A civil szervezetek gyakran gondolják úgy, hogy túl kicsik ahhoz, hogy kibertámadás célpontjai legyenek. A valóságban azonban a támadók nem mindig konkrét szervezeteket keresnek: sokszor automatizált eszközökkel kutatnak gyenge jelszavak, rosszul beállított fiókok, elavult szoftverek vagy védtelen weboldalak után. Egy civil szervezet e-mail-fiókja, adományozói adatbázisa, könyvelési rendszere, közösségimédia-oldala vagy weboldala ugyanúgy értékes lehet, mint egy nagyobb cég rendszerei.

A kiberbiztonság nem csak informatikai kérdés. A szervezet működésének része: ki fér hozzá az adatokhoz, hogyan kezeljük a jelszavakat, mi történik, ha feltörik az e-mail-fiókot, hogyan állítjuk vissza az adatokat, és kit értesítünk baj esetén. A jó hír az, hogy már néhány alap lépéssel jelentősen csökkenthető a kockázat.

Az alábbi útmutató civil szervezeteknek szól: azoknak is, amelyeknek nincs külön informatikusa, és azoknak is, amelyek több munkatárssal, önkéntessel, külső könyvelővel vagy adományszervező rendszerrel dolgoznak.

1. Tudjuk, mit kell megvédenünk

Az első lépés nem egy szoftver megvásárlása, hanem annak átgondolása, hogy milyen eszközöket, fiókokat és adatokat használ a szervezet.

Érdemes listát készíteni legalább ezekről:

  • szervezeti e-mail-fiókok,
  • felhőalapú tárhelyek,
  • könyvelési és pénzügyi rendszerek,
  • banki hozzáférések,
  • adományozói és ügyféladatbázisok,
  • közösségimédia-fiókok,
  • weboldal, domain és tárhely,
  • hírlevélküldő rendszerek,
  • pályázati, projektmenedzsment- és dokumentumkezelő felületek,
  • laptopok, telefonok és más használt eszközök.

A lista mellett azt is rögzíteni kell, hogy ki fér hozzá ezekhez, milyen jogosultsággal, és ki felel az adott fiók vagy rendszer karbantartásáért. Ha egy volt munkatársnak, önkéntesnek vagy külső szolgáltatónak még mindig hozzáférése van egy szervezeti fiókhoz, az komoly biztonsági kockázat.

A modern kiberbiztonsági ajánlások már nemcsak az azonosításról, védelemről és helyreállításról beszélnek, hanem a felelősségi körök és döntési szabályok rögzítéséről is. A NIST Cybersecurity Framework 2.0 kis szervezeteknek és nonprofitoknak is ajánlott gyorsindító útmutatója hat területet emel ki: irányítás, azonosítás, védelem, észlelés, reagálás és helyreállítás.

2. Védjük különösen a legfontosabb fiókokat

A legtöbb civil szervezetnél az e-mail-fiók a legfontosabb digitális kulcs. Ezen keresztül lehet jelszót visszaállítani, belépni más rendszerekbe, kommunikálni adományozókkal, partnerekkel, könyvelővel vagy hatóságokkal. Ha ezt a fiókot feltörik, a támadó sok más rendszerhez is hozzáférhet.

Ezért elsőként az alábbi fiókokat kell erősen védeni:

  • e-mail,
  • banki és pénzügyi hozzáférések,
  • könyvelési rendszer,
  • felhőtárhely,
  • közösségimédia-oldalak,
  • weboldal, domain és tárhely,
  • hírlevélküldő és adománygyűjtő rendszerek.

Minden fontos fióknál használjunk erős, egyedi jelszót. Ne használjuk ugyanazt a jelszót több helyen. Ahol lehetséges, kapcsoljuk be a többfaktoros hitelesítést, vagyis azt, hogy a jelszó mellett egy második azonosítási lépésre is szükség legyen. Ez lehet hitelesítő alkalmazás, biztonsági kulcs vagy más megbízható megoldás.

A megosztott jelszavakat kerülni kell. Ha többen kezelnek egy rendszert, lehetőség szerint mindenki saját felhasználói fiókot kapjon, a szükséges jogosultsági szinttel. Így később visszakövethető, ki mit módosított, és egy távozó munkatárs hozzáférése egyszerűen megszüntethető.

A jelszavak kezeléséhez érdemes jelszókezelőt használni. Ez segít abban, hogy minden fiókhoz külön, erős jelszó tartozzon, és ne táblázatban, böngészőben vagy üzenetben kelljen jelszavakat tárolni.

3. Frissítsük az eszközöket és szoftvereket

Az elavult operációs rendszerek, böngészők, bővítmények és alkalmazások gyakori támadási pontok. A támadók sokszor ismert, már javított sérülékenységeket használnak ki olyan szervezeteknél, amelyek nem telepítették időben a frissítéseket.

Ezért fontos, hogy:

  • legyen bekapcsolva az automatikus frissítés,
  • a számítógépeken és telefonokon támogatott operációs rendszer fusson,
  • a böngészők, irodai programok és vírusvédelmi megoldások naprakészek legyenek,
  • ne használjunk régi, már nem támogatott szoftvereket,
  • a weboldal motorját, sablonjait és bővítményeit is rendszeresen frissítsük.

A szervezeti eszközökön használjunk naprakész végpontvédelmi megoldást, például vírusvédelmet, kártevő- és zsarolóprogram-védelmet. A megfelelő megoldás kiválasztásakor vegyük figyelembe, hány eszközt használ a szervezet, milyen operációs rendszereken dolgozik, van-e távoli munkavégzés, és ki fogja kezelni a riasztásokat.

Civil szervezetek számára kedvezményes vagy ingyenes technológiai megoldások a TechSoup rendszerén keresztül is elérhetők. Magyarországról a techsoup.hu oldalt érdemes figyelni.

  1. Készüljünk az adathalászatra és a csalásokra

Sok támadás nem technikai sebezhetőséggel, hanem megtévesztéssel kezdődik. A támadók megpróbálhatják rávenni a munkatársakat, önkénteseket vagy vezetőket arra, hogy kattintsanak egy linkre, megnyissanak egy mellékletet, megadják a jelszavukat, sürgősen utaljanak pénzt, vagy módosítsanak egy bankszámlaszámot.

Az adathalászat ma már nem csak e-mailben történik. Érkezhet SMS-ben, telefonon, közösségi médiás üzenetben, csevegőalkalmazásban vagy hamis bejelentkezési oldalon is. A szervezet ne csak technikai védelemmel készüljön, hanem egyszerű belső szabályokkal is.

Legyen alapelv, hogy:

  • pénzügyi utalást vagy bankszámlaszám-módosítást mindig második csatornán is ellenőrzünk,
  • gyanús mellékletet vagy linket nem nyitunk meg,
  • jelszót soha nem adunk meg e-mailben vagy üzenetben kért linken keresztül,
  • sürgető, fenyegető vagy szokatlan kérésnél megállunk és visszakérdezünk,
  • a vezető nevében érkező pénzügyi kérés sem kerülhet ki az ellenőrzési folyamat alól.

Az ENISA 2025-ös fenyegetettségi összefoglalója továbbra is a fő kockázatok között említi a zsarolóprogramokat, a kártevőket, a social engineeringet, az adatokat érintő fenyegetéseket és a szolgáltatásmegtagadási támadásokat.

5. Korlátozzuk a hozzáféréseket

Nem kell mindenkinek mindenhez hozzáférnie. A biztonságos működés egyik alapelve, hogy mindenki csak azokhoz az adatokhoz és rendszerekhez férjen hozzá, amelyekre valóban szüksége van.

Ez különösen fontos civil szervezeteknél, ahol gyakori az önkéntesek, projektmunkatársak, gyakornokok, külső könyvelők, kommunikációs szakemberek és szolgáltatók bevonása. Minden ilyen hozzáférés hasznos lehet munka közben, de kockázattá válik, ha nincs nyilvántartva, nincs korlátozva, vagy a munka lezárulta után sem szűnik meg.

Érdemes legalább félévente átnézni:

  • kik férnek hozzá az e-mail-fiókokhoz,
  • kik kezelhetik a közösségimédia-oldalakat,
  • kik látják az adományozói adatokat,
  • kik férnek hozzá a felhőtárhelyhez,
  • kik tudnak módosítani a weboldalon,
  • kik rendelkeznek adminisztrátori jogosultsággal.

Az adminisztrátori jogosultságokat különösen szigorúan kell kezelni. Minél kevesebb adminisztrátor van, annál kisebb a kockázat.

6. Készítsünk biztonsági mentést — és próbáljuk ki a visszaállítást

A biztonsági mentés a zsarolóprogramok és adatvesztések elleni védekezés egyik legfontosabb eleme. Nem elég azonban mentést készíteni: azt is ellenőrizni kell, hogy szükség esetén valóban visszaállítható-e.

A jó mentési gyakorlat lényege:

  • legyen több másolat a fontos adatokról,
  • legalább egy másolat legyen elkülönítve a napi használatú rendszerektől,
  • a mentés ne legyen folyamatosan csatlakoztatva ugyanahhoz a számítógéphez vagy hálózathoz,
  • rendszeresen ellenőrizzük, hogy a mentésből visszaállíthatók-e a fájlok,
  • legyen világos, ki felel a mentésekért.

A klasszikus 3-2-1 szabály jó kiindulópont: ugyanarról az adatról legyen legalább három másolat, két különböző tárolási módon, és ezek közül legalább az egyik külső helyszínen legyen tárolva. Kis szervezeteknél ez lehet felhőalapú mentés és külön külső meghajtó kombinációja is, de a pontos megoldást a szervezet működéséhez kell igazítani.

7. Legyen egyszerű incidensválasz-terv

Minden szervezetnek érdemes előre végiggondolnia, mit tesz, ha baj történik. Nem kell bonyolult dokumentumra gondolni: már egy egyoldalas terv is sokat segíthet.

A tervben szerepeljen:

  • ki dönt incidens esetén,
  • kit kell azonnal értesíteni a szervezeten belül,
  • ki veszi fel a kapcsolatot az informatikai szolgáltatóval,
  • ki értesíti a bankot, ha pénzügyi visszaélés gyanúja merül fel,
  • ki kezeli a partnerek, ügyfelek, érintettek tájékoztatását,
  • hol vannak a mentések,
  • hogyan lehet gyorsan visszavonni hozzáféréseket,
  • ki tesz szükség esetén incidensbejelentést.

Magyarországon kiberbiztonsági incidens vagy sérülékenység észlelése esetén az NBSZ Nemzeti Kiberbiztonsági Intézet incidensbejelentő felületén is lehet bejelentést tenni. Az NKI honlapján külön menüpontban szerepel az incidensbejelentés, valamint az incidenskezelési és kiberfenyegetettség-elemzési feladatkör.

Ha személyes adatok is érintettek, adatvédelmi szempontból is mérlegelni kell a teendőket. Ilyen esetben szükség lehet adatvédelmi szakértő, jogász vagy a szervezet adatvédelmi felelősének bevonására is.

8. Ne maradjon egyetlen ember fejében a tudás

Sok civil szervezetnél egyetlen munkatárs, önkéntes vagy külsős szolgáltató tudja, hol vannak a jelszavak, hogyan működik a weboldal, ki fizeti a tárhelyet, vagy hogyan lehet hozzáférni a hírlevélküldő rendszerhez. Ez nemcsak működési, hanem biztonsági kockázat is.

A szervezetnek legyen belső nyilvántartása arról, hogy:

  • milyen digitális szolgáltatásokat használ,
  • ki az adminisztrátor,
  • hol vannak a szerződések és számlázási adatok,
  • ki fér hozzá a kritikus rendszerekhez,
  • hogyan lehet vészhelyzetben hozzáférést visszaállítani vagy visszavonni.

Ezt a nyilvántartást biztonságosan kell tárolni, és csak az arra jogosultak férhetnek hozzá. A cél nem az, hogy mindenki minden jelszót lásson, hanem hogy a szervezet ne váljon kiszolgáltatottá egyetlen embernek vagy szolgáltatónak.

9. A kiberbiztonság legyen rendszeres napirendi pont

A kiberbiztonság nem egyszeri feladat. Érdemes évente legalább egyszer áttekinteni a szervezet digitális működését: milyen új eszközök, fiókok, szolgáltatások jelentek meg, kik férnek hozzá az adatokhoz, működnek-e a mentések, történt-e gyanús esemény.

Egy kisebb civil szervezetnél is hasznos lehet egy egyszerű éves ellenőrzőlista:

  • minden fontos fiókon van többfaktoros hitelesítés?
  • minden kritikus fiókhoz tudjuk, ki az adminisztrátor?
  • távozó munkatársak és önkéntesek hozzáféréseit megszüntettük?
  • frissülnek az eszközök és szoftverek?
  • működik a biztonsági mentés?
  • ki tudjuk próbálni a visszaállítást?
  • tudjuk, kit kell hívni incidens esetén?
  • a munkatársak felismerik a tipikus adathalász próbálkozásokat?

A kiberbiztonság célja nem az, hogy a szervezet tökéletesen védett legyen — ilyen állapot nincs. A cél az, hogy a leggyakoribb támadásokkal szemben felkészültebb legyen, gyorsabban észlelje a bajt, és kisebb kárral tudjon helyreállni.

Rövid ellenőrzőlista civil szervezeteknek

Ha csak néhány dolgot tudunk azonnal megtenni, ezekkel kezdjük:

  1. Kapcsoljuk be a többfaktoros hitelesítést az e-mail-, banki, felhő-, közösségimédia- és weboldal-fiókoknál.
  2. Használjunk minden fontos fiókhoz egyedi, erős jelszót és jelszókezelőt.
  3. Nézzük át, kik férnek hozzá a szervezet rendszereihez, és vonjuk vissza a felesleges jogosultságokat.
  4. Frissítsük a számítógépeket, telefonokat, böngészőket, weboldalbővítményeket és biztonsági szoftvereket.
  5. Készítsünk rendszeres biztonsági mentést, és próbáljuk ki a visszaállítást.
  6. Legyen egyszerű terv arra, hogy mit teszünk, ha feltörik egy fiókunkat, eltűnnek adatok, vagy pénzügyi csalás gyanúja merül fel.
  7. Tanítsuk meg a munkatársaknak és önkénteseknek, hogyan ismerjék fel az adathalász és megtévesztő üzeneteket.
  8. Figyeljük a techsoup.hu oldalt a civil szervezeteknek elérhető kedvezményes technológiai megoldások miatt.

A civil szervezetek bizalomból dolgoznak: adományozók, ügyfelek, önkéntesek, partnerek és érintettek adatait kezelik. Ennek a bizalomnak ma már része a digitális biztonság is. A legfontosabb lépések nem feltétlenül drágák vagy bonyolultak, de tudatos döntést és rendszeres odafigyelést igényelnek.

Ez a cikk a nonprofit.hu tudásbázis része – kérjük, hivatkozzon ránk forrásként. / This article is part of nonprofit.hu knowledge base. Please refer to nonprofit.hu as source of content.