Kiberbiztonság a kkv-k számára Európában (SME Cybersecurity Brochure)

Kérdések & Válaszok

Kiberbiztonság kis- és középvállalkozásoknak

Európában

„Az senki számára nem kérdés, hogy be kell zárnunk az ajtót, amikor elhagyjuk az irodánkat, telephelyünket, és ezt megköveteljük minden munkatársunktól is. A digitalizált világban épp ilyen alapvetésnek kell lenni annak is, hogy a kibertérben megfelelő módon védjük adatainkat, hogy ne csak a fizikai értékeinkhez, hanem digitális vagyonunkhoz se férhessenek hozzá illetéktelenek. Ez a kiadvány kézzel fogható, gyakorlatba könnyen átültethető tanácsokat ad a vállalatoknak, hogyan zárja kulcsra - akár kétszer is - legféltettebb információit a kibertérben. A DigitalTech EDIH pedig térítésmentes kiberbiztonsági képzésekkel és személyre szabott tanácsadói szolgáltatásokkal tudja támogatni ezt a folyamatot, hogy egy biztonságos, ellenálló gazdaságot építsünk.”

DigitalTech EDIH

kiberbiztonsági szakértői csapata

“Az 5G technológia megjelenése és bevezetése az elkövetkező években új lehetőségeket hoz az összekapcsolhatóságban. Olyan innovatív alkalmazások megvalósítását teszi lehetővé, mint a dolgok internete (IoT), az autonóm járművek vagy az intelligens városok, és üzleti lehetőséget jelent minden típusú szervezetnek, beleértve a kis- és középvállalkozásokat is. Ez a technológiai fejlődés új kihívásokkal jár és a kiberbiztonság kritikus kérdésként merül fel. Az Óbuda Egyetem elkötelezett a kiberbiztonsági szakmai kezdeményezések támogatása mellett. Az oktatás területén különböző, közvetlenül a kiberbiztonsághoz kapcsolódó képzési programokat indítottunk, amelyek mind technikai, mind jogi szempontból foglalkoznak a kiberbiztonsággal.Az üzleti világgal való együttműködés az Óbuda Egyetem számára is prioritás, ezért üdvözöljük ennek az útmutatónak a magyarországi adaptálását. A kiadvány a magyarországi kis- és középvállalkozások kiberbiztonságának előmozdítására, a tudatosság növelésére összpontosít.”

Prof. Dr. Rajnai Zoltán, dékán, Óbudai Egyetem

A Hétpecsét Egyesület elmúlt 23 évének az egyik legfontosabb tapasztalata, hogy az információvédelemmel kapcsolatban kérdések mindig vannak. Válaszok is sokszor vannak a már cunamiként ránk zúduló és dinamikusan változó különböző jogszabályokban, szabványokban vagy technológiai útmutatókban. Számosságuk, nyelvezetük, értelmezési nehézségeik miatt ezek nehezen áttekinthetőek még szakembereknek is. Így a szervezetek vezetői, különösen a KKV-k menedzsmentjei, keresik azokat a tartalmakat, ahol gyorsan, közérthető nyelven és tágabb kitekintésben kaphatnak válaszokat.Köszönjük Huawei!

Gasparetz András, elnök, Hétpecsét Egyesület

MIÉRT FONTOSAK A KKV-K EURÓPA ILLETVE

MAGYARORSZÁG SZÁMÁRA?

A kis- és középvállalkozások minőségi munkahelyek teremtésével járulnak hozzá az Európai Unió gazdaságához. Az európai kkv-k támogatása és védelme az uniós döntéshozók kulcsfontosságú politikai prioritásai közé tartozik.

25millió

25 millió kkv van Európában.

100millió

A kkv-k 100 millió embert foglalkoztatnak Európában.

A kkv-k az innovatívabb társadalom építésének alapját képezik.

MIÉRT KELL A MAGYAR

KKV-KNAK MAGAS

SZINTŰ KIBERBIZTONSÁGI

FELKÉSZÜLTSÉGGEL RENDELKEZNIÜK?

A közelmúltban a Covid-19 világjárvány miatti korlátozások kikényszerítették, hogy a kis- és középvállalkozások tovább digitalizálják tevékenységeiket és kínálatukat. Az európai kkv-k nagy részének digitális átállása nagyon gyorsan megtörtént, amely azonban a kiberbiztonsági támadások növekedését is hozta. A Világgazdasági

99%

A kkv-k az európai cégek több mint 99%-át teszik ki.

+50%

A kkv-k az EU GDP-jének több mint felét adják.

A kkv-k a digitális átalakulás és a gazdasági növekedés mozgatórugói.

Fórum (WEF) szerint a Covid-19 első hónapjaiban, 2020-ban 667%-kal nőtt az adathalász-támadások száma. A kibertámadások nem csak a nagyvállalatokat, hanem a kkv-szektort is rendszeresen célozzák. A kis- és középvállalkozások közül számos nem volt felkészülve a kibertámadásokra és sok alkalmazottjuk nem tudta, hogyan lehet mérsékelni, kivédeni a növekvő kiberkockázatokat.

• Egy 2021-es, az EU kiberbiztonsági

ügynökségének (the European Union Agency for Cybersecurity, ENISA)

felmérése szerint a kkv-k 57 százaléka úgy véli, hogy egy kibertámadás a saját vállalatukat olyan súlyosan érintené, hogy ennek következtében

csődöt jelentenének. Ez a vélekedés aláássa az üzleti bizalmat és Európaszerte megzavarja a digitális átalakulás folyamatát. A kkv-k elleni kibertámadások zavaró hatással vannak/lesznek az EU gazdaságára.

• A magyar kis- és középvállalkozások kiberbiztonsága kulcsfontosságú az európai ellátási/beszállítói lánc biztonsága szempontjából is. Az ellátási lánc kiberbiztonsága alatt a termék vagy szolgáltatás végfelhasználójához való eljuttatásában résztvevő, valamennyi szereplő (vállalat, termék, szolgáltatás) kibertámadásokkal szembeni együttes ellenálló képességét (rezilienciája) értjük. Az ellátási láncot érő támadások száma exponenciálisan növekszik. Az ENISA 2022- es fenyegetettségi jelentése szerint az ilyen jellegű támadások az összes kibertámadás 17 százalékát teszik ki, míg 2021-ben ez az arány csak 1 százalék volt. Számos incidens, amikor az ügyfelek háló-

2021

1,0%

Az ellátási lánc támadásai az összes kibertámadás mindössze 1%-át tették ki.

zatai vagy adatai sérülnek, valamely beszállítóhoz kapcsolható biztonsági problémákkal függ össze.

• A kkv-k kiberbiztonságának magasabb szintje tovább erősíti az EU kibertámadásokkal szembeni, általános ellenálló képességét. A kis- és középvállalkozások az európai gazdaság kritikus ágazatait szolgálják ki úgy, hogy szolgáltatásokat és termékeket nyújtanak az informatikai vagy közüzemi szolgáltatóknak. Az egyébként biztonságos kritikus infrastruktúrahálózatokba való behatolás egyik módja, hogy a kiberbűnözők a kkv-k beszállítóit veszik célba, hogy azokon keresztül hozzáférjenek a kulcsfontosságú hálózatokhoz, rendszerekhez és adatokhoz.

• A magyar kis- és középvállalkozások kiberbiztonsága alapvető szerepet játszik az európaiak biztonságának megőrzésében. Ha a kkv-k által használt technológia nem biztonságos, az egyértelműen sebezhetőséget eredményez, és nagyobb kockázatot jelent mindenki számára.

2022

17,0%

Az ellátási lánc támadásai az összes kibertámadás 17%-át tették ki.

MIT LEHET TENNI 02

A MAGASABB KIBERBIZTONSÁGI SZINT ELÉRÉSE ÉS A KIBERBIZTONSÁGI KÉPESSÉGEK, KÉSZSÉGEK FEJLESZTÉSE TERÉN?

A kkv-k számára kulcsfontosságú az üzletmenet és újabb lehetőségek fenntartása és folyamatos bővítése biztonságos és védett módon. Ennek elérése érdekében a kisvállalkozásoknak figyelembe kell venniük a változó kiberfenyegetettséget. A kkv-k kiberbiztonságával kapcsolatos legfontosabb kihívások a következők:

Az emberi tényező

A Verizon, amerikai távközlési csoport 2022-es adatvédelmi incidensek jelentése szerint, azok 82 százaléka emberi hibákra vezethetőek vissza. Ez azzal függ össze, hogy egyes alkalmazottak és felhasználók nincsenek tisztában a minimális kiberbiztonsági lépésekkel, azok jelentőségével sem. Az alapvető kihívást az emberi magatartás és a szokások kezelése jelenti. Az érzékeny adatok biztonságos használata és lopás elleni védelme a munkavállalók kiberbiztonsági képességekkel kapcsolatos képzésének lényeges alapeleme kell, hogy legyen.

Befektetés

A kis- és középvállalkozások 93 százaléka mikrovállalkozás, azaz kevesebb mint 10 alkalmazottjuk van és nincs saját IT- vagy biztonsági szakemberük. Az ingatlan- vagy lakásbiztosításhoz hasonlóan a kiberbiztonsági beruházások is rendkívül fontosak a kkv-k termékeinek és szolgáltatásainak védelmében, az incidensek megelőzésében. A kiberbiztonsági kockázatok felmérése és a védelmet igénylő kritikus folyamatok és eszközök azonosítása időbe telik és szakértelmet igényel. Elengedhetetlen megelőzni azokat a helyzeteket, amikor a vállalatok csak egy jelentős incidens után ismerik fel a kiberbiztonság szükségességét - nyilván-

valóan akkor, miután már súlyos károkat szenvedtek.

Befektetés

A magyar kkv-k nehezen jutnak jól képzett biztonsági szakemberekhez, akik számukra személyre szabott tanácsokat adnak a kiberbiztonság működési folyamataikba való integrálására. Az ISC2 2021-es kiberbiztonsági munkaerő-tanulmánya szerint Európában több mint 200 ezer kiberbiztonsági szakember hiányzott a piacról. Mindez azt eredményezte, eredményezi, hogy a kisvállalkozások vezetőinek és alkalmazottainak egyre nagyobb saját felelősséget kell vállalniuk azért, hogy naprakészek maradjanak és védekezzenek a folyamatosan változó kiberbiztonsági környezetben. A Fortinet 2022-es kiberbiztonsági képességek hiányosságáról szóló jelentése kimutatta, hogy a szervezetek 80 százaléka szenvedett el egy vagy több olyan adatvédelmi incidenst, amely például a munkahelyi kiberbiztonsági tudatosság és képességek hiányára vezethető vissza. Ebben segítséget nyújt egyébként az ENISA 2022. áprilisában közzétett kiberbiztonsági készségek európai keretrendszere (European Cybersecurity Skills Framework). Ez meghatározza a munkahelyeken szükséges kritikus kiberbiztonsági képes-

ségeket, megfelelő eszközöket biztosít a humán erőforrással foglalkozó munkatársak számára, hogy jobban megértsék, pontosan mire is van szükség egy kiberbiztonsággal foglalkozó kolléga felvételéhez.

MILYEN GYAKORLATI INTÉZKEDÉSEKRE VAN SZÜKSÉG

AZ EURÓPAI KKV-K KIBERBIZTONSÁGÁNAK JAVÍTÁSA ÉRDEKÉBEN?

Négy kulcsfontosságú intézkedést javasolt figyelembe venni egy olyan biztonsági stratégia kialakításakor, amely minimálisra csökkentheti a működési zavarok, az adatkompromittálódás és az adatvesztés kockázatát:

• a kritikus vállalati folyamatok és erőforrások, biztonsági fenyegetések, sebezhetőségek és kockázatok azonosítását.

• biztonsági intézkedések végrehajtását, például komplex hozzáférés-ellenőrzés, erős, több faktoros azonosítás, biztonságtudatossági képzés, sebezhetőség- és frissítéskezelés, adatmentés és helyreállítási folyamatok.

• naprakész, rosszindulatú szoftverek elleni, biztonsági események észlelésére alkalmas szoftverek valamint a dolgozók/felhasználók incidens bejelentésére szolgáló eljárások alkalmazását.

• az incidens- és katasztrófa-helyreállítási tervek kidolgozását és az érdekelt felekkel való kapcsolattartáshoz szükséges megfelelő kommunikációs struktúrák létrehozását.

MAGYAR KKV-KNAK

A LEGGYAKORIBB

KIBERFENYEGETÉSEK

CSÖKKENTÉSE ÉRDEKÉBEN?

A kis- és középvállalkozásokat érő támadások leggyakoribb típusai közé tartoznak a rosszindulatú programok, az adathalászat, az internetes támadások, a zsarolóprogramok és az elosztott szolgáltatás-megtagadásos (DDoS) támadások.

Szigorú hozzáférés-szabályozás: biztonságos jelszókezelés

• A kiberbiztonsági incidenseknek több mint 60 százaléka felhasználói hitelesítő adatokkal kapcsolatos. A rossz és gyenge jelszavak használata valós kockázatot jelentenek a kiberbiztonságra.

• Erős, egyedi, legalább 12 karakteres, betűket, számokat és szimbólumokat tartalmazó jelszó használata javasolt. Erősen ajánlott jelszókezelő applikációt, programot használni a jelszavak létrehozásához, kezeléséhez és titkosított formában történő tárolásukhoz.

• Többfaktoros hitelesítés (MFA) alkalmazása/aktiválása a gazdasági társaságok által használt vagy az általuk támogatott alkalmazások és rendszerek esetében. Az MFA a kkv-k kiberbiztonságának egy újabb védelmi szintjeként működik.

• A kkv-k kötelessége, hogy azonosítsák és javítsák a termékeikben lévő sebezhetőségeket. Az általuk használt termékekre/szolgáltatásokra vonatkozó (a szállítók vagy a nemzeti hatóságok által javasolt) sebezhetőségi javításokat és kockázatcsökkentő intézkedéseket időben kell, hogy alkalmazzák.

• A vírusirtók telepítése és naprakészen tartása például egy alaplépés a kis- és középvállalkozások operációs rendszereinek és alkalmazásainak egyéb fenyegetésekkel szembeni védelme érdekében.

Biztonságos adatmentés

• Az üzleti tevékenységekhez szükséges alapvető adatok rendszeres, legalább két helyre való mentése. Ezek közül az egyik, a vállalati hálózaton és lehetőleg az cég saját adatközpontján kívül legyen (például adattárolási és információ szolgáltatónál).

• Teljes lemezes titkosítást kell alkalmazni, hogy a merevlemezek és adattároló eszközök elvesztése vagy ellopása esetén az adatok biztonságban maradjanak. A titkosítási vagy helyreállítási kulcsokat biztonságos módon kezelhetjük és tárolhatjuk például számos, akár ingyenesen is elérhető, speciális szoftver segítségével.

Tűzfal telepítése és fenntartása

Sebezhetőségek kezelése

• A tűzfal telepítése fontos lépés a megbízható, belső, vállalati hálózatok elszigeteléséhez a nem megbízható hálózatoktól (pl. internet). Ajánlott az

úgynevezett tűzfalszabályok rendszeres átvizsgálása és a rések befoltozása valamint a „fehérlistás” megközelítés (alapértelmezett tiltás) használata.

Vagyis csak azon adatforgalom engedélyezése, amelyet a vállalat által használt szolgáltatások igényelnek. Fontos a tűzfalszoftver rendszeres frissítése és ahol csak lehetséges, a folyamat automatizálása.

Vezeték nélküli / Wi-Fi védett hozzáférés (WPA)

• A WPA3 használata, ahol csak lehetséges, és egy erős, egyedi, legalább 20 hosszúságú, betűt, számokat és

speciális karaktereket tartalmazó jelszó beállítása a Wi-Fi hálózat titkosításához.

Virtuális magánhálózat (VPN) a vállalati hálózaton kívüli hozzáféréshez

• Egy erős VPN biztonságos távoli hozzáférést biztosíthat a vállalati hálózathoz és az alkalmazásokhoz az adatkommunikáció titkosításával.

Incidens- és katasztrófa utáni helyreállítási terv kidolgozása

• Kiberincidens- és katasztrófahelyreállítási terv meghatározása és kidolgozása biztonsági események –adatlopás, vírusok okozta károk, stb. esetére, hogy a magyar gazdasági társaságok képesek legyenek visszaszerezni az ellenőrzést üzleti tevékenységük és adataik felett.

MIÉRT OLYAN FONTOS, HOGY A MAGYAR KKV-K VEZETŐI

EGYÉRTELMŰEN KOMMUNIKÁLJÁK A KIBERBIZTONSÁGI

KÉRDÉSEKKEL KAPCSOLATOS MUNKAHELYI FELADATOKAT?

• A társaságok vezetőinek nagyon világosan kell kommunikálniuk az alkalmazottaik felé és tömören el kell magyarázniuk, hogy mit várnak el tőlük a munkahelyi kibertámadások elleni védelem, megelőzés érdekében.

• Javasoljuk, hogy rendszeres kiberbiztonsági képzéseket tartsanak a jelszókezelésről, az adatmentésről és a kibertámadásra való reagálásról. A tréning hangsúlyozhatja, hogy az adatvédelmi incidensek 82 százaléka emberi hiba miatt következik be.

• Tanácsos kidolgozni egy tervet arra vonatkozóan is, hogy kiberbiztonsági támadás esetén hogyan és mit kell kommunikálni a különböző feladatkörökben dolgozókkal, további érintettekkel.

A képzés hangsúlyozhatja, hogy az adatvédelmi incidensek 82%-a emberi hiba miatt következik be.

82%

Emberi hiba eredménye

MIT

A rosszindulatú kódok fő céljai a következők:

01 02 03

Információk titkosítása, módosítása vagy ellopása, pl. váltságdíj követelése vagy az adatok továbbértékesítése céljából. Az adatáramlás nyomon követése, pl. üzleti haszonszerzés céljából.

Kulcsfontosságú intézkedések a kis- és középvállalkozások számára a rosszindulatú szoftverek elleni védelem érdekében:

• Speciális kártevőirtó (anti-malware) szoftver telepítése és fenntartása. Az ilyen szoftverek telepíthetők mobil eszközökre, operációs rendszerekre és hálózatokra. A szoftver átvizsgálja a bejövő adatokat, rosszindulatú programok után kutat és blokkolja vagy karanténba helyezi a gyanús vagy bizonyítottan rosszindulatú kódokat a megnyitása, használata előtt. A piacon számos különböző típusú kártevő/ vírusirtó szoftver kapható.

• A felhasználóknak/munkavállalóknak továbbra is ébernek, tudatosnak kell lenniük, hogy ne kattintsanak az emailekben található gyanús linkekre, illetve ne nyissanak meg gyanús csatolmányokat.

• Az adatokról biztonsági mentést kell készíteni.

Egy informatikai eszköz feletti irányítás átvétele, pl. incidens okozása céljából.

HOGYAN JAVÍTHATJÁK A TŰZFALAK A MAGYAR KISÉS KÖZÉPVÁLLALKOZÁSOK BIZTONSÁGÁT?

A tűzfal a belső rendszerek, alkalmazások és adatok elszigetelésével próbálja javítani a biztonságot egy olyan nyitott, így nem megbízható hálózattól, mint az internet.

• A hálózati hozzáférést meghatározó szabályoknak specifikusnak kell lenniük a vállalati biztonsági irányelveknek megfelelően. A specifikus szabályok biztosítják, hogy csak a szükséges hálózati portok és szolgáltatások legyenek elérhetők, ezzel csökkentve a potenciális támadási felületet, valamint minden felhasználó vagy folyamat csak a működéséhez szükséges minimális hozzáférési szinttel rendelkezzen. Ez korlátozza a potenciális károkat egy esetleges betörés esetén.

• A tűzfalak rendszeres ellenőrzése során minden engedély nélküli tűzfalkonfigurációs módosítást, módosítási kísérletet, szabálysértést jelezni kell és ki kell vizsgálni.

HOGYAN ISMERHETIK FEL A KKV-K AZ ADATHALÁSZTÁMADÁSOKAT?

Az adathalász-támadások a bizalomra épülnek, manipulatívak, az embereket célozzák a rendszer sebezhetőségei helyett. Lényegében hasonlóak a csalások hagyományos típusaihoz. Az adathalászat alapesetben nem egy összetett technikai támadás. Csak egy meggyőző, csábító indok kell ahhoz, hogy az általában naiv, jóhiszemű felhasználó rákattintson egy rosszindulatú linkre, megnyisson egy fertőzött fájlt vagy URL-t, vagy bizalmas információkat adjon meg/ gépeljen be.

A csalási forgatókönyvek gyakori típusainak felismerése megakadályozhatja, hogy a kis- és középvállalkozások adathalász-támadás áldozatává váljanak. Az adathalász-támadások különböző típusainak megértése segít a kkv-k vezetőinek és alkalmazottainak abban, hogy ösztönösen ellenőrizzék az e-maileket és egyéb üzeneteket, mielőtt rákattintanának az azokban található linkekre vagy csatolmányokra.

Önellenőrző

kérdések, amelyeket a dolgozóknak fel kell tenniük, hogy megakadályozzák az adathalász-támadást:

Kért vagy várt az üzenet? Ha nem, akkor az alábbi kérdésekre kell válaszolni, hogy azonosítani tudja az adathalász kísérletet.

A küldő valódi, azaz a helyes és pontos vállalati e-mail címet, profilt vagy telefonszámot használja, a feladó neve megegyezik az e-mail címben szereplő névvel? Ha nem, akkor ez egy adathalász kísérlet lehet.

Van az üzenetben sürgősségre, ijesztő következményekre vagy nagyszerű jutalomra történő utalás? Ha igen, akkor ez egy adathalász kísérlet lehet.

A levél állítólagosan egy bank, postai szolgálat, az adóhatóság vagy egy bűnüldöző szervtől érkezett? Ha igen, akkor ez egy adathalász kísérlet lehet, és az adathalásztámadások széles körben elterjedt típusába sorolható. Az előbb említett szervezetek jellemzően biztonságos kommunikációs csatornákat (pl. alkalmazásokat) vagy weboldalt (https://) használnak. Ha kétségei vannak, navigáljon közvetlenül a „küldő” alkalmazására/weboldalára, jelentkezzen be, és ellenőrizze, megjelenik-e bármilyen üzenet.

Az üzenet furcsa, elütésekkel teli, nyelvtanilag helytelen vagy nagy általánosságban „beszél”? Akkor ez egy adathalász kísérlet lehet.

MIT TEHETNEK A KIS- ÉS

KÖZÉPVÁLLALKOZÁSOK

EGY ADATHALÁSZTÁMADÁS ESETÉN?

Az adathalász-támadások valódi fenyegetést jelentenek a magyar kis- és középvállalkozások számára is. Az alábbi reakciók segíthetnek a védekezésben:

• soha ne kattintsanak az e-mailben szereplő linkekre adathalász-támadás gyanúja esetén,

• jelezzék az üzenetet adathalászatként az informatikai szakemberek, a használt rendszer üzemeltetői vagy a megszemélyesített szervezet (akinek a nevében küldték) felé,

• töröljék az üzenetet, adathalász-támadás esetén tájékoztassák a biztonsági/IT-csapatot, és változtassák meg a jelszavakat, PIN kódokat minden fontos fiókhoz (e-mail, bank, hitelesítési szolgáltatások, operációs rendszerek és felhőszolgáltatások),

• ha az adathalász-támadás sikeres, a rendszerek és adatok veszélybe kerülhetnek és hozzáférhetetlenné válhatnak. Ebben az esetben kaphatnak egy zsarolóprogramüzenetet. Van néhány hasznos forrás, amelyek tanácsokat tartalmaznak arra vonatkozóan, hogy hogyan kell fellépni zsarolóprogram-incidens esetén, például az Europol "No More Ransom” weboldala vagy a Nemzeti

Kibervédelmi Intézet CSIRT-jével (Számítógépes biztonsági incidensekre reagáló csoport) való együttműködés.

MIT TEHETNEK A HAZAI GAZDASÁGI TÁRSASÁGOK A WEBES

TÁMADÁSOK ELKERÜLÉSE ÉRDEKÉBEN?

A webes támadás az internetes infrastruktúra technológiai biztonsági hiányosságait használja ki például egy vállalati weboldal, egy e-kereskedelmi oldal, egy blog vagy egy keresőmotor ellen. A webes támadások példái közé tartozik a rosszindulatú kód, program telepítése érzékeny információk, például egy fogyasztói adatbázis vagy fizetési adatok megszerzése érdekében, a weboldalon lévő adatok módosítása, adatok törlése és a weboldalhoz való hozzáférés megakadályozása.

• A webes támadások elleni védelem érdekében a kkv-knak a következőket javasolt figyelembe venniük:

• az operációs rendszerek naprakészen tartása, a legújabb elérhető biztonsági frissítések időben való telepítése,

• biztonsági beállítások alkalmazása, például erős hitelesítés a rendszergazdai hozzáféréshez, titkosítás és adatmentés,

• weboldalak ellenőrzése és felügyelete a sebezhetőségek és a rosszindulatú kódok felderítése és azok kiaknázásának megakadályozása érdekében.

TÁMOGATÁS EURÓPAI SZINTEN 03

MILYEN UNIÓS POLITIKA

IRÁNYUL A KKV-K

TÁMOGATÁSÁRA A

KIBERBIZTONSÁG SZEMPONTJÁBÓL?

Az EU kétféleképpen közelíti meg a kisvállalkozások kiberbiztonságának javítását: befektetések ösztönzésével és szabályozással.

Kiberbiztonsági törvény (2019)

• A kkv-k kiberbiztonságát elősegítő és támogató egyik szakpolitikai eszköz az EU-ban a 2019. évi kiberbiztonsági törvény. Megteremti az uniós szintű kiberbiztonsági tanúsítási rendszerek továbbfejlesztésének alapját.

• Az ilyen tanúsítási rendszerek előnyösek lehetnek olyan kkv-k számára, akik beszállítóiktól kiberbiztonsági garanciát követelnek meg, valamint a kiberbiztonságba befektető gazdasági társaságokat segítő és azokat versenyelőnyhöz juttató eszközként is szolgálhatnak. Három jelentős uniós kiberbiztonsági tanúsítási rendszer van kialakulóban, amelyek a felhőszolgáltatásokra (EUCS), a mobilhálózati 5G-re és az EU-ban, a megbízható infokommunikációs (IKT) termékek közös kritériumainak (EUCC) meghatározására összpontosítanak. A felhő és az 5G olyan infrastruktúra-építőelemek, amelyek lehetővé teszik a kis- és középvállalkozások erősebb digitalizációját és az új szolgáltatások fejlesztését. A közös kritériumok rendszere tanúsítja a termékek IKT biztonsági jellemzőit, amit a társaságok a termék- és szolgáltatáskínálatuk részeként használhatnak.

szembeni ellenálló képesség törvény (CRA)

• Az új NIS2 irányelv (illetve a magyar 2023/23-as számú, kibertanúsítási törvény) egy sor olyan rendelkezést vezet be, amelyek az EU-n valamint Magyarországon belül az alapvető szolgáltatások üzemeltetőit, gyártóit kötelezik biztonsági intézkedések végrehajtására és a beszállítóik kiberbiztonsági kockázatának értékelésére. Egyes esetekben ez az irányelv az EU tagállamokból származó kkv-kra is kiterjedhet.

• 2022. szeptemberében az Európai Bizottság közzétette a kibertámadásokkal szembeni ellenállóképességi törvényjavaslatot (CRA), amely a digitális elemmel rendelkező termékek (illetve azok gyártói) kiberbiztonságának javítására összpontosít. A CRA javaslat szerint az ilyen termékeknek szigorú kiberbiztonsági, incidens- és sebezhetőségkezelési, kockázatelemzési és bejelentési követelményeknek kell megfelelniük, mielőtt az EU piacán forgalomba hozhatók lennének. A CRA irányítási és jogalkotási megközelítése az új jogszabályi keretrendszer (New Legislative Framework) eljárásán alapul, amely jelenleg az uniós piacra szánt termékek biztonságosságának tanúsítására szolgál.

Horizon Europe / Digital Europe

• A beruházások tekintetében az EU 10 milliárd eurót különített el a kiberbiztonsággal kapcsolatos együttműködési intézkedésekre a Horizon Europe kutatási, innovációs és tudományos program (2021-2027) keretében. A kkv-k számára a Digital Europe programból is rendelkezésre állnak erőforrások a kiberbiztonság magasabb szintjének előmozdítására. Ezek a kezdeményezések több lehetőséget is biztosítanak a kis- és középvállalkozásoknak arra, hogy új, innovatív, kiberbiztonsággal kapcsolatos termékek és szolgáltatások kifejlesztése terén növeljék jelenlétüket Európában.

Az EU 10 milliárd eurót különített el a kiberbiztonsági együttműködési intézkedésekre a Horizon Europe kutatási, innovációs és tudományos program (2021-2027) keretében.

InvestEU / EU Recovery and Resilience Facility

• A kiberbiztonság része az InvestEU pénzügyi ösztönző programnak is, amely az európai kiberbiztonsági

értékláncok megerősítését fogja támogatni. Az uniós Recovery and Resilience Facility (RRF) keretében számos uniós ország olyan terveket fogad el, amelyek számos további befektetést tartalmaznak a kiberbiztonság területén.

Készségek Európai Éve 2023 (European Year of Skills)

• Az Európai Bizottság és az uniós tagállamok a készségek európai éve (2023) keretében számos új, a kiberbiztonsági képességekkel, készségekkel kapcsolatos kezdeményezést dolgoztak ki.

HOGYAN TUDJA AZ EIT DIGITAL TOVÁBB TÁMOGATNI A KKV-KAT A KIBERBIZTONSÁG MAGASABB SZINTJÉNEK ELÉRÉSÉBEN?

Az EIT Digital egy olyan kezdeményezés, amely az innováció jövőjét testesíti meg azáltal, hogy a vezető európai vállalatok, kkv-k, start-upok, egyetemek és kutatóintézetek páneurópai, több érdekelt felet tömörítő, nyílt innovációs ökoszisztémáját mozgósítja. A hallgatók, kutatók, mérnökök, üzletfejlesztők és befektetők képesek kielégíteni a digitális vállalkozói szféra technológiai, tehetség-, készség-, üzleti és tőkeigényét.

Az EIT Digital a digitális vállalkozások, digitális termékek és szolgáltatások következő generációját építi. Ez neveli a digitalizációban járatos vállalkozói tehetségeket, segítve a vállalkozásokat és vállalkozókat abban, hogy a digitális innováció élvonalába kerüljenek azáltal, hogy technológiát, tehetséget és növekedési támogatást biztosít számukra.

Az EIT Digital konkrét innovációs igényeket elégít ki, például a megfelelő partnerek felkutatásával a technológia piacra viteléhez, a digitális technológiai vállalkozások felfuttatásának támogatásával, a tehetségek bevonásával, valamint a digitális tudás és készségek fejlesztésével.

Európa legnagyobb digitális innovációs ökoszisztémájaként az EIT Digital számos módon járul hozzá a kkv-k kiberbiztonságának magasabb színvonalához. Célja az európai

kiberbiztonsági termékek és szolgáltatások számának növelése, amely jelenleg a globális

kiberbiztonsági piac mintegy 16 százalékát teszi ki. Az EIT Digital számos kezdeményezést indít a start-up vállalkozások és a kkv-k méretnövelésének támogatása érdekében:

16% EU

Európai kiberbiztonság termékek és szolgáltatások.

részesedése a globális

kiberbiztonsági piacon

• Az EIT Digital az Accelerator programján keresztül azonosítja és támogatja az új európai kiberbiztonsági startupok növekedését. Ez tovább növelheti a magyar kis- és középvállalkozások kiberbiztonsági megoldásainak sokféleségét és elérhetőségét is.

• Az EIT Digital DeepHack program digitális innovátorokat és vállalkozókat hoz össze, hogy kritikus üzleti problémákat oldjanak meg, többek között a kiberbiztonság területén.

• Az EIT Digital Innovation Factory kezdeményezés európai partnereket hoz össze a digitális vállalkozások, termékek és szolgáltatások következő generációjának megteremtése érdekében.

• Az EIT Digital Venture Programme

pénzügyi támogatást és képzést nyújt európai vállalkozóknak, hogy új technológiai vállalkozásokat indíthassanak.

• A kiberképesség hiányt az EIT Digital Masters kiberbiztonsági program munkája révén igyekeznek megszüntetni. Ez a kezdeményezés már számos európai országban zajlik, többek között Hollandiában, Olaszországban, Franciaországban, Magyarországon, Romániában és Finnországban. A képzésekkel a felhőalapú számítástechnika biztonsága, az alkalmazásbiztonság, a kiberkockázat-kezelés, a biztonsági elemzés, a kriptográfia, a hálózati infrastruktúra biztonsága, a rendszerek validálása és a biztonságos adatkezelés terén jelentkező képességhiány csökkentését célozzák.

HOGYAN TUD AZ EURÓPAI KIBERBIZTONSÁGI

KOMPETENCIAKÖZPONT ÉS HÁLÓZAT MAGASABB SZINTŰ KIBERBIZTONSÁGOT NYÚJTANI A MAGYAR KISÉS KÖZÉPVÁLLALKOZÁSOK SZÁMÁRA?

• Az Európai Kiberbiztonsági Kompetenciaközpont (ECCC) egyik feladata a kiberbiztonsági kérdésekkel kapcsolatos számos európai kutatási és innovációs projekt támogatása és koordinálása. Ez az egyik példája annak az EU-n belüli összehangolt erőfeszítésnek, amelynek célja annak biztosítása, hogy a kkv-k a kiberbiztonsági kutatási tevékenységeket innovatív termékekké és megoldásokká alakítsák át a piac számára.

• Az ECCC éves kiberbiztonsági munkaprogramjai erőteljesen támogatják a kis- és középvállalkozásoknak a Horizon Europe és a Digital Europe kezdeményezésekben való részvételét.

• Az ECCC szorosan együttműködik az EU 27 tagállamában működő nemzeti koordinációs központok (NCC) hálózatával. Ez az együttműködés kiterjesztheti a kkv-k kiberbiztonságát támogató programokat az egyes uniós tagállamokban és egységesen az egész unióban.

• A kiberbiztonsági kompetenciaközpont támogatja a kapacitásfejlesztést az EU 27 tagállamában a magasabb szintű kiberbiztonsági szabványok és a kiberbiztonsági tanúsítványok elterjedtebbé tétele érdekében.

04

ÉS ERŐFORRÁSOK A KKV-K SZÁMÁRA.

ENISA (Európai Unió Kiberbiztonsági Ügynökség)

• Kiberbiztonság kkv-k számára (2021)

https://www.enisa.europa.eu/publications/cybersecurity-guide-for-smes

• KKV felhőbiztonsági eszköz (2021).

https://www.enisa.europa.eu/topics/cloud-and-big-data/cloud-security/security-for-smes/sme-guide-tool

• Európai kiberbiztonsági hónap.

https://cybersecuritymonth.eu/

• Legyen tudatában, legyen felkészült - Kiberbiztonsági tippek kkv-knak.

https://www.youtube.com/watch?v=epJTYOdW3sU&t=24s&ab_channel=ENISAvideos

• Kiberbiztonsági kultúrára vonatkozó iránymutatások. Kiberbiztonság viselkedési szempontjai (2021).

https://www.enisa.europa.eu/publications/cybersecurity-culture-guidelinesbehavioural-aspects-of-cybersecurity/at_download/fullReport

• Európai kiberbiztonsági készségfejlesztési keretrendszer 2022.

https://www.enisa.europa.eu/topics/cybersecurity-education/european-cybersecurity-skills-framework

Europol

• Zsarolóprogram-támadás esetén a kkv-k az Europol tanácsait követve mérsékelhetik a károkat.

https://www.europol.europa.eu/activities-services/public-awareness-and-prevention-guides

ETSI

• Kiberbiztonság kkv-k számára. 1. rész: Kiberbiztonsági szabványosítási alapkövetelmények.

https://www.etsi.org/deliver/etsi_tr/103700_103799/10378701/01.01.01_60/tr_10378701v010101p.pdf

OECD

• Digitális biztonság a kkv-kban 2021.

https://www.oecd-ilibrary.org/sites/cb2796c7-en/index.html?itemId=/content/component/ cb2796c7-en#chapter-d1e7025

Világgazdasági Fórum

• Mit kell tenniük a kkv-knak a 2021-es kiberbiztonsági jövő érdekében?

https://www.weforum.org/agenda/2021/06/cybersecurity-for-smes-europe/

CyberWatching.eu

• KKV útmutatók:

https://cyberwatching.eu/smes-guides

CSIRT (Számítógépes biztonsági incidensekre reagáló csoportok) az EU-27-ben

• https://csirtsnetwork.eu/

Magyarország

• Szabályozott Tevékenységek Felügyeleti Hatósága (Supervisory Authority for Regulated Affairs) https://sztfh.hu/tevekenysegek/kiberbiztonsag-felugyelete/

• Nemzeti Kibervédelmi Intézet (National Cybersecurity Center): https://nki.gov.hu/

• DigitalTech EDIH:

• https://digitaltechedih.hu/

•

• Hétpecsét Információbiztonsági Egyesület

• https://hetpecset.hu/

•

• Informatikai Vállalkozások Szövetsége:

• https://ivsz.hu/cimke/informacio-es-kiberbiztonsag/

•

• Hirközlési és Informatikai Tudományos Egyesület EIVOK

• https://www.hte.hu/informaciobiztonsagi-szakosztaly-eivok

Szerzői jog © 2023 Huawei Technologies Co., Ltd. Minden jog fenntartva.

A jelen dokumentumban szereplő információk tartalmazhatnak jövőre vonatkozó kijelentéseket, beleértve többek között a jövőbeli pénzügyi és működési eredményekre, a jövőbeli termékportfólióra, új technológiákra stb. vonatkozó kijelentéseket. Különböző tényezők hatására a tényleges eredmények és fejlemények jelentősen eltérhetnek a jövőre vonatkozó kijelentésekben kifejezett vagy feltételezett eredményektől. Ezért az ilyen információk csak referenciaként szolgálnak, és nem minősülnek sem ajánlatnak, sem elfogadásnak. A Huawei bármikor, előzetes értesítés nélkül megváltoztathatja ezen információkat.