Az internet használata hétköznapjaink részévé vált. Azonban a világháló messze sokkal több, mint a Google. A mély web (deep web) és a sötét web (dark web) az internet láthatatlan része. A mély web az internet azon része, amely nincs indexelve az általános keresők által, így a hagyományos keresőmotorokkal nem kereshető. Ez az internet tartalmának több mint 90–95%-át teszi ki, ez a mindennapi, jelszóval védett internetes tevékenységeink színtere, azaz az adatbázisok, jelszóval védett oldalak, banki felületek, fizetős tartalmak és magánlevelezések helye, mely biztonságban tartja a személyes és érzékeny információkat.
A sötét web a mély web része, ahol a tartalmak egy része valóban illegális, emiatt hírhedt, azonban a másik része nem. Itt találhatók meg például azok, akik elnyomó rendszerekben élve a szabad véleménynyilvánítást keresik, aktivisták, visszaélést bejelentő személyek és újságírók, akik biztonságos helyeket keresnek, ahol kapcsolatba léphetnek egymással és szabadon beszélhetnek. Névtelen beszélgetéseket folytatnak itt, anélkül hogy félniük kellene a megfigyeléstől.
Ugyanakkor itt folyik az online illegális kereskedelem, és itt érhetők el a feltört privát fiókok adatai is. Vannak feketepiacok, ahol kábítószert és fegyvereket lehet venni és eladni, lopott pénzügyi adatokkal, hamisított termékekkel kereskedni, illegális pénzügyi és egyéb szolgáltatásokat igénybe venni, hamis dokumentumokat szerezni.
A nem nyilvános webet eredendően az 1990-es évek végén az amerikai hadsereg fejlesztette ki a katonai műveletek védelme érdekében, és olyan ellenséges övezetekben használták, ahol a titoktartás élet-halál kérdése volt. Az Onion Router (Tor) azonban gyorsan túlnőtt katonai gyökerein, és olyan böngészőként jelent meg, amely ingyenes utat biztosít a sötét web eléréséhez. A Tor böngészőn keresztül a sötét webhelyek böngészése vagy a magán-keresőmotorok használata kutatási célokra teljesen legális. A sötét web fontos szerepet játszik az anonim kommunikáció és a biztonságos adatmegosztás terén.
A kiberfenyegetések és -támadások azonban egyre kifinomultabbá válnak, ezért a szervezetek figyelik a sötét webet, hogy kiszivárgott adatokat keressenek, és így nyomon követhessék, illetve azonosíthassák az elkövetőket. A legjobb védelem azonban az, ha eleve gondoskodunk érzékeny adataink védelméről. Ebben lehetnek segítségünkre az információbiztonsági szabványok és a bevált gyakorlatok. Az első védelmi vonal a kockázatok felismerése és a kiberbiztonsági intézkedések bevezetése a támadások azonosítása, védelme, visszaszorítása, az azokra való reagálás és a helyreállítás érdekében. Az erős kiberbiztonsági keretrendszer a kockázatkezeléssel és a strukturált védelemmel kezdődik:
Fázisonként nézve:
|
|
➢
|
|
A biztonsági keretrendszer létrehozása: Az MSZ ISO/IEC 27001:2023 segít a szervezeteknek átfogó megközelítést kidolgozni a kockázatok kezelésére, míg az MSZ EN ISO/IEC 27005:2024 a kockázatok azonosításában nyújt segítséget. Mindkét szabvány elérhető magyar nyelven.
|
|
|
➢
|
|
Biztonsági ellenőrzések bevezetése: Az MSZ EN ISO/IEC 27002:2023 számos bevált ellenőrzési módszert ismertet a kockázatok csökkentése és a kritikus adatok védelme érdekében. A szabvány elérhető magyar nyelven.
|
|
|
➢
|
|
Kiberbiztonsági stratégia bevezetése: Az ISO/IEC/TR 27103 felvázolja, hogyan lehet a meglévő szabványokat egy átfogó kiberbiztonsági keretrendszerben alkalmazni a kibertámadások azonosítására, észlelésére, az ellenük való védekezésre, az azokra való reagálásra és a helyreállításra.
|
MSZ ISO/IEC 27001:2023 Információbiztonság, kiberbiztonság és a magánélet védelme. Információbiztonság-irányítási rendszerek. Követelmények
A szabvány követelményeket határoz meg az információbiztonság-irányítási rendszer kialakítására, bevezetésére, fenntartására és folyamatos fejlesztésére egy adott szervezet környezetében. Emellett leírja az információbiztonsági kockázatok – szervezet igényeihez igazodó – felmérésének és kezelésének folyamatát is. Az információbiztonság-irányítási rendszer egy kockázatmenedzsment-folyamat segítségével őrzi meg az információk bizalmasságát, sértetlenségét és rendelkezésre állását.
MSZ EN ISO/IEC 27002:2023 Információbiztonság, kiberbiztonság és a magánélet védelme. Információbiztonsági kontrollok/intézkedések
A szabvány az általános információbiztonsági intézkedések referenciakészletét tartalmazza, beleértve a bevezetési útmutatást is. A csak technológiai intézkedésekkel elérhető biztonsági szint korlátozott, és azt megfelelő vezetői/személyi tevékenységekkel és szervezeti folyamatokkal célszerű támogatni. Az információbiztonság-irányítási rendszer holisztikus, összehangolt módon tekinti át a szervezet információbiztonsági kockázatait annak céljából, hogy egy koherens irányítási rendszer átfogó keretén belül meghatározza és kialakítsa az információbiztonsági intézkedések átfogó készletét. Az információbiztonságot a megfelelő intézkedési rendszerek – beleértve a politikák, szabályok, folyamatok, eljárások, szervezeti struktúrák, valamint a szoftver- és hardverfunkciók – kialakításával lehet elérni. Ezeket részletezi a szabvány.
MSZ EN ISO/IEC 27005:2024 Információbiztonság, kiberbiztonság és a magánélet védelme. Útmutató az információbiztonsági kockázatok menedzseléséhez
A szabvány útmutatást ad a szervezetek számára az MSZ ISO/IEC 27001 információbiztonsági kockázatok kezelésére irányuló intézkedésekre vonatkozó követelményeinek teljesítéséhez; az információbiztonsági kockázatmenedzsment-tevékenységek elvégzéséhez, különösen az információbiztonsági kockázatok értékeléséhez és kezeléséhez.
Ezek a szabványok egy globálisan elismert keretrendszert adnak a szervezeteknek kiberbiztonsági ellenálló képességük erősítéséhez, a kockázatok csökkentéséhez, valamint érzékeny és kritikus adataik jogosulatlan hozzáféréssel és visszaéléssel szembeni védelméhez.
Zajdon Anna
2026. február