Az ellenséges cselekedeteken felül a tradicionális üzemzavarok következményei adják a legjelentősebb kiberbiztonsági kockázatot a hazai pénzügyi intézmények oldalán – derül ki a jegybank legfrissebb kiadványából. A kibertámadások megelőzése, az informatikai rendszerek fejlesztése és ezek lecserélésének hatékony szervezése, valamint – a kiberbűncselekmények gyakori alanyai – a banki ügyfelek pénzügyi tudatosságának és ismereteinek elmélyítése is hozzájárulhat az ilyen jellegű sikeres támadások csökkentéséhez.
A kiberbiztonság jelenségének megismerése
A Magyar Nemzeti Bank minden évben kiadja jelentését a „A magyar pénzügyi szektor kiberfenyegetettségi térképe 2022” címmel, aminek legfrissebb száma december közepén jelent meg. A jelentés legfőbbképp a pénzpiaci szereplőket célzó
- kiberbiztonsági fenyegetésekre,
- a támadások trendjeire, jellemzőire,
- a magyar pénzügyi piacok szereplői által elszenvedett bűnügyi eseteire fókuszál.
Magyarországon hiánypótlónak számít a jelentés, hiszen ez az első olyan átfogó tanulmány, ami a kiberbiztonsági-kockázati tényezőket veszi alaposabban górcső alá.
Az MNB a jelentés elkészítését megelőzően egy több mint egy éves projektet futtatott végig az Európai Bizottság Strukurálisreform-támogatási Főigazgatósága pályázati támogatásával, valamint az Ernst & Young Consulting Ltd. szakmai asszisztenciájával. A próbaprojekt 2022. február 1. és június 31. között zajlott, amelynek részeként a jegybank a támadásos esetek adatait gyűjtötte össze és elemezte. Az elemzés alapjául szolgáló információkat összesen 39 intézmény biztosította, ami között szerepelt 5 bank, 12 biztosító és 10 pénztár is.
Hogyan növelhető a kiberbiztonság?
A jelentésben foglaltak szerint a hazánkban működő pénzügyi rendszer biztonságosnak tekinthető, viszont több olyan jellegű kibertámadással kell számolni – főként adathalászat formájában -, amelyek a banki ügyfelekre irányulnak. Az ilyen típusú támadásra a bank oldalán és az ügyfeleknek egyaránt fel kell készülni: a bankoknak a technikai védelmet kell biztosítani, míg az ügyfelek részéről pedig fontos saját pénzügyi tudatosságuknak fejlesztése. Az utóbbit szolgálja a KiberPajzs elnevezésű kezdeményezés is.
Az elemzésből kiderül az is, hogy a hazai hitelintézeteknek és pénzügyi vállalkozásoknak késleltetve, néhány hónap elteltével kell megküzdeni a nemzetközi szinten jelentkező kiberkockázatokkal. Ebből kifolyólag érdemes tisztában lenni a nemzetközi támadások újabb és újabb formáival, hiszen ezek bár kis késéssel, de Magyarországra is begyűrűznek. Ugyanakkor az időbeli csúszás miatt lehetőségünk van ezekre előzetesen felkészülni.
Az unió kiberbiztonságához nagyban hozzájárulhat az EU digitális pénzügyi csomagjának részeként tervezett digitális ellenállóképességi rendelet (DORA). A rendelettervezet célja, hogy a pénzügyi rendszer szereplői rendelkezzenek megfelelő biztosítékkal a kibertámadások és az IKT kockázatok csökkentéséhez.
Mik a tapasztalatok?
Az Európai Uniós Kiberbiztonsági Ügynökség (ENISA) kutatása szerint Európában a korábbi arányokhoz viszonyítva lényegesen nőtt:
- a megtévesztésen alapuló kibertámadások,
- az adatokkal és az ellátási láncokkal szembeni zsarolások,
- az intézmények rendelkezése állása elleni (terheléses, DDoS) bűncselekmények aránya.
A felmérés szerint zsarolóvírusos, a rosszindulatú programokhoz kapcsolódó, a félreinformáló vagy a rendelkezése állást fenyegető kiberagresszió részaránya nem változott európai szinten.
A pilot program tapasztalatai szerint a vizsgálat időtartama alatt feljegyzett események jelentős része, 70%-a kisebb jelentőségű (nem kritikus minősítésű) üzemzavar volt a hazai pénzügyi intézmények körében. Ezt követi 23%-os arányával a rosszindulatú tevékenység és a visszaélés, 3%-kal a szándékos fizikai támadások (pl. eltulajdonított telefon, laptop), szintén 3%-kal az információs technológiai eszközök nem szándékos sérülékenysége, végezetül pedig 1%-os arányban a kimaradások és szünetek részaránya.
A felmérés eredményei szerint a pénzügyi intézményeknek nem elegendő kizárólag a kibertámadásokra felkészülni, hanem fontos az üzemzavarok előzetes kiküszöbölése is, hiszen ezáltal érhető el a kiberbiztonság. Ugyanakkor azokban a hónapokban, amikor az intézmények kevesebb IT-rendszerrel kapcsolatos fejlesztést vagy frissítést eszközölnek, lényegesen csökkent a működést érintő események száma. A kiadvány hangsúlyozza, hogy az üzemzavar elkerülésének kiemelten lényeges eleme az elővigyázatos változásmenedzsment.