A COVID világjárvány felgyorsította a digitalizációt, , éppen ezért egyáltalán nem mindegy, hogy ez a kibertér mennyire biztonságos. A Világgazdasági Fórum éves globális gazdasági rangsorában egyre előrébb sorolódnak a fenyegetések: míg 2015-ben[1] az adatlopás és kiberkémkedés kockázata a 9. és 10. legvalószínűbb nagykockázat volt a világon, addig a 2019-es jelentésben[2] már a 4. és 5. helyen, szerepeltek, és ezt a pozíciót legfrissebb[3] jelentésben is tartják ezek a kockázatok. Az online térbenelkövetett bűnözése egyre jelentősebb gazdasági károkozó. 2016-os adatok[4] szerint a kiberbűnözés okozta kár mértéke a világon eléri az évi 5.500.000.000.000 dollárt, amely az Egyesült Államok mintegy másfél éves szövetségi költségvetésének megfelelő összeg. A Center for Strategic and International Studies elemzése alapján a kár nagysága ma az éves globális GDP közel 1 százalékára tehető és ez az érték sajnos folyamatosan növekszik.[5] A nemzetközi trend tehát az, hogy a kiberbűnözés komoly mértekben fenyegeti a gazdaságot. Ezt felismerve a Magyar Nemzeti Bank számos ajánlást fogalmazott meg annak érdekében, hogy a hazai pénzügyi szektort e károk kivédésére felkészítse, a meglévő védelmi rendszereiket erősítse.
Ezek közül legfontosabb a 8/2020. (VI.22.) számú ajánlás[6] az informatikai rendszer védelméről, mely átfogó képet és segítséget ad a pénzügyi szervezetek részére a jogszabályi megfeleléshez, az informatikai biztonság megteremtéséhez, fejlesztéséhez azáltal, hogy az informatikai tevékenység szervezését, tervezését dokumentálását strukturált formába tereli. Fontos felhívni a figyelmet arra, hogy a pénzintézetek tekintetében nincs különbség, hogy azok informatikai rendszereit saját maguk, vagy valamilyen külső szolgáltató közreműködésével üzemeltetik, az előírásoknak való megfelelés biztosítása minden esetben a szervezet felelőssége. Annak érdekében, hogy az informatikai rendszerek felkészültek legyenek a kiberbűnözök irányából érkező fenyegetésekkel szemben, a pénzügyi szervezeteknek gondoskodniuk kell az az informatikai rendszer kockázatokkal arányos védelméről. A kockázatelemzésnek ki kell térnie az informatikai vállalatirányításra, annak szabályozására, a tervezésre, a fejlesztésre és beszerzésre, valamint az üzemeltetésre is. A feltárt kockázatokat indokolt védelmi intézkedésekkel kell a lehető legkisebb mértékűre csökkenteni. Egy ilyen, szükség szerint, de legalább két évente megismétlendő kockázatelemzés komplex kihívás az érintettek részére, hiszen megfelelő módszertant kell alkalmazni, azt dokumentáltan végrehajtani, feltárva a kritikus, védendő, erősítendő folyamatokat, de ne feledjük, a tét sem kicsi!
Az érintett intézmények kritikus informatikai környezetére vonatkozó informatikai biztonsági helyzetkép kialakítása, és a kockázatfelmérési jelentés dokumentum elkészítése komoly szakértelmet, szakembergárdát igénylő folyamat, melyben a Kürt Zrt. és az általuk fejlesztett SeCube GRC[7] alkalmazás kiváló segédeszköz, nélkülözhetetlen mankó!
A kockázatfelmérés során azonosított és osztályozott veszélyek kezelésére dokumentált és elfogadott intézkedési tervet kell készíteni, rögzítve többek közt azokat a kockázatokat, amelyeket az intézmény nem kezel, dokumentáltan felvállal. Természetesen nem vállalható fel jogszabályi rendelkezések, vagy hatósági előírások megsértésével, be nem tartásával járó kockázat. Az intézkedési tervben konkrét, a feltárt kockázatokhoz egyértelműen hozzárendelt, azok mértékét érdemben csökkentő feladatokat kell meghatározni, megállapítva ezek erőforrás igényeit, ütemezve ezek végrehajtását. A kockázatfelmérés és kezelés támogatására, folyamatos követésére és riportálására a SeCube GRC szoftver kiválóan alkalmas eszköz.
Az átfogó, informatikai védelemmel kapcsolatos 8/2020. (VI.22.) számú ajánlást követően a fizikai védelmi követelményekről, illetve kiemelten a humán kockázatokról az MNB egy külön ajánlást is közzétett, a pénzügyi szervezetek működésének fizikai biztonsági és humánkockázatkezelési feltételeiről szóló 11/2020. (X.20.) számú ajánlás[8] formájában. Az ajánlás kapcsán az MNB elvárja, hogy amennyiben a pénzügyi szervezet az ajánlásban foglaltaknak aktuálisan nem felel meg, dolgozzon ki intézkedési tervet arra vonatkozóan, hogy milyen ütemezésben kívánja biztonsági előírásait és gyakorlatát fejleszteni. Elvárt, hogy a pénzügyi szervezet a kidolgozott intézkedési tervet 2021. március 31-ig küldje meg az MNB részére.
Tekintettel arra, hogy a járványügyi helyzet megkövetelte a rugalmasabb munkavégzési formák bevezetését – a „home office” kiterjesztését – az MNB gyorsan reagálva az igényekre, a biztonságot szem előtt tartva egy újabb, a 12/2020. (XI.6.) számú[9], a távmunka és távoli hozzáférés informatikai biztonsági követelményeiről szóló ajánlást adott ki. Az ajánlás célja a távmunka és távoli hozzáférés informatikai biztonsági követelményeivel kapcsolatban az MNB elvárásainak rögzítése, és ezzel a jogalkalmazás kiszámíthatóságának növelése, a vonatkozó jogszabályok egységes alkalmazásának elősegítése és az innovációk támogatása. Fontos rögzíteni, hogy ez az ajánlás, mindazon személyekre vonatkozik, függetlenül attól, hogy munkavállalóként, vagy egyéb szerződéses jogviszony keretében férnek hozzá a pénzügyi intézmény: számukra szükséges biztosítani a megfelelő tárgyi és technikai feltételeket a biztonsági követelményeket betartó kapcsolódás érdekében. A távmunka során használt informatikai megoldásoknak természetesen meg kell felelni az összes biztonsági követelménynek, a kockázatelemzésnek erre is ki kell terjednie.
Jelen ajánlások, a vonatkozó jogszabályi előírásokkal kiegészítve igyekeznek a pénzügyi szervezetek informatikai rendszereinek, kapcsolódásainak biztosításáról gondoskodni. A vonatkozó biztonsági előírások, követelmények teljesítésének ellenőrzéséhez, javasolt külső szakértői segítséget, célzott alkalmazásokat igénybe venni, mint amilyen a Kürt Zrt. SeCube GRC szoftvere, hiszen annak Compliance moduljában[10] az MNB ajánlásai beépítésre[11] kerültek, ezáltal integráltan végrehajtható és követhető az ezeknek való megfelelés vizsgálatok és intézkedési tervek. A megjelenés előtt álló új RISK modulunkban újdonságként már több szálon futó eltérő jellegű például IT biztonsági, humán erőforrás és fizikai kockázatelemzések is végrehajthatók és integrálva menedzselhetők, amely jelentősen megkönnyíti a vállalati kockázatelemzési feladatok ellátását, innentől kezdve pedig csak a szervezeten múlik, mennyire gyorsan és hatékonyan felel meg a biztonsági kihívásoknak, illetve az MNB ajánlásainak, szolgálva ezzel a saját, és ügyfeleik érdekét.
– Csehi Gábor
IT GRC szakértő
[1] WEF (2015): Global Risk 2015 – Insight Report. http://www3.weforum.org/docs/WEF_Global_Risks_2015_Report15.pdf
[2] WEF (2019): Global Risk 2019 – Global Risk 201 – Insight Report. http://www3.weforum.org/docs/WEF_Global_Risks_Report_2019.pdf
[3] WEF (2021): Global Risk 2021 – Global Risk 2021 – Insight Report. http://www3.weforum.org/docs/WEF_The_Global_Risks_Report_2021.pdf
[4] CyberCrime Magazine: https://cybersecurityventures.com/hackerpocalypse-cybercrime-report-2016/
[5] CSIS (2018): Economic impact of cybercrime. https://www.csis.org/analysis/economic-impact-cybercrime
[6] https://www.mnb.hu/letoltes/8-2020-informatikai-rendsz-vedelmerol.pdf
[8] https://www.mnb.hu/letoltes/11-2020-biztonsagi-ajalnlas.pdf
[9] https://www.mnb.hu/letoltes/12-2020-tavmunka-ajanlas.pdf
[10] https://www.secube.hu/a-secube-felepitese/
[11] https://www.secube.hu/valaszok-a-kihivasokra/
