biro gabriella mnb it informatika kiberbiztonság
Bank

Bitcoinért zsarolták a magyar bankokat a példátlan kibertámadás alatt, mindenki felkészült az újabb akciókra

A hazai bankokat ma már felkészültebben érne egy olyan – korábban nem látott mértékű – kibertámadás is, amely tavaly ősszel csapott le Magyarországon. Az eddigi legnagyobb volumenű túlterheléses támadás után bitcoinban követeltek védelmi pénzt a bankoktól, és olyan támadások is történtek a háttérben, melyek nem kerültek nyilvánosságra – tudtuk meg az MNB informatikai felügyeleti főosztályának vezetőjétől, Biró Gabriellától. Az utóbbi időben megszaporodott adathalász támadások ellen is létezik technológiai védekezési megoldás, de az ügyfelek tudatossága továbbra is fontos védelmi vonalat jelent. Az MNB idei IT-vizsgálatairól megtudtuk, hogy a bankoknál meglepően sok olyan rendszer van, ami elavult, ez jelenti továbbra is legnagyobb problémát. Közeleg a DORA, egy uniós szintű direktíva, mely egységesíti a pénzintézetek felé támasztott IT-elvárásokat, az új szabályok gyakorlatilag minden szereplőt érinteni fognak.
A DORA-ról, a felhő technológia banki használatáról és a banki kiberbiztonságról is szó lesz október 13-ai Banking Technology konferenciánkon. Regisztráció itt!

Magyarországon eddig példátlan léptékű és intenzitású túlterheléses (DDoS) kibertámadást észlelt és kezelt a Magyar Telekom tavaly szeptember végén, melyben több bank is érintett volt. Számíthatunk-e arra, hogy ehhez hasonló támadások érik a hazai szereplőket? Hogyan tudnak ezekkel szemben védekezni, kivizsgálták-e ezt az esetet?

Ez egy túlterheléses támadáshullám volt, melyről a felügyelt intézmények azonnali jelentést tettek nekünk. A legkorábbi szakaszban értesültünk róla, ugyanakkor, amikor a Nemzeti Kibervédelmi Intézet és az internetszolgáltatók. Mi úgy gondoltuk, és az érintett bankok is inkább arra hajlottak volna, hogy ezt nem kell széles körben kommunikálni, annál is inkább, mert

néhány zsarolólevél is érkezett az érintett bankokhoz, hogy fizessenek egy bizonyos összegű bitcoint, különben még nagyobb támadással kell szembenézniük.

Azzal, hogy egy érintett viszont megtörte ezt a kommunikációs csendet, közismertté vált a probléma. Mindenhol nyomon követtük, hogy hogyan kezelik a helyzetet, változtattak az internetes útvonalakon, szolgáltatókon, összességében elmondható, hogy elég jól kezelték a szituációt.

Amikor már a „tűzoltási fázison” túljutott ez az incidens, megkérdeztük a felügyelt intézményeket, hogy ki hogyan készül ilyen esetekre. A nagy szereplőknek vannak erre technikai megoldásaik, és akiknek eddig nem volt, azok is vásároltak ilyet tavaly. Fel vagyunk készülve egy esetleges következő támadásra. A bankokat érintő történet kapott nagy nyilvánosságot, de a háttérben voltak még olyan komoly DDoS támadások, amiket abszolút nem érzékeltek a felhasználók vagy a piac. Az érintettek annyira jól vették az akadályt, hogy mi is csak az intézmények tájékoztatásából szereztünk tudomást ezekről.

Ilyenkor az elsődleges védelmi vonalat az internetszolgáltató jelenti?

A túlterheléses támadás gyakorlatilag arról szól, hogy annyi kérést intéznek a felület felé különböző forrásokból, hogy túlterhelik. Mivel a csomagok az interneten közlekednek, ezért először az internetszolgáltató fog azzal szembesülni, hogy több forgalmat akarnak „beönteni a csövön”, mint amennyi befér. Ha ő nem esik el, hanem valahogy mégis lebonyolódik ez a forgalom, akkor eljutunk odáig, hogy ez „becsapódik” az illető pénzintézethez. Akkor előfordulhat, hogy ezek a szolgáltatások megállnak, és ezt fogja észrevenni a felhasználó is.

Az is előfordulhat, hogy ha a támadást már a cső sem bírja el, és az is összeomlik, vagy a kiszolgáló infrastruktúrában vannak közös elemek, akkor ez véletlenül, járulékos veszteségként más szolgáltatásokat is érinthet. Ilyenkor fordulhat elő az, hogy valaki azt tapasztalja, hogy nem tud kártyával fizetni vagy belépni az internetbankjába.

A DDoS támadásokat gyakran elterelésként használják, és ezt kíséri másfajta támadás is. Jelentettek ilyet a bankok az MNB-nek?

A DDoS nagyon sokszor figyelemelterelés, hogy lekösse a biztonsági csapat erőforrásait. Magyarországon eddig még nem láttunk ilyet, de hazánk nem elsődleges célpontja a támadásoknak. Olyan viszont előfordult, hogy bankcsoportok magyar leányai úgy váltak érintetté, hogy az anyabankot támadták, és ha közös az infrastruktúra, akkor itt is lehet ezt érezni. Ami kibertámadásban új fejlemény a magyar piacon, és Nyugat-Európában is előfordult már ilyen, hogy az ellátási láncban jelentkeznek problémák, valamelyik beszállítót éri kiberbiztonsági incidens, és ez át tud gyűrűzni azokra az intézményekre, ahová beszállít, vagy ahol hozzáfér a hálózathoz.

Tavasszal például egy európai szoftverszállítót támadtak meg, amely több pénzintézetnek, köztük néhány magyarnak is partnere.

A szoftverszállítótól forráskódokat loptak el, ettől kezdve előfordulhat, hogy mozgósítják azokat, és megjelenik egy kósza internetbankverzió a store-okban, ami már nem legális. Ilyenkor fel kell hívni a figyelmét azoknak a pénzintézetek, amelyek tőlük vesznek szoftvert, hogy vigyázzanak, mert lehet, hogy az ügyfeleik legközelebb egy hamis kliensen próbálnak belépni.

Az adathalász csalások is terjednek, az utóbbi időben több ilyen esetre is fény derült. A fogyasztók edukálásán túl hogyan lehet ezek ellen védekezni, velük mit lehet kezdeni?

Nagyon fontos pillér, hogy az ügyfelek figyelmét felhívjuk az adathalászokra, arra, hogy miből ismerhetik fel őket, mire figyeljenek, de ezek ellen technikai védelmi intézkedések is léteznek. Most már nagyon jól fel lehet mérni, hogy az ügyfél tényleg az-e, akinek mondja magát, úgy lép-e be, illetve, olyan dolgokat csinál-e, amiket szokott.

A „rosszfiúk” nagyon sokszor nem magyar IP-címekről érkeznek. Ha például egy idősebb vidéki ügyfél, aki egész életében egy bizonyos IP-címet használt, és magyarul kommunikál a felületeken, egy ázsiai IP-címről érkezik a netbankba, és az az első mozdulata, hogy átállítja a felületet angolra, akkor lehet gyanakodni, hogy itt probléma van.

Ezeket a mintázatokat meg lehet fogni technikai oldalról, illetve a háttérben nagyon komoly hatósági együttműködésre is sor kerül, zajlik az információmegosztás. A rendőrséggel is szoros munkakapcsolatban vagyunk, szerintem itt minden szereplő aktívan dolgozik a probléma kezelésén.

Hogyan lehet visszaélni a megszerzett adatokkal, hogy lehet ezeket pénzre váltani?

Bevett gyakorlat, hogy az elkövetők jó áron értékesítik a feketepiacon az adatokat. Amikor nagy mennyiségű felhasználói adatot, e-mail címeket, telefonszámokat vagy akár kártyaadatokat szereznek, és egy vevő érdeklődik egy nagyobb adatcsomag iránt, akkor gyakran adnak belőle egy kis mintát, hogy tudja azok valódiságát ellenőrizni.

Ha valaki vesz egy ilyen csomagot, előfordulhat, hogy elkezdi végig hívogatni az embereket, és ilyenkor tapasztalható ez a típusú adathalászat, hogy adja meg az internetes azonosítóját, mert meghackelték. Ha az ügyfelünk tudja ilyenkor, hogy telefonon nem szabad ezeket az adatokat megmondani, mert a bank biztos nem kér ilyet, akkor sikerül elhárítani a támadást.

cikkbe0827
Biró Gabriella. Fotó forrása: MNB

Mely IT-területek vannak most az MNB vizsgálatok fókuszában?

Minden évben kijelöljük az informatikai vizsgálati fókuszterületeket, s idén ismét előtérben vannak az alaprendszerek, amik már tavaly is fokozott figyelmet kaptak. Emellett ez évben az elektronikus szerződéskötéseket és a távoli ügyfél-azonosítást is kiemelten vizsgáljuk, illetve ezekre külön egy témavizsgálatot is indítottunk. Vannak olyan intézmények, ahol kifejezetten csak utóbbit nézzük meg, és ez alapján határozzuk meg a legjobb gyakorlatokat, illetve azokat a területeket, ahol további iránymutatásra lesz szükségük a felügyelt intézményeinknek. A harmadik kiemelt terület a kiberbiztonsági ellenállóképesség idén. Itt egy kicsit a jövőnek is dolgozunk, mert készül egy olyan rendelet, ami éppen ezt fogja lefedni.

Mit tapasztal az MNB a felügyelt intézmények IT-vizsgálatain, hol akadnak problémák és hol van minden rendben?

Ami nagyon régóta feladat, a napi működés, az üzemeltetés, az adatközpontok biztonsága, a szabályozottság az informatikán belül, azok jól működnek, itt alig teszünk megállapítást. Ezeket az elvárásokat mind a régi, mind az új szereplők nagyon jól teljesítik. Az elektronikus szerződéskötéseknél meglepően jó megoldásokat látunk, itt is kevés megállapítás született eddig, noha már majdnem befejeztük a témavizsgálatot. Azt látjuk, hogy technikailag igen felkészültek a szereplők. Itt most a magyar jegybank által engedélyezett piaci szereőlőkről beszélünk, nem olyan cégekről, amelyeknek külföldről vagy más felügyelettől van engedélyük (mint például az itthon is aktív Revolutnak - a szerk).

Az is fontos tapasztalat, hogy általában a technikai oldalról jövő szereplők jobban szerepelnek a vizsgálatokon, mint a hagyományosak. Tavaly például volt egy PSD 2-es témavizsgálatunk, ahol az új engedélyezetteket vizsgáltuk. Nem voltak súlyos megállapítások, csak apróságok, összességében nagyon jól szerepeltek és jól vették az akadályokat.

Tehát akiknek nem teljes banki engedélyük van, azok is ugyanúgy megfelelnek az IT-előírásoknak?

IT-szinten ugyanazokat az elveket vizsgáljuk, nyilván kockázatarányosan. Egy pénztárnál, ahol 1-2 informatikus van, nyilván semmilyen szempontból nem ugyanaz lesz a kockázat, mint egy nagybanknál, ahol 70-100 fős informatikai gárda van, meg egy külön IT-biztonsági csapat is. De ugyanazokat az elveket vizsgáljuk, és azt látjuk, hogy akik pusztán technológiai háttérrel jönnek, tipikusan a fintechek vagy  az AISP-k is, azok a technológiával jobban is megbirkóznak: egy nyelvet beszélünk, és gyorsan megértik, hogy ha kérünk valamit. Nekik inkább az egyéb prudenciális elvárásrendszernek nehéz megfelelni, például a jelentési kötelezettségeknek.

Az új engedélyezési eljárásokban is vizsgáljuk az IT tárgyi feltételek meglétét, és az a tapasztalatunk, hogy az IT szakemberek sokkal könnyebben és hamarabb átlátják az MNB informatikai elvárásait az engedélyezés során (például melyik standardeket olvassák el) szemben a cég nevében eljáró jogászokkal, akik az egyéb elvárásokat tudják könnyebben értelmezni.

Milyen karakterisztikákat lehet felismerni a különböző felügyelt intézményeknél abban, hogy milyen az IT-felkészültségük? A bankok, biztosítók, brókerek, pénztárak másfajta IT-problémákkal küzdenek?

A méretből adódó különbségek egyértelműen látszanak, de emellett máshol vannak a hangsúlyok is. Egy banknál nagyon fontos az üzletmenet-folytonosság, a 0-24 órás rendelkezésre állás, különösen az azonnali fizetés bevezetése óta. A biztosítóknál pedig az adatbiztonsági terület, hiszen ők érzékeny adatokkal dolgoznak, különösen az élet üzletágban, ahol egészségügyi adatokat kezelnek.

A kis szervezetek gyakran rugalmasabbak abban, hogy milyen környezetet üzemeltetnek. Ott gyakrabban látunk Linuxot, nyílt forráskódú szoftvereket, ők ebben „bevállalósabbak”. Ezért is költségtakarékosabb és rugalmasabb a megoldásuk. A nagyok sokszor legacy rendszerekkel dolgoznak, régi rendszerekkel, ami nem jelenti okvetlenül azt, hogy ezek elavultak, de ez könnyebben előfordulhat.

A core rendszerek vizsgálatakor mit tapasztaltak?

Nem véletlen, hogy ez ebben az évben is kiemelt téma maradt. Meglepően sok olyan rendszer van, ami elavult, nincs gyártói támogatása, nem telepítették rá a legfrissebb biztonsági frissítéseket. Ez azért is egy nehéz kérdés, mert ha egy intézmény semmit nem csinál, akkor előbb-utóbb minden el fog avulni. Nagyon gyorsan kell futniuk ahhoz, hogy ne maradjanak le. Ez mindig benne van a top három megállapításban, a tavalyi évhez hasonlóan idén is ez vezet, 2021 első félévében majdnem a megállapítások egyötöde erre vonatkozott. Már 2019-ben is előkelő helyen volt ez a probléma. Itt is az a tapasztalat, hogy a nagyoknál több az elavult rendszer. De ha azt nézzük, hogy egy nagybanknál több száz rendszer is előfordulhat, lehet, hogy már számlavezető rendszerből is több van nekik, akkor nyilván nagyobb az esélye annak, hogy lesz közte olyan, ami már nem támogatott. Míg egy kis cégnél van egy rendszer meg az irodai környezet, és ezt nem olyan nehéz karbantartani.

A felhő technológia és az AI használata mennyire terjedt el a bankok körében?

Egyelőre úgy tapasztaljuk, hogy óvatosak az intézmények, az összes felügyelt intézményünk 31 százaléka vesz igénybe felhőt. A befektetési szolgáltatók 69 százaléka használ már valamilyen felhő megoldást, a pénzügyi vállalkozások óvatosabbak, nekik csak a 20 százalékuk. Üzletileg kritikus funkciókat még kevésbé raknak ki a felhőbe, de a levelezés, irodai környezet, egyes online megoldások, különböző videókonferencia platformok viszont már elég nagy arányban megtalálhatóak. Ha valaki ide szervez ki valamit, azt be kell jelenteni, amennyiben ügyféladat is van benne, akkor nagyon részletesen megnézzük az alkalmazást. A nagy felhőszolgáltatók is közvetlenül egyeztetnek velünk erről. Nagyon jó együttműködések vannak a háttérben, és ez segít abban, hogy jó eredmények szülessenek.

Biztatná a bankokat arra, hogy lépjenek a felhő irányába?

Azt nem mondom, hogy ez lenne a megoldás mindenre, de egy felügyelt intézmény helyében biztos megnézném a felhőt is, mint lehetőséget. Mostanában azért voltak olyan hírek, hogy felhőszolgáltatók estek el, ott is voltak kiesések, ők is kaptak DDoS támadást. Ennek is vannak kockázatai, nem lehet úgy tekinteni, hogy bizonyos típusú kockázatokat eleve elkerültünk, ha felhőt használunk, még a rendelkezésre állás kockázatait sem. Egy elemzést mindenképpen érdemes elvégezni.

Mire alkalmas elsősorban a felhő a bankok esetében a már említett irodai alkalmazásokon túl?

Amire a felhő alkalmas, azok a nagyon adatigényes, számításigényes feladatok, ahol hirtelen megugorhat a kapacitásszükséglet. Ilyen lehet a csalásmegelőzés, ügyféladatok kezelése, CRM rendszerek. Nagyon sok függ az adott intézmény munkafolyamatától, hogy ő hogyan használja ezeket. Most már külföldi példákat is látni, amikor számlavezető rendszert működtetnek felhőből. Itt azért azt át kell gondolni, hogy ha a felhőszolgáltató úgy dönt, hogy nem szolgáltat többé Magyarországra - nemzetközi piacon láttunk erre precedenst - akkor mi történik. Pénzintézetnél, banknál még nincs erre példa itthon, azoknál, akiknél 1-2 órás kiesés nem okoz akkora gondot, például egy egészségpénztárnál, hamarabb megtörténik a felhőbe történő kiszervezés.

A cloud native trenddel mennyire foglalkoznak a hazai szereplők?

Ez még nem annyira jellemző, de ennek az is egy nagy gátja, hogy minden nagyobb felhőszolgáltatónak megvannak a saját standardjai, és abszolút nincs átjárhatóság. Devilágszerte dolgoznak azon, hogy legyenek olyan típusú standardok, amik egyik típusú felhőből a másiknak a konténerébe is hordozhatóvá teszik a megoldásokat. Ha valaki közzétesz egy ilyet, az nagy áttörés lesz.

Segíteni fogja a felhő használatát az is, hogy az európai szabályozásban létezik egy cyber security rendelet (EU Cybersecurity Act), ami már hatályban van, ennek keretében új szabványokat dolgoznak ki. Egy felhőbiztonsági szabvány is készül, ami tartalmazza többek közt azt, hogyan lehet tanúsítani egy felhő biztonságát. Amikor ez életbe lép és használatban lesz, az segíteni fog abban, hogy nem mindenkinek magának kell meggyőződnie, hogy mennyire jó a felhő biztonsági szempontból.

cikkbe20827
Biró Gabriella. Fotó forrása: MNB

Miről szól a DORA (Digital Operational Resilience Act)?

Amikor a GDPR hatályba lépett, az mindenkire hatással volt, azt gondolom, hogy ez a DORA esetében is így lesz. Az Európai Bizottság 2018-ban tette közzé a fintech akciótervét, és erre reagálva a három európai felügyeleti hatóság – az EBA, az ESMA és az EIOPA – közösen megfogalmazott egy technikai tanácsot az EB felé, amiben azt mondták, hogy szerintük nem több szabályozás kellene, hanem egységesebb.

Ez volt a mozgatórugója annak, hogy nem részszegmensenként szabályozunk, hanem egy nagy rendeletben, ami mindenkire (a mostani állás szerint húszféle pénzügyi intézményre, a nagybankokra, kisbankokra, biztosítókra stb.) vonatkozik.

2019 végén az EB közzétette a fintech roadmapet, aminek ez is egy pillérje volt, majd 2020 szeptemberében megjelent a digital finance package részeként a DORA, mely kifejezetten arra hivatott, hogy egységes szabályozást adjon a kiberbiztonsági témákban, digitális ellenállóképességben a teljes pénzügyi szektorra.

Az is cél, hogy harmonizálják az incidensbejelentési követelményeket, mert ha egy tipikus nagybankot nézünk, amelyiknek van egy biztonsági incidense, akkor azt jelenti a felügyeletének, a PSD 2 szerint a pénzforgalmi felügyeletnek (ami nálunk szerencsés módon ugyanaz az intézmény, azaz az MNB), illetve, ha a bank nemzeti létfontosságú infrastruktúra, a Nemzeti Kibervédelmi Intézetnek is.

Ez nem jó, mert ha valakinek incidense van, az elhárítással kellene foglalkozni, nem azzal, hogy mindenféle hatóságnak különböző formátumokban jelentse.

Emellett még újdonság, hogy a harmadik félnek minősülő szolgáltatókkal, különösen a nagy IT szolgáltatókkal, felhőszolgáltatókkal kapcsolatos kockázatokat szerették volna jobban kezelni. Most komoly szövegezési munka van folyamatban, az eredeti ütemtervhez képest már egy kis késében van az Európai Bizottság, de szerintem még ősszel megszülethet az a szövegváltozat, amiről elkezdődik a trilógus. Ez az európai jogalkotásnak a végső fázisa, ahol az EB, az Európai Parlament és az Európai Tanács hármasa megvitatja ezt a tervezetet. Ha ez jól alakul, akkor még idén lehet egy végleges, elfogadott szöveg.

A mostani verzió szerint a rendelet tartalmazza, hogy mennyi idő alatt kell implementálni, ami 24 hónap. Ezzel összefüggésben RTS-eket, szabályozástechnikai standardokat kell majd hozzá írni. A PSD 2-höz hasonlóan a DORA-nál is lesznek ilyenek, amiket az európai hatóságok fognak megszövegezni, a felhőszolgáltatók akár direkt felügyelet alá kerülhetnek, azaz vizsgálhatjuk őket is.

Magyarországon a felhőszolgáltatók ellenőrzése hogyan működik?

Nagyon ritkán, de volt már példa arra, hogy vizsgáltunk felhőszolgáltatót. A hitelintézeti törvény alapján bármilyen kiszervezést évente ellenőrizni kell. Nemrégiben változott meg, hogy csoporton belül elég kétévente, de ha teljesen független félhez történik a kiszervezés, akkor évente ellenőrizni kell. Ha van egy olyan szolgáltató, ahová mondjuk 20 pénzintézet szervezett ki valamilyen tevékenységet, akkor januártól decemberig havonta több mint egy külső ellenőrzést kap. Itt már vannak példák arra, különösen a németeknél, hogy konzorciumi auditokat végeznek el. Szerintem a DORA rendelet nagyon sokat fog segíteni abban, hogy ez elterjedjen. Mert, ha valakinek van egy core üzleti tevékenysége, akkor azzal szeretne foglalkozni, és nem a különböző auditorokat kiszolgálni.

Az MNB digitális transzformációs ajánlásának mennyire hangsúlyos része az IT-biztonság?

Ebben a digitalizációs ajánlásban nincs kifejezetten IT-biztonsági rész. Ez nem azért van, mert „elfeledkeztünk” róla, hanem azért, mert erre vonatkozóan az MNB-nek már volt egy ajánlása (hivatkozunk is erre a bizonyos 8/2020-as ajánlásra). Ha valaki ezt betartja, akkor rendben van, ezt most is, és a jövőben is vizsgálni fogjuk.

A DORA-ról, a felhő technológia banki használatáról és a banki kiberbiztonságról is szó lesz október 13-ai Banking Technology konferenciánkon. Regisztráció itt!

A címlapkép forrása: MNB.

Raktári munkás egy drónnal. Fotó: Shutterstock
egészségügy műtét kórház orvos
balaton strand hőség
fodrász koronavírus
kórház beteg ágy covid koronavírus

Holdblog Kihaló iparágak?

Az ábrához hozzátehetjük, hogy azért az e-könyveket mégis csak könnyebb megosztani másokkal. Emlékezhetünk...

Holdblog Munka - Munka nélkül?

Lassan százmilliók döntenek úgy, hogy inkább a család jelentette örömök sokasítását, vagy például a távoli...

Friss hírek TÖBB FRISS HÍR
2021.09.22
Öngondoskodás 2021
2021.09.21
Hiventures - Portfolio Vállalati Tőkefinanszírozás 2021
2021.09.30
Energy Investment Forum 2021 - A MEKH szakmai támogatásával
2021.10.05
Követeléskezelési trendek 2021
Portfolio hírlevél
Ne maradjon le a friss hírekről!
Iratkozzon fel megújult, mobilbarát
hírleveleinkre és járjon mindenki előtt.

Ügyvédek

A legjobb ügyvédek egy helyen

Infostart.hu
Online kurzus
Akár 100 000 Ft-tal elkezdhető, hosszú távú megtakarítási módszer.
Könyv
Alapmű mindenkinek, akit érdekel a tőzsde világa.
mobil mobilbank app telefon