Majdnem pontosan egy évvel ezelőtt számoltunk be arról az időközben elfogadott és a tagállamokra nézve kötelező uniós direktíváról (Network and Information Security Directive), amely összeurópai szinten kívánja szabályozni a hálózati és információs rendszerek biztonságát. A Reuters most brüsszeli forrásaira hivatkozva arról számolt be, hogy az Európai Unió a bankok védelmi képességeinek átfogó tesztelését vizsgálja az esetleges kibertámadások ellen, miután az utóbbi években egyre növekszik a pénzintézeteket érintő incidensek száma. Ennek nyomán a globális szabályozás is szigorodott, mégis tény, hogy a bankokat egyre több és egyre komplexebb kibertámadás célozza.

Tavaly például elhíresült eset volt, amikor a minden bzonnyal észak-koreai hackerek a bankok közti elszámolást bonyolító SWIFT rendszeren keresztül a bangladesh-i központi bankból lenyúltak 81 millió dollárt – az pedig csak egy elütésnek volt köszönhető, hogy nem 900 millió lett a számla vége, mivel az egyik utalást szerencsére egy partnerbank visszaküldte egyeztetésre.

A fokozott fenyegetettséget a hírügynökség szerint a SWIFT is elismeri az ügyfeleinek küldött novemberi tájékoztatójában, de erre utal mondjuk a Tesco banki szolgáltatásokat nyújtó szervezetének novemberi esete is, ahol a hackerek 9 ezer ügyféltöl összesen 2,5 millió fontot emeltek el. Ez nem mellesleg a fiókok legelső sikeres, tömeges feltörése volt egy nyugati pénzintézetnél.

Az Európai Bankhatóság (EBA) decemberi figyelmeztetése már egyenesen úgy fogalmaz, hogy a bankoknak nem sikerül demonstrálniuk, hogy képesek volnának lépést tartani az adataikat és kritikus rendszereiket célzó támadások növekvő kockázataival. A Reuters forrásai erre hivatkozva arról beszélnek, hogy az EU-s szabályozók már egy uniószerte alkalmazható stresszteszt lehetőségeit vizsgálják, így ösztönözve a biztonsági készségek fejlesztését.

Új technológiák és együttműködés

Az EB állítólag több, a kibertámadások ellen irányuló kezdeményezésen is dolgozik, így a behatolásokat szimuláló vagy a rendszerek hibatűrő képességét értékelő tesztek mellett fontos szerepet szánnak a kiberfenyegetésekkel kapcsolatos információk megosztására is. Noha az Európai Központi Bank már tavaly bejelentette, hogy adatbázist készít az euróövezet 19 országának pénzintézeteit érő incidensekről, a nemzeti hatóságok közötti információáramlás a Bizottság szerint a mai napig eléggé hiányos.

Az uniós stresszteszt a Reuters forrásai szerint nem helyettesítené, hanem kiegészítené azokat az ellenőrzéseket, amelyeket az egyes tagállamok saját hatáskörben végeznek. Az EBA minen bizonnyal a nyáron fog előállni az intézkedések részleteivel, amelyeket először 2018 közepén ültetnének át a gyakorlatba.

Az EBA megfogalmazása alapján az európai bankok "rugalmatlan és túlhaladott" digitális infrastruktúrára támaszkodnak, így az uniós szabályozók azokat az új technológiákat is vizsgálják, amelyek bevezetése a biztonság érdemi javulását eredményezheti. Ezek között szerepel a blockchain is, amellyel kapcsolatban érdemes megjegyezni, hogy az ezen a területen működő startup cégekbe már több mint 1 millárd eurónak megfelelő összeget invesztáltak.

A blockchain az Unió hálózati és információbiztonsági ügynöksége, az ENISA jelentése alapján mindenképpen tartogat lehetőségeket, nem beszélve a technológia révén elérhető megtakarításokról – hozzátéve, hogy a decentralizált hálózat új fajta biztonsági kihívásokat is a felszínre hoz.