Ahogy a NIS2 követelményei életbe lépnek az Európai Unióban, a Magyarországon működő szervezetek egyre nagyobb elvárásokkal szembesülnek az identitás- és hozzáférés-kezelés megerősítése terén. Az egyik kulcsfontosságú intézkedés mind a megfelelőség, mind a kiberbiztonsági felkészültség szempontjából a többfaktoros hitelesítés (MFA), különösen az adathalászatnak ellenálló MFA.
A NIS2 hangsúlyt helyez arra, hogy ne csak legyen MFA, hanem az a kockázattal arányos és modern fenyegetésekkel szemben ellenálló legyen. Az iránymutatás ezt egyértelművé teszi:
„Az érintett szervezeteknek biztosítaniuk kell, hogy a felhasználók több hitelesítési tényezővel legyenek azonosítva… a hálózati és információs rendszerekhez való hozzáférés során, az elérni kívánt eszköz besorolásának megfelelően.”
Mit ír elő a NIS2 az MFA-val kapcsolatban
A NIS2 végrehajtási rendelethez kapcsolódó iránymutatás alapján a szervezeteknek az alábbiakat kell biztosítaniuk:
A felhasználók több tényezővel legyenek hitelesítve
A rendszerekhez való hozzáférésnek több tényezőt kell igényelnie, összhangban a modern biztonsági elvárásokkal. Ez megerősíti, hogy a hálózati és információs rendszerek esetében nem elegendő az egyfaktoros azonosítás.
A hitelesítés erőssége igazodjon a rendszer kritikus jellegéhez
A kritikus vagy érzékeny rendszerek erősebb hitelesítést igényelnek, mint az általános hozzáférésű rendszerek. Az iránymutatás hangsúlyozza, hogy a hitelesítést a kockázat és a kritikalitás alapján kell meghatározni.
Az MFA kötelező a magas kockázatú rendszereknél
Különösen az alábbi esetekben:
-
Távoli hozzáférés
-
Rendszeradminisztrációs felületek
-
Internet felől elérhető szolgáltatások, mint e-mail/webmail, VPN vagy távoli asztal
Az iránymutatás konkrétan javasolja:
„Kényszerítsék ki az MFA használatát az internet felől elérhető rendszereken, például e-mail/webmail, távoli asztal és VPN esetében.”
Az adathalászatnak ellenálló MFA használata ajánlott
A FIDO2/WebAuthn alapú módszerek számítanak a legellenállóbbnak az adathalász és közbeékelődéses támadásokkal szemben. A hagyományos módszerek, mint az SMS-kódok vagy push értesítések, nem biztos, hogy elegendőek magas kockázatú hozzáférésnél.
Az iránymutatás egyértelműen kimondja:
„Az adathalászatnak ellenálló MFA használata ajánlott.”
Továbbá:
„Ahol lehetséges, használjanak adathalászatnak ellenálló MFA-t.”
Ez azt jelenti, hogy nem elég az MFA megléte — annak típusa is kritikus.
Miért nem elég az alap MFA
Egyes MFA-megoldások továbbra is sebezhetőek:
-
Kódok elfoghatók
-
Felhasználók átirányíthatók hamis oldalakra
-
Jóváhagyásra rávehetők social engineeringgel
Az iránymutatás ezt is elismeri:
„Bizonyos MFA típusok sebezhetőek adathalász támadásokkal szemben, ezért a szervezeteknek olyan MFA-t kell választaniuk, amely ellenáll ezeknek.”
Magyar szervezetek esetében egy audit során vizsgálhatják, hogy az MFA:
-
Következetesen alkalmazott-e kritikus rendszereken
-
A kockázattal arányos-e
-
Adathalászatnak ellenálló-e, ahol szükséges
Hogyan illeszkedik a YubiKey a NIS2 elvárásokhoz
A YubiKey FIDO2/WebAuthn szabványokat használ, amelyeket az egyik legerősebb hitelesítési módszerként tartanak számon.
Az iránymutatás szerint az erős MFA:
„‘Erős’: adathalászatnak ellenálló… nincs megosztott titok, nem sebezhető közbeékelődéses támadással szemben; védett kriptográfiai privát kulcs… a FIDO és WebAuthn szabványok szerint.”
Ez több előnyt jelent:
-
Nincs elfogható kód vagy megosztott titok
-
Gyors hitelesítés bejelentkezéshez és megerősítéshez
-
Széles platform támogatás
-
Nem függ mobil eszköztől vagy hálózattól
A hardveralapú hitelesítés így gyakorlati megoldást nyújt a NIS2 követelményeinek teljesítésére.
Gyakorlati megközelítés magyar szervezetek számára
Egy strukturált bevezetés jellemzően az alábbiakat tartalmazza:
-
Az MFA-t igénylő rendszerek azonosítása
-
A hitelesítési szint igazítása a kritikalitáshoz
-
Kiemelt hozzáférések priorizálása
-
Szabályzatok és konfigurációk dokumentálása
-
Naplózás biztosítása audit célokra
A fokozatos bevezetés segíti az üzemeltetést és az audit megfelelést.
Hogyan segít a Trust Panda Magyarországon
A kihívás nem csak a technológia kiválasztása, hanem annak megfelelő bevezetése.
A Trust Panda Magyarországon az alábbiakat kínálja:
-
YubiKey bevezetési szakértelem, tanúsított szakemberekkel
-
Integrációs és rollout támogatás
-
Helyi készlet Budapesten, gyors szállítással
Ez lehetővé teszi a gyors és hatékony átállást adathalászatnak ellenálló MFA-ra, valamint az audithoz szükséges dokumentáció biztosítását.
A NIS2 jelentősen megemeli az elvárásokat az identitásvédelem terén, és az MFA központi szerepet kap, különösen kritikus vagy internet felől elérhető rendszerek esetében. Az iránymutatás egyértelmű: ahol lehetséges, adathalászatnak ellenálló megoldásokat kell alkalmazni, amelyre a YubiKey gyakorlati és hatékony megoldást kínál.
A budapesti jelenléttel, helyi támogatással és rendelkezésre álló készlettel a magyar szervezetek jó helyzetben vannak ahhoz, hogy gyorsan megfeleljenek ezeknek az elvárásoknak.
GYIK
Kötelező az MFA a NIS2 szerint?
Igen, a rendszerek kritikalitásának megfelelően többfaktoros hitelesítés szükséges.
Mi számít adathalászatnak ellenálló MFA-nak?
A FIDO2/WebAuthn alapú hardveres megoldások, mint a YubiKey.
Elég az SMS vagy app alapú kód?
Gyakran nem. Magas kockázatnál erősebb módszer ajánlott.
Miért érdemes YubiKey-et használni?
Gyors, biztonságos, adathalászat ellen védett és széles körben kompatibilis.
Források
Segítségre van szükséged?
Ha a szervezeted a NIS2 követelményeknek megfelelő MFA megoldást keres, vedd fel velünk a kapcsolatot:
support@trustpanda.com
Ha már tudod, mire van szükséged:
sales@trustpanda.com
