Kiberkihívások és digitális megoldások: így felelhet meg a DORA előírásainak

Hatalmas károkat okoz a kiberbűnözés a pénzügyi szektorban, amire az Európai Unió választ kíván adnia az úgynevezett DORA rendelettel.

Amár jövőre élesben működő kiberszabályozás segít felkészíteni az európai, köztük a hazai pénzügyi szervezeteket az online támadások kivédésére. Jelasity Radován, a Magyar Bankszövetség elnöke, Zala Mihály, az EY kibervédelmi üzletágának vezetője és Bácsfalvi András, az EY Governance, Risk & Compliance üzletágának vezetője az EY rendezvényén vették át a cégek előtt álló feladatokat és kihívásokat.

Egyre több digitális banki megoldás és fejlesztés jelenik meg a piacon, az ezekből fakadó kockázatokat pedig létfontosságú minimalizálni. Ez a célja az EU által 2022-ben elfogadott DORA (Digital Operational Resilience Act) rendeletének.

A DORA előírásainak az Európai Unióban működő valamennyi pénzügyi intézménynek, valamint a számukra információ- és kommunikációtechnológia (IKT) szolgáltatásokat nyújtó vállalatoknak is meg kell felelniük. Erre egyre kevesebb idő van, hiszen a kétéves végrehajtási időszakot követően legkésőbb 2025-ig a Magyarországon működő intézeteknek is eleget kell tenniük a követelményeknek.

A DORA rendelet egységes uniós szabályozási keretet teremt, harmonizálva és szigorítva a pénzügyi szektor informatikai biztonságra vonatkozó szabályait, megelőzve és enyhítve a kiberfenyegetéseket, egyúttal a fogyasztói bizalmat is növelve. Ehhez az érintett cégeknek először felül kell vizsgálniuk működésüket, majd a döntéshozók és munkavállalók edukálásával biztosítaniuk kell a szükséges szakértelmet. Emellett kockázatelemzési modelljeik és stratégiájuk kialakításánál is figyelembe kell venniük a szabályozást, kockázatkezelési szempontból értékelve külső IKT beszállítóikat, megerősítve titkosítási és hitelesítési folyamataikat, továbbá válságkezelési tervet is ki kell dolgozniuk.

Jelasity Radován kiemelte, hogy a felkészültség szintje változó lehet a különböző országokban és a pénzügyi intézmények között is, mivel a szervezetek mérete, erőforrásai, korábbi intézkedéseik és a már meglévő infrastruktúrák is eltérőek. 

Számos feladat áll még a vállalatok előtt

ilyen az átfogó és jól dokumentált IKT-kockázatkezelési keretrendszer és az irányítási elvek kijelölése, az IKT vonatkozású biztonsági események osztályozása, illetve a jelentős eseményekről való jelentéstétel illetékes hatóságnak. A harmadik féltől, vagyis a beszállítóktól eredő IKT-kockázatok kezelésére vonatkozó alapelveket is meg kell határozni az IKT-kockázati stratégia kidolgozása során. Jelentős kihívást jelenthet a megbízható és átfogó digitális működési reziliencia tesztelési program is, amelyet előre meghatározott vizsgálati eszközök és módszertanok mentén kell létrehozni.

Zala Mihály felhívta a figyelmet arra, hogy a pénzügyi szervezetek informatikai rendszereinek ellenállóképességét a folyamatos felügyelet mellett átfogó és szigorú ellenőrzésekkel, többek között véletlenszerű, szimulált kibertámadásokkal is próbára teszik majd a hatóságok. A végrehajtási időszakot követően, tehát 2025-től a korrekciós intézkedések mellett közigazgatási szankciókra is számíthatnak a vállalatok, ha nem tartják a lépést. A rossz gyakorlatok megszüntetése, a további jogsértés megakadályozása mellett ez az adatforgalmi nyilvántartások bekérésével is járhat, de a vétkes cégek nyilvános közleményben való megnevezése vagy akár jelentős összegű pénzügyi bírságok is elképzelhetőek.

Az információk megosztása is fontos része a megfelelésnek. Bácsfalvi András rámutatott, hogy a feladatok elsősorban a cégek informatikai osztályait érintik majd, azonban a szabályozás összetettsége és a hatóságokkal való kapcsolattartás miatt a compliance szakemberek együttműködése is meghatározó lehet a sikeres felkészülés és a szabályok alkalmazása során egyaránt.