Ha egy pénzügyi intézményt kibertámadás ér, annak súlyos következményei lehetnek, hiszen sikeres behatolás esetén a támadók nagy mennyiségű érzékeny pénzügyi és személyes adathoz férhetnek hozzá. Mivel egyre több bank, biztosító társaság és brókercég kerül a kiberbűnözők célkeresztjébe, rendkívül komolyan kell venni a fenyegetettséget, illetve meg kell tenni a szükséges védekezési lépéseket.
Bár a pénzügyi szektorban tevékenykedő szervezetek erősen integrált és kölcsönös függőségeken alapuló rendszerben működnek, az Európai Unió tagállamaiban nem egységes, ráadásul sok esetben nehezen összeegyeztethető az informatikai kockázatok kezelésére vonatkozó törvényi szabályozás. Az Európai Bizottság emiatt közösségi szinten szeretné összehangolni az informatikai kockázatok és fenyegetettségek kezelését szolgáló szabályokat, illetve az azok elleni fellépést.
A folyamat indításaként kidolgozták a digitális működési ellenállóképesség (DORA - Digital Operational Resilience) elvárásrendszerét. A törvénytervezet első verzióját 2020. szeptember 24-én publikálta az Európai Bizottság, azóta folynak az egyeztetések az érintettekkel. A végleges szabályozást várhatóan 2022-ben fogadhatják el, majd a tervek szerint egy tizenkét-tizennyolc hónapos átmeneti időszak következik, hogy az érintettek felkészülhessenek a szabályok alkalmazására.
Incidensbejelentés és a technológiai beszállítók monitorozása
A DORA megmutatja, hogy az egyes szervezetek mennyire ellenállóak a kibertérből érkező fenyegetettségekkel szemben. Alkalmazásával átláthatóbb lesz a törvényi szabályozás, és mérséklődnek a törvényi megfeleléshez kapcsolódó adminisztrációs és pénzügyi terhek.
Fontos eleme a DORA-nak, hogy új informatikai biztonsági elvárásokat is megfogalmaz. A pénzügyi intézményeknek szoftveres megoldásokkal rendszeresen tesztelniük kell saját digitális működési ellenállóképességüket, továbbá ők lesznek felelősek a számukra technológiai megoldásokat vagy szolgáltatásokat nyújtó harmadik felek - felhőszolgáltatók, fintech cégek stb. - kockázatkezelésének monitorozásáért is.
- A DORA két különálló részből áll. Az első a pénzügyi intézményekre összpontosít, míg a második a pénzügyi intézmények számára harmadik félként technológiai szolgáltatásokat nyújtó vállalatokkal kapcsolatban tartalmaz rendelkezéseket. Az elvárásrendszer figyelembe veszi a pénzügyi intézmény méretét, tevékenységeit, valamint üzleti profilját, és ezeknek megfelelően határozza meg, milyen informatikai kockázatkezelési elvárásoknak kell megfelelnie - fogalmaz Szöllősi Zoltán, a Deloitte IT kockázati tanácsadási csoportjának igazgatója.
A szabályozás a tagállamok felügyeleti szerveiből létrehoz egy közös, EU szintű felügyeleti bizottságot, ez nevezheti majd ki az egyes tagállami hatóságokat. A pénzügyi intézményeknek technológiai szolgáltatásokat nyújtó harmadik feleknek hozzáférést kell majd adniuk a tagállami hatóságnak a megfelelőségi vizsgálat elvégzéséhez szükséges információkhoz.
Az MNB már most komolyan veszi
A törvény fontos eleme, hogy a pénzintézeti felügyeleti szervek erős jogokat kapnak a DORA-nak megfelelés ellenőrzésére, illetve a szabálytalanságok szankcionálására. Akár pénzügyi bírsággal is sújthatják azt, aki nem tartja be a törvényben előírtakat, és súlyos szabálytalanságot észlelnek.
- A DORA-nak várhatóan elég nagy visszhangja lesz még a piacon, és az is elképzelhető, hogy az egyes tagországok felügyeleti szervei nem egyformán viszonyulnak a kérdéshez. Itthon azt látjuk, hogy az MNB már foglalkozik a témával különféle fórumokon, amiből arra következtethetünk, hogy a hazai felügyelet komolyan veszi majd a DORA-nak megfelelés ellenőrzését, illetve a hiányosságok szankcionálását - hangsúlyozza Szöllősi Zoltán.
Jóllehet a pénzügyi intézményeknek eddig is foglalkozniuk kellett a kiberbiztonsággal, a DORA bizonyos területeken konkrétabb és mélyebb elvárásokat fogalmaz meg. Szakértői vélemény szerint többek között a beszállítói kockázatkezelés és -monitoring az a rész, amely a jövőben a korábbiaknál nagyobb hangsúlyt kap. A bankoknak, biztosítóknak és brókercégeknek olyan megközelítést kell találniuk, amely megfelelő e feladatok elvégzésére. Ehhez egyrészt várhatóan újra kell tárgyalni az érintett szállítói szerződéseket, másrészt új, hatékonyan működő monitorozó eszközöket is be kell majd vezetni (vagy megfelelően át kell alakítani a meglévőket). Ez a változás mindenképpen érinti a pénzügyi intézményekkel kapcsolatban álló technológiai szolgáltatókat, illetve fintech cégeket is. Mivel a DORA az arányosság elvét alkalmazza, egy több ezer fős banki szervezettel szemben természetesen nem ugyanazokat az elvárásokat támasztja, mint például egy néhány fős fintech céggel szemben. Mivel a fintech cégekre jellemző a gyors növekedés, az arányossági elv értelmében esetükben a megfelelési elvárások rendszeres felülvizsgálata várható.
Fő érdem a harmonizáció
- Manapság a pénzügyi szolgáltatásokban több szereplő vesz részt, egyre több tevékenység a felhőszolgáltatókon keresztül zajlik. Elengedhetetlen, hogy e láncolat tagjai - a pénzügyi intézmények és a nekik infokommunikációs szolgáltatást nyújtók, így például a felhőszolgáltatók, a fintech cégek - egységes rendszert alkossanak, és a kiberbiztonság érdekében egységes kritériumrendszer vonatkozzon rájuk. A DORA plusz biztosítékot jelent a végfelhasználók védelmére. A fintech cégek ezt egyértelműen üdvözlik, hiszen az ügyfelek elégedettsége az ő érdekük is - fogalmaz Trinh Anh Tuan, az IVSZ Fintech Munkacsoportjának vezetője.
Jelenleg jellemzően arra panaszkodnak a cégek, hogy incidens esetén nagyon időigényes a riportok elkészítése, ahelyett, hogy magával a problémával foglalkoznának. Ezt a kedvezőtlen gyakorlatot kiküszöbölendő a készülő szabályozás megpróbálja optimalizálni a folyamatot, és a riportolás helyett inkább az incidens megelőzésére helyezi a hangsúlyt. - A fintech cégek üdvözlik ezt az irányt. Ugyanakkor a tesztekkel kapcsolatban szeretnénk tisztábban látni.
Pontosan meg kellene határozni, hogy mik a követelmények, milyen teszteket kell elvégezni, milyen vállalásokat kell tenni. Ez természetesen plusz munkát jelent az érintettek, így a fintech cégek számára is, de ha ez plusz biztosíték a végfelhasználók védelmére, akkor részünkről rendben van. A DORA életbe lépése egyébként nem fogja jelentősen módosítani a jelenlegi gyakorlatokat, elsődleges célja a tagországok jogszabályainak harmonizálása, és ez egyértelműen pozitív lépés - hangsúlyozza az IVSZ Fintech Munkacsoportjának vezetője.
Csillagászati költségek
A Cybersceurity Ventures jelentése szerint a globális kiberbűnözés számlájára írható költségek évente 15 százalékkal nőnek, és 2025-ben elérhetik a 10,5 billió dollárt. Hatalmas összegről van szó, de a számok önmagukban nem sokat mondanak. Fontosabb annak tisztázása, hogy milyen úton, hogyan történnek a kibertámadások. Az Európai Unió törvényhozói - szakértői közreműködéssel - felismerték, hogy a kibertámadások sok esetben egy külső szállító felől érkeznek. Amikor egy pénzügyi intézmény kapcsolatban áll egy felhőszolgáltatóval vagy technológiai szállítóval, sokszor azon keresztül jutnak be a támadók a bank adatbázisába, és szerzik meg a bizalmas pénzügyi és személyes adatokat. Az adatvédelem természetesen már régóta a köztudatban van (a GDPR is komoly lökést adott az információbiztonság fejlődésének), a bankok, biztosítók nagy súlyt fektetnek saját eszközeik és hálózataik védelmére.
Azzal azonban, hogy a rendszereikhez kapcsolódó külső eszközök, hálózatok mekkora kockázatot jelentenek rájuk nézve, kevésbé foglalkoztak. A DORA hatályba lépését követően nagyobb hangsúlyt kap ez a terület. Elképzelhető például, hogy a pénzügyi intézmények olyan tanúsítványokat kérnek majd technológiai beszállítóiktól, amelyek bizonyítják, hogy azok megfelelő információbiztonsági kontrollkörnyezetet működtetnek. A feladatok ily módon történő kiszervezése megkönnyítheti ugyan a bankok és biztosítók dolgát, a felelősség azonban természetesen továbbra is az övék marad.