IT biztonsági felmérés, NIS2 felkészítés a Városgazda XVIII. Kerület Nonprofit Zrt. és a Városrehab18 Nonprofit Zrt. részére – NIS2 irányelv jegyében

Az Athalie Consulting a Gill & Murry partnereként közösen végzett IT biztonsági felmérést a NIS2 felkészítés során a Városgazda XVIII. Kerület Nonprofit Zrt. és a Városrehab18 Nonprofit Zrt. informatikai rendszereinek átvilágítására. A NIS2 felkészítésen belül a vizsgálat célja az volt, hogy feltérképezzük a jelenlegi biztonsági állapotot és javaslatokat fogalmazzunk meg a 2024-ben életbe lépő NIS2 irányelv által támasztott követelmények teljesítéséhez. 

Mi az a NIS2, mi az a NIS2 felkészítés? 

A NIS2 (Network and Information Systems Directive 2) az Európai Unió frissített kiberbiztonsági irányelve, amely a létfontosságú és fontos ágazatokban működő szervezetek számára ír elő szigorúbb IT biztonsági és incidenskezelési követelményeket. A cél az egységes, magas szintű védelem kialakítása az Unióban. Különös tekintettel a közszolgáltatásokra, mint például az önkormányzati intézményekre is. A NIS2 követelményei a megelőzésre, detektálásra, válaszadásra és az ellenállóképesség növelésére fókuszálnak. 

NIS2 felkészítés során az Athalie Consulting és a Gill & Murry ezen követelmények mentén méri fel a NIS2 kötelezett cégek IT biztonsági és incidenskezelési metódusait. Felmérjük az állapotot, javaslatokat teszünk, hogyan ne kapjon céged büntetést a NIS2 auditon. 

A NIS2 felkészítés vizsgálat részletei 

A felmérés során az alábbi rendszerek és szolgáltatások kerültek vizsgálat alá: 

• Linux szerverek:Debian és Ubuntu szerverek biztonsági beállításait ellenőriztük, különös tekintettel a frissítések állapotára, a szolgáltatások expozíciójára és a jogosultságkezelésre. 

• Microsoft infrastruktúra: Windows Server és rajta futó MSSQL adatbázis, valamint Windows 10 és 11 kliensgépek felmérése történt. Itt különös figyelmet fordítottunk a patch managementre, vírusvédelemre, és a domain policy-kre, és konfiguráció elemzésre. 

• NAS: A hálózati adattároló eszköz beállításait, firmware verzióját, valamint az elérhetőségi konfigurációkat vizsgáltuk – beleértve az internetes elérések biztonságát is. 

• Microsoft 365: A felhőalapú rendszerben a többtényezős hitelesítés, az auditnaplók elérhetősége, és a jogosultsági szintek kerültek értékelésre, és konfigurációelemzésre. 

• STZFH által vezetett regisztrációs adatlap: A nyilvános IP-címek, domain nevek, és szolgáltatások listája alapján térképeztük fel a publikus támadási felületet. 

• Weboldalak: Több WordPress alapú weboldalt is vizsgáltunk, külön figyelmet szentelve az elavult plugineknek és sablonoknak, valamint a HTTPS tanúsítványoknak és a biztonsági karbantartások meglétének. 

• Egyedi fejlesztésű webes rendszer: A rendszeren SAST (statikus alkalmazásbiztonsági tesztelés) és DAST (dinamikus alkalmazásbiztonsági tesztelés) eszközökkel vizsgáltuk a forráskódot és a futásidő alatti viselkedést, hogy feltárjuk az esetleges sérülékenységeket. 

• Domain Controller: A központi hitelesítési rendszer biztonságát is kiemelten értékeltük, mivel ez kiemelten érzékeny komponens a hálózatban. 

Megállapítások és javaslatok 

A vizsgálat során több területen is jó gyakorlatokat azonosítottunk, ugyanakkor voltak olyan pontok, ahol fejlesztési javaslatokat fogalmaztunk meg – például a szoftverek frissítési gyakorlatában és a külső elérések szűrésében.  

Kiemelten javasoltuk a biztonságtudatossági képzések rendszeres megtartását a dolgozók körében. 

Összegzés 

A NIS2 követelmények bevezetése új kihívások elé állítja az önkormányzati és nonprofit szektor szereplőit is. A Városgazda XVIII. Kerület Nonprofit Zrt. és a Városrehab18 Nonprofit Zrt. példája jól mutatja, hogy a felkészülés időben elkezdve, alapos állapotfelméréssel és szakmai támogatással zökkenőmentesen elindítható. Az Athalie Consulting és partnere, a Gill & Murry elkötelezett abban, hogy partnereinek testreszabott és jövőálló biztonsági megoldásokat kínáljon. 

Ha te is szeretnéd, hogy NIS2 kötelezett céged ne kapjon büntetést a NIS2 auditon, beszélgessünk, keress minket. Ide kattintva tudsz elérni minket.