Az irodai dolgozók imádják, a hibrid munka azonban a rugalmassággal együtt a biztonsági kockázatokat is növeli. Kibervédelmük korszerűsítését a NIS2 uniós irányelv alapján már törvény is előírja a cégek eddiginél sokkal szélesebb körének – a követelményeket így több ezer magyar közép- és nagyvállalatnak is teljesítenie kell idén októberre.

Világszerte az alkalmazottak 28 százaléka munkaidejének egy részében vagy egészében távolról dolgozott 2023-ban, ráadásul az arány számos iparágban ennél lényegesen magasabb. A Statista jelentése szerint a technológiai szektorban eléri a 67 százalékot, a tanácsadó cégek és ügynökségek körében meghaladja az 50 százalékot, de még a szigorúan szabályozott pénzügyi szektorban is 40 százalék feletti. A munkavállalók elsöprő többsége (91 százaléka) a rugalmasságot adó, hibrid munkavégzést részesíti előnyben, és ugyanezt erősítette meg Kerékfy Miklós, a Kontron Hungary Kft. IT biztonsági szakértője is:

– Cégünknél és ügyfeleinknél is az a tapasztalat, hogy szinte mindenki a hibrid munkavégzés mellett teszi le a voksát.

Bár vezetőiket a hibrid modell továbbra is megosztja, a trendek egyértelműen azt mutatják, hogy az otthoni, illetve távoli munkavégzés lehetőségét a vállalatoknak mindinkább támogatniuk kell. Mára ez a toborzási stratégia kulcsfontosságú eleme és a tehetséges munkaerő megtartásának előfeltétele. A vezetők visszafogottabb lelkesedésének egyik oka, hogy ez a modern, földrajzilag elosztott munkakörnyezet – a digitálisan átalakuló, hálózatba kapcsolt digitális gazdaság sok más elemével együtt – a vállalatok támadási felületét is jelentősen megnöveli.

– A hibrid munka a szabályozás hiányterülete – mondta a Kontron szakértője. – Munkaidejük jelentős részében az alkalmazottak a vállalati tűzfalon kívülről, változatos eszközökről és hálózatokról jelentkeznek be, amelyek felügyeletéhez és védelméhez eleve erre szolgáló biztonsági megoldások szükségesek. A kockázatokat pedig tovább növeli, hogy a felhasználók nemcsak céges, hanem saját tulajdonú laptopokról és telefonokról, vagy otthoni helyett akár nyilvános wifi hálózatokról is bejelentkezhetnek. Hagyományos biztonsági megoldásokkal a vállalatok ezt a környezetet egyáltalán nem tudják ellenőrizni.

Minden vállalat célkeresztben

A kiberbűnözők tisztában vannak ezzel és kihasználják. Nemcsak a rendszertelenül frissített, sérülékeny szoftvereket futtató végfelhasználói eszközök kínálnak számukra könnyű célpontot, hanem a távolról kommunikáló alkalmazottakat is könnyebben megtéveszthetik. A kisebb vállalatok kibervédelme különösen gyenge láncszem, feltört hálózataikból pedig kifinomult támadások indíthatók a valóban értékes zsákmányt ígérő nagyvállalatok ellen, amelyekkel a kisebb szereplők beszállítóként, partnerként vagy ügyfélként digitális kapcsolatban állnak. A biztonsági cégek fenyegetésfelderítési jelentései nem véletlenül az adatszivárgás, az adathalászat, a zsarolóvírus támadások és a manipuláció, az átverések rohamosan növekvő számát mutatják.

– Egy olyan ártatlannak tűnő dolog, mint egy játék letöltése a mobiltelefonra súlyos következményekkel járhat – mondta Kerékfy. – Ha egy alkalmazás túlzott engedélyeket kér, az már gyanakvásra adhat okot.

Az európai uniós hálózat- és információbiztonsági (NIS) keretrendszer a kritikus fontosságú infrastruktúrákat működtető, szűkebb vállalati és intézményi kör számára már 2016 óta követelményeket szab ezen a téren. A technológia, a digitális gazdaság és a fenyegetéskörnyezet gyors fejlődése azonban szükségessé tette az irányelv frissítését.

A NIS2 alapján hozott, 2023. évi XXIII. törvény a kiberbiztonsági tanúsításról és felügyeletről a hazai vállalatok eddiginél sokkal szélesebb körére vonatkozik. A legalább 50 fős vagy 10 millió euró éves árbevételű cégeket két kockázati szintre sorolja, és tíz kiberbiztonsági alapintézkedést is meghatároz számukra a kockázatarányos biztonsági és irányítási rendszer kialakításához.

– Magyarországon legalább 2500 közép- és nagyvállalatot érint a NIS2 megfelelés, olyan területeken is, mint a digitális szolgáltatások, az elektronikai és járműgyártás, a vegyipar, az élelmiszer-előállítás és forgalmazás, a postai és futárszolgáltatás, vagy például a hulladékgazdálkodás – mondta Kerékfy Miklós. – Mi a Kontronnál azt tapasztaljuk, hogy míg korábban ezek a vállalatok a kockázattűrésük függvényében védekezhettek a kiberfenyegetésekkel szemben, most elég rövid átfutással teljesíteniük kell a törvényi követelményeket. A megfelelés elmulasztása pedig nagy összegű bírságot vonhat maga után, amely az éves árbevétel 1,4, illetve 2 százalékát is elérheti.

Túl a biztonságon és megfelelésen

A NIS2 értelmében a céges vagy munkavégzésre használt saját tulajdonú eszközöket az alkalmazottak csak abban az esetben használhatják magáncélra, ha azokon a privát és vállalati alkalmazások és adataik teljesen szétválaszthatók. Minthogy laptopokon és Windows alapú tableteken ez nem oldható meg, a vállalatoknak a teljes eszköz védelméről gondoskodniuk kell, beleértve a vírusvédelmet, a titkosított kommunikációt és adattárolást, a webes forgalom, valamint az alkalmazástelepítések és frissítések felügyeletét.

– Android vagy iOS alapú okostelefonokon viszont a két terület szétválasztható, így azokon a munkakörnyezet külön szabályozható és védhető – mondta a Kontron szakértője. – A végfelhasználói eszközök menedzseléséhez a vállalatoknak egységes végpont-felügyeleti (UEM) megoldásra lesz szükségük, amellyel az általánosan használt irodai alkalmazások többségét külön fejlesztés nélkül, biztonságosan kiterjeszthetik mobil készülékekre is. Fontos ugyanakkor, hogy olyan UEM megoldást válasszanak, amely egyszerűen integrálható meglévő környezetükbe, és a felhasználók által megszokott alkalmazásokat támogatja. A Kontronnál több mint 10 éve foglalkozunk mobil biztonsággal, a piacvezető UEM megoldások bevezetésével és integrációjával, így a kiválasztás során segíthetjük az vállalatokat.

A technológiai feltételek megteremtésén és a kibervédelem korszerűsítésén felül azonban a vállalatoknak további intézkedéseket is tenniük kell a törvényi követelmények teljesítéséhez, amelyek saját érintettségük ellenőrzésére, valamint az incidensek dokumentálására és jelentésére is kiterjednek. Mindehhez megfelelő folyamatokat és szabályzatokat kell kialakítaniuk, és kinevezniük az elektronikus információs rendszerek biztonságáért és a megfelelésért felelős személyt.

– Sok érintett vállalat számára nemcsak újak, hanem túl összetettek is ezek a feladatok, a követelmények pontos teljesítéséhez, annak részletes dokumentálásához és auditálhatóvá tételéhez az 50-100 fős cégek jellemzően nem rendelkeznek házon belüli tudással és tapasztalattal – mondta Kerékfy Miklós. – Célszerű külső szakértő partnerrel indulniuk, aki az első lépéstől, a nyilvántartásba vételi kérelem június 30-ig esedékes benyújtásától kezdve végigvezeti őket a felkészülés minden szakaszán. A Kontron a magyarországi szakértő cégek egyike, amelyre a vállalatok támaszkodhatnak felkészülésükben is. Segít felmérni és azonosítani a meglévő kiberbiztonsági eszközök és szabályzatok állapotát, azonosítja a hiányosságokat, korszerű megoldásokat javasol és vezet be, és a szükséges szervezeti, humán oldali intézkedésekhez, az alkalmazottak biztonságtudatosságának fejlesztéséhez szükséges oktatás megtervezéséhez is tanácsokat ad. Sokkal többről van szó, mint egy újabb biztonsági megoldás bevezetése, egy újabb felelősséggel járó szerepkör betöltése. Fontos, hogy ezek a beruházások és intézkedések a vállalatok digitális stratégiájába illeszkedjenek, a bevezetett megoldások, folyamatok és szabályok ne menjenek a kezelhetőség és a hatékonyság rovására, és a megfelelési követelmények teljesítésén túl digitális átalakulásukat, üzleti céljaik elérést is hosszú távon támogassák.

A NIS2 hatálya alá tartozó vállalatoknak mindezt október 18-ig auditálásra kész állapotra kell hozniuk, és egy külső auditorral is szerződést kell kötniük. A Szabályozott Tevékenységek Felügyeleti Hatósága (SZTFH) ezt ellenőrizheti, és hiányosságok feltárása esetén szankcionálhat. A vállalatok ennek kockázatát is szakértő partner közreműködésével csökkenthetik a legbiztosabban.

Kérdéseket intézhet, észrevételeket küldhet a Kontron szakértőinek, kérem vegye fel velünk a kapcsolatot!

Scroll to Top