6p

Ront vagy javít Magyarország megítélésén a soros EU-elnökség?
Milyen újabb öt év elé néz Karácsony Gergely?
Mi lesz a liberalizmussal Magyarországon?
Online Klasszis Klubtalálkozó élőben Horn Gáborral!

Vegyen részt és kérdezzen Ön is a Republikon Alapítvány kuratóriumának elnökétől!

2024. július 24. 15:30

A részvétel ingyenes, regisztráljon itt!

Jelentős változást hozhat az EU új rendelete a pénzügyi szektorban. A kiberfenyegetettség ellen fellépő DORA szabályozásról Bucsai Balázs, a 4iG vezető információbiztonsági tanácsadója beszélt a Privátbankárnak.

Az Európai Bizottság 2020 szeptemberében kezdte el kidolgozni a digitális ellenállóképességről szóló rendeletet, mellyel az uniós pénzügyi szolgáltatók körében kívánja mérsékelni a kibertámadásokból fakadó kockázatokat. Mit tartalmaz ez a rendelet?

A november 28-án hatályba lépett rendelet az európai pénzügyi szektor digitális működési ellenállóképességéről szól. A DORA (Digital Operational Resilience Act) az EU-n belül minden pénzügyi szektorban tevékenykedő szervezetére kiterjed, egy két fős fintech startuptól kezdve a nemzetközi bankokig bezárólag, a kockázatarányosság elvét alkalmazva.

A rendelet nem írja le a konkrét teendőket, ezeket a tagállamok informatikai felügyeletei – hazánkban a Magyar Nemzeti Bank (MNB) – határozzák meg. A jelenlegi MNB-ajánlásokat a szabályozás technikai standardjei (Regulatory Technical Standards, RTS) fogják felváltani.

A november 28-án hatályba lépett DORA szabályozás az európai pénzügyi szektor digitális működési ellenállóképességéről szól. Fotó: Depositphotos
A november 28-án hatályba lépett DORA szabályozás az európai pénzügyi szektor digitális működési ellenállóképességéről szól. Fotó: Depositphotos

Milyen Magyarországon a kibervédelmi szabályozás?

Az Európai Unióban sok intézmény nyújt pénzügyi szolgáltatásokat, a tagállamok azonban eltérően szabályozzák a pénzügyi piaci szereplők IT-biztonsággal és kiberbiztonsággal kapcsolatos kötelezettségeit. A szabályozási rendszer és az ellenőrzések mélysége egyes országokban kiemelkedőek, ilyen Magyarország is. Az MNB rendszeresen frissíti az ajánlásokat, amelyek alapján elvárja a hazánkban működő pénzügyi szolgáltatók támadások elleni felkészültségét. Több uniós országban azonban nincs bevett gyakorlat, illetve sokkal gyengébb a szabályozás: sem törvényi, sem a helyi központi banki ajánlásokban nem alakítottak ki megfelelő szabályozási környezetet, valamint az ellenőrzés több helyen kívánnivalókat hagy maga után.

A DORA-t a szabályozói környezet eltéréseinek mérséklése céljából hozták létre, azáltal, hogy egységes elvárásrendszert alakít ki az uniós pénzügyi szolgáltatókkal (bankokkal, biztosítókkal, takarékpénztárakkal, tőzsdei befektetési szolgáltatókkal stb.) szemben. A cél tehát az, hogy az Európai Unióban minden pénzügyi szolgáltató egyformán képes legyen kiberbiztonsági támadásokat elhárítani, illetve a kiberfenyegetésekből származó kockázatokat kezelni.

Szükség van a DORA-ra, vagy már korábban is jól működött az uniós szabályzás?

Jelentős előrelépés a DORA, mivel megszünteti a digitális ellenállóképesség szabályozásának töredezettségét és egységesedik a pénzügyi szolgáltatások kibervédelme. Közel azonos biztonsági szintre lehet majd hozni az EU-ban az összes pénzügyi szereplő digitális ellenálló képességét, ami az egész uniós pénzügyi rendszert ellenállóbá teheti a kibertámadásokkal szemben.

Az MNB ajánlásokhoz képest milyen új kontrollokat vezet be a DORA?

A kockázat menedzsment, az incidens jelentés, a digitális ellenállóképesség tesztelése és a harmadik fél kockázat-menedzsmentje már most is részét képezik az MNB előírásainak. Néhány esetben a jelenlegi elvárások szigorúbbak, például a tesztelésre a DORA három éves előírásához képest nálunk szigorúbb, évenkénti penetrációs tesztet ír elő az MNB ajánlás. Amit a DORA elvár, azt nagyrészt az MNB is elvárta eddig. Az információmegosztás viszont új elemként jelenhet meg a magyar szabályzásban is.

A DORA bizonyos területeken várhatóan egyszerűsíti a pénzügyi szolgáltatók helyzetét – például az incidens bejelentés folyamatát. Az incidenseket eddig is jelenteni kellett az MNB informatikai felügyeletének, pénzforgalmat érintő esetekben azonban külön csatornán és külön riportot kell küldeni a  pénzforgalmi területek részére. Amennyiben egy pénzintézet valamely informatikai rendszere miatt kritikus infrastruktúra részét képezi, akkor az incidenst jelentenie kell a Nemzeti Kibervédelmi Intézetnek is. Személyes adatok érintettsége esetén a NAIH (Nemzeti Adatvédelmi és Információszabadság Hatóság) felé is él a bejelentési kötelezettség. Mindezeken túl a negyedévek végén egy összefoglalót is küldeni kell az MNB Informatikai Felügyelet részére az incidensekről. A folyamat várhatóan egyszerűsödik, a pénzintézeteknek elég lesz egy helyre bejelenteni az eseményt, és ezt dolgozza fel az összes, előbb felsorolt hatósági szereplő. Az MNB által kiadott szabályozástechnikai standard (RTS ) fogja tartalmazni az incidensek jelentésének részletszabályait.

Milyen típusú kibertámadások találhatóak a szabályozásban?

A támadási formák nemcsak pénzintézetekre vonatkoznak, hiszen bármilyen informatikai rendszert érhet kibertámadás. Ezek veszélyeztethetik magát a szervezetet, az informatikai infrastruktúrát, vagy akár egyszerre mindkettőt. Ha valaki információt szeretne gyűjteni, akkor elsősorban a szervezetet veszi célba kéretlen levelekkel, adathalász támadásokkal. Ilyenkor gyakran egy kiszemelt csoportot vagy egyes személyeket szólítanak meg a támadás során. Az informatikai rendszer elleni támadást jellemzően valamilyen szolgáltatás ellen hajtják végre, azaz valamilyen leállást próbálnak meg kikényszeríteni, például túlterheléses támadással, így a szolgáltatás nem lesz elérhető az ügyfelek számára. Egy netbank leállása jelentős reputációs veszteséget tud okozni egy bank számára.

Természetesen a kétféle támadás össze is köthető: egy nemkívánt levéllel, megfelelő tartalommal kártevőt vagy nem kívánt programot juttathatnak a felhasználókon keresztül a pénzintézet informatikai rendszerébe, amellyel később akár a teljes informatikai infrastruktúrát tudják támadni. Pénzügyi szolgáltatókat és más szervezeteket egyaránt érhet támadás, a kettő közötti eltérést elsősorban a pénzügyi szervezeteknél kezelt adatok mennyisége és kényessége adja. Emiatt jellemzően nagyobb intenzitással támadják a pénzintézeteket. A személyes adatok, a bankkártya-adatok és különösen a bankszámlákhoz való hozzáférést biztosító adatok értékesek, ezért elsősorban bankok állnak a kiberbűnözők középpontjában.

Milyen szolgáltatásokkal segíti a 4iG a kibertámadások elhárítását?

A 4iG tanácsadási és felkészítési szolgáltatásokkal, belső szabályozás harmonizációjával segíti ügyfeleit a compliance területén. A tesztelési szolgáltatáscsomag penetrációs tesztből, sérülékenység vizsgálatokból, valamint szimulált támadásokból áll, ezekkel a DORA implementálásával kapcsolatos MNB vizsgálatokon való megfelelésre is felkészítjük a partnereinket. A szabályozás technikai standardjait még nem alakította ki a jegybank, így a pontos folyamatokról csak ezek ismeretében lesz több információnk. A 4iG szolgáltatásai ugyanakkor valószínűleg módosulnak majd az RTS-ek kiadását követően. Mivel a 4iG harmadik félként szerepel egyes pénzügyi szolgáltatásokban, ezért nekünk is fel kell készülnünk a DORA-nak való megfelelésre.

LEGYEN ÖN IS ELŐFIZETŐNK!

Szerkesztőségünkben mindig azon dolgozunk, hogy higgadt hangvételű, tárgyilagos és magas szakmai színvonalú írásokat nyújtsunk Olvasóink számára.
Előfizetőink máshol nem olvasott, minőségi tartalomhoz jutnak hozzá havonta már 1490 forintért.
Előfizetésünk egyszerre nyújt korlátlan hozzáférést az Mfor.hu és a Privátbankár.hu tartalmaihoz, a Klub csomag pedig egyebek között a Piac és Profit magazin teljes tartalmához hozzáférést és hirdetés nélküli olvasási lehetőséget is tartalmaz.


Mi nap mint nap bizonyítani fogunk! Legyen Ön is előfizetőnk!

Pénzügyi szektor Vajon mit lépnek Matolcsy Györgyék az Európai Központi Bank döntésére rezonálva?
Privátbankár.hu | 2024. július 18. 16:01
Az Európai Központi Bank (EKB) Kormányzótanácsa a piaci várakozásoknak megfelelően változatlanul hagyta a három irányadó eurókamat szintjét csütörtöki ülésén.
Pénzügyi szektor Tovább drágulnak a lakáshitelek, újabb nagybank törte át a kamatplafont
Privátbankár.hu | 2024. július 13. 07:45
Újabb nagybank emelte meg a lakáshitelei kamatait, és így már a K&H is átlépte a június végéig élő önkéntes, 7,3 százalékos THM-plafont a jelzálogkölcsönei egy részénél.
Pénzügyi szektor Megbírságolta az OTP Bankot az MNB
Privátbankár.hu | 2024. július 10. 10:21
A Magyar Nemzeti Bank (MNB) 5 millió forint felügyeleti bírságot szabott ki az OTP Bank Nyrt.-re, mert nem a hivatalos felületeken tette közzé akvizíciós terveit és ezzel megsértette rendkívüli tájékoztatási kötelezettségét.
Pénzügyi szektor A legjobb az őszinteség: gyenge a forint és az is marad
Privátbankár.hu | 2024. július 10. 07:30
Erősödött kissé a forint szerda reggelre az előző esti jegyzéséhez képest a főbb devizákkal szemben a nemzetközi devizakereskedelemben.
Pénzügyi szektor Több százezer magyar lecserélte a régi szerződését
Privátbankár.hu | 2024. július 9. 12:44
A jegybank adatai szerint az idei lakásbiztosítási kampányban 640 ezren váltás történt. 
Pénzügyi szektor Visszaszólt a Bankszövetség a kormánynak
Privátbankár.hu | 2024. július 9. 08:59
A bankok szervezete visszautasítja, hogy extraprofitra tettek volna szert a háború miatt. 
Pénzügyi szektor Érdekes új bejelentést tett az OTP Alapkezelő
Privátbankár.hu | 2024. július 8. 13:36
Új alap indul.
Pénzügyi szektor Vallott a Revolut
Privátbankár.hu | 2024. július 2. 08:44
Jelentősen nőtt a Revolut bevétele és a nyereség is. A haszonkulcs 19 százalékos. 
Pénzügyi szektor Csökkent a 30 éves amerikai jelzáloghitelek kamata
Privátbankár.hu | 2024. június 26. 15:20
Az Egyesült Államokban csökkent a 30 éves jelzáloghitelek kamata a június 21-én záródott héten - ismertette az amerikai jelzáloghitelező bankok szövetsége (Mortgage Bankers Association of America - MBA) szerdán.
Pénzügyi szektor Svájcnak harangoztak? Ráfarag, aki kicsiben gondolkodik
Privátbankár.hu | 2024. június 23. 17:58
Ha egy ország a vagyonkezelés világában labdába akar rúgni, akkor nem szállhat be a versenybe szégyenkezve azért, mert van egy nagyra, erősre gyúrt pénzügyi szolgáltató vállalata.
hírlevél
Ingatlantájoló
Együttműködő partnerünk: 4iG