Kiberbiztonság 1. rész – A kiberbiztonság jelene és jövője

2018 májusa több szempontból is változásokat hozott, ahogyan korábbi cikkeinkben is írtuk, alkalmazandó lett a GDPR a személyes adatok adatkezelése tekintetében, valamint 2018. május 10. napjától a társaságoknak az új kiberbiztonsági szabályozásra is szükséges figyelemmel lenniük.

Következő cikkeinkben az adatvédelem mellett, a kiberbiztonság kérdésköreivel foglalkozunk. Jelen cikkünkben bemutatjuk az Olvasó számára a kiberbiztonság fontosságát, következő cikkeinkben pedig kitérünk az új kiberbiztonsági szabályozásra, azaz a NIS-irányelv rendelkezéseire és egy külön cikk keretében röviden áttekintjük a vonatkozó magyar kiber szabályozást is, illetve megvizsgáljuk, hogy mit is tehet egy vállalat az adatvédelmi és kiberbiztonsági megfelelése érdekében.

Napjainkban elengedhetetlen a társaságok számára a digitális technológiák alkalmazása versenyképességük érdekében, a gazdasági és társadalmi folyamatok felgyorsulnak, a vállalatok belső rendszerei sebezhetőbbé válnak, személyes adatainkba egyre mélyebb betekintést engedünk, ennek hatására pedig nő az adatszivárgás kockázata, továbbá ezek az újítások kibertámadásokra és visszaélésekre is lehetőséget adhatnak.

Ahhoz, hogy megértsük, miért is fontos a kiberbiztonsággal foglalkozni a mindennapok során, szükséges tisztázni a kibertér jelentését. Maga a kibertér különböző informatikai hálózatok infrastruktúráját tartalmazza, amelyek egy virtuális térben kapcsolódnak össze és mindenki számára elérhetőek, hozzáférhetőek. Itt valósul meg az online adatforgalom, kommunikáció, valamint az elektronikus adatok is itt tárolódnak. A kiberbiztonság a kibertér védelmével foglalkozik, célja egy átlátható és megbízható virtuális környezet kialakítása, valamint a kibertérben létező kockázatok csökkentése gazdasági, jogi, vagy technikai eszközöket alkalmazva.

A kiberbiztonság Európai Unión belüli általános szintjének fokozása érdekében került megalkotásra a NIS-irányelv, amelyet ahogyan az előzőekben említettük, a tagállamoknak szükséges volt átültetniük hazai jogszabályi környezetükbe, illetve a már meglévő jogszabályaikat szükséges volt harmonizálniuk is az irányelv rendelkezéseivel. A NIS-irányelv szerinti előírások – a hazai jogszabályokon keresztül – 2018. május 10. napjától kezdődően alkalmazandók. Az irányelv célja, hogy egy megbízható, átlátható digitális teret hozzon létre, csökkentve a kiberbűnözést, mely napjainkban egyre meghatározóbb veszélyforrás a nagy vállalatok számára is.

Manapság a társaságok számára is egyre meghatározóbb problémává válik a kiberbűnözés, ideértve a különböző hackertámadásokat, ahol az arra illetéktelen személyek szerzik meg a vállalkozások pénzügyi adatait, illetve bénítják meg a vállalkozások által nyújtott elektronikus szolgáltatásokat károkozási céllal, de példaként említhető akár az ügyfél adatok megszerzése és további célokra történő jogellenes felhasználása is.

Az adatvédelmi és kiberbiztonsági szabályok betartása mind a kkv-knak, mind a nagy vállalatoknak érdekében áll. Gondoljunk csak vissza a Facebook-féle Cambridge Analytica botrányra, ahol felhasználók millióinak adatait használhatták fel jogellenesen, vagy éppen a kiberbűnözés kapcsán vizsgálhatunk egy hazai példát is, ugyanis a tavalyi év folyamán a Demokratikus Koalíciót is hackerek támadták meg, melynek hatására egy honlapjához kapcsolódó, személyes adatokat tartalmazó felhasználói adatbázis nyilvánosan elérhetővé vált az interneten.

A vállalatoknak, piaci szereplőknek egyre szükségesebb nagyobb erőforrásokat fordítaniuk adatvédelmi, adatbiztonsági és informatikai védelmükre, ugyanis az elavult eszközparkok, szoftverek vagy operációs rendszerek alkalmazása sérülékennyé és támadhatóvá teszi őket, indokolt a belső levelezés biztonságos tárolására és az adatok továbbítása során alkalmazott titkosítási intézkedések bevezetésére figyelmet fordítaniuk, a spam levelek kiszűrése mellett, hiszen ha nem alkalmaznak ilyen intézkedéseket, az akár informatikai védelmük gyengüléséhez is vezethet, növelve ezáltal a kibertámadások kockázatát, valamint az integritás és bizalmas jelleg sérülésének esélyét.

A GDPR és a NIS-irányelv, valamint a vonatkozó hazai szabályozás alapján, a társaságoknak már nem csak az üzletvitelben keletkező tényleges kár miatt „fájhat” a feje egy üzleti titok vagy adat kiszivárgása esetén, akár komolyabb adatvédelmi, vagy kiberbiztonsági szankciók alkalmazására, azaz bírság kiszabására is számíthatnak, sőt incidensbejelentési kötelezettség is terheli őket, mely kötelezettség megszegése esetén, a Demokratikus Koalíció példájával élve, a kötelezettségszegésre tekintettel az illetékes hatóság magasabb bírságot is jogosult kiszabni.

Érdemes a vállalatoknak a lehetséges kockázatok csökkentése érdekében nagy hangsúlyt fektetniük az Adatvédelmi, illetve Információbiztonsági Szabályzatuk kialakítására és végrehajtására, ugyanis ezen szabályzatok révén átláthatóbbá válik számukra a digitális adattárolás és adatmegosztással kapcsolatos eljárásrendjük is, amely komoly piaci előnyt jelenthet számukra.

A NIS-irányelv közösségi szinten szabályozza az információbiztonság területét, előírja a tagállamok számára a nemzeti szintű kibervédelmi stratégia megalkotását, valamint egységes szabályokat határoz meg a kibervédelem érdekében. Következő cikkünkben a kiberbiztonsági irányelv rendelkezéseit járjuk körbe röviden.

dr. Tarjányi Karolina

dr. Nagy Dóra Adriána

#AdatvédelmiilletveInformációbiztonságiSzabályzat #GDPR #kiberbűnözés #NISirányelv #kibervédelem #kiberbiztonság