4 perces olvasási idő 12 ápr. 2021
kiberbiztonság

Sosem látott támadások várnak a pénzintézetekre

Szerző Zala Mihály

EY Magyarország, IT- és technológiai tanácsadásért felelős vezető, Associate Partner

Technológiai tanácsadás, ismert kiberbiztonsági szakértő. Kódfejtő. Kétgyermekes apa. Tenisz és foci-rajongó. 100 kilométer futás, minden hónapban, ha esik, ha fúj.

4 perces olvasási idő 12 ápr. 2021

Jól vették a távmunkával járó technológiai akadályokat a pénzügyi cégek, de a kiberbűnözők is idomultak az otthoni munkavégzéshez, és finomítottak a módszereiken. Az elkövetkező években emiatt egyre gyakoribb, kegyetlenebb és fájdalmasabb digitális támadásokra számíthatunk, amelyek akár meg is pecsételhetik egy vállalat sorsát. Az EY évtizedes szakmai tapasztalata az mutatja, hogy a legtöbb esetben egy időben elindított, körültekintő rendszerátvizsgáláson és kockázatfelderítésen múlhat a cég jövője.

A pénzintézetek már a koronavírus-járvány kitörése előtt is rendelkeztek megbízható, rendszereik távoli elérést lehetővé tevő megoldásokkal. A vírushelyzetben így a legnagyobb feladatot az jelentette számukra, hogy a meglévő technológiát széles körben, biztonságosan elérhetővé tegyék dolgozóiknak. A munkavégzés gyökeres átalakulása azonban nem csak a vállalati szektort, de az alvilágot is elérte, aminek következtében a kiberbűnözők az eddigieknél is hatékonyabb technikákat alkalmaznak a siker érdekében.

Vállalkozásonként akár 60 milliós kárt is okozhatnak a hekkerek

Az adathalászok ma már nem csupán jól megfogalmazott, hitelesnek tűnő levelekkel próbálják állami hatóságnak vagy pénzintézetnek kiadni magukat, és ezzel megtéveszteni a felhasználókat. Gyakran már telefonon is felhívják egy bank nevében a gyanútlan áldozatot, így kicsikarva a személyes és pénzügyi információkat, de az is előfordul, hogy egy álláshirdetésre vagy termékvásárlásra hivatkozva szerzik meg az adatokat, amivel SIM-cserés csalást követhetnek el. Ebben az esetben, az ellopott személyiséggel új SIM-kártyát igényelnek a károsult részére, majd mobilbankot használva hozzáférnek annak számláihoz. 

Ezzel a módszerrel egy kis- és középvállalkozásnál akár 30-60 millió forintos kárt is képesek okozni. Az ehhez hasonló méretű incidensek Magyarországon egyre gyakrabban fordulnak elő.

Idehaza ugyancsak virágkorukat élik az üzletmenetet romboló, úgynevezett DDoS, vagyis túlterheléses támadások. Ezek képesek elérhetetlenné tenni a célba vett vállalat weboldalát és digitális szolgáltatásait, ezáltal nagyban veszélyeztetik a szervezet működését, és visszavetik az ügyfelek bizalmát. A pénzügyi szektor hazai szereplői tavaly két hullámban tapasztalhatták meg az eddigi legnagyobb ilyen típusú akciót. Az országokon átívelő bankcsoportok jól felkészültek egy-egy hasonló rosszindulatú rohamra, azonban a külső partnerként működő internetszolgáltatóknál számos esetben komoly biztonsági problémákat tártak fel ezek az incidensek, emiatt újra kellett gondolniuk védelmi stratégiájukat.

Kritikus rendszerhibák a pénzügyi szektorban

Az EY által az elmúlt években végzett, az informatikai kockázatokat feltáró rendszerelemzések megerősítik a Magyar Nemzeti Bank megállapításait, miszerint a pénzintézetekre a legnagyobb veszélyt az elavult rendszerek használata jelenti. Olyannyira, hogy ha találunk egy jól ismert sérülékenységet a lejárt publikus felületen, akár pár kattintással utána tudunk járni az interneten, miként lehet ezeket a kiskapukat kiaknázni. A probléma annyira súlyos, hogy az idei évtől a pénzügyi cégeknek a negyedéves adatszolgáltatás során nyilatkozniuk kell a rendszereik verziószámairól az MNB-nek. Mivel az elöregedett szoftverek lecserélése akár évekig eltarthat, érdemes erre időben felkészülni, és megfelelő szakemberekkel felmérni a piacot az ideális megoldásért.

Komoly nehézséget jelent emellett, hogy sokszor elmaradnak a felmerülő sebezhetőségek kezelései is. Hiába végez egy cég évente betörési tesztet, ha nincs nyomon követés, és a felfedezett problémákra nem keresnek hathatós megoldást. Ugyancsak kiemelt veszélyforrás, ha nincs biztosítva az üzletmenet folytonossága: sokszor a felkészülési, ún. nyugalmi időszakban nem tesztelik átfogóan a rendszereket, majd hirtelen, éles helyzetben a céget maga alá temetik azok a hibák, amiket lehetőség lett volna előre kezelni. Klasszikus eset, amikor egyszerre történnek kritikus események, például egy tűzeset és egy online betörés. Mivel nem vizsgálták a helyzetet korábban, így nincs meg a rutin a szituáció hatékony kezelésére.

A sorsukat még nem bíznák a felhőre a cégek

A hazai pénzintézetek óvatosan, kis lépésekkel nyitnak a felhőszolgáltatások irányába. 

a szektor szereplőinek

37 %-a

használja jelenleg ezt a megoldást.

Közülük is a legbátrabbak a biztosítók (55%) és a hitelintézetek (44%) a területen. A technológiával kapcsolatos fenntartásokat mutatja, hogy a felhőbe nem a számlavezető, úgynevezett „core” rendszereket, hanem a kevésbé kritikus, de nagy adatkezelési kapacitásokat igénylő funkciókat viszik fel, mint a levelezés, a videókonferencia megoldások vagy a csalásmegelőzés. Az elmúlt években a felhőszolgáltatók hatalmas erőfeszítéseket tettek a biztonságos környezet kialakítására, így a nagyobb szereplők jóval erősebb szakmai hátteret nyújtanak, mint amit egy vállalat házon belül meg tud valósítani. A kérdés mindig az, hogy szervezetünk számára mi az ideális megoldás? Ezt egy olyan tanácsadócég, mint az EY, precízen meg tudja határozni. 

Mi vár ránk a jövőben?

Az eddigi tapasztalatok alapján a pénzügyi szereplők arra számíthatnak, hogy egyre több sebezhető pont alakul ki rendszereikben, amik még veszélyesebb támadásokat eredményeznek. 

Látványos emelkedés várható az iparágban elszenvedett online betörések számában itthon és világszerte. Emiatt a hatóságok is vérszemet kaphatnak, ami egyre szigorúbb szabályozást hoz magával.
Zala Mihály
EY Magyarország, IT- és technológiai tanácsadásért felelős vezető, Associate Partner

Várhatóan pár év múlva valósulhat meg egyfajta konszolidáció a piacon. Addig is folyamatosan növekedni fog az igény azoknak a technológiai tanácsadóknak szolgáltatásai iránt, akik egyedi megoldást tudnak nyújtani a kritikus hibák feltárására és azok kijavítására, ezáltal a rendszerek megerősítésére. A felsővezetés oktatása is kritikus fontosságú, amit nagyban segít, hogy egyre több technológiai tapasztalattal rendelkező szakember kerül döntéshozói pozícióba. 

Összefoglalás

Ma már az a kérdés, hogy mikor éri kibertámadás a cégét, nem pedig az, hogy éri-e egyáltalán. A megfelelő felkészülés ezért életbevágó. A cégek nem késlekedhetnek azzal, hogy felmérjék a digitális kockázatokat. Az EY több évtizedes tapasztalatával képes beazonosítani a vállalatára leselkedő veszélyeket és megoldást találni minden biztonsági problémára. 

A cikkről

Szerző Zala Mihály

EY Magyarország, IT- és technológiai tanácsadásért felelős vezető, Associate Partner

Technológiai tanácsadás, ismert kiberbiztonsági szakértő. Kódfejtő. Kétgyermekes apa. Tenisz és foci-rajongó. 100 kilométer futás, minden hónapban, ha esik, ha fúj.