DORA – Felkészülünk a kibertámadások ellen

Jelentős változást hozhat az EU új rendelete a pénzügyi szektorban. A kiberfenyegetettség ellen fellépő DORA szabályozásról Bucsai Balázst, a 4iG vezető információbiztonsági tanácsadóját kérdeztük.

Hamarabb hazhozná az uniós pénzeket egy Tisza-kormány, mint az Orbán-kormány?
Maradt még szövetségese Magyarországnak Európában?

Online Klasszis Klub élőben Szent-Iványi Istvánnal!
Vegyen részt és kérdezze Ön is a neves külpolitikai szakértőt!

2025. július 30. 15:30

A részvétel ingyenes, regisztráljon itt!

Az Európai Bizottság 2020 szeptemberében kezdte el kidolgozni a digitális ellenállóképességről szóló rendeletet, mellyel az uniós pénzügyi szolgáltatók körében kívánja mérsékelni a kibertámadásokból fakadó kockázatokat. Mit tartalmaz ez a rendelet?

A november 28-án hatályba lépett rendelet az európai pénzügyi szektor digitális működési ellenállóképességéről szól. A DORA (Digital Operational Resilience Act) az EU-n belül minden pénzügyi szektorban tevékenykedő szervezetére kiterjed, egy két fős fintech startuptól kezdve a nemzetközi bankokig bezárólag, a kockázatarányosság elvét alkalmazva.

A rendelet nem írja le a konkrét teendőket, ezeket a tagállamok informatikai felügyeletei – hazánkban a Magyar Nemzeti Bank (MNB) – határozzák meg. A jelenlegi MNB-ajánlásokat a szabályozás technikai standardjei (Regulatory Technical Standards, RTS) fogják felváltani.

A november 28-án hatályba lépett DORA szabályozás az európai pénzügyi szektor digitális működési ellenállóképességéről szól (Fotó: Depositphotos)
A november 28-án hatályba lépett DORA szabályozás az európai pénzügyi szektor digitális működési ellenállóképességéről szól (Fotó: Depositphotos)

Milyen Magyarországon a kibervédelmi szabályozás?

Az Európai Unióban sok intézmény nyújt pénzügyi szolgáltatásokat, a tagállamok azonban eltérően szabályozzák a pénzügyi piaci szereplők IT-biztonsággal és kiberbiztonsággal kapcsolatos kötelezettségeit. A szabályozási rendszer és az ellenőrzések mélysége egyes országokban kiemelkedőek, ilyen Magyarország is. Az MNB rendszeresen frissíti az ajánlásokat, amelyek alapján elvárja a hazánkban működő pénzügyi szolgáltatók támadások elleni felkészültségét. Több uniós országban azonban nincs bevett gyakorlat, illetve sokkal gyengébb a szabályozás: sem törvényi, sem a helyi központi banki ajánlásokban nem alakítottak ki megfelelő szabályozási környezetet, valamint az ellenőrzés több helyen kívánnivalókat hagy maga után.

A DORA-t a szabályozói környezet eltéréseinek mérséklése céljából hozták létre, azáltal, hogy egységes elvárásrendszert alakít ki az uniós pénzügyi szolgáltatókkal (bankokkal, biztosítókkal, takarékpénztárakkal, tőzsdei befektetési szolgáltatókkal stb.) szemben. A cél tehát az, hogy az Európai Unióban minden pénzügyi szolgáltató egyformán képes legyen kiberbiztonsági támadásokat elhárítani, illetve a kiberfenyegetésekből származó kockázatokat kezelni.

Szükség van a DORA-ra, vagy már korábban is jól működött az uniós szabályzás?

Jelentős előrelépés a DORA, mivel megszünteti a digitális ellenállóképesség szabályozásának töredezettségét és egységesedik a pénzügyi szolgáltatások kibervédelme. Közel azonos biztonsági szintre lehet majd hozni az EU-ban az összes pénzügyi szereplő digitális ellenálló képességét, ami az egész uniós pénzügyi rendszert ellenállóbá teheti a kibertámadásokkal szemben.

Az MNB ajánlásokhoz képest milyen új kontrollokat vezet be a DORA?

A kockázat menedzsment, az incidens jelentés, a digitális ellenállóképesség tesztelése és a harmadik fél kockázat-menedzsmentje már most is részét képezik az MNB előírásainak. Néhány esetben a jelenlegi elvárások szigorúbbak, például a tesztelésre a DORA három éves előírásához képest nálunk szigorúbb, évenkénti penetrációs tesztet ír elő az MNB ajánlás. Amit a DORA elvár, azt nagyrészt az MNB is elvárta eddig. Az információmegosztás viszont új elemként jelenhet meg a magyar szabályzásban is.

A DORA bizonyos területeken várhatóan egyszerűsíti a pénzügyi szolgáltatók helyzetét – például az incidens bejelentés folyamatát. Az incidenseket eddig is jelenteni kellett az MNB informatikai felügyeletének, pénzforgalmat érintő esetekben azonban külön csatornán és külön riportot kell küldeni a  pénzforgalmi területek részére. Amennyiben egy pénzintézet valamely informatikai rendszere miatt kritikus infrastruktúra részét képezi, akkor az incidenst jelentenie kell a Nemzeti Kibervédelmi Intézetnek is. Személyes adatok érintettsége esetén a NAIH (Nemzeti Adatvédelmi és Információszabadság Hatóság) felé is él a bejelentési kötelezettség. Mindezeken túl a negyedévek végén egy összefoglalót is küldeni kell az MNB Informatikai Felügyelet részére az incidensekről. A folyamat várhatóan egyszerűsödik, a pénzintézeteknek elég lesz egy helyre bejelenteni az eseményt, és ezt dolgozza fel az összes, előbb felsorolt hatósági szereplő. Az MNB által kiadott szabályozástechnikai standard (RTS ) fogja tartalmazni az incidensek jelentésének részletszabályait.

Milyen típusú kibertámadások találhatóak a szabályozásban?

A támadási formák nemcsak pénzintézetekre vonatkoznak, hiszen bármilyen informatikai rendszert érhet kibertámadás. Ezek veszélyeztethetik magát a szervezetet, az informatikai infrastruktúrát, vagy akár egyszerre mindkettőt. Ha valaki információt szeretne gyűjteni, akkor elsősorban a szervezetet veszi célba kéretlen levelekkel, adathalász támadásokkal. Ilyenkor gyakran egy kiszemelt csoportot vagy egyes személyeket szólítanak meg a támadás során. Az informatikai rendszer elleni támadást jellemzően valamilyen szolgáltatás ellen hajtják végre, azaz valamilyen leállást próbálnak meg kikényszeríteni, például túlterheléses támadással, így a szolgáltatás nem lesz elérhető az ügyfelek számára. Egy netbank leállása jelentős reputációs veszteséget tud okozni egy bank számára.

Természetesen a kétféle támadás össze is köthető: egy nemkívánt levéllel, megfelelő tartalommal kártevőt vagy nem kívánt programot juttathatnak a felhasználókon keresztül a pénzintézet informatikai rendszerébe, amellyel később akár a teljes informatikai infrastruktúrát tudják támadni. Pénzügyi szolgáltatókat és más szervezeteket egyaránt érhet támadás, a kettő közötti eltérést elsősorban a pénzügyi szervezeteknél kezelt adatok mennyisége és kényessége adja. Emiatt jellemzően nagyobb intenzitással támadják a pénzintézeteket. A személyes adatok, a bankkártya-adatok és különösen a bankszámlákhoz való hozzáférést biztosító adatok értékesek, ezért elsősorban bankok állnak a kiberbűnözők középpontjában.

Milyen szolgáltatásokkal segíti a 4iG a kibertámadások elhárítását?

A 4iG tanácsadási és felkészítési szolgáltatásokkal, belső szabályozás harmonizációjával segíti ügyfeleit a compliance területén. A tesztelési szolgáltatáscsomag penetrációs tesztből, sérülékenység vizsgálatokból, valamint szimulált támadásokból áll, ezekkel a DORA implementálásával kapcsolatos MNB vizsgálatokon való megfelelésre is felkészítjük a partnereinket. A szabályozás technikai standardjait még nem alakította ki a jegybank, így a pontos folyamatokról csak ezek ismeretében lesz több információnk. A 4iG szolgáltatásai ugyanakkor valószínűleg módosulnak majd az RTS-ek kiadását követően. Mivel a 4iG harmadik félként szerepel egyes pénzügyi szolgáltatásokban, ezért nekünk is fel kell készülnünk a DORA-nak való megfelelésre.

 

Véleményvezér

Hűtlen kezeléssel vádolja Pokorni Zoltán volt fideszes polgármestert utóda

Hűtlen kezeléssel vádolja Pokorni Zoltán volt fideszes polgármestert utóda 

Pokorni Zoltán annak idején kéz levágást ígért azoknak, akik lopnak.
Az Orbán-kormányt gyanúsítják a kárpátaljai templom elleni támadással

Az Orbán-kormányt gyanúsítják a kárpátaljai templom elleni támadással 

Orosz-magyar közös titkosszolgálati akció?
A kárpátaljai templom elleni támadás mögött az orosz titkosszolgálat is állhat

A kárpátaljai templom elleni támadás mögött az orosz titkosszolgálat is állhat 

Gyanús körülmények a kárpátaljai templom felgyújtási kísérlete körül.
Ursula elküldte a selyemzsinórt Orbán Viktornak

Ursula elküldte a selyemzsinórt Orbán Viktornak 

Az orbáni hintapolitikát megelégelték az európai nagyhatalmak.
Orbán Viktor megírná Brüsszel helyett az unió költségvetését

Orbán Viktor megírná Brüsszel helyett az unió költségvetését 

Drukkolunk Orbán Viktornak, hogy jobb költségvetést írjon Brüsszelnél.

Info & tech

Cégvezetés & irányítás

Piac & marketing


Magyar Brands, Superbrands, Bisnode, Zero CO2 logo