Miközben Európa-szerte a NIS2 feltételeinek teljesítésével foglalkoznak a vállalatok, a pénzintézeteket hidegen hagyja az európai uniós direktíva. Több oka is van ennek az „érdektelenségnek”. A bankokra vonatkozó korábbi szabályozás már eleve olyan szigorú feltételeket támasztott a piac szereplőinek működése felé, ami miatt a NIS2 bevezetése érdemben nem lenne hatással. Említést érdemel, hogy a magyar felügyeleti szerv, a Magyar Nemzeti Bank korábban is erősebb IT-biztonsági környezetet követelt meg a magyar pénzügyi szervezetektől.

Felmérni és kiiktatni a kockázati tényezőket

Az érintetteknek hamarosan egy hasonló, de kifejezetten a pénzintézeteket célzó rendelkezésnek (Digital Operational Resilience Act, DORA) kell megfelelniük. A 2025. január 17-én kötelezően alkalmazandó direktíva bevezetése ad feladatot a piac magyar szereplőinek, különösen, ami a harmadik felek kezelését, a kockázatkezelést és az infokommunikációs, illetve kiberbiztonsági képességeket illeti. A holisztikus keretrendszer gondoskodik arról, hogy a teljes értékláncban egységes legyen a szolgáltatásnyújtás, a korábbiakhoz képest tovább mélyítve az információbiztonsági képességeket.

A szektor ellenállóképességének növelése érdekében a pénzintézeteknek a korábbinál hatékonyabban és biztonságosabban kell megoldaniuk a beszállítói kockázatok kezelését, és az információ megosztásával a működési rugalmasságuk fokozása mellett a digitális fenyegetések terjedését is minimalizálniuk kell. Fel kell mérniük, hogy az infokommunikációs szolgáltatók hogyan és milyen formában vesznek részt a működésben. Ki kell iktatni azokat a kockázati tényezőket, amik az érintett szervezet szolgáltatásának teljes leállását eredményezhetik.

Ennek részeként ugyan nem kötelező, de követendő gyakorlat a beszállítói diverzifikáció megvalósítása. Követelmény viszont a szervezet IT-biztonsági védettségéről minden korábbi módszernél jobb képet adó teszt elvégzése. A vállalat kibervédelemmel foglalkozó szolgáltatásait és csapatát teszi alapos próbára a Threat Led Penetration Testing.

Mint egy igazi kibertámadás

TLPT – a fogalom, amivel minden pénzintézet biztonsági csapatának meg kell ismerkednie. Célzott támadási forgatókönyveket használva méri fel az adott szervezet vagy rendszer sebezhetőségét. A behatolási teszt megelőző bejelentés nélkül, a vezetőségen kívül mindenki más számára váratlanul érkezik. A valódi támadók viselkedésének és módszereinek szimulációjával a szervezetek felmérhetik a kiberfenyegetésekkel szembeni tényleges felkészültségüket.

A kritikus üzleti szolgáltatásokat érő, aktuális fenyegetések felmérésére szolgál a rugalmas, egzakt módszertant nélkülöző tesztelés. A legfrissebb és az adott környezet szempontjából releváns veszélyek kihasználására alapuló TLPT-vel ki lehet szűrni például, hogy egy felfutóban levő jelszóhalász támadással szemben védett-e a szervezet. A támadás leginkább a védelem állapotára, annak hatékonyságára fókuszál.

A vállalat próbára tétele black-, grey- és whitebox módszerrel történhet. Míg az elsőnél kizárólag egy külső támadó által hozzáférhető információkkal zajlik a vizsgálat, a második eljárással egyes belső adatokat is felhasználnak. Whitebox felmérés a megbízó teljes infrastrukturális leírásának, forráskódok, konfigurációs állományok birtokában zajlik.

A végső cél a felhasználó pénzének biztonsága

A szakértői tapasztalat szerint – különösen az első pár alkalommal – könnyen születhet kellemetlen eredmény. Sokat segít a sikeres megfelelésben – és így a valódi veszélyekkel szembeni ellenállóképesség javításában –, ha dedikált biztonsági fenyegetésekre kihegyezett csapat dolgozik a szervezet védelmén. Legyen szó a DORA vagy a NIS2 által támasztott kihívásokról, a 4iG csoport mind tanácsadásban, mind pedig biztonsági szolgáltatások területén segítséget tud nyújtani.