Cogitnet Kft. Logo
Cogitnet Kft.

NIS2 audit felkészítés

Mi az a NIS2?

Ha begépeli a NIS2 betűszót bármely keresőbe, sok-sok oldalnyi találatot fog kapni. Ezen oldalak többsége bevezetőként idézi a vonatkozó jogszabályok - érthetőbbé alakított - szövegét. Esetleg megpróbálja elmagyarázni a jelentőségét és végül valamilyen formában ajánlatot tesz a NIS2 felkészítés vagy audit szolgáltatás igénybe vételére.

De mi is valójában a NIS2? Mi a lényege? Konyhanyelven, ha kérhetném…” kérdik sokan.

A politikailag korrekt válasz nehezen értelmezhető. Nem vagyunk Big Four, nem köt minket a vállalati „píszí” előírás, így picit földhözragadtabban - néhol pongyolán - próbáljuk elmagyarázni, hogy miért is fontos a NIS2.

Ennek megértéséhez kicsit távolabbról kell indulni

S mivel sokak számára a szakszöveg ‘kínaiul van’, így néhol analógiát alkalmazunk majd.

Régen volt a hardver („eszköz”) és volt szoftver („program”). És a kettőt együtt számítógépnek hívták.

Régen a televízió képcsőből, „dobozból”, gombokból és elektronikai alkatrészek összességéből állt.
Ma - gyakorlatilag - egy számítógép, és mint ilyen, szoftver(program) fut rajta.

Ugyan ilyen számítógép ma a pár éves WiFi-s klímaberendezés, a mosógép, a hűtő, az ‘okos izzó’, az ‘intelligens’ termosztát, a fejhallgató, az olcsó kínai mennyezeti „UFO lámpa”, a vagyonvédelmi riasztóközpont, automatizált labor berendezés, mezőgazdasági drón, vagy egy pár éves autó is. És sorolhatnánk sokáig.

A probléma (egyik) forrása; a szoftver

A szoftvert (programot) - jelenleg még - emberek írják.
Az IT iparra (is) jellemző, hogy nagyon gyorsan akar fejlődni, és ennek egyik - nem túl szerencsés - következménye, hogy nagy tömegben alkalmaz közepesen (IT biztonság szemlélet szerint meg nem vagy alig) képzett fejlesztőket. Ennek eredménye, hogy az elkészült szoftver sokszor rendelkezik olyan tulajdonságokkal, amelyeket nem kellene, hogy rendelkezzen.
A fejlesztési/tesztelési fázisban felfedezett hibákat a termék piacra kerülése előtt igyekeznek kijavítani. De ez nem minden esetben sikerül.
És ezek a hibák nem csak önmagukban hibák, hanem ezek kihasználásával mások anyagi vagy egyéb előnyt szerezhetnek a szoftver használójának kárára.

Nos, ezért frissít szoftvert a mobiltelefon, a tablet, a számítógép, hogy a felfedezett hibákat javítsa, vagy legalább az illetéktelen kihasználásukat gátolja.

De ki látott már WiFi-s „UFO lámpát”, ami szoftvert frissített magán? Mi még nem…

Egészen addig, amíg az eszköz nem kapcsolódik - közvetlenül vagy közvetve - egy számítógépest hálózatra és/vagy az internetre, addig a hibás szoftverből adódó veszély legtöbbször alacsony.
De amint kapcsolódik, a benne lévő hiba sokkal könnyebben kihasználható válik.

A NIS2 célja, hogy a szoftver rendszerek (amik nem csak Windows operációs rendszeren futó alkalmazások lehetnek, hanem mobiltelefonok, ipari hűtők, átemelő-szivattyúk, számítógép-hálózati ’elosztók’, routerek, biztonsági kamerák és kamerakép rögzítők, stb, stb.) üzemeltetőjét rákényszerítse, hogy feltérképezze, kategorizálja és megszüntesse azon pontokat a saját rendszerében, ahol támadás (vagy másként kár) érheti. És ha a behatolást/károkozás lehetőségét nem is sikerül teljes mértékben megszüntetni, legalább előre felkészüljön a nem várt - de korábban már azonosított - probléma elhárítására.

A probléma (másik) forrása; az ember

Az emberek Európában - bár területileg és kulturálisan eltérően - de jellemzően individualisták, s vannak akik nem igazán szabálykövetőek. Továbbá az erős motiváció vagy cél nélküli személyek - mondjuk úgy finoman - energia minimumra törekszenek, ami egy szervezet esetén nem egy előre mutató állapot.
Illetve kellő tudás/képzettség nélküli személy okozhat úgy is kárt adott szervezetnek, hogy semmi szándékosság nincs benne.

A NIS2 felkészítés feladatai közé tartozik azonosítani azon szervezeti eljárásokat, folyamatokat és pozíciókat, amelyek aktuális („eddig is így csináltuk és jó volt”) állapotukban ma már veszélyt jelenthetnek a szervezet biztonságos és prosperatív működése szempontjából.

Az hogy eddig még nem csapott be a villám, nem jelenti azt, hogy nem is fog.

A NIS2 megfelelés analóg a körültekintő autóvezetővel, aki figyelemmel kíséri a fékberendezések és a futómű állapotát, a motor- és fékolaj csereperiódusát és szintjét, a hűtőfolyadék és az ablakmosó folyadék töltöttségét és a gumiabroncsok állapotát.
Persze ez önmagában még nem biztosíték arra, hogy nem kap defektet az úton.

Ha mégis kap, a körültekintő autóvezetőnél van 2db láthatósági mellény, elakadásjelző háromszög (amit használni is tud), működő elemlámpa, használható szerszámkészlet és ellenőrzött nyomású pótkerék.
Pótkerék, mivel a felkészült autóvezető tudja, hogy a papír szerint megfelelő minősítésű, gyártó által preferált, kis helyet foglaló, „tehát praktikus” defektjavító készlettel nem sokra megy, ha kihasadt az abroncs.
És ha mégsem tudja a kereket gyorsan kicserélni, van nála érvényes assistance kártya vagy egy megbízható autómentő telefonszáma, amit nem akkor kell keresgélnie…

A veszély(ek)

A kibertér már hosszú évek óta csatatér. Az ipari/üzleti kémkedés és - nem erős a kifejezés - kalózkodás sajnos a mindennapok része. A kritikus rendszerekbe történő behatolás pedig nemzetbiztonsági kérdés.
Aki ezt nem látja, vagy csak nem vesz róla tudomást, előbb-utóbb szembesülni fog vele. A „miért történne velünk ilyen?” a probléma bagatellizálása.
Bárkivel megtörténhet, hiszen a felderítés sok esetben automatizált és nem célzott. Ha a védelem gyenge (vagy nem is létezik) rövid úton kiderülhet, hogy mekkora értéket képviselnek/tek a megtámadott fél Elektronikus Információs Rendszerei (EIR).

Kellően nagy nyereség - ami nem feltétlenül pénzbeli, lehet stratégiai is - lehetősége esetén a támadó olyan technikákat/technológiákat tud ma már bevetni, amelyre a megtámadott szervezet felkészítés nélkül legtöbbször nem is számít.
És nem csak közvetlen IT rendszer támadásra kell felkészülni, hanem pszichológiai manipulációra (social engineering) és deepfake technikák alkalmazására, amely bevetése esetén szinte lehetetlen megkülönbözteti egy valós személyt egy imposztortól.

Ha a felmérés még egy - akár hipotetikus - támadás előtt megtörténik, lesz információ egy költség-haszon(kár) értékelés elvégzéséhez.
Az értékelés alapján meghatározható a védelmi ráfordítás racionális összeghatára. És innentől a választás már csak kockázatvállalási döntés.

Lényegében ez a NIS2 audit célja. Fel legyenek derítve az EIR gyenge pontok, meg legyenek határozva a szükséges lépések, ellenőrzések ezek törvényben körülírt szempontok alapján és ki legyenek választva azon eszközök és szolgáltatások, amelyek igénybe vételével az EIR-ek megvédhetők.

Mit kínálunk?

A korábbi analógiára visszautalva, nem szeretnénk „papír szerint megfelelő minősítésű defektjavító készletet” kínálni partnereinknek, mert előfordulhat olyan eset, amikor az nem használható. És ehhez nem adjuk a nevünket.

Úgy gondoljuk, ha már létre kell hozni új, vagy megerősíteni meglévő rendszereket, akkor annak legyen értelme és valós haszna.

A NIS2 megfelelőséget igazoló dokumentáció legyen leképezve az Informatikai Biztonsági Szabályzatra (IBSZ) és legyenek meg azok a kontroll folyamatok és eszközök, amelyek használatával naprakészen tarthatók a lefektetett NIS2/IBSZ előírások.

A felkészítést egyszer kell jól elvégezni, az auditot viszont két évente meg kell újítani.

A felkészítés feladata, hogy a megrendelőnél létrejött és dokumentált rendszer 100%-ban védhető legyen az audit folyamán.

Nem biztos, hogy célravezető kijátszani a rendszert az EIR-ek összevonásával (számuk csökkentésével), vagy megalapozatlan biztonsági osztályba sorolásuk. Az auditorok pontosan fel fogják mérni ezeket a mutatókat és megjegyzésként csatolják észrevételeiket az SZTFH részére a jegyzőkönyvek mellé.

A nis2 (@) cogitnet . eu elektronikus levelezési címre küldött megkeresés esetén felvesszük Önökkel a kapcsolatot.