HN Secure It Kft., Budapest (2026)

egy magyar tulajdonban lévő, független IT biztonsági tanácsadó vállalat, amely azzal a céllal jött létre, hogy ügyfelei számára érthető, gyakorlatias és hatékony információbiztonsági megoldásokat nyújtson - legyen szó akár jogszabályi megfelelésről, akár technikai védelemről.

21/12/2025

Köszönjük az egész éves együttműködést és a bizalmat! Az ünnepek alatt rövid szünetet tartunk, 2026-ban pedig folytatjuk a közös munkát.

Thank you for your trust and collaboration throughout the year. We’re taking a short holiday break and will be back in 2026 to continue our work together.

08/10/2025

NIS2 Sorozat 2. rész
Programmenedzsment

Ahogy a korábbi bejegyzésünkben jeleztük, egy cikksorozat keretében mutatjuk be a hazai NIS2 hatókörébe tartozó cégeknek, hogy milyen kihívások várnak rájuk az auditálásig. A HN Secure IT Kft. szeretne segítséget nyújtani a 7/2024 Mk rendeletben foglalt követelménycsaládok ismertetésében, hogy átlátható legyen minek kell megfelelni a kétévenkénti audit esetén.

Első körben az 1. számú család, a programmenedzsmentet vesszük nagyító alá.

Programmenedzsment – mit kell tudnia egy szervezetnek?

1. Információbiztonsági szabályzat megalkotása és érvényesítése
- A szervezetnek rendelkeznie kell egy átfogó információbiztonsági szabályzattal.
- Ebben rögzíteni szükséges a felelősségi és szerepköröket, folyamatokat, valamint az elfogadható kockázati szinteket.
- A szabályzatot folyamatosan igazítani kell: módosítások, hibajavítások, szervezeti vagy technológiai, valamint jogszabályi környezeti változások esetén.
- Szükséges egy Elektronikus Információs rendszerek biztonságáért felelős személy kinevezése.

2. Erőforrás tervezés, és intézkedési terv
- A szervezetnek a költségvetés, valamint humán erőforrás tervezés esetén kiemelt figyelmet kell fordítania a biztonsági célok eléréséhez szükséges eszközök biztosítására.
- Az információbiztonság és az ellátási lánc kockázatainak a kezelésére intézkedési tervet készít, melyet folyamatosan aktualizál, naprakészen tart.

3. EIR nyilvántartások
- Minden elektronikus információs rendszerről (EIR) nyilvántartást kell vezetni.
- Ezt a nyilvántartást folyamatosan frissíteni kell.

4. Biztonsági eseménykezelési képességek tesztelése
- Időszakosan el kell végezni a rendszer biztonsági eseménykezelési folyamatainak tesztelését, hogy működésük hatékonyságát ellenőrizni lehessen.
- Ez manuális vagy automatizált eszközökkel is történhet – különösen a „jelentős” vagy „magas” biztonsági osztályú rendszereknél.
- A tesztek során gyűjtött adatokat (kvantitatív és kvalitatív) hasznosítani kell a folyamatok fejlesztéséhez, pontosabb mérőszámok kialakításához és a reprodukálás biztosításához.

5. Biztonsági eseménykezelési keretrendszer kiépítése
- A szervezetnek rendelkeznie kell egy jól strukturált biztonsági eseménykezelési képességgel, amely lefedi az előkészítést, észlelést, elemzést, elszigetelést, felszámolást és helyreállítást.
- Ez a rendszer épüljön össze szorosan az üzletmenet-folytonossági tervekkel – így biztosítható, hogy a biztonsági események ne veszélyeztessék az operatív működést.
- A megtanultakat be kell építeni az eljárásokba, képzésbe és következő tesztekbe.
- A folyamat legyen belsőleg összehasonlítható és kiszámítható.

6. Automatizált reagálási mechanizmusok
- „Jelentős” vagy „magas” osztályú rendszereknél szükséges automatizált eszközökkel támogatni a biztonsági eseménykezelést.
- Olyan rendszert kell kialakítani, amely bizonyos szabályok megsértése esetén automatikusan újra konfigurálja vagy szükség esetén leállítja az érintett rendszerelemeket.

7. Biztonsági események osztályozása és reagálás szabályozása
- A szervezet osztályozza a találkozott biztonsági eseményeket (pl. súlyosság, hatás alapján), és az egyes kategóriákhoz előre meghatározott válaszlépéseket rendel.

8. Információk korrelálása az átfogó helyzetfelismerésért
- A szervezet egységes képet alkot az eseményekről azáltal, hogy különböző forrásból származó adatokat (pl. logok, felhasználói jelentések, rendszerfigyelés) együttesen elemzi és összekapcsolja.

9. Belső jelentési kötelezettségek
- Mindenki a szervezetnél – munkatársak, külső közreműködők – köteles jelenteni a biztonsági esemény gyanúját vagy bekövetkezését.
- Az eseményeket előírt módon be kell jelenteni a megfelelő belső és jogszabályban meghatározott külső szervek felé.

10. Automatikus jelentéstámogatás és hozzáférés növelése
- A “jelentős” és “magas” biztonsági osztályú rendszerek esetében használni kell automatizált eszközöket a jelentések készítéséhez, események kezelésének támogatásához.
- Szintén automatizációval biztosítani kell a felhasználók számára az eseménykezeléssel kapcsolatos információk hozzáférhetőségét.

11. Külső szereplőkkel való koordináció
- A szervezetnek biztosítania kell, hogy az eseménykezelés kapcsán hatékony kommunikáció legyen külső szolgáltatókkal (szállítókkal, beszállítókkal).
- Külső partnerek számára világosan azonosítani kell az eseménykezelésben részt vevők szerepét és felelősségét.

12. Biztonsági eseménykezelési terv kialakítása
- Részletes, aktuális biztonsági eseménykezelési tervet kell készíteni.
- Ebben szerepelnie kell a kezelési struktúrának, folyamatoknak, szereplőknek és az eseménykezelés szervezeti beágyazottságának.
- A tervnek összhangban kell lennie a hatályos jogszabályokkal

Cikksorozatunkban közérthetően mutatjuk be:

- A rendelet szerinti biztonsági osztályba sorolás logikáját
- A 7/2024. MK rendelet kontrollcsaládjait – mit jelentenek, és hogyan érintik a cégeket
- Mik a legfontosabb teendők a megfelelés érdekében

Kövesse oldalunkat – segítünk átlátni és alkalmazni a szabályozást, hogy vállalata biztonságban legyen és megfeleljen az elvárásoknak!

A Digitális Védelem Szakértőjeként felkészítjük Szervezetét a sikeres NIS2 (Kiberbiztonsági) auditra.

#7/2024MK

08/09/2025

Fontos kiberbiztonsági fejlemény a felhőhasználók számára!

A Nemzetbiztonsági Szakszolgálat Nemzeti Kibervédelmi Intézete (NBSZ NKI) közzétette honlapján azon felhőtanúsítások listáját, amelyeket a Hatóság hivatalosan elfogad.

A 2024. évi LXIX. törvény és a 418/2024. (XII. 23.) Korm. rendelet előírásai alapján az alábbi tanúsítások szerepelnek a listán:
- CSA Cloud Controls Matrix (CCM)
- NIST SP 500-292
- ISO/IEC 27017:2015
- ISO/IEC 27018:2019
- C5:2020 és C5:2016 (BSI Cloud Compliance Controls Catalogue)
- SOC2

Emellett hivatkozás található az amerikai FedRAMP nyilvántartásra is, amelynek szolgáltatásait Magyarországon alapvetően elfogadják.

Az NBSZ NKI a lista mellett értelmezési útmutatót is nyújt a különböző biztonsági osztályokhoz (BSR), ezzel segítve a szervezeteket a helyes megfelelőség kialakításában.

Az NKI hatáskörébe tartozó, felhőszolgáltatást igénybe vevő szervezeteknek különösen ajánlott a lista alapos áttanulmányozás.

Link: https://nki.gov.hu/hatosag/tartalom/felho/

25/07/2025

Elindítjuk NIS2 sorozatunkat.

Hetente jelentkező sorozatunkban hozunk egy-egy könnyen követhető áttekintőt a 7/2024. MK rendelet kontrollcsaládjairól. Egyszerűen, gyakorlatiasan, röviden – hogy mindig tudd, mire figyelj.

Mi is az a NIS2?

Az Európai Unió NIS2 irányelve a kiberbiztonság új alapköve: célja, hogy egységes és magas szintű védelmet biztosítson a kritikus és fontos ágazatokban működő szervezetek számára. Az irányelv kiterjeszti a kötelezettek körét, szigorúbb követelményeket ír elő a kockázatkezelésre, incidenskezelésre, ellátási lánc védelmére, valamint komoly pénzbírságokat helyez kilátásba a nem teljesítő cégek számára.

A magyar szabályozás: 2024. évi LXIX. törvény és 7/2024. MK rendelet

Magyarország a NIS2 irányelvet a 2024. évi LXIX. törvénnyel és a 7/2024. MK rendelettel ültette át a hazai jogrendbe. Ezek a jogszabályok részletesen meghatározzák a kibervédelmi követelményeket a hazai szervezetek számára – nemcsak az állami, hanem a magánszektor szereplőinek is.

A törvény:
• kijelöli a felügyeleti szerveket és azok jogköreit (SZTFH és NKI),
• bevezeti a kategóriák szerinti (alap, jelentős, magas) besorolást,
• előírja a megfeleléshez szükséges intézkedéseket (pl. incidensjelentés, kockázatkezelés, biztonsági auditra való felkészülés).

A 7/2024. MK rendelet pedig:
• részletes biztonsági követelményrendszert határoz meg kontrollcsoportokra bontva (pl. hozzáférés-kezelés, üzletmenet-folytonosság, hálózatbiztonság),
• meghatározza a különböző kategóriákhoz tartozó minimális védelmi szinteket,
• és ellenőrizhető, szamon kérhető megfelelőségi kritériumokat rögzít.

Az első lépés – biztonsági osztályba sorolás

A rendelet kihirdetését követően számos kérdés jelent meg, hogy vajon ki esik a „hazai NIS2” hatálya alá. Ezek a kérdések az elmúlt hónapokban tisztázódtak, azonban egy, igazán fontos kérdés a mai napig foglalkoztat mindenkit. Hogyan határozzam meg, és hova soroljuk be az EIR-jeinket?

Aki korábban az IBTV hatálya alá tartozott (valamint annak végrehajtási rendelete a 41/2015 alá), annak némi változást jelent az új rendelet. A korábbiakban megszokottakhoz képest most nem a szervezetet kell biztonsági osztályba sorolni, hanem az EIR-eket (elektronikus információs rendszer).

Ehhez a 7/2024 Mk. rendelet 2.2. fejezetét kell elővenni, ami – kicsit magas szinten – meghatározza az osztálybasorolás szempontjait:
• alap
• jelentős
• magas
A három osztály jelentős eltéréseket tartalmaz az alkalmazandó kontrollok számát tekintve. Alap szinten 164, jelentősön 302, magas szinten 385 kontrollnak kell megfelelni. Ez nem csak adminisztratív (szabályozói oldali felkészülést) költségeket és munkát jelent, hanem sok esetben technológiai beruházásokat, amik jelentős anyagi ráfordítást igényelhetnek. Ezért kulcs fontosságú, hogy jól csoportosítva, a megfelelő biztonsági osztályba soroljuk be az EIR-eket, ezáltal megkímélve magunkat a feleslegek terhektől.

1/2025. SZTFH rendelet – Kötelező kibervédelmi audit követelmények

Az 1/2025. (II. 6.) SZTFH rendelet a magyar kiberbiztonsági szabályozás kulcseleme, amely meghatározza a kibervédelmi auditok lefolytatásának részletes szabályait. A rendelet célja, hogy a NIS2-re épülő hazai törvényi előírásokat számonkérhetővé és mérhetővé tegye – konkrét módszertant, határidőket és elvárásokat rögzít.

Főbb elemek:
• Auditok gyakorisága (kétévente), kiterjedése és módszertana,
• Az auditált szervezetekre vonatkozó dokumentációs és nyilvántartási kötelezettségek,
• A megfelelés és a hiányosságok értékelésének objektív kritériumai,
• Az auditot végző tanúsító szervezetek és szakértők kijelölésének feltételei.

Az audit nem csupán egy adminisztratív követelmény – egyúttal lehetőség is a szervezet biztonsági érettségének fejlesztésére, kockázatok feltárására és a bírságok elkerülésére.

Tapasztalataink alapján a hazai vállalkozások nagy többsége sajnos nem csak gyakorlati, hanem adminisztratív (szabályzói) megoldásokkal sem rendelkeznek, mely nélkül a megfelelés teljesíthetetlen.

Cégünk, a HN Secure IT Kft. tanácsadóként segít Önnek az audit előtti felkészülésben, dokumentáció összeállításában, valamint a hiányosságok pótlásában – hatékonyan, átláthatóan, az SZTFH (vagy akár az NKI) elvárásainak megfelelően, legyen szó a kockázatelemzéstől kezdve a GAP elemzésen át, a szabályzói környezet kialakításán át egy teljeskörű, technológiai implementációt is tartalmazó felkészítésről.

Miért mi?

Szakértőink 10 éves IT biztonsági audit tapasztalattal rendelkeznek, akik a mai napig „élesben” végzik auditori tevékenységüket, és gyakorlati tapasztalattal rendelkeznek a NIS2-es auditok végrehajtásában, így a vonatkozó követelmények kapcsán is. Ezen ismeretek keretében bátran állítjuk, hogy minden szervezetet fel tudunk készíteni a sikeres NIS2 auditra, legyen szó bármilyen biztonsági osztályról.

A Digitális Védelem Szakértőjeként felkészítjük Szervezetét a sikeres NIS2 (Kiberbiztonsági) auditra.

Árainkért, csomagajánlatainkért keressen minket!

14/07/2025

Miért nem elég többé a hagyományos MFA?

Adversary-in-the-Middle (AiTM) támadások és a védekezés, amit a HN Secure IT Kft. ajánl

A többtényezős hitelesítés (MFA) hosszú időn át a vállalati információbiztonság egyik alapköve volt. Azonban az elmúlt évek technológiai fejlődése, a támadók lehetőségeinek kiszélesedése miatt ez 2025-re már nem tekinthető elegendőnek a kibertámadásokkal szemben. A HN Secure IT Kft. szakértőinek a tapasztalatai szerint a legtöbb szervezet még mindig kizárólag az MFA-ra építi a biztonságot. Az olcsón és könnyen hozzáférhető adathalász eszköztárak, valamint az Adversary-in-the-Middle (AiTM) típusú támadások egyre kifinomultabbá válása következtében a hagyományos MFA megoldások sebezhetővé váltak - különösen az emberi hibák miatt.

Hogyan működik egy AiTM támadás?

Ma már a „phishing-as-a-service” (PhaaS) platformok előre elkészített eszközöket kínálnak (szkripteket, hamis bejelentkezési oldalsablonokat, lépésről lépésre útmutatókat), melyeket használva a támadónak már nem kell technikai szakembernek lennie ahhoz, hogy egy proxy szerveren keresztül - amely például a Microsoft vagy a Google felületét utánozza - eltérítsen egy felhasználói munkamenetet.

Példa:
• A felhasználó kap egy figyelmeztető e-mailt: „Fiókja felfüggesztésre került.”
• Rákattint a linkre, és egy ismerősnek tűnő bejelentkezési oldalra jut – anélkül, hogy észrevenné, hogy az oldal hamis.
• Megadja a jelszavát és az MFA-kódot.
• A támadó ezeket az adatokat valós időben továbbítja az eredeti szolgáltatásnak, és teljes hozzáférést szerez.
Még a biztonságosnak tűnő módszerek - például a push értesítések vagy az alkalmazásalapú kódok - is hatástalanná válnak, ha a felhasználó megbízik a hamis felületben.

Milyen MFA típusok sebezhetők?

A TOTP, SMS vagy push értesítések - mindegyik „phishable”, azaz megszerezhető, így ezek elfoghatók és újra felhasználhatók olyan proxy szerverek által, amelyek megbízható szolgáltatásokat utánoznak.
A probléma nem a technológia minősége, hanem az emberi tényező - és épp ez az, amit a HN Secure IT Kft. felismer, és célzottan kezel.

A Megoldás: Emberi Védelem Technológiával Kombinálva

A HN Secure IT Kft. szakértői szerint az MFA önmagában csak illúzió lehet, ha a munkavállalók nem képesek felismerni a megtévesztés jeleit.

Elengedhetetlen az emberi „tűzfal” fejlesztése:

• Valósághű phishing szimulációk
• Oktatási modulok az adathalász trükkök felismerésére
• Pszichológiai manipuláció elleni védekezés oktatása
• Domain- és URL-ellenőrzési rutinok kialakítására
• A cél nem a technológia lecserélése, hanem annak megerősítése felkészült és tudatos felhasználókkal.

A Tanulság: MFA ≠ Védelem, Képzett Ember + MFA = Valós Biztonság

Az AiTM támadások nem jövőbeni fenyegetések, hanem a jelen valósága. 2022-ben több mint 10 000 felhasználói fiókot kompromittáltak ilyen módon, köztük nagy technológiai vállalatoknál is. A technológia nem állítja meg az adathalászatot – a képzett emberek viszont igen.
Ha nem szeretné, hogy cége egy adatvédelmi vagy egy komolyabb informatikai biztonsági incidens áldozata legyen, ruházza fel munkatársait a szükséges tudással, hogy meg tudják védeni magukat, valamint vállalata kritikus információt.

A HN Secure IT Kft. szakértői segítenek, hogy munkatársaik felismerjék és megelőzzék ezeket a támadásokat.
További tudásért böngéssze Tudásbázisunkat vagy kérjen konzultációt szakértőinktől.

HN Secure IT Kft. - A digitális védelem szakértője
[email protected]

Cím

Budapest

Weboldal

http://hnsecureit.com/

Értesítések

Ha szeretnél elsőként tudomást szerezni HN Secure It Kft. új bejegyzéseiről és akcióiról, kérjük, engedélyezd, hogy e-mailen keresztül értesítsünk. E-mail címed máshol nem kerül felhasználásra, valamint bármikor leiratkozhatsz levelezési listánkról.

HN Secure It Kft.