Mi célt szolgál a sérülékenységvizsgálat?

A Nemzeti Kibervédelmi Intézet (továbbiakban: NKI) szervezetén belül működő Kormányzati Eseménykezelő Központ (GovCERT) a 185/2015. (VII. 13.) Korm. rendelet 14. § (1) bekezdése alapján 2015 szeptemberétől végez sérülékenységvizsgálati szolgáltatást az Ibtv. 2. § (1) bekezdése szerinti, továbbá a nemzetbiztonsági védelem alá eső állami és önkormányzati szervek elektronikus információs rendszereinek vonatkozásában.

A sérülékenységvizsgálat, vagy más néven etikus hekkelés az informatikai rendszer gyenge pontjainak (pl. potenciális szoftverhibák, gyenge jelszavak, hibás beállítások) feltárására irányul, ezzel is átfogóbb képet adva a vizsgált rendszer/ rendszerelem aktuális biztonsági állapotáról, ami kiinduló információként szolgálhat a kockázatok kezeléséhez, illetve az informatikai támadások elleni védekezéshez.

A rosszindulatú támadók a biztonsági rések adta lehetőségeket kihasználva akár jelentős károkat is okozhatnak, ezért a vizsgálati eredményekről készülő jelentésben a GovCERT minden esetben javaslatot tesz az azonosított sérülékenységek kijavítására.

A szükséges intézkedések elvégzése által nagy eséllyel megelőzhető a bizalmas és nélkülözhetetlen szervezeti adatok elvesztése, ellopása, továbbá megakadályozható az ezekhez való illegális hozzáférés.

A GovCERT által végzett sérülékenységvizsgálati szolgáltatás INGYENES.

Vizsgálati irányulságok:

  • Külső vizsgálat
  • Belső vizsgálat
    • hálózati behatolásvizsgálat
    • szeparációs vizsgálat
    • munkaállomás-vizsgálat
    • alkalmazás vizsgálat
    • pszihológiai megtévesztés
  • Webes vizsgálat
  • Vezeték nélküli hálózat vizsgálat

A szolgáltatásokról részletes tájékoztatást a +36 1 336 4840-es telefonszámon, vagy a serulekenysegvizsgalat [at] govcert [dot] hu e-mail címen kaphat.

A szolgáltatás megrendelésének menete:

A szolgáltatás iránti igényeket a serulekenysegvizsgalat [at] govcert [dot] hu e-mail címen fogadjuk. A megkereséshez kérjük kitöltve csatolja az adategyeztető nyomtatványt (Sérülékenységvizsgálati adategyeztető). A dokumentum kitöltéséhez az Adobe Acrobat Reader-t javasoljuk.

A beérkezett igények kapcsán felvesszük Önökkel a kapcsolatot, majd az egyeztetéseket követően elkészítésre kerül a sérülékenységvizsgálati eljárást megalapozó dokumentáció, amelynek véleményezésére 8 nap áll a rendelkezésükre. A vizsgálatra csak ennek aláírását követően és a technikai feltételek biztosítása esetén kerülhet sor.

A vizsgálat célja, hogy a rendelkezésünkre álló idő alatt a lehető legtöbb sérülékenységet feltárjuk. A lezárást követően 8 napon belül elkészítjük állásfoglalásunkat, amelyek a feltárt hiányosságok kijavítására vonatkozó javaslatainkat is tartalmazzák majd. Igény esetén akár prezentáció keretében is ismertetjük a megállapításainkat. 

Megjegyzés: A szolgáltatás során alkalmazott vizsgálati módszerekről, határidőkről a 185/2015. (VII. 13.) Korm. rendelet 15-20. §-ában olvashatnak bővebben.

Az állásfoglalás megküldését követően a 2013. évi L. törvény 18. § (7) alapján az érintett szervezet teendője, hogy feltárt hiányosságokról, a sérülékenységek megszüntetésére vonatkozó intézkedési tervről a Nemzeti Elektronikus Információbiztonsági Hatóságot (NEIH) – az intézkedési terv hivatalos úton történő megküldésével – tájékoztassa.