// KIBERBIZTONSÁGI KISOKOS · 07. MODUL

Rendszer- és adatvédelem — a mérhető technikai réteg

Q: Mi a különbség a nyugalmi és az átviteli adat titkosítása között?

A nyugalmi adat (data at rest) az, ami tárolva van: a laptop merevlemezén, a szerveren, a mentésben. Ezt lemez- vagy fájltitkosítással véded (pl. BitLocker, FileVault) — ha ellopják az eszközt, az adat olvashatatlan marad. Az átviteli adat (data in transit) az, ami a hálózaton mozog: a böngésződ és a szerver között, e-mailben, API-hívásban. Ezt a HTTPS/TLS védi — hogy útközben senki ne tudja lehallgatni vagy módosítani. A kettő külön bekapcsolandó: a HTTPS önmagában nem titkosítja a merevlemezt, a lemeztitkosítás pedig nem véd a hálózaton.

Q: Miért olyan fontos a frissítés (patch), ha eddig sem volt baj?

Mert a sikeres támadások többsége NEM új, ismeretlen hibát használ ki, hanem egy régóta ismert, már javított sérülékenységet — olyan rendszereken, ahol nem telepítették a frissítést. A gyártó kiad egy javítást, a hiba ezzel nyilvánossá válik, és a támadók pont a frissítetlen gépeket keresik. A „eddig sem volt baj” csak azt jelenti, hogy eddig nem találtak meg — a frissítés a legolcsóbb és leghatékonyabb védelem, ami létezik.

C · I kb. 7 perc olvasás

Titkosítás, frissítések (patch) és hardening: ez az a technikai réteg, amit kívülről is meg lehet mérni — épp ezt nézi meg az ingyenes szivárgás-audit. Itt nem politikákról, hanem konkrét beállításokról van szó: titkosítva van-e az adatod, naprakész-e a rendszered, és nem hagytál-e nyitva gyári jelszót vagy felesleges ajtót. Ez a modul végigveszi, mit kapcsolj be ma — drága eszközök nélkül.

Hogyan keményítsd meg? → Gyors önellenőrzés Vissza a Kisokoshoz

1 · Laikusan

Mi a rendszer- és adatvédelem?

A rendszer- és adatvédelem az a technikai réteg, ahol nem szabályokról és felelősökről van szó, hanem konkrét beállításokról: titkosítva van-e az adatod, naprakész-e a szoftvered, és nem hagytál-e nyitva olyan ajtót, amin könnyű besétálni. Három alappillére van: titkosítás (olvashatatlanná tesz), frissítés / patch (befoltozza az ismert lyukakat) és hardening (leszűkíti a támadási felületet). Ez az a réteg, amit kívülről is meg lehet mérni — pont ezt vizsgálja az ingyenes szivárgás-audit.

Képzeld el a házad zárjaival és karbantartásával A titkosítás olyan, mintha az értékeidet egy páncélszekrénybe zárnád: ha valaki be is jut, a tartalmat nem tudja elolvasni. A frissítés olyan, mint a rendszeres karbantartás: ha a zárgyártó kiad egy javítást, mert kiderült, hogy az adott zárat egy mozdulattal ki lehet nyitni, te is lecseréled a betétet — nem hagyod ott a hibásat évekig. A hardening pedig az, hogy nem hagyod a gyári „0000” kódot a riasztón, befalazod a használaton kívüli pinceablakot, és nem tartasz tárva-nyitva felesleges ajtókat. Egy ház akkor biztonságos, ha mindhárom megvan: erős zár, karbantartás és nincsenek feleslegesen nyitva hagyott rések.

A digitális világban a „páncélszekrény” a lemeztitkosítás és a HTTPS, a „karbantartás” az automatikus frissítés, a „befalazott ablak” pedig a kikapcsolt felesleges szolgáltatás és a lecserélt gyári jelszó. A jó hír: ennek a rétegnek a nagy része ingyenes és gyorsan bekapcsolható — sokszor egy kapcsoló átállítása. A rossz hír: pont ezt hanyagolják el a legtöbben, és pont ide néznek be a támadók először, mert ez a leggyorsabban kihasználható rés.

2 · A gyakorlatban

Miért NIS2-szempont?

A NIS2 kockázatarányos intézkedéseket vár el, és ezek között a technikai alapvédelem — titkosítás, sérülékenységkezelés, biztonságos konfiguráció — kifejezetten nevesítve szerepel. Ez nem opcionális „hab a tortán”: ez a mérhető alapréteg, amin a többi intézkedés (mentés, hozzáférés-kezelés) egyáltalán állni tud.

Mi ez?

A rendszereid és adataid technikai védelme: titkosítás nyugalmi és átviteli állapotban, a szoftverek naprakészen tartása (patch), a konfiguráció megkeményítése (hardening) és a biztonsági fejlécek beállítása. A kimenete egy ellenőrizhető, naprakész technikai állapot — és egy patch-/sérülékenység-nyilvántartás.

Miért NIS2-kötelező elem?

A NIS2-t átültető szabályozás kockázatkezelési intézkedései között kifejezetten szerepel a kriptográfia/titkosítás, a sérülékenységkezelés és a biztonságos rendszerkonfiguráció. A pontos elvárás a szervezet érintettségétől függ — itt szándékosan nem idézünk konkrét paragrafust; az értelmezés mindig egyedi.

Hogyan segít?

Ez a réteg adja a legjobb megtérülést: a titkosítás és a frissítés a leggyakoribb támadásokat olcsón kizárja. Ráadásul kívülről mérhető, vagyis bizonyítható — egy auditnál és az ügyfeleid előtt is meg tudod mutatni, hogy a technikai alapok rendben vannak.

Mi felkészítünk, nem mi auditálunk. Ez az oldal általános tájékoztatás, nem jogi tanácsadás és nem hatósági állásfoglalás. A kötelező, független megfelelőségi auditot a Szabályozott Tevékenységek Felügyeleti Hatósága (SZTFH) által nyilvántartásba vett auditor végzi, külön díjért — ezt nem helyettesítjük. A jogszabályi adatok a tájékoztatás időpontjában (2026. június) hatályos állapotot tükrözik.

2 · A gyakorlatban

Hogyan keményítsd meg a rendszereidet? — öt lépés

Nem kell hozzá drága biztonsági szoftver; a legtöbb lépés egy meglévő beállítás bekapcsolása. A lényeg, hogy ne maradjon nyitva olyan ajtó, amit egy kapcsolóval be lehetne zárni.

Titkosítsd az adatokat — nyugalmi és átviteli állapotban

Kapcsold be a lemeztitkosítást a laptopokon (BitLocker Windowson, FileVault Macen), titkosítsd a mentéseket, és kényszerítsd ki a HTTPS-t (TLS) minden webes felületen. Így ha ellopják az eszközt, az adat olvashatatlan marad, és útközben sem hallgatható le. Ez közvetlenül a CIA triász bizalmasságát (C) és sértetlenségét (I) védi.

Vezess be rendszeres frissítés- (patch-) kezelést

Kapcsold be az automatikus frissítéseket az operációs rendszereken, böngészőkön, és a webshop/CMS rendszereken (pl. WordPress, bővítmények). A kihasznált sérülékenységek többsége régóta ismert és javított — a támadók pont a frissítetlen gépeket keresik. A frissítés a legolcsóbb védelem, ami létezik.

Keményítsd meg (hardening) a konfigurációt

Cseréld le az alapértelmezett (gyári) jelszavakat minden eszközön (router, kamera, NAS, szerver), kapcsold ki a felesleges szolgáltatásokat és portokat, és ne hagyj semmit „alapbeállításon”. Minden bekapcsolt, de nem használt funkció egy felesleges nyitott ajtó.

Állítsd be a biztonsági fejléceket a weboldaladon

Kapcsold be a kulcs biztonsági fejléceketBiztonsági fejlécek (HTTP security headers): a szervered által a böngészőnek küldött utasítások a biztonságos viselkedésről — pl. HSTS (csak HTTPS), Content-Security-Policy (honnan futhat szkript), X-Content-Type-Options.: HSTS, Content-Security-Policy, X-Content-Type-Options. Ezek kívülről mérhetők — és pont ezeket ellenőrzi az ingyenes szivárgás-audit is, pár perc alatt, a saját domained alapján.

Tarts sérülékenység- és patch-nyilvántartást

Vezesd nyilvántartásba, milyen rendszereid vannak, melyik mikor frissült utoljára, és van-e ismert nyitott sérülékenység. Ez a Szabályzat-csomag sérülékenység-/patch-nyilvántartásának (NYV-05) a magja — enélkül a frissítgetés ad-hoc marad, és könnyű kihagyni épp a fontosat.

3 · Technikai mélység

Ha mélyebbre ásnál

Az alábbiak a rendszergazdának vagy a fejlesztőnek szólnak — a laikus olvasó nyugodtan átugorhatja, az elv megértéséhez nem szükséges.

Titkosítás: nyugalmi vs. átviteli, és a TLS

A nyugalmi adat (data at rest) titkosítása a tárolt adatot védi: lemeztitkosítás (BitLocker, FileVault, LUKS), adatbázis- vagy fájltitkosítás. Az átviteli adat (data in transit) titkosítását a TLS (a HTTPS alatti protokoll) adja — ma a TLS 1.2/1.3 az elvárt, a régi SSL és TLS 1.0/1.1 elavult és kikapcsolandó. Webnél a HSTS fejléc kikényszeríti, hogy a böngésző mindig HTTPS-en próbálkozzon, és érdemes erős, naprakész cipher-konfigurációt használni. A titkosítás csak akkor ér valamit, ha a kulcskezelés is rendben van: a kulcsot nem a védett adat mellett tárolod, és van terved a kulcs cseréjére (rotáció).

Patch-menedzsment: CVE, súlyosság és a frissítési ablak

Az ismert sérülékenységeket nyilvános azonosítóval (CVE) tartják nyilván, és súlyosságukat a CVSS pontszám jelzi. A gyakorlati patch-menedzsment nem azt jelenti, hogy mindent azonnal frissítesz, hanem hogy van egy folyamatod: figyeled a kiadásokat, kockázat szerint priorizálsz (kritikus, internetről elérhető rendszer előbb), tesztelsz, majd egy meghatározott frissítési ablakon belül telepítesz. A kulcsmetrika a „patch-késleltetés”: mennyi idő telik el a javítás megjelenése és a telepítés között — minél rövidebb, annál kisebb a kihasználható ablak. Külön figyelj az EOL (támogatás végét elért) rendszerekre: ezekre már nincs javítás, ezért cserélni vagy izolálni kell őket.

Hardening: baseline-ek, biztonsági fejlécek és a támadási felület

A hardening lényege a támadási felület csökkentése: minden bekapcsolt szolgáltatás, nyitott port és alapértelmezett fiók egy potenciális belépési pont. Léteznek elismert baseline-ek — pl. a CIS Benchmarks operációs rendszerekre, adatbázisokra, webszerverekre —, amelyek lépésről lépésre megmondják, mit kapcsolj ki és hogyan állítsd be. Webnél a kulcs biztonsági fejlécek: HSTS (csak HTTPS), Content-Security-Policy (honnan futhat szkript — véd az XSS ellen), X-Content-Type-Options: nosniff, X-Frame-Options / frame-ancestors (clickjacking ellen). Ezek kívülről mérhetők, ezért pont ezt nézi az ingyenes szivárgás-audit. A teljes kontroll-leképezés a legkisebb jogosultság elvével és a Szabályzat-csomag sérülékenység-/patch-nyilvántartásával (NYV-05) köthető össze.

A vonatkozó elvárások a NIS2 irányelv kockázatkezelési intézkedései között szerepelnek (21. cikk (2) bekezdés — titkosítás/kriptográfia, sérülékenységkezelés és biztonságos rendszerkonfiguráció), a magyar átültetés pedig a 2024. évi LXIX. törvény rendelkezésein keresztül történik. A pontos paragrafus és a végrehajtási rendeletek szövegét mindig az aktuálisan hatályos jogszabályból ellenőrizd.

2 · A gyakorlatban

Gyors önellenőrzés

Három kérdés, amit ma fel tudsz tenni magadnak — nincs eszköz, nincs regisztráció. Ha bármelyikre „nem” vagy „nem tudom” a válasz, ott van a következő lépésed.

1 · Titkosítás

Be van-e kapcsolva a lemeztitkosítás a céges laptopokon, és fut-e mindenhol HTTPS (lakat a böngészőben)? Ha egy ellopott laptopról szabadon ki lehetne másolni az adatokat, akkor a nyugalmi titkosítás hiányzik.

2 · Frissítés

Naprakészek-e a rendszereitek — operációs rendszer, böngésző, webshop/CMS és bővítményei? Ha valamelyik rendszer hónapok óta nem frissült, vagy nem is tudjátok, mikor frissült utoljára, ott a rés.

3 · Hardening

Lecseréltétek-e az alapértelmezett jelszavakat minden eszközön (router, kamera, admin felület), és kikapcsoltátok-e a feleslegeseket? A gyári „admin/admin” a leggyakoribb nyitva felejtett ajtó.

1 · Laikusan

Gyakori tévhit

Tévhit

„Van víruskeresőnk és tűzfalunk, tehát a rendszereink védve vannak.”

A víruskereső és a tűzfal fontos, de csak egy szelet. A sikeres támadások többsége nem úgy jut be, hogy „átveri” a víruskeresőt, hanem egy frissítetlen, ismert hibás rendszeren, egy gyári jelszón hagyott eszközön vagy egy titkosítatlan adathordozón keresztül. A titkosítás, a rendszeres patch és a hardening nem helyettesíti a víruskeresőt — hanem azt a réteget zárja be, ahol a támadások valójában bejutnak. És épp ez az a réteg, amit kívülről, objektíven meg lehet mérni.

Gyakori kérdések

GYIK a rendszervédelemről

Mi a különbség a nyugalmi és az átviteli adat titkosítása között?

A nyugalmi adat (data at rest) az, ami tárolva van: a laptop merevlemezén, a szerveren, a mentésben. Ezt lemez- vagy fájltitkosítással véded (pl. BitLocker, FileVault) — ha ellopják az eszközt, az adat olvashatatlan marad. Az átviteli adat (data in transit) az, ami a hálózaton mozog: a böngésződ és a szerver között. Ezt a HTTPS/TLS védi. A kettő külön bekapcsolandó: a HTTPS nem titkosítja a merevlemezt, a lemeztitkosítás pedig nem véd a hálózaton.

Miért olyan fontos a frissítés (patch), ha eddig sem volt baj?

Mert a sikeres támadások többsége nem új, ismeretlen hibát használ ki, hanem egy régóta ismert, már javított sérülékenységet — olyan rendszereken, ahol nem telepítették a frissítést. A gyártó kiad egy javítást, a hiba ezzel nyilvánossá válik, és a támadók pont a frissítetlen gépeket keresik. Az „eddig sem volt baj” csak azt jelenti, hogy eddig nem találtak meg — a frissítés a legolcsóbb és leghatékonyabb védelem.

Mi az a hardening, és kell hozzá drága szakember?

A hardening (megkeményítés) annyit tesz: leszűkíted a támadási felületet azzal, hogy biztonságosan állítod be a rendszereidet. A nagy része ingyenes és nem igényel mély szaktudást: lecseréled az alapértelmezett (gyári) jelszavakat, kikapcsolod a felesleges szolgáltatásokat és portokat, és nem hagysz mindent „alapbeállításon”. A bonyolultabb rétegekhez (szerver, hálózati eszközök) jó, ha van segítséged, de a leggyakoribb réseket pár tudatos lépéssel be lehet zárni.

Mik azok a biztonsági fejlécek, és miért nézi ezeket az audit?

A biztonsági fejlécek (HTTP security headers) olyan beállítások, amiket a weboldalad a böngészőnek küld, és amelyek megmondják, hogyan viselkedjen biztonságosan — pl. csak HTTPS-en kommunikáljon (HSTS), milyen forrásból futtasson szkriptet (Content-Security-Policy), ne találgassa a fájltípust (X-Content-Type-Options). Ezek kívülről mérhetők, regisztráció nélkül — pont ezért nézi meg az ingyenes szivárgás-audit: ez a technikai réteg az, ami egy domain alapján pár perc alatt objektíven ellenőrizhető, és gyakran itt van a leggyorsabban befoltozható rés.

TOVÁBB

Folytasd a felkészülést

Következő és kapcsolódó témák

← Előző modul Hálózati zónák, tűzfalak Következő modul → Detektálás — naplózás, SIEM

Következő lépés

Megvan az elv - mit lát kívülről a rendszered?

A titkosítás, a frissítés és a hardening nagy részét magadnak kell bekapcsolnod — de a technikai réteg egy fontos szeletét (HTTPS/TLS-beállítás, hiányzó biztonsági fejlécek, kitett felületek) egy ingyenes szivárgás-audit pár perc alatt megmutatja, konkrétan a saját domained alapján. Pont ezt a mérhető réteget vizsgálja — jó kiindulópont a megkeményítéshez.

Indíts ingyenes auditot → NIS2 felkészülés-csomagok Vissza a Kisokoshoz