BUX 133710.40 0,03 %
OTP 40370 -0,98 %
economx_logo
Csatlakozás
Keresés
Buksza blog
Video
Promo app

Töltse le az Economx appot!

Letöltés
Nyakunkon a határidő: így állnak a cégek a közelgő audit előtt
OTP 40370 -0,98 %
EUR/HUF 355.6 0,11 %
Csatlakozás
Keresés
Buksza blog
Video

Nyakunkon a határidő: így állnak a cégek a közelgő audit előtt

A kiberbiztonság ma már nem csupán IT-költség, hanem a fenntartható működés alapfeltétele, mivel a kifinomult, AI-támogatott támadások rendszerszintű kockázatot jelentenek minden szektornak. A piaci és működési veszélyek mellett a jogszabályi kényszer is sürgeti a vállalatokat, hiszen az érintett hazai szervezeteknek június 30-ig kell teljesíteniük az első kötelező NIS2-auditot. A hamis biztonságérzet felszámolásához az egyszeri projektek helyett a folyamatos munkavállalói edukáció és a szigorú technikai kontrollok kombinációjára van szükség. Zala Mihállyal, az EY Magyarország partnerével, a kibervédelmi szolgáltatások vezetőjével beszélgettünk. Interjú.

2026. június 8. hétfő, 06:00

Fotó: Getty Images / Witthaya Prasongsin - A view of a programmer working on multiple screens, showcasing coding and technology in action.
A view of a programmer working on multiple screens, showcasing coding and technology in action.

Megosztom

Google Állítsd be Google keresőjét, hogy a találatok között biztos ott legyen az Economx!

Hogyan lehet rávenni a cégeket, hogy komolyan vegyék a kiberbiztonsági kérdéseket? Mivel lehet őket motiválni?

A cégek számára a kiberbiztonság akkor válik valódi prioritássá, amikor nem technológiai problémaként, hanem üzleti, pénzügyi és működési kockázatként jelenik meg. Az Európai Kiberbiztonsági Ügynökség (ENISA) 2025-ös jelentése egyértelműen mutatja, hogy az európai fenyegetési környezet érettebbé és összetettebbé vált: a jelentés 4875 kiválasztott és elemzett incidenst vizsgált a 2024. július és 2025. június közötti időszakban. Ez jól mutatja, hogy nem elszigetelt esetekről van szó, hanem folyamatos, rendszerszintű kockázatról.

A vállalatokat elsősorban azzal lehet motiválni, ha megértik, hogy egy kibertámadás nemcsak adatveszteséget, hanem szolgáltatáskiesést, reputációs kárt, ügyfélbizalom-vesztést és akár szerződéses vagy szabályozói következményeket, hatósági szankciókat is okozhat. Az azonosított behatolások jelentős részénél a zsarolóvírusok, banki trójai vagy információlopó vírusok/kártékony kódok dominálnak. Ezek együttesen a támadások körülbelül 87 százalékát adják.

A legtöbb szervezet egyfajta hamis biztonságérzetet alakít ki, és a kiberfenyegetésekre nem tekint valós kockázatként, hiszen eddig sem érte őket támadás, így talán ezután sem fog. Ez egy hibás megközelítés és ténylegesen hamis biztonsági érzet.

Mindezek mellett a NIS2 EU-s irányelv tovább erősíti azt az üzleti motivációt, hogy a kiberbiztonság már nem önkéntes jó gyakorlat, hanem jogszabályi megfelelés és vezetői felelősség kérdése is. Magyarországon az érintett szervezeteknek 2026. június 30-ig kell teljesíteniük az első kötelező kiberbiztonsági auditot. A motiváció tehát három irányból érkezik:

  • szabályozói megfelelés (NIS2, audit-kötelezettség),
  • üzletmenet-folytonosság és kármérséklés,
  • piaci bizalom és versenyelőny a beszállítói láncokban.

Az ENISA külön kiemeli, hogy a támadók egyre gyakrabban célozzák a digitális függőségeket, szolgáltatókat és ellátási láncokat (beszállítókat). Ezért a cégeket leginkább azzal lehet rávenni a komolyabb hozzáállásra, ha megmutatjuk nekik: a kiberbiztonság ma már nem IT-költség, hanem az üzleti működés feltétele.

A sikeres támadások 85 százaléka továbbra is a munkatársak megtévesztésére épül, ezek ellen pedig a legfejlettebb technológiai megoldások sem nyújtanak önmagukban védelmet.

Zala Mihály, az EY Magyarország partnere, a kibervédelmi szolgáltatások vezetője

A munkavállalók edukációja vagy más módszer lehet a megoldás a problémára?

A munkavállalók edukációja továbbra is alapvető fontosságú, de önmagában nem elegendő. A 2025-ös nemzetközi statisztikák szerint a phishing (adathalászat) továbbra is a legfontosabb kezdeti behatolási pont: tehát a legtöbb esetben valamilyen emberi mulasztás okozza a problémát.

Ugyanakkor a phishing ma már nem egyszerű, rossz helyesírású e-mailt jelent. Elterjedtek a phishing-as-a-Service megoldások (adathalászat mint szolgáltatás), a QR-kódos phishing, valamint a hamis CAPTCHA- és ClickFix-típusú módszerek, amelyeknél a felhasználót ráveszik például PowerShell-parancsok futtatására. Ez azt jelenti, hogy a klasszikus „ne kattints gyanús linkre” típusú oktatás már nem elég. Persze a kritikus gondolkodás és az éberség továbbra is alapvető fontosságú.

A megoldás egy kombinált modell:

  • rendszeres edukáció és szimulált phishing kampányok (ezekre a NIS2 egyébként külön is nagy hangsúlyt fektet),
  • erős technikai kontrollok (minimum 2FA / MFA, e-mail- és webszűrés, végpont-védelem),
  • jogosultságok korlátozása és hálózati szegmentáció,
  • szervezeti kultúra, ahol a munkavállaló meri jelezni, ha hibázott, és azt is tudja, hova és mit kell bejelenteni.

A mesterséges intelligencia (AI) megjelenése tovább súlyosbítja a helyzetet. Az ENISA szerint 2025 elejére az AI-támogatott phishing kampányok a megfigyelt social engineering aktivitások több mint 80 százalékát tették ki világszinten. Ez azt jelenti, hogy a támadások nyelvileg, vizuálisan és kontextusban is sokkal hitelesebbé válnak, sokkal könnyebb bedőlni nekik.

Ezért az edukációt nem egyszeri tréningként, hanem folyamatos viselkedésformálásként kell kezelni. A cél nem az, hogy a munkavállaló tökéletes legyen, hanem hogy a szervezet úgy legyen felépítve, hogy egy emberi hiba ne vezessen automatikusan súlyos incidenshez.

Közeleg a június 30-i határidő. Hogy állnak most a cégek az EU-s NIS2-irányelvhez való alkalmazkodásban?

A NIS2-höz való alkalmazkodás Magyarországon már nem elméleti kérdés, hanem konkrét „auditfelkészülési feladat”. Az érintett szervezeteknek az első kötelező kiberbiztonsági auditot 2026. június 30-ig kell teljesíteniük. Ez a határidő sok cégnél most hozza fel a felszínre azt, hogy a megfelelés nem pusztán dokumentációs feladat, hanem szervezeti, technológiai és irányítási változásokat is igényel. Ráadásul mindezt kockázatelemzés alapján szükséges elvégezni, amit megnehezít az a tény, hogy a cégek egy jó nagy része nincs tisztában a saját folyamataival és azzal sem, milyen adatvagyona van, milyen szoftverekkel és hardverekkel dolgozik.

A tavalyi év támadási trendjei (érintettségi szektor vonatkozásában) világosan rámutatnak arra, miért fontos a NIS2. A legjobban érintett európai szektorok között szerepel:

  • a közigazgatás,
  • közlekedés,
  • digitális infrastruktúra és szolgáltatások,
  • pénzügy,
  • gyártás,
  • és az egészségügy.

A cégek számára a legnagyobb kihívást jellemzően nem egyetlen technológiai hiányosság jelenti, hanem az, hogy a kiberbiztonsági működésnek bizonyíthatónak, auditálhatónak és fenntarthatónak kell lennie. Az audit és a reziliencia kialakítása nem egyszeri feladat, hanem inkább egy folyamatként értelmezhető, optimális esetben.

Fontos kiemelni, hogy az újonnan feltárt sérülékenységek száma 2025-ben közel 30 százalékkal növekedett az előző évhez képest. Ez egy nagyon magas szám, ami jól mutatja, hogy a kiberbűnözők folyamatosan munkában vannak és keresik a behatolási pontokat.

Összességében a cégek egy része már jó úton halad, de sok szervezetnél még intenzív felkészülési időszakra van szükség. A legnagyobb kockázat azoknál a cégeknél van, amelyek a NIS2-t még mindig egyszeri megfelelési projektként kezelik, nem pedig folyamatos kiberbiztonsági működésként. Az EY nem csak hivatalos kiberbiztonsági auditorként, hanem az auditra való célzott felkészítőként is jelen van a piacon, egyedüli nemzetközi cégként, ami jelentős tapasztalattal vértezte fel a csapatunkat.

Szektoronként milyen eltérések tapasztalhatók a kiberbiztonság területén? Az informatikai szolgáltatóknál például jobb a helyzet, mint máshol?

Szektoronként jelentős eltérések láthatók, és ezek leginkább a digitális érettségből, a szabályozottságból és az üzleti kitettségből fakadnak. Az előző felsorolás erre jó példa.

A közigazgatás volt az elmúlt időszak legjobban célzott szektora az EU-ban. Az itt regisztrált incidensek körülbelül 96 százaléka DDoS-támadás volt (elosztott túlterheléses támadás), amelyeket elsősorban hacktivista csoportok hajtottak végre, jellemzően geopolitikai eseményekhez kötötten. Az állami támogatással működő hackerkollektívák jelenléte amúgy is erősödik, ezzel a jövőben is számolni kell.

A közlekedési szektor incidenseinek több mint 50 százaléka légi közlekedést érintette, körülbelül 20 százaléka a logisztikát. Az IT-szektor érettebb kiinduló helyzetben van, de egyben kiemelt célpont is, mivel más szervezetek működése is függ tőle. Ez az a szektor, ahol szintén megjelentek az államilag támogatott hackercsoportok mint potenciális támadók.

A pénzügyi szektor erősebben szabályozott és érettebb, de továbbra is vonzó célpont. Magyarországon ezért főleg inkább a felhasználókat, nem pedig közvetlenül a bankokat támadják. Sokkal könnyebb egy csaló linken, vagy egy ügyintézőnek álcázott hívsáson keresztül adatok és/vagy pénzt kicsalni az emberektől.

A gyártás szintén gyakran támadott szektor, ahol már nem elég kizárólag az IT-rendszerek védelméről gondoskodni, hanem az úgynevezett kiberfizikai rendszerek (OT) sebezhetőségével is számolni kell. Sőt, egyre gyakoribbak az ilyen támadások, hiszen a rendszerek sok esetben elavultabb szisztémára épülnek, néha már a gyári támogatás és frissítés sem elérhető, de egyes cégek ezt még nem kezelték megfelelően, mondván „ne nyúljunk hozzá, legalább működik”. Pedig a gyártási, termelési folyamatok meghatározó eleme ez, főleg ahol nagyobb hangsúlyt kapott már a digitalizáció és automatizáció.

Összességében tehát az IT-szektor érettebb, de nem biztonságosabb. A NIS2 egyik legfontosabb hatása éppen az lehet, hogy ezek között a szektoriális érettségi különbségek között minimum szintet teremt.

kiberbiztonság
vállalatok
védekezés
pénzügyek
eu

Megosztom

Ez is érdekelhet