Főoldal/Kiberbiztonsági Kisokos/Emberi tényező — biztonságtudatossági képzés
// KIBERBIZTONSÁGI KISOKOS · 12. MODUL

Emberi tényező — biztonságtudatossági képzés

C · I · A kb. 7 perc olvasás

A legjobb megtérülésű „puha" kontroll a biztonságtudatossági képzés: a támadások többsége nem a gépet, hanem az embert célozza — adathalászattal, hamis kérésekkel, pszichológiai manipulációval. A legjobb tűzfal is hiába, ha valaki maga nyitja ki az ajtót. Ez a modul megmutatja, hogyan indítasz el egy működő képzést kkv-szinten — és hogy ez miért a vezetőkre is vonatkozik.

Hogyan indíts? → Gyors önellenőrzés Vissza a Kisokoshoz
1 · Laikusan

Mi az emberi tényező?

Az emberi tényező azt jelenti, hogy a kiberbiztonság nem csak technika kérdése: a védelem legtöbbször ott reped meg, ahol egy ember hibázik vagy becsapható. A legjobb tűzfal, vírusirtó és jelszó is hiába, ha valaki maga nyitja ki az ajtót egy ügyes csaló kérésére. Ezért a legjobb megtérülésű kontroll nem egy újabb eszköz, hanem a biztonságtudatossági képzés: az, hogy a csapat felismeri a trükköt, és tudja, mit kell tennie.

Képzeld el egy páncélajtós irodával Veszel egy drága páncélajtót, riasztót és kamerát az irodára — minden a helyén. Aztán egyszer csak becsönget valaki overallban, kezében egy papírral: „a karbantartótól jöttem, be kell mennem a szerverhez". Magabiztos, sürget, hivatkozik a főnökre. Ha a recepciós gyanútlanul beengedi, a páncélajtó semmit sem ért — a támadó az emberen keresztül jutott be, nem a falon át. A digitális világban ugyanez történik: a csaló nem a rendszert töri fel, hanem e-mailben becsönget, eljátssza a beszállítót vagy a vezetőt, és sürget, hogy gyorsan kattints vagy utalj. A biztonságtudatossági képzés tanítja meg a „recepcióst", hogy előbb kérdezzen vissza, mielőtt kinyitja az ajtót.

Az „ajtót kinyitó" hibák a hétköznapokban nagyon konkrétak: rákattintasz egy hamis számlát tartalmazó e-mailre, beírod a jelszavad egy megtévesztően valódi bejelentkező oldalra, vagy elutalsz egy összeget, mert a „vezető" sürgető levélben kérte. Ezek nem buta emberek hibái — bárkivel megtörténhetnek egy fáradt, kapkodós napon. Épp ezért a megoldás sem a szégyenkezés, hanem a tudatosság: ismert minták, néhány egyszerű reflex (gyanús link → nem kattintok; szokatlan kérés → visszahívom egy ismert számon), és egy légkör, ahol nyugodtan jelentheted, ha mégis bedőltél valaminek.

2 · A gyakorlatban

Miért NIS2-szempont?

A biztonságtudatossági képzés nem „puha", mellékes téma — a NIS2 a kiberhigiénia alapgyakorlatai és a biztonságtudatossági képzés között kifejezetten nevesíti. Mivel a támadások többsége embert céloz, az a szervezet, amelyik a csapatát nem készíti fel, a legnagyobb és legolcsóbban zárható rést hagyja nyitva. Ráadásul ez a kötelezettség a vezetőkre is kiterjed.

Mi ez?

Rendszeres, ismétlődő képzés és gyakorlás, amely felkészíti a munkatársakat a leggyakoribb emberi célú támadásokra: adathalászat, pszichológiai manipuláció, hamis utalási kérés. Kiegészül a jelszó- és MFA-higiéniával és — ahol kell — phishing-szimulációval. A kimenete egy felkészültebb csapat és egy karbantartott képzési nyilvántartás.

Miért NIS2-kötelező elem?

A NIS2-t átültető szabályozás a kiberhigiéniai alapgyakorlatok és a biztonságtudatossági képzés között külön nevesíti, és a vezetőség képzését kiemelt elvárásként kezeli. A pontos elvárás a szervezet érintettségétől függ — itt szándékosan nem idézünk konkrét paragrafust; az értelmezés mindig egyedi.

Hogyan segít?

A képzés a legjobb megtérülésű kontroll: viszonylag kis befektetésből a támadások legnagyobb forrását — az emberi tévedést — csökkenti. Egyúttal bizonyíthatóvá teszi a felkészítést: egy auditnál pont a képzési nyilvántartást és a rendszerességet kérik majd számon.

Mi felkészítünk, nem mi auditálunk. Ez az oldal általános tájékoztatás, nem jogi tanácsadás és nem hatósági állásfoglalás. A kötelező, független megfelelőségi auditot a Szabályozott Tevékenységek Felügyeleti Hatósága (SZTFH) által nyilvántartásba vett auditor végzi, külön díjért — ezt nem helyettesítjük. A jogszabályi adatok a tájékoztatás időpontjában (2026. június) hatályos állapotot tükrözik.

2 · A gyakorlatban

Hogyan indíts biztonságtudatossági képzést? — öt lépés

Nem kell hozzá drága platform; egy jól felépített belső képzéssel és némi rendszerességgel el lehet kezdeni. A lényeg, hogy a tudatosság ne egyszeri esemény legyen, hanem ismétlődő, nyilvántartott folyamat — a vezetőkre is kiterjesztve.

01

Kockázatok és célközönség kijelölése

Nézd meg, kik a legkitettebb munkatársak — pénzügy, ügyfélszolgálat, vezetők —, és milyen csalások célozzák őket leginkább: adathalász e-mail, hamis utalási kérés, hamis beszállító. Itt érdemes a kockázatkezelés eredményeire támaszkodni: oda tedd a hangsúlyt, ahol a legnagyobb a baj esélye és súlya.

02

Alapképzés mindenkinek

Tarts egy rövid, gyakorlatias alapképzést: hogyan ismered fel az adathalász e-mailt, mit csinálj egy gyanús linknél, miért nem oszthatod meg a jelszót, és hogyan jelentsd a gyanús esetet. Valós, hazai példák sokkal jobban megmaradnak, mint az elvont szabályok.

03

Jelszó- és MFA-higiénia

Vezess be jelszókezelőt és kétfaktoros azonosítást (MFA) a fontos fiókokra, és mutasd meg mindenkinek, hogyan használja. Ez önmagában a fiók-átvételes támadások nagy részét megállítja — még akkor is, ha egy jelszó kiszivárog.

04

Phishing-szimuláció

Küldj ártalmatlan, gyakorló adathalászAdathalászat (phishing): megtévesztő üzenet (jellemzően e-mail), amely valódinak látszó feladótól érkezik, és arra próbál rávenni, hogy kattints, jelszót adj meg vagy utalj. e-maileket a saját csapatodnak, és mérd, hányan kattintanak. Aki bedől, az nem büntetést, hanem egy rövid, célzott emlékeztető képzést kap — a cél a tanulás, nem a megszégyenítés.

05

Rendszeres ismétlés és nyilvántartás

A képzés nem egyszeri esemény: ismételd legalább évente és minden új belépőnél, és vezess nyilvántartást arról, ki és mikor kapott képzést — a vezetőkre is kiterjesztve. Ezt köti össze a Szabályzat-csomag képzési nyilvántartás sablonja (NYV-07).

3 · Technikai mélység

Ha mélyebbre ásnál

Az alábbiak a képzésért és a megfelelésért felelős kollégának szólnak — a laikus olvasó nyugodtan átugorhatja, az elv megértéséhez nem szükséges.

Mit ír elő a NIS2 a kiberhigiéniáról és a képzésről?
Az irányelv 21. cikk (2) bekezdése sorolja fel a kockázatkezelési intézkedéseket, és ezek között külön nevesíti a kiberhigiéniai alapgyakorlatokat és a biztonságtudatossági képzést. A logika az, hogy a szervezet ne csak technikai eszközöket vásároljon, hanem a mindennapi emberi gyakorlatot is rendezze: erős, egyedi jelszavak, MFA, frissítések, óvatos e-mail-kezelés, és rendszeres képzés. A magyar átültetés a 2024. évi LXIX. törvény (a Kibertanúsítási és kiberbiztonsági felügyeletről szóló tv.) és végrehajtási rendeletei keretében történt — a konkrét szakaszhivatkozást szándékosan nem idézzük, mert a pontos elvárás a szervezet besorolásától függ, és nem helyettesíti az egyedi jogi értelmezést.
A vezetőség képzési kötelezettsége
A NIS2 egyik hangsúlyos újdonsága, hogy a kiberbiztonsági kockázatkezelést kifejezetten a vezetőség felelősségévé teszi: a vezető testületnek jóvá kell hagynia az intézkedéseket, felügyelnie kell a végrehajtást, és magának is képzésen kell részt vennie, hogy értse a kockázatokat. Ez nem formaság: a hamis utalási kérések (CEO-csalás) jellemzően épp a vezetők nevében érkeznek, és ők férnek hozzá a legértékesebb döntésekhez. Ha a vezető kihagyja a képzést, az üzenet a csapatnak az, hogy a téma nem fontos — a megfelelésben pedig ez nevesített kockázat. A konkrét szankciós és felelősségi szabályok hazai részleteit a hatályos jogszabályból kell ellenőrizni.
Hogyan mérd a képzés tényleges hatását?
A részvételi ív (ki volt jelen) szükséges, de nem elég — az csak a megtörténtet bizonyítja, nem a hatást. Érdemes viselkedési mutatókat nézni: a phishing-szimulációkban a kattintási arány időbeli csökkenése, a jelentési arány növekedése (hányan jelentik a gyanús e-mailt, nem csak hányan nem kattintanak), és a valós incidensek bejelentésig eltelt ideje. A jó program nem a „nulla kattintásra" hajt — az illúzió —, hanem a gyors felismerésre és jelentésre. Így a képzés közvetlenül összeköthető az incidenskezeléssel és a kockázati regiszterrel, és a Szabályzat-csomag képzési nyilvántartásával (NYV-07) is.
2 · A gyakorlatban

Gyors önellenőrzés

Három kérdés, amit ma fel tudsz tenni magadnak — nincs eszköz, nincs regisztráció. Ha bármelyikre „nem" vagy „nem tudom" a válasz, ott van a következő lépésed.

1 · Volt-e már képzés?

Kapott-e a csapat az elmúlt egy évben biztonságtudatossági képzést — és az új belépők is? Ha „valamikor régen, egyszer" a válasz, a tudatosság már elhalványult; ha soha, ott a legnagyobb, legolcsóbban zárható rés.

2 · A vezetők is benne vannak?

Részt vettek-e a vezetők a képzésen, és van-e MFA a fontos fiókjaikon? A csalások jellemzően az ő nevükben érkeznek — ha ők kimaradnak, a legértékesebb célpont marad védtelen.

3 · Lehet-e jelenteni?

Tudja-e a csapat, hova és hogyan jelentse a gyanús e-mailt — és mer-e szólni, ha mégis bedőlt valaminek? Ha a hibázót megszégyenítik, mindenki hallgatni fog, és pont a fontos jelzések vesznek el.

1 · Laikusan

Gyakori tévhit

Tévhit

„Ha jó a technikánk, az emberek képzése felesleges."

A technika nélkülözhetetlen, de a támadók pont azért célozzák az embert, mert ott a leggyengébb a védelem és nincs „patch" a meggyőzésre. A legjobb tűzfal is hiába, ha valaki maga írja be a jelszavát egy hamis oldalon, vagy elutal egy összeget a „vezető" sürgető kérésére. A biztonságtudatossági képzés nem a technika helyett, hanem mellette véd — és sokszor olcsóbban hoz nagyobb eredményt, mint egy újabb eszköz. Ezért hívjuk a legjobb megtérülésű „puha" kontrollnak.

Gyakori kérdések

GYIK az emberi tényezőről

A technika sokat segít, de a támadások többsége nem a tűzfalat töri fel, hanem embert csap be: hamis e-mailt küld, sürgető telefonhívással utalást kér, vagy meggyőző linkkel jelszót lop. A legjobb tűzfal is hiába, ha valaki maga nyitja ki az ajtót. Ezért a biztonságtudatossági képzés nem a technika helyett, hanem mellette véd — és sokszor olcsóbban hoz nagyobb eredményt, mint egy újabb eszköz.
Az éves alapképzés jó kiindulópont, de önmagában gyorsan elhalványul. A tudatosság rendszeres ismétléssel és gyakorlással marad meg: rövid emlékeztetők, valós példák, és időnként phishing-szimuláció, amiből mindenki tanul. Az új belépőket pedig már a beléptetéskor érdemes képezni — nem fél év múlva, amikor már hozzáférést kaptak a fontos rendszerekhez.
Igen — és nem csak formálisan. A vezetők a legértékesebb célpontok (hozzáférnek a pénzhez és a döntésekhez), és a hamis utalási kérések jellemzően épp az ő nevükben érkeznek. A NIS2 logikája szerint a kiberbiztonság vezetői felelősség, és a vezetőség képzése külön kiemelt elvárás. Ha a vezető kihagyja a képzést, az üzenet a csapatnak az, hogy ez nem fontos.
Nem feltétlenül. Kis cégnél el lehet indulni egy jól felépített belső képzéssel, néhány valós példával és egy egyszerű, ingyenes vagy olcsó phishing-szimulációs eszközzel. A lényeg nem a platform, hanem a rendszeresség és a nyilvántartás: hogy mindenki megkapja, ismétlődjön, és dokumentált legyen, ki és mikor kapott képzést. A fejlettebb platformok később, a növekedéssel jönnek.
TOVÁBB
Folytasd a felkészülést
Következő és kapcsolódó témák
← Előző modul Ellátási lánc biztonsága Következő modul → NIS2-megfelelőség
Kockázatkezelés Incidenskezelés Fogalomtár
Következő lépés

Megvan az elv - de elég felkészült a csapatotok?

A képzés megszervezése szervezeti munka, amit magadnak kell elindítanod — de a technikai oldal egy részét (kitett bejelentkező felületek, hiányzó MFA jelei, gyenge konfiguráció, amit egy adathalász kihasználhat) egy ingyenes szivárgás-audit pár perc alatt megmutatja, konkrétan a saját domained alapján. Jó kiindulópont a felkészüléshez.

Indíts ingyenes auditot → NIS2 felkészülés-csomagok Vissza a Kisokoshoz
Indíts ingyenes auditot →