Az MNB legújabb, 1/2025. (I.13.) számú szabályozása részletes iránymutatást ad a jogszabályi megfeleléshez és a kockázat alapú védelem kialakításához, ezzel is elősegítve a biztonságosan fenntartható, digitális pénzügyi rendszer működését, melynek ellenálló képességét az ITSecure MNB audit és felkészítés szolgáltatásával hitelt érdemlően ellenőrizheti.

Kockázatelemzés, szabályozás

Ahhoz, hogy a pénzügyi intézmények kiberbiztonságát szavatolni lehessen, szükség van egy átfogó IT-biztonsági stratégiára. A vállalat vezetőségének aktív szerepet kell vállalnia a vonatkozó biztonsági politikák kialakításában, biztosítva az infrastruktúra folyamatos fejlesztését és a munkaköri felelősségek pontos meghatározását, változásokhoz való igazítását. A belső szabályozásnak többek között tartalmaznia kell adatvédelmi előírásokat, incidenskezelési tervet, auditálási és megfelelési folyamatok előírásait.

Az IT-biztonság fenntartásához a rendszeres kockázatelemzés elengedhetetlen, mivel egy sikeres kibertámadás nemcsak anyagi veszteséget, hanem a reputáció sérülését is maga után vonhatja. Az intézményeknek ajánlott folyamatosan értékelni az IT-rendszereik biztonsági kockázatait, és ehhez igazítva frissíteniük kell a védelmi stratégiát.

Biztonságos fejlesztés, tesztelés, üzemeltetés

Mivel egyre gyakoribb, hogy a pénzügyi intézetek nagymértékben külső IT-szolgáltatókra támaszkodnak, ezért rendszeresen ellenőrizni kell az adott szolgáltató tanúsítványait, élni kell a szerződésben biztosított auditálási és ellenőrzési jogokkal. A fejlesztések során pedig alkalmazni kell a security by design elvet.

A rendszer biztonságos üzemeltetéséhez beléptetőrendszerekre, kamerás megfigyelésre és egyéb fizikai biztonsági mechanizmusok alkalmazására van szükség. A tűzfalakat megfelelően kell beállítani, illetve az adatkapcsolatok megfelelő titkosításáról is gondoskodni kell.

Az adatokat nemcsak támadás ellen, de szivárgással és egyéb meghibásodásokkal szemben is védeni kell. Ennek érdekében rendszeres adatmentésre van szükség, a mentett adatokat pedig független infrastruktúrákban kell tárolni.

A megfelelés szükségessége

A pénzügyi szektor kiberbiztonsági megfelelése nemcsak jogi kötelezettség, hanem az ügyfélbizalom megteremtésének és fenntartásának alapja is. Egy sikeres kibertámadás, gondatlanság miatt kialakult adatszivárgás vagy adatvesztés súlyos károkat okozhat, és visszavonhatatlanul rombolhatja az intézmény hírnevét.