## Kritikus feladatokat ellátó vállalkozások informatikai sebezhetőségei: NER-közeli cégek ellenőrzése
A magyar kormányzat 2022-ben komoly lépéseket tett a kiberbiztonság erősítése érdekében az NIS 2 irányelv bevezetésével, amely a kritikus digitális infrastruktúrák védelmét célozza. E rendszer keretein belül a vállalatoknak kötelező informatikai átvilágítást kell végezniük, amelynek célja a sebezhetőségek azonosítása és kiküszöbölése.
A kétségek forrása azonban az átláthatóság hiánya és az auditor cégek működése körüli furcsa összefonódások. Az átvizsgálást végző auditorok listája gyakran a politikai elit köréhez kapcsolódó cégekből áll, mint például azok, amelyek Rogán Antal, Tiborcz István és Balásy Gyula üzleti érdekeltségeihez köthetők. Az állambiztonsági szervekkel való kapcsolatok utalnak arra, hogy az auditálásnak nemcsak a biztonság növelése a célja, hanem a kormányzati hatalom megőrzése is.
A magyarországi cégek közül körülbelül 4-5000 érintett a kiberbiztonsági auditok terén, ám a Szabályozott Tevékenységek Felügyeleti Hatósága (SZTFH) által akkreditált auditorok száma csupán tízre tehető. Ez a szerv felügyeli a hagyományos állami monopóliumokat, például a szerencsejátékot és a dohánykereskedelmet, azonban az auditor cégek munkájának ellenőrzése terén komoly hiányosságok tapasztalhatók.
Bár a kiberbiztonsági előírások szigorúak, az auditorok működése jellemzően nem szigorúan ellenőrzött. Az iparban elterjedt gyakorlat, hogy az auditor cégek alvállalkozókat kérnek fel, akik hozzáférnek az átvilágított cégek bizalmas információihoz, ami még inkább növeli a kockázatokat. Az információk kikerülése vagy a nem megfelelő adatkezelés lehetőségei folyamatosan aggodalomra adnak okot.
A kiberbiztonsági átvilágítások során keletkezett adatok, mint a sebezhetőségi térképek és kontroll-hiányosságok, könnyen eljuthatnak olyan nem megbízható forrásokhoz, amelyek nem garantálják a GDPR-megfelelőséget vagy a nemzetbiztonsági követelményeket. Az auditor cégek belső folyamatai közötti átláthatóság hiánya, valamint a köztük és állami szervek közötti kapcsolatok gyakran kérdésesek.
Az NIS 2 irányelv bevezetésével egyidejűleg a kriptoeszközökre vonatkozó érvényesítési rendszer is kialakult, amely lehetővé teszi a titkosszolgálatok számára, hogy széleskörű információkhoz jussanak a nagyvállalatok rendszereiről. A kiberbiztonsági átvilágítást végző cégeken keresztül a titkosszolgálatok számára hozzáférhetővé válik több ezer cég informatikai elemeinek védelme is.
A háttérben zajló politikai és üzleti érdekeltségek, valamint a tisztánlátás hiánya egy újfajta kiberbiztonsági környezetet alakítanak ki Magyarországon, ahol a független auditálás helyett a politika befolyása dominál. A szakmai szervezeteknek és a szakértőknek mindent el kell követniük a következő generációs biztonsági rendszerek kidolgozásában és működtetésében, hogy megszülethessen egy valóban átlátható és megbízható audithelyzet.
Végül fontos hangsúlyozni, hogy a kiberbiztonsági auditok átláthatósága és megbízhatósága alapvetően befolyásolhatja Magyarország digitális jövőjét, ezért sürgető szükség van a szabályozási keretek felülvizsgálatára és megerősítésére.
