A törvényhozásnak magasabb illetékeket kell biztosítania bankok számára, ha azoknak több erőforrásra van szüksége az informatikai rendszerek megerősítésére, és mérlegelni kell a felhőszolgáltatókra vonatkozó újabb szabályozások lehetőségét is, figyelembe véve, hogy a Microsoftnál, a Google-nél, az Amazonnál vagy más jelentős operátoroknál jelentkező incidensek hatásai is hasonlóan nagyszabásúak lehetnek – olvasható egy hétfőn nyilvánosságra hozott brit parlamenti jelentésben. Az anyagot a spanyol Banco Sabadell által felvásárolt TSB áprilisi incidensét követően állították össze, amikor egy elbaltázott rendszerátállítás során több ezer ügyfelet zártak ki majdnem egy hónapra a saját online banki fiókjából, a pénzintézet pedig maga is 175 millió fontos kárt szenvedett el, és rengeteg ügyfele vándorolt át a versenytársakhoz.
A jelentés megállapítja, hogy a bankok által igénybe vett infrastruktúra-szolgáltatások és különféle technológiák is sokszor valamilyen kiszervezett konstrukcióban működnek, az érintett cégek azonban nem mutogathatnak az esetleges incidensek során a harmadik félnél fellépő hibákra vagy mulasztásokra. Az anyag ezzel kapcsolatban a brit parlament pénzügyi bizottságának állásfoglalását idézi, amely szerint a fizikai bankfiókok és automaták lassan felszívódnak, a felnőtt lakosság 70 százaléka már most is alapértelmezett módon használja a digitális szolgáltatásokat. Közben az elmúlt években olyan komoly szolgáltatóknál is sor került adatbiztonsági incidensekre, mint amilyen a Visa vagy a Barclays, a TSB ügyében pedig az is világossá vált, hogy a szabályozók is hihetetlenül lomhán tudnak reagálni az ilyen helyzetekben.
Nem várnak tökéletességet, de ez így is kevés
A törvényhozók világossá teszik, hogy nem tartják lehetségesnek a banki szolgáltatások tökéletesen zavartalan működésének és hozzáférhetőségének biztosítását, azt viszont elfogadhatatlannak tartják, ha az informatikai jellegű problémák rendszeresen felbukkannak, vagy megoldásuk túl hosszú ideig tart. A jelentéstevő, a konzervatív párti Steven Baker az említett módon az illetékek emelését is lehetségesnek tartja a szükséges plusz források biztosítására, amennyiben erre van szükség az az egyes szervezetek és személyek pontos felelősségi körének megállapításához az informatikai problémák esetében, illetve ha ez kell annak szavatolásához, hogy az gördülékenyen menjen az ügyfélpanaszok és a kompenzációk kezelése.
Mindehhez irányelvként határozzák meg azt is, hogy a fizetési szolgáltatásokban az egyre több problémát okozó legacy rendszerek fejlesztése semmiképpen sem járhat a "sarkok lekerekítésével", mint ahogy a legacy rendszerek sem jelenthetnek hivatkozási alapot egyik-másik létfontosságú fejlesztés elodázására. A jelentés mindezek értelmében azonnali cselekvésre szólítja fel a brit központi bankot és az Egyesült Királyság pénzügyi felügyeleltét, amelyek egyébként tavaly már belengettek egy újfajta tűrési rendszert a bankszektorban a kibertámadások kezelését és az üzletfolytonosság megszakításait illetően. Ebben úgy határoznák meg a kiesések még elfogadható maximumát, hogy a piaci részesedést vagy az üzlet nagyságát (a tranzakciók értékét és számát) is figyelembe véve súlyoznák az egyes szolgáltatókra és szolgáltatásokra vonatkozó határokat.
A jelentésnek különös aktualitást ad egy másik hétfői hír, amely ugyan Olaszországhoz kapcsolódik, de ugyanezekre a problémákra hívja fel a figyelmet. Az UniCredit beszámolója szerint a bank hárommillió olaszországi ügyfele érintett egy most felfedezett adatbiztonsági incidensben. A 2015-ös ügyféladatokhoz való illetéktelen hozzáférés állítólag nem biztosíthat senkinek sem illetéktelen hozzáférést a bankszámlákhoz, a bank pedig azonnal értesítette a megfelelő hatóságokat és a rendőrséget is. Az UniCredit saját adatai alapján 2016 óta legalább 2,4 milliárd eurót fordított informatikai rendszereinek és kiberbiztonsági készségeinek fejlesztésére – ezzel együtt 2017-ben már átvészelt egy hasonló fiaskót, amikor két különböző, 2016 szeptemberében és októberében végrehajtott hekkertámadás nyomaira bukkant, 400 ezer (ugyancsak olaszországi) ügyfél érintettségével.
A NIS2-megfelelőség néhány technológiai aspektusa
A legtöbb vállalatnál a megfeleléshez fejleszteni kell a védelmi rendszerek kulcselemeit is.
CIO KUTATÁS
TECHNOLÓGIÁK ÉS/VAGY KOMPETENCIÁK?
Az Ön véleményére is számítunk a Corvinus Egyetem Adatelemzés és Informatika Intézetével közös kutatásunkban »
Kérjük, segítse munkánkat egy 10-15 perces kérdőív megválaszolásával!
Nyílt forráskód: valóban ingyenes, de használatának szigorú szabályai vannak