Egyre inkább foglalkoztatja a vállalatokat az Európai Unióban, hogy miként fogja érinteni őket a NIS2 felülvizsgált kibervédelmi irányelv, illetve a pénzügyi szektor védelmének erősítését célzó rendelet, a DORA (Digital Operational Resilience Act). A NIS2 esetében a részletek még pontosításra várnak, a tagországok pedig csak később ültetik át a szabványokat a nemzeti jogba, miközben az EU-ban tevékenykedő cégeknek komoly munkát kell belefektetniük, hogy eleget tegyenek a jogszabályoknak. 

Májusban rekordösszegű, 1,2 milliárd eurós (448,90 milliárd forint) bírságot kapott a Facebook-tulajdonos Meta az uniótól, miután nem tett eleget a szervezet arra vonatkozó kérésnek, hogy ne küldje át az európai polgárok adatait az óceánon túlra, amelyekhez ily módon az amerikai titkosszolgálatok is hozzáférhetnek.

A döntés értelmében a közösségi oldalnak öt hónapja van, hogy felhagyjon a jogsértő adattovábbítással, fél év után pedig be kell szüntetnie az EU-s polgárok adatainak tárolását az Egyesült Államokban.

Two,Professional,It,Programers,Discussing,Blockchain,Data,Network,Architecture,Design
Csak az elmúlt hónapban 98 adatsértést regisztráltak, amely több mint 98 millió személyes adat védelmét érintette.
Fotó: Shutterstock

Az IT Governance által közzétett jelentés szerint csak az elmúlt hónapban 98 adatsértést regisztráltak, amely több mint 98 millió személyes adat védelmét érintette. A Luxottica Group SpA – amely világelső a szemüvegkeretek gyártásában és forgalmazásában – végre eljutott oda, hogy elismerje a súlyos kibertámadás tényét. Az olasz cég neve elsősorban onnan lehet ismerős, hogy a többi között a Ray Ban, Persol, Ferragamo, Chanel, Versace, Prada, Vogue, Armani és D&G márkájú napszemüvegek forgalmazója. A zsaroló azzal fenyegetőzött, hogy ha nem fizetnek neki, eladja a társasághoz köthető 300 millió adatot tartalmazó listát. Később a hekkerek a Luxottica olaszországi és kínai gyárát vették célba olyannyira sikeresen, hogy le is kellett állítani a termelést. 

Egyes szakértők úgy vélik, a jogsértések során több mint 77 millió e-mail-címet szerezhettek meg a csalók, így a nyomozásba az FBI-t is be kellett vonni.

Az IT Governance jelentése egyébként a Teslát is név szerint említi, mivel legalább 100 ezer egykori és jelenlegi dolgozója személyes adatait szerezték meg bűnözők, míg a portugálok azért kerültek képbe, mert az ottani kormány mégsem a Huaweijel képzeli el a közös jövőt. Eredetileg ugyanis a kínai konszern készülékeit használták volna az 5G-s mobil távközlési hálózatok bővítéséhez.  

A technológiai fejlődés következtében világszerte felgyorsult a digitalizáció üteme a közelmúltban, ami tovább növeli a bűncselekmények lehetőségét az online térben, ennek hatására pedig ugrásszerűen megnőtt a kibertámadások száma. Ezért az Európai Unióban új jogszabályokkal cserélik le a korábbi irányelveket, hogy erősítsék a kibervédelmet. Ezek hasznos iránymutatást nyújtanak az érintett vállalatok számára a biztonság hatékony erősítésében, egyben további kötelezettségeket rónak rájuk. 

Naponta egy magyar család eljátssza a vagyonát az internetes csalások miatt

Leginkább saját magunktól kell megvédeni minket, mert bedőlünk a kiberbűnözőknek, és mi utaljuk át a pénzünket, vagy adjuk meg a banki adatainkat.

A NIS2 2023. január 16-án lépett hatályba, az EU tagállamainak pedig 2024. október 17-ig kell átültetniük a benne foglalt intézkedéseket a nemzeti jogba. A direktíva célja, hogy erősítse a kritikus infrastruktúrák kibervédelmét, és harmonizálja a különböző tagállamok kiberbiztonsági követelményeit, illetve az intézkedések végrehajtását. A NIS2 a kritikus szektorokban tevékenykedő közepes méretű és nagyvállalatokra vonatkozik, beleértve 

  • a közlekedési és energiaszektort, 
  • a banki és pénzügyi ágazatot, 
  • az egészségügyet, továbbá 
  • a digitális infrastruktúra területeit és a közigazgatást.  

A DORA-rendelet 2023. január 16-tól van érvénybe, ám csak 2025. január 17-től kell alkalmazni, és a pénzügyi szektor ellenállóságát kívánja erősíteni a kibertámadásokkal szemben egy egységes követelményrendszeren keresztül. Húszféle pénzügyi szervezetre terjed ki, illetve 

  • a külső IT-kiszolgálóikra, 
  • beleértve a felhő-, digitális és adatszolgáltatást, 
  • a szoftverfejlesztést, valamint 
  • a támogatást (support) biztosító cégeket. 

„Fontos figyelembe venni, hogy aki már most jól működő kibervédelmi rendszert épít ki, az jobban felkészül az új szabályozásokra, amelyek a következő években válnak számukra kötelező érvényűvé. A vállalatok ezzel nem csupán a szabályozásokat előzik meg, de a kiberbűnözőket is. Elemi érdekük már most foglalkozni a kérdéssel, folyamatosan napirenden tartani a témát és nyomon követni a legújabb fejlesztéseket, fejleményeket és trendeket. Nem kell megvárniuk, amíg törvénybe iktatják a jó gyakorlatokat. Az ugyanis a legjobb gyakorlat, ha szabályozás nélkül is gondoskodnak az erős védelemről” – foglalta össze Csendes Balázs, a BlueVoyant kelet-közép-európai és közel-keleti térségekért felelős értékesítési igazgatója.