Kiberbiztonság ma: Tényleg titkosszolgálati összeesküvés van a NIS2 auditálás mögött?
Komoly szakmai vihart kiváltó írás jelent meg a NIS2 auditálást végző cikkekről. Az Átlátszó cikke azt állítja, hogy a NIS2 szabályozás magyar végrehajtása nyomán létrejött auditori rendszerben olyan cégek kaptak kiemelt szerepet, amelyek kormányközeli üzleti körökhöz köthetők. Az auditok során ezek a vállalatok rendkívül érzékeny információkhoz férhetnek hozzá a kritikus vagy fontos szolgáltatásokat nyújtó szervezetek informatikai rendszereiről, beleértve azok sebezhetőségeit és biztonsági hiányosságait.
A cikk szerint a NIS2 alapján számos vállalat számára kötelezővé vált a kiberbiztonsági audit. Az auditorok nemcsak dokumentumokat vizsgálnak, hanem betekintést kaphatnak az informatikai infrastruktúrába, a védelmi intézkedésekbe, valamint az azonosított sérülékenységekbe is. Emiatt különösen fontos, hogy az auditot végző szervezetek függetlensége és szakmai megbízhatósága megkérdőjelezhetetlen legyen.
Az Átlátszó azt írja, hogy az auditori névjegyzéken több olyan vállalkozás szerepel, amelyek kapcsolatba hozhatók a korábbi kormányzati elit ismert szereplőivel, köztük Tiborcz István, Rogán Antal és Balásy Gyula üzleti köreivel. A lap szerint ez összeférhetetlenségi és nemzetbiztonsági kérdéseket vet fel, hiszen az auditorok olyan adatok birtokába kerülhetnek, amelyek egy esetleges támadó számára különösen értékesek lennének.
A cikk hangsúlyozza, hogy a rendszer kialakítása még az előző kormányzati ciklus végén történt, és az auditori jogosultságok odaítélésének módja miatt felmerül a kérdés, hogy megfelelően biztosították-e a függetlenséget és a piaci versenyt. Az érintett cégek ugyanakkor jogszerűen kerültek be a rendszerbe, és a hatályos szabályok szerint végezhetik az auditokat.
A cikk legfontosabb üzenete tehát nem az, hogy visszaélés történt volna, hanem az, hogy a kritikus infrastruktúrák és fontos szolgáltatók kiberbiztonsági gyengeségeiről szóló információk jelentős része olyan auditorokhoz kerülhet, amelyek politikailag vagy gazdaságilag kötődnek a korábbi hatalmi elithez, ami a szerző szerint komoly bizalmi és nemzetbiztonsági kockázatot jelenthet.
És akkor jöjjön ennek a kritikai elemzése! Ugyanis, bár az újságíró, Zubor Zalán tényadatokkal dolgozik, de a validálást nem tette meg. Így kialakul egy igazi, klasszikus összeesküvéselmélet (azaz konteó, hogy a szép emlékű Tiborut is megidézzük). Mert hogy van sok igazság a cikkben. Valóban kevés az auditor. Valóban jobban kéne vizsgálni a szervezetek működését, pl. akkreditáció útján. És ami a legerősebb állítás, valóban vannak személyi kapcsolatok a cégek között. Ám a szerző nem veszi figyelembe azt, hogy a piacon levő cégek túlnyomó többsége több évtizedes múlttal rendelkezik és még egy olyan piacon kezdett el dolgozni, ami kicsi volt. Így törvényszerűen a kicsi szakma termeli ki azt a kisszámú embert, akik utána együtt dolgoznak, aztán külön, időnként új cégeket indítva. A felmerült nevek jó része már a 2000-es évek elején is aktív volt.
Ami pedig a cikk fő kontextusát illeti: ha egyrészt az mondjuk, hogy kevés az auditor és ezzel implicit azt mondjuk, hogy nem lehet alapos vizsgálatot végezni, akkor miért feltételezzük, hogy az igazi sebezhetőségekre rá fog látni bárki is? Nem, nem fog. Erről van első kézből származó tapasztalatom is. Viszont az írás megpendített olyan kérdéseket, melyeket rendezni kellene! Én továbbra is, évek óta és névvel kiállok amellett, hogy ez a rendszer így nagyon nem jó és felül kell vizsgálni. De ha bárkinek véleménye lenne erről, akkor a Zubor cikkében az igazi Spectre-nek beállított Magyar Kiberbiztonsági Klaszter éppen futtat egy kérdőívet, ahol visszajelzést lehet arról adni, hogy mit kéne jobban csinálni!
Források:
Kritikus feladatokat ellátó vállalkozások informatikai sebezhetőségeire láthatnak rá NER-közeli cégek: https://atlatszo.hu/kozpenz/2026/06/04/kritikus-feladatokat-ellato-vallalkozasok-informatikai-sebezhetosegeire-lathatnak-ra-ner-kozeli-cegek
Kiberklaszter NIS2 munkacsoport: https://kiberklaszter.hu/nis2/The Prof and The GeekRead More