Az Európai Bizottság 2020 szeptemberében kezdte el kidolgozni a digitális ellenállóképességről szóló rendeletet, mellyel az uniós pénzügyi szolgáltatók körében kívánja mérsékelni a kibertámadásokból fakadó kockázatokat. Mit tartalmaz ez a rendelet?

A november 28-án hatályba lépett rendelet az európai pénzügyi szektor digitális működési ellenállóképességéről szól. A DORA (Digital Operational Resilience Act) az EU-n belül minden pénzügyi szektorban tevékenykedő szervezetére kiterjed, egy két fős fintech startuptól kezdve a nemzetközi bankokig bezárólag, a kockázatarányosság elvét alkalmazva.

A rendelet nem írja le a konkrét teendőket, ezeket a tagállamok informatikai felügyeletei – hazánkban a Magyar Nemzeti Bank (MNB) – határozzák meg. A jelenlegi MNB-ajánlásokat a szabályozás technikai standardjei (Regulatory Technical Standards, RTS) fogják felváltani.

Milyen Magyarországon a kibervédelmi szabályozás?

Az Európai Unióban sok intézmény nyújt pénzügyi szolgáltatásokat, a tagállamok azonban eltérően szabályozzák a pénzügyi piaci szereplők IT-biztonsággal és kiberbiztonsággal kapcsolatos kötelezettségeit. A szabályozási rendszer és az ellenőrzések mélysége egyes országokban kiemelkedőek, ilyen Magyarország is. Az MNB rendszeresen frissíti az ajánlásokat, amelyek alapján elvárja a hazánkban működő pénzügyi szolgáltatók támadások elleni felkészültségét. Több uniós országban azonban nincs bevett gyakorlat, illetve sokkal gyengébb a szabályozás: sem törvényi, sem a helyi központi banki ajánlásokban nem alakítottak ki megfelelő szabályozási környezetet, valamint az ellenőrzés több helyen kívánnivalókat hagy maga után.

A DORA-t a szabályozói környezet eltéréseinek mérséklése céljából hozták létre, azáltal, hogy egységes elvárásrendszert alakít ki az uniós pénzügyi szolgáltatókkal (bankokkal, biztosítókkal, takarékpénztárakkal, tőzsdei befektetési szolgáltatókkal stb.) szemben. A cél tehát az, hogy az Európai Unióban minden pénzügyi szolgáltató egyformán képes legyen kiberbiztonsági támadásokat elhárítani, illetve a kiberfenyegetésekből származó kockázatokat kezelni.

Szükség van a DORA-ra, vagy már korábban is jól működött az uniós szabályzás?

Jelentős előrelépés a DORA, mivel megszünteti a digitális ellenállóképesség szabályozásának töredezettségét és egységesedik a pénzügyi szolgáltatások kibervédelme. Közel azonos biztonsági szintre lehet majd hozni az EU-ban az összes pénzügyi szereplő digitális ellenálló képességét, ami az egész uniós pénzügyi rendszert ellenállóbá teheti a kibertámadásokkal szemben.

Az MNB ajánlásokhoz képest milyen új kontrollokat vezet be a DORA?

A kockázat menedzsment, az incidens jelentés, a digitális ellenállóképesség tesztelése és a harmadik fél kockázat-menedzsmentje már most is részét képezik az MNB előírásainak. Néhány esetben a jelenlegi elvárások szigorúbbak, például a tesztelésre a DORA három éves előírásához képest nálunk szigorúbb, évenkénti penetrációs tesztet ír elő az MNB ajánlás. Amit a DORA elvár, azt nagyrészt az MNB is elvárta eddig. Az információmegosztás viszont új elemként jelenhet meg a magyar szabályzásban is.

A DORA bizonyos területeken várhatóan egyszerűsíti a pénzügyi szolgáltatók helyzetét – például az incidens bejelentés folyamatát. Az incidenseket eddig is jelenteni kellett az MNB informatikai felügyeletének, pénzforgalmat érintő esetekben azonban külön csatornán és külön riportot kell küldeni a  pénzforgalmi területek részére. Amennyiben egy pénzintézet valamely informatikai rendszere miatt kritikus infrastruktúra részét képezi, akkor az incidenst jelentenie kell a Nemzeti Kibervédelmi Intézetnek is. Személyes adatok érintettsége esetén a NAIH (Nemzeti Adatvédelmi és Információszabadság Hatóság) felé is él a bejelentési kötelezettség. Mindezeken túl a negyedévek végén egy összefoglalót is küldeni kell az MNB Informatikai Felügyelet részére az incidensekről. A folyamat várhatóan egyszerűsödik, a pénzintézeteknek elég lesz egy helyre bejelenteni az eseményt, és ezt dolgozza fel az összes, előbb felsorolt hatósági szereplő. Az MNB által kiadott szabályozástechnikai standard (RTS ) fogja tartalmazni az incidensek jelentésének részletszabályait.

Milyen típusú kibertámadások találhatóak a szabályozásban?

A támadási formák nemcsak pénzintézetekre vonatkoznak, hiszen bármilyen informatikai rendszert érhet kibertámadás. Ezek veszélyeztethetik magát a szervezetet, az informatikai infrastruktúrát, vagy akár egyszerre mindkettőt. Ha valaki információt szeretne gyűjteni, akkor elsősorban a szervezetet veszi célba kéretlen levelekkel, adathalász támadásokkal. Ilyenkor gyakran egy kiszemelt csoportot vagy egyes személyeket szólítanak meg a támadás során. Az informatikai rendszer elleni támadást jellemzően valamilyen szolgáltatás ellen hajtják végre, azaz valamilyen leállást próbálnak meg kikényszeríteni, például túlterheléses támadással, így a szolgáltatás nem lesz elérhető az ügyfelek számára. Egy netbank leállása jelentős reputációs veszteséget tud okozni egy bank számára.

Természetesen a kétféle támadás össze is köthető: egy nemkívánt levéllel, megfelelő tartalommal kártevőt vagy nem kívánt programot juttathatnak a felhasználókon keresztül a pénzintézet informatikai rendszerébe, amellyel később akár a teljes informatikai infrastruktúrát tudják támadni. Pénzügyi szolgáltatókat és más szervezeteket egyaránt érhet támadás, a kettő közötti eltérést elsősorban a pénzügyi szervezeteknél kezelt adatok mennyisége és kényessége adja. Emiatt jellemzően nagyobb intenzitással támadják a pénzintézeteket. A személyes adatok, a bankkártya-adatok és különösen a bankszámlákhoz való hozzáférést biztosító adatok értékesek, ezért elsősorban bankok állnak a kiberbűnözők középpontjában.

Milyen szolgáltatásokkal segíti a 4iG a kibertámadások elhárítását?

A 4iG tanácsadási és felkészítési szolgáltatásokkal, belső szabályozás harmonizációjával segíti ügyfeleit a compliance területén. A tesztelési szolgáltatáscsomag penetrációs tesztből, sérülékenység vizsgálatokból, valamint szimulált támadásokból áll, ezekkel a DORA implementálásával kapcsolatos MNB vizsgálatokon való megfelelésre is felkészítjük a partnereinket. A szabályozás technikai standardjait még nem alakította ki a jegybank, így a pontos folyamatokról csak ezek ismeretében lesz több információnk. A 4iG szolgáltatásai ugyanakkor valószínűleg módosulnak majd az RTS-ek kiadását követően. Mivel a 4iG harmadik félként szerepel egyes pénzügyi szolgáltatásokban, ezért nekünk is fel kell készülnünk a DORA-nak való megfelelésre.