2 class="wp-block-heading">TÉVHITEK ÉS VALÓSÁG AZ ETIKUS HACKEREK VILÁGÁBAN</h2>



Az a bizonyos „fekete kapucni”:&nbsp;



<ul>
<li>Nem szükséges kellék&nbsp;????&nbsp;A filmekkel ellentétben, általában nem egy elsötétített szobában, sötét, kapucnis pulóverben dolgoznak a hackerek, etikus hackerek. Bárkiből lehet etikus hacker, nemtől, kortól függetlenül.&nbsp;</li>
</ul>



A hacker csak oda ül a számítógépéhez, és percek alatt feltör egy rendszert:&nbsp;



<ul>
<li>Néha lehet így van, de valójában hosszas kutatómunka kellhet az előkészületekhez, miután maga a behatolás lehet, hogy tényleg gyorsan, akár percek alatt megtörténik.&nbsp;</li>
</ul>



A hacker „magányos farkas”:&nbsp;



<ul>
<li>Ritkán, de előfordulhat, hogy valaki annyi tudással rendelkezik, hogy egymaga végez el egy vizsgálatot, vagy hajt végre egy támadást, de általában csoportban, egymást kiegészítve dolgoznak. Ekkor érvényesülhet az a mindenre kiterjedő látásmód, sokoldalú tudás, ami akár egy komplex vizsgálathoz, akár egy rosszindulatú támadáshoz elengedhetetlen.&nbsp;&nbsp;</li>
</ul>



<h2 class="wp-block-heading">JÖVŐKÉP: A MESTERSÉGES INTELLIGENCIA HATÁSA AZ ETIKUS HACKELÉSRE</h2>



Bár a jövőt nem ismerhetjük, a mesterséges intelligencia rohamos fejlődése láttán csak kapkodjuk a fejünket, nem valószínű, hogy teljes mértékben át tudja majd venni az etikus hackerek, információbiztonsági szakemberek szerepét. Az MI nagy mértékben segíthet az információk gyors összegyűjtésében, de mindig kelleni fog maga az ember, aki esetleg észre vehet olyan kapcsolatokat az információk között, amire egy mesterséges intelligencia nem képes. Valamint ne felejtsük el, hogy lehet bármennyire biztonságosan kialakítva egy rendszer, a támadások döntő többsége még mindig az emberi figyelmetlenségből indul ki, így az emberi tényezőt soha nem fogjuk tudni kihagyni a megelőzésből sem.&nbsp;&nbsp;



<h2 class="wp-block-heading">ÉS, HOGY MIÉRT IS VÉGTELEN AZ ETIKUS HACKELÉS TÖRTÉNETE?&nbsp;</h2>



Az internet megjelenése óta, egyre gyorsabban fejlődik a technológia. Az már régóta tudott – és vannak, akik ezt meg is tapasztalják –, hogy egyre kevesebben üzemeltetnek egyre nagyobb, komplexebb rendszereket. Valamint, hiába a szinte naponta megjelenő hír a hackerek okozta károkról, még mindig kevés az olyan tudatos vezető, akik nagyobb figyelmet fordítana a rendszerei biztonságára. A hackerek (bármi legyen is a motivációjuk) mindig azon fognak dolgozni, hogy kihasználják ezen rendszerek sérülékenységeit, így az etikus hackereknek, kiberbiztonsági szakembereknek, mindig előrébb kell járjanak, hogy megvédjék a rendszereiket.&nbsp;&nbsp;&nbsp;



Ez a folytonos versengés bár arra készteti a rendszerek fejlesztőit, hogy minél jobban törekedjenek a biztonságra, de mint egy macska-egér harcban, soha nem lehetünk biztosak abban, hogy ki jár éppen előrébb.&nbsp;

ETIKUS HACKELÉS: A KIBERBIZTONSÁG FEHÉR LOVAGJAI 

A cikk megjelenésének szakmai támogatója a CyberCamp,  Magyarország első széles körben elérhető junior kiberbiztonsági szakember képzése, amelyen az adathalászat elleni védekezés alapjai is megtanulhatók. <a href="https://www.fortix.hu/cybercamp-kiberbiztonsagi-kepzes/" target="_blank" rel="noreferrer noopener">www.cybercamp.hu</a>



<h1 class="wp-block-heading">AZ ADATHALÁSZAT ÉS AZ EMBERI TÉNYEZŐ</h1>



Az adathalászattal már régóta együtt élünk. Emlékszem az első ilyen típusú támadásra.&nbsp; Az e-mail, amit a csalók küldtek nagyon magyartalan és érthetetlen volt. Természetesen a levélben volt egy link, ami egy adathalász oldalra vitt. A szövegezése inkább vicces volt, mint fenyegető, nem is lehetett igazán komolyan venni. A levélnek a tárgy részét és a benne lévő tartalmat Google fordítóval fordították le.



Azóta sok minden változott az adathalászat során, de egy dolog továbbra is megmaradt, még pedig az,&nbsp;hogy a csalók az emberek hiszékenységét, jóindulatát használják ki arra, hogy kicsalják a pénzüket. Hiszen ha belegondolunk, akkor csak is mi vagyunk azok, akik ráklikkelünk egy linkre, megadjuk az adatainkat, vagy engedjük hogy feltelepítsenek valamilyen programot az eszközünkre, stb. Azért, mert elhisszük azt, amit olvasunk vagy hallunk, azon egyszerű ok miatt, mert figyelmetlenek vagyunk.



<h2 class="wp-block-heading">AZ ADATHALÁSZAT FEJLŐDÉSE</h2>



Természetesen nem csak a kontrolkörnyezet változott meg, hanem sajnos a támadások minősége is. Jobbnál jobbak lettek és már nem csak e-mailekről beszélünk hanem, sms, google kereső, telefonos hívások azok, amelyekkel próbálkoznak.



Sajnos, ahogy nő a próbálkozások száma, úgy nő a veszteség is, amit sikerül elvinni az ügyfelek számláiról. Ezt az elméletet az MNB is alátámasztotta. A diagramon látszik, hogy évről évre nagyobb a veszteség.


<div class="wp-block-image">
<figure class="aligncenter size-full"><img loading="lazy" decoding="async" width="501" height="149" src="https://static.fortix.hu/app/uploads/2023/12/Picture1111.png" alt="" class="wp-image-941" srcset="https://static.fortix.hu/app/uploads/2023/12/Picture1111.png 501w, https://static.fortix.hu/app/uploads/2023/12/Picture1111-300x89.png 300w" sizes="(max-width: 501px) 100vw, 501px" /></figure></div>


<h3 class="wp-block-heading">AZ ADATHALÁSZAT KÉT NAGY TERÜLET ELLEN IRÁNYUL:</h3>



1, &nbsp;&nbsp; Bankkártya



2, &nbsp;&nbsp; Utalási megbízás (internetbank, mobilapplikáció)



2019-előtt az adathalász támadások nagyon nagy része a bankkártya adatok megszerzéséért folyt, ezt mutatja a táblázat is.



Éppen ezért a fő cél a bankkártya, pontosabban a bankkártyán lévő adatok megszerzése. (Bankkártyaszám, lejárati dátum, CVC, vagy CVV kód.) A csalók ezekkel az adatokkal éltek vissza és okoztak veszteséget.



Az elkövetett tranzakcióknak nagy része külföldi weboldalakon történő vásárlás volt. Ahogy nőt ezen tranzakciók száma, úgy nőtt a kontroll is ezeken a területeken. Rájöttek a bankok és az ügyfelek is, hogy fontos a kontroll, a tudatosság, a kommunikáció, mert csak úgy lehet megelőzni a csalásokat.



Felsorolok néhányat azokból a kontrollokból, amelyek bevezetésre kerültek.



<ul>
<li>Bankkártya napi összeg limit</li>



<li>Bankkártya napi darabszám limit</li>



<li>Mobilbank használata (sms értesítések)</li>
</ul>



A csalók egy idő után hiába szerezték meg ezeket az adatokat, nem érte meg nekik újabbnál újabb csalásokat kezdeményezni, mert egyre kisebb volt az az összeg, amit megnyertek, így más után néztek. Ez nem azt jelenti, hogy megszűnt az adathalászat a bankkártya adatok ellen, hanem hogy drasztikusan lecsökkentek az ilyen típusú tranzakciók darabszámban és összegben is.



Az okok pedig egyszerűek:



<ul>
<li>egy sikeres tranzakcióval jóval több pénz elvihető a számláról, mint egy bankkártyás tranzakcióval</li>



<li>nem terméket visznek el, hanem pénzt</li>



<li>sok esetben magasabb limitek vannak a számlán, mint egy bankkártyán így nagyobb a nyeresége a csalóknak</li>



<li>az elektronikus csatornák megszerzésével az ügyfél teljes számlája felett átveszik a hatalmat (betétek, befektetések, látra szóló egyenleg)</li>



<li>az érintett ügyfelek kevésbé ismerték az ilyen elkövetési módot</li>
</ul>



Így ezek miatt a csalók most már kifejezetten, céltudatosan azokat az adatokat szeretnék megszerezni, amivel be tudnak lépni az internetbankba, a mobilapplikációba, hogy a számláinkon lévő pénzt elutalják.



&nbsp;Hogy megismerjük a csalók gondolkodását, és felismerjük időben az ilyen támadásokat, nézzük meg milyen típusai is vannak az adathalászatnak.



<h3 class="wp-block-heading">AZ ADATHALÁSZAT TÍPUSAI</h3>



&nbsp;E-mail Phishing:



A csalók megírják az e-mailt, benne egy linkkel, ami egy adathalász oldalra mutat. Ezen az oldalon próbálják megszerezni az érzékeny adatainkat.



Spear Phishing



Célzott adathalász támadás. A csalók egy célszemélyt választanak ki, akire rászabják az üzenetet. Ezekben az üzenetekben már találhatók olyan elemek, amelyekkel könnyebben felismerhető a támadás.



Smishing:



A csalók sms-t küldenek benne egy linkkel, ami egy adathalász oldalra mutat, és az oldalon próbálják megszerezni az érzékeny adatokat.&nbsp; A „Jófogás”-os csalásoknál találkozhatunk ezzel az elkövetési móddal.



Whaling (bálnavadászat)



A csalók nagy cégek vezetőit próbálják lehalászni, mert ők hozzáférhetnek a cégek érzékeny adataihoz. A nevükben utasítják a cég alkalmazottait nagy összegű utalási megbízás könyvelésére.&nbsp;



Hamisított weboldalak



A csalók bankok, szolgáltatók oldalait másolják le szinte tökéletesen azért, hogy a google keresőben ezek az oldalak elsőként jöjjenek fel találatként. Az ügyfelek ráklikkelnek a találatra, és máris egy hamis bank vagy szolgáltató oldalon találják magunkat.



Voice Phishing (Vishing)



Telefonon keresztüli adathalász támadás. A csalók telefonon próbálják lehalászni a pénzünket. A bankok nevében hívják fel az áldozatokat és meggyőzik őket, hogy adják meg az adataikat. &nbsp;Nemrég az OTP Bank nevében történtek ilyen visszaélések.



Tech support csalás:



Távoli hozzáférést kérnek a csalók mindenféle ürügyre hivatkozva a célpont számítógépére. Ezt általában egy anydesk nevű programmal teszik meg, amit ha sikerül feltelepíteni, azon keresztül jutnak hozzá az érzékeny adatokhoz.


<div class="wp-block-image">
<figure class="aligncenter size-full"><img loading="lazy" decoding="async" width="554" height="533" src="https://static.fortix.hu/app/uploads/2023/12/Picture222.png" alt="" class="wp-image-942" srcset="https://static.fortix.hu/app/uploads/2023/12/Picture222.png 554w, https://static.fortix.hu/app/uploads/2023/12/Picture222-300x289.png 300w" sizes="(max-width: 554px) 100vw, 554px" /></figure></div>


Ekkor jött be a számlás csalások kora, ami még mindig tart.



Az okok pedig egyszerűek:



<ul>
<li>egy sikeres tranzakcióval jóval több pénz elvihető a számláról, mint egy bankkártyás tranzakcióval</li>



<li>nem terméket visznek el, hanem pénzt</li>



<li>sok esetben magasabb limitek vannak a számlán, mint egy bankkártyán így nagyobb a nyeresége a csalóknak</li>



<li>az elektronikus csatornák megszerzésével az ügyfél teljes számlája felett átveszik a hatalmat (betétek, befektetések, látra szóló egyenleg)</li>



<li>az érintett ügyfelek kevésbé ismerték az ilyen elkövetési módot</li>
</ul>



Így ezek miatt a csalók most már kifejezetten, céltudatosan azokat az adatokat szeretnék megszerezni, amivel be tudnak lépni az internetbankba, a mobilapplikációba, hogy a számláinkon lévő pénzt elutalják.



A csalástípusok után összeszedtük azokat az eseteket, amelyek alapján felismerhető az adathalászati támadás.



Gyanús feladó:&nbsp;A küldő neve kis mértékben eltér a valós feladó nevétől. A küldő pontos azonosításához be kell menni a levelező programba.



Eltérések a megszokott formai jegyekben:&nbsp;nem a megszokott formátumú a levél tartalma (megszólítás, szöveg, aláírás)



Nyelvtani vagy nyelvhelyességi problémák:&nbsp;magyartalan a levél (Google fordító), ami nyelvtani hibákat tartalmaz.



Azonnali reakciók:&nbsp;Azonnali döntésre kényszerítés, valamilyen váratlan nagy veszély, vagy &nbsp;valamilyen jó lehetőségről való lemaradás miatt.



Bizalmas információk kérése:&nbsp;érzékeny adatokat kérnek az üzenetben, hívásban, amelyek megadásához ügyfélazonosítás szükséges. Pl: telefonos azonosító kód



<h2 class="wp-block-heading">HOGYAN VÉDEKEZHETÜNK AZ ADATHALÁSZ TÁMADÁSOK ELLEN?</h2>



<ul>
<li>Ne add meg a bankkártyád adatait, internetbank, mobilapplikációd jelszavát, azonosítóját vagy egyszer használatos SMS-ben kapott kódját! A bank ugyanis sosem kéri el ezeket az információkat, ha ilyet kérnek tőled, biztos lehetsz benne, hogy csalóval van dolgod.</li>



<li>Ne kattints e-mailen, sms-ben vagy egyéb üzenetben érkező linkekre, mert azok szinte biztos, hogy hamis, az eredetire megtévesztésig hasonló weboldalra irányítanak át és az ott megadott adatokkal már az elkövetők szabadon rendelkeznek a számládon.</li>



<li>Amennyiben fel akarjuk keresni bankunk vagy szolgáltatóink honlapját, mert átutalást akarunk végrehajtani, online vásárolni, akkor ne az internetes keresőbe gépeljük be a bankunk honlapját, hanem közvetlenül a menüsorba.</li>



<li>Minden esetben legyél óvatos, tegyél fel kérdéseket, ha nem a megszokott módon folyik a telefonbeszélgetés vagy elbizonytalanodsz hívás közben.</li>



<li>Amennyiben ismeretlen eredetű alkalmazás letöltését kérik – bármilyen okból -, akkor szakítsd meg a hívást.</li>



<li>A bankok nem kérik az internet vagy mobilapplikációhoz szükséges belépési kódokat, jelszavakat vagy a kártyaadatokat (PIN, CVC). Ha ilyet kérnek, azonnal meg kell szakítani a hívást.</li>



<li>Ne utalj pénzt telefonon érkező kérésre! A bankok sosem kérnek ilyet.</li>



<li>Gyanús megkeresés esetén szakítsd meg a telefonhívást, majd hívd a bank ismert, a saját weboldalán publikált ügyfélszolgálati telefonszámát a hívás valódiságának ellenőrzéséhez.</li>



<li>Ne használd a visszaellenőrzéshez azt a telefonszámot, amit megkaptál a hívó féltől! A szám hamis lehet, vagy kifejezetten erre a célra hozták létre.</li>



<li>Mobilapplikációi alkalmazásban az ismeretlen kártyás vásárlásokat vagy átutalásokat, csak abban az esetben hagyd jóvá amennyiben azt te hajtottad végre.</li>



<li>Legyen beállítva mobilbank (sms szolgáltatás) szolgáltatás a számlás és a kártyás tranzakciókra, hogy időben észleld a jogosulatlan tranzakciókat.</li>
</ul>

AZ ADATHALÁSZAT VESZÉLYEI

A kiberbűnözők egyre kifinomultabb módszerekkel csalják ki a felhasználók adatait, ezért különösen óvatosnak kell lenni a digitális térben. A koronavírus–járvány idején egyre többen szoktak rá az online vásárlásra, és bár a veszélyhelyzet enyhülésével némiképp visszanyerte szerepét a személyes jelenlét, a webshopok forgalma folyamatosan erősödik. 



A kiberbűnözés mára csaknem minden szektort elért, nem csak az apróhirdetések és a webshopok érintettek, talán nincs olyan nagyobb e-kereskedelmi, banki, telekommunikációs, közműszolgáltatói vállalat, aki nem tapasztalt ez idáig adathalász kísérletet. Az adathalászatra egész iparág épült, de a veszély nagy részét némi odafigyeléssel elkerülhetjük. Ezért fontos, hogy mindannyian tisztában legyünk az adathalászat jellegzetességeivel és módszereivel, hogy jobban felkészülhessünk és hatékonyan védekezhessünk ellene. 



A webinar során szakértőink megosztották a legjobb gyakorlatokat és tippeket az adathalászat elleni védekezéshez, és bemutatták azokat az eszközöket és technológiákat, amelyek segíthetnek a személyes adatok biztonságosabbá tételében.



<figure class="wp-block-embed aligncenter is-type-video is-provider-youtube wp-block-embed-youtube wp-embed-aspect-16-9 wp-has-aspect-ratio"><div class="wp-block-embed__wrapper">
<iframe loading="lazy" title="Webinar: Kattints, de okosan! Hogyan ismerd fel az adathalászatot?" width="500" height="281" src="https://www.youtube.com/embed/XM8h-9Duewg?feature=oembed" frameborder="0" allow="accelerometer; autoplay; clipboard-write; encrypted-media; gyroscope; picture-in-picture; web-share" allowfullscreen></iframe>
</div></figure>

CyberCamp – Kattints, de okosan webinar

Akár szülőként, akár informatikával foglalkozó szakemberként gondolom végig azokat a problémákat, melyekkel az otthoni „okoseszközök”, vagy akár internethasználat közben szembesülünk, arra jutok, hogy ezt elszúrtam. Persze nem csak én, a társadalom is elszúrta.



Más szülőkkel beszélgetve, az iskolai működést tapasztalva, és szenvedvén a saját porontyaim eszközhasználati szokásait látva szembeötlik, hogy egyszerűen túl sok a változó, túl sok az eszköz, túl sok az információ. El kellene ezek között igazodni, általában el is tudunk, de időnként eltévedünk. Olyan erdőben kalandozunk, ahol rengeteg az ösvény és nem egyértelműek az útjelzőtáblák, amiket néha direkt, néha jóindulatból, néha meg rosszindulatúan cserélget valaki. Természetesen mindenki másik erdőben mászkál, csak vannak közös lugasok és rétek, és halljuk egymás kiabálását.


<div class="wp-block-image">
<figure class="aligncenter"><img decoding="async" src="https://static.fortix.hu/app/uploads/2023/02/Picture11-600x393.jpg" alt="" class="wp-image-14774"/></figure></div>


Az internetes eszközök hajnalán minden olyan egyszerűnek tűnt. Volt kb. egy, azaz 1 darab jelszó, csatlakoztunk, és miénk volt a HTML alapú információs szupersztráda, MEK-kel (Magyar Elektronikus Könyvtár) és Wikipédiával. Aztán lett egy levelezési címünk, már nem voltunk a csigaposta által gúzsba kötve sem és kész. Hálózati szakember lőtte be a modemet, a rendszereinket olyan emberek telepítették, akik hallottak valaha Neumann-alapelvekről… és ez nem is volt olyan régen. Történelmi szempontból meg pláne.



Napjainkhoz ugorva azt látjuk, hogy nem csak az internet, de a kütyük is behálóznak minket. Tegye fel a kezét, aki nem telepített még programot, például a mobiljára! Senki? Na ugye! Akkor az tegye fel, akinek a családjában nincs olyan, aki ne állított volna be WIFI-t valaha (mondjuk egy mobil hotspot-ot)! Hol vannak a kezek?!? Telepítünk, beállítunk, de vajon tudjuk-e, hogy mit… meg hogyan működik? Egyszerűen olyan szintre fejlesztettük és egyszerűsítettük az informatikai eszközeinket, a programok kezelését, a felhasználói felületeket, hogy egy totyogós bölcsis, vagy egy technagyi is könnyedén telepít, beállít, vagy akár gémer PC-t rak össze. Csak az marad a kérdés, hogy látja-e, felismeri-e a kockázatokat. Használjuk az internetes szolgáltatásokat is, de vajon eljut-e a tudatunkig az adataink fontossága, az eszközök használatával kapcsolatos kockázat, legyen az egy adathalászat, vagy csalók próbálkozásai az elektronikus pénzügyi eszközeink megszerzésére. Aztán meg, ha baj van, csak csodálkozunk, rémüldözünk – de már mindegy, hiszen erre tette le a társadalom a voksát, hiszen hol lennénk már EESZT, online foglalás, ügyfélkapu, vagy társkereső app nélkül. A napokban láttam egy képet, ahol már a Maslow-piramis legaljává vált a WIFI.



Ahogy mi a gépeink képernyőit bámuljuk munka, szabadidő vagy bármilyen ügyintézés közben, úgy a gyerekek is erre lesznek figyelmesek, ők is ezt szeretnék. Ha én könyvvel a kezemben lazulok, újságot olvasva szerzek híreket és kalapáccsal a kezemben dolgozom, akkor a kölyök is a könyvemet akarja, az újságomat veszi ki a kezemből – ha nem kap sajátot – és a kalapácsommal szeretné betörni az üvegasztal tetejét, hiszen „apa” is „ezt” teszi. De már nem ez az általános. Ő azt látja, hogy mobilon beszélgetünk, szórakozunk, hogy konzolon megy a játékprogram, és sokan már a munkát is laptopon, otthonról végzik. Mi pedig kezükbe adjuk a képernyőt valamilyen formában – ne értsetek félre, ez régen a „tévépóráz” volt, Kacsamesékkel, meg szünidei matinéval – és máris ott a gyerek kezében az instant új világ, ami színes, pörög, forog, zenél…helyette, mesél neki…helyettünk. Lefoglalja az agyát, az ujjait. Olyan gyors, hogy ehhez képes a Kengyelfutó Gyalogkakukk egy rozzant nyugdíjas (egyébként az is – született 1966-ban) és nem is érdekes semmi utána, ami lassú, ami energiát igényel, legyen az a színescerka, sőt akár a LEGO. Ha nem hisztek nekem, kérdezzétek meg a gyereket, hogy mit lát a mobilozásból, a számítógépezésből! Az instant játékot. A szórakozást, amikor én egész nap a laptop előtt gépelem az ilyen hülye cikkeimet, elemzek egy szabályzatot, javítok egy scriptet, az neki az lesz, hogy apa játszik. Tehát ő is azt akar. Órákig.



Aztán ahogy nő, meg jönnek az elvárások a classroom, a Teams meg az eKréta használatára (ez utóbbi üzemeltetőjének ezúton is gratula a citrom-díjhoz) és bővül a baráti kör a csetprogramban, úgy lesz a játék kordában tartására szolgáló eszközünk – a szülői felügyeletünk – a realitás lángjának martaléka. Úgy jövünk rá, hogy az elsődlegesen időszabályozott felügyeletet felülírja az élet rugalmassága és az osztályfőnök elvárása, ahogy mi is napi 4-5 órát töltünk egy félbehajtott zsebkendőnyi képernyő előtt.



HA újrakezdeném, biztosan másképp lenne. Amint lehet, a gyerekeim kezébe nyomnám a megfelelően előkészített kütyüt, hogy keressen megfelelő alakzatokat rajta, betűzze ki a szavakat, végezze el a műveleteket. Keressen benne, írjon, vagy akármi. DE az eszköz, a program nem dicsérhetné meg, nem adhatna folyamatosan jópontokat, színes csillagot, varázslatot. Azt én adnám. Elérném, hogy neki a számítógép – legyen az bármilyen formában – pont olyan eszköz legyen, amivel feladatot végzünk, amibe energiát kell tenni, és utána apa dicsér, búbolja meg a jólvégzett munka után a fejeket. Mindezt azért, hogy „soha” ne legyen színesebb és izgibb, mint a dobókocka, a képregényújság, vagy a fogócska. Saját eszköze nem is lenne. 9-10 éves korig közelébe sem engedném a dologhoz más módon. Csak ha már stabilan olvas, ír, bicajozik, készít csúzlit és megszokja, hogy a számítógép = eszköz, akkor nyílna ki a világ. Felsőben már menne a játék is, de ott lennének a feladatok, az online leckék, a tanulás és a rendszeres beszélgetés az éppen aktuális kérdésekről meg a kockázatokról. Ez utóbbi innentől örökké, ahogy azt is megbeszéljük, ha balesetet láttunk az úton, vagy ahogy megtanuljuk hogyan közlekedjünk a világban minimálva a kockázatokat.



De ma már necces, hogy a tinédzsereimmel ki tudom-e ezt így alakítani… Úgyhogy fel is oldom a kisebbeknél az időkorlátot egy pár percre, hogy megírjam nekik jöjjenek vacsizni, de először elmentem ezt a cikket, megnézem kaptam-e visszajelzést az elektronikus okmányügyintézésemre és feldobok egy jó fotót a fészre, mert a nagyszülők imádnak lájkot dobni a gyerekek képeire, de legalább a családi insta nem publikus…

ELRONTOTTUK?

A Magyar Nemzeti Bank 12/2022. (VIII.11.) számú ajánlása a belső védelmi vonalak kialakításáról és működtetéséről, a pénzügyi szervezetek irányítási és kontroll funkcióiról



A 12/2022-es MNB ajánlás a&nbsp;pénzügyi szervezeteknek&nbsp;ad segítséget, mégpedig a teljes belső védelmi vonalaknak kialakításában. Az ajánlás az előző verzióhoz hasonlóan a belső védelem kialakításáról, annak működtetéséről fogalmaz meg elvárásokat és 2023. január elsejétől lépett hatályba.



Röviden felsoroljuk azokat az elemeket, amelyek nélkülözhetetlenek a belső védelmi vonalak kialakításához és működtetéséhez:



<ul>
<li>Felelős belső irányítás</li>



<li>Csalásmenedzsment</li>



<li>Belső kontrol rendszer</li>



<li>A belső védelmi vonalak kialakításának és működtetésének speciális kérdései</li>



<li>Átláthatóság és a belső védelmi vonalakkal kapcsolatos nyilvánosságra hozatal</li>
</ul>



<h2 class="wp-block-heading"></h2>



<h2 class="wp-block-heading"></h2>



<h2 class="wp-block-heading">AZ MNB AJÁNLÁS TÉTELESEN FOGLALKOZIK A CSALÁSMENEDZSMENT TERÜLETTEL.</h2>



A csalásmenedzsment tekintetében az MNB fontosnak tartja az alábbiakat.



<ul>
<li>olyan csalásmegelőzési és eseménykezelési kultúra kialakítása, amely a bekövetkezett csalások tekintetében a zéró toleranciára törekszik, és a preventív megoldásokat helyezi fókuszban.</li>



<li>külön a szervezeti egységekhez, csoportokhoz, munkakörökhöz mérten kell összeállítani egy olyan oktatási rendszert, amelyben az érintett munkavállalók megismerhetik a területükhöz tartozó csalási eseményekkel, valamint az ezekhez tartozó megelőzési kontrolokkal.</li>



<li>Rendelkezzen a szervezet meghatározott és az irányítási funkciót betöltő testület által jóváhagyott, a csalások megelőzésére és kezelésére vonatkozó stratégiával és politikával.</li>



<li>A szervezet a csalások megelőzésével és kezelésével járó feladatok koordinálására önálló kompetenciaközpontot vagy szervezeti egységet hozzon létre, vagy valamely belső kontroll funkciót ellátó területet jelöli ki.</li>



<li>Belső csalások megelőzésére alkalmazzon monitoring rendszert, amely tartalmazza a jelentős kockázati eseményeket</li>
</ul>


<div class="wp-block-image">
<figure class="aligncenter"><img decoding="async" src="https://static.fortix.hu/app/uploads/2023/02/csalasmenedzsment_abra_FORTIX-600x530.png" alt="Összefoglaló ábra a csaláskezelési és csalásmenedzsment tevékenységről" class="wp-image-14708"/></figure></div>


&nbsp;Összefoglaló ábra a csaláskezelési tevékenységről



Amennyiben valakit érint, vagy érdekel az ajánlás, keresse a FORTIX-ot bizalommal. Segítünk értelmezni, felmérni a jelenlegi helyzetet, bevezetni a szükséges intézkedéseket.



Előző blogbejegyzésünk az&nbsp;1/2023. (I. 17.) MNB rendeletről:&nbsp;<a href="https://www.fortix.hu/megjelent-az-mnb-elso-rendelet-2023-ban/">https://www.fortix.hu/megjelent-az-mnb-elso-rendelet-2023-ban/</a>&nbsp;

CSALÁSMENEDZSMENT: AZ MNB ÚJ AJÁNLÁSA

A cikk megjelenésének szakmai támogatója a CyberCamp,  Magyarország első széles körben elérhető junior kiberbiztonsági szakember képzése, amelyben az etikus hackelés alapjai is megtanulhatók. <a href="https://www.fortix.hu/cybercamp-kiberbiztonsagi-kepzes/" target="_blank" rel="noreferrer noopener">www.cybercamp.hu</a>



<h1 class="wp-block-heading">MI AZ A CHATGPT ÉS MIT CSINÁL?</h1>



A&nbsp;ChatGPT&nbsp;szemléletesen megfogalmazva egy beszélgető robot vagy beszélgető automata. Nevezik botnak, chatbotnak vagy MI-nek, esetleg AI-nek. &nbsp;A ChatGPT-vel jelenleg csak írott formában, egy weboldalon keresztül lehet kommunikálni, habár a beszédfelismerés és a beszédszintézis már elég fejlett lenne ahhoz, hogy akár élő szóban is lehessen vele beszélgetni. A ChatGPT és a többi hasonló chat bot nem gondolkodnak, nincsenek érzelmeik, csupán választ generálnak a feltett kérdésekre. A beszélgetések során figyelembe tudják venni az előzményeket, így képesek kontextus-függő választ adni, illetve finomítani vagy korrigálni az adott választ, ha azzal az ember nem elégedett.



Kicsit pontosabban meghatározva, a ChatGPT az OpenAI da-vinci-3 nyelvi modelljére épülő, weben keresztül publikusan elérhető chat alkalmazás. Az OpenAI-nak többféle nyelvi modellje létezik, amelyek más-más területen bizonyulnak alkalmasnak. Az egyes nyelvi modelleket ki lehet próbálni a <a href="https://beta.openai.com/playground">Playground – OpenAI API</a> oldalán.



A ChatGPT-nek és az egyéb hasonló nyelvi modelleknek kérdéseket lehet feltenni, párbeszédet lehet velük folytatni. A modell nem előre megírt válaszokat tartalmaz, hanem a modellben lévő, a tréningezéskor beletöltött adatok, szabályok és a beszélgetés kontextusa alapján generál válaszokat. Hogy mennyire legyen variabilis, vagy éppen determinisztikus az adott modell, az egy 0 és 1 között állítható paraméter. Az OpenAI ezt temperature-nek nevezi, 0 esetén a modell determinisztikus, tehát ugyanarra a kérdésre mindig azonosak lesznek a válaszok; 1 esetén a rendszer sztochasztikussá válik, az adott válaszokban nagy lesz a variabilitás. A ChatGPT esetében ez a temperature 0,7 körül lehet, tehát kicsi az esélye annak, hogy egy komplexebb kérdésre kétszer teljesen megegyező választ adjon.



A nyelvi modell másik tulajdonsága, hogy képes tanulni a válaszaira adott reakciókból is, de azt biztonsági okokból a nagyközönség felé nyilvános modellen már elég erősen limitálják. Miért? Emlékezzünk például a 2016-os esetre, amikor a Microsoftnak le kellett kapcsolnia a chatbot-ját, mert a kommentelők rövid idő alatt rasszistává változtatták azt.


<div class="wp-block-image">
<figure class="aligncenter size-full"><img loading="lazy" decoding="async" width="600" height="315" src="https://static.fortix.hu/app/uploads/2023/12/ChatGPT-600x315-1.png" alt="" class="wp-image-945" srcset="https://static.fortix.hu/app/uploads/2023/12/ChatGPT-600x315-1.png 600w, https://static.fortix.hu/app/uploads/2023/12/ChatGPT-600x315-1-300x158.png 300w" sizes="(max-width: 600px) 100vw, 600px" /></figure></div>


<h2 class="wp-block-heading">A CHATGPT FELHASZNÁLÁSA ÉS VESZÉLYEI</h2>



A ChatGPT hatalmas mennyiségű adattal, információval rendelkezik. Nagyságrendekkel többel, mint amennyit egy átlagos ember képes lenne megjegyezni vagy akár egész életében csak elolvasni. És ezt az információt fel is tudja használni. Tud benne keresni és tud új információt szintetizálni. Képes a birtokában lévő adatok segítségével olyan problémákat is megoldani, amelyekkel nem találkozott, amelyekre nem készíttették fel.



<h3 class="wp-block-heading">MENNYI A CHATGPT INTELLIGENCIAHÁNYADOSA?</h3>



Erre a kérdésre nehéz válaszolni, mert ehhez az intelligencia fogalmát kellene a chatbotra is alkalmazhatóan meghatározni. Ami viszont biztos, hogy az intelligencia tesztekben használt szöveges feladatokat pillanatok alatt és helyesen képes megoldani.



<h2 class="wp-block-heading">A CHATGPT VESZÉLYEI?</h2>



A ChatGPT egy nagy potenciállal bíró hasznos eszköz lehet a mindennapi életben, megkönnyítheti például az informatikusok munkáját és rövid időn belül például akár az ügyfélszolgálatok munkájának nagyrészét is elvégezheti. De kutatók is eredményesen használhatják a napi feladatiak során. Azonban ennek a technikának is lehetnek árnyoldalai. Vegyük sorba, hogy az egyes felhasználási esetekben milyen veszélyt jelenthet a ChatGPT.



<h3 class="wp-block-heading">TÉVEDNI EMBERI DOLOG</h3>



Most már ez nem biztos, hogy igaz. A chatbot mögött rejtőző mesterséges intelligencia az idegrendszer működését modellezi, hasonlóan működik az emberi agyhoz. Mint az emberek, a chatbot is adhat inkorrekt választ, tehát tévedhet. Ezért mindig kritikával kell fogadni a kapott válaszokat. Ez történhet esetleg más forrásból történő ellenőrzéssel vagy további kérdések feltételével, ha kétség merül fel a válasz helyességében.



Amerikában egyre több iskolás esik abba a tévhitbe, hogy nem szükséges tanulni, mert a ChatGPT mindent tud, csak meg kell tőle kérdezni. Több iskolában le is tiltották az OpenAI honlapját, de ez mobilnet használatával könnyedén megkerülhető. Ez a tendencia várhatóan a chatbotok nyelvi képességeinek fejlődésével még inkább terjedni fog és várhatóan világ méreteket fog ölteni a gyermekek körében. Tudni kell azonban, hogy megfelelő tudás nélkül nem lehet kellően pontosan megfogalmazni az elvárásokat, illetve kritikusan szemlélni a kapott válaszokat, tehát továbbra is szükség van a tanulásra és a világ megértésére.



<h3 class="wp-block-heading">SOK A SZÖVEG</h3>



A ChatGPT segítségével bármilyen témában könnyen lehet tetszőleges terjedelemben, tetszőleges korcsoportnak szánt szövegeket készíteni. Ezt a tulajdonságot álhírek készítésére is fel lehet használni, mely a pontosan eltalált nyelvezet, téma és érvelés miatt komoly negatív hatást is kiválthat.



De nem is kell feltétlenül álhíreket készíteni ahhoz, hogy az automata által végtelen mennyiségben elkészített szövegbe egyszerűen belefulladjanak a hírportálok és esetleg az egész emberiség. Most már bárki, komolyabb tudás nélkül bármiről képes bármilyen hosszú szöveget írni. Vajon ez a cikk is ChatGPT-vel készült?



A csalók arra is rájöttek, hogy nagyon hatásos adathalász emaileket lehet vele íratni vagy manipulációra felhasználni. Például lejárató kampányokat szervezni egy cég munkatársai körében és az így elégedetlenné tett és igazságtételre vágyó munkavállalókat felhasználva belülről indítani támadást a szervezet ellen.



<h3 class="wp-block-heading">HÁZI FELADAT</h3>



Ezekkel a nyelvi modellekkel a diákoknak nem kell sok időt tölteni egy-egy fogalmazás megírásával. Elég, ha csak beírják, hogy miről és milyen hosszú fogalmazást kell írni, és a bot készséggel elkészíti azt. Ugyanígy képes megoldani pl. matematika, fizika, stb feladatokat is. A pedagógusnak nem sok esélye van a chatbottal szemben. Szerencsére a magyar nyelvi képességei még limitáltak az ilyen botoknak, de ez valószínűleg nem sokáig lesz már így.



<h3 class="wp-block-heading">VESZÉLYES FEGYVER</h3>



Az nem várható, hogy a ChatGPT a Terminátorhoz hasonlóan az emberiség ellen fordulna, de bűnözői körök máris kihasználják a bot hatalmas tudását. A készítők próbáltak intézkedéseket hozni, hogy ez ne történhessen meg, de egy kis kreativitással ki lehet játszani. A ChatGPT-től lépésről lépésre instrukciókat lehet kapni, hogy hogyan kell egy autót ellopni, valahová betörni, vagy pl. kártékony programot készíteni és azt bejuttatni egy rendszerbe. Segítségével akár az informatikához alig értők is veszélyes hekkerré válhatnak.



<h3 class="wp-block-heading">CSALÓK A LÁTHATÁRON</h3>



A fentiekhez társul még egy tényező, amiről a ChatGPT készítői nem tehetnek.&nbsp; A ChatGPT körüli nagy hullámokat igyekeznek meglovagolni a csalók is. Sorra jelennek meg az olyan appok Androidra és IOS-re is, amik a ChatGPT szolgáltatásait ajánlják app formájában. Fontos tudni, hogy a ChatGPT a cikk írásakor csak az OpenAI weblapján érhető el. Vannak más botok is, és az OpenAI is kínál a ChatGPT-n kívül más MI megoldásokat, tehát nem lehet biztosan tudni, hogy valójában mit is töltünk le, annak milyen képességei és esetleg mellékhatásai lehetnek. Ha mégis ilyen alkalmazás letöltése mellett döntünk, alaposan fontoljuk meg, hogy melyiket választjuk. Azonnal gyanakodjunk, ha kevés értékelése van, túl sok mindenhez kér hozzáférést illetve, ha az adatvédelmi tájékoztatónál az szerepel, hogy nem lehet kérni a személyes adatok törlését.



<h2 class="wp-block-heading">ÖSSZEFOGLALÁS</h2>



A ChatGPT publikus megjelenése minden bizonnyal egy új korszak kezdete az informatikában. Segítségével az ember csak a kreativitást igénylő feladatokra koncentrálhat. Az unalmas, keresgélést igénylő, ismétlődő feladatokra ott a bot. A mesterséges intelligencia alkalmazása jelentősen növelheti a számítógéppel végzett munka hatékonyságát. A ChatGPT és egyéb mesterséges intelligencia felhasználásának az előnyök mellett azonban veszélyei is vannak. Eszközként használva mindig kritikával kell fogadni a válaszait, mert az MI sem tévedhetetlen. A hatékonyságnövekedés sajnos az MI-t használó bűnözők esetében is fennáll, így ők is hatékonyabbak lehetnek a segítségével.

MI AZ A CHATGPT ÉS MIT CSINÁL?

<h1 class="wp-block-heading">MIRŐL SZÓL AZ MNB RENDELET?</h1>



Az 1/2023. (I. 17.) MNB rendelet a&nbsp;kibocsátott, forgalomban lévő, továbbá a forgalomból bevont, de törvényes fizetőeszközre még átváltható forintbankjegyek, valamint, a pénzkibocsátásra jogosult külföldi intézmény által kibocsátott, forgalomban lévő, továbbá a forgalomból bevont, de törvényes fizetőeszközre még átváltható külföldi bankjegyek feldolgozására, forgalmazására, valamint hamisítás elleni védelméről szól.


<div class="wp-block-image">
<figure class="aligncenter"><img decoding="async" src="https://static.fortix.hu/app/uploads/2023/02/MNB_rendelet-600x498.png" alt="1/2023. (I. 17.)" class="wp-image-14618"/></figure></div>


Az MNB meghatározta, kire vonatkozik, így a rendelet a&nbsp;pénzfeldolgozók,&nbsp;pénzforgalmazók&nbsp;(Posta, Hitelintézetek), valamint az&nbsp;egyéb gazdasági szereplőkre&nbsp;értendő. Ezen szereplők első feladata az, hogy kötelesek felmérni a rendeletnek való megfelelésüket és az MNB-t meghatározott időn belül értesíteni erről.



A rendelet nagyon sok előírást tartalmaz. A legfontosabbak – a teljesség igénye nélkül – a következők:



<ol>
<li>A készpénzes automaták darabszámának megállapítása, üzemeltetése és rendelkezésre állása.</li>



<li>A pénztár nélküli fiók létesítése, illetve egy adott fiók pénztárának megszüntetése vagy működése.</li>



<li>A hamisgyanús bankjegyek kezelése.</li>



<li>A készpénzellátás zavartalanságát veszélyeztető események felmérése és ezek megakadályozása végett intézkedési terv kidolgozása.</li>



<li>Címlet és átváltási szabályok a forintbankjegyekre.</li>



<li>Bankjegyvizsgáló gépre előírt szabályok (gép használata, működése).</li>



<li>A bankjegyforgalmazás alapvető feltételei.</li>



<li>A pénzfeldolgozókra vonatkozó speciális előírások.</li>
</ol>



Amennyiben valakit érint, vagy érdekel az ajánlás, keresse a FORTIX-ot bizalommal. Segítünk értelmezni, felmérni a jelenlegi helyzetet, bevezetni a szükséges intézkedéseket.

MEGJELENT AZ MNB ELSŐ RENDELETE 2023-BAN

<h1 class="wp-block-heading">MI IS AZ A NIS?</h1>



A&nbsp;2016-ban elfogadott és azóta alkalmazott NIS&nbsp;(hálózat- és információbiztonságról szóló) irányelv az&nbsp;első uniós szintű kiberbiztonsági jogszabály, amelynek konkrét célja a kiberbiztonság magas szintjének közös elérése volt a tagállamokban. Az alapvető szolgáltatások (például energia, közlekedés és egészségügy) üzemeltetőire és a digitális szolgáltatókra (például keresőmotorok és felhőszolgáltatások) vonatkozott. A NIS megkövetelte a szervezetektől, hogy megfelelő műszaki és szervezési intézkedéseket hozzanak a hálózataik és rendszereik biztonságának biztosítása érdekében, és a súlyos eseményekről értesítsék az illetékes nemzeti hatóságokat.



Annak ellenére, hogy a NIS növelte a tagállamok kiberbiztonsági képességeit, a végrehajtása nehéznek bizonyult, mert például a különböző tagállamok eltérő módon értelmezték az irányelvet, ami megnehezítette a több országban működő szervezetek számára, hogy biztosítsák a megfelelést minden olyan joghatóságban, amelyben működnek.



<h2 class="wp-block-heading">NIS 2 IRÁNYELV</h2>



Az ilyen nehézségek kiküszöbölésére és a kiberbiztonság tovább erősítésére az Európai Parlament és az Európai Unió Tanácsa 2022. december 27-én kihirdette a NIS 2 irányelvet.


<div class="wp-block-image">
<figure class="aligncenter size-full"><img loading="lazy" decoding="async" width="600" height="315" src="https://static.fortix.hu/app/uploads/2023/12/NIS2-600x315-1.png" alt="" class="wp-image-948" srcset="https://static.fortix.hu/app/uploads/2023/12/NIS2-600x315-1.png 600w, https://static.fortix.hu/app/uploads/2023/12/NIS2-600x315-1-300x158.png 300w" sizes="(max-width: 600px) 100vw, 600px" /></figure></div>


Az új irányelv megteremtette a jogi koherenciát más szektorspecifikus szabályokkal. A személyi hatálya a kiterjesztetésre került a közepes és nagyobb, a&nbsp;legalább 50 főt foglalkoztató és legalább 10 millió eurós éves árbevétellel rendelkező vállalkozásokra&nbsp;is, az irányelv kötelezően alkalmazandó a rendelet mellékletében és az 1. cikkben meghatározott típusú szervezetekre, valamint a 2022/2557 irányelv szerint kritikus szervezetként azonosítottakra is. A rendelet azt a lehetőséget meghagyta a tagállamoknak, hogy a rendelet hatályát további szervezetekre (pl. oktatási, kutatási intézményekre) is kiterjeszthesse.



A NIS 2 létrehozza az Európai Kiberválságügyi Kapcsolattartó Szervezetek Hálózatát (EU-CyCLONe), amely a nagyszabású kiberbiztonsági események és válságok összehangolt kezelését fogja támogatni. Az együttműködési csoport a tagállamok, a Bizottság és az ENISA képviselőiből áll. Minden tagállam kijelöl vagy létrehoz egy vagy több CSIRT-et. A CSIRT-ek kijelölhetők vagy létrehozhatók egy illetékes hatóságon belül. A CSIRT-eknek meg kell felelniük a&nbsp;11. cikk (1) bekezdésében meghatározott követelményeknek, legalább az I. és II. mellékletben említett ágazatokra, alágazatokra és szervezettípusokra ki kell terjedniük, és az események egy jól meghatározott folyamat szerinti kezeléséért kell felelniük. A rendelet előírja, hogy a hatálya alá eső szervezeteknek értesíteniük kell a tagállamok által kijelölt, számítógép-biztonsági eseményekre reagáló csoportokat (CSIRT-et) vagy az illetékes, a hálózati és információs rendszerek biztonságáért felelős nemzeti hatóságot minden jelentős eseményről.



Sérülékenységek összehangolt közzététele és egy európai sérülékenység-adatbázis is létrehozásra kerül.



A NIS 2 értelmében a tagállamok biztosítják, hogy az alapvető és fontos szervezetek megfelelő és arányos technikai, operatív és szervezési intézkedéseket hozzanak annak érdekében, hogy kezeljék azokat a kockázatokat, amelyek a működésük vagy szolgáltatásaik nyújtása során használt hálózati és információs rendszerek biztonságát fenyegetik, és megelőzzék vagy minimalizálják az eseményeknek a szolgáltatásaik igénybe vevőire és más szolgáltatásokra gyakorolt hatásait.



Az irányelv 20 nappal a kihirdetés után, 2023. január 16-án lépett életbe és innen számolva a tagállamoknak 21 hónap áll rendelkezésre, hogy beépítsék azt a nemzeti jogukba.

HÁLÓZAT- ÉS INFORMÁCIÓBIZTONSÁG – NETWORK AND INFORMATION SECURITY: ITT VAN A NIS 2!

<h1 class="wp-block-heading">AZ ÜZLETFOLYTONOSSÁG JELENTŐSÉGE</h1>



Egy vállalkozás elindításához szükséges az elhivatottság, a kitartás, az ötletcunami és az anyagi alapozás. Működéséhez viszont szükség van a cég szemléletét követő szakemberekre, a szolgáltatásokhoz tartozó eszközökre, valamint az eszközök biztosítására. Bármilyen nem várt esemény bekövetkezése tud katasztrofális következményeket eredményezni a cég életében, ha az üzleti folyamatát meg kell szakítani, vagy akár teljesen megszűntetni. A cég hírneve is csorbulhat ezzel, amivel elveszítheti ügyfeleit, de nagyobb anyagi veszteséget is eredményezhet. Ha az esetleges katasztrófahelyzet nem is kerülhető el, az üzletfolytonosság működtetésére fel lehet készülni, sőt, a fent felsorolt hatások ellen ajánlott is kidolgozni egy tervet. Nem csak azért, mert szépen mutat az iroda falán a cég nevével ellátott tanúsítvány, hanem mert ez magabiztos biztonságot ad a cég vezetősége, a munkatársak, és az ügyfelek számára is.



Katasztrófa bekövetkezése esetén a szolgáltatások folyamata zavarossá válik, hiszen vagy az épület, vagy a humán erőforrás, esetleg az IT erőforrás veszélybe kerül. Alternatív megoldásokat kell rá találni és kidolgozni a tervben, akár másik épületbe való áttelepüléssel, vagy a munkatársak átcsoportosításával. Az informatikai eszközök áttelepítése is megoldást tud nyújtani, azonban a rendszerek és hálózatok kiépítése nem csak fizikális gubancot jelenthet. Sőt, egy vírus által maga a rendszer lehet a katasztrófa kiindulási pontja. Erre pedig nem csak a cég rendszergazdájának és IT szakembereinek a kötelessége felkészülni, hanem a cég vezetőségének is kimagasló érdekében áll.



Számos cikk jelent meg a remekül kialakított és fenntartott üzletfolytonossági terv szükségessége témakörében, ezért én most inkább más irányból közelíteném ezt meg. Jelentések és hivatkozások tömkelegével találkozhatunk bárhol az interneten, vagy szaklapokban a megtörtént esetek és hatásainak példáival, cégek felszámolása, anyagi bedőlése, ügyfélelégedetlenségek, tüntetések, leszámolások vagy épp szükséges létszámleépítések tekintetében. Mégsem veszik komolyan még most sem a felkészültséget, a biztonságos működtetés fontosságát, mely rést jelent az online térben történő nem várt események bekövetkezésének is.



<h2 class="wp-block-heading"></h2>



<h2 class="wp-block-heading">ÜZLETFOLYTONOSSÁG A COVID IDEJÉN</h2>



A járvány idején néhány dologra fény derült: a szervezet határait elmosta az otthoni Wi-Fi, amit tovább rontottak a kiberbiztonság különösebb figyelembevétele nélkül elfogadott BYOD-irányelvek. Erre mutat rá a Crosssec Solutions egyik munkatársa által megírt blog is:



BYOD – Bring your own device, azaz „Hozd a saját eszközöd” –&nbsp;Az üzleti életben teljesen mindennapossá vált, hogy a dolgozók a saját telefonjaikra is megkapják a céges email-eket, ezzel rugalmassá, egyszerűbbé és produktívabbá tehetik a mindennapi munkafolyamatokat. De ezt a helyzetet valahogy kezelni kell, hiszen ha a vállalatnak nincs BYOD irányelve, elég nagy esély van arra, hogy a dolgozók a privát telefonjaikat nem csak magáncélra használják.



A&nbsp;<a href="https://press.kaspersky.com/files/2015/08/Kaspersky_Lab_Consumer_Security_Risks_Survey_2015_ENG.pdf">Kaspersky Labs kutatásának</a>&nbsp;válaszadói közül 13% dolgozik otthoni laptopról is, 6% használ „céges” gépet a mindennapi ügyeihez is. 7% használja az Androidos telefonját céges ügyekre is. A kutatásban résztvevők 85 százaléka használja rendszeresen magánlevelezésre a vállalati eszközöket, 67 % közösségi média böngészésére is, és 66% vásárol online, olvas híreket vagy könyveket céges készülékekkel.&nbsp;(Kovács Marcell – Crosssec Solutions)



A COVID-19 emellett arra is rámutatott, hogy a hagyományos üzletfolytonossági terveket (BCP-ket) módosítani kell, mivel gyakran kizárják a kiberbiztonsági irányelveket és stratégiákat, ami üzleti válsághoz vezethet. Ma minden vállalkozás digitális alapokra épül, tehát a BCP-knek a digitális és a fizikai fenyegetésekkel is foglalkozniuk kell. Ezáltal valódi üzleti rugalmasság építhető ki.



A BCI (Business Continuity Institute) e témakörre vonatkozóan kiadott jelentése a biztonsági vezetők és vezetőik számára nyújt ismereteket a kiberbiztonságról, mint az üzletfolytonosság kulcsfontosságú eleméről. Példákkal tükrözi a veszély eshetőségét és a megelőzés fontosságát.



2021. márciusában az Eastern Hospital, amely négy melbourne-i kórház üzemeltetője, kibertámadás áldozata lett, emiatt számos tervezett műtétet halasztani kellett.



Ugyanebben az évben a JBS, a világ egyik legnagyobb húsipari vállalatának 47 ausztrál telephelyét kellett bezárni egy zsarolóvírus-támadás miatt. (BCI – Interactive.com)



Az elmúlt két évben a hasonló kiberesemények ismételten bebizonyították, hogy a kiberbiztonság már nem egy elhanyagolható téma, hiszen befolyásolja a szervezet kockázati besorolását és a megfelelőségi minősítését. Súlyos esetekben egy teljesen működőképes, sikeres szervezetet is tönkre tehet.



<h4 class="wp-block-heading"></h4>



<h4 class="wp-block-heading">FINNORSZÁG&nbsp;TÖRTÉNETÉNEK LEGNAGYOBB BÜNTETŐÜGYE 2020. OKTÓBERÉBEN ZAJLOTT LE.</h4>



A hackerek behatoltak a Vastaamóba, Finnország legnagyobb magán mentálhigiénés szolgáltatói hálózatába. A Vastaamo megzsarolása mellett a hackerek a teljes betegadatbázist nyilvánossá tették az interneten, nem csak az e-mail címeket és a társadalombiztosítási számokat, hanem a terapeuták által készített tényleges írásos feljegyzéseket is. A hír napvilágra kerülése után a Vastaamo vezérigazgatójának le kellett mondania, a céget felszámolták, és 2021 januárjában csődöt jelentett.


<div class="wp-block-image">
<figure class="aligncenter"><img decoding="async" src="https://static.fortix.hu/app/uploads/2023/01/uzletfolytonossag_kep-600x424.jpg" alt="üzletfolytonosság incidens Finnországban" class="wp-image-14267"/></figure></div>


Az eset nagy megrázkódtatás volt nem csak az egész országnak, hanem a rendszergazdák számára is, mivel Finnország az 1990-es években úttörő szerepet játszott a digitális egészségügyben. Befektetésekkel támogatták az informatikai infrastruktúrát, hogy zökkenőmentes szolgáltatásokat tudjon nyújtani polgárainak, biztosítva az üzletfolytonosságot. Egy ilyen hatalmas jogsértést mégsem tudott megelőzni a felkészületlenség miatt. A probléma kialakulásában nagy szerepet játszott, hogy a meglévő rendszerek helyett a vállalat sajátot tervezett, könnyen használható felülettel, amely csak növelte a sérülékenységet.



36.000 beteg személyes adata és kórtörténete, valamint 400 alkalmazott bizalmas kezelési nyilvántartása vált mindenki számára elérhetővé. A támadás hatása hatalmas mértékkel bírt, hiszen áldozatok ezrei szenvedtek szorongásban, bizonytalanságban és traumás stresszben. A lakosok bizalma és hite megingott az összes finn intézményt és online közösségi hálózatot tekintve. Viszont felszínre került az egészségügyi rendszerek gyenge biztonsága, ami ösztönzésre késztette a szakembereket és a kormányt a további felkészülésre, az információs rendszerek biztonságos működtetésére, új jogszabályok alkotására az adatbiztonság és a személyazonosság-lopásokra vonatkozóan.



<h4 class="wp-block-heading"></h4>



<h4 class="wp-block-heading">AUSZTRÁLIA&nbsp;ESETÉBEN A VESZÉLY NEM KEVÉSBÉ JELENTŐS.</h4>



Az Ausztrál Kriminológiai Intézet (AIC) becslése szerint a számítógépes bűnözés gazdasági költségei évente 3,5 milliárd dollárra rúgnak. Az ausztrál kormány szerint a kiberbűnözéssel kapcsolatos támadások átlagos költsége egy vállalkozás számára 276 323 dollár, és ennek a költségnek 53%-át a felderítésre és a helyreállításra fordítják. Becslések szerint az ausztrál szervezetek évente 1,4 milliárd dollárt költenek a kibertámadások megelőzésére, és 597 millió dollárt a következmények kezelésére.



Ezen események következtében a kiberbiztonság a nemzeti vezetők és a vállalkozások vezetői számára egyaránt kulcsfontosságú prioritássá vált. Az ausztrál kormány egyértelmű irányelveket vezetett be annak hangsúlyozására, hogy minden ausztrál szervezet az országban kockázatot jelent a nemzetbiztonságra, mindemellett az üzletfolytonosság akadálymentes működésére.



A kormány a 2022-es szövetségi költségvetésben is megemlíti, hogy a nemzeti kiberbiztonsági infrastruktúra javítására és a szervezetek védelméhez szükséges technológia kiépítésére összpontosít. A magánszektorban a cégvezetők több forrást különítettek el a kiberbiztonsági kezdeményezésekre, ez azonban nem elegendő. A szervezetek kénytelenek ellenállóbbak és felkészültebbek lenni, hogy a külső válságok ellenére is tudják folytatni a működésüket.



Tanulságként levonható tehát, hogy a kiberbiztonság és az üzletfolytonosság között nem lehet stratégiai vagy operatív elválasztás, különben a cég nem tudja megtartani a rugalmasságát, nem tud&nbsp;magabiztonságot&nbsp;nyújtani.

MAGABIZTONSÁG – AZ ÜZLETFOLYTONOSSÁG ALAPJA

Már novemberben elkezdődtek a karácsonyt megelőző kereskedelmi akciók a&nbsp;<a href="https://www.fortix.hu/a-bunozok-nem-pihennek-a-black-friday-alatt-sem/" target="_blank" rel="noreferrer noopener">Black Friday</a>-jel. A karácsony előtti utolsó hajrá pedig egy újabb fontos alkalom arra, hogy vigyázzunk az elektronikus pénztárcánkra és érzékeny adatainkra. Ilyenkor nagyobb veszély leselkedik az ártalmatlan vásárlókra, mint az év bármely időszakában, ezért ez az időszak kiemelten fontos kiberbiztonság szempontjából.


<div class="wp-block-image">
<figure class="aligncenter"><img decoding="async" src="https://static.fortix.hu/app/uploads/2022/12/kiberbiztonsag_karacsonykor-1024x538.png" alt="Fontos a kiberbiztonság karácsonykor is" class="wp-image-14203"/></figure></div>


<h1 class="wp-block-heading">FONTOS A KIBERBIZTONSÁG KARÁCSONYKOR IS</h1>



Az ünnep előtti bevásárlások sok esetben sietve, rohanva zajlanak. Semmire nincsen időnk, rohanunk egyik boltból a másikba, hogy megvegyük az ajándékokat a szeretteinknek, barátainknak, ezért sokszor figyelmetlenebbek is vagyunk, nem szentelünk elég figyelmet a saját kiberbiztonságunkra. Az ajándékokat ma már nem csak személyesen, hanem online is megvásárolhatjuk.



<a href="https://fogyasztobarat.hu/az-internetes-vasarlasi-szokasok-mogottesei/" target="_blank" rel="noreferrer noopener">„Magyarországon már a koronavírus előtt megfigyelhető volt az online vásárlások számának dinamikus növekedése, a kiskereskedelmi forgalom számottevő részét jelentette és jelenti a mai napig az online piac. Éves szinten 10%-kal nőtt az internetes vásárlások száma a pandémia előtt, ez az arány pedig az elmúlt években még inkább nőtt.”</a>



Mindkét vásárlási forma kockázatokat rejt magában és éppen ez az, amit nagyon sok esetben kihasználnak a bűnözök. Előfordulhat, hogy nem kapjuk meg a rendelt terméket vagy nem azt kapjuk, amit rendeltünk, hamis terméket veszünk, illetve az érzékeny adataink (bankkártya adataink, internetbank, mobilapplikáció, személyazonosításra alkalmas okmányaink) is a bűnözök kezébe kerülhetnek. Miért is kockázatos, ha ezekhez az adatokhoz hozzájutnak illetéktelenek, bűnözök? A válasz egyértelmű, mert&nbsp;meg akarnak károsítani minket.



Azért, hogy ez ne történjen meg és ne legyen szomorú a karácsonyunk, mutatjuk a tényezőket, amellyekkel a kiberbiztonság növelhető.



<h2 class="wp-block-heading">KIBERBIZTONSÁGOT NÖVELŐ TÉNYEZŐK</h2>



Az adataink megszerzése érdekében a bűnözők elkövethetnek csalásokat utalással, bankkártyás vásárlással vagy akár személyes módon is.



<h3 class="wp-block-heading">A SZEMÉLYES MÓDON TÖRTÉNŐ VISSZAÉLÉS</h3>



A személyes módon történő visszaélés&nbsp;a személyi okmányaink (személyazonosító igazolvány, útlevél, kártya alapú vezetői engedély, lakcímkártya) felhasználásával történhetnek.



Mutatjuk ezeket az esetek:



<ul>
<li>Hitelfelvétel</li>
</ul>



Ellopott, elvesztett okmányainkkal élnek vissza a csalók és nevünkben hiteleket vesznek fel. Áruhitel, személyi kölcsön, hitelkártya. Karácsonyi ünnepek környékén ez az elkövetési mód elég gyakori akár online, akár offline.



<ul>
<li>Bankfiókban jogosulatlan készpénzfelvételt hajtanak végre a bankszámlánkról. Céljuk az, hogy ellopják a számláinkon lévő összeget.</li>



<li>Az okmányokban lévő aláírásmintát használják fel.&nbsp;&nbsp;Meghatalmazotti készpénzfelvételt vagy papír alapú átutalási megbízást nyújtanak be a pénzintézethez. A céljuk természetesen itt is a számlákon található összeg ellopása.</li>
</ul>



Azért, hogy ne történjenek ilyen események, minden esetben legyünk körültekintőek és vigyázzunk az iratainkra.



Amennyiben mégis észleljük, hogy ezek eltűntek vagy elvesztek akkor javasoljuk



<ul>
<li>elsőnek a pénzintézetnél jelentsük be az okmányok vesztését. Ők megteszik a szükséges intézkedéseket, hogy náluk ezzel az okmánnyal ne tudjanak visszaélni.</li>



<li>majd a hatósághoz forduljunk, akik tiltani tudják a belügyminisztériumi nyilvántartásba.</li>
</ul>



<h3 class="wp-block-heading">UTALÁSI MEGBÍZÁSSAL KAPCSOLATOS CSALÁSOK&nbsp;</h3>



&nbsp;Hamis oldalak&nbsp;



Az ügyfeleket hamis oldalakkal próbálják megtéveszteni, melyeket a Google keresőjében hirdetnek. Az ügyfél a keresőben rászűr a bank honlapjára és egy adathalász oldalt talál. Azt hiszi, hogy a bank hivatalos oldala és megadja az internetbankhoz kapcsolódó adatait (felhasználónév, jelszó, sms-ben kapott jelszó)



A csalók figyelik ezeket az oldalakat, majd az adathalász oldalakon megszerzett adatokkal a beléphetnek az ügyfél netbankjába, mobilapplikációjába vagy új netbank, mobilapplikációt regisztrálnak. A céljuk természetesen a számlákon található összeg ellopása.



Telefonos megkeresés&nbsp;



Az ügyfeleket hamis telefonhívással próbálják megtéveszteni oly módon, hogy a telefonáló egy pénzintézetnél dolgozó személynek adja ki magát. Jogosulatlan tranzakcióra hivatkozva kéri el az ügyfél elektronikus csatornán való utaláshoz szükséges adatait, vagy&nbsp;bankkártya adatait. Esetlegesen arra is kérheti az ügyfelet csaló szándékkal, hogy egy technikai számlára utalja át a megtakarításait. Célja ezeknek a támadásoknak is a számlán lévő pénz ellopása.



<h3 class="wp-block-heading">ONLINE BANKKÁRTYÁS FIZETÉSEKKEL KAPCSOLATOS CSALÁSOK&nbsp;</h3>



Szokatlanul alacsony ár



Több webshopban is (vagy ár összehasonlító oldalakon) ellenőrizzük az árakat. Minden esetben gyanakodjunk egy olyan ajánlatra, ami szokatlanul alacsony összegért kínál egy terméket.



Olyan kereskedőtől vásároljunk, akit már ismerünk



Régebben vásároltunk már ennél a kereskedőnél és mindent rendben találtunk.



Lehetőség szerint utánvéttel fizessünk



Legyen szokatlan körülmény, ha egy kereskedőnél csak online bankkártyás fizetés lehetséges, más fizetési lehetőség nincs megadva.



Óvatosan az e-mailben található linkekkel, adathalász oldalakkal



Az ajánlatban vagy az e-mailben található linket nézzük meg, mielőtt rákattintunk. Ha kicsit is gyanús vagy bizonytalanok vagyunk, érdemes inkább a megadott kereskedő webshopját közvetlenül felkeresni.



Adathalász linkre kattintva egy olyan klónozott oldalra juthatunk, amely a legtöbb esetben szinte megegyezik a kereskedő eredeti weboldalával. Ezen az oldalon mindenféle indokkal (pl. jelszómódosítás, regisztráció megerősítése, bankkártya rögzítése, stb.) különböző adatokat kérnek az ügyféltől.



A megszerzett adatokkal beléphetnek az ügyfél netbankjába, vagy új netbanki regisztrációt kezdeményezhetnek. A céljuk természetesen a számlákon található összeg ellopása.



<h3 class="wp-block-heading">AMENNYIBEN BÁRMI GYANÚSAT ÉSZLELÜNK:&nbsp;</h3>



<ul>
<li>Ellenőrizzük le, hogy nem tartalmaz-e extra karaktereket a domain név vagy az URL&nbsp;</li>



<li>Ellenőrizzük le az oldal titkosítását</li>
</ul>



Ez utóbbit a fejlécben az oldal neve mellett megtalálható kis lakat ikonnal tudjuk ellenőrizni. Azonban sajnos ez még nem elég, ez csak azt jelzi, hogy HTTPS titkosítás van az oldalon. Ellenben, ha nem található ez a kis lakat ikon a fejlécben, az már gyanúra adhat okot. Ellenőrizhetjük még, hogy minden gomb mögött van-e funkció és tartalom. Ha nincsen, akkor szintén elővigyázatossággal kezeljük az oldalt.



<ul>
<li>Ellenőrizzük az e-mail cím eredetiségét&nbsp;</li>
</ul>



Erre számtalan megoldás létezik. Az egyik ilyen oldal a&nbsp;<a href="https://www.verifyemailaddress.org/email-validation">https://www.verifyemailaddress.org/email-validation</a>.



Ha az e-mail címet beírjuk, majd a „Verify Email Now” gombra kattintunk, azzal ellenőrizhetjük a cím eredetiségét. Ha nincs regisztrálva az e-mail cím, akkor „No MX recource records found” üzenetet kapunk. Amennyiben viszont regisztrálva van, akkor fog találni hozzá MX recordokat. Ez utóbbi mutatja azt, hogy megbízható az e-mail cím.



<ul>
<li>Ellenőrizzük a cég közösségi média profiljait&nbsp;</li>
</ul>



A közösségi média oldalon a jelenlét ellenőrzésén felül érdemes az aktivitásukat is megvizsgálni, hogy vannak-e rendszeres posztok az oldalon. Bizonyos esetekben le lehet ellenőrizni az adott oldal Facebook és Google értékeléseit is. Illetve érdemes cikkeket keresni róla, hogy korábban történt-e már velük kapcsolatban valamilyen incidens.



<h3 class="wp-block-heading">TOVÁBBI TIPPJEINK&nbsp;</h3>



<ul>
<li>Banki értesítések (SMS vagy e-mail)&nbsp;</li>
</ul>



Minden esetben legyen szokatlan körülmény, amennyiben egy olyan banki értesítést kapunk akár e-mailben vagy SMS-ben, amit nem vártunk. Főként, ha az található benne, hogy erősítsük meg a vásárlást vagy engedélyezzünk egy tranzakciót.



A jelszó beírása előtt olvassuk el a banki üzenetet, hogy mire is irányul pontosan. Például egy tranzakció jóváhagyására vagy egy új számlaszám rögzítésére vonatkozik.



<ul>
<li>Virtuális bankkártya használata&nbsp;</li>
</ul>



A legjobb védekezési módszer, hogy jelentősebb anyagi kár ne érjen minket, ha virtuális, egyszer használatos bankkártyát használunk. A legtöbb bank már rendelkezik ilyen szolgáltatással. Ennek a lényege, hogy a bankkártya adatok csak egyszer használhatók, így ha esetleg ellopják a weboldalon a bankkártya adatainkat, akkor a továbbiakban nem tudják használni, mert megsemmisül utána a bankkártya.



<h4 class="wp-block-heading">MIT TEHETÜNK, HA MEGADTUK AZ ADATAINKAT, ELVESZTEK AZ OKMÁNYAINK ÉS CSALÁS ÁLDOZATÁVÁ VÁLTUNK?&nbsp;</h4>



Abban az esetben, ha a bankkártya adatainkat vagy az internetbankhoz, mobilapplikációhoz tartozó adatokat adtunk meg, vagy észleltük, hogy okmányaink nincsenek meg, akkor a legfontosabb, hogy ezeket az adatokat azonnali hatállyal tiltani kell. Minden esetben fel kell venni a kapcsolatot az érintett pénzintézettel és egyeztetni velük, hogy történt-e jogosulatlan tranzakció vagy van-e olyan tranzakció, ami még nem teljesült. Ha igen, akkor azokat a tranzakciókat fel kell függeszteni vagy törölni kell.



Jogosulatlan tranzakció esetén minden esetben javasoljuk a feljelentést.



<h4 class="wp-block-heading">ÖSSZEFOGLALVA TEHÁT, MINDEN ESETBEN LEGYÜNK KÖRÜLTEKINTŐEK, FIGYELJÜNK A KIBERBIZTONSÁGRA</h4>



<ul>
<li>lehetőség szerint csak olyan webshopokból vásároljunk, amit már ismerünk, jó hírneve van, több éve jelen van a piacon, és megbízhatónak van minősítve</li>



<li>vigyázzunk a személyes okmányainkra, lehetőleg ne adjuk ki a kezünkből</li>



<li>minden esetben ellenőrizzük le azt a weboldalt, ahol az adatainkat meg szeretnénk adni</li>



<li>nagyon figyeljünk arra, hogy egy e-mailben kapott linken keresztül ne nyissunk meg olyan weboldalt, ahol az adatainkat kérik</li>



<li>telefonos megkeresésre se adjuk meg az érzékeny adatainkat</li>
</ul>



Ha a fenti tanácsokat betartjuk, biztosan nem válhatunk csalás áldozatává és az ünnepek is kellemesebben fognak telni.



Kellemes karácsonyt kívánunk mindenkinek!


<div class="wp-block-image">
<figure class="aligncenter"><img decoding="async" src="https://static.fortix.hu/app/uploads/2022/12/karacsonyi-udvozlo-800-%C3%97-600-keppont-1.png" alt="" class="wp-image-14215"/></figure></div>

FONTOS A KIBERBIZTONSÁG AZ ÜNNEPEK ALATT IS

<h1 class="wp-block-heading">AZ ÉV INFORMÁCIÓBIZTONSÁGI ÉS ADATVÉDELMI SZOLGÁLTATÓJA A FORTIX CONSULTING KFT.</h1>



Hatalmas megtiszteltetés ért minket, elnyertük az Év Információbiztonsági és Adatvédelmi Szolgáltatója kitüntető címet. A Hungarian Business Awards díjat Rónaszéki Péter (a FORTIX ügyvezetője) és Farkas Imre (a FORTIX cégvezetője) vette át ünnepélyes keretek között a Matild Palotában.



Még a nyár folyamán nyerte el a cég a&nbsp;<a href="https://www.fortix.hu/business-superbrands-dijat-nyert-a-fortix/" target="_blank" rel="noreferrer noopener">Business Superbrands díjat</a>, most pedig tovább bővítette elismeréseinek listáját.


<div class="wp-block-image">
<figure class="aligncenter"><img decoding="async" src="https://static.fortix.hu/app/uploads/2022/12/dijat_nyert_a_FORTIX-1024x538.png" alt="Hungarian Business Awards díjat nyert a FORTIX" class="wp-image-14165"/></figure></div>


A&nbsp;<a href="https://businessawards.hu/">Hungarian Business Awards</a>&nbsp;az a rangos üzleti díj, mely a hazai cégeknek, cégvezetőknek szól. Három korábbi díj, a nagymúltú Hungarian CEO Awards, a FINTECH Awards és a WiB – Women in Business Hungary Awards egyesüléseként jött létre. A zsűri tagjai a Magyarországon több mint 20 éve nagy sikerrel működő Vezérigazgató Találkozó résztvevői, ágazatukban kiemelt elismerésnek örvendő szaktekintélyek.



Köszönjük a szakmai elismerést, amellyel a FORTIX lett az Év Információbiztonsági és Adatvédelmi Szolgáltatója. Emellet pedig szívből gratulálunk a többi díjazottnak is!

FORTIX | HUNGARIAN BUSINESS AWARDS DÍJ

A cikksorozat előző két részében azzal foglalkoztunk, hogy a <a href="https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A52020PC0595" target="_blank" rel="noreferrer noopener">Digital Operational Resilience Act</a>, azaz a digitális működési rezilienciáról szóló rendelet (röviden: DORA rendelet) pontosan kikre is fog vonatkozni. Ebben a részben befejezzük ezt a témát az utolsó nagy érintetti körrel, amely nincs olyan pontosan körülírva a rendeletben, mint a nevesített pénzügyi szervezetek.



Az előző részekben nevesített pénzügyi szolgáltatókon túl a rendelet egy elég tág kört is érint, ezek az IKT, azaz az információs és kommunikációs technológiák szolgáltatói. A jogalkotói elképzelés érthető, hiszen a harmadik félnek minősülő IKT szolgáltatók által nyújtott digitális és adatszolgáltatások potenciális gyenge pontként jelenhetnek meg információbiztonsági szempontból, ezért célszerű őket is bevonni a DORA rendelet hatálya alá.


<div class="wp-block-image">
<figure class="aligncenter"><img decoding="async" src="https://static.fortix.hu/app/uploads/2022/12/DORA_rendelet_negyedik_resz-600x315.png" alt="DORA rendelet: Kik azok az IKT szolgáltatók?" class="wp-image-14119"/></figure></div>


Arra talán nem is kell külön kitérni, manapság elképzelhetetlen, hogy egy pénzügyi szervezet ne vegyen igénybe ilyen külső szolgáltatókat. A külső szolgáltatók alatt elsősorban a felhőszolgáltatókat kell érteni. A rendelet megfogalmazása szerint:



<h3 class="wp-block-heading">„HARMADIK FÉLNEK MINŐSÜLŐ IKT-SZOLGÁLTATÓK:</h3>



Digitális és adatszolgáltatásokat nyújtó vállalkozás, többek között a felhőszolgáltató, a szoftverszolgáltató, az adatelemzési szolgáltatást nyújtó és az adatközpont, kivéve a hardverösszetevő szállítóját, valamint az uniós jog szerint engedélyezett olyan vállalkozást, amely az (EU) 2018/1972 európai parlamenti és tanácsi irányelv 2. cikkének 4. pontjában meghatározott elektronikus hírközlési szolgáltatást nyújt;”



A megfogalmazás annyi támpontot ad, hogy példálózó jelleggel megemlít bizonyos szolgáltatásokat (felhőszolgáltatás, szoftver szolgáltatás, adatelemzés és adatközpont), amik egyértelműen ebbe a körbe tartoznak. Tehát egy pénzügyi szervet által használt felhős file megosztás, vagy egyéb szolgáltatás mindenképpen a jogszabálya alanya lesz.



A meghatározás kivételként említi a hardver beszállítót, akire ilyen szempontból nem vonatkozik a DORA.&nbsp; A kivételeknél fent hivatkozott uniós irányelv ide sorolja tovább az internet szolgáltatókat, a gépek közötti jelátvitel szolgáltatásokat és a személyközi hírközlési szolgáltatásokat, akik szintén nem lesznek alanyai a rendeletnek.



Az IKT szolgáltatók definíciója mellett meg kell ismerkednünk egy újabb fogalommal is, ez pedig a harmadik félnek minősülő kulcsfontosságú IKT-szolgáltató, akire több és szigorúbb szabályok vonatkoznak.



<h2 class="wp-block-heading">KULCSFONTOSSÁGÚ SZOLGÁLTATÓK A DORA RENDELETBEN</h2>



Az európai felügyeleti hatóságok (EFH-k) a DORA rendeletben meghatározott kritériumok alapján, egy külön szervezet (felvigyázási fórum) ajánlása alapján döntenek arról, mely szolgáltatók tartoznak ebbe a körbe. Az alábbi szempontok alapján minősül valaki kulcsfontosságú szolgáltatónak:



1. A rendszerszintű hatás vizsgálata alapján, amely a pénzügyi szervezetek részére nyújtott szolgáltatás folytonosságára vonatkozik egy üzemzavar esetén (figyelembe véve a szolgáltatást igénybe vevő pénzügyi szervezetek számát). Rendszerszintű a hatás, ha a szolgáltató szolgáltatásait jelentős intézmények vagy jelentős számú intézmény veszi igénybe, illetve, ha ezen intézmények kölcsönös függése jelentős (akkor is, ha ezen intézmények más pénzügyi szervezetek részére nyújtanak infrastrukturális szolgáltatást).



2. A nyújtott szolgáltatás kulcsfontosságú vagy lényeges funkció kapcsán merül fel, akkor is, ha nem közvetlenül, hanem közvetetten veszi igénybe azt a pénzügyi szervezet.



3. A helyettesíthetőség a piaci viszonyok miatt nem lehetséges, vagy nehéz (kevés szolgáltató vagy speciális technológia), vagy szolgáltató szervezeti felépítése, esetleg egyedi tevékenysége miatt problémás, illetve az adatok vagy a munkamennyiség miatt másik szolgáltatóhoz történő migrálás nehézségekbe ütközik (ez lehet magas költség vagy a migrálás magas kockázata).



4. A tagállamok száma, ahol a szolgáltató szolgáltatást nyújt.



5. A tagállamok száma, ahol az adott szolgáltató szolgáltatásait igénybe vevő pénzügyi szervezetek tevékenységet folytatnak.



<h3 class="wp-block-heading">ÖSSZEGZÉS</h3>



Mint a fentiekből is látszik, kulcsfontosságú jelzőt azok a szereplők kapnak majd, akik uniós szinten is nagyobb szolgáltatónak minősülnek.



A feltételrendszer még biztosan alakulni fog, maga a DORA rendelet is lehetőséget biztosít a Bizottság részére, hogy a feltételrendszert kiegészítse.



A kulcsfontosságú szolgáltatók listája mindenki számára elérhető lesz és arra is van lehetőség, hogy ezen körbe felvételüket kérjék azok, akik egyébként nem szerepelnek benne.



E körben érdemes megemlíteni, hogy a rendelet a harmadik félnek minősülő IKT szolgáltatókra is kiterjeszti a felvigyázási keretet, illetve egy másik új intézménnyel, a vezető felvigyázóval is meg kell majd ismerkedni (a vezető felvigyázó hatáskörének, feladatának bemutatására egy külön cikket rendelünk majd).



(A sorozat következő részében a DORA rendelethez kapcsolódó kockázatkezeléssel foglalkozunk.)

DORA RENDELET: KIK AZOK AZ IKT SZOLGÁLTATÓK? (4. RÉSZ)

A COVID világjárvány megalapozta a kiberbűncselekmények elterjedését azzal, hogy vállalatok sora váltott home office megoldásra, viszont nem rendelkeztek a megfelelő biztonsági beállításokkal, valamint a munkavállalók biztonságtudatos viselkedése sem volt megfelelő szintű. Emellett nem mutat csökkenő tendenciát a kiberteret fenyegető támadások mértéke és veszélye, annak ellenére, hogy a munkavállalók, vállalatok, iskolák többsége visszatért a járvány előtti, hely infrastruktúra használatához.&nbsp;



Általános gondolat, hogy a felhő szolgáltatások biztonsága évről évre nő és egyre megbízhatóbb környezetet teremt a cégek és magánfelhasználók életében. Az IBM által vizsgált statisztikák szerint azonban ennek az ellenkezője mutatkozik, miszerint, az elmúlt 5 év során a felhőszolgáltatások sérülékenysége 150%-kal nőtt, amelyek 90%-át webes alkalmazásokon keresztüli hozzáférés okozta.&nbsp;



“A Gartner adatai szerint a felhőbiztonság jelenleg a leggyorsabban növekvő kiberbiztonsági piaci szegmens, amely a 2020-as 595 millió dollárról 2021-re 41%-kal, 841 millió dollárra nőtt.”&nbsp;&nbsp;



<h2 class="wp-block-heading">MI IS A ZERO TRUST?</h2>



A felhőbiztonság új fejleményei közé tartozik a „Zero Trust” felhőbiztonsági architektúra elfogadása. A Zero Trust rendszerek működésének alapja, hogy úgy kezeli a rendszert, mintha a hálózat már veszélybe került volna, és minden lépésnél, minden bejelentkezésnél végrehajtják a szükséges ellenőrzéseket. A már világszerte használt klasszikus VPN megoldások mellett megjelent a ZTNA, azaz Zero Trust Network Access, amely említett koncepcióra épül, miszerint a szervezeteknek nem szabad megbízniuk semmilyen entitásban, sem a biztonsági perimétereken belül, sem azokon kívül, és ehelyett minden felhasználót vagy eszközt ellenőrizniük kell, mielőtt hozzáférést biztosítanának számukra az érzékeny erőforrásokhoz, biztosítva az adatok biztonságát és integritását.&nbsp;Egy, a legkevesebb jogosultságot biztosító modellt hoz létre a távoli hozzáférésű VPN-ek számára. A ZTNA segítségével a felhasználó és az alkalmazás közötti kapcsolat az Alkalmazási réteg (7. réteg) szintjén működik, amely lehetővé teszi a felhasználó számára, hogy csak az alkalmazáshoz férjen hozzá az eszköz.


<div class="wp-block-image">
<figure class="aligncenter"><img decoding="async" src="https://static.fortix.hu/app/uploads/2022/12/zero_trust_mukodese-600x337.png" alt="hogyan működik a valóságban a zero trust modell?" class="wp-image-14084"/></figure></div>


Ez a biztonsági stílus 2021-ben vált népszerűvé, emellett erős védelmi megoldást jelenthet és biztosíthat a vállalatok számára, amely a közeljövőben széles körben elterjedhet. Mindemellett, a megfelelő felkészültség és reagálás a legjobb gyakorlat a felhő alapú támadások kivédésére és kezelésére bekövetkezésük esetén.&nbsp;



Szerző: Cseh Balázs

ZERO TRUST | SOHA NE BÍZZ, MINDIG ELLENŐRIZZ

Közeleg a Black Friday, hatalmas akciókat foghatunk ki, és ilyenkor mindenki még szívesebben költekezik online, mivel így nem kell tömegben vásárolni, nem kell sorban állni, hanem az otthon kényelméből meg tudjuk venni azt, amit szeretnénk. Azonban, ha nem vagyunk kellőképpen körültekintőek vagy elővigyázatosak, akkor könnyen átverhetnek minket nem csak az árral, hanem hamis termékekkel is, sőt előfordulhat, hogy egyáltalán nem kapjuk meg a terméket, vagy legrosszabb esetben még a bankkártya adatainkat is ellophatják.



<figure class="wp-block-image"><img decoding="async" src="https://static.fortix.hu/app/uploads/2022/11/posztok-masolata-1200-%C3%97-630-keppont-2.png" alt="" title="posztok másolata (1200 × 630 képpont) (2)"/></figure>



A&nbsp;<a href="https://nki.gov.hu/en/it-biztonsag/hirek/a-kiberbunozok-iden-is-black-friday-akcioba-lendultek/">Bitdefender Antispam Lab adatai alapján</a>&nbsp;a csaló ajánlatok az elmúlt hetek során egyre gyakoribbá váltak, november 9-én pedig átlagosan már minden negyedik Black Friday vagy Cyber Monday témájú levél valamilyen csaló ajánlatot tartalmazott. A Bitdefender által azonosított kampányok elsősorban az amerikai, valamint ír felhasználókat célozták, hazánkat ezek a kampányok csak kismértékben érintették (3%).



Ebben az időszakban túlnyomó többségben megjelenik az impulzusvásárlás jelenség, amikor az akció csak rövid ideig él, így gyorsan meg akarjuk vásárolni a terméket, hogy minél alacsonyabb áron jussunk hozzá, és előfordulhat, hogy ilyenkor nem vagyunk elég körültekintőek.



<h4 class="wp-block-heading">HOGYAN ÉSZLELHETJÜK A HAMIS AJÁNLATOKAT VAGY LEVELEKET?</h4>



Alábbi javaslataink csökkenthetik a kockázatát annak, hogy csalás vagy visszaélés áldozatává váljunk.



Szokatlanul alacsony ár



Több webshopban is (vagy ár összehasonlító oldalakon) ellenőrizzük az árakat. Minden esetben gyanakodjunk egy olyan ajánlatra, ami szokatlanul alacsony összegért kínál egy terméket – még Black Friday idején is.



Olyan kereskedőtől vásároljunk, akit már ismerünk



Régebben vásároltunk már ennél a kereskedőnél és mindent rendben találtunk.



Lehetőség szerint utánvéttel fizessünk



Legyen szokatlan körülmény, ha egy kereskedőnél csak online bankkártyás fizetés lehetséges, más fizetési lehetőség nincs megadva.



Óvatosan az e-mailben található linkekkel



Az ajánlatban vagy az e-mailben található linket nézzük meg, mielőtt kattintunk és ha kicsit is gyanús vagy bizonytalanok vagyunk, érdemes inkább a megadott kereskedő webshopját közvetlenül felkeresni. Egy adathalász linkre kattintva egy olyan klónozott oldalra juthatunk, amely a legtöbb esetben szinte megegyezik a kereskedő eredeti weboldalával, és ezen az oldalon mindenféle indokkal (pl. jelszómódosítás, regisztráció megerősítése, bankkártya rögzítése, stb.) különböző adatokat kérnek tőlünk.



<h4 class="wp-block-heading">AMENNYIBEN BÁRMI GYANÚSAT ÉSZLELÜNK</h4>



<ul>
<li>Ellenőrizzük le nem tartalmaz-e extra karaktereket a domain név és az URL.</li>



<li>Ellenőrizzük le az oldal titkosítását.</li>
</ul>



Ezt a fejlécben az oldal neve mellett megtalálható kis lakat ikonnal tudjuk ellenőrizni. Azonban sajnos ez még nem elég, ez csak azt jelzi, hogy HTTPS titkosítás van az oldalon. Ellenben, ha nem található ez a kis lakat ikon a fejlécben, az már gyanúra adhat okot. Ellenőrizhetjük még, hogy minden gomb mögött van-e funkció és tartalom. Ha nincsen, akkor szintén elővigyázatossággal kezeljük az oldalt.



<ul>
<li>Ellenőrizzük az e-mail cím eredetiségét.</li>
</ul>



Erre számtalan megoldás létezik. Az egyik ilyen oldal a&nbsp;<a href="https://www.verifyemailaddress.org/email-validation">https://www.verifyemailaddress.org/email-validation</a>.



Ha az e-mail címet beírjuk, majd a „Verify Email Now” gombra kattintunk, azzal ellenőrizhetjük a cím eredetiségét. Ha nincs regisztrálva az e-mail cím, akkor „No MX recource records found” üzenetet kapunk. Amennyiben viszont regisztrálva van, akkor fog találni hozzá MX recordokat.&nbsp;Ez utóbbi mutatja azt, hogy megbízható az e-mail cím.



<ul>
<li>Ellenőrizzük a cég közösségi média profiljait.</li>
</ul>



A közösségi média oldalon a jelenlét ellenőrzésén felül érdemes az aktivitásukat is megvizsgálni, hogy vannak-e rendszeres posztok az oldalon. Bizonyos esetekben le lehet ellenőrizni az adott oldal Facebook és Google értékeléseit is. Illetve érdemes cikkeket keresni róla, hogy korábban történt-e már velük kapcsolatban valamilyen incidens.



<h4 class="wp-block-heading"></h4>



<h4 class="wp-block-heading">TOVÁBBI TIPPJEINK</h4>



<ul>
<li>Banki értesítések (SMS vagy e-mail)</li>
</ul>



Minden esetben legyen szokatlan körülmény, amennyiben egy olyan banki értesítést kapunk akár e-mailben vagy SMS-ben, amit nem vártunk és amiben az található, hogy erősítsük meg a vásárlást vagy engedélyezzünk egy tranzakciót.



A jelszó beírása előtt olvassuk el a banki üzenetet, hogy mire is irányul pontosan. Például egy tranzakció jóváhagyására vagy egy új számlaszám rögzítésére vonatkozik.



<ul>
<li>Virtuális bankkártya használata</li>
</ul>



A legjobb védekezési módszer, hogy jelentősebb anyagi kár ne érjen minket, ha virtuális, egyszer használatos bankkártyát használunk. A legtöbb bank már rendelkezik ilyen szolgáltatással. Ennek a lényege, hogy a bankkártya adatok csak egyszer használhatók, így, ha esetleg ellopják a weboldalon a bankkártya adatainkat, akkor a továbbiakban nem tudják használni, mert megsemmisül utána a bankkártya.



Mit tehetünk ha megadtuk az adatainkat és csalás áldozatává váltunk?



Abban az esetben, ha a bankkártya adatainkat vagy az internetbankhoz, mobilapplikációhoz tartozó adatokat adtunk meg akkor a legfontosabb, hogy ezeket az adatokat azonnali hatállyal tiltani kell, minden esetben fel kell venni a kapcsolatot az érintett pénzintézettel és egyeztetni velük, hogy történt-e jogosulatlan tranzakció vagy van-e olyan tranzakció, ami még nem teljesült és ha igen, akkor azokat a tranzakciókat fel kell függeszteni vagy törölni kell.



Jogosulatlan tranzakció esetén minden esetben javasoljuk a feljelentést.



Összefoglalva tehát, minden esetben legyünk körültekintőek és lehetőség szerint csak olyan webshopokból vásároljunk, amit már ismerünk, jó hírneve van, több éve jelen van a piacon, és megbízhatónak van minősítve.



Ha a fenti tanácsokat betartjuk, biztosan nem válhatunk csalás áldozatává és az ünnepek is kellemesebben fognak telni.



Kellemes akció vadászatot kívánunk mindenkinek!

A BŰNÖZŐK NEM PIHENNEK A BLACK FRIDAY ALATT SEM!

2022. november 28-án az Európai Unió Tanácsa&nbsp;<a href="https://www.consilium.europa.eu/hu/press/press-releases/2022/11/28/digital-finance-council-adopts-digital-operational-resilience-act/" target="_blank" rel="noreferrer noopener">elfogadta</a>&nbsp;a digitális működési rezilienciáról szóló rendeletet.



<a href="https://www.fortix.hu/dora-rendelet-kire-vonatkozik-a-dora/" target="_blank" rel="noreferrer noopener">Az előző részben</a>&nbsp;elkezdtük annak tárgyalását, hogy a&nbsp;Digital Operational Resilience&nbsp;Act, azaz a digitális működési rezilienciáról szóló rendelet (röviden: DORA) pontosan kikre is fog vonatkozni. Ebben a részben folytatjuk a rendelet alanyainak ismertetését.



<figure class="wp-block-image"><img decoding="async" src="https://static.fortix.hu/app/uploads/2022/11/Europai_unio_DORA_rendelet.png" alt="" class="wp-image-14024" title="Europai_unio_DORA_rendelet"/></figure>



Alternatív befektetési alap-kezelők (ABAK):&nbsp;A 2011/61/EU irányelv 4. cikke (1) bekezdésének b) pontja alapján a következőt kell érteni alatta: „minden olyan jogi személy, amely rendszeres gazdasági tevékenységként egy vagy több ABA-t kezel;”. Ugyanezen cikk meghatározása szerint az ABA: „bármilyen kollektív befektetési vállalkozás, annak befektetési részalapjait is beleértve, amely: több befektetőtől kap tőkét azért, hogy meghatározott befektetési politikának megfelelően befektesse azt ezen befektetők javára; továbbá a 2009/65/EK irányelv 5. cikke alapján nem engedélyköteles;”. Itthon sok vállalkozás folytat ilyen tevékenységet, a DORA nevesített alanyai közül a biztosításközvetítők után itt található a legtöbb hazai vállalkozás.



Alapkezelő társaságok:&nbsp;A 2009/65/EK irányelv 2. cikke (1) bekezdésének b) pontja alapján a következőt kell érteni alatta: „olyan társaság, amelynek alaptevékenysége a közös alap vagy befektetési társaság formájában tevékenykedő ÁÉKBV kezelése (az ÁÉKBV kollektív portfóliókezelése);”. Az ÁÉKBV pedig nem más, mint az átruházható értékpapírokkal foglalkozó kollektív befektetési vállalkozás rövidítése.



Adatszolgáltatók:&nbsp;A 2014/65/EU irányelv 4. cikke (1) bekezdésének 63. pontja alapján a következőt kell érteni alatta: „bármely APA, CTP vagy ARM”. &nbsp;Ezen irányelv szerint a „jóváhagyott közzétételi mechanizmus vagy „APA”: olyan személy, aki ezen irányelv szerint fel van hatalmazva azon szolgáltatás nyújtására, hogy a befektetési vállalkozások nevében közzé tegye a kereskedési jelentéseket, a 600/2014/EU rendelet 20. és 21. cikke alapján;”. Az „összesített adat-szolgáltató vagy „CTP”: olyan személy, aki ezen irányelv szerint fel van hatalmazva azon szolgáltatás nyújtására, hogy összegyűjtse a szabályozott piacokról, az MTF-ektől, az OTF-ektől és a jóváhagyott közzétételi mechanizmusoktól a 600/2014/EU rendelet 6., 7., 10., 12., 13., 20. és 21. cikkében felsorolt pénzügyi eszközökről szóló kereskedési jelentéseket, és azokat olyan, folyamatos és élő elektronikus adatfolyamba vonja össze, amely pénzügyi eszközönként árfolyam- és volumen-adatokat biztosít;”. A „jóváhagyott jelentési mechanizmus vagy „ARM”: olyan személy, aki ezen irányelv szerint fel van hatalmazva azon szolgáltatás nyújtására, hogy a befektetési vállalkozások nevében bejelentse az ügyletek adatait az illetékes hatóságoknak vagy az ESMA-nak;”. Az ESMA pedig az Európai Értékpapír és Piaci Hatóságot jelenti.



A DORA a biztosítókat és a viszontbiztosítókat is egy pontban kezeli, ezeket a jobb áttekinthetőség érdekében külön említjük.



Biztosítók: A 2009/138/EK irányelv 13. cikkének 1. pontja alapján a következőt kell érteni alatta: „olyan közvetlen életbiztosító vagy nem-életbiztosító, amely a 14. cikkel összhangban engedéllyel rendelkezik;”.



Viszontbiztosítók: A 2009/138/EK irányelv 13. cikkének 4. pontja alapján a következőt kell érteni alatta: „olyan vállalkozás, amely a 14. cikkel összhangban engedélyt kapott viszontbiztosítási tevékenység folytatására;”.



A biztosítás közvetítőket szintén nézzük meg külön-külön.



Biztosításközvetítők:&nbsp;Az (EU) 2016/97 irányelv 2. cikkének 3. pontja alapján a következőt kell érteni alatta: „bármely, a biztosítótól vagy viszontbiztosítótól, vagy ezek alkalmazottaitól eltérő, továbbá a kiegészítő biztosításközvetítői tevékenységet végző személytől eltérő természetes vagy jogi személy, aki vagy amely javadalmazás ellenében kezd vagy folytat biztosítási értékesítési tevékenységet;”.



Viszontbiztosítás-közvetítők:&nbsp;Az (EU) 2016/97 irányelv 2. cikkének 5. pontja alapján a következőt kell érteni alatta: „bármely, a viszontbiztosítótól vagy annak alkalmazottaitól eltérő természetes vagy jogi személy, aki vagy amely javadalmazás ellenében kezd vagy folytat viszontbiztosítási értékesítési tevékenységet;”.



Kiegészítő biztosításközvetítői tevékenységet végző személyek:&nbsp;Az (EU) 2016/97 irányelv 2. cikkének 4. pontja alapján a következőt kell érteni alatta: „ bármely, az 575/2013/EU európai parlamenti és tanácsi rendelet 4. cikke (1) bekezdésének 1. és 2. pontjában meghatározott hitelintézettől vagy befektetési vállalkozástól eltérő természetes vagy jogi személy, aki vagy amely javadalmazás ellenében kiegészítő jelleggel kezd vagy folytat biztosítási értékesítési tevékenységet, amennyiben az alábbi feltételek mindegyike teljesül:



<ol>
<li>e természetes vagy jogi személy fő szakmai tevékenysége nem a biztosítási értékesítés;</li>



<li>a természetes vagy jogi személy csak bizonyos biztosítási termékeket értékesít, amelyek kiegészítő jellegűek valamely áruhoz vagy szolgáltatáshoz;</li>



<li>az érintett biztosítási termékek nem tartalmaznak életbiztosítást vagy felelősségi kockázatot, kivéve, ha az ilyen fedezet kiegészíti a közvetítő által fő szakmai tevékenységeként kínált árut vagy szolgáltatást;”</li>
</ol>



Foglalkoztatói nyugellátást szolgáltató intézmények:&nbsp;Az (EU) 2016/2341 irányelv 6. cikkének 1. pontja alapján a következőt kell érteni alatta: “olyan intézmény, amely, jogi formájától függetlenül, tőkefedezeti alapon működik, bármilyen támogató vállalkozástól vagy szakmai szervezettől elkülönítetten hozták létre, és amelynek célja a keresőtevékenységgel összefüggésben történő nyugellátás biztosítása:



<ol>
<li>a munkáltató(k) és munkavállaló(k) vagy ezek képviselői között megkötött egyéni vagy kollektív megállapodás vagy szerződés; vagy</li>



<li>önálló vállalkozókkal, egyénileg vagy kollektív módon, a székhely szerinti és a fogadó tagállam jogának megfelelően megkötött megállapodás vagy szerződés alapján,</li>
</ol>



és amely ebből közvetlenül származó tevékenységeket folytat;”.



Hitelminősítő intézetek:&nbsp;Az 1060/2009/EK rendelet 3. cikke (1) bekezdésének b) pontja alapján a következőt kell érteni alatta: “az a jogi személy, amelynek tevékenysége magában foglalja a hitelminősítések szakmai alapon történő kiadását;”. Ez kategória a hazai viszonylatban nem releváns.



Kritikus referenciamutatók kezelői:&nbsp;Ennek a pontos meghatározása a később elfogadásra kerülő referencia mutató rendeletben lesz benne.



Közösségi finanszírozási szolgáltatók:&nbsp;A pontos szabályozás a később elfogadásra kerülő közösségi finanszírozási rendeletben várható.



Értékpapírosítási adattárak:&nbsp;Az (EU) 2017/2402 rendelet 2. cikkének 23. pontja alapján a következőt kell érteni alatta: “olyan jogi személy, amely központilag összegyűjti és kezeli az értékpapírosítások adatait;”.



(A sorozat következő részeben az IKT szolgáltatókkal, mint szintén a rendelettervezet alanyaival kapcsolatos tudnivalókat járjuk körbe részletesebben.)

DORA RENDELET: KIRE VONATKOZIK A DORA 3. RÉSZ

Nem titok, hogy a kiberbiztonság lassan a legmenőbb szakmák egyikévé válik. A kiberbiztonsági szakemberekből az elkövetkező években komoly hiány lesz, amely részben annak köszönhető, hogy az irántuk való kereslet drámaian megnőtt az elmúlt években, és a fogyasztói technológia használatának növekedésével folyamatosan tovább fog nőni.



Az ingyenes webináriumunk során bemutattuk a FORTIX kiberbiztonsági szakembereinek munkáján keresztül, hogy milyen kihívásokkal kell megküzdeniük nap, mint nap, sőt az is kiderült, hogy hogyan válhat valakiből junior kiberbiztonsági szakértő.



<figure class="wp-block-embed is-type-video is-provider-youtube wp-block-embed-youtube wp-embed-aspect-16-9 wp-has-aspect-ratio"><div class="wp-block-embed__wrapper">
<iframe loading="lazy" title="Kibertér Őrzői webinár" width="500" height="281" src="https://www.youtube.com/embed/ljQHyycM7FQ?feature=oembed" frameborder="0" allow="accelerometer; autoplay; clipboard-write; encrypted-media; gyroscope; picture-in-picture; web-share" allowfullscreen></iframe>
</div></figure>

CyberCamp – Kibertér Őrzői webinar

A biztonsági hiányosságok felfedezésének legkézenfekvőbbnek tűnő, de egyben a legkevésbé hatékony és „érett” módja az, amit én úgy hívok, hogy „minden folyamat babusgatása”. Ez az ellenőrzés „első szintjén” történik, ami azt jelenti, hogy a biztonság minden (informatikai) folyamaton belül közvetlenül reprezentálva van. Ez olyan, mint a következő történet egyik szereplője.



Egy kis faluban csak akkor volt víz, amikor esett az eső, ezért felbéreltek két fickót, hogy vizet hozzanak a faluba. Az első fickó vett két vödröt, és elkezdett naponta többször oda-vissza gyalogolni a folyótól a faluba, hogy vizet hozzon. Ez a folyamat minden nap megismétlődött, a fickó számos utat tett meg a faluból a folyóhoz és vissza.



A második kolléga több hónapra eltűnt, majd azzal a tervvel tért vissza, hogy csővezetéket épít a folyótól a faluba. Elkezdték követni a tervükben felvázolt lépéseket, és a következő évben felépítették a csővezetéket. Miután a csővezeték elkészült, a faluban a hét minden napján, a nap 24 órájában volt víz!&nbsp;Furcsa módon a második fickó egyetlen vödröt sem vitt el a folyótól a faluba.



Vegyük ilyen szemmel példának az informatikai változáskezelési folyamatot. Minden változtatást, a kisebbektől a nagyobbakig, az illetékes biztonsági személyzet által kötelezően jóváhagyandó csatornán keresztül kell vezetni. Ez nagyon körültekintő megoldás, de számos hátulütője van.



Az első és legnyilvánvalóbb, hogy minden változtatási kérelem válogatás nélküli feldolgozása a biztonsági osztály értékes erőforrásait veszi igénybe. Ilyenkor megpróbálhatunk gyakorlatiasabbak lenni, és csak a jelentős változtatások biztonsági felülvizsgálatát írhatjuk elő. Ez működhet, de ebben az esetben, akárcsak az összes módosítás felülvizsgálatakor,&nbsp;a biztonsági felülvizsgálat szűk keresztmetszet lesz a folyamatban.&nbsp;Ez pedig a szándékunk ellenkezője.&nbsp;Ráadásul így rossz üzenetet küldünk a „társosztályoknak”.



A biztonsági csapat által kikényszerített extra, operatív szintű ellenőrzés szigorú ellenőrzésnek tűnhet, de ehelyett inkább arról szól, hogy mi, a „security-sek”&nbsp;képtelenek vagyunk megfelelő irányítási struktúrát kialakítani!&nbsp;Ez a megközelítés az üzemeltetés és a többi IT-csapat részéről is erős függőséget fog teremteni a biztonsági ellenőrzések tekintetében. Ez adott esetben nem szándékolt szereptévesztésbe tolhatja a biztonsági kontrollszervezetet.



Egy idő után a biztonsági ellenőrzés a késedelmek ürügyévé válhat, és a mérnökök&nbsp;ahelyett, hogy elolvasnák(!), megértenék és alkalmaznák a biztonsági szabályokat, a biztonsági csapathoz fordulnak, hogy értelmezzék&nbsp;a rendszerarchitektúra vagy a megoldás minden egyes részletét, és eseti alapon hozzanak meg go/no-go döntéseket. E döntések túlnyomó többségét, megfelelően előkészítve a projektben egyébként dolgozó szakértők, vezetők is meghozhatják!



Az biztos, hogy ha a szabályzatok nincsenek jól elkészítve, nem egyértelműek vagy elavultak, akkor a fenti lehet az egyetlen módja annak, hogy a dolgokat ellenőrzés alatt tartsuk. Ez azonban ahhoz a végzetes pillanathoz vezet, amikor a biztonsági vezető elengedi a dolgot, és lemond a történések validálásáról; ezért ez a „megoldás” csak átmeneti lehet!



Minden folyamat babusgatása túlságosan úgy hangzik, mintha vödröket cipelnél. Nem inkább a csővezeték építésével kellene foglalkoznod?

KEDVES CISO-K! NE BABUSGASSUNK MINDEN FOLYAMATOT!

A globális kiberbiztonsági kihívások kezelése és a digitális bizalom javítása érdekében 2022. Október 25-én tették közzé az&nbsp;<a href="http://www.iso.org/standard/82875.html">ISO/IEC 27001</a>&nbsp;új és továbbfejlesztett változatát. A világ legismertebb információbiztonsági irányítási rendszerszabványa segít a szervezeteknek az információs eszközeiket biztonságban tartani – ami létfontosságú a mai, egyre inkább digitális világunkban. &nbsp;



A kiberbűnözés egyre súlyosabb és kifinomultabb, ahogy a hackerek fejlettebb kiberbűnözési technikákat fejlesztenek ki. A Világgazdasági Fórum&nbsp;<a href="https://www.weforum.org/reports/global-cybersecurity-outlook-2022">globális kiberbiztonsági kilátásokról</a><a href="https://www.weforum.org/reports/global-cybersecurity-outlook-2022">&nbsp;szóló jelentése</a>&nbsp;szerint a kibertámadások száma 2021-ben globálisan 125%-kal nőtt, és a trend az, hogy 2022-ben is folytatódik ez a növekedés. Ebben a gyorsan változó környezetben a vezetőknek stratégiai megközelítést kell alkalmazniuk a kiberkockázatokkal kapcsolatban. &nbsp;



A kiberbűnözés egyre súlyosabb és kifinomultabb.&nbsp;



„A negyedik ipari forradalom közepette a rendszerszintű egymásrautaltság a kiberkockázatok költségeit kézben tartva egyre nagyobb értéket teremt” – mondja Andreas Wolf, aki a szabványért felelős szakértői csoportot vezeti. „Azok a szervezetek vezetnek minket a digitális jövőbe, amelyek nemcsak elég szerények ahhoz, hogy beismerjék, hogy egyedül nem tudják megtenni, hanem elég magabiztosak és hozzáértőek is ahhoz, hogy felismerjék, hogy jobb, ha a vállalkozások meg sem próbálják.”&nbsp;&nbsp;



E kiberbiztonsági kihívások kezelése érdekében a szervezeteknek fokozniuk kell ellenálló képességüket, és kiberfenyegetés-csökkentő&nbsp;erőfeszítéseket kell végrehajtaniuk. Az ISO/IEC 27001:2022 szabvány a következőképpen válik a szervezet hasznára:&nbsp;



<ul>
<li>Segít biztonságossá tenni az információt minden formában, beleértve a papíralapú, felhőalapú és digitális adatokat is&nbsp;</li>



<li>Felkészít a kibertámadásokkal szembeni ellenállóképesség növelésére&nbsp;</li>



<li>Központilag felügyelt keretrendszert&nbsp;biztosít, amely minden információt megfelelően véd&nbsp;</li>



<li>Biztosítja az egész szervezetre kiterjedő védelmet, beleértve a technológiai alapú kockázatokat&nbsp;és egyéb fenyegetéseket is&nbsp;</li>
</ul>



<ul>
<li>Támogatja a változó biztonsági fenyegetésekre történő hatékony reagálást&nbsp;</li>



<li>Segít csökkenteni a költségeket&nbsp;és a nem hatékony védelmi technológiára fordított kiadásokat&nbsp;</li>



<li>Biztosítja az adatok bizalmasságának, sértetlenségének&nbsp;és rendelkezésre állásának védelmét&nbsp;</li>
</ul>



Azok a szervezetek, amelyek magabiztosan alkalmazzák a kiberrezilienciát, gyorsan az iparág vezetőivé válnak, és meghatározzák az ökoszisztémájuk színvonalát. Az ISO/IEC 27001:2022 holisztikus megközelítése azt jelenti, hogy az egész szervezetre kiterjed, nem csak az informatikára.&nbsp;Így az információbiztonsági irányítási rendszer működése révén az&nbsp;emberek, a technológia és a folyamatok mind profitálnak.&nbsp;



Az ISO/IEC 27001:2022 szabvány használatakor az adott szervezet bemutatja az érdekelt feleknek és az ügyfeleknek, hogy elkötelezett az információk biztonságos kezelése mellett. Emellett az ISO/IEC 27001:2022 alapú információbiztonsági irányítási rendszer bevezetése és működtetése nagyszerű módja annak, hogy népszerűsítse szervezetét, megünnepelje eredményeit és bebizonyítsa, hogy munkatársai, partnerei, ügyfelei megbízhatnak benne. 



Forrás:



<a href="https://www.iso.org/standard/82875.html">https://www.iso.org/standard/82875.html</a>



<a href="https://www.weforum.org/reports/global-cybersecurity-outlook-2022">https://www.weforum.org/reports/global-cybersecurity-outlook-2022</a>

MEGJELENT AZ ISO/IEC 27001:2022 INFORMÁCIÓBIZTONSÁGI IRÁNYÍTÁSI RENDSZERSZABVÁNY

<a href="https://www.fortix.hu/dora-rendelet-mi-az-a-dora-1-resz/" target="_blank" rel="noreferrer noopener">Az előző részben már utaltunk rá</a>,&nbsp;hogy a&nbsp;Digital Operational Resilience&nbsp;Act, azaz a digitális működési rezilienciáról szóló rendelet (röviden: DORA), a pénzügyi szervezetekre vonatkozó, hamarosan elfogadásra kerülő uniós jogszabály lesz. Ebben a részben átnézzük, pontosan kik lesznek az alanyai és miért nem csak a pénzügyi szervezeteknek kell tisztában lenni a várható szabályozással.



A rendelet tervezet rögtön az elején nevesíti és tételesen felsorolja, mely szervezeteknek kell kötelezően alkalmazni. Az alábbi tételes lista tartalmazza a pontos a jogszabályi megfogalmazásokat is (ahol rendelkezésre áll), a könnyebb beazonosíthatóság érdekében, gondolva azokra is, akik most találkoznak először ezen kifejezésekkel. A DORA 20 pontban nevesíti a rendelet alanyait, de van, ahol összevontan kezeli az egy érdekkörbe tartozó szervezeteket (pl. biztosítók és viszontbiztosítók). Ezeket a jobb áttekinthetőség miatt külön tárgyaljuk, illetve az érintetti kör terjedelme miatt több részen keresztül foglalkozunk a kérdéssel. Nézzük akkor tételesen, kiknek is kell már most ismerkedniük a DORA-val.



Hitelintézetek: Az 575/2013/EU európai parlamenti és tanácsi rendelet 4. cikk (1) 1. pontja alapján a következőt kell érteni alatta: „olyan vállalkozás, amely a nyilvánosságtól betéteket vagy más visszafizetendő pénzeszközöket vesz át, valamint saját számlára hiteleket nyújt;”. Ebbe a körbe tartoznak a szakosított hitelintézetek, mint például a lakástakarék pénztárak, jelzálog hitelintézetek és az egyéb szakosított hitelintézetek. Szintén ebbe a körbe tartoznak a bankok, mind a hazai székhelyűek, mind a magyarországi fióktelepek.



Pénzforgalmi intézmények:&nbsp;Az (EU) 2015/2366 irányelv, 1. cikk (1) d) és 4. cikk 4. pontja alapján a következőt kell érteni alatta: „olyan jogi személy, amely ezen irányelv 11. cikke értelmében engedélyt kapott pénzforgalmi szolgáltatások nyújtására és teljesítésére az Unió területén;”. Itthon ebbe a körbe tartozik például a Magyar Posta.



Elektronikuspénz-kibocsátó intézmények:&nbsp;A 2009/110/EK európai parlamenti és tanácsi irányelv 2. cikk 1. pontja alapján a következőt kell érteni alatta: „olyan jogi személy, amely a II. cím alapján engedélyt kapott elektronikus pénz kibocsátására;”. Ebbe a körbe jelenleg idehaza csak néhány vállalkozás tartozik.



Befektetési vállalkozások:&nbsp;A 2014/65/EU irányelv 4. cikke (1) bekezdésének 1. pontja alapján a következőt kell érteni alatta: „minden olyan jogi személy, amelynek rendes üzleti tevékenysége harmadik személyek részére egy vagy több befektetési szolgáltatás nyújtása és/vagy egy vagy több befektetési tevékenység végzése hivatásos alapon”.



A következő négy szervezetet a rendelet tervezet egy pontban nevesíti. Ami az érdekességük, hogy a pontos meghatározásuk egy másik, még szintén uniós szinten nem elfogadott rendelethez kapcsolódik. Ez a kriptoeszközök piacairól szóló javaslat (röviden: MiCA), amivel kapcsolatban az Európai Tanács és az Európai Parlament, a DORA rendelethez hasonlóan ideiglenes megállapodásra jutott, tehát ezen jogszabály elfogadása is hamarosan várható.



Kriptoeszköz-szolgáltatók: a tervezet értelmében „minden olyan személy, akinek foglalkozása vagy üzleti tevékenysége körében egy vagy több kriptoeszköz-szolgáltatást harmadik személy részére szakmai alapon nyújt;”.



Kriptoeszköz-kibocsátó: a tervezet értelmében „olyan jogi személy, amely nyilvános ajánlattétel keretében bármely típusú kriptoeszközt kínál, vagy ilyen kriptoeszközt be kíván vezetni valamely kriptoeszköz-kereskedési platformra;”.



Eszközalapú tokenek kibocsátói:&nbsp;a tervezet értelmében „eszközalapú token: olyan kriptoeszköz-típus, amely stabil érték fenntartására hivatott azáltal, hogy több, törvényes fizetőeszköznek minősülő fiat valuta, egy vagy több áru, vagy egy vagy több kriptoeszköz, illetve ezen eszközök kombinációjának értékére hivatkozik;” és ezen eszközhöz kötött token kibocsátója lesz majd a DORA rendelet alanya.



Jelentős eszközalapú tokenek kibocsátói: Érdekes módon a hivatkozott MiCA rendelet tervezet a fogalom magyarázat részben nem ad pontos meghatározást, mit ért ezen meghatározás alatt. Viszont a későbbiekben egy külön cikket szentel a jelentős eszközalapú tokeneknek, ahol a megadott ismérvek alapján egyértelmű a beazonosítások.



Központi értéktárak:&nbsp;A 909/2014/EU rendelet 2. cikke (1) bekezdése 1. pontja alapján a következőt kell érteni alatta: „a melléklet A. szakaszának 3. pontjában említett értékpapír-kiegyenlítési rendszert működtető jogi személy, amely legalább egy további, a melléklet A. szakaszában felsorolt alapvető szolgáltatást nyújt;”. Jelenleg itthon egy központi értéktár van, ez a KELER Zrt.



Központi szerződő felek:&nbsp;A 909/2014/EU rendelet 2. cikke (1) bekezdése 1. pontja alapján a következőt kell érteni alatta: „a melléklet A. szakaszának 3. pontjában említett értékpapír-kiegyenlítési rendszert működtető jogi személy, amely legalább egy további, a melléklet A. szakaszában felsorolt alapvető szolgáltatást nyújt;”. Ebből szintén egy van itthon, ez a KELER KSZF Zrt.



Kereskedési helyszínek:&nbsp;A 2014/65/EU irányelv 4. cikke (1) bekezdésének 24. pontja alapján a következőt kell érteni alatta: „bármely szabályozott piac, multilaterális kereskedési rendszer vagy szervezett kereskedési rendszer;”. A kereskedési helyszínek olyan létesítmények, ahol több harmadik fél részéről vételi és eladási szándékok hatnak egymásra.



Kereskedési adattárak:&nbsp;A 648/2012/EU rendelet 2. cikkének 2. pontjában alapján a következőt kell érteni alatta: „olyan jogi személy, amely központilag összegyűjti és kezeli a származtatott ügyletek adatait;”.

DORA RENDELET: KIRE VONATKOZIK A DORA ? (2. RÉSZ)

Október jellemzően a kiberbiztonság hónapja, immár 10-ik alkalommal rendezi meg az ENISA (Európa Unió Kiberbiztonsági Ügynökség) a figyelemfelkeltő és oktató programjait, amibe Magyarország is bekapcsolódik.



2022. október 13. 9:05:20&nbsp;Hőnyi Gyula



Néhány megdöbbentő adat jellemzi a legjobban miért érdemes még most is (25-30 évvel a civilek által is hozzáférhető internet elterjedése után) kiberbiztonságról beszélni. Az utóbbi időszakban több, mint 400 százalékkal nőtt a zsarolóvírusok száma, a kiberkárok 95 százaléka emberi mulasztások miatt következik be, a világban keringő levelek 99 százaléka spam, vagy vírus, 3 millió szakember hiányzik a kiberbiztonsági piacról és a netes kereskedelem az utóbbi időben 800 milliárd dollár értékben nőtt.



Ilyen adatforgalom mellett egyáltalán nem csoda, hogy a kiberbűnözőknek időről-időre sikerül feltörniük egy-egy biztonsági rendszert és kárt okozniuk a vállalatoknak. Itthon a FORTIX Consulting Kft. az egyik szereplője a kiberbiztonsági hónapnak, Rónaszéki Péter a cég ügyvezetője lapunknak elmondta, ebben az évben a programsorozatok kiemelt területe a 40-60 éves korosztály, illetve a KKV szektor.



A cég oktatással és tanácsadással igyekszik felkészíteni (célzottan, cégekre szabva) a vállalatokat, illetve a vállalatok szakembereit hogyan lehet, vagy érdemes elkerülni a kibertámadásokat. Ugyanis a helyzet az, hogy az esetek többségében a józan gondolkodással a támadások túlnyomó része elkerülhető.



Az emberi társadalom több ezer éve úgy épül fel, hogy a közösségek segítik egymást, ám ezt az erőt használják ki a csalók. A hiszekénységre, a segítőkészségre alapozzák a támadások nagy részét. A csalók egyre szofisztikáltabb módszerrel dolgoznak és mindig igyekeznek kihasználni a közéleti fősodort, gyakran állami vállalatok, vagy nagy szolgáltatók nevében jelentkeznek és ma már nem csak elektronikus levél formájában, hanem más informatikai eszközök opcióit is kihasználják.



A kis- és közepes vállalatok jellemzően nagyon kitettek az ilyen támadásoknak, egyrészt mert nekik nincs akkora költségvetésük a kiberbiztonságra, mint a nagy, vagy nemzetközi vállalatoknak és persze információbiztonsági szabályokat sem mindig határoznak meg, másrészt őket is erősen érinti, hogy a munkavállalók otthonról, lazább környezetben dolgoznak. Az otthoni számítástechnikai rendszerek védelme pedig sokkal gyengébb, mint a munkahelyi rendszereké, így azon keresztül a bűnözők feltörhetik a vállalati adatbázisokat.



Az Európai Kiberbiztonsági Hónap kampányának célja végső soron az, hogy reziliensebbé tegye az uniós rendszereket és szolgáltatásokat. Ennek megvalósítása érdekében lehetővé teszi a polgároknak, hogy a tűzfal szerepét betöltve segítsék az átmenetet egy kiberbiztonsági kérdésekben tudatosabb társadalom felé.



Cikkünk a figyelo.hu -n jelent meg: https://figyelo.hu/hirek/kiberbiztonsag-eloterben-a-tudatossag-178810/

FIGYELO.HU -N MEGJELENT CIKKÜNK: KIBERBIZTONSÁG: ELŐTÉRBEN A TUDATOSSÁG

A GDPR-t, mint Általános Adatvédelmi Rendeletet, talán senkinek sem kell bemutatni, több, mint 4 éve velünk él és valamilyen formában mindenki találkozik vele. Azt talán már kevesebben tudják, hogy az EU-ban jelenleg több olyan jogszabály előkészítése vagy éppen elfogadása is terítéken van, amelyek az adatvédelemhez, információbiztonsághoz, illetve a mesterséges intelligenciához kapcsolódnak, egy-egy jól megfogalmazott stratégia részeként. Ebben a rendszerben kiemelt szerepet kap a kiberbiztonság, a Európai Bizottság megfogalmazása szerint ugyanis a 2020-2030 közötti időszak “Európa digitális évtizede”. Az egységes, uniós szabályozás megteremtését több állásfoglalás, irányelv és rendelet fogja segíteni.



A közeli és távoli jövőben megjelenő új jogszabályok közül az egyik a&nbsp;Digital Operational Resilience Act, azaz a digitális működési rezilienciáról szóló rendelet (röviden: DORA), amelynek célja, hogy a pénzügyi szervezetek számára az információs és kommunikációs technológiák (IKT) használatára vonatkozóan közös szabályokat írjon elő. Ezt a rendeletet ugyan még nem fogadták el, de 2022. május 10-én ideiglenes megállapodással az előzetes tárgyalások lezárultak és várhatóan idén elfogadásra is kerül. A beterjesztett rendelet tervezet szövegében már csak pontosítások várhatóak a különböző határidők tekintetében.



Ha egyszerűen akarjuk értelmezni, akkor azt mondhatjuk, hogy a DORA a pénzügyi szervezetekre fog vonatkozni – ami igaz is meg nem is. Ugyanis a rendelet tervezet 20 pontban, tételesen felsorolja, mit kell pénzügyi szervezet alatt érteni, de a jogszabályt kiterjeszti a harmadik félnek minősülő IKT szolgáltatókra is. Ezek alatt a digitális és adatszolgáltatást nyújtó vállalkozásokat (pl. felhőszolgáltató, szoftverszolgáltató, adatközpont) kell érteni, akik szerződéses kapcsolatban állnak a pénzügyi szervezettel. Ezáltal egy jóval nagyobb kört von be, akiknek meg kell felelnie a rendeletnek. (A témához tartozó következő részben részletesebben is foglalkozunk a DORA alanyaival.)



A DORA tervezet főbb területei a következők:



a)&nbsp;IKT kockázatkezelés: A pénzügyi szervezeteknek átfogó és jól dokumentált IKT kockázatkezelési keretrendszerrel kell rendelkezniük. b)&nbsp;IKT vonatkozású biztonsági események kezelése, osztályozása, bejelentése: A pénzügyi szervezeteknek a biztonsági eseményeket osztályozni kell és a jelentős IKT vonatkozású biztonsági eseményeket az adatvédelmi incidensekhez hasonlóan, az illetékes hatóságnak be kell majd jelenteni. c)&nbsp;Digitális működési reziliencia tesztelése: A pénzügyi szervezeteknek legalább évente tesztelniük kell valamennyi kulcsfontosságú IKT rendszerüket és alkalmazásukat, illetve legalább 3 évente behatolási teszteket kell végrehajtani. d)&nbsp;Harmadik féltől eredő IKT kockázat kezelése: A külső IKT szolgáltatókra is stratégiát kell alkotni, illetve bevezetésre kerül a kulcsfontosságú IKT szolgáltató megnevezés, akire külön szabályok vonatkoznak majd. e)&nbsp;Információmegosztásra vonatkozó megállapodások: A pénzügyi szervezetek, egymás közötti megállapodások alapján megoszthatják egymás között az információkat.



Azon pénzügyi szervezetek számára, ahol eddig is működött valamilyen információbiztonsági rendszer és kockázatelemzés, ott nem lesz akkora újdonság a DORA bevezetése, bár tény, hogy tennivaló így is lesz bőven. Ettől függetlenül a felkészülést el kell kezdeni, most még időben vagyunk. (A sorozat következő részeiben a DORA egy-egy részével vagy újdonságával foglalkozunk részletesebben.)

DORA RENDELET: MI AZ A DORA? (1. RÉSZ)

1988 óta hívjuk fel a figyelmet ezen a napon (november 30.) arra, hogy a számítógépeken&nbsp;potencionális&nbsp;biztonsági rések lehetnek és fontos, hogy meg tudjuk őket védeni a behatolásokkal szemben. A cél, hogy&nbsp;minél jobban védjük&nbsp;a&nbsp;számítógépeinken&nbsp;tárolt információinkat&nbsp;és a személyes adatainkat.&nbsp;



Az első otthoni számítógép megjelenése óta drámaian megváltozott a használatuk. Ma már e-mailen és közösségi oldalakon keresztül tartjuk a kapcsolatot barátainkkal és ismerőseinkkel, online kezeljük pénzügyeinket és az utóbbi években egyre többen dolgozunk otthonról (is).&nbsp;



Értelemszerűen&nbsp;tehát nekünk, mint felhasználóknak mindent meg kell tennünk azért, hogy ezeket a gépeket biztonságban tartsuk. Némelyikük egy életre elegendő adatot tárol. Értékes és pótolhatatlan fényképek, naplók, regények,&nbsp;és nem mellesleg nagyon szenzitív&nbsp;jelszavakat tárolnak.&nbsp;&nbsp;



Személyazonosság-lopások, csalások, zsarolóprogramok és vírusok folyamatosan támadják a számítógépeinket. A rosszindulatú felhasználók&nbsp;és programok&nbsp;a legsebezhetőbb láncszemeket keresik.&nbsp;&nbsp;



<figure class="wp-block-image"><img decoding="async" src="https://static.fortix.hu/app/uploads/2022/11/posztok-masolata-1200-%C3%97-630-keppont-5.png" alt="" title="személyes adatok védelme"/></figure>



Az első otthoni számítógép megjelenése óta drámaian megváltozott a használatuk. Ma már e-mailen és közösségi oldalakon keresztül tartjuk a kapcsolatot barátainkkal és ismerőseinkkel, online kezeljük pénzügyeinket és az utóbbi években egyre többen dolgozunk otthonról (is).



Értelemszerűen tehát nekünk, mint felhasználóknak mindent meg kell tennünk azért, hogy ezeket a gépeket biztonságban tartsuk. Némelyikük egy életre elegendő adatot tárol. Értékes és pótolhatatlan fényképek, naplók, regények, és nem mellesleg nagyon szenzitív jelszavakat tárolnak.



Személyazonosság-lopások, csalások, zsarolóprogramok és vírusok folyamatosan támadják a számítógépeinket. A rosszindulatú felhasználók és programok a legsebezhetőbb láncszemeket keresik.



<h2 class="wp-block-heading">14 TIPP, HOGY HOGYAN VÉDJÜK SZEMÉLYES ADATAINKAT&nbsp;</h2>



A Számítógépes biztonság napja tökéletes emlékeztetőt nyújt erre.&nbsp;&nbsp;



Fontos, hogy rendszeresen felülvizsgáljuk számítógépünk&nbsp;biztonságát. Az alábbi ellenőrző listát bárki használhatja erre.&nbsp;&nbsp;



<ul>
<li>Engedélyezzük&nbsp;a Windows (vagy egyéb operációs rendszer) frissítését&nbsp;</li>



<li>Telepítsük és futtassuk folyamatosan a vírusirtó szoftvert,&nbsp;legyen naprakész a frissítése&nbsp;</li>



<li>Kapcsoljuk be a tűzfalat&nbsp;</li>



<li>Tartsuk naprakészen az összes szoftvert&nbsp;&nbsp;</li>



<li>Mindig használjunk erős jelszavakat&nbsp;</li>



<li>Ne osszuk meg a jelszavakat senkivel, és&nbsp;soha ne&nbsp;írjuk le őket</li>



<li>Használjunk kétlépcsős azonosítást, ahol csak lehet&nbsp;</li>



<li>Rendszeresen távolítsuk el a nem használt programokat&nbsp;</li>



<li>Legyen biztonsági mentés a kritikus adatokról</li>



<li>Legyünk óvatosak az internetes böngészés során&nbsp;</li>



<li>Vizsgáljuk felül a közösségi média profiljaink biztonsági beállításait&nbsp;</li>



<li>Jelentkezzünk ki a számítógépről, amikor nem használjuk&nbsp;</li>



<li>Ne tároljuk a böngészőben a jelszavainkat, helyettük használjunk jelszókezelő eszközöket, pl. RoboForm&nbsp;</li>



<li>Rendszeresen távolítsuk el az ideiglenes internetes fájlokat </li>
</ul>



<h2 class="wp-block-heading">TIPPEK BIZTONSÁGOS JELSZAVAK LÉTREHOZÁSÁHOZ&nbsp;</h2>



<ul>
<li>Minimum 11 karakter&nbsp;</li>



<li>Legalább egy szám&nbsp;</li>



<li>Kis és nagybetűk&nbsp;</li>



<li>Legalább egy szimbólum&nbsp;</li>



<li>Értelmes szavakat ne tartalmazzon</li>



<li>Ez a kombináció segít a biztonságos jelszó létrehozásában </li>
</ul>


<div class="wp-block-image">
<figure class="aligncenter"><img decoding="async" src="https://static.fortix.hu/app/uploads/2022/11/biztonsagos_jelszo_2022.png" alt="biztonságos jelszó beállítások" class="wp-image-14018" title="biztonsagos_jelszo_2022"/></figure></div>


Források:



<a href="https://www.penzcentrum.hu/naptar/11-30/szamitogep-biztonsag-nap">https://www.penzcentrum.hu/naptar/11-30/szamitogep-biztonsag-nap</a>



<a href="https://nationaldaycalendar.com/computer-security-day-november-30/">https://nationaldaycalendar.com/computer-security-day-november-30/</a>



<a href="https://www.hivesystems.io/blog/are-your-passwords-in-the-green">https://www.hivesystems.io/blog/are-your-passwords-in-the-green</a>

HOGYAN VÉDJÜK SZEMÉLYES ADATAINKAT?

Globális szinten 11 másodpercenként zsarolóvírus-támadás ér egy szervezetet, és a kiberbűnözés által okozott becsült éves kár 2021-ben elérte az&nbsp;<a href="https://publications.jrc.ec.europa.eu/repository/handle/JRC121051">5,5 billió eurót</a>, a kiberbiztonság erősítése és a digitális termékek sebezhetőségének csökkentése fontosabb, mint valaha.



Éppen ezért&nbsp;az Európai Bizottság 2022. szeptember 15-én javaslatot terjesztett elő&nbsp;egy, a kiberrezilienciáról szóló új jogszabályra azzal a céllal, hogy megóvja a fogyasztókat és a vállalkozásokat a nem megfelelő biztonsági funkciókkal rendelkező termékek veszélyeitől. Ez az első ilyen jellegű uniós szintű jogszabály, mely kötelező kiberbiztonsági követelményeket vezet be a digitális elemeket tartalmazó termékekre vonatkozóan, mely követelményeket a termékeknek a teljes életciklusuk alatt teljesíteniük kell.



A Bizottság elnöke,&nbsp;Ursula&nbsp;von der Leyen&nbsp;által 2021 szeptemberében,&nbsp;<a href="https://ec.europa.eu/info/strategy/strategic-planning/state-union-addresses/state-union-2021_hu">az Európai Unió helyzetéről szóló beszédben</a>&nbsp;említett, illetőleg&nbsp;<a href="https://digital-strategy.ec.europa.eu/en/policies/cybersecurity-strategy">a digitális évtizedre vonatkozó 2020. évi uniós kiberbiztonsági stratégiára</a>&nbsp;és&nbsp;<a href="https://eur-lex.europa.eu/legal-content/HU/TXT/PDF/?uri=CELEX:52020DC0605&amp;from=EN">a biztonsági unióra vonatkozó 2020. évi uniós stratégiára</a>&nbsp;épülő jogi aktus biztosítani fogja, hogy a digitális termékek – például a vezeték nélküli és vezetékes termékek és szoftverek – Unió-szerte biztonságosabbá váljanak a fogyasztók számára: az új javaslat növeli a gyártók felelősségét, mivel előírja, hogy az azonosított sebezhetőségek kezelése érdekében kötelező biztonsági támogatást és szoftverfrissítéseket biztosítani, továbbá lehetővé teszi a fogyasztók számára, hogy hozzáférjenek a kellő információkhoz az általuk vásárolt és használt termékek kiberbiztonságáról.



Margarítisz&nbsp;Szhinász, az európai életmód előmozdításáért felelős alelnök a következőket tette hozzá:&nbsp;„A kiberrezilienciáról szóló jogszabály az Unió válasza a modern biztonsági fenyegetésekre, melyek mára digitális társadalmunkban mindenütt jelen vannak. A kritikus infrastruktúrára, a kiberbiztonsági felkészültségre és reagálási képességre, valamint a kiberbiztonsági termékek tanúsítására vonatkozó szabályok létrehozása révén az EU úttörő szerepet vállalt a kiberbiztonsági ökoszisztéma létrehozásában. Ma egy olyan törvénnyel tesszük teljessé ezt az ökoszisztémát, amely fokozza a biztonságot otthonainkban és a vállalkozásainkban, továbbá megbízhatóbbá tesz minden összekapcsolt terméket. A kiberbiztonság már nem csak az ipart érinti, hanem a társadalom számára is fontos kérdés.”



A ma javasolt intézkedések a termékekre vonatkozó uniós jogszabályok&nbsp;<a href="https://single-market-economy.ec.europa.eu/single-market/goods/new-legislative-framework_en">új jogszabályi keretén</a>&nbsp;alapulnak, és&nbsp;a következőket foglalják magukban:



<ol>
<li>a) a digitális elemeket tartalmazó termékek forgalomba hozatalára vonatkozó szabályok, melyek e termékek kiberbiztonságát hivatottak biztosítani;</li>



<li>b) a digitális elemeket tartalmazó termékek tervezésére, fejlesztésére és gyártására vonatkozó alapvető követelmények, valamint a gazdasági szereplők e termékekkel kapcsolatos kötelezettségei;</li>



<li>c) a digitális alkotóelemeket tartalmazó termékek teljes életcikluson átívelő kiberbiztonságának garantálása érdekében alapvető követelmények&nbsp;a biztonsági rések kezelésére irányuló,&nbsp;gyártók által alkalmazott&nbsp;folyamatokra, továbbá kötelezettségek e folyamatokkal kapcsolatban a gazdasági szereplőkre nézve. A gyártóknak továbbá jelentést kell tenniük a kihasznált biztonsági résekről és a kiberbiztonsági eseményekről;</li>



<li>d) a piacfelügyeletre és a végrehajtásra vonatkozó szabályok.</li>
</ol>



Az új szabályok nagyobb felelősséget helyeznek a gyártókra, akiknek biztosítaniuk kell, hogy az uniós piacon forgalmazott, digitális elemeket tartalmazó termékeik megfeleljenek a vonatkozó biztonsági követelményeknek. Következősképpen a fogyasztók és a polgárok, valamint a digitális termékeket használó vállalkozások javát szolgálják azáltal, hogy javítják a digitális elemeket tartalmazó termékek biztonsági jellemzőinek átláthatóságát és előmozdítják az azokba vetett bizalmat, valamint biztosítják az alapvető jogok, például a magánélet jobb védelmét, valamint a jobb adatvédelmet.



A következő lépések



Most az Európai Parlamenten és a Tanácson a sor, hogy megvizsgálja a kiberrezilienciáról szóló jogszabálytervezet. Elfogadását követően a gazdasági szereplőknek és a tagállamoknak két év áll majd rendelkezésére, hogy alkalmazkodjanak az új követelményekhez.



Források:



<figure class="wp-block-embed"><div class="wp-block-embed__wrapper">
https://ec.europa.eu/commission/presscorner/detail/hu/IP_22_5374
</div></figure>



<figure class="wp-block-embed"><div class="wp-block-embed__wrapper">
https://ec.europa.eu/info/strategy/strategic-planning/state-union-addresses/state-union-2021_hu
</div></figure>



<figure class="wp-block-embed"><div class="wp-block-embed__wrapper">
https://joint-research-centre.ec.europa.eu/crosscutting-activities/facts4eufuture-series-reports-future-europe/cybersecurity-our-digital-anchor-european-perspective_en
</div></figure>



<figure class="wp-block-embed"><div class="wp-block-embed__wrapper">
https://single-market-economy.ec.europa.eu/single-market/goods/new-legislative-framework_en
</div></figure>

EGY LÉPÉSSEL KÖZELEBB A KIBERBIZTONSÁG FELÉ AZ ÚJ UNIÓS SZABÁLYOKNAK KÖSZÖNHETŐEN

A PÉNZÜGYILEG LEGMEGBÍZHATÓBB CÉGEK KÖZÖTT A FORTIX



FORTIX Consulting Kft. pénzügyi megbízhatóság szempontjából megszerezte az “A” minősítést, ami azt jelenti, hogy az üzleti élet egyik legmegbízhatóbb szereplője, a vele való üzleti kapcsolat kialakítása rendkívül alacsony pénzügyi kockázatot jelent.



Az OPTEN Kft. kockázati besorolása közgazdászok által elismert cégminősítési módszertanon alapul, melyet a magyar piac sajátosságait és a legfrissebb pénzügyi adatok mellett a cégjegyzéki és a különböző pozitív-negatív információkat (pl. köztartozásmentes adózó, végrehajtás) is figyelembe véve alakítottak ki.



A modell ezáltal több száz változó alapján a főtevékenységet is figyelembe véve rangsorolja a cégeket korszerű adatbányászati algoritmusok használatával.



A most megszerzett „A” minősítéssel a magyarországi cégek csupán 13%-a rendelkezik.


<div class="wp-block-image">
<figure class="aligncenter"><img decoding="async" src="https://static.fortix.hu/app/uploads/2023/07/Opten_2023_FORTIX.png" alt="" class="wp-image-16068" title="Opten_2023_FORTIX"/></figure></div>

OPTEN „A” MINŐSÍTÉS

A cikk megjelenésének szakmai támogatója a CyberCamp,  Magyarország első széles körben elérhető junior kiberbiztonsági szakember képzése, amelyben az etikus hackelés alapjai is megtanulhatók. <a href="https://www.fortix.hu/cybercamp-kiberbiztonsagi-kepzes/" target="_blank" rel="noreferrer noopener">www.cybercamp.hu</a>



<h5 class="wp-block-heading">KIK AZ ETIKUS HACKEREK, ÉS MIÉRT KELLENEK?</h5>



Bár az „etikus hacker” kifejezés sokakban romantikus, kalandos foglalkozás benyomását kelti, az etikus hackeléssel foglalkozók alapvetően információbiztonsági szakértők. Az etikus hackelés során belebújnak egy rosszindulatú támadó bőrébe, és hacker módszerekkel próbálnak minél több információt, majd jogosultságot szerezni egy rendszerben.



Kulcsfontosságú a munkájuk során, hogy a biztonsági vizsgálathoz minden esetben a megbízó írásbeli megrendelése szükséges. Minden vizsgálat esetében meg kell határozni a hatáskört, a vizsgálat időablakát. Valamint a vizsgálat befejeztével jelenteni kell a megbízó felé a feltárt sérülékenységeket, bizonyítékokat, és javaslatot kell adni a kitettség csökkentésére. Az etikus hackernek minden esetben szem előtt kell tartania a megismert adatok biztonságban tartását, és a szándékos károkozás elkerülését



Tudtad?



Az első nagyobb hackertámadás 1971-ben történt, amikor egy John Draper nevű vietnámi veterán rájött hogyan lehet ingyen telefonálni. Ezt később „Phreaking”-nek nevezték el.



<h5 class="wp-block-heading">KIK VOLTAK A HACKEREK, ÉS MIÉRT „ROSSZ” A HÍRÜK NAPJAINKBAN?</h5>



A „hacker” szó az angolszász „hack” (üt, vág, feldarabol) szóból ered, és eredetileg olyan személyt jelentett, aki vagy dolgokat kivág és feldarabol (jellemzően fát), vagy aki ehhez eszközöket, szerszámokat készít. Hackereknek hívták később, az 1960-as évektől már az olyan informatika szakembereket is, akik a szoftver / hardver készítés öröméért, szórakozásból végezték a munkájukat.



A hacker tevékenység negatív megítélése a Háborús játékok (1983.) c. mozifilm megjelenéséhez köthető. Ettől kezdve a köztudatban már nem csak segítő, mindent megjavító személyként gondoltak egy hackerre, hanem megjelent a „bűnözői” oldala is.



<h5 class="wp-block-heading">A HACKEREK 3 FAJTÁJA</h5>



Szakmai körökben sokszor vita tárgya, hogy vannak-e egyáltalán etikus hackerek, vagy „csak” hackernek hívunk minden olyan információbiztonsági szakértőt is, aki hacker módszerekkel vizsgál egy rendszert, mégis szükséges lehet valamilyen módon megkülönböztetni a rosszindulatú és megbízás alapján dolgozó hackereket.



Hogy megfelelően el tudjuk határolni az etikus hackereket, kénytelenek vagyunk megemlíteni a másik oldalt is. Vegyük át, hogy milyen hacker fajtákat különböztethetünk meg.


<div class="wp-block-image">
<figure class="aligncenter"><img decoding="async" src="https://static.fortix.hu/app/uploads/2022/07/Kep1-600x228.png" alt="Etikus hackelés vagy nem etikus hackelés?" class="wp-image-12231"/></figure></div>


Fehér kalapos hacker:&nbsp;ők a fentebb említett hackerek, nem szándékoznak kárt okozni a vizsgált rendszeren, és hivatalos megbízás alapján végzik a vizsgálatot, hogy megtalálják a szervezet sebezhetőségeit, feltárják azokat, és javaslatokat adjanak azok javítására. Ők tehát etikus hackeléssel foglalkoznak.



Fekete kalapos hacker:&nbsp;a fehér kalapos hackerek szöges ellentétei. Motivációjuk lehet adatszerzés, adatlopás, zsarolás, szándékos károkozás. Általában bűnözői csoportokban tevékenykednek, de közéjük sorolhatjuk a script kiddie-ket (általában tizenéves „műkedvelő” hackerek, akik többnyire nincsenek tudatában tevékenységük következményeivel) is.



Szürke kalapos hacker:&nbsp;a fehér és fekete kalapos hackerek kombinációja. Ők rossz szándék nélkül, azonban megbízás nélkül hackelnek. Ha sérülékenységet találnak, azt a rendszer üzemeltetőjének, tulajdonosának jelentik. Bár ők jószándékkal végeznek vizsgálatot, ne feledjük, hogy a rendszer tulajdonosa/üzemeltetője tudta nélkül, így gyakorlatilag az üzemeltető jószándékán múlik, hogy végül fekete, vagy fehér kalapos hackerként tekintenek rájuk. A megbízás nélküli hackelés, információgyűjtés büntetendő tevékenység, a Btk. szabályai vonatkoznak rá!



<h5 class="wp-block-heading">MILYEN PROBLÉMÁKAT LEHET AZ ETIKUS HACKERELÉS SORÁN FELTÁRNI?</h5>



A vizsgált informatikai rendszer biztonsági vizsgálata során az etikus hackerek célja a támadás szimulálása. Ilyenkor támadási pontokat keresnek. A kezdetekben a céljuk, a lehető legtöbb információ megszerzése a vizsgált rendszerről.



Miután elegendő információt gyűjtöttek az etikus hackelés során, az információkat felhasználva megpróbálják megtalálni a sebezhetőségeket a vizsgált rendszerben. Ezeket automatizált, és manuális vizsgálatok sorozatával végzik. Még a nagyon kifinomult, és jól konfigurált rendszerek is rendelkezhetnek olyan elemekkel, amiket ki lehet használni.



De nem állnak meg a sebezhetőségek megtalálásánál, akár ki is használhatják ezeket meglevő exploitok segítségével, hogy bebizonyítsák, mit tenne egy rosszindulatú támadó.



Ezt követően az etikus hackerek részletes jelentést készítenek. Ez a dokumentáció tartalmazza a felfedezett sebezhetőséget, azok kihasználásának a részleteit, valamint a javításukhoz szükséges lépéseket.



Összefoglalva, az etikus hackerek munkája nagyon összetett: át kell látniuk a vizsgált rendszert, és tisztában kell lenniük azzal, hogy mit és mit nem csinálhatnak egy adott rendszeren belül. Munkájuk igencsak fontos, hogy egy szervezet megelőzze az esetleges adatszivárgásokat, zsarolásokat, vagy hogy a rosszindulatú támadók ne tudjanak kárt okozni a rendszerben.



<h5 class="wp-block-heading">NÉHÁNY HÍRES ETIKUS HACKER</h5>



Joanna Rutkowska&nbsp;– kiberbiztonsági kutató, Lengyelországból származik, és az ő nevéhez fűződik a Qubes OS nevű operációs rendszer, amit a biztonságra összpontosítva hoztak létre. Rutkowska fő területe a lopakodó malwarek ismertebb nevükön a rootkitek. Igazán ismert 2006-ban lett, amikor a Black Hat Briefing konferencián az előadása során rávilágított a Windows Vista kernel sebezhetőségére.



Charlie Miller&nbsp;– munkáját tekintve leginkább az Apple termékek sebezhetőségeinek feltárásáról ismert. Legnevesebb munkáját a Pwn2Own versenyen érte el, ahol elsőként fedezett fel egy MacBook Air hibát, amiért 10.000 dolláros díjat kapott.



Kevin Mitnic&nbsp;– előtörténetét tekintve Kevin egy fekete kalapos hacker, aki utána fehér kalapos lett, és tanácsadónak állt. Fekete kalapos hacker tevékenysége közé tartozott a Digital Equipment Corporation biztonsági rendszerének feltörése, ahol a betörést követően lemásolta a talált szoftvereket. Miután bizonyította képességeit a világ előtt, 2000-ben tanácsadónak állt és a híresztelések szerint az FBI részéről is kapott megbízást.

ETIKUS HACKELÉS – MI FÁN TEREM? 

<h1 class="wp-block-heading">MINŐSÍTETT MINŐSÉG: ELISMERÉS A LEGKIVÁLÓBB MÁRKÁKNAK&nbsp;–</h1>



<h1 class="wp-block-heading">BUSINESS&nbsp;SUPERBRANDS&nbsp;DÍJAT NYERT A FORTIX&nbsp;</h1>



<figure class="wp-block-image"><img decoding="async" src="https://static.fortix.hu/app/uploads/2022/07/bsb_2022_1-scaled.jpg" alt="" class="wp-image-12184" title="bsb_2022_1"/></figure>



Idén tizenötödik alkalommal ült össze a jelenleg 20 tagú, független szakemberekből álló bizottság, amely a FORTIX-ot&nbsp;érdemesnek találta a Business&nbsp;Superbrands 2022 védjegy viselésére.&nbsp;



A Business Superbrands program, amely az üzleti szektor (B2B) márkáinak legkiválóbbjait emeli ki, azaz olyan magyarországi cégeket, illetve márkákat, amelyek nem elsősorban a fogyasztókkal, hanem vállalkozásokkal, szervezetekkel állnak kapcsolatban.&nbsp;



A Bisnode adatbázisa alapján, továbbá a jelentős hazai szakmai szervezetek és szövetségek ajánlásainak figyelembevételével létrejövő mintegy 4000 márkát tartalmazó lista pénzügyi és szakmai szűrést követően kerül a bizottság elé. Ebbe a listába éppúgy beletartoznak a legnagyobb nyereségű hazai cégek, mint – az egyes szektorok iparkamarái, egyesületei, szakmai szervezetei által javasolt – olyan kisebb vállalkozások, amelyek az üzleti élet kiválóságainak számítanak, valamint kiemelkedő a hazai kommunikációs és márkaépítési gyakorlatuk.&nbsp;



A Superbrandsről bővebben:&nbsp;<a href="http://www.hungary.superbrands.com/">www.hungary.superbrands.com</a>&nbsp;



Idén tizenötödik alkalommal ítélte oda a Superbrands Magyarország Szakértői Bizottsága a Business Superbrands díjakat.&nbsp;



A Business Superbrands a széles nagyközönség számára is ismert, a magas minőséget szimbolizáló védjegy, a nemzetközi program keretében a legkiválóbb üzleti márkák részesülnek díjazásban. A díj odaítéléséről egy többlépcsős előszűrést követően egy független, marketingszakmai és vállalatvezető szakemberekből álló bizottság dönt a minden évben.&nbsp;



Az elismerés irányt szab a fejlődésre törekvő piaci szereplők számára, és a hazai márkáknak példát mutat a sikeres márkaépítéshez.&nbsp;



A díj olyan pozitív visszajelzés a brandről, amely szakmai alapon emeli ki a legjobbakat. A díjat odaítélő bizottság az ágazat elismert szakembereiből áll, akik döntésükkel tanúsítják márkánk eddigi sikerességét és hitelességét. A jelölés kizárólag szakmai szempontok alapján történik, arra sem pályázni, sem jelentkezni nem lehet.&nbsp;



<figure class="wp-block-image"><img decoding="async" src="https://static.fortix.hu/app/uploads/2022/07/bsb_2022_2.jpg" alt="" class="wp-image-12186" title="bsb_2022_2"/></figure>

BUSINESS SUPERBRANDS DÍJAT NYERT A FORTIX 

A rövid válasz erre a kérdésre az, hogy bárkiből. Teljesen komolyan mondjuk ezt! És hogy mire alapozzuk? Több évtized tapasztalatára és a folyamatos tanulásra. Ma már a szakmaváltás teljesen elfogadott dolog, melyet motiválhat az újdonságok iránti vágy, de akár a szakmai hitelesség hiánya is.



Egyre többen válnak kiberbiztonsági szakértővé, kiknek elsődleges feladata, hogy figyelemmel kísérjék a szervezet által üzemeltetett rendszereket, folyamatokat, melyeket folyamatosan meg kell védeni. Ebben hatékony segítséget nyújtanak a szabványok és szakmai ajánlások, a sérülékenységek, így egy kiberbiztonsági szakember rengeteget olvas, fejlődik, tanul, igyekszik lépést tartani a folyamatos szervezeti modernizációval.



<h5 class="wp-block-heading">EDDIG ÉRDEKESNEK TARTOD? AKKOR OLVASD EL AZT A 4 LÉPÉST, AMELY SEGÍTHET TÉGED EZEN AZ ÚTON:</h5>



<ul>
<li>Képzések:&nbsp;mint minden munkakörhöz, ide is szükséges szakmai, formális képesítés, vagy képzés elvégzése. Mivel azonban a kiberbiztonsági szakértői munkakörök nagyon nagy skálát ölelnek fel, és a kiberbiztonsági szakértőnek is több szintje van, tudástól függően így akár már az elejétől fogva el lehet helyezkedni szakemberként.</li>



<li>Tanúsítványok:&nbsp;a különböző tanúsítványok (például: CISSP, CCSK stb..) megszerzése lehet a következő lépés, amely már komolyabb elhivatottságot mutat meg rólad.</li>
</ul>


<div class="wp-block-image">
<figure class="aligncenter"><img decoding="async" src="https://static.fortix.hu/app/uploads/2022/12/kibol_lehet_kiberbiztonsagi_szakerto-600x315.png" alt="Kiből lehet kiberbiztonsági szakértő?" class="wp-image-14152"/></figure></div>


<ul>
<li>Más informatikai területen szerzett tapasztalat:&nbsp;előnyt jelenthet, ha van már tapasztalatod informatikai területen, de nem feltétel. Egy&nbsp;IT&nbsp;Helpdesk-es munkakörben, vagy üzemeltetési területen szerzett pár éves tapasztalat&nbsp;előnyt jelenthet, mert már lehet egy átfogóbb képed, hogy hogyan működik egy vállalat informatikai infrastruktúrája.</li>



<li>Networking:&nbsp;számos kiberbiztonsági szervezet létezik, akik időközönként konferenciákat, előadásokat tartanak. Ezekre érdemes ellátogatni, mert megtudhatjuk, hogy melyik vállalatnak milyen szakemberre van szüksége, kiépíthetünk magunknak egy hálózatot a potenciális munkalehetőségekből, és emellett még nagyon érdekes szakmai előadásokon is részt vehetünk.</li>
</ul>



<h5 class="wp-block-heading">TÉNYEK ÉS TÉVHITEK</h5>



Tévhit&nbsp;azt mondani, hogy csak informatikusból lehet kiberbiztonsági szakértő. Természetesen jó, ha van egy informatikai affinitás hozzá, de nem feltétlen szükséges előképzettség. Legjobb, ha kettőt egyszerre tanuljuk és csináljuk, mert úgy magunkra tudjuk szedni az informatikai tudást és mellé a kiberbiztonsági szemléletet.



Tény, hogy ez egy tanulási folyamat, de alapvetően az informatikai területek mindegyike folyamatos tanulással jár, hiszen a technológia folyamatosan fejlődik, így nekünk is fejlődni kell vele. Mindig új sérülékenységeket fedeznek fel, így naprakésznek kell lennünk az aktuális trendekkel.



Bárkiből lehet kiberbiztonsági szakértő, aki szeret felfedezni, folyamatosan tanulni, nyomozni, problémákat megoldani és persze idővel tanítani az újabb nemzedéket.

KIBŐL LEHET KIBERBIZTONSÁGI SZAKÉRTŐ? TÉNYEK ÉS ÉRVEK!

A cikk megjelenésének szakmai támogatója a CyberCamp,&nbsp; Magyarország első széles körben elérhető junior kiberbiztonsági szakember képzése, amellyel visszaszorítható a kiberbűnözés. <a href="https://www.fortix.hu/cybercamp-kiberbiztonsagi-kepzes/" target="_blank" rel="noreferrer noopener">www.cybercamp.hu</a>



<h5 class="wp-block-heading">MI A KIBERBŰNÖZÉS ÉS HOGYAN LEHET MEGELŐZNI?</h5>



Kiberbűnözés alatt minden olyan bűncselekményt értünk, amely számítógépet, hálózati eszközt vagy hálózatot érint.



Amíg a legtöbb kiberbűncselekménynek a profitszerzés a célja, vannak olyanok, amit közvetlen számítógépek, rendszerek ellen hajtanak végre, és csak a károkozás a cél. Vannak olyan bűncselekmények, amik illegális információk, rosszindulatú programok vagy egyéb anyagok terjesztésére korlátozódnak. Ezek metszete, amikor egyszerre mindkettőt teszik – számítógépeket, rendszereket vesznek célba, hogy megfertőzzék azokat, amelyek ezután terjesztik tovább a rosszindulatú programokat, és akár egész hálózatokat megfertőznek.


<div class="wp-block-image">
<figure class="aligncenter"><img decoding="async" src="https://static.fortix.hu/app/uploads/2022/12/mi_a_kiberbunozes-600x315.png" alt="Mi a kiberbűnözés?" class="wp-image-14147"/></figure></div>


A kiberbűnözés és kiberbűncselekmények elsődleges célja pénzügyi hátterű. A kiberbűnözés számos különböző típusú nyereségorientált bűncselekményt foglal magában, ideértve a zsarolóprogmmal végrehajtott támadásokat, email vonatkozású támadásokat, személyazonossággal kapcsolatos csalásokat, bankszámla adatok és vagy hitelkártya adatok ellopására irányuló kísérleteket.



A kiberbűnözés továbbá egy magányszemély vagy vállalati adatok eltulajdonítását is magában foglalja, amelynek elsődleges célja a tovább értékesítés.



Az Egyesült Államok Igazságügyi Minisztériuma három kategóriába sorolta a kiberbűnözést. Azok a bűncselekmények:



<ol>
<li>Amelyek egy számítástechnikai eszközt vesznek célba, például hálózati hozzáférés megszerzése miatt.</li>



<li>Amelyek a számítástechnikai eszközt fegyverként használja, például szolgáltatás megtagadásos támadás (DDoS) kivitelezésére.</li>



<li>Ahol a számítástechnikai eszközt illegálisan megszerzett adatok tárolására használják.</li>
</ol>



<h5 class="wp-block-heading">HOGYAN ELŐZHETJÜK MEG A KIBERBŰNÖZÉST?</h5>



Pár alapvető lépést nézzünk meg, amik a kiberbűncselekmények megelőzésben, és ha a baj megtörtént akkor annak megfelelő lereagálásban részt vesznek.



<ol>
<li>Tiszta, világos irányelvek és eljárások kidolgozása az alkalmazottak számára;</li>



<li>A kiberbiztonsági incidensekre való megfelelő reagálási terv kidolgozása, és ezek támogatása;</li>



<li>Biztonságosan felépíteni egy vállalti informatikai infrastruktúrát, és az ezekre vonatkozó biztonsági intézkedések bevezetése és betartása;</li>



<li>Kétfaktoros hitelesítés használata a kritikus rendszereknél vagy alkalmazásoknál;</li>



<li>A pénzutalási kérelmek hitelességének ellenőrzése a pénzügyi vezetőnél, lehetőség szerint szóban;</li>



<li>Az alkalmazottak folyamatos kiberbiztonsági tudatosságának növelése képzések útján;</li>



<li>A vállalati rendszerek, alkalmazások folyamatos frissítése, és naprakészen tartása;</li>



<li>A kritikus rendszerek, alkalmazásokról, információkról készített biztonsági mentés, ami lehetőség szerint egy elszeparált hálózatan tartózkodik, így egy zsarolóprogram nem tud átterjedni a biztonsági mentésre.</li>
</ol>



Mint láthatjuk nem létezik olyan, hogy százszázalékos biztonság, de mindent meg kell tenni annak érdekében, hogy a bajt megelőzzük, és ha esetleg kibertámadás ér bennünket, a megfelelő reagálással csökkenteni tudjuk a károkat.

MI A KIBERBŰNÖZÉS ÉS HOGYAN LEHET MEGELŐZNI? 

Definíciója szerint a kiberbiztonság olyan technológiák, folyamatok, ellenőrzések összessége, amelyeknek a célja a rendszerek, hálózatok, programok, eszközök és adatok védelme a támadásoktól. Célja a támadások kockázatának csökkentése, és a rendszerek, hálózatok, technológiák kihasználása elleni védelem.



<h5 class="wp-block-heading">KIKNEK VAN SZÜKSÉGE KIBERBIZTONSÁGRA, ÉS MIÉRT FONTOS?</h5>



Mindenkinek szüksége van kiberbiztonságra, aki használ számítógépet, okostelefont, bármilyen eszközt, ami csatlakozik az internetre. De jelentősen szükség van a kiberbiztonságra vállalati környezetben. Az adatvédelmi jogszabályok (GPRR, DPA) jelentős bírságokat jelenthetnek az adatszivárgást elszenvedő szervezetek számára. Nem csak a pénzügyi költségeket kell figyelembe venni, hanem például a hírnévkárosodást. A kibertámadások egyre kifinomultabbak, és a támadók egyre többféle taktikát alkalmaznak. Vanson Bourne által gyűjtött adatok alapján, a világgazdaság évente több mint 1 trillió dollár veszteséget szenved el a kiberbűnözők miatt. A támadások lehetnek politikai, etikai és társadalmi ösztönzésűek is.



<h5 class="wp-block-heading">5 FAJTÁJA A KIBERBIZTONSÁGNAK</h5>



Kritikus infrastruktúra kiberbiztonság



A kritikus infrastruktúrák gyakrabban sérülékenyek a támadásokkal szemben, mivel az üzletmenet folytonosság és a 7/24-es üzemelés miatt gyakran régebbi szoftververziókra támaszkodnak. Ennek az az oka, hogy egy új frissítés nem várt kiesést okozhat a rendszerekben, így sokszor a kritikus infrastruktúra üzemeltetői akár hónapokat is várnak egy frissítés telepítésével, hogy a nem várt hibák kibukjanak, így ők már felkészülten tudják a későbbiekben telepíteni.



Hálózati biztonság



A hálózati biztonság magában foglalja a hálózati architektúrát érintő sebezhetőségek kezelését, beleértve a kiszolgálókat, tűzfalakat és vezeték nélküli hozzáférési pontokat, valamint a hálózati protokollokat.



Felhő biztonság



A felhőbiztonság az adatok, alkalmazások és az infrastruktúra védelmével foglalkozik, amelyek felhőben foglalnak helyet.



IoT (okoseszközök) biztonsága



Az IoT biztonság magában foglalja azoknak az okoseszközöknek a biztonságát, amik az internethez kapcsolódnak. Az IoT-eszközök közé tartoznak azok az eszközök, amelyek emberi beavatkozás nélkül csatlakoznak az internethez, mint például az intelligens tűzjelzők, lámpák, termosztátok és más készülékek.



Alkalmazás biztonság



Az alkalmazás biztonság magában foglalja a szoftver vagy weboldal tervezése és készítése során a nem biztonságos fejlesztési folyamatokból eredő sebezhetőségek kezelését.



<h5 class="wp-block-heading">KIBERTÁMADÁSOK FAJTÁJI</h5>



Rosszindulatú programok (malware)



Több, különböző kártékony program összefoglaló neve. A malware az angol malicious software, azaz rosszindulatú, kártékony szoftver rövidítése. Ebbe a kategóriába tartozik például a számítógépes vírus, a zsarolóprogram, a kémprogram vagy a trójai program.



Kémprogramok



A kémprogram olyan rosszindulatú program, aminek célja, hogy a megfertőzött számítógépekről, mobiltelefonokról titokban megszerezzen bizalmas adatokat.



Zsarolóprogramok (ransomware)



A zsarolóprogramok célja megfertőzni, ellopni felhasználók informatikai eszközein tárolt adatokat, amelyeket csak váltságdíj megfizetése esetén tesz újra elérhetővé a támadó.



Botnetek



A botnet egy fertőzött informatikai eszközökből álló hálózat, amelyet a botnet gazdája többféle károkozásra is alkalmazhat. A fertőzött munkaállomások felhasználásának célja főképp kéretlen levelek kiküldése, szolgáltatás megtagadást okozó támadások (Denial-of-Service ─ DoS) indítása, vagy éppen szenzitív (például banki) adatok eltulajdonítása.



Adathalászat



A felhasználók átejtése, megtévesztő emailek vagy weboldalak használatával személy vagy bizalmas adatokat csalnak ki a felhasználótól, amit jogellenesen felhasználnak a támadók.



Szolgáltatásmegtagadás (DDoS)



A támadó nagy mennyiségű forgalommal áraszt el egy hálózatot vagy szervert azzal a céllal, hogy annak működését ellehetetlenítse. Az ilyen támadásokat leginkább arra használják, hogy bizonyos weboldalakat vagy alkalmazásokat napokra, vagy akár még tovább is működésképtelenné tegyenek.



<figure class="wp-block-image"><img decoding="async" src="https://static.fortix.hu/app/uploads/2022/07/cybersecurity-vs-information-security-illustration.jpg" alt="mi a kiberbiztonság? illusztrációs kép" class="wp-image-12260" title="kiberbiztonság"/></figure>



Szerző: Szalka Marcell

MI A KIBERBIZTONSÁG?

Minden évben nyárindító fesztivál a gyereknap, mely során&nbsp;rengeteg programmal készülnek faluban s városban egyaránt. A szülőknek sokszor segítség a sok esemény, amely varázslatos vidámsággal kényezteti gyermekét és végre nem tévét, számítógépet vagy éppen tabletet néznek a kölykök, hanem viháncolhatnak a szabadban.&nbsp;&nbsp;



Modern világunkban egyre gyakoribb a virtuális világban való lét, sőt a mai kor gyermekének annyira természetes már, mint görögdinnyét enni télvíz idején. A technológia fejlődés folyamatos, sok hasznos, életmentő és könnyítő találmánnyal, de sajnos életeket tönkre is tehető bűnözői tevékenységekkel is.&nbsp;&nbsp;



Adatvédelmileg gyermekeink (kiskorú gyermek adatai különösen) személyes adatainak kiemelt védelme a mi feladatunk: Szülőké. Online, illetve személyes jelenlétet igénylő játékok, rendezvények, egyéb események alkalmával, ha gyermekünk személyes adatainak kezelésére kerül sor (fokozottan védendő), mindig kérjünk a szervezőtől, rendezőtől hozzájárulást az adatkezeléshez. Ebben az esetben a gyermek személyes adatai csak hozzájárulásunkkal és az abban szereplő célból használható. Hozzájárulásunk önkéntes, de fontos tudni, hogy érintettként azt bármikor visszavonhatjuk.&nbsp; &nbsp; Személyes jelenlétet igénylő események kapcsán mindig győződjünk meg róla, hogy az eseményen készül(het) kép, képmás és videó, amely alapján gyermekünk beazonosítható. Ezen anyagokat szintén csak hozzájárulásunkkal használhatják fel marketing és PR célokra.&nbsp;



Az online játékok világa még a legszigorúbb szülők idegeit is próbára teszi, hiszen a gyermekek egymástól látják, hallják ezen programok létezését. Míg korábban felnőtteknek szóló számítógépes játékok lepték el a piacot, ma már óvodásoknak szóló rettenetes mennyiségű applikáció tölthető le. A leggyakoribb kérdés ilyenkor a felnőttekben: Melyik program a biztonságos? Mit szabad letölteni? Hol kapok erre biztos választ?&nbsp;



Az online játékok esetében magyarázzuk el gyermekünknek, hogy csak biztonságos kapcsolaton keresztül használja azokat, a sütik (cookiek) esetében csak a legszükségesebbeket fogadja el, ne az összeset. A sütik is gyűjtenek személyes adatokat üzleti célra. Legyünk tisztában mi és gyermekünk is, hogy a számítógép használatakor a gép IP címe (Internet-Protocol), ami egy hálózati azonosító tárolásra, mentésre kerül. Az IP cím pedig adatvédelmileg személyes adatként kezelendő.&nbsp;



Az online játékok világa még a legszigorúbb szülők idegeit is próbára teszi, hiszen a gyermekek egymástól látják, hallják ezen programok létezését. Míg korábban felnőtteknek szóló számítógépes játékok lepték el a piacot, ma már óvodásoknak szóló rettenetes mennyiségű applikáció tölthető le. A leggyakoribb kérdés ilyenkor a felnőttekben: Melyik program a biztonságos? Mit szabad letölteni? Hol kapok erre biztos választ?&nbsp;&nbsp;



Minden alkalmazás esetén egyedi döntést kell hozni, azonban néhány adatvédelmi szabály betartásával és gyermekeink tudatosításával már sokat tehetünk a biztonságos internethasználatért.&nbsp;



<ul>
<li>Mindig hiteles forrásból származó online alkalmazást töltsünk csak le&nbsp;</li>



<li>Használjuk a szülő felügyeletet, ne engedjünk gyermekünknek letölteni semmit&nbsp;</li>



<li>Érdemes felhívni a gyermek figyelmét a licenszelt applikációk használatára a kalózverziókkal szemben, hiszen néhány cégnek, embernek ez az élete munkáját is jelentheti, amihez az applikáció megvásárlásával hozzájárulhatunk&nbsp;</li>



<li>A letöltéshez külön google/apple fiókot használjunk, ne azt, amit pl. a saját levelezésünkhöz használunk.&nbsp;</li>



<li>Mindig ellenőrizzük, hogy mihez kér az alkalmazás engedélyt, hozzáférést (kamera, mikrofon, galéria, címjegyzék, névjegyek, telefon, stb.), és ha „józan paraszti ésszel” nem tartjuk ezt a játék/alkalmazás szempontjából szükségesnek, inkább ne töltsük le, keressünk másikat.&nbsp;</li>



<li>Ha fiók létrehozását kéri&nbsp;az alkalmazás, regisztráció, belépés után, ellenőrizzük a biztonsági beállításait. Amennyiben lehetőség van rá, rejtett/titkos fiókot állítsunk be, és ne legyen lehetősége „bárkinek” felvenni a kapcsolatot a gyermekkel.&nbsp;</li>
</ul>



Gyerekünket nem tilthatjuk le az online játékok használatától, viszont mindent meg kell tennünk szülőként, hogy megtanítsuk a tudatos internethasználatra.&nbsp;



Amennyiben információbiztonsági tanácsadásra van szüksége a szervezetében, bátran keressen bennünket a Kapcsolat menüpontra kattintva vagy&nbsp;<a href="https://www.fortix.hu/kapcsolat">IDE</a>.



<figure class="wp-block-image"><img decoding="async" src="https://static.fortix.hu/app/uploads/2022/05/Nevtelen-terv-11.png" alt="adatvédelem gyerekek" class="wp-image-11986" title="adatvédelem gyerekek"/></figure>

GYEREKNAP ADATVÉDELMI SZEMPONTBÓL

Bármelyik szervezet esetében felmerülhet a kérdés, akár van képviselve az információbiztonság, akár kialakítás előtt áll, hogy az milyen formában tud jól működni a vállalatnál.&nbsp;Ha az információbiztonságért felelős vezető vagy szakember a szervezetben nem a megfelelő pozícióban van, akkor sérül a biztonság érvényesülése, mint kiemelt szempont.&nbsp;Így a cég vezetése adott esetben, nem ismerve a teljes kockázati képet, rossz döntéseket hozhat.



Minden szervezet egyre inkább informatikai rendszerekre építi működését, az új trendek, az automatizálás, a felhős megoldások használata esetén ez különösen igaz. Ha cég működése alapvetően az információtechnológiára épül, a támadások valószínűsége nagyobb, és akár végzetes következményei lehetnek egy-egy incidensnek, mivel a kibertámadások egyre olcsóbban és nagyobb hatással kivitelezhetőek.&nbsp;Mindemellett az információbiztonság nem csak technológiai kérdés, megfelelő szervezeti elkötelezettség és támogatás nélkül a hatékonysága a kockázatok kezelésében szűk fókuszú és reaktiv lesz.



Amennyiben nincs az információbiztonsági vezetőnek/felelősnek a lehető legjobb szervezeti rálátása a legmagasabb üzleti prioritásokra, nincs közvetlen kapcsolódása a legfelsőbb vezetéshez, akkor szintén a biztonsági szempontok érvényesítése nagy mértékben sérülhet. Ez középtávon a teljes cég szempontjából&nbsp;nem megfelelően pozicionált és kezelt kockázatok miatt nagységrendileg nagyobb pénzügyi hatású incidensek, reputációs veszteségek, akár bírságok keletkezhetnek.



Az információbiztonsági vezető/felelős a teljes szervezet biztonságát hivatott szem előtt tartani, és ha egy adott funkcionális terület alatt van (pl. IT, üzemeltetés), akkor annak a területnek a vezetőjével érdekellentét állhat fent (rövid távú költségcsökkentés hosszú távon drága lehet), ami hátráltatja a valós kockázatok tényleges feltárását és kezelését. Az információbiztonság megfelelő pozíció híján maximum utólagos hibáztatásra lesz alkalmas, nem pedig hatásos közreműködésre.



A biztonság a szervezet dolgozói és az ügyfelek felé vállalt hatalmas felelősség, amelynek tudatában kell lennie mind a felső vezetésnek, mind az összes dolgozónak.&nbsp;Az információbiztonsági vezető/felelős szervezeti pozíciója azt mutatja meg házon belül is kívül is, hogy a szervezet mennyire gondolja komolyan a biztonságot.&nbsp;A megfelelő pozíció híján patthelyzetek alakulnak ki, adott esetben a rövidtávú üzleti érdekekkel még ütköztetni sem sikerül a biztonsági megfontolásokat (nem egy ligában játszik a biztonság az üzlettel), ami visszaüt, nem mellesleg elvesztegetett pénzbe és időbe kerül a cégnek, a nem kezelt hiányosságok incidenshez vezetnek.



A nemzeti létfontosságú rendszerek esetében a 2013. L törvény írja le az információs rendszer információbiztonságáért felelős (IBF) személlyel kapcsolatos elvárásokat, a szervezeti hierachiára vonatkozóan is megemlíti: „13. § (1)&nbsp;Az elektronikus információs rendszer biztonságáért felelős személy feladata ellátása során a szervezet vezetőjének közvetlenül adhat tájékoztatást, jelentést…„



A feltételes módban való fogalmazás ugyan nem jelent kötelezettséget, illetve józan gondolkodás alapján tudjuk csak értelmezni, hogy&nbsp;olyan hierarchia kialakítása célszerű, amelyben elkerülhető, hogy az IBF ellenőrzése alá vont területek vezetői utasítási jogkörrel rendelkezzenek felette.&nbsp;Ezen értelmezés „AZ IBTV. GYAKORLATA – Éves továbbképzés az elektronikus információs rendszer biztonságáért felelős személy számára 2020” rendezvény anyagában található meg. Szerzők: BÓDI ANTAL – JERABEK GYÖRGY – KRASZNAY CSABA – TÓTH KORNÉL



Jógyakorlatként&nbsp;külső megbízással is lehet foglalkoztatni&nbsp;megfelelő kompetenciával bíró személyt IBF-ként. Gyakran választanak nagyobb szervezetek is külsős IBF-et&nbsp;a megfelelő kompetencia miatt, illetve mert a saját képzési és járulékos költségek magasak. Továbbá a szervezeten kívül&nbsp;jobb rálátással rendelkezhet, pártatlansága és függetlensége is könnyebben biztosítható.



Szerző: Panyi Zsolt

HOL VAN AZ INFORMÁCIÓBIZTONSÁG HELYE A SZERVEZETBEN?

A jelszavak története már az ősidőkre is visszanyúl, amikor a kapuban álló őrök csak azt a személyt engedték be, aki a jelszó birtokában volt, és így tudta azonosítani magát, és hitelesíteni belépési jogosultságát.&nbsp;



A jelszavak (más néven kulcsszó), egy jelsorból álló kifejezés, amit azonosításhoz, hitelesítéshez használunk. Ennek hitelessége addig tartható fent, amíg a jelszó titokban marad. Ezért kiemelten fontos az erős jelszavak használata, illetve azoknak megfelelő tárolása. Kerülnünk kell a jelszavak többszöri felhasználását, tehát ne használjunk egy jelszót mindenhova, és időközönként érdemes megváltoztatni a jelszavakat.&nbsp;



7 jelszó, amit semmiképpen nem javasolt használni:&nbsp;



<ul>
<li>Csak számokból álló jelszó&nbsp;</li>



<li>például „0123456789”&nbsp;</li>



<li>Csak betűkből álló jelszó&nbsp;</li>



<li>például „abcdefgh”&nbsp;</li>
</ul>



<ul>
<li>Ami tartalmazza az „admin”, „password” szót&nbsp;</li>



<li>Ami tartalmazza a nevedet, születési dátumodat&nbsp;</li>



<li>például „KissJózsef1989”&nbsp;</li>



<li>Ami tartalmazza a lakhelyedet&nbsp;</li>



<li>pedálul „Nagytartcsa2142”&nbsp;</li>



<li>Ami tartalmazza a háziállatod nevét&nbsp;</li>



<li>például „Buksi1992”&nbsp;</li>



<li>Ami tartalmazza a kedvenc csapatod nevét&nbsp;</li>



<li>például „RealMadrid1234”&nbsp;</li>
</ul>



Sose használjunk a jelszóban olyan kifejezéseket, számokat, amik publikusan elérhetőek rólunk a közösségi média oldalakon. Ne tartalmazza a nevedet, születési dátumodat, a kedvenc csapatod nevét, lakhelyedet, kisállatod nevét. Ezeket az információkat könnyen össze lehet gyűjteni az interneten.&nbsp;



Egy jelszó akkor erős, ha minél több karaktert tartalmaz, kis és nagybetűket, számokat és lehetőség szerint speciális karaktereket. Például egy erős jelszónak számít a „D*HbtA&amp;5%Fl#qB4G”. Ha egy jelszót használunk minden felhasználói fiókunkhoz, és egy adatszivárgás folytán kikerült az emailcím jelszó párosunk, akkor a támadók egyből megpróbáljak az emailcím fiókunkat is ellopni, és ha ugyanazt a jelszót használtuk oda is, akkor rögtön támadók kezében van az emailcímünk is, amivel valószínűleg mindenhova felregisztráltunk. Használjunk erős jelszót, cseréljük le időnként, és minden felhasználói fiókunkhoz másik jelszót használjunk. Ennyi jelszót szinte lehetetlen fejben tartani, ennek okán érdemes jelszókezelő alkalmazást használni, ahol titkosítva le tudjuk tárolni a jelszavainkat, és csak egy mester jelszót kell észben tartanunk. Tovább tudjuk növelni a felszanálói fiókok biztonságát, ha többfaktoros azonosítást is állítunk be.Oldaltörés&nbsp;



A következő táblázatban láthatjuk, hogy a karakterek száma, kis és nagybetűk, számok, és speciális karakterek függvényében mennyi idő alatt tudnák feltörni a jelszavainkat:&nbsp;



<figure class="wp-block-image"><img decoding="async" src="https://static.fortix.hu/app/uploads/2022/05/Az-ISOIEC-270022022-ujdonsagai-2.png" alt="jelszó története" class="wp-image-11864" title="jelszó története"/></figure>



A jelszavad erősségét le tudod ellenőrizni a következő oldalon:&nbsp;<a href="https://www.passwordmonster.com/">https://www.passwordmonster.com/</a>&nbsp;



Érdekességek:&nbsp;



<ul>
<li>A cégek 59%-a az emberi memóriára hagyatkozik a jelszó kezelésben&nbsp;</li>



<li>Az adatszivárgások 80%-át lopott és újra használt jelszavak okozzák&nbsp;</li>



<li>A munkavállalóknak csak a 37%-a használ többfaktoros azonosítást&nbsp;</li>



<li>A brute-force elven működő hackereszközöket a bűnözői piactereken átlagosan mindössze 4 dollárért árulják&nbsp;</li>
</ul>

A JELSZÓ TÖRTÉNETE

22 évvel ezelőtt, 2000. május 4-én mozgalmas napja volt szinte minden IT biztonsági szakembernek, üzemeltetőnek.&nbsp;&nbsp;



Aznap ismerte meg a világ internetező közössége az „ILOVEYOU” (vagy „Love bug”) néven elterjedt számítógépes vírust, mely sokak életére hatással volt.&nbsp;&nbsp;



A vírus megjelenését követő másnapon már ilyen főcímek jelentek meg a világhálón:&nbsp;



<figure class="wp-block-image"><img decoding="async" src="https://static.fortix.hu/app/uploads/2022/05/lovegub_1.png" alt="" class="wp-image-11837" title="lovegub_1"/></figure>



<figure class="wp-block-image"><img decoding="async" src="https://static.fortix.hu/app/uploads/2022/05/lovebug_2.png" alt="" class="wp-image-11836" title="lovebug_2"/></figure>



Majd néhány nappal később ismertté vált Onel de Guzman, mint elkövető neve is.&nbsp;



A vírus nagyon rövid időn belül nagyon sok informatikai rendszert fertőzött meg, ezzel adatvesztést, elérési problémát okozva az üzemeltetőknek. Ismert nagyvállalatok voltak kénytelenek bezárni minden külső&nbsp;kommunikációs&nbsp;internetes&nbsp;csatornájukat akár egy egész napra is, mely számottevő anyagi és reputációs kárral járt.&nbsp;



Ez volt az első komoly bizonyítéka annak, hogy az internet nem csak ablakot nyit a nagyvilágra és megkönnyíti a kommunikációt, de egyúttal komoly fenyegetést is jelenthet.&nbsp;



Valamint&nbsp;ez volt az első bizonyíték arra, hogy&nbsp;minden rendszer leggyengébb pontja az ember maga.&nbsp;



2020-ban Geoff White, a Crime dot Com c. könyvéhez gyűjtött anyagot, melyhez felkutatta az egykori elkövetőt is. Egészen Maniláig, a Fülöp-szigetek fővárosáig utazott, hogy találkozzon Onel de Guzmannal, aki akkor, már hosszabb ideje egy mobilkészülékjavító üzletet üzemeltetett elég szerény körülmények között. A&nbsp;szerző arra a kérdésre kereste a választ, hogy mi motiválta, és mi történt az „ILOVEYOU” elszabadulása óta.&nbsp;



A beszélgetés során kiderült, hogy a motiváció egész egyszerűen a pénzszerzés&nbsp;volt, mint sok hasonló esetben.&nbsp;



A 2000-es évek elején még nem volt elterjedt a korlátlan internetelérés. Ahogy sok helyen, a Fülöp-szigeteken is „betárcsázós” módon&nbsp;(modemmel)&nbsp;lehetett az internetre csatlakozni&nbsp;egy&nbsp;felhasználónév és&nbsp;jelszó párossal. Az internetkapcsolatért&nbsp;először&nbsp;vagy&nbsp;adatforgalom&nbsp;vagy pedig&nbsp;idő alapon kellett fizetni, és mivel a&nbsp;kapcsolat sokak számára&nbsp;elérhetetlen&nbsp;vagy&nbsp;túl&nbsp;drága&nbsp;volt, így nagyon sokan&nbsp;inkább&nbsp;internetkávézókba jártak, ha internetezni szerettek volna.



A 2000-ben 24 éves Onel de Guzman szerény körülmények között élt, nem akart az internetért fizetni.&nbsp;Guzman&nbsp;ekkor&nbsp;az AMA Computer College&nbsp;hallgatója&nbsp;és&nbsp;egy&nbsp;hackercsoport, a&nbsp;GRAMMERSoft&nbsp;tagja&nbsp;volt.&nbsp;Az első fertőzött levél elküldésével&nbsp;az internetcsatlakozáshoz szükséges adatokat szerette volna megszerezni.&nbsp;A&nbsp;script elkészítéséhez&nbsp;azt a&nbsp;programot vette alapul,&nbsp;melyet&nbsp;eredetileg&nbsp;diplomamunkának készített, de ezt a témát&nbsp;végül&nbsp;kártékony tartalma miatt&nbsp;nem fogadták el.



Kihasználva&nbsp;az&nbsp;Outlook&nbsp;sérülékenységét,&nbsp;ezt&nbsp;az alapprogramot&nbsp;egészítette ki&nbsp;azzal&nbsp;a funkcióval,&nbsp;amivel&nbsp;a program&nbsp;tovább tudta küldeni saját magát a&nbsp;fertőzött&nbsp;gép Outlook-jának&nbsp;címlistáján szereplő&nbsp;összes&nbsp;címre. Elmondása szerint ő sem gondolta, hogy ezzel ilyen nagy kárt&nbsp;fog&nbsp;okozni, és&nbsp;az&nbsp;„ILOVEYOU”&nbsp;rövid időn belül&nbsp;a világ szinte minden részére,&nbsp;rövid időn belül&nbsp;el&nbsp;fog&nbsp;jutni.&nbsp;&nbsp;&nbsp;&nbsp;



Az „ILOVEYOU”&nbsp;az&nbsp;indulását követő&nbsp;első 5 órában&nbsp;a Fülöp-szigetekről&nbsp;eljutott Ázsiába,&nbsp;Európába, Észak-Amerikába.&nbsp;Ttizenötször gyorsabban terjedt, mint az egy évvel korábbi Melissa&nbsp;vírus, megfertőzve&nbsp;világszerte&nbsp;több mint 1 millió számítógépet,&nbsp;ezzel több 10 milliárd&nbsp;USD&nbsp;értékű&nbsp;kárt okozva.&nbsp;



A fertőzés érintette&nbsp;többek között&nbsp;a Microsoft&nbsp;Corp., Ford&nbsp;Motor&nbsp;Co., Vodafone&nbsp;AirTouch&nbsp;PLC.,&nbsp;Barclay&nbsp;rendszereit,&nbsp;több állami&nbsp;kormányzati&nbsp;rendszert&nbsp;az Egyesült Királyságban&nbsp;és az Egyesült Államokban is.&nbsp;Nagyvállalatok&nbsp;levelezési rendszereit&nbsp;kellett leállítani, dolgozókat hazaküldeni&nbsp;a hiba helyreállításáig.&nbsp;



<figure class="wp-block-image"><img decoding="async" src="https://static.fortix.hu/app/uploads/2022/05/iloveyou_virus_screenshot.jpg" alt="iso szabvány 27002" class="wp-image-11838" title="iloveyou_virus_screenshot"/></figure>



Mi történt a gyakorlatban&nbsp;



Guzman&nbsp;ötlete az volt, hogy egy&nbsp;személyes(nek&nbsp;tűnő) email üzenettel kelti fel a címzettek figyelmét, akiket megkér, hogy kattintsanak a levél csatolmányára. A csatolmány felületes ránézésre egy .txt&nbsp;dokumentumnak tűnt, de akik jobban megnézték észrevehették, hogy valójában egy .vbs&nbsp;(Virtual&nbsp;Basic Script)&nbsp;kiterjesztésű fájl volt, mely&nbsp;kártékony&nbsp;kódot tartalmazott. Amint a címzettek rákattintottak/megnyitották a csatolmányt,&nbsp;a kód&nbsp;replikálódott&nbsp;és&nbsp;emailként&nbsp;elküldte&nbsp;saját magát&nbsp;az Outlook címlistában szereplő&nbsp;címekre. A vírus ezután&nbsp;a&nbsp;fertőzött gépen&nbsp;megkereste az összes&nbsp;.jpg,&nbsp;.mp3 fájlt, és kicserélte saját magára.&nbsp;Végül megszerezte a&nbsp;gép Windows&nbsp;jelszavait&nbsp;és elküldte egy szerverre a Fülöp-szigetekre.&nbsp;&nbsp;



Következmények, tanulságok&nbsp;



A Microsoft Outlook&nbsp;a&nbsp;2000-es években az egyik leggyakrabban használt levelezőrendszerszoftver&nbsp;volt a&nbsp;Windows operációs rendszert használó&nbsp;számítógépeken. Mivel&nbsp;Guzman&nbsp;a&nbsp;sérülékenységét használta ki, ez az eset rávilágított arra, hogy&nbsp;rendkívül&nbsp;fontos figyelemmel kísérni az ismert sérülékenységeket, és amint mód van rá, javítani azokat,&nbsp;mind gyártói, mint felhasználói oldalon.&nbsp;



Guzman&nbsp;megfigyelte,&nbsp;és felhasználta,&nbsp;hogy az emberek szeretetre, társra vágynak, ezért nagy valószínűséggel&nbsp;rá&nbsp;fognak&nbsp;kattinteani&nbsp;egy&nbsp;„szerelmes levél”-re,&nbsp;főleg akkor,&nbsp;ha az egy ismerőstől (címlistában szereplő személytől) érkezik.&nbsp;A vírus elsőként okozott nagy kárt&nbsp;az emberi „természet” kihasználásával.&nbsp;



Igaz, hogy&nbsp;Guzman&nbsp;programozást tanult&nbsp;és egy&nbsp;illegális&nbsp;hackercsoport tagjai is volt egyben, de a&nbsp;vírus megírásához&nbsp;nem volt szükség komolyabb programozói gyakorlatra.&nbsp;Ez az eset így&nbsp;felhívja a figyelmet&nbsp;arra&nbsp;is, hogy nem csak&nbsp;a&nbsp;komoly technikai&nbsp;tudással&nbsp;rendelkező&nbsp;személyek&nbsp;tehetnek&nbsp;nagy&nbsp;kárt&nbsp;az&nbsp;informatikai&nbsp;rendszerekben.&nbsp;



Guzman,&nbsp;bár igen nagy anyagi kárt&nbsp;is&nbsp;okozott, mégis „megúszta”.&nbsp;Mivel 2000-ben&nbsp;a Fülöp-szigeteken még nem volt megfelelő jogi szabályozása a kiberbűnözésnek, ezért Guzmant végül nem büntették meg.&nbsp;Ez az eset&nbsp;ismét&nbsp;felhívta&nbsp;a&nbsp;figyelmet&nbsp;a&nbsp;kiberbűnözés&nbsp;meglétére és a jogi szabályozás fontosságára.&nbsp;Jeles&nbsp;bizonyítéka&nbsp;volt&nbsp;annak, hogy a&nbsp;kibertérben történő bűncselekmények is ugyanolyan, hacsak nem&nbsp;nagyobb anyagi&nbsp;vagy&nbsp;reputációs károkat okozhatnak, mint az egyéb bűnözői tevékenységek.&nbsp;



Végül,&nbsp;22 év után még mindig aktuális a kérdés: Mit tanultunk&nbsp;az&nbsp;„ILOVEYOU”–tól?.&nbsp;&nbsp;



Vajon&nbsp;mennyien&nbsp;hányan&nbsp;vesszük komolyan a fenyegetéseket&nbsp;és&nbsp;fordítunk-e&nbsp;kellő figyelmet az internet biztonságos használatára?.



Valamint, hogy ennyi idő elteltével, hogyan lehetséges&nbsp;az, hogy még mindig hasonló módszerekkel&nbsp;sikeresen&nbsp;terjednek&nbsp;sikeresen&nbsp;kártékony programok,&nbsp;vírusok?&nbsp;



A&nbsp;kérdések megválaszolását, az olvasókra bízzuk.&nbsp;



Források:&nbsp;



<figure class="wp-block-embed"><div class="wp-block-embed__wrapper">
https://www.bbc.com/news/technology-52458765
</div></figure>



<figure class="wp-block-embed"><div class="wp-block-embed__wrapper">
https://money.cnn.com/2000/05/05/technology/virus_impact/
</div></figure>



<figure class="wp-block-embed"><div class="wp-block-embed__wrapper">
https://www.theguardian.com/world/2000/may/05/jamesmeek
</div></figure>



<figure class="wp-block-embed"><div class="wp-block-embed__wrapper">
https://www.origo.hu/itthon/20000504emailben.html
</div></figure>



<figure class="wp-block-embed"><div class="wp-block-embed__wrapper">
https://edition.cnn.com/2020/05/01/tech/iloveyou-virus-computer-security-intl-hnk/index.html
</div></figure>



<figure class="wp-block-embed"><div class="wp-block-embed__wrapper">
https://www.bbc.com/news/10095957
</div></figure>



<figure class="wp-block-embed"><div class="wp-block-embed__wrapper">
https://www.wired.com/story/the-20-year-hunt-for-the-man-behind-the-love-bug-virus/
</div></figure>



Crime Dot Com: From Viruses to Vote Rigging, How Hacking Went Global, by Geoff White&nbsp;&nbsp;



<a href="http://news.bbc.co.uk/2/hi/science/nature/749664.stm">http://news.bbc.co.uk/2/hi/science/nature/749664.stm</a>&nbsp;

IN MEMORY OF „ILOVEYOU” 

„Legtöbbször valami emberi hiba az oka, hogy a bűncselekmény lehetővé válik. A legnagyobb kárértékű bűncselekmények esetén is mindig volt egy ember, aki gyenge láncszem volt.”



Interjú Halász Viktor rendőr századossal a kiberbűnözésről és arról, hogyan ne legyünk áldozatok.



Ha kiberbűnözésről beszélünk, akkor Magyarországon melyik hatóság foglalkozik ezekkel az ügyekkel?&nbsp;



Van egy általános félreértés a lakosság körében, mivel a kiberbűnözés kicsit elkülönül a fejekben a klasszikus bűnözéstől, ezért sokan azt gondolják, a rendőrségen belül egy külön egység foglalkozik ezekkel az ügyekkel. A kiberbűncselekmények is ugyanolyan bűncselekménynek minősülnek, mint bármelyik másik, ugyanúgy a rendőrkapitányságok, súlyosabb esetben a rendőr-főkapitányságok foglalkoznak ezeknek a felderítésével. Annyi a különbség, hogy a kiberbűnözés speciális jellegére tekintettel&nbsp;a Nemzeti Nyomozó Irodán (NNI) belül működik egy Kiberbűnözés Elleni Főosztály,&nbsp;ami csak kiemelt kiberbűncselekmények felderítésével foglalkozik, országos hatáskörrel. Hogy mi számít kiemelt kiberbűncselekménynek, az változó. Ha például azt látjuk, valamelyik rendőrkapitányságon indult egy ügy, ami nagyobb figyelmet igényel (nagy a kárérték, új az elkövetési mód, vagy nagyon sok embert érint), akkor vonjuk hatáskörünkbe ezeket az ügyeket. Sokszor kevernek minket a Nemzeti Kibervédelmi Intézettel is, ők nem egy nyomozó szerv, nem a bűncselekmények felderítése a céljuk, ettől függetlenül sokszor együttműködünk. Ők általános kibervédelemmel foglalkoznak, ha például egy kritikus infrastruktúrát támadás ér, akkor ők elemzik a log adatokat, megnézik honnan érkezett a támadás, segítenek visszaállítani a rendes működést és ha bűncselekményt észlelnek, bejelentést tesznek hozzánk is. Folyamatos az információcsere közöttünk, de nekünk az a feladatunk, hogy elkapjuk a bűnözőket, nekik pedig az, hogy a különböző infrastruktúrák biztonságban legyenek, illetve tájékoztassák a lakosságot.



Ha kiberbűncselekmény áldozata lettem és besétálok a helyi rendőrkapitányságra, akkor lesz ott olyan rendőr, aki megfelelő szaktudással rendelkezik és megérti a problémámat?&nbsp;



Az utóbbi években nagyon sokat fejlődött a rendőrség. Sokan úgy gondolják, ha besétálnak a rendőrségre és elmondják, hogy kriptovalutát loptak tőle, úgy sem tudnak vele mit kezdeni. Ez talán 10 évvel ezelőtt igaz volt, de ma már nem. Ha valaki kiberbűncselekmény miatt feljelentést tesz, biztosan lesz olyan rendőr, aki jobban képben van ezekkel a bűncselekményekkel.&nbsp;Tekintettel arra, hogy a kiberbűnözés a legújabb terület, leggyorsabban fejlődik és a legkevésbé régóta foglalkozunk vele, nyilvánvaló, hogy a legkevesebb rendőr dolgozik ebben az ágban jelenleg. De ma már minden kapitányságon van 1-2 olyan rendőr, aki otthonosan mozog a témában. Ha nem is az a kolléga veszi fel a jegyzőkönyvet, aki ezzel foglalkozik, később a témában illetékes rendőr fogja megkapni az ügyet. Ha pedig egy teljesen új elkövetési módszerrel találkozunk, akkor vagy hatáskörbe vonjuk az ügyet, vagy segítünk az adott kapitányságnak.



Azt tudjuk-e definiálni, mi számít kiberbűncselekménynek, kiberbűnözésnek, hiszen ilyen rész nincsen a Büntető Törvénykönyvben?&nbsp;



A Büntető Törvénykönyvben nincs ilyen fejezet, hogy kiberbűncselekmények és jó ideig valószínűleg nem is lesz. A törvényt megváltoztatni mindig hosszabb idő, mint ahogy a társadalmi változások végbemennek. Amikor a jogalkotó meghoz egy törvényt, próbál olyan tényállásokat alkotni, amik kiállják az idő próbáját, most is használhatóak és 20 év múlva is azok lesznek. Például nincsenek olyan bűncselekmények, hogy business email compromise vagy zsarolóvírus, pedig, ha kiberbűncselekményekről beszélünk, tipikusan ezek jutnak eszünkbe. A Bűntető Törvénykönyvben olyanokat találunk például, hogy információs rendszer vagy adat megsértése bűncselekménye. Bár ez a jogi megfogalmazás, de a gyakorlatban sok mindent lefed. A bűnözők évente több olyan elkövetési magatartást találnak ki, ami korábban nem is létezett,&nbsp;lehetetlen lenne ezeket a törvényben mindig átvezetni. Viszont a tényállások kellően általános vannak megfogalmazva ahhoz, hogy tudjuk őket használni az új elkövetési módszerekre is. Általánosságban véve, ha kiberbűncselekményekről beszélünk, akkor, hogy mi milyen ügyekkel foglalkozunk, az évről évre változik,&nbsp;most a zsarolóvírusok, business email compromise csalások, az adathalászatra épülő cselekmények és az álhíreken alapuló social media csalások a legnépszerűbbek.



Készülnek olyan statisztikák, amik mutatják ezeket a változó trendeket?&nbsp;



Magyarországon külön kiberbűncselekményekre vonatkozó statisztika nem készül. Azt látjuk, hogy az információs rendszer vagy adat megsértése bűncselekmény számai hogyan változnak, de ez nem fejezik ki például, hogy akkor a zsarolóvírusok vagy túlterheléses támadások száma növekedett-e, mert ugyanabba a tényállásba tartoznak. Az EUROPOL minden évben elkészíti az IOCTA (Internet Organised Crime Threat Assessment) kiadványt, ami 80-100 oldal terjedelemben kifejezetten arról szól, hogy a kiberbűnözés milyen irányba fejlődik, mik a legújabb trendek. Itt nem konkrét számokra, inkább trendekre kell gondolni, mert a kiberbűnözés területén nagy a látencia. Ez a jelentés nyilvánosan elérhető, nem csak a rendvédelmi szervek számára. A jelentésből jól kirajzolódik, merre megyünk és az látszik, hogy Magyarországra is az jellemző, ami a többi európai országra, az országhatárok nem számítanak, nincsenek kifejezetten magyar sajátosságok.



Minden ügy a rendőrség tudomására jut?&nbsp;



Nem és ezért is kevéssé kifejezők a statisztikák a kiberbűnözés terén. Egy betörés legtöbbször el fog jutni a rendőrséghez, mert általában mindenki bejelentést tesz, ha betörnek hozzá. Mondhatjuk, hogy ahány bejelentést tesznek betörés miatt, nagyjából annyi betörés volt az országban. Vagy ugyanígy az emberölések rögzített száma is tükrözi a valóságot. A kiberbűncselekmények esetén ez nincs így,&nbsp;a legtöbben nem tesznek bejelentést, ha ilyen bűncselekmény áldozatai lesznek.&nbsp;Sokan nem is tudnak róla, hogy érintettek. Ha túlterheléses támadásokról beszélünk például, ott a bűnözők botnet hálózatokat használnak, ami azt jelenti, megfertőzik több százezer ember számítógépét és egy ilyen támadásnál ezeknek a számítógépeknek az erőforrásait használják fel. Az átlag felhasználó ebből annyit észlel, hogy lelassul a számítógépe, nehezebben tölti be az adatokat, de fogalma sincs róla, hogy éppen vírus lassítja azt. A zsarolóvírusok esetén is néhány hetente találkozunk egy kampánnyal, amikor itthon több ezer ember valamilyen e-mailt kap, sokan bejelentést is tesznek, de tudjuk, sokkal többen kapják meg, a legtöbben viszont – helyesen – törlik az üzenetet.



<figure class="wp-block-image"><img decoding="async" src="https://static.fortix.hu/app/uploads/2020/12/Christmas-Photo-Facebook-Post.png" alt="" class="wp-image-9086" title="Christmas Photo Facebook Post"/></figure>



Mik a leggyakoribb hibák, amit a felhasználók elkövetnek és ezáltal áldozattá válnak?&nbsp;



Egy alaposabban, vagy akár csak közepesen felkészült felhasználót kevés eséllyel sikerül rászedni. A legtöbb próbálkozás, amit látunk, az egy viszonylag primitív próbálkozás és&nbsp;a felhasználók azért esnek csapdába, mert a minimális körültekintést is elmulasztják. Például kapnak egy e-mailt egy olyan szolgáltatótól, aminek nem is az ügyfelei, látszik, hogy nem is magyar anyanyelvű személy írta azt a szöveget és ennek ellenére megadják az adataikat. Vagy olyan oldalakat látogatnak a neten, vagy programokat töltenek le, amiről tudni lehet, nagy valószínűséggel vírust tartalmaznak, de nem foglalkoznak ezzel a veszéllyel. Nem frissítik az operációs rendszert, nem telepítenek vírusírtót. Ehhez manapság nem kell egy nagyon felkészült felhasználó, viszont&nbsp;átlag tudatossági szint még mindig alacsony. Ezt pedig a pandémia még meg is sokszorozta, mert sokan, akik korábban nem használták az internetet, arra kényszerültek, hogy otthonról dolgozzanak és ők kevésbé is vannak felkészülve az internet veszélyeire. Persze nem kell minden e-mail fejlécét elemezni, csak azokat, amik gyanúsak és ha kétszer is elolvassák, mielőtt megadják az adataikat, 99%-ban nem lesznek sértettek. Akik sértetté válnak, általában könnyen kiszűrhető dolgokat mulasztanak el.



Említette, hogy gyanús lehet, ha a levél, amit kapunk, nem megfelelő magyarsággal íródott. Még mindig jellemző, hogy az adathalász támadásokat külföldről irányítják?&nbsp;



Egyre nehezebb megmondani, mert a Google fordító egyre jobban működik. Sok olyan levéllel találkozunk, ahol nekünk is el kell gondolkodni azon, vajon magyar anyanyelvű személy írta, vagy fordítóval készült. Még mindig jellemző és jellemző is marad, hogy az adathalász támadások nagy része külföldről érkezik. A rendőrségi e-mail címekre is folyamatosan érkeznek ilyen levelek, ami arra utal, válogatás nélkül küldik ki mindenkinek a nagy számok törvényében bízva. Bár vannak nagy valószínűséggel magyar felhasználók által megfogalmazott levelek is, de&nbsp;többségében külföldről érkeznek a nagyobb kampányok.



Mik azok a technikák, módszerek, amikkel utána lehet menni a bűnözőknek?&nbsp;



A kiberbűncselekmények nyomozása nagy felkészültséget igényel a nyomozók részéről abból a szempontból, hogy itt&nbsp;folyamatosan változnak a technológiai körülmények. A bűnözők kihasználják ezeket a változásokat, újfajta elkövetési módokat dolgoznak ki, ezért nekünk is folyamatosan alkalmazkodni kell ehhez.&nbsp;Egy emberölés vagy gazdasági bűncselekmény nyomozásában sokkal lassabbak a változások, hasonló módszereket használnak a bűnözők évek, évtizedek óta. A kiberbűncselekmények esetén olyan bűncselekményekről beszélünk, amik néhány éve nem is léteztek.&nbsp;Azért is jött létre a Nemzeti Nyomozó Irodán belül a Kiberbűnözés Elleni Főosztály, hogy egyfajta szakértői központként is üzemeljen. 5-6 évvel ezelőtt ez még csak egy osztály (Csúcstechnológiai Bűnözés Elleni Osztály) volt, 20 emberrel, most már több, mint 100 ember dolgozik itt, ez az NNI legnagyobb főosztálya. Nem csak az a dolgunk, hogy a kiemelt kiberbűncselekményekben nyomozzunk, hanem az is, hogy oktassuk a kollégákat. Évek óta tartunk képzéseket, amelyeken már több száz rendőr részt vett az ország különböző kapitányságairól, pont azért, hogy mindenhol értsenek a kiberbűnözések nyomozásához. Folyamatosan járunk külföldi képzésekre is,&nbsp;tartjuk a kapcsolatot a külföldi társszervekkel, konferenciákon veszünk részt, hogy a külföldi tapasztalatokat beépítsük a magyar nyomozásokba. Rendelkezünk olyan eszközökkel, amik a nyílt forrású adatgyűjtést megkönnyítik, az adatmentéseket meggyorsítják, képesek titkosított adatokat visszafejteni. Próbáljuk ezt a szaktudást itt koncentrálni és a tapasztalatainkat a többi nyomozó hatóságnak átadni.



Volt az eddigi pályafutása során olyan érdekes vagy tanulságos ügy, amit érdemes megemlíteni?&nbsp;



Nem tudnék egy ügyet kiemelni, inkább&nbsp;általános tapasztalat, hogy hiába találnak ki a bűnözők valami új elkövetési magatartást, ha lecsupaszítjuk a dolgokat, annyira nincs új a nap alatt. Akármennyire is kiberbűncselekményekről beszélünk, ezek többsége során nem valamilyen rendszert törnek fel, vagy tűzfalon hatolnak át,&nbsp;99%-ban az ember az, akit megtévesztenek.&nbsp;Legtöbbször valami emberi hiba az oka, hogy a bűncselekmény lehetővé válik.&nbsp;A legnagyobb kárértékű bűncselekmények esetén is mindig volt egy ember, aki gyenge láncszem volt.



A tudatosító kampány akkor itt is elengedhetetlenül fontos.&nbsp;



A legfontosabb dolog az állampolgárok tudatosítása,&nbsp;részben ezt is végezzük, próbálunk tájékoztató anyagokat közzétenni. Ha az embereket nem lehet „meghackelni”, akkor legtöbbször a rendszereket sem, a legtöbb bűnöző annyival nem jár előbb informatikai téren, hogy a kiberbiztonsági megoldásokat megkerüljék. Ez nem azt jelenti, hogy sosincs ilyen, de legtöbbször az embereket támadják.&nbsp;Leginkább úgy lehet visszaszorítani ezeket a bűncselekményeket, hogy ha megelőzzük az elkövetésüket. Ez egy közhely, ami minden bűncselekmény kategóriára igaz, de itt különösen. A kibertérben könnyű elrejteni a nyomokat és a kiberbűncselekményeket ezért viszonylag nehéz felderíteni. Viszont ezeket a bűncselekményeket a legkönnyebb megelőzni, csak kevesen fordítanak erre figyelmet.



Az interjút készítette: Dr. Simon Norbert

A KIBER BŰNCSELEKMÉNYEKET A LEGKÖNNYEBB MEGELŐZNI, CSAK KEVESEN FORDÍTANAK RÁ FIGYELMET

Gyakran halljuk a mondást:&nbsp;„A XXI. század olaja az adat”, amivel, valószínűleg a vállalatok többsége egyetért, hiszen a mindennapi feladatok elvégzéséhez szükséges adatok, információk nélkül nem tudnának működni. Ez különösen igaz akkor, ha valamilyen katasztrófa, vagy nem várt esemény kapcsán nem állnak rendelkezésre a vállalat fontos, mindennapi folyamataiban használt adatok.



Erre az esetre nyújt megoldást az üzletmenet-folytonossági rendszer bevezetése és működtetése.



A kiskerti zöldségek árusításához vagy a golfpálya füvének karbantartásához nem feltétlenül szükséges informatikai eszközök használata, de rengeteg nagyvállalati és KKV szektorban szolgáltató, termelő cég működése, informatikai rendszereik hiányában akár teljesen leállhat.



Persze ahhoz, hogy az adatok rendelkezésre álljanak, az azokat tartalmazó és működtető erőforrásoknak is biztosítani kell a folyamatos működését. Ez jellemzően két tényezőből áll:



<ul>
<li>Az adatok mentéséből</li>



<li>Az adatokat megvalósító környezetből</li>
</ul>



Az „őskorban” a mentéseket szalagos adathordozókra másolták a nap végén, majd egy páncélszekrényben tárolták őket. Persze ekkor a szalag könnyen sérült, a páncélszekrényhez lehet, hogy a használónak nem volt kulcsa, kevés volt a hely vagy éppen rengeteg szalagra volt szükség. Ahogy fejlődött a világ, úgy&nbsp;fejlődött az adatok tárolása, működtetése is. A manapság is sok helyen használt alkalmazások, mint például a másodlagos szerver kiépítése, a használt erőforrások tükrözése megoldást jelent a nem várt események során bekövetkezett működési leállás rövidebb időn belüli folytatására, ez azonban&nbsp;sokszor rendkívül nagy és aránytalan anyagi terhet róhat a vállalatokra.&nbsp;A KKV szektorban pedig megfizethetetlen, ezért a kockázattal nem arányos védelemnek titulálják, vagyis bevállalják egy esetleges leállás kockázatát.



<figure class="wp-block-image"><img decoding="async" src="https://static.fortix.hu/app/uploads/2021/12/Felhoforradalom-1.jpg" alt="" class="wp-image-10973" title="Felhoforradalom"/></figure>



<figure class="wp-block-image"><img decoding="async" src="https://static.fortix.hu/app/uploads/2021/12/Kepernyokep-2021-12-06-112624.png" alt="" class="wp-image-10975" title="Képernyőkép 2021-12-06 112624"/></figure>



A felhőalapú rendszerekre való átállás ugyanakkor sok szempontból nyújt kényelmet és kevesebb anyagi ráfordítást, mint a korábbi megoldások.&nbsp;



Mára elértünk oda, hogy számos irodaházból eltűntek a szerverszobák, az üzletmenet-folytonossági rendszerekben&nbsp;általánossá váltak a felhőszolgáltatások nyújtotta megoldások. Tulajdonképpen, miután nincs „vasunk”, de még szerverszobánk sem, így nem szükséges informatikai katasztrófa-elhárítási terveket készítenünk. Korábban – és persze számos helyen még most is, ahol nem a felhő a teljes infrastruktúrára a megoldás – ezekben az ún. DR (disaster recovery – katasztrófa-helyreállítási terv) tervekben jelenítettük meg egy-egy infrastruktúra leállása után a helyreállítás folyamatát.



A felhőbe költözés hatékonyabbá, alkalmazkodóbbá, ellenállóbbá, végső soron jövedelmezőbbé teheti a vállalatokat.&nbsp;&nbsp;&nbsp;



A&nbsp;SaaS (Software-as-a-Service)&nbsp;és&nbsp;IaaS (Infrastructure-as-a-Service)&nbsp;modellek lehetővé teszik a szervezetek számára, hogy az informatikai és adatkezelési funkcióik jelentős részét „alvállalkozásba” szervezzék ki. A lemezkapacitástól a biztonságos hozzáférésig mindenről a felhőszolgáltató gondoskodik – hozzátéve, hogy a végső felelősség mindig az ügyfélnél marad, ezért megfelelő védelmi intézkedéseket és bizonyosságszerzési módszereket kell bevezetnünk.



Az üzletmenet-folytonossági rendszer kialakításakor miután a kiszervezés és a felhőbe költözés megtörtént, a vállalatok sokszor megnyugszanak, abban a hamis tudatban élnek, hogy ez egyben azt is jelenti, hogy megoldottá vált a teljes üzletmenet-folytonossági megoldásuk. Elképzelhető, hogy ez így van, de ez a ritkább eset.



Ahhoz, hogy egy vállalkozást a felhőrendszerekbe helyezzenek át,&nbsp;fel kell mérni, hogy a választott szolgáltató milyen módon járul hozzá a vállalat ellenállóképességéhez. Fontos felismerni, hogy a felhőszolgáltatók az általuk kínált támogatás szintjén jelentősen eltérnek. Például egyesek csak az üzletmenet-folytonossági tervek végrehajtását felügyelik, mások a terveket végre is hajthatják.



Összességében azonban a felhőszolgáltatások jelentősen fokozhatják a vállalat ellenállóképességét, amennyiben az igénybe vett szolgáltatásokat nagyon alapos, átgondolt, a vállalkozásra szabott tervezés előzi meg.&nbsp;

FELHŐFORRADALOM

Az Európai Központi Bank 2021 októberében kiadott 7. kártyacsalásokkal foglalkozó jelentésében is főszerepet kapott az információbiztonság.



Ez a jelentés gyakorlatilag a kártyacsalások aktuális tendenciáit elemzi, az euróövezetben működő kártyafizetési rendszerek és az érintett szervezetek által szolgáltatott adatok alapján. Az elemzés, amelyet egy 2015-től 2019-ig tartó ötéves időszak kontextusába helyez, fontos részleteket ismertet ezekkel a sokunk által napi szinten használt plasztikkártyákkal kapcsolatban.



Továbbra is gyakran használatos módszerek a fizikai kártyákkal végzett csalárd tranzakciók:



<ul>
<li>Készpénzfelvétel hamis vagy ellopott kártyákkal.</li>



<li>Távolról lebonyolított hamis tranzakciók.</li>



<li>Ilyen eset az, amikor a bűnözők adathalászattal vagy információbiztonsági incidensekkel szerzett kártyaadatokkal online fizetést hajtanak végre.</li>
</ul>



Kizárólag az Egységes Euró Fizetési Övezeten (SEPA) belül kibocsátott kártyákkal végrehajtott csalárd tranzakciók összértéke 1,03 milliárd euró volt 2019-ben, ami az elmúlt évekhez képest nem csökkenést, hanem enyhe növekedést jelent.&nbsp;



Napjainkban egyre több a kibertámadás és meglepő módon a nagyvállalatok mellett&nbsp;egyre inkább a kis- és középvállalkozások a célpontok. Tény, hogy csak 2020-ban 424%-kal nőtt a kisvállalkozások elleni támadások száma. Sajnos a COVID-19 világjárvány még tovább súlyosbította ezt a helyzetet.



A kiberbiztonsági incidensek 95%-a emberi mulasztásra vezethető vissza, így könnyen belátható, mennyi tennivalónk van még az információbiztonsági tudatosság növelése terén. Hasonlóan a járvány megelőzésének egészségügyi óvintézkedéseihez, a kibertérben is fontos az úgynevezett&nbsp;„digitális higiénia”. Vagyis annak elsajátítása és tudatosítása, hogy adataink védelme ne csupán a véletlenen múljon.



<figure class="wp-block-image"><img decoding="async" src="https://static.fortix.hu/app/uploads/2021/12/Bankkartya1.png" alt="" class="wp-image-10984" title="Bankkartya1"/></figure>



<figure class="wp-block-image"><img decoding="async" src="https://static.fortix.hu/app/uploads/2021/12/Bankkartya2.png" alt="" class="wp-image-10985" title="Bankkartya2"/></figure>



A kártyaadatok adathalászattal való megszerzése szintén nem meglepő, hiszen az elmúlt évben&nbsp;667%-kal nőtt a rosszindulatú e-mail támadások száma&nbsp;és sajnos a nagy számok törvénye alapján mindig vannak olyan áldozatok, akik gyanútlanul kiadják pénzügyi és bankkártyaadataikat a megtévesztő emailek mögött rejtőzködő bűnözőknek. A csalárd tranzakciók túlnyomó többsége (80%) továbbra is a kártya nélküli (CNP) csaláshoz kapcsolódik.



A kártyás tranzakciók tekintetében&nbsp;a POS terminálokon elkövetett csalások száma 2,2%-kal nőtt, miközben az ATM-eknél elkövetett visszaélések száma 6,1%-kal csökkent. Jó hír azonban, hogy ez utóbbi pozitív változást a SEPA-n kívüli tranzakciókat is magába foglaló ATM-eknél tapasztalható hamis kártyacsalás jelentős csökkenése okozta, mivel egy&nbsp;új chiptechonológia (EMV) globális elterjedése&nbsp;tovább mérsékelte a mágnescsíkos hamisítással kapcsolatos csalások elkövetésének lehetőségét.



És, hogy mit tehetünk a visszaélések ellen?&nbsp; Figyeljünk a bankkártyánkra és legfőképpen ne adjuk ki a kezünkből!&nbsp;Az is fontos, hogy ne regisztráljuk be ismeretlen weboldalakra és ne küldjük el emailben, bárki is kéri tőlünk ezt.&nbsp;



Összességében&nbsp;jobbak az esélyeink és lehetőségeink&nbsp;a csalókkal szemben a jelentés legutóbbi kiadása óta, de ahhoz, hogy ez így maradjon,&nbsp;az iparnak, a szabályozó hatóságoknak és a fogyasztóknak is ébernek kell maradniuk. Bár relatív értelemben a csalások száma enyhén csökkent, összességében továbbra is magas, abszolút értékben pedig növekszik. Ezen kívül a COVID-19 világjárvány idején&nbsp;az online vásárlások kártyás fizetésének&nbsp;közelmúltbeli&nbsp;megugrása&nbsp;miatt az ilyen fizetések egyre inkább bűncselekmények (például&nbsp;adathalászat) célpontjává válhatnak. Következésképpen a kártyás fizetési rendszereket és a részt vevő pénzforgalmi szolgáltatókat arra ösztönzik, hogy folytassák a csalásmegelőzéssel és a legjobb biztonsági gyakorlatokkal kapcsolatos információcserét és a felhasználói tudatosítást.



Az is biztos, hogy a visszaélések elleni küzdelmet folytatni kell és még biztonságosabb fizetési megoldásokat kell kínálniuk a végfelhasználóknak. Fontos, hogy ebben támogassák őket a kereskedők, hiszen ezeknek a megoldásoknak a sikeres megvalósításában kiemelt szerepük van.

BANKKÁRTYACSALÁSOK: VAN REMÉNY!

A hírekben sokat hallani arról, hogy a bűnözők adathalászat segítségével ejtik át a gyanútlan felhasználókat. Az adathalászat az a folyamat, amely során a támadók a felhasználók érzékeny adatait vagy pénzét akarják ellopni, akár email vagy sms formátumban, úgy álcázva ezeket, mintha megbízható forrásból származnának.



Az ilyen megtévesztő üzeneteket egyre nehezebb felismerni, mivel azok nagyon hasonlítanak az eredetire. Mindig legyünk résen, vizsgáljuk meg az URL címeket, a feladót, figyeljünk az esetleges helyesírási hibákra (keressünk meg azt a bizonyos csomót a kákán)! Annak bizonyítására, hogy a csalók már mennyire kifinomult módszereket használnak, bemutatunk két példát, amit nemrég kaptunk.



Az első levél elvileg a Microsoft-tól érkezett és így nézett ki: Elsőre nagyon is valóságnak tűnik, ám ha jobban megnézzük, feltűnik néhány dolog…



<ul>
<li>Help-Desk e-mail cím, amelyről a levél érkezett. Nem egy szokványos ügyfélszolgálati e-mail cím, főleg a Microsoft esetén, inkább „support” vagy „microsoft” kellene szerepeljen legalább az e-mail címben.</li>



<li>Ha rávittük a kurzorunkat a kék ablakra, ami csalogató lehet, ezt a linket láthatjuk,&nbsp;(amelyet se nyisson meg senki): http://sbqcusmf1a3065.nestinvest.com.tr/.vSe5Ko9R0B.aHR0cHM6Ly9jaHJpc21haGFuY29uc3RydWN0aW9uLmNvbS92U2U1S285UjBCLzgzOTE1NDcyNi9wZXRlci5yb25hc3pla2kvI3BldGVyLnJvbmFzemVraUBmb3J0aXguaHU= A fenti piros színnel kiemelt URL-cím egy nem kívánatos oldalra irányítana át minket, amely következtében az illető sérülékeny adatokat szerezne meg tőlünk.</li>



<li>Lábjegyzetnél Microsoft logó és cím hiánya, általában szokott szerepelni az e-mailek végén, amit küldenek.</li>



<li>Nyelvezetben minimális eltérés a hivatalos e-mailektől. Itt van például a megszólítás: Hello, … !</li>
</ul>



Ezeket leszámítva, akár egy tapasztaltabb ember is bedőlhet ennek az e-mailnek, mivel annyira kifinomult módszereket használnak már a támadók, hogy alig lehet az eredetitől megkülönböztetni.



<figure class="wp-block-image"><img decoding="async" src="https://static.fortix.hu/app/uploads/2021/12/MS.png" alt="" class="wp-image-10993" title="MS"/></figure>



A másik levél látszólag egy energiaszolgáltató ügyfélszolgálatától érkezett:



<ul>
<li>Érdemes leellenőrizni egy korábbi e-mail alapján a szerződésszámot, illetve a bankszámlaszámot, amire az utalást kérnék. Ha nem egyeznek, akkor valószínűleg csalásról lehet szó, illetve az összeget is vegyük szemügyre, mert a fenti esetben az illetőnek, nem volt semmilyen fizetési kötelezettsége, ám mégis kapott egy ilyen e-mailt.</li>



<li>Vegyük szemügyre a feladót, az e-mail cím még teljesen korrekt lehetne, ha nem szerepelne mögötte egy domain, amin keresztül érkezett, ez picit furcsa lehet, előző e-mail alapján ezt is le tudjuk ellenőrizni.</li>



<li>Ha rávittük az egérkurzorunkat a „Befizetem bankkártyával” ikonra, akkor egy olyan URL-címet mutatott a böngészőnk, amely szintén gyanús lehet: („https://afacturar.info/notification.php”), mivel az MVM-nek vélhetően van saját platformja a tranzakcióhoz, de ezt is leellenőrizhetjük egy korábbi e-mailben, ahol helyes URL-címet fogunk látni.</li>
</ul>



Laikusként ezek az e-mail címek megkülönböztethetetlenek lehetnek számunkra, hiszen olyan kifinomult módszereket használnak a támadók manapság, hogy bárki bedőlhet a trükknek, akár egy szakember is.



Nagyon fontos, hogy ne nyissunk meg olyan tartalmakat, amelyeket nem ismerünk és nem vártunk. Ne adjunk meg semmilyen érzékeny adatot. Használjunk olyan szoftvereket, amelyek segítenek nekünk (pl. antivirus, spam szűrő, jelszókezelő).



<figure class="wp-block-image"><img decoding="async" src="https://static.fortix.hu/app/uploads/2021/12/Phishing.png" alt="" class="wp-image-10994" title="Phishing"/></figure>



Ha már megtörtént a baj, céges környezetben mindenképpen szóljunk az illetékes IT kollégának. Minél hamarabb figyelmeztetik az informatikai és biztonsági csapatokat a potenciális veszélyre, annál hamarabb tud a vállalat lépéseket tenni annak megakadályozása érdekében, hogy kárt tegyen a hálózatában.



Ha magánszemélyként kapunk ilyen e-mailt:



<ul>
<li>Ne kattintsunk olyan linkekre, amelyről nem vagyunk meggyőződve, hogy megbízható!</li>



<li>Ha már kattintottunk és megadtuk felhasználónevünket és/vagy jelszavunkat, akkor azokat azonnal változtassuk meg!</li>



<li>Amennyiben még nem tettük meg és lehetőség van rá, állítsunk be kétfaktoros azonosítást.</li>



<li>Értesítsük a szolgáltatót, akinek nevében a levél érkezett, illetve ha utalást vagy bankkártyás fizetést is indítottunk a csalóknak, akkor tegyünk feljelentést.</li>
</ul>



Szerző: Kóka Vajk

ÚJABB ADATHALÁSZ EMAILEK!

Mint információ, úgy a beszéd által szerzett információ, illetve annak védelme&nbsp;visszavezethető a beszéd megjelenésére, ami az ősi korokig vezet bennünket. Értsd: Az első emberi társadalmak megjelenését követően kialakulnak a saját beszédkultúrák és ennek következtében az információt ez által osztják meg egymással.



Gondolj bele, mikor egy törzs próbálta lefülelni, hogy a másik törzs miket csinál, mit-miért használ az is egy információ „lopás” volt. Így meg merem kockáztatni, hogy ha nem is a mai formájában, de bizonyosan jelen volt akkoriban is az információbiztonság fogalma a társadalomban, noha arról még nem tudtak.



Természetesen, ahogy a társadalom és a tudomány fejlődött, úgy&nbsp;megjelentek újabb módszerek az információcserére,&nbsp;illetve annak felhasználására és megszerzésének megakadályozására. Az írásos módszerek megjelenésével&nbsp;az információ tárolására is új lehetőségeket teremtettek. Ezt követően az információt továbbíthatták is egy másik fél számára.



A futárok megjelenésével a kezdetleges postai módszerek kialakultak, emellett&nbsp;az információ sértetlensége, mint fogalom is megjelent. Természetesen, ahogy ennek megvoltak az előnyei, úgy a hátrányai is. A futár elfogásával kapcsolatban fennált az információ sérülésének veszélye, nyilván akkoriban maga az írástudás is elég kis százalékban volt jelen a társadalomban így, ha egy írott dokumentumot készítettünk az már maga is egy bizonyos védettséget jelentett, de emellett&nbsp;megjelentek a különböző rejtjelezések is.



A középkori társadalmakban egyre inkább&nbsp;elterjedtek az írott dokumentumok&nbsp;és egyre több lett az írástudó. Ennek következtében fontos megemlíteni a könyvnyomtatás megjelenését, amelynek szintén voltak előnyei és hátrányai is.



Az újkori társadalmakban az ipari forradalmakat követően egyre gyorsabban kezdett fejlődni a tudomány.



Ekkoriban jelent meg az első telefon és rádió is, ennek következtében megjelenik az&nbsp;elektronikus hírközlés, amely az információ gyors és távoli közlését tette lehetővé. Történelmi fordulóponthoz érünk aszerint, hogy a rádió lehallgatás megjelenését követően&nbsp;az első intézkedések is megtörténnek az elektronikus információ-védelemmel&nbsp;kapcsolatban.



Az ipari forradalmat követően exponenciálisan kezd fejlődni a technológia, ezáltal a 20. század végére elérünk oda, hogy&nbsp;megjelennek az első személyi számítógépek és hálózatok. A gépiparra épülő társadalom is átalakul inkább az úgynevezett&nbsp;információs társadalommá, amelynek mozgatórugója a tudás és az információ.



Természetesen az információtechnológia robbanásszerű növekedését követően az ezt fenyegető veszélyek is ugyanekkora mértékben nőnek, amelyek megelőzése érdekében lépéseket kell tenni.



<figure class="wp-block-image"><img decoding="async" src="https://static.fortix.hu/app/uploads/2020/12/home-office-5000278_1920-e1607354578485.jpg" alt="" class="wp-image-9064" title="home-office-5000278_1920"/></figure>



&nbsp;20. században megjelenik a szabványosítás:&nbsp;



„Olyan tevékenység, amely általános és ismételten alkalmazható megoldásokat ad fennálló vagy várható problémákra azzal a céllal, hogy a rendező hatás az adott feltételek között a legkedvezőbb legyen.”



Fontosabb szabványok



<ul>
<li>Az első széles körben elterjedt szabvány informatikaibiztonsági szempontból a TCSEC, amelynek célja a hidegháború alatt az USA számítógépes rendszereinek védelme volt. Ennek Európai megfelelője volt az ITSEC.</li>



<li>A következő szabvány, amely a mai napig etalonnak számít a CC (ISO/IEC 15408) szabvány.&nbsp;</li>



<li>Informatikai üzemeltetés és fejlesztés szempontjából fontos megemlíteni az ITIL-t.&nbsp;</li>



<li>Az egyik leginkább elterjedt követelményrendszer napjainkban az ISO/IEC 27000-es szabványcsalád, amely abból a célból készült, hogy segítse az információbiztonsági rendszerek kialakítását, működtetését.</li>
</ul>



Összességében kijelenthetjük, hogy a címben szereplő kérdésre a válasz az, hogy&nbsp;az emberi gondolkodással és kommunikációval egy idős az információbiztonság, amely mára már elengedhetetlen részévé vált a társadalmunknak.



Fontosságát az is mutatja, hogy az információs- technológia rohamosan fejlődik és az ebből adódó lehetőségek kihasználása hatalmas hatással van a mai társadalom fejlődésére, beleértve a magán és vállalati szférát is.



Elkerülhetetlenek így az ezekből a lehetőségekből adódó veszélyek is, amelyek megelőzése végett beszélünk jelenleg is információbiztonságról. A biztonság kialakításához és fentarthatóságához egyre inkább növekvő mértékben megfelelő szakemberekre van szükség, akik a tudásuknak és a fent említett szabványoknak köszönhetően mindent megtesznek az információink védelme érdekében.



Az elmúlt években e területen minden szereplő által érezhető szakemberhiány alakult ki, amely valójában lehetőség egy minden eddiginél szélesebb kör számára, hogy az informatika és a biztonság területén kezdjen karriert, vagy akár váltson e területre.



Szerző: Kóka Vajk Csanád

MENNYI IDŐS AZ INFORMÁCIÓBIZTONSÁG?

Az egyre mélyebb&nbsp;digitalizáció és a felhőalapú szolgáltatások fejlődése&nbsp;és azok alkalmazása a legkülönbözőbb szervezeteknél az elmúlt években&nbsp;gyorsuló ütemet mutat. Nem véletlenül, hiszen a felhőszolgáltatások számos ponton járulhatnak hozzá a szervezetek eredményességéhez és fejlődéséhez, ám ehhez megfelelően kell azokat alkalmazni.



A digitalizáció és a felhőhöz kötődő előnyök kihasználásához kiemelten fontos felismernünk, hogy mindez&nbsp;nem csak technológiai kérdés! Olyan alapvető változásokról van szó, amelyek érintik magát a társadalmat is a harmadik ipari forradalomként leírt folyamatokkal és a szakmák átalakulásával, és ezzel együtt minden szervezet életében okozhat meglepetéseket, ha bejön piacunkra egy új „innovatív” szereplő, aki felforgatja annak kereteit.



A felhőhöz kötődő technológiák egy sor újítást hoznak magukkal, ami kihatással lesz a céges kultúrára, előtérbe kerülnek az automatizálás lehetőségei.



E változások előnyeinek értő kihasználásával piaci innovációnkat, ügyfeleink elégedettségét és folyamataink optimalizálását drasztikusan felgyorsíthatjuk. Fontos a stratégia kialakítása, a kapcsolódó technológiák és folyamatok ismerete, illetve azok optimális kihasználása, továbbá az e transzformációval járó kockázatok és megfelelési kihívások proaktív kezelése.



Bár sokan nincsenek is tisztában vele, már most is akár több felhő szolgáltatást is használnak. Gondoljunk csak például egy Google Drive-ra, vagy a Youtube-ra, amelyek a mindennapi életünk részévé váltak és szintén ezt a technológiát alkalmazzák. A felhőszolgáltatások lényege leegyszerűsítve, hogy az adatainkat nem a saját gépünkön tároljuk, hanem azok egy szolgáltató szerverein vannak, valahol a világban és az Internet segítségével tudunk hozzájuk csatlakozni.



Amikkel a hétköznapi életben találkozunk és használunk, azok általában az úgynevezett&nbsp;publikus felhő szolgáltatások,&nbsp;amikor a szolgáltató működteti a teljes infrastruktúrát és alapvetően más cégekkel lakunk közös infrastruktúrán.



A felhőszolgáltatások egyik nagy előnye, hogy felhasználói oldalon nincsenek kötöttségek. Arról nem is beszélve, a korlátok abban az értelemben is eltűnnek, hogyha nagyobb tárolókapacitásra van szükségünk, akkor egyszerűen, néhány kattintással tudunk több kapacitást vásárolni, mindenféle költséges szerver bővítés nélkül.



Éppen ezért nyugodtan mondhatjuk, ez a megoldás sokkal költséghatékonyabb, mint amikor saját szervereket kell üzemeltetni és fenntartani.



A felhő esetén egy kész infrastruktúrát bérlünk, ahol az azzal kapcsolatos beruházásokra nincs, vagy más, korlátozottabb formában van szükség, és az üzemeltetési költségek minket csak az éppen&nbsp;felhasznált számítási, tárolási, vagy hálózati kapacitás függvényében terhelnek.



Persze a technológiának a lelkes támogatói mellett vannak ellenzői is, akik összességében több veszélyt látnak benne, mint előnyt. Időről időre mindig felmerül a kérdés,vajon nem túl kockázatosez a fajta adattárolási és feldolgozási mód? Hiszen az adatok, információk kikerülnek a hatókörünkből és amire nincs fizikai ráhatásunk, azt talán kellően nem is tudjuk megvédeni.



Mint magánszemély, sokkal könnyebben használjuk a felhő szolgáltatásokat, a legtöbbért még nem is fizetünk (illetve pénz helyett sokszor személyes adatainkkal tesszük ezt), de a vállalatok már kicsit jobban tartanak az esetleges veszélyektől. Könnyű belátnunk, ha a családi fotóalbum egy ideig nem elérhető, az nem olyan nagy tragédia, mint amikor egy vállalat működése áll le órákra, súlyos veszteségeket termelve.



Alapelv: tökéletes, 100%-os biztonság nincs, akár a felhőről, akár saját szerver üzemeltetéséről beszélünk.



Bár a felhő szolgáltatás igénybevétele esetén a feladatok egy nagy részét az adott szolgáltatóra hárítjuk, az is tény, egyúttal kiszolgáltatottá is válunk a szolgáltatónk felé. Ezért is fontos, ki mellett tesszük le a voksunkat. De még egy megbízható partner kiválasztása sem jelenti azt, nyugodtan hátra dőlhetünk és innentől nincsen semmi tennivalónk.



És meg is érkeztünk a bevezetőben már említett stratégiához. Stratégiánkban tekintsük át a teljes szervezet üzleti és stratégiai szempontjait, a&nbsp;szükséges szervezési, biztonsági és technikai szempontokat&nbsp;is!



<figure class="wp-block-image"><img decoding="async" src="https://static.fortix.hu/app/uploads/2019/03/cape-ortegal-117601_1920-e1587385483355.jpg" alt="" class="wp-image-6507" title="cape-ortegal-117601_1920"/></figure>



Többek között a következő kérdésekre mindenképpen választ kell adnunk:



<ul>
<li>Milyen adatokat akarunk felhőben tárolni és feldolgozni?</li>



<li>Mindemellett, és talán a legfontosabbként: saját belső kontrollkörnyezetünket a felhő koncepciójához kell igazítanunk, tudva, hogy bár a végrehajtás a szolgáltatónál lehet, a felelősség nálunk marad; ennek megfelelően azon intézkedéseket, amelyek a mi hatókörünkben marad, robusztus módon kell felépítni, beleértve a felhőszolgáltató biztonságával kapcsolatos megfelelő bizonyosságszerzés módjait és folyamatait is.</li>



<li>A szolgáltatói szerződésnek miket kell tartalmazni ahhoz, hogy a megfelelő jogi védelem és garanciák is rendelkezésre álljanak?</li>



<li>Mi történik egy incidens, vagy szolgáltatás kiesés esetén?</li>



<li>Hogyan felelünk meg ágazati jogszabályoknak, ajánlásoknak (például Magyar Nemzeti Bank ajánlásai)?</li>



<li>Ha személyes adatokról is szó van, hogy tudjuk biztosítani a vonatkozó jogszabályoknak (például: GDPR) történő megfelelést?</li>



<li>Hogyan lehet biztosítani az adatok hordozhatóságát?</li>



<li>A szolgáltató milyen garanciákat, megfeleléseket tud felmutatni?</li>



<li>Mely rendszereinknél mi a legjobb megoldás a felhő szemszögéből?</li>
</ul>



A vita, hogy a felhő jó vagy rossz, biztonságos vagy sem, a nemzetközi tapasztalatok alapján eldőlni látszik és&nbsp;térhódítása a következő években nem csak külföldön, de itthon is folyamatosan növekedni fog. Ismerjük meg, alakítsuk ki a megfelelő folyamati, szabályozási és kontrollkörnyezetet és használjuk okosan!

FELHŐ: BORÚ VAGY DERŰ?

Először is, mi az a sérülékenység vagy más néven biztonsági rés?



A kiberbiztonságban a sérülékenység a rendszerek olyan állapota, hiányossága, amelyet a számítógépes bűnözők kihasználhatnak, hogy illetéktelenül hozzáférjenek a számítógépes rendszerhez. A biztonsági rés kihasználása után a kibertámadás alatt kártékony kódokat futtathat, rosszindulatú programokat telepíthet, sőt akár érzékeny adatokat is ellophat.



A biztonsági réseket sokféleképpen ki lehet használni. Párat megemlítve: SQL injektálással, meghibásodott hitelesítés, oldalak közti szkriptelés (XSS) és még sorolhatnánk.



A National Institute of Standards and Technology (NIST) így határozza meg a sérülékenységet:



<ul>
<li>Az információs rendszer, a rendszerbiztonsági eljárások, a belső kontrollok vagy a megvalósítás gyengesége, amelyet egy fenyegetésforrás kihasználhat vagy kiválthat.</li>
</ul>



Mikor kell nyilvánosságra hozni egy sérülékenységet?



Még nem tisztázott, hogy melyik lehetőség lenne a legjobb megoldás, de két opció van.



Azonnali nyilvánosságra hozatal:



<ul>
<li>Egyes szakértők úgy vélik, hogy ez biztonságos szoftverekhez és gyorsabb javításokhoz vezet, javítva a szoftverek, alkalmazások, számítógépek és az operációs rendszer biztonságát.</li>
</ul>



Korlátozott nyilvánosságra hozatal:



<ul>
<li>Mások úgy gondolják, hogy az azonnali nyilvánosságra hozatallal a biztonsági réseket jobban ki lehet használni. A korlátozott nyilvánosságra hozatal támogatói úgy vélik, hogy az információk korlátozása bizonyos csoportokba csökkenti a kockázatot.</li>
</ul>



Attól függetlenül, hogy melyik oldalra esik a választásunk, tudni kell, hogy a kiberbűnözők rendszeresen keresik a sebezhetőségeket és tesztelik a már ismert sérülékenységeket.



Egyes vállalatoknak vannak belső biztonsági csoportjai, amelyek feladata az informatikai biztonság és a szervezet egyéb biztonsági intézkedéseinek tesztelése az általános információs kockázatkezelési és kiberbiztonsági kockázatkezelési folyamatok részeként.



Vannak olyan vállalatok is, amelyek hibakereső játékokat, úgynevezett bug bounty programokat kínálnak, ezáltal arra ösztönözve bárkit, hogy találja meg és számoljon be a sebezhetőségekről a vállalat számára. Természetesen ezt a tevékenységet honorálják is.



Mi a különbség a sérülékenység és a kockázat között?



A kiberbiztonsági kockázatokat általában a sérülékenységek közé sorolják. A sérülékenység és a kockázat azonban nem ugyanaz. Gondoljon a kockázatra úgy, mint a sérülékenység kihasználásának valószínűségére és annak hatására; a kockázat a sérülékenység kihasználásából adódó negatív hatású esemény lehetősége. Így, ha a sérülékenység kihasználásának hatása és valószínűsége alacsony, akkor a kockázat is alacsony lesz.



Mi okozza a sérülékenységet?&nbsp;



Számos oka van, többek között:



<ul>
<li>Bonyolultság:&nbsp;A komplex rendszerek növelik a hibák valószínűségét.</li>



<li>Ismertség:&nbsp;A közös kód, szoftverek, operációs rendszerek és a hardver növeli annak a valószínűségét, hogy a támadó találni fog sérülékenységet vagy információval rendelkezik az ismert biztonsági résekről.</li>



<li>Kapcsolódás: Minél több összekapcsolt eszközünk van, annál nagyobb a sérülékenység esélye.</li>



<li>Gyenge jelszókezelés:&nbsp;A gyenge, alapértelmezett, rosszul konfigurált jelszavak könnyen feltörhetők brute force technikával.</li>



<li>Operációs rendszerek hibái:&nbsp;Mint minden szoftvernek, az operációs rendszernek is lehetnek hibái. Alapértelmezés szerint nem biztonságos operációs rendszer az, amely minden felhasználó számára teljes hozzáférést biztosít, lehetővé téve a vírusok és rosszindulatú programok számára a parancsok végrehajtását.</li>



<li>Internet használat:&nbsp;Az internet tele van rosszindulatú szoftverekkel (pl.: spyware), amelyek a megfelelő védelem hiányában fenyegetést okoznak a számítógépükre nézve.</li>



<li>Szoftverhibák:&nbsp;A programozók akarva, akaratlanul is hagyhatnak hibát a szoftverben.</li>



<li>Emberek:&nbsp;A legnagyobb biztonsági rés bármely szervezetben az ember. Ezért is jelenti a legnagyobb veszélyt a legtöbb szervezetre nézve a social engineering.</li>
</ul>



Sérülékenységek észlelése és kezelése&nbsp;



A&nbsp;biztonsági rés vizsgálata&nbsp;olyan&nbsp;szoftverek segítségével történik, amelynek célja a számítógépek, hálózatok vagy alkalmazások ismert sebezhetőségének felmérése. Felismerhetik és azonosíthatják a hálózaton belüli hibás konfigurációból és hibás programozásból eredő sérülékenységeket majd hitelesített vizsgálatokat hajthatnak végre. A hitelesített (authentikált) vizsgálatok lehetővé teszik a sérülékenység vizsgáló szoftver számára, hogy közvetlenül hozzáférjen a hálózati eszközökhöz távoli adminisztrációs protokollok, például shell (SSH) vagy távoli asztali protokoll (RDP) használatával és hitelesítse a megadott rendszert.



A másik megoldás az ütemezett, külső partner által végzett penetrációs teszt.



A penetrációs teszt&nbsp;az a gyakorlat, amikor egy információs technológiai eszközt tesztelnek annak érdekében, hogy megtalálják a támadók által kihasználható biztonsági réseket&nbsp;és teszteljék azok gyakorlati, visszaélésre alkalmas kihasználhatóságát. A teszt történhet szoftver segítségével vagy manuálisan. A folyamat célja, hogy információkat gyűjtsön a célrendszerről, azonosítsa a lehetséges sérülékenységeket, megkísérelje azokat kihasználni majd beszámoljon az eredményekről.



A penetrációs tesztelés a szervezet biztonsági politikájának, a megfelelőségi követelmények betartásának, az alkalmazottak biztonságtudatosságának és a szervezet biztonsági incidensek azonosítására és az azokra való reagálásra való képességének tesztelésére is használható.&nbsp;



A biztonsági rések észlelése, osztályozása és orvoslása a sérülékenység – menedzsment részei. Mivel a számítógépes támadások folyamatosan fejlődnek,&nbsp;a sérülékenység menedzsment rendszeres és ismétlődő gyakorlat kell legyen&nbsp;annak érdekében, hogy a szervezet továbbra is védett maradjon.



Konklúzió&nbsp;



Tehát, ahogy a való világban, úgy a számítógép világában is vannak és lesznek is olyan személyek, akik rosszindulatúak (bűnözők – kiberbűnözők). Ennek következtében, mindig is lesznek olyanok, akik az újabb és újabb sérülékenységeket kihasználva károkozásra törekednek. Abból kifolyólag is, hogy nincs tökéletesen megírt szoftver, nincs tökéletesen megtervezett hálózati infrastruktúra, illetve nincs tökéletes ember sem.



A legjobb megoldás az lehet, ha céltudatosan és felelősségteljesen gondolkozunk, illetve a fent említett módszerek használatával (ütemezett penetrációs teszt és sérülékenység vizsgálatok) csökkentjük a felmerülő kockázatok számát.

MIÉRT VAN ANNYI SÉRÜLÉKENYSÉG?

Modern világunk technikai fejlődésével lépést tartani egyetlen szervezet informatikai csapatának sem egyszerű feladat.&nbsp;



Nem csupán folyamatosan felkészültnek kell lenni, de a biztonságos üzemeltetéshez egyre több tényezőt kell figyelembe venni:&nbsp;



<ul>
<li>IoT (a dolgok Internete) terjedése, minden mindennel kapcsolatban van, kapcsolatban lehet.&nbsp;</li>



<li>A rendszerek egyre nagyobbá, komplexebbé válnak.&nbsp;</li>



<li>Az informatika mára már infokommunikációvá vált és a mindennapi életben szinte minden területen meghatározó tényező lett.&nbsp;</li>



<li>Új, eddig nem ismert megoldások, szolgáltatások jelennek meg.&nbsp;</li>



<li>A rohanó világ a fejlesztésre is rányomta a bélyegét. A fejlesztők között is folyamatos verseny folyik, hogy ki tud gyorsabban és olcsóbban előállítani egy terméket. &nbsp;</li>



<li>Az új rendszerek új kihívásokat jelentenek a felhasználóknak, a fejlesztőknek, az üzemeltetőknek egyaránt.&nbsp;</li>



<li>Az új rendszerek új lehetőségeket nyújtanak a támadóknak, de nem csak az új rendszereken, hanem a már meglévő régieken is.&nbsp;</li>



<li>Az informatika tradicionálisan egy bizalmi szakma. Az évek folyamán azonban kulcsszerepet kapott a szervezetek legtöbb folyamatában, így a szerveztek részéről – joggal – felmerült az informatika ellenőrzésének az igénye. Erre a szakértői ellenőrzésre is megoldást kínálhat a sérülékenység menedzsment.&nbsp;</li>
</ul>



<figure class="wp-block-image"><img decoding="async" src="https://static.fortix.hu/app/uploads/2018/01/inform%C3%A1ci%C3%B3-biztons%C3%A1g-fortix-audit-adatv%C3%A9delem-25.jpg" alt="" title="információ-biztonság-fortix-audit-adatvédelem-25"/></figure>



Rés a pajzson – technikai sérülékenység



A kibertámadások célja és módja sokféle lehet. Közös bennük az, hogy valahogyan be kell jutni a rendszerbe, hogy a kívánt célt megvalósíthassák. Ehhez rést kell találni a védelemben. A legegyszerűbb – és egyben&nbsp;a leggyakoribb&nbsp;is –&nbsp;azon rések megtalálása, amelyeket már ismertek, amelyeket már publikáltak. Ezt a támadók is jól tudják, és előszeretettel használják is idegen rendszerekbe történő bejutásra, azokban történő mozgásra.&nbsp;Az ilyen esetek megelőzhetők. A sérülékenységeket mihamarabb fel kell ismerni, és azokat be kell foltozni. Ebben segít a sérülékenység vizsgálat és a sérülékenység menedzsment.&nbsp;&nbsp;



Sérülékenység vizsgálat



A sérülékenység vizsgálat egy tevékenység, amely vagy folyamatosan – monitorozó jelleggel – vagy pedig időszakosan (jellemzően havonta) kerül elvégzésre előre egyeztetett és tervezett módon és időpontban. A sérülékenység vizsgálat&nbsp;célja az, hogy az ismert technikai réseket, sérülékenységeket megtaláljuk még az előtt, hogy azokat a támadók találnák meg&nbsp;és használnák ki. Az infokommunikációs rendszerről különböző módon begyűjtött technikai adatok kiértékelésre kerülnek az ismert sérülékenységek azonosítása céljából. &nbsp;



A sérülékenységet vizsgáló szakember számos eszközt használhat az adatok összegyűjtésére és kiértékelésére. Ezek lehetnek automatizált eszközök, amelyeket helyileg, vagy felhőben futtathatnak; de lehetnek manuális módszerek is. A sérülékenység vizsgálat eredménye a sérülékenységek listája. A sérülékenység vizsgálat kimenete a sérülékenység menedzsment egyik legfontosabb bemenete.



Sérülékenység menedzsment



A sérülékenység menedzsment nem egy projekt, aminek kezdete és vége van. A sérülékenység menedzsment egy szakértői támogató tevékenység, amely biztosítja, hogy a szervezet rendszerei folyamatos monitorozás és korrigálás alatt álljanak. A folyamat&nbsp;célja, hogy a szervezet rendszereit folyamatosan a lehető legbiztonságosabban tartsa&nbsp;az állandóan változó körülmények ellenére. A sérülékenység menedzsment legfontosabb bemenete az ide vonatkozó publikációk követése és a sérülékenység vizsgálat eredményei. A sérülékenység vizsgálat eredményei a sérülékenység menedzsment keretében a szervezeti viszonyokat is figyelembe véve priorizálásra és a szervezettel együtt működve kezelésre kerülnek.



Etikus hekkelés



Az etikus hekkelés egy olyan, a megrendelővel&nbsp;előre(!) egyeztetett tevékenység,&nbsp;ahol a szakember nem elégszik meg a potenciális lehetőségek listázásával, hanem egy vagy több etikus hekker segítségével és szakértelmével megpróbál bejutni a megrendelő saját(!) informatikai rendszerbe és/vagy kibővíteni a meglévő jogosultságait. Ennek módját és a talált vagyonelemeket alaposan dokumentálja, hogy azok felhasználhatóak legyenek a hibák kijavítására. Az etikus hekkelés eredménye a sikeres bejutás vagy jogosultság kibővítés ténye és módja. Ezen dokumentáció&nbsp;szintén a sérülékenység menedzsment egy fontos bemenete.



Konklúzió



Az infokommunikációs rendszerek rohamos fejlődésének következtében sok új lehetőség tárul a vállalatok elé, ám mindezek mellett megjelennek az új sérülékenységek is. Ahhoz, hogy egy rendszer megfelelően tudjon működni és ne akkor szembesüljön egy vállalat a problémával, mikor már megtörtént a baj, elengedhetetlen, hogy&nbsp;rendszeresen/ütemezetten végezzenek sérülékenység vizsgálatot a vállalatuknál, amely segít elkerülni/megelőzni a káreseteket&nbsp;és biztosítja a rendszer megfelelő működését, ezáltal megpróbálva a rendszer adta lehetőségeket maximálisan kihasználni.

SÉRÜLÉKENYSÉG VIZSGÁLAT ÉS MENEDZSMENT

<h1 class="wp-block-heading"></h1>



Évek óta egyre több ilyen esetről hallani világszerte, Magyarországon is óriási károkat okoznak, magánszemélyeknek éppúgy, mint cégeknek. Az ilyen jellegű fertőzések gépünk operációs rendszerébe mélyen beágyazódva figyelhetik a lenyomott gombokat, módosíthatják beállításainkat és csökkenthetik eszközünk teljesítményét, mindeközben bejelentkezési adatokat, e-mail- és böngészési előzményeket, valamint bankkártyaadatokat lophatnak el.



2021.10.01. 16:00 | Szerző: Panyi Zsolt, a FORTIX Consulting Kft. vezető tanácsadója







A kémprogram olyan szoftver, amely képes megfertőzni egy számítógépet, laptopot vagy éppen egy okostelefont. A célpont egyaránt lehet magánszemély vagy cég, hiszen ezekkel a szoftverekkel nemcsak személyes adatok, hanem gazdasági információk is megszerezhetők. Évek óta egyre több ilyen esetről hallani világszerte, Magyarországon is óriási károkat okoznak, magánszemélyeknek éppúgy, mint cégeknek. Az ilyen jellegű fertőzések gépünk operációs rendszerébe mélyen beágyazódva figyelhetik a lenyomott gombokat, módosíthatják beállításainkat és csökkenthetik eszközünk teljesítményét, mindeközben bejelentkezési adatokat, e-mail- és böngészési előzményeket, valamint bankkártyaadatokat lophatnak el.



<figure class="wp-block-image"><img decoding="async" src="https://cdn.vg.hu/2021/10/jUBI4BVbhupOsN5xWtZ6x_M3ZyTDmOLaytX6pEYfVLs/fill/2736/1536/no/1/aHR0cHM6Ly9jbXNjZG4uYXBwLmNvbnRlbnQucHJpdmF0ZS9jb250ZW50LzYzZGQ1MDY5YmZlYTRmMzdhNTNhYjEwZDk3MzliZjk4.jpg" alt=""/><figcaption class="wp-element-caption">Fotó: Shutterstock</figcaption></figure>



A kémprogramoknak több fajtájuk létezhet. A&nbsp;reklámprogram típusú kémprogramok a felhasználók böngészési előzményeit követik nyomon (megtekintett oldalak, kattintott hivatkozások, letöltések, stb.), és ez alapján segítenek eldönteni a készítőjüknek, hogy a felhasználókat mi érdekli. A reklámprogramok ezt követően relevánsnak ítélt hirdetéseket jelenítenek meg a felhasználónak, ami lelassíthatja a készüléküket.&nbsp;



<blockquote class="wp-block-quote">
A trójai krémprogramok hiteles, biztonságos szoftvereknek álcázzák magukat, például egy gyakori bővítmény frissítéseként. Ezek a kémprogramok nagyon érzékeny személyes adatokat próbálnak ellopni a felhasználótól.&nbsp;
</blockquote>



A nyomkövető sütik (tracking cookie) a felhasználók online tevékenységeit „jegyzik” és küldik vissza a hirdetőknek, hogy aztán azok releváns hirdetéseket jelenítsenek meg. Léteznek persze rendszerfigyelő programok is, amelyek szinte minden tevékenységet képesek feljegyezni, amit a felhasználó elvégez az eszközén.&nbsp;Az viszont egyáltalán nem mindegy, hogy egy felhasználónak azért monitorozzák az internetes érdeklődését és beszélgetéseit, hogy kulcsszavakat keressenek hirdetések megjelenítéséhez, vagy éppen a teljes kommunikációját lehallgatják, hozzáférve a fotóihoz, majd azokat kielemzik, hogy pontosan megtudják, milyen tevékenységet végez.



Az izraeli NSO Group által kifejlesztett kémprogramot (Pegasus) már egyfajta kiberfegyverként is használják:



<blockquote class="wp-block-quote">
például titokban lehet telepíteni a megcélzott mobileszközök legtöbb változatára. Zero-Day, vagyis nulladik napi sebezhetőségeket használnak ki a telefonokra (leginkább gyárilag) telepített programokban, hogy az tetszőleges kódot futtasson vagy információkat szerezzen meg.&nbsp;
</blockquote>



A kémprogram már 2016 óta képes szöveges üzenetek olvasására, hívások nyomon követésére, jelszavak gyűjtésére, helymeghatározásra, a céleszköz mikrofonjához és kamerájához való hozzáférésre, valamint az alkalmazásokból származó információk gyűjtésére.



A kémszoftver olyannyira mindentudó, hogy több jogosultságot szerez magának a készüléken, mint amennyi a mobil használójának lehet.&nbsp;A képességei arra is kiterjednek, hogy még a titkosított üzenetváltásokat is el tudja olvasni.&nbsp;A program kihasználja a mindenkori biztonsági réseket, még az egyébként védettebbnek mondható iPhone-oknál is. Különösen kockázatosnak tartják az iMessage üzenetküldő szolgáltatást és a FaceTime videótelefonálót, de a behatolásra olyan, ártatlannak tűnő programok is alkalmasak, mint az Apple Music vagy a fotóalkalmazás.&nbsp;



<blockquote class="wp-block-quote">
A program települhet a készülékre egy ártalmatlannak tűnő linket megnyitva, WhatsAppnál akár egy hívás fogadásával, eltérített domainek használatával (CNN, Google, Apple, Amazon, LinkedIn, DropBox stb.) vagy kártékony oldalakkal.
</blockquote>



Legújabb verziója fejlettebb, akár felhasználói interakció nélkül is települhet az eszközre. A szoftver a kémkedést kezdeményező általi eltávolítása után nagyrészt a saját nyomait is eltünteti, így nehéz felfedezni utólagosan, de működése közben hagy olyan nyomokat, amelyeket fel lehet ismerni. Erre már applikáció is létezik, de ennek használata átlagos felhasználó számára nem egyszerű. Az iPhone készülékekre ugyanakkor készült egy alkalmazás, ez már tartalmaz kémprogram-ellenőrzést is.



<blockquote class="wp-block-quote">
Egy ilyen volumenű kiberfegyverrel szemben védekezni nem egyszerű, laikusként főleg nem. Az ideális az lenne, ha az általunk használt alkalmazások fejlesztői folyamatosan befoltoznák a sérülékenységeket, de ők sem tudnak mindent felfedni.
</blockquote>



Amit pedig úgy általában tehetünk a kémprogramokkal szemben, az az eszközök tudatos használata. Ez azt jelenti, hogy ne nyissunk meg ismeretlen üzeneteket, ne kattintsunk gyanús linkre, tartsuk eszközeinket frissített állapotban. Ha lehetséges, akkor érdemes elkerülni a publikus wifihálózatokat, a céges vagy bizalmas adatokhoz használjunk VPN-t.



<blockquote class="wp-block-quote">
Jó megoldás, ha titkosítjuk az eszköz adatait, engedélyezzük a távoli törlést arra az esetre, ha ellopják a telefonunkat.
</blockquote>



Ehhez azonban érdemes segítséget kérni olyan szakértőktől, akik ezzel foglalkoznak. Ennek költsége eltörpül ahhoz képest, amilyen károkat egy kémprogram okozni tud akár az egyénnek, akár egy vállalkozásnak.







Forrás: https://www.vg.hu/velemeny/2021/10/kimeletlen-kemprogramok

KÍMÉLETLEN KÉMPROGRAMOK

A hackeléssel kapcsolatos jogsértések 81%-ért a feltört jelszavak a felelősek. Ebből következik, hogy az információbiztonság kulcsfontosságú része a felhasználói jelszavak védelme.&nbsp;



<h5 class="wp-block-heading">A NIST JELSZAVAKKAL KAPCSOLATOS IRÁNYELVEI:&nbsp;</h5>



Hosszúság – komplexitás Általában azt mondják, hogy az összetettebb jelszó biztonságosabb, de a valóságban a jelszó hossza sokkal fontosabb, mert a hosszabb jelszót nehezebb visszafejteni. A NIST szigorúan minimum 8 karakter hosszúságot ír elő.



Időszakos visszaállítások megszüntetése A jelszó gyakori cseréje ronthatja a biztonságot, mivel a jelszavakat gyakran kiszámítható mintákban változtatják meg. Például egy adott betűt egy hasonló szimbólumra cserélnek le. Így, ha a támadó már ismeri a korábbi jelszót, akkor nem lehet nehéz feltörni az újat sem.



Használjuk a Breached Password Protectiont Minden új jelszót ellenőrizzünk egy „feketelistán”, például a&nbsp;<a href="https://haveibeenpwned.com/" rel="noreferrer noopener" target="_blank">haveibeenpwned</a>&nbsp;vagy bármely más platform segítségével.



Ne használjunk jelszó tippeket Egyes vállalatok megpróbálnak segíteni a felhasználóknak, hogy tippeket adnak, vagy egy személyes kérdés megválaszolására kötelezik őket.



A személyes adatok folyamatos terjedésével a közösségi médiában vagy a social engineering révén ezeket könnyű megtalálni.



Jelszókísérletek korlátozása Brute-force támadások megállításának egyik legjobb módja, hogyha egy adott korlátot meghalad a bejelentkezési kísérletek száma, akkor a fiókot zároljuk.



&nbsp;Többfaktoros hitelesítés A NIST irányelvek többtényezős hitelesítést várnak el az online elérhető személyes adatok biztonságához.



&nbsp;Biztonságos adatbázisban tároljuk jelszavainkat A jelszavakat olyan adatbázisban tároljuk, amelyhez csak az illetékesek férhetnek hozzá, ugyanakkor fontos, hogy az adatbázis konfigurációja is megfelelő legyen.



&nbsp;Jelszavak hashelése A jelszavak hashelése abban az esetben is védelmet nyújt, ha az adatbázisunkat valamilyen okból kifolyólag sikerül megsérteni. Egy erős hash-séma használata esetén a támadók nem fogják tudni visszafejteni a megszerzett adatokat. A NIST előírása alapján a jelszavakat legalább 32 bites adattal kell „sózni” és például olyan technikákkal kell hashelni, mint a PBKDF2.



<figure class="wp-block-image"><img decoding="async" src="https://static.fortix.hu/app/uploads/2021/08/1.png" alt="" class="wp-image-10473" title="1"/></figure>



KEEPER



<ul>
<li>Master Password funkció</li>



<li>AES és PBKDF2 titkosítás</li>



<li>Több fakrotos hitelesítés</li>



<li>Biometrikus hozzáférés ellenőrző</li>



<li>FIPS 140-2, SOC 2, ISO 27k1 stb. megfelelés</li>



<li>Nem tárol semmilyen adatot</li>
</ul>



1Password



<ul>
<li>End-to-end, AES-GCM és PBKDF2 titkosítás</li>



<li>Monitoring funkció</li>



<li>Master Password funkció</li>



<li>Secret Key funkció az adatok védelmére</li>



<li>Biometrikus hozzáférés ellenőrző NordPas</li>
</ul>



Dashlane



<ul>
<li>Monitoring funkció</li>



<li>&nbsp;AES titkosítás</li>



<li>Master Password funkció</li>



<li>Több faktoros hitelesítés</li>



<li>Biztonsági irányítópult</li>



<li>Nem tárol semmilyen adatot&nbsp;</li>
</ul>



RoboForm



<ul>
<li>Több faktoros hitelesítés</li>



<li>AES és PBKDF2 titkosítás</li>



<li>Nem tárol semmilyen adatot</li>



<li>Kompatibilitás</li>



<li>Biztonsági irányítópult</li>
</ul>



<figure class="wp-block-image"><img decoding="async" src="https://static.fortix.hu/app/uploads/2021/08/3.png" alt="" class="wp-image-10476" title="3"/></figure>



Bitwarden



<ul>
<li>Nyílt forráskódú</li>



<li>Rengeteg platformmal kompatibilis</li>



<li>&nbsp;Felhasználóbarát felület</li>



<li>GDPR, Privacy Shield, HIPAA és CCPA megfelelés</li>



<li>&nbsp;AES-CBC és PBKDF2 titkosítás</li>
</ul>



NordPass



<ul>
<li>Biometrikus hozzáférés ellenőrző</li>



<li>Több faktoros hitelesítés</li>



<li>XChaCha20 titkosítás</li>



<li>Nem tárol semmilyen adatot</li>



<li>Secure Key funkció</li>
</ul>



LastPass



<ul>
<li>Több faktoros hitelesítés</li>



<li>Master Password funkció</li>



<li>AES és PBKDF2 titkosítás</li>



<li>Nem tárol semmilyen adatot</li>
</ul>



KeePass



<ul>
<li>Ingyenes, nyílt forráskódú</li>



<li>AES, Rijndael, Twofish titkosítás</li>



<li>&nbsp;Master Password funkció</li>



<li>&nbsp;Portable verzió</li>



<li>Nem tárol semmilyen adatot</li>
</ul>

JELSZÓKEZELÉS

A kivételekről és a fenntarthatóságról – &nbsp;információbiztonsági szempontból.&nbsp;„Soha nem fog eljönni az az idő, amikor minden úgy működik, ahogy tervezted!”



Részlet cégvezetőnk, Farkas Imre: Zero Day – Zero Budget: Information Security Management Beyond Standards &nbsp;c. könyvéből



AZ A NAP, AMIKOR MINDEN MŰKÖDIK a tervek szerint – annak a napja is, amikor a munkádra már nincs szükség. Nagyjából. A nem kívánt eseményekre való felkészülés, azok felderítése és az ellenük való fellépés a jól megvalósított biztonság központi tényezője, tanácsos hát megbékélnünk a folyamatosan felmerülő eltérésekkel és kivételekkel – ezek valójában a barátaink. A munkád nem az, hogy elérd a „rendellenesség mentességet”; hanem a lehető legteljesebb felkészülés a nemvárt eseményekre és a kockázatok és nem-megfelelések megfelelő eszkalációjának és megfelelő intézkedések meghozatalának biztosítása – mert&nbsp;a kivételek mindig jelen vannak.



Általában a dolgok legalább harmada/negyede nem úgy alakul, ahogy szeretnéd. Ahhoz azonban, hogy felismerd azokat az eseményeket és körülményeket, amelyek nem támogatják a szervezet biztonsági céljait, meghatározott alapkövetelményekre van szükség, megbízható irányelvek formájában.



A fenntarthatóság azt is jelenti, hogy azokat a kivételeket, amelyek minden erőfeszítésünk ellenére megmaradnak, folyamatosan újravizsgáljuk és végül adekvát módon kezeljük.



<h5 class="wp-block-heading">TEREMTS ÁTLÁTHATÓSÁGOT</h5>



A biztonsági szabályzatok kiadása, projektek indítása, a folyamatok végrehajtása nem old meg minden kérdést.&nbsp; Mindig lesznek kivételek, és ez teljesen normális.&nbsp;Amire szükséged van, az egy olyan módszer, amellyel az alapvető biztonsági követelményektől való eltéréseket kezelheted, mert az esetek mintegy 30% -ában elkerülhetetlenül lesznek ilyenek. Ez azt jelenti, hogy minden alkalmazott szabály esetében 100 esetből körülbelül 30 lesz, ami ellentétes a szabályzattal.



Ennek rengetegféle, például üzleti megtérülési oka lehet. Rendet teremthetsz a káoszban, ha ezeket a kivételeket konzekvensen egy robusztus kockázat-felülvizsgálati és -elfogadási folyamatba irányítod.



A menedzsment transzparens, dokumentált módon megadhat rövidebb (néhány hónapos) türelmi időszakot, vagy elfogadhatja a kockázatot hosszabb ideig, például egy évig. Ez mindenki számára megkönnyíti azt, hogy a legnagyobb kockázatokra koncentráljon. Annak az évnek az elteltével természetesen újra meg kell vizsgálni azokat az okokat, amelyek miatt a kockázat elfogadásra került, majd figyelembe véve az aktuális helyzetet új döntést lehet hozni.



<figure class="wp-block-image"><img decoding="async" src="https://static.fortix.hu/app/uploads/2021/08/4.png" alt="" class="wp-image-10486" title="4"/></figure>



<h5 class="wp-block-heading">A KITETTSÉGEK ILYEN MÓDON VALÓ ELFOGADÁSÁT MINDENKÉPP ELŐZZE MEG A KOCKÁZATOKNAK LEHETŐSÉGEINK SZERINTI INTÉZKEDÉSEKKEL VALÓ CSÖKKENTÉSÉRE TETT KÍSÉRLET.</h5>



<figure class="wp-block-image"><img decoding="async" src="https://static.fortix.hu/app/uploads/2021/08/5.png" alt="" class="wp-image-10488" title="5"/></figure>



Ez indikálhatja a szabályok megváltoztatását, illetve a biztonsági elvárások szintjének a vállalkozás prioritásaihoz és kockázati profiljához való további hangolását. Ez biztonsági „szemüveggel” nézve kompromisszumot jelenthet, ám fontos, hogy végülis szervezetünk prioritásait és céljait támogassuk.



Ezért kritikus az alapkövetelmények meghatározása és a kivételek folyamatos feltárása. Proaktív megközelítéssel ez háromféleképpen lehetséges. A proaktív azt jelenti ez esetben, hogy nem csupán az általunk felfedésre kerülő incidensekre vagy adatsértésekre hagyatkozunk prioritásaink meghatározásában.



Tekintsük át a szervezetek többségében elfogadott három jellemző felállást, módszert.



<h5 class="wp-block-heading">NE BÉBISZITTELJ (MIKROMENEDZSELJ) MINDEN FOLYAMATOT</h5>



A szabályoktól való eltérések felfedezésének első módja, amely a legkézenfekvőbbnek tűnik, de egyúttal a legkevésbé hatékony és érett, az, amit „minden folyamat bébiszittelésének” nevezhetünk. Ez az ellenőrzés „első szintjén” fordul elő, ami azt jelenti, hogy minden releváns működési folyamat esetében közvetlenül képviseltetjük a biztonsági szervezetet magában a folyamatokon belül.



Ez olyan, mint a következő történet első szereplője.



<figure class="wp-block-image"><img decoding="async" src="https://static.fortix.hu/app/uploads/2021/08/7.png" alt="" class="wp-image-10492" title="7"/></figure>



Egy kis falunak csak akkor volt vize, amikor esett az eső, ezért felbéreltek két embert, hogy hozzanak tiszta vizet a faluba. Az első ember vásárolt két vödröt, és naponta többször megtette az utat a tótól a faluba és vissza, hogy vizet hozzon. Ezt minden nap megismételte, így emberünk számtalan alkalommal tette meg az utat a faluból a tóhoz és vissza.



<figure class="wp-block-image"><img decoding="async" src="https://static.fortix.hu/app/uploads/2021/08/9.png" alt="" class="wp-image-10499" title="9"/></figure>



A másik ember több hónapra eltűnt, és egy olyan tervvel tért vissza, amely segítségével csővezetéket építhetnének a tótól a faluba. El is kezdték a megvalósítást a terv szerint és a következő évre el is készült a vízvezeték. A vezeték elkészültét követően a falunak a nap 24 órájában, a hét minden napján volt vize.



„Furcsa módon” a második ember soha nem cipelt egy vödröt sem a tótól a faluba.



<h5 class="wp-block-heading">VEGYÜK PÉLDÁNAK AZ INFORMATIKAI VÁLTOZÁSKEZELÉSI FOLYAMATOT.</h5>



Minden változást – a kisebbektől a nagyokig – jóváhagyatni az illetékes biztonsági személlyel, természetesen nagyon körültekintő és prudens megoldás. Mindazonáltal ennek a módszernek számos gyenge pontja is van.



Az első és a legkézenfekvőbb az, hogy minden változtatási kérelem válogatás nélküli feldolgozásra kerül – ez felemészti a biztonsággal foglalkozó osztály értékes erőforrásait, és szűk keresztmetszethez vezet a folyamatban.



Ezt látva megpróbálhatunk praktikusabbak lenni, és csak jelentős változások esetén kérünk biztonsági felülvizsgálatot.



Ez működhet, de ebben az esetben, hasonlóan az összes változás áttekintéséhez, a biztonsági felülvizsgálat még mindig szűk keresztmetszet lesz, és ez ellentétes a szándékunkkal. Emellett így rossz üzenetet küldünk a szervezetnek. Az üzenet az lesz, hogy&nbsp;a biztonsági csapat által végrehajtott extra operatív szintű ellenőrzés, amely minden változtatást, minden hozzáférési kérelmet bébiszittel, szigorú ellenőrzésnek tűnhet, ehelyett inkább arról szól, hogy a szervezet nem képes létrehozni a megfelelő irányítási struktúrát.



Ez a megközelítés emellett azt éri el, hogy a cég operatív szintű működése, az IT működése és működtetése erősen függésbe kerül a biztonsági ellenőrzésektől.



Egy idő után a biztonsági ellenőrzés a késések mentségévé válhat, és a mérnökök ahelyett, hogy elolvasnák (!), megértenék és alkalmaznák a biztonsági szabályokat, a biztonsági csapathoz fordulnak, hogy értelmezzék a rendszer architektúrájának vagy megoldásának minden egyes részletét, és eseti alapon hozzák meg a go / no-go döntéseket.



Az biztos, hogy ha a szabályzatok nincsenek jól megírva, kétértelműek vagy elavultak, akkor a fenti lehet az egyetlen módja a dolgok kézben tartásának.



Ez azonban végzetes pillanathoz vezet, amikor a biztonsági menedzser elengedi a kontrollt és lemond a történések mindenfajta validálásáról; tehát a fenti állapot csak ideiglenesen elfogadható. Mindez ellentétes a jó vezetés alapelveivel. Minden folyamat bébiszittelése a történetbeli vödrök folytonos cipelését jelenti; sokkal inkább a fenntartható megoldás, a csővezeték építésével kellene foglalkoznunk!

ZERO DAY – ZERO BUDGET: AZ INFORMÁCIÓBIZTONSÁG-MENEDZSMENT, A SZABVÁNYOKON TÚL

Itt a nyár és javában zajlanak a szabadságolások is, ezzel együtt viszont éberségünk is természetesen lanyhul, amit ebben az időszakban előszeretettel használnak ki rosszindulatú támadók.&nbsp; Célpontjaik pedig minden esetben személyes és céges adataink, jogosultságaink, személyazonosságunk. Kinek kell a nyári sör és/vagy limonádé mellé egy céges biztonsági incidens?!



Egy kis frissítő a nyári időszakhoz:



<ul>
<li>Kerüljük a repülőtéri töltőállomások használatát az okostelefon feltöltésekor, használjunk inkább power-bankot erre a célra.</li>



<li>Illetéktelenek a &nbsp;„juice jacking” módszert használva juthatnak hozzá telefonunk adataihoz, amelynek során az USB-töltő segítségével továbbítódik az információ, miközben a telefon töltődik.</li>



<li>A „juice jacking” akkor következik be, amikor a gyanútlan felhasználók az elektronikus eszközeiket USB portokhoz csatlakoztatják, vagy rosszindulatú programokkal feltöltött USB kábeleket használnak. Ezután a kártevő megfertőzi az eszközöket, így a hackerek könnyedén bejuthatnak. &nbsp;Innentől már olvashatják és exportálhatják az adatokat, beleértve a jelszavakat, és akár le is zárhatják az eszközöket, használhatatlanná téve azokat.</li>



<li>Laptopot ne adjunk fel csomagként, a repülőn pedig használat közben legyünk körültekintőek, hogy utastársaink ne lássanak rá a képernyőnkre.</li>
</ul>



<ul>
<li>Nyilvános WIFI hálózat használata TILOS! Mindig jelszóval védett hálózatot használjunk! Ha nincs ilyen, akkor használjuk mobiltelefonunkat wifi hot-spotként, vagyis osszuk meg mobilinternetünket más eszközünkkel. Ne csatlakozzunk olyan wifi hálózathoz, ami tanúsítvány elfogadását és letöltését kéri tőlünk. Közbeékelődéses támadások (Man-in-the-middle) kivédése érdekében.</li>



<li>Telefonunkon kapcsoljuk ki a bluetooth-t és a wifit, ha nem használjuk, mert így akaratlanul is hozzáférést biztosíthatunk a támadóknak.</li>



<li>Kapcsoljuk be a „Find My Phone” szolgáltatást, hogy ha esetleg ellopják vagy elhagyjuk a készüléket, akkor megtalálhassuk a segítségével vagy ha kell, akkor letilthassuk és törölhessük a rajta levő tartalmakat.</li>
</ul>



<figure class="wp-block-image"><img decoding="async" src="https://static.fortix.hu/app/uploads/2021/08/Nyari_melo.png" alt="" class="wp-image-10456" title="Nyari_melo"/></figure>

„NYÁRI MELÓ”

A Johns Hopkins Egészségbiztonsági Központ a Világgazdasági Fórummal, valamint a Bill és Melinda Gates Alapítvánnyal együttműködve egy magas szintű járványgyakorlatnak adott otthont 2019. október 18-án New Yorkban.&nbsp;



A gyakorlat azokat a területeket szemléltette, ahol a súlyos világjárványra való reagálás során szükség lesz a köz- és magánszféra közötti partnerségre a nagyszabású gazdasági és társadalmi következmények csökkentése érdekében.



Az eseményről&nbsp;<a href="https://www.centerforhealthsecurity.org/event201/about" rel="noreferrer noopener" target="_blank">itt&nbsp;</a>tájékozódhatunk. Ha ezt megtesszük, meglepődve tapasztalhatjuk, hogy az esemény 2019. október 18-án került megrendezésre, amikor a jelenlegi járványhelyzet még nem alakult ki, sőt konkrét híradások sem voltak róla.



A gyakorlat az ilyen eseményekre való felkészülést volt hivatott támogatni és propagálni.



<figure class="wp-block-image"><img decoding="async" src="https://static.fortix.hu/app/uploads/2019/01/hattyu-e1587385628975.jpg" alt="" class="wp-image-6145" title="hattyu"/></figure>



A&nbsp;fekete hattyú&nbsp;fogalmát, mint&nbsp;az előre nem látható és konkrétan nem is elképzelhető&nbsp;események metaforája, Nassim Nichloas Taleb alkotta meg azonos című könyvében, amelynek egyik fő üzenete volt, hogy nem feltétlenül sok konkrét váratlan eseményre érdemes felkészülni, hanem olyan rendszereket érdemes építeni, amelyek nem dőlnek dugába lehetőleg semmilyen káros eseménytől. Az ilyen rendszereket „antifragile” jelzővel illette, amelynek magyarítását az olvasóra bízom. Segítségül, egy olyan kifejezést keresünk, ami a „törékeny ellentéte”. Ez a megközelítés mindenfajta szervezet, folyamat és rendszer ellenállóképességének növelésében hatékonyabb gondolkodást eredményez.



A fekete hattyú, mint fogalom, sajnos belesimult a szervezeti, informatikai és egyéb kockázatmenedzserek szakzsargonjába, és a mégoly előre jól látható kockázatokat is, mint a COVID-19 járvány vagy akár egy nagyobb kibertámadás, fekete hattyúnak titulálják.&nbsp;



Felmerül bennem a kérdés: kilábal vajon a világ ebből a jelenlegi pandémiából, az általa okozott gazdasági és társadalmi krízisből, mielőtt érkezik a következő globális leállásokat eredményező veszélyhelyzet?



Vagy legalább sikerül tanulnia a kormányzatoknak és a piaci szereplőknek a helyzetből, hogy ellenállóbbá tegyék magukat?



A következő krízis, mint a lottó, „bármikor bejöhet”!



Lehet ez akár egy sokkal agresszívabb vírus, klímaváltozással kapcsolatos katasztrófák, kibertámadás vagy informatikai hiba okozta leállások vagy tömeges adat-kompromittálódások, komplett iparágak drasztikus átalakulása és az azzal járó üzleti és társadalmi hatások, az eredmény ugyanaz, amit most látunk – hacsak nem tanuljuk meg a leckét, vagy legalább a számunkra legrelevánsabb „vizsgakérdésekre” adott válaszokat.



A világ, és ennél fogva hazánk vállalkozásainak és társadalmának kitettsége és érzékenysége az ezekhez hasonló eseményeknek tendenciózusan növekszik.



A globális kockázatok évről évre változó toplistájából is látható, hogy még a legnagyobb koponyáknak is „<a href="https://quoteinvestigator.com/2013/10/20/no-predict/" rel="noreferrer noopener" target="_blank">nehéz előrejelzést adni, különösen, ha jövőről van szó.</a>”



 „A kormányoknak és cégeknek nincs mentsége arra, ha nincsenek felkészülve az előre látható eseményekre.”



Taleb



Az előre látható „szcenáriók” folyamatos figyelemmel kísérése mellett, a legcélravezetőbbnek tűnik az&nbsp;általánosan&nbsp;hibatűrő irányítási és működési rendszerek&nbsp;építése, legyen szó gazdaságól, vállalkozásainkról, folyamataink hibatűrő működéséről, informatikai rendszereinkről, vagy adataink biztonságáról!



Tanuljunk ebből a helyzetből és ne kényelmesedjünk el!&nbsp;



Gondolkodjunk előre és cselekedjünk most! Vizsgáljuk felül biztonsági rendszereinket, készítsük fel szervezetünket, hogy a kritikus folyamataink egy nem várt esemény során is működőképesek maradjanak.&nbsp;



Mert egy fekete hattyú vagy akár egy parányi vírus a jövőben is bármikor meglátogathat minket.



Szerző: Farkas Imre

A FEKETE HATTYÚ ÜZENETE: “A PANDÉMIA NEM ÉN VOLTAM, BOCS!”

Az Üzletmenet-folytonosságot az alábbiak szerint definiálhatjuk:



„A vállalat azon képessége, hogy előre meghatározott, elfogadható szinten folytassa a termelést, vagy a szolgáltatást egy kárt okozó eseményt követően.” (ISO 22301)



<figure class="wp-block-image"><img decoding="async" src="https://static.fortix.hu/app/uploads/2018/02/inform%C3%A1ci%C3%B3-biztons%C3%A1g-fortix-audit-adatv%C3%A9delem-54.jpg" alt="" title=""/></figure>



Miért fontos az üzletmenet-folytonosság?



A vállalatok legyenek bármilyenek vagy bármekkorák, közszférában vagy magánszférában tevékenykedjenek, folyamatosan ki vannak téve mindenféle „váratlan eseménynek”, azaz incidensnek.



Ezek lehetnek teljesen extrém esetek, mint például egy természeti katasztrófa, de rendszerint sokkal hétköznapibb dologról van szó. Gondoljunk csak egy eltört vízvezetékre, áramszünetre vagy más szolgáltatások kiesésére, infokommunikációs vagy bármilyen más krízisre, amely megakasztja a vállalat normál működését.



Ezek a problémahelyzetek természetszerűleg kihatnak a megszokott napi működésre és ennek megfelelően tovább gyűrűznek az ügyfelekre, a részvényesekre, tovább növelve a járulékos költségeket és így ugrásszerűen növelve az esélyét az anyagi- és reputációs veszteségeknek.



Az elmúlt 15 évben az üzletmenet–folytonosság (Business Continuity Management röviden BCM) kifejezetten hatékony eszközzé nőtte ki magát, hogy segítse a cégeket a váratlan eseményekkel szembeni harcban és természetesen, hogy segítséget nyújthasson váratlan események megelőzésében.&nbsp; Azt a folyamatot, amely az üzletmenet-folytonosságot hivatott kezelni üzletmenet-folytonossági irányítási rendszernek&nbsp;(Business Continuity Management System, röviden BCMS)&nbsp;nevezzük.



A legtöbb vállalat esetében az üzletmenet-folytonossági irányítási rendszer magába foglalja a helyreállítási tervet, a válságkezelést, az üzleti tevékenység helyreállításához szükséges folyamatokat, vészhelyzet-kezelést és a vészhelyzeti intézkedési tervet.



Az üzletmenet-folytonossági irányítási rendszer (BCMS) használatával a cégek sokkal hatékonyabban tudják megjósolni és adott esetben kezelni a válsághelyzetek okozta fenyegetéseket, fel tudják mérni a lehetséges következményeket, csökkenteni tudják, sőt, akár meg is szüntethetik a jó hírnevüket vagy a költségvetésüket ért veszteségeket.



Az üzletmenet-folytonosság nem csak a nagyvállalatok vagy a közszféra kiváltsága.



Az alkalmazott irányelvek bármekkora szervezet esetén alkalmazhatók és ugyanolyan hatékonysággal működnek.



Sőt, az üzletmenet–folytonossági menedzsment jelentős eredményeket hozhat a kisebb cégek számára, mivel ezáltal jobb versenypozícióba hozza őket a szerződéskötések terén, mivel az alaposan felkészült vezetésre és a tulajdonosi érdekek szem előtt tartásának hangsúlyozására is kiválóan alkalmas.



Az évek során kialakult egy egységes szakmai keretrendszer az ISO 22301, melynek segítségével sikerült kialakítani egy helyes gyakorlati struktúrát. Ezáltal az üzletmenet-folytonosság előnyei eljuthatnak bármely nagyságú és profilú vállalathoz.



Ugye most elgondolkodott pár másodpercre a saját cégéről? Cégének hírnevéről, az üzleti partnereiről, a jelenlegi belső folyamatokról vagy akár a legtitkosabb üzleti terveiről? Hányszor történt meg az elmúlt 5 évben, hogy valamilyen váratlan üzleti fennakadással kellett megbirkóznia? Mi is volt ez?&nbsp;Szélsőséges időjárás, tűzeset, informatikai leállás, személyzeti problémák, beszállítói gondok vagy valami más? Tisztában van azzal, hogy pontosan ez mennyibe is került Önnek és milyen hatással volt az üzletfeleire?&nbsp;



Tehát az Üzletmenet-folytonosság menedzsment segítségével csökkentheti az üzleti tevékenységét érő váratlan hatásokat és azok kellemetlen következményeit, vagy akár teljesen el is kerülheti azokat.



forrás: www.continuityforum.org



<figure class="wp-block-image"><img decoding="async" src="https://static.fortix.hu/app/uploads/2017/12/fortix-%C3%BCzleti-szimul%C3%A1ci%C3%B3k.jpg" alt="" title=""/></figure>

MI IS AZ ÜZLETMENET-FOLYTONOSSÁG?

Szakértői csapatunk nem csak ismeri, de nap mint nap alkalmazza is a kiberbiztonság legfrissebb technikáit és módszertanait. A sérülékenységvizsgálat és biztonsági vizsgálat, más néven penetrációs teszt (penteszt), nem csupán a specialitásunk, hanem szenvedélyünk is. A digitális világban egyre gyakoribbá váló támadások ellen a rendszeres és alapos vizsgálatok nyújtják a legmegbízhatóbb védelmet.



A vizsgálatunk alapját képező módszertant nemzetközi ajánlások figyelembevételével alakítottuk ki. Főbb részei az általános és technikai információgyűjtés mellett, a behatolás (penetráció) gyakorlati megvalósítása és az eredményeket összefoglaló jelentés, mely minden esetben tartalmaz a vizsgálat során fellelt bizonyítékok mellett, megoldási javaslatokat is.



A vizsgálatok során mindig a vizsgált rendszerhez ajánlott legújabb eszközöket, valamint saját fejlesztésű toolokat és scripteket is használunk.



Nem csupán automatizált eszközöket használunk, hanem az emberi tényezőt is bevonjuk a vizsgálatokba. A kézi vizsgálatok során szakértőink a rendszert emberi szemmel, kreatív módon elemzik, így olyan hibákat is felfedezhetnek, amelyeket az automatizált rendszerek esetleg nem észlelnek.



A penteszt szolgáltatásunk során fellelt információk, kockázatok, esetleg sérülékenységek a vállalatok számára értékes információt nyújtanak a kiberbiztonsági kockázatok kezeléséhez, biztonságuk megőrzéséhez, illetve erősítheti kiber rezilienciájukat.



A legtöbb kibertámadás olyan sérülékenységeken keresztül történik, amelyek már ismertek voltak, de nem lettek időben kezelve.

Pentest

Tanácsadás

CyberCamp