: +36 (1) 336 4840
: serulekenysegvizsgalat[@]nki.gov.hu
A Nemzetbiztonsági Szakszolgálat Nemzeti Kibervédelmi Intézete (továbbiakban: NKI) a 418/2024. (XII. 23.) Korm. rendelet (továbbiakban: Rendelet) 48. § (1) bekezdése alapján kizárólagos hatáskörrel rendelkezik a Magyarország Kiberbiztonságáról szóló 2024. évi LXIX. törvény (továbbiakban: Kiberbiztonsági tv.) 57. § (5) bekezdése szerinti elektronikus információs rendszerek tekintetében sérülékenységvizsgálatok elvégzésére.
A sérülékenységvizsgálat, vagy más néven etikus hekkelés az informatikai rendszerek gyenge pontjainak (pl. potenciális szoftverhibák, gyenge jelszavak, hibás beállítások) feltárására irányul, ezzel is átfogóbb képet adva a vizsgált rendszerek és / vagy rendszerelemek aktuális biztonsági állapotáról, ami kiinduló információként szolgálhat a kockázatok kezeléséhez, illetve az informatikai támadások elleni védekezéshez.
A rosszindulatú támadók a biztonsági rések adta lehetőségeket kihasználva akár jelentős károkat is okozhatnak, ezért a vizsgálati eredményekről készülő jelentésben az NKI minden esetben javaslatot tesz az azonosított sérülékenységek kijavítására.
A szükséges intézkedések elvégzése által nagy eséllyel megelőzhető a bizalmas és nélkülözhetetlen szervezeti adatok elvesztése, ellopása, továbbá megakadályozható az ezekhez való illegális hozzáférés.
A Nemzetbiztonsági Szakszolgálat Nemzeti Kibervédelmi Intézete által végzett sérülékenységvizsgálati szolgáltatás TÉRÍTÉSMENTES.
Az adategyeztető kitöltésével megrendelhető szolgáltatások
Teljeskörű sérülékenységvizsgálatok:
– Külső vizsgálat – olyan sérülékenységvizsgálati módszer, amelynek során az elektronikus információs rendszer internet irányából elérhető elemei vonatkozásában az interneten fellelhető, nyilvános adatbázisokban való szabad keresésre, célzott információgyűjtésre, valamint az elektronikus információs rendszer elérhető szolgáltatásainak, sérülékenységeinek feltérképezésére kerül sor,
– Belső vizsgálat – olyan sérülékenységvizsgálati módszer, amelynek során az informatikai rendszer sérülékenységvizsgálata a belső hálózati végpontról közvetlenül történik, vagy a belső hálózatban használt eszköz, vagy rendszerelem vizsgálata kerül végrehajtásra,
– Alkalmazás vizsgálat – olyan sérülékenységvizsgálati módszer, amelynek során az alkalmazások – ideértve az asztali, a mobil- és a webalkalmazásokat is – sérülékenységei automatizált és kézi vizsgálati módszerek felhasználásával kerülnek feltérképezésre,
– Vezeték nélküli hálózat vizsgálat – olyan sérülékenységvizsgálati módszer, amelynek során a vezeték nélküli hozzáférési és kapcsolódási pontok keresése, feltérképezése, titkosítási eljárások elemzése, titkosítási kulcsok visszafejthetőségének ellenőrzése célszoftverek és kézi vizsgálat útján történik,
– Kiber-fizikai rendszerek vizsgálata – olyan sérülékenységvizsgálati módszer, amelynek során a kiber-fizikai rendszerek sérülékenységei a vizsgálatot végző személy által, elsősorban passzív technikák és eljárások alkalmazásával, az elektronikus információs rendszer funkcionális működésének negatívan történő befolyásolása nélkül, illetve folyamatos rendszerfelügyeleti támogatás mellett aktív eszközökkel kerülnek feltérképezésre,
Teljeskörűnek nem minősülő sérülékenységvizsgálatok:
– Pszichológiai manipuláció – olyan sérülékenységvizsgálati módszer, amelynek során az emberek befolyásolására alapozva lehetőség nyílik bizalmas információk megszerzésére vagy kártékony program terjedésére és működésére,
– Behatolásvizsgálat – olyan sérülékenységvizsgálati módszer, amelynek során az IKT-rendszer, valamint az elektronikus információs rendszer gyenge pontjainak feltárására és kihasználhatóságának ellenőrzésére kerül sor a biztonsági intézkedések elleni rosszindulatú támadások szimulációjával,
– Forráskódvizsgálat – alkalmazások forráskódjának vizsgálata automata és kézi eszközökkel.
A sérülékenységvizsgálatok határideje a Rendelet 52. §. (1) bekezdése szerint egységesen 90 nap, illetve abban az esetben, ha a rendszer az átlagostól jelentősen eltér legfeljebb 120 nap lehet.
A szolgáltatásokról részletes tájékoztatást a +36 1 336 4840-es telefonszámon, vagy a serulekenysegvizsgalat@nki.gov.hu e-mail címen kaphat.
Eljárásrend
A szervezet a https://nki.gov.hu/serulekenysegvizsgalat/adategyezteto oldalon megtalálható adategyeztető dokumentum kitöltésével és megküldésével kezdeményezheti a sérülékenységvizsgálatot.
Az adategyeztetőt a vizsgálatot megelőzően legalább 60 nappal korábban kell megküldeni.
Az NKI munkatársa felveszi a kapcsolatot a szervezet kijelölt kapcsolattartójával. Egyeztetésre kerül a vizsgálat tárgya, és a vizsgálat jogosultsági szintje. Tisztázásra kerülnek a sérülékenységvizsgálat lefolytatásának feltételei. A szakértők a vizsgálat további szakaszainak megkönnyítése érdekében bemutatót kérhetnek a megrendelés tárgyáról.
Az NKI munkatársa elkészíti a sérülékenységvizsgálat elvégzéséhez szükséges sérülékenységvizsgálati alapdokumentumot. Az alapdokumentum véleményezésére 8 naptári nap áll rendelkezésre. A sérülékenységvizsgálat csak abban az esetben kezdhető meg, ha a megrendelő által aláírt alapdokumentumot az NKI részére megküldik. Annak érdekében, hogy ez dinamikusan történjen, nem hivatalos úton, emailben is célszerű megküldeni az aláírt alapdokumentumot a szakértőnek.
A vizsgálat során az NKI munkatársai nemzetközileg elfogadott metodikák alapján ellenőrzik a rendszert. Cél, hogy a lehető legtöbb sérülékenységet azonosítsák. A sérülékenységvizsgálat csak az alapdokumentumban rözített feltételek biztosítását követően kezdhető meg. Amennyiben a vizsgálatot megelőzően, vagy az alatt olyan akadályozó tényező merül fel, amely 3 naptári napon keresztül fennáll, és ellehetetleníti a rendszer ellenőrzését, az NKI dönthet úgy, hogy a vizsgálatot lezárja.
A vizsgálat során feltárt sérülékenységeket állásfoglalásban összesítik, amely tartalmazza a hibák leírását, kihasználásuknak módját a javításukra is javaslatot tesznek. Az állásfoglalást az alapdokumentumhoz hasonlóan véleményezheti a megrendelő szervezet, erre 8 naptári nap áll rendelkezésre.
Az állásfoglalásban a szakértők rendelkeznek arról, hogy szükséges-e utóellenőrzést végeztetni az alapvizsgálatot követően.
A vizsgálat során feltárt sérülékenységeket a szakértők – a szervezet jelzését követően – utóellenőrzés keretében maximum 1 alkalommal visszaellenőrzik és azok állapotáról állásfoglalást készítenek. Az utóellenőrzés 1-8 napot vehet igénybe, amelynek időpontját az NKI a szervezettel egyezteti.
Fontos, hogy a sérülékenységvizsgálatot követően a megrendelő szervezet köteles 30 napon belül sérülékenységkezelési tervet készíteni, amelyet az NKI hatósági szakterületének (továbbiakban: Hatóság) elküldeni. Az utóellenőrzés csak a sérülékenységkezelési terv Hatóság általi jóváhagyását követően végezhető el.
A szolgáltatás iránti igényeket – a vizsgálatot megelőzően legalább 60 nappal – a online megkeresés formában fogadjuk.
A beérkezett igények kapcsán munkatársaink felveszik Önökkel a kapcsolatot, majd adategyeztetést követően elkészítésre kerül a sérülékenységvizsgálati eljárást megalapozó dokumentáció, amelynek véleményezésére 8 nap áll a rendelkezésükre. A vizsgálatra csak ennek aláírását követően és a technikai feltételek biztosítása esetén kerülhet sor.
A vizsgálat célja, hogy a rendelkezésünkre álló idő alatt a lehető legtöbb sérülékenységet feltárjuk. A lezárást követően 8 napon belül elkészítjük állásfoglalásunkat, amelyek a feltárt hiányosságok kijavítására vonatkozó javaslatainkat is tartalmazzák majd. Igény esetén akár prezentáció keretében is ismertetjük a megállapításainkat.
Megjegyzés: A szolgáltatás során alkalmazott vizsgálati módszerekről, határidőkről a 418/2024. (XII. 23.) Korm. rendeletben olvashatnak bővebben.
Gyakran Ismételt Kérdések
Ki rendelheti meg a sérülékenységvizsgálati szolgáltatást?
A szolgáltatás megrendelésére a 2024. évi LXIX. törvény és a 418/2024. kormányrendelet hatálya alá eső szervek munkatársai jogosultak.
A sérülékenységvizsgálati dokumentáció aláírására kizárólag a szervezet vezetője, vagy az általa delegált jogkörrel kijelölt vezető beosztású személy jogosult.
Mennyi ideig tart egy sérülékenységvizsgálat elvégzése?
A szolgáltatás iránti igényeket – a vizsgálatot megelőzően legalább 60 nappal – az online adategyeztető kitöltésével fogadjuk. Kérdés esetén a serulekenysegvizsgalat@nki.gov.hu e-mail címen lehet érdeklődni.
A sérülékenységvizsgálat időtartama a rendszer komplexitásától függ. Kismértékben összetett alkalmazások vizsgálata általánosan 1-4 hét, nagyobb infrastruktúrák esetén lehet, hogy a maximális jogszabályi időkeret sem elegendő, ilyen esetekben több ütemre bontjuk a rendszer vizsgálatát. Nagyban segít a megfelelő mértékű és minőségű előzetes információ a rendszerről.
Maximális vizsgálati időkeret 90 nap, amely indokolt esetben 120 napra bővíthető, illetve egy alkalommal legfeljebb 30 nappal meghosszabbítható.
A feltárt sérülékenységek közül melyikeket kell kijavítani az induláshoz?
A kritikus, illetve magas besorolású sérülékenységek javításához mindenképpen soron kívüli intézkedés szükséges mielőtt a rendszer éles indítása megkezdődik.
A közepes, valamint alacsony besorolású sérülékenységek javítása nélkül történő éles rendszerindítás kockázatot jelenthet, így ez az érintett szervezet döntése és felelőssége.
Mi a teendő egy sérülékenységvizsgálatot követően?
Meg kell tenni minden olyan intézkedést, amely a feltárt sérülékenységek javítására irányul!
Az azonosított kockázatok kezelésére sérülékenységkezelési tervet kell készíteni, amelyet a Hatóság részére jóváhagyásra meg kell küldeni. Fontos, hogy kritikus és magas sérülékenységek fennállása esetén a rendszer indítását megtilthatja, vagy éles rendszer esetén azt leállíttathatja a Hatóság. A közepes és alacsony sérülékenységek kezeléséről gondoskodni kell, azonban ezek nem feltétlen jelentik a rendszer üzemelésének egyértelmű akadályát.
