6p

Jelentős változást hozhat az EU új rendelete a pénzügyi szektorban. A kiberfenyegetettség ellen fellépő DORA szabályozásról Bucsai Balázst, a 4iG vezető információbiztonsági tanácsadóját kérdeztük.

Az Európai Bizottság 2020 szeptemberében kezdte el kidolgozni a digitális ellenállóképességről szóló rendeletet, mellyel az uniós pénzügyi szolgáltatók körében kívánja mérsékelni a kibertámadásokból fakadó kockázatokat. Mit tartalmaz ez a rendelet?

A november 28-án hatályba lépett rendelet az európai pénzügyi szektor digitális működési ellenállóképességéről szól. A DORA (Digital Operational Resilience Act) az EU-n belül minden pénzügyi szektorban tevékenykedő szervezetére kiterjed, egy két fős fintech startuptól kezdve a nemzetközi bankokig bezárólag, a kockázatarányosság elvét alkalmazva.

A rendelet nem írja le a konkrét teendőket, ezeket a tagállamok informatikai felügyeletei – hazánkban a Magyar Nemzeti Bank (MNB) – határozzák meg. A jelenlegi MNB-ajánlásokat a szabályozás technikai standardjei (Regulatory Technical Standards, RTS) fogják felváltani.

A november 28-án hatályba lépett DORA szabályozás az európai pénzügyi szektor digitális működési ellenállóképességéről szól. Fotó: Depositphotos
A november 28-án hatályba lépett DORA szabályozás az európai pénzügyi szektor digitális működési ellenállóképességéről szól. Fotó: Depositphotos

Milyen Magyarországon a kibervédelmi szabályozás?

Az Európai Unióban sok intézmény nyújt pénzügyi szolgáltatásokat, a tagállamok azonban eltérően szabályozzák a pénzügyi piaci szereplők IT-biztonsággal és kiberbiztonsággal kapcsolatos kötelezettségeit. A szabályozási rendszer és az ellenőrzések mélysége egyes országokban kiemelkedőek, ilyen Magyarország is. Az MNB rendszeresen frissíti az ajánlásokat, amelyek alapján elvárja a hazánkban működő pénzügyi szolgáltatók támadások elleni felkészültségét. Több uniós országban azonban nincs bevett gyakorlat, illetve sokkal gyengébb a szabályozás: sem törvényi, sem a helyi központi banki ajánlásokban nem alakítottak ki megfelelő szabályozási környezetet, valamint az ellenőrzés több helyen kívánnivalókat hagy maga után.

A DORA-t a szabályozói környezet eltéréseinek mérséklése céljából hozták létre, azáltal, hogy egységes elvárásrendszert alakít ki az uniós pénzügyi szolgáltatókkal (bankokkal, biztosítókkal, takarékpénztárakkal, tőzsdei befektetési szolgáltatókkal stb.) szemben. A cél tehát az, hogy az Európai Unióban minden pénzügyi szolgáltató egyformán képes legyen kiberbiztonsági támadásokat elhárítani, illetve a kiberfenyegetésekből származó kockázatokat kezelni.

Szükség van a DORA-ra, vagy már korábban is jól működött az uniós szabályzás?

Jelentős előrelépés a DORA, mivel megszünteti a digitális ellenállóképesség szabályozásának töredezettségét és egységesedik a pénzügyi szolgáltatások kibervédelme. Közel azonos biztonsági szintre lehet majd hozni az EU-ban az összes pénzügyi szereplő digitális ellenálló képességét, ami az egész uniós pénzügyi rendszert ellenállóbá teheti a kibertámadásokkal szemben.

Az MNB ajánlásokhoz képest milyen új kontrollokat vezet be a DORA?

A kockázat menedzsment, az incidens jelentés, a digitális ellenállóképesség tesztelése és a harmadik fél kockázat-menedzsmentje már most is részét képezik az MNB előírásainak. Néhány esetben a jelenlegi elvárások szigorúbbak, például a tesztelésre a DORA három éves előírásához képest nálunk szigorúbb, évenkénti penetrációs tesztet ír elő az MNB ajánlás. Amit a DORA elvár, azt nagyrészt az MNB is elvárta eddig. Az információmegosztás viszont új elemként jelenhet meg a magyar szabályzásban is.

A DORA bizonyos területeken várhatóan egyszerűsíti a pénzügyi szolgáltatók helyzetét – például az incidens bejelentés folyamatát. Az incidenseket eddig is jelenteni kellett az MNB informatikai felügyeletének, pénzforgalmat érintő esetekben azonban külön csatornán és külön riportot kell küldeni a  pénzforgalmi területek részére. Amennyiben egy pénzintézet valamely informatikai rendszere miatt kritikus infrastruktúra részét képezi, akkor az incidenst jelentenie kell a Nemzeti Kibervédelmi Intézetnek is. Személyes adatok érintettsége esetén a NAIH (Nemzeti Adatvédelmi és Információszabadság Hatóság) felé is él a bejelentési kötelezettség. Mindezeken túl a negyedévek végén egy összefoglalót is küldeni kell az MNB Informatikai Felügyelet részére az incidensekről. A folyamat várhatóan egyszerűsödik, a pénzintézeteknek elég lesz egy helyre bejelenteni az eseményt, és ezt dolgozza fel az összes, előbb felsorolt hatósági szereplő. Az MNB által kiadott szabályozástechnikai standard (RTS ) fogja tartalmazni az incidensek jelentésének részletszabályait.

Milyen típusú kibertámadások találhatóak a szabályozásban?

A támadási formák nemcsak pénzintézetekre vonatkoznak, hiszen bármilyen informatikai rendszert érhet kibertámadás. Ezek veszélyeztethetik magát a szervezetet, az informatikai infrastruktúrát, vagy akár egyszerre mindkettőt. Ha valaki információt szeretne gyűjteni, akkor elsősorban a szervezetet veszi célba kéretlen levelekkel, adathalász támadásokkal. Ilyenkor gyakran egy kiszemelt csoportot vagy egyes személyeket szólítanak meg a támadás során. Az informatikai rendszer elleni támadást jellemzően valamilyen szolgáltatás ellen hajtják végre, azaz valamilyen leállást próbálnak meg kikényszeríteni, például túlterheléses támadással, így a szolgáltatás nem lesz elérhető az ügyfelek számára. Egy netbank leállása jelentős reputációs veszteséget tud okozni egy bank számára.

Természetesen a kétféle támadás össze is köthető: egy nemkívánt levéllel, megfelelő tartalommal kártevőt vagy nem kívánt programot juttathatnak a felhasználókon keresztül a pénzintézet informatikai rendszerébe, amellyel később akár a teljes informatikai infrastruktúrát tudják támadni. Pénzügyi szolgáltatókat és más szervezeteket egyaránt érhet támadás, a kettő közötti eltérést elsősorban a pénzügyi szervezeteknél kezelt adatok mennyisége és kényessége adja. Emiatt jellemzően nagyobb intenzitással támadják a pénzintézeteket. A személyes adatok, a bankkártya-adatok és különösen a bankszámlákhoz való hozzáférést biztosító adatok értékesek, ezért elsősorban bankok állnak a kiberbűnözők középpontjában.

Milyen szolgáltatásokkal segíti a 4iG a kibertámadások elhárítását?

A 4iG tanácsadási és felkészítési szolgáltatásokkal, belső szabályozás harmonizációjával segíti ügyfeleit a compliance területén. A tesztelési szolgáltatáscsomag penetrációs tesztből, sérülékenység vizsgálatokból, valamint szimulált támadásokból áll, ezekkel a DORA implementálásával kapcsolatos MNB vizsgálatokon való megfelelésre is felkészítjük a partnereinket. A szabályozás technikai standardjait még nem alakította ki a jegybank, így a pontos folyamatokról csak ezek ismeretében lesz több információnk. A 4iG szolgáltatásai ugyanakkor valószínűleg módosulnak majd az RTS-ek kiadását követően. Mivel a 4iG harmadik félként szerepel egyes pénzügyi szolgáltatásokban, ezért nekünk is fel kell készülnünk a DORA-nak való megfelelésre.

LEGYEN ÖN IS ELŐFIZETŐNK!

Előfizetőink máshol nem olvasott, higgadt hangvételű, tárgyilagos és
magas szakmai színvonalú tartalomhoz jutnak hozzá havonta már 1490 forintért.
Korlátlan hozzáférést adunk az Mfor.hu és a Privátbankár.hu tartalmaihoz is, a Klub csomag pedig a hirdetés nélküli olvasási lehetőséget is tartalmazza.
Mi nap mint nap bizonyítani fogunk! Legyen Ön is előfizetőnk!