EY: Új EU-s szabályozás mutatja, mi a kibervédelem minimuma
Hatalmas károkat okoz a kiberbűnözés a pénzügyi szektorban, amire az Európai Unió választ kíván adnia az úgynevezett DORA rendelettel. A már jövőre élesben működő kiberszabályozás segít felkészíteni az európai, köztük a hazai pénzügyi szervezeteket az online támadások kivédésére – hívja fel a figyelmet az EY. A vállalatoknak jól felfogott érdeke, hogy megfeleljenek a DORA által nyújtott minimális elvárásoknak, de érdemes egy jóval komplexebb, személyre szabott megközelítés alkalmazni, hogy mindenképp elkerüljék a komoly anyagi és reputációs kárral járó biztonsági incidenseket.
Az internetes bűnözés 2023-ban nagyjából 8 billió dollárjába került a világnak és több milliárd forintos kárt okoz csak a hazai pénzügyi szektorban a kiberbűnözés. A Magyar Nemzeti Bank adatai szerint tavaly több mint 18 296 banki csalás történt, amikkel több mint 23 milliárd forinttal károsították meg a magyar ügyfeleket. A kibertámadások elleni védekezés összehangolása érdekében egységes törvényi szabályozást hozott létre az Európai Bizottság. A digitális működési ellenálló képességére vonatkozó rendelet, a DORA (Digital Operational Resilience Act) harmonizálja és szigorítja a pénzügyi szektor informatikai biztonsági előírásait, hogy súlyos működési zavarok esetén is kikezdhetetlenek maradjanak az IT-rendszerek.
A DORA rendelkezései a különböző pénzügyi szervezetekre és a számukra IT szolgáltatást nyújtó külső szolgáltatókra is vonatkoznak. „A szabályozás értelmében 2025. január 17-ig minden szóban forgó vállalkozásnak gondoskodnia kell arról, hogy a zavarok és fenyegetések összes lehetséges típusának ellen tudjon állni. A társaságok jól felfogott érdeke, hogy legalább az uniós irányelv által meghatározott minimális elvárásoknak megfeleljen, hiszen egy-egy komolyabb támadás tíz-, de akár százmillió forintos károkat is okozhat” – hangsúlyozta Bácsfalvi András, az EY Compliance területének vezetője.
Az érintett cégeknek először is felül kell vizsgálniuk működésüket, majd a döntéshozók és munkavállalók képzésével biztosítaniuk kell a szükséges szakértelmet. Mindemellett a kockázatelemzési modelljeik és stratégiájuk kialakításánál is figyelembe kell venniük a DORA elvárásait, eszerint értékelve külső IT-beszállítóikat, megerősítve titkosítási és hitelesítési folyamataikat, továbbá válságkezelési tervet is ki kell dolgozniuk.
„Az adathalászat, a rosszindulatú malware programok és a kibertámadások már évek óta a legnagyobb kockázatot jelentik a vállalatok működése szempontjából. A DORA bevezetésével az Európai Unió célja, hogy megerősítse a kontinensen működő pénzügyi cégek online védelmi képességeit. A szinte teljesen betörésbiztos rendszerek kiépítéséhez azonban technológiai és szervezeti szempontból is komoly feladat hárul a társaságokra, amiben sokat segíthet, ha tapasztalt külső szakértőket is bevonnak a folyamatba” – hangsúlyozta Zala Mihály, az EY Magyarország kibervédelmi üzletágának vezetője.
A DORA által kijelölt feladatok elsősorban a társaságok informatikai osztályait érintik majd, azonban a szabályozás összetettsége és a hatóságokkal való kapcsolattartás miatt a compliance szakemberek együttműködése is meghatározó lehet a sikeres felkészülés és a szabályok alkalmazása során egyaránt.
