Dr. Bencsik Balázs az SZTFH kiberbiztonsági tanúsítási igazgatóság munkájáról és főbb területeiről tartott izgalmas előadást a Computerworld által szervezett SecWorld 2022 konferencián.
Ne hagyja ki a szakami előadás videó összefoglalóját a cikk végén!
Computerworld: Mi a Szabályozott Tevékenységek Felügyeleti Hatóság fő feladatköre és milyen szakmai célok vannak kilátásban a következő időszakban?
Dr. Bencsik Balázs: Az SZTFH létrehozásának célja az volt, hogy egy stabil, kiszámítható működési és szabályozási környezetet teremtsen a nemzetgazdaság szempontjából kiemelt ágazatok számára. A hatóság 2022. január 1-jén került kijelölésre a nemzeti kiberbiztonsági tanúsítási hatósági feladatok elvégzésére, megfelelve annak az uniós szabályozásnak, amely egy egységes tanúsítási keretrendszert alkotott az infokommunikációs termékek és szolgáltatások piacán.
Feladatunk a nemzeti szuverenitás megtartása, megszerzése és visszaszerzése a kiemelt ágazatokban. Ennek érdekében fontosnak tartjuk elősegíti a hazai gyártású, fejlesztésű termékek, szolgáltatások kiberbiztonsági követelményeknek való megfelelését, másrészt az innovatív magyar vállalkozások támogatását abban, hogy az európai piacon is sikeresek legyen a termékeik és szolgáltatásaik.
CW: Milyen területek szabályozása tervezett a közeljövőben?
Dr. Bencsik Balázs: A jövőbeni szabályozási területek között lényeges terület a digitális eszközök és szolgáltatások biztonságának a növelése.
Erre azért van szükség, mert a digitális termékek vagy szolgáltatások megalkotásakor, illetve forgalomba hozatalakor a gyártók, fejlesztők gyakran nem alkalmaznak megfelelő kiberbiztonsági követelményeket. Hiányoznak a terméktámogatással kapcsolatos eljárások, amelyek a sebezhetőségek és sérülékenységek megfelelő kezelésének elmulasztásához vezethetnek. Fontos továbbá az is, hogy a fogyasztók megfelelő tájékoztatást kapjanak a megvásárolt eszközök biztonsági funkcióiról.
A másik lényeges jövőbeni szabályozási terület azokat a szolgáltatókat érinti, amelyek az ország gazdasága szempontjából fontos és alapvető tevékenységet végeznek, digitális szolgáltatásokat nyújtanak. Ezen szolgáltatói kör esetében szükséges megteremteni azt az alapvető szabályrendszert, amely garantálja, hogy a vállalatok időről időre elvégzik a kiberfenyegetések jelentette kockázatok értékelését, megfelelő intézkedéseket hoznak a kockázatok kezelésére, felismerik az őket érő biztonsági eseményeket és hatékonyan el is hárítják, kezelik azokat. Ezen a területen figyelemmel kell lenni az európai uniós hálózati és információbiztonsági szabályozási irányokra.
CW: Milyen támogatásra számíthat a vállalati szektor az új szabályozási megfelelések kapcsán a Hatóságtól?
Dr. Bencsik Balázs: A hazai infokommunikációs szektort érintő, a 2022. év elején a hatóság megbízásából készített felmérés eredménye azt mutatja, hogy a magyar IKT szektor vállalatai elkötelezettek a magasabb kiberbiztonság megteremtésében. A kérdőíves felmérés válaszai alapján szükség van a biztonsági kultúra kialakítására, a vállalkozások körében az edukáció elindítására, a támogató jogszabályi környezet megteremtésére és a bevezetés szakmai és anyagi támogatására, valamint egyéb ösztönzők (pl. versenyelőny biztosítása, közbeszerzési elvárások módosítása) bevezetésére.
Az állam feladata ezért tehát az, hogy egyértelmű elvárás rendszert alkosson, hatékony hatósági kontrollt vezessen be és működtessen. Hasonló megoldásra jó példa a pénzügyi ágazat, ahol a szabályozói szerepkör által nagymértékben csökkent a kibertámadásokkal szembeni kitettség mértéke.
A másik eszköz a szemléletformálás és biztonsági tudatosítás, illetve az oktatás, amely élő példákon keresztül bemutatja és megmagyarázza a kiberbiztonsági összefüggéseket, jó gyakorlatokat és alkalmazható intézkedések rendszerét.
CW: Hogyan lehet Ön szerint elérni (akár érdekeltté tenni) a cégvezetői kört abban, hogy a következő időszak szabályozási keretrendszerét ne adminisztrációs feladatnak tekintse csak, hanem átfogó, felsővezetői döntési és intézkedési körnek?
Dr. Bencsik Balázs: Kiberbiztonsági aspektusból kétféle vállalat létezik, az egyik, amely már elszenvedett kibertámadást, a másik, amelyet a jövőben fog érni kibertámadás. A vállalatok kockázati térképét az elmúlt években megjelenő és rendkívüli intenzitással lecsapó zsarolóvírus támadások jelentősen megváltoztatták. A támadások hatására bekövetkező szolgáltatás-kiesések, a gyártási kibocsátás átmeneti csökkenése, vagy a titkosított adatok visszaszerzése érdekében kifizetett váltságdíjak összege olyan mérteket öltött, amelyek miatt a cégvezetők felelősségé és prioritásává vált, hogy a kiberbiztonsággal szervezeti szinten foglalkozzanak. Azon cégvezetők, amelyek időben felismerték a kockázatokat és befektetésként tekintenek a kiberbiztonsági kiadásokra, nagyobb eséllyel hárítják el, vagy csökkentik a fenyegetések okozta károkat. Ezt az üzenetet szükséges eljuttatni azokhoz is, akik még nem ismerték fel a kiberbiztonság fontosságát.