Kiberbiztonsági fogalomtár

#

3-2-1 mentés

backup szabály

3 másolat az adatból, 2 különböző eszközön, ebből 1 a telephelyen kívül (pl. felhő).

A gyakorlatban: Zsarolóvírus esetén ez ment meg: visszaállítasz a mentésből fizetés nélkül. Teszteld is a visszaállítást!

A

Adathalászat

phishing

Csaló e-mail/üzenet, ami megbízható félnek (bank, partner, főnök) adja ki magát, hogy jelszót vagy utalást csaljon ki.

A gyakorlatban: A támadások többsége így indul. Az MFA + a munkatársak oktatása a két legjobb védelem.

B

BCP

üzletmenet-folytonossági terv

Leírás arról, hogyan működik tovább a cég egy nagy zavar (kibertámadás, áramszünet, kiesés) alatt.

A gyakorlatban: Nem kell könyv — pár oldal is elég: ki mit csinál, kit hívunk, hogyan kommunikálunk.

Behatolásteszt

pentest, penetration test

Szakértő (etikus hacker) szándékosan próbálja feltörni a rendszered, hogy a valódi támadó előtt találja meg a réseket.

A gyakorlatban: Nem kötelező mindenkinek, de a magasabb kockázatú rendszereknél erősen ajánlott.

C

CSP

Content-Security-Policy

Fejléc, ami korlátozza, milyen forrásból futhat kód/tartalom az oldaladon — kivédi a beinjektált kártékony scripteket.

A gyakorlatban: Az egyik leghatékonyabb web-védelem, de óvatosan kell bevezetni, hogy ne törje el az oldalt. A javítócsomag az oldaladra szabva állítja be.

D

DRP

katasztrófa-helyreállítási terv

A BCP technikai része: pontosan hogyan állítjuk vissza a rendszereket és adatokat.

A gyakorlatban: Az RTO/RPO célokhoz igazítva. Évente legalább egyszer „papíron” gyakoroljátok le.

E

Ellátási lánc kockázat

supply chain risk

A beszállítóidon/partnereiden (pl. szoftverszállító, felhőszolgáltató) keresztül érkező veszély.

A gyakorlatban: A NIS2 elvárja a kulcsbeszállítók biztonságának figyelembevételét — kérdezd meg, ők hogyan védekeznek.

F

Frissítéskezelés

patch management

A szoftverek/rendszerek időben való frissítése a biztonsági hibák befoltozására.

A gyakorlatban: A feltörések nagy része ismert, de be nem foltozott hibán keresztül történik. Legyen rá felelős és ütemezés.

H

HSTS

HTTP Strict Transport Security

Egy fejléc, ami megmondja a böngészőnek: ezt az oldalt KIZÁRÓLAG titkosítva (HTTPS) töltsd be.

A gyakorlatban: Megvéd a „titkosítatlanra visszaterelő” támadásoktól. A javítócsomag beállítja.

HTTPS / TLS

titkosított kapcsolat (a lakat a böngészőben)

Az adat titkosítva utazik a látogató böngészője és a szervered között, így útközben nem olvasható le.

A gyakorlatban: Ma alapelvárás. Ingyenes tanúsítvánnyal (pl. Let’s Encrypt / Cloudflare) megoldható.

I

Incidens / incidenskezelés

security incident response

Biztonsági esemény (pl. feltörés, adatszivárgás) és az arra adott szervezett válasz: észlelés → elhárítás → helyreállítás → tanulság.

A gyakorlatban: A NIS2 szerint bizonyos incidenseket be is kell jelenteni — legyen előre megírt forgatókönyvetek és felelősötök.

J

Jelszókezelő

password manager (Bitwarden, 1Password)

Program, ami minden fiókhoz erős, egyedi jelszót tárol titkosítva — neked csak egy fő jelszót kell megjegyezned.

A gyakorlatban: Megszünteti az „ugyanaz a jelszó mindenhol” kockázatot, ami a leggyakoribb feltörési ok.

K

Kockázatelemzés

risk assessment

Annak végiggondolása, mi mehet rosszul, mekkora a valószínűsége és a kára — hogy a fontos dolgokra koncentrálj.

A gyakorlatban: Ez a NIS2 kiindulópontja. Nem kell bonyolult — egy priorizált lista is sokat ér.

L

Legkisebb jogosultság

least privilege

Mindenki csak ahhoz férjen hozzá, ami a munkájához tényleg kell — se többhöz.

A gyakorlatban: Ha egy fiókot feltörnek, csak korlátozott kárt okozhat. Évente nézd át, ki mihez fér hozzá.

M

MFA

kétlépcsős / többfaktoros hitelesítés

Belépéskor a jelszó mellé egy második bizonyíték is kell (pl. egy alkalmazás által generált 6 számjegyű kód).

A gyakorlatban: Ha ellopják a jelszavadat, önmagában nem tudnak belépni. A NIS2-felkészülés egyik leggyorsabb, legolcsóbb nyeresége.

N

Naplózás / SIEM

logging, log-elemzés

A rendszerek eseményeinek rögzítése (ki, mikor, mit), és ezek figyelése gyanús minták után. A SIEM ezt központosítja.

A gyakorlatban: Incidens után a naplóból derül ki, mi történt. KKV-nak elég lehet a kulcsrendszerek naplóinak megőrzése is.

NIS2

2024. évi LXIX. törvény (HU átültetés)

Uniós kiberbiztonsági irányelv, amely sok közepes/nagy szervezetet kötelez minimális biztonsági intézkedésekre és incidensbejelentésre.

A gyakorlatban: Nem „IT-projekt”, hanem vezetői felelősség. Mi a felkészülésben segítünk — lásd a fenti megjegyzést.

Ö

Önbevallás

self-attestation

Amikor te magad nyilatkozol egy kontroll állapotáról (pl. „a mentés be van állítva”), bizonyítékkal alátámasztva.

A gyakorlatban: A felkészülés-menedzserben a szervezeti kontrollok önbevalláson alapulnak — a feltöltött bizonyíték a tanú.

R

RPO

adatvesztési tűréshatár (Recovery Point Objective)

Mennyi adatot engedhetsz meg, hogy elvesszen (időben). Pl. „max. 1 óra rendelés veszhet el”.

A gyakorlatban: Ha az RPO 1 óra, akkor legalább óránként kell menteni. Kis RPO = gyakoribb mentés.

RTO

visszaállítási idő (Recovery Time Objective)

Mennyi idő alatt KELL újra működnie egy rendszernek egy leállás után. Pl. „a webshop max. 4 óra alatt”.

A gyakorlatban: Te döntöd el üzletileg. Ez vezérli, mennyit érdemes mentésre/tartalékra költeni.

S

Sérülékenység

vulnerability

Egy szoftverben/konfigurációban lévő hiba, amit egy támadó kihasználhat.

A gyakorlatban: Rendszeres átvizsgálással (scan) deríthető fel — utána a frissítés/javítás zárja le.

SPF / DKIM / DMARC

e-mail-hitelesítés

Három DNS-beállítás, amivel bizonyítod, hogy a cég nevében küldött e-mail tényleg tőletek jön.

A gyakorlatban: Megakadályozza, hogy mások a nevedben küldjenek csaló leveleket (spoofing). Indulj DMARC p=none-nal, figyelj, majd szigoríts.

SZTFH

Szabályozott Tevékenységek Felügyeleti Hatósága

A NIS2 magyar felügyeleti hatósága; itt történik a regisztráció, és az ő nyilvántartásukból dolgoznak a kijelölt auditorok.

A gyakorlatban: A kötelező független auditot SZTFH-regisztrált auditor végzi — ez NEM mi vagyunk; mi a felkészülésre hangolunk.

T

Titkosítás

encryption (nyugalmi / átviteli)

Az adat olvashatatlanná tétele kulcs nélkül. „Átviteli” = utazás közben (HTTPS), „nyugalmi” = tároláskor (pl. titkosított merevlemez).

A gyakorlatban: Ha ellopják az eszközt vagy a fájlt, titkosítva használhatatlan. Laptopokon, telefonokon kapcsold be.

TOTP / hitelesítő app

Google Authenticator, Microsoft Authenticator, iPhone Codes

Egy telefonos app, ami 30 másodpercenként új belépőkódot mutat. Ez az MFA „második bizonyítéka”.

A gyakorlatban: SMS helyett ezt használd, ha lehet — az SMS-kód lehallgatható/átirányítható.

Tűzfal / WAF

firewall, web application firewall

A tűzfal szűri a hálózati forgalmat; a WAF kifejezetten a webalkalmazást védi a támadásoktól.

A gyakorlatban: A Cloudflare-féle WAF sok támadást már a szervered előtt megfog.

Z

Zero Trust

zéró bizalom

Alapelv: senkiben és semmiben nem bízunk meg automatikusan a hálózaton belül sem — minden hozzáférést ellenőrzünk.

A gyakorlatban: MFA mindenhol, jogosultságok szűkítése, folyamatos ellenőrzés.

Zsarolóvírus

ransomware

Kártevő, ami titkosítja az adataidat, és váltságdíjat követel a feloldásért.

A gyakorlatban: A jó (és tesztelt) mentés teszi feleslegessé a fizetést. Lásd: 3-2-1 mentés.