Kibervédelem KKV-knak · 12 lépés, 1 hét, 0 forint

A statisztika unalmas, de fontos: a magyar KKV szektorban a kibertámadások 80%-a olyan céget ér, ahol nincs MFA, nincs backup és nincs e-mail szűrés. Nem a fejlett APT csoportok ellen kell védekezned, hanem a script kiddie ellen, aki a leaked credentials listát betoldja egy automatizált scriptbe.

Itt 12 lépés, mind ingyenes vagy a meglévő Microsoft 365 / Google Workspace előfizetésben benne van. Egy hét munka egy senior IT embernek. A támadások 90%-át blokkolja. Több is van a listán, de ez a 12 az, ami nélkül 2026 ban nem nyithatsz nettel kapcsolatot.

1. MFA mindenkire, kivétel nélkül

Microsoft 365 ben a Conditional Access Policy ban kapcsold be: 'Require MFA for all users'. Google Workspace ben a 'Security · 2-Step Verification · Enforcement'. SMS MFA NEM jó · támogatott a authenticator app vagy hardware key (Yubikey 25 EUR / fő, egyszeri).

2. Régi, nem használt fiókok kikapcsolása

Lépj be az admin konzolba, listázd az utolsó belépés dátumát. Minden fiók, ami 90 napja nem volt használva: deaktiválás, jelszó reset. Ez 5 perc munka, de szinte mindenhol találtunk olyan fiókot, ami 18 hónapja nem volt használva, de aktív volt. Ez támadási felület.

3. Jelszó policy: hosszú, nem komplex

A NIST 2017 óta azt mondja: ne kelljen 90 naponta cserélni, ne kelljen `!@#$` benne lennie, hanem legyen 14 karakter hosszú. Azóta a magyar BISZ is így ajánlja. Microsoft / Google admin ban kapcsold be a 'minimum 14 characters', kapcsold ki a 'expire every 90 days'.

4. Phishing szűrő · már megvan, csak be kell kapcsolni

Microsoft Defender for Office 365 (Business Premium ban van) vagy Google Workspace 'Advanced phishing and malware protection': bekapcsolás 3 perc. Pár dollár havonta felárral 60-70%-kal kevesebb phishing email lesz a postaládádban.

5. Backup · automatikus, offsite, tesztelt

Microsoft 365 / Google Workspace alapból nem véd a felhasználói törléstől 30 napon túl. Egy 3rd party backup szolgáltató (Synology Active Backup ingyenes Synology nas el, vagy Veeam Microsoft 365 backup ~3 EUR / fő / hó) megoldja. Kötelező teszt: havonta egyszer próbáld restore olni egy random fájlt.

# Synology Active Backup for Microsoft 365 · automation
# 1. NAS-on telepítsd Active Backup for Microsoft 365 t
# 2. Authentikálj a Microsoft 365 tenanttal
# 3. Schedule: daily 02:00, retention 365 days
# 4. Recovery test: minden hónap első hétfőjén véletlen fájl restore

6. DNS védelem · Quad9 vagy Cloudflare 1.1.1.2

Az iroda router DNS jét állítsd át 9.9.9.9 (Quad9) vagy 1.1.1.2 (Cloudflare for Families). Ezek malware blokkoló DNS resolverek, ingyen. A munkahelyi gépeken a Windows / macOS DHCP en keresztül felveszi. A támadók sok kampányt blokkol, ha a domain ismert malware lista n van.

7. Endpoint védelem · már megvan, csak be kell kapcsolni

Windows 11 ben a Defender alapból bekapcsolva, de a 'Tamper Protection' és a 'Cloud delivered protection' nem mindig. macOS on a XProtect, plusz egy ingyenes Lulu (Objective See, kis tűzfal) sokat segít. Linux szerverre fail2ban + ssh kulcs only auth.

8. Külön admin fiók · soha ne ezzel emailezz

Microsoft / Google admin nak külön fiókot. A te 'normál' fiókod ne legyen Global Admin. Ha a normál fiókod kompromittálódik (phishing email re kattintottál), a támadó nem tudja a tenantot kifosztani.

9. Audit log bekapcsolva · már megvan

Microsoft 365 ben a Security & Compliance ben az 'Unified Audit Log' bekapcsolása 2 kattintás. Google ben az Admin Audit Log alapból megy. Ez nem véd, de incidensnél te leszel az, aki tudja, mi történt. Nélküle vakon vagy.

10. Külső megosztások revíziója · havonta egyszer

OneDrive / Google Drive ban listázd a 'shared with anyone with the link' fájlokat. Sok cégnél véletlenül kerültek ki bizalmas dokumentumok. Microsoft admin: 'SharePoint admin · Sharing · External sharing'. Google: 'Reports · Audit and investigation · Drive log events'.

11. Patch · ami működik · WSUS vagy beállítás

Windows: Update for Business policy. macOS: a `softwareupdate --schedule on`. Mobil: MDM (Microsoft Intune ban benne van), kötelező OS verzió. Cél: 30 napon belül minden CVE 7.5+ patch elve. Ezt nem fontos automatizálni az első héten, de a havi rutinban legyen benne.

12. Phishing szimuláció · havi 1 alkalom

Microsoft 365 Business Premium ben benne van az 'Attack Simulator'. Ingyen. Havi egyszer küldj a csapatnak egy phishing emailt, és lásd, ki kattint. Az első körben 30-40% kattintási arány normális, fél év múlva 5% alatt kell lennie. Ez a sikeres incidens megelőzés egyetlen mérőszáma.

Mi marad ki ebből a 12 ből

SIEM (Microsoft Sentinel, Wazuh) · igen, kell, de első héten nem. SOC szolgáltatás · 30+ fős cégnél. Pen test · évente egyszer, az első év végén. Zero trust hálózat · a következő évben. Az itt felsorolt 12 lépés a 80/20 alja. Ezzel nem leszel '100%-ig védve', de a 'low hanging fruit' támadások mind elmennek.