Változások a szabályozásban
Első pillantásra úgy tűnt, hogy az új szabályzat nem jelent nagy kihívást, ám a 2026. április 27-től hatályos Cyber Essentials 3.3 verzió minden korábbinál szigorúbb lesz. Ha egy szervezet bármelyik felhőalapú szolgáltatásánál elérhetővé válik a többfaktoros azonosítás (MFA), de azt nem kapcsolják be minden felhasználóra – akár fizetős bővítés esetén is –, az a minősítés automatikus bukásához vezet, függetlenül attól, mennyiben indokolható a döntés. Eddig lehetett ezt a problémát átmenetileg kezelni, most viszont nincs második esély: nem teljesíted a minimumkövetelményt, nem lesz tanúsítványod.
A gyakorlati akadályok
A legtöbb szervezet számára a követelmény technikailag könnyen teljesíthető, ugyanakkor rendkívül nehéz helyzetben találják magukat például azok a cégek vagy alapítványok, amelyeknél sok a váltott műszak, magas a fluktuáció, illetve a dolgozók vagy önkéntesek közösen használnak eszközöket. Például egy forgalmas koordinációs központban, ahol minden váltásban más ül a géphez, más bejelentkezési adatokkal, az egyéni azonosítás bevezetése jelentős adminisztratív és működési terhet jelenthet.
Előfordul, hogy az MFA funkció rendelkezésre áll, azonban a napi működés során nem praktikus bevezetni. Korábban ez átvihető volt a tanúsítási folyamatban – az új szabályok szerint viszont ez egyszerűen nem elfogadható.
Működő megoldások és új szemlélet
Az igazi kihívás nem a biztonsági szabályzatokban, hanem a mindennapi munkamenetek kialakításában rejlik. A legsikeresebb szervezetek nem azok lesznek, amelyek a legtöbb szabályzatot írják, hanem amelyek ténylegesen használhatóvá teszik a biztonsági megoldásokat még a legzűrösebb üzemelési környezetben is.
Érdemes számba venni minden érintett felhőszolgáltatást, felderíteni, hol elérhető a megerősített hitelesítés – mivel a v3.3 mostantól nem tesz kivételt a fizetős modulokkal sem. Újfajta megoldások, például FIDO2 hardverkulcsok, fizikai belépőkártyákhoz kötött azonosítási lehetőségek, vagy éppen környezetérzékeny hozzáférés-szabályozás bevezetése is szóba jöhet.
A brit nemzeti kiberbiztonsági központ tapasztalatai alapján egyre fontosabbak az adathalászatnak ellenálló technikák a hagyományos, kódalapú azonosítással szemben.
Nincs halogatás – mindenki érintett
A halogatás ezúttal veszélyes: az új szabályozás nem ismeri a kivételeket. Azok a szervezetek, amelyek nem valósítják meg a gyakorlatban is minden felhasználóra kiterjedő megerősített hitelesítést, könnyen eleshetnek közbeszerzésektől vagy akár alapvető biztosítási fedezettől is. Az átállás időigényes: új eljárások, hozzáférési modellek, oktatás is kell, ezért nem érdemes az utolsó pillanatban nekikezdeni.
A Cyber Essentials most már nem puszta papírmunka; minden szervezetnek bizonyítania kell, hogy a jogosultságkezelése a valóságban is működik – különösen ott, ahol ez a legnehezebb.
