Gyakran nem informatikai rendszerének programkódban mérhető sérülékenysége jelenti a problémát a vállalat számára, hanem azok a dolgozók, akik figyelmetlenségből vagy épp tudatlanságból hozzásegítenek illetékteleneket a számítógépes hálózatba bejutáshoz.

Ezt már régen észrevették a kiberbűnözők is. Míg korábban feltörni akarták a számítógépes rendszereket, ma már egyszerűen csak bejutni szeretnének – ehhez időnként jobban jön a pszichológiai tudás, mint az informatikai.

Az egyik ilyen közkedvelt módszer a social engineering. Ez annyit tesz: a bűnözők megpróbálnak minden elérhető információt begyűjteni egy felhasználóról – például azt, hogy melyik szolgáltatók ügyfele, hol nyaralt legutóbb, hol bankol stb. Minél többet tudnak meg róla, annál jobb, hiszen annál életszerűbb megtévesztő e-mailt küldhetnek ki neki. Néhány valós információval a megbízhatóság látszatát keltik, így nyerhetnek ki belőle még több infót, és juthatnak be általa például a munkahelyi számítógépes hálózatba is.

Persze olyan időpontban próbálkoznak a céges adatok megszerzésével, amikor az illető figyelme már lankadt. Ilyen lehet egy péntek délután, vagy egy december 23-án elküldött e-mail, esetleg amikor kisebb az esélye, hogy a munkavállalók alaposan ellenőrzik, hogy például egy átutalás, ami rossz a megfelelő helyre megy-e.

Emiatt a módszerváltás miatt is látták szükségesnek az Európai Unió döntéshozói a kibervédelmi szabályozás aktualizálását. (A NIS2 lényegéről alábbi cikkünkben olvashat.)

A NIS2 – illetve az annak való megfelelőséget a hazai jogban kitöltő évi XXIII. törvény – éppen ezért nemcsak a vállalatok, de a munkavállalók számára is egy biztonságosabb digitális munkakörnyezetet teremt, amelyben kevesebb az esély a kibertámadásokra és az adatvesztésekre. Az irányelv ennek köszönhetően hatással lehet a munkavégzés helyének és módjának változatosságára is: mivel a munkakörnyezet biztonságosabbá válhat miatta, a munkáltatók több digitális eszközt és rugalmasabb munkaidőt is kínálhatnak a munkavállalók számára. Mivel utóbbi lehetőség a koronavírus-járvány kirobbanása óta rendkívül komoly vonzerővel bír, a munkaerőpiacon is több lehetőség közül választhatnak majd azok, akik számára ez fontos szempont a döntésnél.

A NIS2 már hatályba lépett, ám még igen friss, így egyelőre nem tudni például, hogy az illetékes hatóságok – idehaza a Nemzeti Kiberbiztonsági Intézet, valamint a Szabályozott Tevékenységek Felügyeleti Hatósága – milyen előírásokat vagy ajánlásokat fogalmaznak meg az emberi tényező erősítéséhez. Azaz hogy pontosan milyen kibervédelmi oktatásban kell majd részesíteni a dolgozókat, ezt milyen gyakran, milyen tartalommal és mely munkakörű munkavállalók részére kell megtartani.

A megfelelő kibervédelmi oktatás előnye lesz, hogy a munkavállalók valóban megértik nemcsak a digitális veszélyeket, hanem azt is, hogy hogyan reagálhatnak azokra hatékonyan. (Ezt a készséget aztán természetesen nemcsak a munkában, hanem magánéletükben is kamatoztatni tudják.) Tehát aki munkavállalóként komolyan veszi a munkahelye által szervezett kiberbiztonsági oktatást – legyen az akármilyen színvonalú –, odafigyel a tanfolyamon, majd tudatos felhasználóként be is tartja az azon tanultakat, a saját részét már megtette, ő már nem lesz elővehető, ha gond van.

A NIS2 mellett a GDPR is érvényes

A NIS2 nem írja elő a cégeknek, hogy tájékoztassák a felhasználókat, ügyfeleket egy kiberbiztonsági eseményről. Erre a GDPR, vagyis az Európai Unió általános adatvédelmi rendelete tartalmaz egyértelmű előírást, és csak a személyes adatokat érintő, úgynevezett adatvédelmi incidensek esetén, így a mostani uniós irányelv nem felülírja a GDPR-t, hanem párhuzamosan létezik mellette. (Másról szól.)

Ha egy cég elmulasztja például a kétévente kötelező auditálást, és történik egy kiberbiztonsági esemény, akkor borítékolható egy ellene indított per eredménye is.

Alapvetően kétféle kár érheti a vállalatokat és a felhasználókat: vagyoni és nem vagyoni. Előbbi közé tartozik például az, ha a kiberbiztonsági esemény miatt a vállalatnak új hardvert vagy szoftvert kell beszereznie, vagy számszerűsíthető kár éri, mert leállt az üzletmenete. A nem vagyoni kár meghatározása már valamivel nehezebb. Az érintettek megpróbálhatják beperelni az adott céget például azért, mert a kiberbiztonsági esemény miatt jelentős stressz éri őket, vagy mert a kiszivárgott adatok miatt sorra kell járniuk különböző szolgáltatók ügyfélszolgálatait, hogy megváltoztassák adataikat.

Ha máskor is tudni szeretne hasonló dolgokról, lájkolja a HVG Tech rovatának Facebook-oldalát.