Az évtized elején 2,2 milliárd volt a tárgyak vagy dolgok internetére (Internet of Things, IoT) csatlakozó eszközök száma az Európai Unió területén. Tavaly már kétszer ennyi készülékről szóltak a becslések, amelyek szerint 2030-ra már 6,7 milliárd darab ilyen készülék lehet az unióban. Így kényelmesebbé, de egyúttal veszélyesebbé is válik az élet: a hálózatra kapcsolódó eszközök számának növekedése miatt egyre jobban megéri próbálkozni a feltörésükkel. A kiberbiztonsági megoldásokat kínáló DeXpose elemzése szerint 2025-ben naponta több mint 820 ezer IoT-eszközt hackeltek meg a kiberbűnözők világszerte. Az érték önmagában is aggasztó, de tovább súlyosbítja a helyzetet, hogy ez 46 százalékos növekedést jelent egyetlen év leforgása alatt. A DeXpose az ütem gyorsulására számít, mivel a kiberbűnözők egyre merészebben nyúlnak a támadásokat is automatizáló mesterséges intelligenciához (AI).Az még a jobbik eset, ha a támadók csak botnetet hoznak létre az eszköz megfertőzésével, azaz olyan hálózatot, amellyel aztán egy nagyobb akciót, például túlterheléses támadást lehet indítani. Rosszabb esetben – például egy biztonsági kamera vagy egy babamonitor feltörésével – közvetlenül kerülnek érzékeny adatok a bűnözőkhöz.Az Európai Unió az elmúlt években többféle szabályozással igyekezett „golyóállóvá” tenni a területén működtetett infrastruktúrát. Ilyen például a NIS2 irányelv, amely a nagyobb adatbiztonság felé tereli a vállalatokat, míg a DORA kifejezetten a pénzügyi szektor védelmét igyekezett erősíteni. A sorban a következő a kiberrezilienciáról szóló jogszabály (Cyber Resilience Act, CRA), amely megköveteli, hogy digitális kapcsolódásra képes eszközeiket úgy tervezzék meg, frissítsék és tartsák karban a gyártók, hogy minimalizálják a kibertámadás esélyét. Ennek érdekében a rendelet kötelező kiberbiztonsági követelményeket ír elő a gyártók számára, melyeknek az értéklánc minden szakaszában meg kell felelniük. A CRA az IoT-eszközök mellett a szoftverekre, például a mobilos alkalmazásokra, illetve azok gyártóira is érvényes. https://hvg.hu/tudomany/20260515_apple-macos-feltores-hack-anthropic-claude-mythos-veszelyes-mesterseges-intelligencia-tesztA nagyobb gyártók és beszállítók számára nem kellene hogy komolyabb problémát okozzon a CRA-nak való megfelelés – véli Somkuti András, a kiberbiztonság és hitelesítés terén munkálkodó Netlock vezérigazgatója. A szoftvergyártók és a nagyobb eszközgyártók többsége már most is megfelel azoknak a feltételeknek, amelyeket az uniós jogszabály előír. „Egy új szoftver kiadásánál öt, de akár tíz éven át tartó támogatást is nyújtanak az ügyfeleknek. Ezeknél a cégeknél most csak annyi változik, hogy ezekről a biztonsági intézkedésekről számot kell adniuk a szabályozóknak” – magyarázza.Ha egy vállalat elbukik az ellenőrzésen, arra 15 millió eurós (mintegy 5,4 milliárd forintos) vagy az éves forgalmának 2,5 százalékát kitevő összegű bírságot is kiszabhatnak. Az igazán nagy kockázatot azonban a szakértő szerint nem ezek a büntetési tételek jelentik. „Egy súlyos kiberbiztonsági probléma vagy incidens esetén a hatóság egy az egyben megtilthatja az adott termék vagy szolgáltatás uniós forgalmazását. Márpedig egy ekkora piac elvesztése komoly érvágás lenne bármelyik vállalat számára” – emeli ki a szakértő.A kiberrezilienciáról szóló jogszabály másfél évvel ezelőtt, 2024. december 10-én lépett hatályba, teljes körű alkalmazása 2027. december 11-étől várható. Így a vállalatoknak még van idejük felkészülni, hogy megfeleljenek az uniós előírásoknak, ugyanakkor több olyan mérföldkő is van, amit teljesíteniük kell ahhoz, hogy 2027 decemberére minden készen álljon. Első lépésként a kockázatértékelést kell elvégezniük, meghatározva, hogy mely termékükre vonatkozik a CRA, és hogy annak kiberbiztonsági szempontból milyen gyengeségei lehetnek. A jogszabály tizenhárom alapvető követelményt ír elő. Ezek közé tartozik többek között az adatminimalizálás, a kibertámadási felület minimalizálása, a biztonsági frissítések menetrendszerű kiadása, vagy az, hogy tilos úgy kiadni egy terméket, ha abban eleve megtalálható egy már ismert biztonsági rés. A gyártóknak fel kell mérniük, hogy a termékeik mely követelményeknek nem felelnek meg, majd a kockázat nagyságának sorrendjében kell orvosolniuk a problémákat. Hogy melyik termék felel meg a kiberrezilienciáról szóló jogszabálynak, azt a vásárlók is könnyen azonosítani tudják. Az IoT-eszközökön ugyanis csak akkor lehet feltüntetni az Európai Megfelelőség (Conformité Européenne, CE) jelölést, ha a CRA követelményeit is teljesítik.Az egyik legfontosabb dátum a már nem is olyan távoli 2026. szeptember 11. A CRA értelmében a gyártóknak ekkortól kezdve jelenteniük kell a digitális elemeket tartalmazó termékeik biztonságát érintő minden olyan sebezhetőséget, amelyről tudomást szereznek, és amit aktívan kihasználnak a hackerek, vagy ha azzal kapcsolatban súlyos incidens történik. A bejelentésre szolgáló platformot szintén 2026. szeptember 11-én indítja el az Európai Unió.A másik mérföldkövet 2026. december 11-e jelenti, ez nem a vállalatok, hanem az Európai Unió tagországai számára fontos dátum. A tagállamoknak ekkorra kell kijelölniük a megfelelőség-ellenőrző szervezeteiket. Ezek feladata lesz a kritikus termékek – például vírusirtó szoftverek, hálózatkezelő rendszerek, intelligens fogyasztásmérők – ellenőrzése.Mivel tökéletes kibervédelem nem létezik, a gyártóknak egy olyan gördülékeny mechanizmust is ki kell dolgozniuk, amelyet használni tudnak, ha az általuk készített termék a bűnözők célkeresztjébe kerülne. A jogszabály szerint 2027. december 11-ét követően a cégeknek a tudomásszerzéstől számított 24 órán belül korai figyelmeztetést, 72 órán belül pedig teljes körű értesítést kell küldeniük az európai számítógép-biztonsági és incidenskezelő csoportok (CSIRT) számára. Miután sikerült elhárítani a veszélyt, aktívan kihasználható sérülékenység esetén 14 napon belül, súlyos biztonsági események esetén pedig egy hónapon belül kell egy zárójelentést adni a hatóságoknak.Somkuti András alapvetően pozitívan értékeli az új szabályozást, ám úgy látja, bőven van még hova szigorítani a követelményeken, és arra számít, hogy idővel ez meg is történik. „Arra nem látok esélyt, hogy a már kijelölt határidőkön változtassanak, arra viszont igen, hogy a jövőben a jogalkotó még nagyobb felelősséget helyezzen a biztonsági szolgáltatásokat és termékeket nyújtó cégek vállára” – jósolja arra alapozva, hogy a CRA végső formája közel sem megy el addig, amiről az eredeti szándékok szóltak.Somkuti András és Lévai Bálint. Túl a hitelesítésenReviczky ZsoltSomkuti Lévai Bálinttal, a konditermek és táplálékkiegészítők világából ismert BioTechUSA cégcsoport tulajdonosával tavaly év végén vásárolta fel a két és fél évtizedes múltra visszatekintő Netlockot. A korábban hitelesítésben utazó céget új alapokra helyezve egy olyan platform felépítését tűzték ki célul, amely a digitális tartalmak hitelességére és a bizalom visszaépítésére ad választ az AI és a deepfake korában. „Mi egy szabályozott bizalmi tevékenységet végzünk, amire sokkal szigorúbb előírások vonatkoznak, mint az Európai Unió által megalkotott jogszabály. A CRA jelenlegi formája valószínűleg csak a kezdet” – osztja társa véleményét Lévai Bálint, aki a Netlock munkájában marketingigazgatóként vesz részt.A Netlock nemcsak azonosítani tudja az egymással tranzaktáló feleket, de egy dokumentumkezelő rendszerben azt is le tudja írni, hogy a felek milyen megállapodást kötöttek egymással. A megoldás médiatartalom-hitelesítési réteggel is kiegészül, amely ellenőrizhetővé teheti a digitális tartalmak eredetét és sértetlenségét. Bár önmagában nem váltja ki a CRA-megfelelés teljes folyamatát, fejlesztői szerint fontos támogatást adhat a bizonyítható kontrollok, az auditálható döntések és a digitális bizonyítékok kezeléséhez.A Netlock nem egyszerűen dokumentumokat ír alá vagy szerződéseket kezel, hanem olyan infrastruktúrát biztosít, amelyben a szereplők azonosíthatók, a döntések visszakövethetők, az érzékeny adatok védettek, a jogosultságok kontrollálhatók, a tartalom eredete és sértetlensége pedig kriptográfiailag igazolható. Így a szervezetek nem csupán megfelelni tudnak a kiberrezilienciát erősítő szabályozói elvárásoknak, hanem bizonyítani is képesek, hogy digitális folyamataik kontrolláltan, biztonságosan és hosszú távon védhető módon működnek.A Netlock szakértői szerint a cég meglévő tanúsítványalapú szolgáltatásai az IoT-környezetben is releváns bizalmi réteget adhatnak, például szerverek, alkalmazások, felhasználók vagy szoftverkomponensek hitelesítésénél. A kódaláírás, az időbélyegzés és az elektronikus bélyegzés különösen ott lehet fontos, ahol egy digitális termékhez kapcsolódó frissítésről, dokumentációról vagy nyilatkozatról később is bizonyítani kell, hogy hiteles forrásból származik.„Egy speciális protokoll mentén ágyazzuk be az adott tartalomba a jognyilatkozatokat, szerződéseket és egyéb dokumentumokat, amik aztán együtt utaznak a tartalommal a világhálón. Ha egy rosszindulatú fél a médiatartalmat meg akarja hamisítani, például deepfake videót készít, akkor a rendszernek köszönhetően akár évekkel később is visszakereshető lesz, hogy ki volt a forrás” – magyarázza Lévai. Egy ilyen szolgáltatás jelentős versenyelőnyt ígér többek között a pénzügyi szektorban, illetve a jogi és biztosítási területen működő vállalatoknak, ahol kulcsfontosságú, hogy pontos legyen az ügyfél azonosítása, a tranzakcióhoz kapcsolódó dokumentum pedig joghiteles legyen. Ha máskor is tudni szeretne hasonló dolgokról, lájkolja a HVG Tech rovatának Facebook-oldalát.Nyitókép: Biztonsági kamerák monitorképei Fotó: HVG / Veres Viktor