Sérülékenységvizsgálat

A Nemzetbiztonsági Szakszolgálat Nemzeti Kibervédelmi Intézete (a továbbiakban: NKI) a 418/2024. (XII. 23.) Kormányrendelet (a továbbiakban: Rendelet) 48. § (1) bekezdése, valamint a 2024. évi LXIX. törvény a Magyarország kiberbiztonságáról (a továbbiakban: Kiberbiztonsági tv.) 57. § (5) bekezdése alapján kizárólagos hatáskörrel rendelkezik a jogszabályban foglalt elektronikus információs rendszerekre kiterjedő sérülékenységvizsgálatok elvégzésére.

A sérülékenységvizsgálat – más néven etikus hackelés – célja az informatikai rendszerekben rejlő gyenge pontok, például potenciális szoftverhibák, gyenge jelszavak vagy hibás konfigurációk azonosítása. A vizsgálat átfogó képet ad a rendszerek vagy rendszerelemek aktuális biztonsági állapotáról, így megalapozott kiindulópontot biztosít a kockázatkezelési intézkedésekhez, valamint az informatikai támadások elleni hatékony védekezéshez.

Tekintettel arra, hogy a rosszindulatú támadók a biztonsági rések kihasználásával súlyos károkat okozhatnak, az NKI minden esetben írásos állásfoglalást készít, amely részletesen ismerteti a feltárt sérülékenységeket, és javaslatokat fogalmaz meg azok kijavítására.

Az állásfoglalásban szereplő intézkedések végrehajtása jelentősen hozzájárulhat a szervezet számára bizalmas vagy létfontosságú adatok elvesztésének, eltulajdonításának vagy jogosulatlan hozzáférésének megelőzéséhez.

A Nemzetbiztonsági Szakszolgálat Nemzeti Kibervédelmi Intézete által végzett sérülékenységvizsgálati szolgáltatás TÉRÍTÉSMENTES.

Az adategyeztető kitöltésével megrendelhető szolgáltatások

Teljeskörű sérülékenységvizsgálatok

  • Külső vizsgálat: olyan sérülékenységvizsgálati módszer, amelynek során az elektronikus információs rendszer internet irányából elérhető elemei vonatkozásában az interneten fellelhető, nyilvános adatbázisokban való szabad keresésre, célzott információgyűjtésre, valamint az elektronikus információs rendszer elérhető szolgáltatásainak, sérülékenységeinek feltérképezésére kerül sor;
  • Belső vizsgálat: olyan sérülékenységvizsgálati módszer, amelynek során az informatikai rendszer sérülékenységvizsgálata a belső hálózati végpontról közvetlenül történik, vagy a belső hálózatban használt eszköz, vagy rendszerelem vizsgálata kerül végrehajtásra;
  • Alkalmazás vizsgálat: olyan sérülékenységvizsgálati módszer, amelynek során az alkalmazások – ideértve az asztali, a mobil- és a webalkalmazásokat is – sérülékenységei automatizált és kézi vizsgálati módszerek felhasználásával kerülnek feltérképezésre;
  • Vezeték nélküli hálózat vizsgálat: olyan sérülékenységvizsgálati módszer, amelynek során a vezeték nélküli hozzáférési és kapcsolódási pontok keresése, feltérképezése, titkosítási eljárások elemzése, titkosítási kulcsok visszafejthetőségének ellenőrzése célszoftverek és kézi vizsgálat útján történik;
  • Kiber-fizikai rendszerek vizsgálata: olyan sérülékenységvizsgálati módszer, amelynek során a kiber-fizikai rendszerek sérülékenységei a vizsgálatot végző személy által, elsősorban passzív technikák és eljárások alkalmazásával, az elektronikus információs rendszer funkcionális működésének negatívan történő befolyásolása nélkül, illetve folyamatos rendszerfelügyeleti támogatás mellett aktív eszközökkel kerülnek feltérképezésre;

Teljeskörűnek nem minősülő sérülékenységvizsgálatok

  • Pszichológiai manipuláció: olyan sérülékenységvizsgálati módszer, amelynek során az emberek befolyásolására alapozva lehetőség nyílik bizalmas információk megszerzésére vagy kártékony program terjedésére és működésére;
  • Behatolásvizsgálat: olyan sérülékenységvizsgálati módszer, amelynek során az IKT-rendszer, valamint az elektronikus információs rendszer gyenge pontjainak feltárására és kihasználhatóságának ellenőrzésére kerül sor a biztonsági intézkedések elleni rosszindulatú támadások szimulációjával;
  • Forráskódvizsgálat: alkalmazások forráskódjának vizsgálata automata és kézi eszközökkel.

A sérülékenységvizsgálatok határideje a Rendelet 52. §. (1) bekezdése szerint egységesen 90 nap, illetve abban az esetben, ha a rendszer az átlagostól jelentősen eltér legfeljebb 120 nap lehet.

A szolgáltatásokról részletes tájékoztatást a +36 1 336 4840-es telefonszámon, vagy a serulekenysegvizsgalat[@]nki.gov.hu e-mail címen kaphat.

A sérülékenységvizsgálatot legkésőbb a vizsgálat megkezdését megelőzően legalább 60 nappal korábban kell kezdeményezni, hogy az eljárás előkészítése és ütemezése megfelelően biztosítható legyen.

online adategyeztető űrlap

Kapcsolat

Telefonszám: +36 1 336 4840

E-mail: serulekenysegvizsgalat[@]nki.gov.hu

Hasznos linkek

Automatizált Sebezhetőségdetektáló Rendszer (ASR)

Adatvédelmi tájékoztató

Eljárásrend

Megkeresés

A szervezet az online adategyeztető űrlap dokumentum kitöltésével kezdeményezheti a vizsgálatot.

Adategyeztetés

Kapcsolatfelvétel a kijelölt személlyel, a vizsgálat tárgyának és feltételeinek tisztázása.

Megállapodás

Az alapdokumentum elfogadása után kezdhető meg a vizsgálat.

Vizsgálat

A vizsgálat nemzetközi metodikák szerint zajlik, kézi és automatizált eszközökkel.

Állásfoglalás

A talált hibák és megoldási javaslatok rögzítése, dokumentálása.

Utóvizsgálat

A kijavított hibák egy alkalommal visszaellenőrizhetők, amennyiben ezt az állásfoglalás tartalmazza.

GYIK

Ki rendelheti meg a szolgáltatást?

A Nemzeti Kibervédelmi Intézet (NKI) sérülékenységvizsgálati szolgáltatását azok a szervezetek vehetik igénybe, amelyek a 2024. évi LXIX. törvény és a 418/2024. (VIII. 30.) Korm. rendelet hatálya alá tartoznak. Ezek közé tartoznak többek között az állami és önkormányzati intézmények, valamint a kiemelten közérdekű infrastruktúrát működtető szervek.

A szolgáltatás megrendelésére kizárólag a szervezet vezetője, vagy az általa írásban felhatalmazott személy jogosult. A megrendeléshez a jogosult szervezetnek fel kell vennie a kapcsolatot az NKI-val, és a szükséges dokumentumok benyújtásával kezdeményeznie kell a vizsgálatot.

Az NKI az így beérkezett kérelmek alapján ütemezi és végzi el a sérülékenységvizsgálatokat, ezzel is segítve a szervezeteket a jogszabályban előírt kiberbiztonsági kötelezettségeik teljesítésében. A szolgáltatás igénybevételének részletes feltételei és a megrendelési folyamat az NKI hivatalos weboldalán érhetők el.

Mennyi ideig tart egy sérülékenységvizsgálat?

A sérülékenységvizsgálat időtartama a vizsgált rendszer komplexitásától, méretétől, a vizsgálat típusától, valamint az érintett rendszerelemek számától függően változhat.

Általánosságban:

  • Egyszerűbb rendszerelem (például egy-egy szerver vagy kisebb alkalmazás) esetén a vizsgálat jellemzően 1–2 hét alatt elvégezhető,
    Teljes, összetettebb informatikai rendszerek esetén pedig a vizsgálat 1–12 hétig is eltarthat.
  • A maximális időkeret jogszabály szerint 90 nap, amely indokolt esetben legfeljebb 120 napra meghosszabbítható.

A vizsgálat lezárását követően a Nemzeti Kibervédelmi Intézet állásfoglalást készít, amely tartalmazza a feltárt sérülékenységek leírását, azok kockázati besorolását, valamint a javasolt intézkedéseket.
A vizsgálat pontos időtartamát minden esetben a rendszerfelmérés és egyeztetés alapján határozzák meg, amelyet a Sérülékenységvizsgálati Alapdokumentumban rögzítenek.

Mely sérülékenységeket kell kijavítani az éles induláshoz?

A 2024. évi LXIX. törvény és a 418/2024. (VIII. 30.) Korm. rendelet előírásai alapján az elektronikus információs rendszerek élesbe állítása előtt a sérülékenységvizsgálat során feltárt kritikus és magas kockázatú sérülékenységeket kötelező kijavítani, vagy olyan kockázatcsökkentő intézkedéseket kell bevezetni, amelyek igazoltan kezelik az adott kockázatot.

A vizsgálatot követően a Nemzeti Kibervédelmi Intézet állásfoglalást bocsát ki, amely tartalmazza a feltárt sérülékenységek kockázati besorolását. Ha a rendszerben kritikus vagy magas kockázatú sebezhetőség szerepel, a rendszer nem állítható éles üzembe, amíg ezek megfelelő kezelése meg nem történik.

A szervezetnek az állásfoglalás kézhezvételét követően 30 napon belül sérülékenységkezelési tervet kell készítenie, amelyben részletezi a sebezhetőségek megszüntetésére vagy csökkentésére irányuló intézkedéseket és azok ütemezését. Ezt a tervet meg kell küldeni a kiberbiztonsági hatóság részére.

Az alacsony kockázatú sérülékenységek esetében a jogszabály lehetőséget biztosít azok felvállalására indokolási kötelezettség nélkül.

Mi a teendő a sérülékenységvizsgálat után?

A sérülékenységvizsgálat lezárását követően a következő lépések szükségesek a
2024. évi LXIX. törvény és a 418/2024. (VIII. 30.) Korm. rendelet alapján:

  1. Állásfoglalás tervezetének kézhezvétele
    A vizsgálatot végző szerv – például a Nemzeti Kibervédelmi Intézet – a vizsgálat eredményei alapján elkészíti az
    állásfoglalás tervezetét, amely tartalmazza a feltárt sérülékenységek listáját és azok kockázati besorolását.
  2. Állásfoglalás véleményezése
    A szervezet az állásfoglalás tervezetének kézhezvételét követően
    8 napon belül véleményt nyújthat be. Ez a határidő jogszabályban rögzített maximum, de a véleményezés
    korábban is elvégezhető.
  3. Állásfoglalás kézhezvétele
    A véleményezési időszak lezárultával, vagy a vélemény beérkezését követően a vizsgálatot végző szerv kibocsátja a
    végleges állásfoglalást.
  4. Sérülékenységkezelési terv készítése
    Az állásfoglalás kézhezvételét követően a szervezetnek
    30 napon belül sérülékenységkezelési tervet kell készítenie. Ebben részletezni kell a sérülékenységek kezelésére vagy mérséklésére vonatkozó intézkedéseket, azok ütemezését és felelőseit.
  5. Kritikus és magas kockázatú sérülékenységek kezelése
    Ezeket kötelező kijavítani, vagy olyan kockázatcsökkentő intézkedéseket kell alkalmazni, amelyek igazoltan kezelik az adott kockázatot, még az élesbe állítás előtt.
    Az alacsony kockázatú sérülékenységek kezelése nem kötelező, azok jogszerűen felvállalhatók.
  6. Utóvizsgálat
    Amennyiben az állásfoglalás kritikus vagy magas kockázatú sérülékenységet tár fel,
    az utóvizsgálat kötelező. Ez ellenőrzi, hogy a szükséges intézkedések végrehajtása megtörtént-e.

Az Automatizált Sebezhetőségdetektáló Rendszer (ASR) kiváltja a jogszabályban előírt sérülékenységvizsgálatot?

Nem, az Automatizált Sebezhetőségdetektáló Rendszer (ASR) önmagában nem váltja ki a jogszabályban előírt sérülékenységvizsgálatot.
Az ASR hasznos eszköz lehet a rendszerek biztonsági állapotának folyamatos monitorozására és az ismert sebezhetőségek gyors azonosítására, azonban nem helyettesíti a sérülékenységvizsgálatot, amelyet jogszabály – például a 418/2024. (VIII. 30.) Korm. rendelet – kifejezetten előír.
A sérülékenységvizsgálat olyan manuális és automatizált módszerek kombinációját jelenti, amelyeket képzett szakértők végeznek meghatározott módszertan alapján, az adott szervezet IT-környezetére szabva. Célja, hogy azonosítsa a rendszer egyedi kockázatait, konfigurációs hibáit és potenciális támadási felületeit, amelyekre az ASR önmagában nem feltétlenül képes.
Ezért az ASR alkalmazása bár támogatja az informatikai rendszerek védelmét, a jogszabályi megfeleléshez szükséges sérülékenységvizsgálat elvégzése továbbra is elengedhetetlen.

Mikor kell sérülékenységvizsgálat alá vetni egy rendszert?

A 2024. évi LXIX. törvény és a 418/2024. (VIII. 30.) Korm. rendelet alapján az alábbi esetekben kötelező sérülékenységvizsgálatot végezni:

  1. Új vagy jelentősen továbbfejlesztett elektronikus információs rendszer esetén, ha a jogszabály hatálya alá tartozik
    Ha egy szervezet új információs rendszert vezet be, vagy meglévő rendszerét jelentősen módosítja, és az a jogszabály hatálya alá esik, a rendszer élesbe állítása előtt kötelező sérülékenységvizsgálatot végezni.
  2. „Jelentős” vagy „magas” biztonsági osztályba sorolt rendszerek esetén
    Az ilyen osztályozású rendszerek esetében a sérülékenységvizsgálat elvégzése kötelező, akár új, akár már működő rendszerről van szó.
  3. Ha a hatóság vagy a vizsgálat végzésére jogosult állami szerv elrendeli
    A sérülékenységvizsgálat akkor is kötelező, ha azt a kiberbiztonsági hatóság, vagy az arra jogosult állami szerv – például a Nemzeti Kibervédelmi Intézet – elrendeli, például biztonsági kockázat vagy incidens esetén.