Hatalmas károkat okoz a kiberbűnözés a pénzügyi szektorban, amire az Európai Unió választ kíván adnia az úgynevezett DORA rendelettel. A már jövőre élesben működő kiberszabályozás segít felkészíteni az európai, köztük a hazai pénzügyi szervezeteket az online támadások kivédésére – hívja fel a figyelmet az EY. A vállalatoknak jól felfogott érdeke, hogy megfeleljenek a DORA által nyújtott minimális elvárásoknak, de érdemes egy jóval komplexebb, személyre szabott megközelítés alkalmazni, hogy mindenképp elkerüljék a komoly anyagi és reputációs kárral járó biztonsági incidenseket.
Az internetes bűnözés 2023-ban nagyjából 8 billió dollárjába került a világnak és több milliárd forintos kárt okoz csak a hazai pénzügyi szektorban a kiberbűnözés. A Magyar Nemzeti Bank adatai szerint tavaly több mint 18 296 banki csalás történt, amikkel több mint 23 milliárd forinttal károsították meg a magyar ügyfeleket. A kibertámadások elleni védekezés összehangolása érdekében egységes törvényi szabályozást hozott létre az Európai Bizottság. A digitális működési ellenálló képességére vonatkozó rendelet, a DORA (Digital Operational Resilience Act) harmonizálja és szigorítja a pénzügyi szektor informatikai biztonsági előírásait, hogy súlyos működési zavarok esetén is kikezdhetetlenek maradjanak az IT-rendszerek.
A DORA rendelkezései a különböző pénzügyi szervezetekre és a számukra IT szolgáltatást nyújtó külső szolgáltatókra is vonatkoznak. „A szabályozás értelmében 2025. január 17-ig minden szóban forgó vállalkozásnak gondoskodnia kell arról, hogy a zavarok és fenyegetések összes lehetséges típusának ellen tudjon állni. A társaságok jól felfogott érdeke, hogy legalább az uniós irányelv által meghatározott minimális elvárásoknak megfeleljen, hiszen egy-egy komolyabb támadás tíz-, de akár százmillió forintos károkat is okozhat” – hangsúlyozta Bácsfalvi András, az EY Compliance területének vezetője.
Az érintett cégeknek először is felül kell vizsgálniuk működésüket, majd a döntéshozók és munkavállalók képzésével biztosítaniuk kell a szükséges szakértelmet. Mindemellett a kockázatelemzési modelljeik és stratégiájuk kialakításánál is figyelembe kell venniük a DORA elvárásait, eszerint értékelve külső IT-beszállítóikat, megerősítve titkosítási és hitelesítési folyamataikat, továbbá válságkezelési tervet is ki kell dolgozniuk.
„Az adathalászat, a rosszindulatú malware programok és a kibertámadások már évek óta a legnagyobb kockázatot jelentik a vállalatok működése szempontjából. A DORA bevezetésével az Európai Unió célja, hogy megerősítse a kontinensen működő pénzügyi cégek online védelmi képességeit. A szinte teljesen betörésbiztos rendszerek kiépítéséhez azonban technológiai és szervezeti szempontból is komoly feladat hárul a társaságokra, amiben sokat segíthet, ha tapasztalt külső szakértőket is bevonnak a folyamatba” – hangsúlyozta Zala Mihály, az EY Magyarország kibervédelmi üzletágának vezetője.
A DORA által kijelölt feladatok elsősorban a társaságok informatikai osztályait érintik majd, azonban a szabályozás összetettsége és a hatóságokkal való kapcsolattartás miatt a compliance szakemberek együttműködése is meghatározó lehet a sikeres felkészülés és a szabályok alkalmazása során egyaránt.
xxx
Az EY-ról
Az EY egy jobban működő világ felépítésén dolgozik hosszú távú érték teremtésével ügyfeleink, munkatársaink és a társadalom számára, valamint a bizalom erősítésével a tőkepiacokon.
Az adatok és technológiai ismeretek birtokában az EY sokrétű csapatai több mint 150 országban garantálják a megbízhatóságot, és támogatják ügyfeleink növekedését, átalakulását és működését.
Az EY csapatai a könyvvizsgálat, a tanácsadás, a jog, a stratégia, az adó és a tranzakciók területén a legjobb kérdésekkel közelítik meg napjaink összetett problémáit, hogy megtalálják az új megoldásokat.
Az EY név a globális szervezetre, illetve az Ernst & Young Global Limited egy vagy több tagjára utal, amelynek mindegyike önálló jogi személy. Az angliai székhelyű Ernst & Young Global Limited (company limited by guarantee) nem foglalkozik ügyfelek részére történő szolgáltatásnyújtással. A személyes adatok EY általi gyűjtésére és felhasználására vonatkozó információk, valamint az érintettek adatvédelmi jogszabályok szerinti jogainak leírása az ey.com/privacy címen érhetők el. További információkért szervezetünkről kérjük, látogasson el honlapunkra a www.ey.com/hu_hu címen.