A Magyar Bankszövetség és a Kürt Zrt. szakemberei közös eszmecserére invitálták a pénzintézetek informatikai vezetőit azzal a változással kapcsolatban, amelyet a Magyar Nemzeti Bank (MNB) október közepén hozott rendelete okoz.

Vége a jó világnak ■ Az MNB 2012. július 1-től arra kötelezi a hazai pénzintézeteket, hogy a belföldi bankközi átutalás végrehajtásának jelenleg érvényes egynapos határidejét 4 órára rövidítsék. A döntés gazdasági szempontból nagyobb mozgásteret ad a vállalkozásoknak, míg a bankok kevesebb ideig „ülhetnek” az ügyfelek pénzén, így jelentős bevételtől esnek el.

Azonban az említett hátrányon kívül is akad jó pár gondja majd a pénzintézeteknek az átállással. Egyfelől nyilvánvaló többletterhet jelent a rendszerek felkészítése, ám az informatikai költségek növekedése mellett kiemelten fontos kérdés a változás biztonsági kockázatainak elemzése és kezelése is.

Veszélyes üzem a bankbiztonság ■ Mint azt az MTA székházában tartott megbeszélésen Jakab Péter, a Magyar Bankszövetség Bankbiztonsági Munkabizottságának vezetője, az MKB Bank Zrt. bankbiztonsági ügyvezető igazgatója elmondta: „egy bankban szinte minden adat védendő”. A szakember szerint a tapasztalatok azt mutatják, hogy a bizalmas információk elsősorban saját munkavállalók által kerülnek ki. Az adatszivárgás csatornái lehetnek a webes e-mail rendszerek, az azonnali üzenetküldő szoftverek, a webes feltöltő oldalak, vagy akár a szabványos kimenő levelek ismeretlen adattartalma is.

A konzultáción érintették a talán még nagyobb problémát jelentő nem szándékolt, azaz figyelmetlenség, tudatlanság, hanyagság miatt bekövetkező adatszivárgás, az information disclosure vagy információ kitakarás. A különböző üzleti dokumentumok ellenőrizetlen meta-adatai, a vállalatok által publikált üzleti jelentések, statisztikák, az internetes rendszerek nem megfelelően kontrollált hibaüzenetei mind, mind tárházát jelentik az emberi erőforrásokkal vagy automatizált robothálózatokkal végzett támadásokhoz szükséges információknak.

Tesztelési kockázatok ■ Az információbiztonság megfelelő szintje a jövőben a vállalatok sikerének mércéje is lehet, hiszen az adatok megőrzésének képessége az ügyfél bizalmát is növeli – vélekedett Frész Ferenc, a Kürt Zrt. stratégiai üzletág-fejlesztési vezetője. Ugyanő arról is beszélt, hogy a pénzügyi vállalatok közelgő, jelentős IT-fejlesztési projektjei megnövelhetik a rendszerek sebezhetőségét. Ennek oka a minőségbiztosítási hiányosságok mellett az, hogy a fejlesztés során alkalmazott rendszerek kevésbé védettek, mint az üzleti folyamatokat kiszolgáló informatika, ugyanakkor gyakran éles adatokkal történik a tesztelés.

Az információbiztonság, azon belül is az adatszivárgás kezelése a rendszerek fejlesztésekor ezért különösen akut probléma, és gyakran háttérbe szorul a költséghatékonyság és a szoros határidők betartásának kényszere miatt. Nincs ez másként most sem, hiszen az említett rendelet értelmében jövő ilyenkor már tesztelni kell az új IT-megoldásokat.

Csökkenteni lehet, felszámolni nem ■ A Kürt szakemberei a fenti pontokba gyűjtötték ajánlásaikat, de fontosnak tartották kiemelni, hogy a fenyegetettségeket csak csillapítani lehet, teljesen megszüntetni lehetetlen. A reális cél csakis a fenyegetettségek elfogadható, kockázatarányos mértékűre való csökkentése lehet.

„A szükséges védelmi intézkedések mindegyikére jellemző, hogy nem egyedi akcióként, hanem folyamatos, menedzsment jellegű tevékenységként kell őket beilleszteni a szervezetek mindennapi életébe. Ilyen feladatok a sérülékenység-menedzsment, a felhasználók információbiztonsági tudatosságának menedzselése (oktatások, tréningek), a log-menedzsment és természetesen a jogosultsági, azonosítási rendszerek és az adatvagyon menedzsmentje” – mondta a pénzügyi szféra IT vezetőinek tartott szakmai fórumon Frész Ferenc.