A SeCube segít az MNB ajánlásoknak való megfelelésben

A SeCube segít az MNB ajánlásoknak való megfelelésben

A COVID világjárvány felgyorsította a digitalizációt, , éppen ezért egyáltalán nem mindegy, hogy ez a kibertér mennyire biztonságos. A Világgazdasági Fórum éves globális gazdasági rangsorában egyre előrébb sorolódnak a fenyegetések: míg 2015-ben[1] az adatlopás és kiberkémkedés kockázata a 9. és 10. legvalószínűbb nagykockázat volt a világon, addig a 2019-es jelentésben[2] már a 4. és 5. helyen, szerepeltek, és ezt a pozíciót legfrissebb[3] jelentésben is tartják ezek a kockázatok. Az online térbenelkövetett bűnözése egyre jelentősebb gazdasági károkozó. 2016-os adatok[4] szerint a kiberbűnözés okozta kár mértéke a világon eléri az évi 5.500.000.000.000 dollárt, amely az Egyesült Államok mintegy másfél éves szövetségi költségvetésének megfelelő összeg. A Center for Strategic and International Studies elemzése alapján a kár nagysága ma az éves globális GDP közel 1 százalékára tehető és ez az érték sajnos folyamatosan növekszik.[5] A nemzetközi trend tehát az, hogy a kiberbűnözés komoly mértekben fenyegeti a gazdaságot. Ezt felismerve a Magyar Nemzeti Bank számos ajánlást fogalmazott meg annak érdekében, hogy a hazai pénzügyi szektort e károk kivédésére felkészítse, a meglévő védelmi rendszereiket erősítse.

Ezek közül legfontosabb a 8/2020. (VI.22.) számú ajánlás[6] az informatikai rendszer védelméről, mely átfogó képet és segítséget ad a pénzügyi szervezetek részére a jogszabályi megfeleléshez, az informatikai biztonság megteremtéséhez, fejlesztéséhez azáltal, hogy az informatikai tevékenység szervezését, tervezését dokumentálását strukturált formába tereli. Fontos felhívni a figyelmet arra, hogy a pénzintézetek tekintetében nincs különbség, hogy azok informatikai rendszereit saját maguk, vagy valamilyen külső szolgáltató közreműködésével üzemeltetik, az előírásoknak való megfelelés biztosítása minden esetben a szervezet felelőssége. Annak érdekében, hogy az informatikai rendszerek felkészültek legyenek a kiberbűnözök irányából érkező fenyegetésekkel szemben, a pénzügyi szervezeteknek gondoskodniuk kell az az informatikai rendszer kockázatokkal arányos védelméről. A kockázatelemzésnek ki kell térnie az informatikai vállalatirányításra, annak szabályozására, a tervezésre, a fejlesztésre és beszerzésre, valamint az üzemeltetésre is. A feltárt kockázatokat indokolt védelmi intézkedésekkel kell a lehető legkisebb mértékűre csökkenteni. Egy ilyen, szükség szerint, de legalább két évente megismétlendő kockázatelemzés komplex kihívás az érintettek részére, hiszen megfelelő módszertant kell alkalmazni, azt dokumentáltan végrehajtani, feltárva a kritikus, védendő, erősítendő folyamatokat, de ne feledjük, a tét sem kicsi!

Az érintett intézmények kritikus informatikai környezetére vonatkozó informatikai biztonsági helyzetkép kialakítása, és a kockázatfelmérési jelentés dokumentum elkészítése komoly szakértelmet, szakembergárdát igénylő folyamat, melyben a Kürt Zrt. és az általuk fejlesztett SeCube GRC[7] alkalmazás kiváló segédeszköz, nélkülözhetetlen mankó!

A kockázatfelmérés során azonosított és osztályozott veszélyek kezelésére dokumentált és elfogadott intézkedési tervet kell készíteni, rögzítve többek közt azokat a kockázatokat, amelyeket az intézmény nem kezel, dokumentáltan felvállal. Természetesen nem vállalható fel jogszabályi rendelkezések, vagy hatósági előírások megsértésével, be nem tartásával járó kockázat. Az intézkedési tervben konkrét, a feltárt kockázatokhoz egyértelműen hozzárendelt, azok mértékét érdemben csökkentő feladatokat kell meghatározni, megállapítva ezek erőforrás igényeit, ütemezve ezek végrehajtását. A kockázatfelmérés és kezelés támogatására, folyamatos követésére és riportálására a SeCube GRC szoftver kiválóan alkalmas eszköz.

Az átfogó, informatikai védelemmel kapcsolatos 8/2020. (VI.22.) számú ajánlást követően a fizikai védelmi követelményekről, illetve kiemelten a humán kockázatokról az MNB egy külön ajánlást is közzétett, a pénzügyi szervezetek működésének fizikai biztonsági és humánkockázatkezelési feltételeiről szóló 11/2020. (X.20.) számú ajánlás[8] formájában. Az ajánlás kapcsán az MNB elvárja, hogy amennyiben a pénzügyi szervezet az ajánlásban foglaltaknak aktuálisan nem felel meg, dolgozzon ki intézkedési tervet arra vonatkozóan, hogy milyen ütemezésben kívánja biztonsági előírásait és gyakorlatát fejleszteni. Elvárt, hogy a pénzügyi szervezet a kidolgozott intézkedési tervet 2021. március 31-ig küldje meg az MNB részére.

Tekintettel arra, hogy a járványügyi helyzet megkövetelte a rugalmasabb munkavégzési formák bevezetését – a „home office” kiterjesztését – az MNB gyorsan reagálva az igényekre, a biztonságot szem előtt tartva egy újabb, a 12/2020. (XI.6.) számú[9], a távmunka és távoli hozzáférés informatikai biztonsági követelményeiről szóló ajánlást adott ki. Az ajánlás célja a távmunka és távoli hozzáférés informatikai biztonsági követelményeivel kapcsolatban az MNB elvárásainak rögzítése, és ezzel a jogalkalmazás kiszámíthatóságának növelése, a vonatkozó jogszabályok egységes alkalmazásának elősegítése és az innovációk támogatása. Fontos rögzíteni, hogy ez az ajánlás, mindazon személyekre vonatkozik, függetlenül attól, hogy munkavállalóként, vagy egyéb szerződéses jogviszony keretében férnek hozzá a pénzügyi intézmény: számukra szükséges biztosítani a megfelelő tárgyi és technikai feltételeket a biztonsági követelményeket betartó kapcsolódás érdekében. A távmunka során használt informatikai megoldásoknak természetesen meg kell felelni az összes biztonsági követelménynek, a kockázatelemzésnek erre is ki kell terjednie.

Jelen ajánlások, a vonatkozó jogszabályi előírásokkal kiegészítve igyekeznek a pénzügyi szervezetek informatikai rendszereinek, kapcsolódásainak biztosításáról gondoskodni. A vonatkozó biztonsági előírások, követelmények teljesítésének ellenőrzéséhez, javasolt külső szakértői segítséget, célzott alkalmazásokat igénybe venni, mint amilyen a Kürt Zrt. SeCube GRC szoftvere, hiszen annak Compliance moduljában[10] az MNB ajánlásai beépítésre[11] kerültek, ezáltal integráltan végrehajtható és követhető az ezeknek való megfelelés vizsgálatok és intézkedési tervek. A megjelenés előtt álló új RISK modulunkban újdonságként már több szálon futó eltérő jellegű például IT biztonsági, humán erőforrás és fizikai kockázatelemzések is végrehajthatók és integrálva menedzselhetők, amely jelentősen megkönnyíti a vállalati kockázatelemzési feladatok ellátását, innentől kezdve pedig csak a szervezeten múlik, mennyire gyorsan és hatékonyan felel meg a biztonsági kihívásoknak, illetve az MNB ajánlásainak, szolgálva ezzel a saját, és ügyfeleik érdekét.

– Csehi Gábor

IT GRC szakértő

 

 

 

[1] WEF (2015): Global Risk 2015 – Insight Report. http://www3.weforum.org/docs/WEF_Global_Risks_2015_Report15.pdf

[2] WEF (2019): Global Risk 2019 – Global Risk 201 – Insight Report. http://www3.weforum.org/docs/WEF_Global_Risks_Report_2019.pdf

[3] WEF (2021): Global Risk 2021 – Global Risk 2021 – Insight Report. http://www3.weforum.org/docs/WEF_The_Global_Risks_Report_2021.pdf

[4] CyberCrime Magazine: https://cybersecurityventures.com/hackerpocalypse-cybercrime-report-2016/

[5] CSIS (2018): Economic impact of cybercrime. https://www.csis.org/analysis/economic-impact-cybercrime

[6] https://www.mnb.hu/letoltes/8-2020-informatikai-rendsz-vedelmerol.pdf

[7] https://www.secube.hu/

[8] https://www.mnb.hu/letoltes/11-2020-biztonsagi-ajalnlas.pdf

[9] https://www.mnb.hu/letoltes/12-2020-tavmunka-ajanlas.pdf

[10] https://www.secube.hu/a-secube-felepitese/

[11] https://www.secube.hu/valaszok-a-kihivasokra/

 

 

 

 

 

 

 

KÜRT Csoport

Üdvözöljük oldalainkon, azonnali kapcsolatfvétel esetén a következő elérhetőségeket ajánljuk:

KÜRT Zrt.

1118 Budapest, Rétköz u. 5.

+36 1 424 6666
+36 1 228 5414
kurt(kukac)kurt.hu

Ügyélfogadási idők
Hétfő - Péntek 08:30 - 17:00

KUERT Datenrettung Deutschland GmbH

44787 Bochum Südring 23

0234 - 962 90 390
info @ kuert-datenrettung.de

Store Hours
Mon - Sun 09:00 - 18:00