A Kürt Zrt. és a Magyar Bankszövetség szakemberei az Akadémia székházában megtartott a szakmai beszélgetésen
hívták fel a pénzügyi ágazat informatikai vezetőinek figyelmét a fejlesztések sebezhetőségére, illetve az ilyenkor
fokozott veszélly fenyegető kockázatok – mint például az adatszivárgás – megelőzésének lehetséges módjaira.
A Magyar Nemzeti Bank 2010. október 13-án bejelentett rendelete értelmében 2012. július 1-jétől a belföldi bankközi forintátutalások időtartama 1 napról 4 órára rövidül. A banki-pénzügyi szektorban ennek kapcsán átfogó informatikai fejlesztések várhatók, hogy rendszereik minden szempontból megfeleljenek az új követelményeknek, ezáltal ügyfelek igényeinek is. Mivel az információ koncentráltsága és értéke is rohamosan nő, a várható fejlesztéseknél nem szorulhatnak háttérbe a biztonsági szempontok sem, hiszen a pénzügyi szakma már napjainkban is az internetes bűnözők kedvelt célpontja. Ráadásul a cégek egyre több elektronikus szolgáltatást vezetnek be, amelyek a támadási felületek számát is növelik.
„Egy bankban szinte minden adat védendő – mondta el a szakmai beszélgetésen Jakab Péter, a Magyar
Bankszövetség Bankbiztonsági Munkabizottságának vezetője, az MKB Bank Zrt. bankbiztonsági ügyvezető
igazgatója. – A tapasztalatok azt mutatják, hogy a bizalmas információk, például pénzügyi, stratégiai adatok, az
esetek többségében a vállalati hálózatból a saját munkavállalók által, különböző csatornákon keresztül kerülnek ki.
Ilyen csatornák lehetnek a népszerű webes e-mail rendszerek, az azonnali üzenetküldő szoftverek, a webes feltöltő
oldalak, vagy akár a szabványos kimenő levelek ismeretlen adattartalma is, mert ez utóbbi akár bizalmas, minősített
adat is lehet.”
A bankok, a biztosítók, a takarékszövetkezetek és más pénzügyi intézmények által kezelt hatalmas adatállomány és
üzleti információk – például államtitkok, bank- és értékpapír titkok, ügyfelek adatai – megszerzéséhez egyre
komolyabb érdekek fűződnek, ma már nem ritka a szervezett bűnözés felbukkanása sem az ilyen támadások
hátterében.
Még nagyobb probléma a nem szándékolt, azaz figyelmetlenség, tudatlanság, hanyagság, a minőségbiztosítás
hiánya miatt bekövetkező hibák által okozott adatszivárgás, az information disclosure vagy információ-kitakarás. Az
üzleti dokumentumok ellenőrizetlen meta-adatai, a vállalatok által publikált üzleti jelentések, statisztikák, az
internetes rendszerek nem megfelelően kontrollált hibaüzenetei mind, mind forrásai az emberi erőforrásokkal vagy
automatizált robothálózatokkal végzett támadásokhoz szükséges információknak. Ehhez a körhöz tartozik a hacker-
támadások egyik legkedveltebb fegyvere, a Social Engineering is, amelynek segítségével igen könnyen lehet
megszerezni meghatározó információkat egy vállalat rendszereinek feltöréséhez.
„Napjaink egyre intelligensebb mobil eszközei és az internetes kommunikációs csatornák új, mindent elsöprő divatja
további nagy kockázati tényező az adatszivárgásban” – hívta fel a figyelmet a modern kommunikációs szokások
veszélyeire Frész Ferenc, a Kürt Zrt. stratégiai üzletág-fejlesztési vezetője.
Az információbiztonság megkövetelt szintje a jövőben a vállalatok sikerének mércéje is lehet, hiszen az adatok
megőrzésének képessége az ügyfél bizalmát is növeli. A Kürt szakembere, Frész arról is beszélt, hogy a pénzügyi
vállalatok közelgő IT-fejlesztései megnövelhetik a rendszerek sebezhetőségét. Ennek oka a minőségbiztosítási
hiányosságok mellett az, hogy a fejlesztéskor alkalmazott rendszerek kevésbé védettek, mint az üzleti folyamatokat
kiszolgáló informatika, ugyanakkor gyakran éles adatokkal történik a tesztelés. Az információbiztonság, azon belül is
az adatszivárgás kezelése a rendszerek fejlesztésekor ezért különösen akut probléma, és gyakran háttérbe szorul a gazdaságosság és a szoros határidők megtartásának a kényszere miatt. A pénzintézeteknek 2011 novemberében
már vizsgáztatniuk kell az új informatikai megoldásokat.
A Kürt által javasolt védelmi intézkedések között szerepel egy olyan DLP (Data Loss Protection, adatszivárgás-
megelőző/elhárító) rendszer, amely képes feltérképezni, hogy a szervezet hálózatán és rendszereiben hol
találhatóak az előzetesen meghatározott érzékeny információk, valamint képes azok mozgását, beállított szabályok
alapján monitorozni. A szoftver bevezetésével megállapítható, hogy mely használó, milyen információt, milyen
irányban, milyen csatornán tervezett (akarva, akaratlanul) kiszivárogtatni. Az eredményekből egyedi és összevont
jelentések is létrehozhatók, amelyek a használói (pl. menedzseri, IT-biztonsági vezetői) igényekhez igazodva testre
szabhatók és automatizálhatók. Az említett rendszer moduláris felépítésű, ezáltal rugalmasan telepíthető, az egyes
funkciók külön-külön is bevezethetők, amelyek megakadályozzák a definiált adatkezelési szabályok megsértését
vagy az érzékeny adatok kijutását a hálózatból.
