Ha egyetlen mondatban kellene összefoglalni a CISO-ra háruló IT-biztonsági és compliance-feladatok emberi erőforrás igényét, akkor az így hangzana: „Ez nem egy one man show!” Az információbiztonsági vezető feladatköre rég túllépett már a prevention – detection – incident management feladatkörön. Klasszikus teendői – biztonsági architektúra kialakítása, kockázatkezelés, identity management, stb. – mellé feladatokat kapott az üzletfejlesztésben (pl. cégösszeolvadások biztonsági kihívásai, mobil- és felhős stratégia kialakítása, partnerségek, stb.), és a különböző vállalati projektekben is. Összhangba kell hoznia a biztonságot a vállalati célokkal, hogy el tudja adni a szükséges fejlesztéseket a menedzsmentnek, de még jogi és humánerőforrás-kérdésekkel is foglalkoznia kell.

És mindezt tetézik az egyre komplexebb compliance előírások, mint például a NIS2, amely már a legalább 50 főt foglalkoztató vagy 10 millió eurót meghaladó árbevételű, kockázatos ágazatokba tartozó cégekkel szemben is szigorú biztonsági követelményeket támaszt. De ilyen a pénzügyi szektor digitális szolgáltatásainak ellenálló képességét javítani hivatott DORA irányelv is. Ezek folyamatos figyelmet követelnek (technikai, dokumentációs és audit-elvárások koordinálása, stb.), mert a megfelelésnek minden pillanatban el kell érnie az előírt minimum szintet.

CISO Mindmap

Sok feladat, sok eszköz, sok specialista, sok pénz

Emiatt aztán sok CISO érzi úgy, hogy a munkaköri leírásában rögzítettek ellátására egy kisebb hadsereg is kevés lenne. Még ha van is egy kis biztonsági csapat, többségük ezt úgy éli meg napi szinten, hogy nem épít, hanem csak tüzet olt. Közben pedig állandóan ott lebeg a feje fölött egy mindent elsöprő kiberbiztonsági katasztrófa réme.

De nemcsak a feladat sokasodása okoz fejtörést, hanem az is, hogy hatékony ellátásukhoz komoly erőforrásokat kellene mozgósítani: ütőképes szakembergárdát és jelentős technológiai arzenált, hardvereket, szoftvereket, különböző biztonsági szolgáltatásokat, stb. Lényegében fel kellene építenie egy ún. SOC-ot (Security Operation Center), azaz egy biztonsági műveleti központot.

Számba véve a feladatokat és az ellátásukhoz szükséges technikai bázist, könnyen belátható: még egy olyan SOC is irdatlanul drága, amely csak a kötelező feladatokat látja el. És akkor még az üzemeltetési költségeiről nem is beszéltünk… A SOC képesség fenntartása méretgazdaságossági kérdés, olcsó kicsi saját SOC-ot nem igazán lehet és nem is érdemes építeni, mert csak egy bizonyos méret felett tud hatékonyan működni. Ám a jó hír az, hogy a SOC képesség szolgáltatásként is megvásárolható. A Security Operations Center as a Service (SOCaaS), azaz a szolgáltatásként kínált SOC átfogó, mégis költséghatékony megoldást jelenthet (a házon belüli SOC és a SOCaaS közti különbségekről ebben a cikkben írtunk bővebben.)

A CISO SOC nélkül és SOC-kal

“2025 augusztusában a Jaguar Land Rover (JLR) súlyos kibertámadás áldozata lett, amely miatt a vállalat kénytelen volt leállítani több brit gyárának IT‑rendszereit, és hetekre felfüggeszteni a gyártást. A legvalószínűbb kiváltó ok egy sikeres adathalász (phishing) támadás lehetett. A támadók érzékeny payroll‑adatokat loptak el több ezer jelenlegi és korábbi dolgozóról, köztük banki adatokat, adózási információkat, címeket és juttatási dokumentumokat. A leállás és az adatlopás együttesen több százmillió fontos kárt okozott. Az elemzők szerint ez tartós hatással lesz a cég 2026-os nyereségességére.” - Cyber Security News

Mi a sok cég „klasszikus” gyakorlata, ha nem rendelkeznek egy minden lehetőségre felkészített biztonsági részleggel?

1. Történik valami gyanús a vállalati rendszerekben, amire valaki felfigyel – leggyakrabban véletlenül - vagy mert nem működnek a megszokott szolgáltatások -, hiszen a logok rendszeres elemzésére nincs sem idő, sem erőforrás.
2. A CISO fejébe csapja a tűzoltósisakot, és megpróbálja a problémát/támadást villámgyorsan elhárítani az éppen rendelkezésre álló eszközökkel és erőforrásokkal.
3. Majd, mivel nincs megfelelő naplózás, nincs központi loggyűjtés, – azaz a cég valójában nem is ismeri teljes mélységében a saját rendszereit és általában azt sem tudja honnan és milyen támadás érkezett – jön a napokig tartó nyomozás, hogy legalább a nagyságrendjét lássák az incidens okozta károknak.
4. Jó esetben a cég tanul belőle, ezért megpróbál felkészülni a hasonló incidensekre technológiával és szakemberrel – már ha van rá büdzsé.

Ilyen körülmények között szinte kizárt, hogy a cég képes teljesíteni a NIS2 által előírt határidőket: az még talán megoldható, hogy az incidens 24 órán belül bejelentésre kerüljön a Nemzeti Kibervédelmi Intézethez, de az már kétséges, hogy sikerül-e 72 órán belül értékelni a súlyosságát, feltárni az okát, a támadási módszert és a hatókörét. De még a részletes kivizsgálásra adott 30 nap is szűkös lehet.

Mégis, bizonyos értelemben érthető, hogy sok cégnél így mennek a dolgok. A vállalatvezetők hajlamosak csak a bevételtermelő folyamatokra koncentrálni, így szem elől tévesztik azt a valós kockázatot, hogy egy nagyobb kiberbiztonsági incidens akár a teljes céget bedöntheti.

Ezzel szemben a SOC…

Nézzük, hogy általában hogyan történik mindez egy SOC-ban:

1. A SOC szakértők a naplók és a hálózati forgalom folyamatos nyomon követésével figyelik a kibertámadásra utaló anomáliákat, például a gyanús adatforgalmat.
2. Elemzik a kockázatokat, azaz szorosan követik a potenciális kiberfenyegetéseket, azokat priorizálják, és megelőző intézkedéseket tesznek vagy javasolnak.
3. Ha az anomália mögött kibertámadás gyanítható, azonnal jeleznek, sőt, - ha a szolgáltatási szerződés erre is kiterjed, - előre definiált folyamatok és szigorú szabályok mentén beavatkoznak, és megteszik a szükséges ellenlépéseket (incident response).
4. Ha a SOC-szolgáltató felhatalmazást kap rá, elvégzi a NIS2/DORA által előírt teendőket: jelenti a támadást az ügyfélnek, értékeli annak súlyosságát, feltárja az okát, és ajánlásokat tesz a védelem megerősítésére.

Azaz nem csak magasabb szintre emeli a biztonságot (amivel egy KKV akár nagyvállalati minőségű kibervédelmi háttérhez juthat), de le is veszi a CISO-k válláról a compliance-terhek egy részét.

A SOCaaS helyzeti előnyben van a belső biztonsággal szemben. Technológiai téren azért, mert képes maximálizálni erőforrásai kihasználtságát, ezáltal gazdaságosabban érhető el vele az optimális biztonsági szint. Compliance terén pedig azért, mert standard munkamenete teljes mértékben megfelel a NIS2 által előírtaknak.

És egy SOCaaS-nak elemi érdeke, hogy jól csinálja, amit csinál, hiszen ebből él…

Külső védelem, belső nyugalom

Nem minden SOC szolgáltató kínálja a kibervédelmi arzenál teljes spektrumát, de egyik sem árul zsákbamacskát. Szolgáltatáskatalógusuk (bemeneti követelmények, alkalmazott eljárások, elvárható kimenetek) alapján pontos képet lehet alkotni arról, hogy milyen területeket képesek lefedni és milyen hatékonysággal.

És ha a CISO jól választ, szögre akaszthatja a tűzoltósisakját. A SOCaaS leveszi a válláról az operatív felügyelet terhét, és szakértőket biztosít minden részterülethez – mintha a belső IT biztonsága hirtelenjében 4-5 fekete öves kiberbiztonsági szakértővel megvalósítható képességgel bővülne –, észlel, elhárít - vagy támogat az elhárításban - dokumentál és riportol.

Azaz csökkenti a vállalat kiberkockázatait, és biztosítja a nyugalmat ahhoz, hogy a menedzsment az üzletre koncentrálhasson.

Ha szeretnéd megtudni, hogyan támogathatja a szervezeted egy SOC szolgáltatás – akár a NIS2 megfelelés biztosításában is –, kérj ingyenes konzultációt az Andrews szakértőitől.