GKIeNET Kft. Készült a PSZÁF támogatásával. Budapest, május

GKIeNET Kft.

Az elektronikus és mobil pénzügyi szolgáltatások kockázatainak, azok várható jövőbeni alakulásának felmérése és megelőzésük, illetve szabályozásuk lehetséges eszközeinek feltárása

Készült a PSZÁF támogatásával Budapest, 2007. május

GKIeNET Kft. Postacím: 1461 Budapest, Pf. 232. www.gkienet.hu Székhely: 1092 Budapest, Ráday u. 42-44. Tel: 373-0779; Fax: 373-0780 E-mail: [email protected]

Szerzők: Gál András Lőrincz Vilmos Nagy Dávid Timár Szabolcs Tóth Attila

Copyright: GKIeNET Kft. A tanulmánynak vagy részeinek bármely módon való sokszorosítása tilos. A tanulmány megállapításai csak a forrás megjelölésével idézhetők

Tartalom I.

A KUTATÁSRÓL ..................................................................................................... 1

II.

VEZETŐI ÖSSZEFOGLALÓ ................................................................................. 2

II.1. II.2. II.3.

KOCKÁZATKEZELÉS ÉS IT BIZTONSÁG .................................................................... 2 A LEGGYENGÉBB LÁNCSZEM: AZ ÜGYFÉL................................................................ 4 AZ AMERIKAI, NÉMET ÉS MAGYAR SZABÁLYOZÁS ÖSSZEVETÉSE ............................ 7

III.

ELEKTRONIKUS ÉS MOBIL PÉNZÜGYI SZOLGÁLTATÁSOK .................. 9

III.1. III.2. III.3. IV. IV.1. IV.2. IV.3. V. V.1. V.2. V.3. V.4. VI. VI.1. VI.2.

ELEKTRONIKUS SZOLGÁLTATÁSOK KÖRE ................................................................ 9 ELEKTRONIKUS SZOLGÁLTATÁSOK ELTERJEDTSÉGE ............................................. 11 A BANKI ELEKTRONIKUS SZOLGÁLTATÁSOK DÍJAZÁSA ......................................... 16 KOCKÁZATELEMZÉSI MÓDSZERTANOK BEMUTATÁSA...................... 24 A KOCKÁZATMENEDZSMENT ALAPFOGALMAI ....................................................... 26 A LEGFONTOSABB KOCKÁZATKEZELÉSI MÓDSZERTANOK ..................................... 27 A NÉMET BANKOK KÖRÉBEN HASZNÁLT MEGOLDÁSOK ......................................... 37 IT BIZTONSÁGI SZTENDERDEK A NEMZETKÖZI GYAKORLATBAN . 38 E-BANKING SZTENDERDEK, PROTOKOLLOK ........................................................... 39 BANKKÖZI HÁLÓZATI RENDSZEREK SZTENDERDJEI ............................................... 43 FEJLESZTÉSI TERVEK, A 100%-OS BIZTONSÁG KÉRDÉSE........................................ 44 IT-BIZTONSÁG KONTRA KÖLTSÉGHATÉKONYSÁG .................................................. 46

A HAZAI PÉNZINTÉZETEK ALKALMAZOTT GYAKORLATAI .............. 48 BANKOKKAL KÉSZÜLT INTERJÚK ÖSSZEFOGLALÓJA .............................................. 48 BIZTOSÍTÓKKAL KÉSZÍTETT INTERJÚK ÖSSZEFOGLALÓJA ...................................... 57

VII. ELEKTRONIKUS PÉNZÜGYI SZOLGÁLTATÁSOK KEZELÉSE A TÖRVÉNYHOZÁSBAN ....................................................................................................... 61 VII.1. VII.2. VII.3. VII.4. VII.5.

BASEL II. RENDELKEZÉSEK AZ E-BANKING BIZTONSÁGI INFRASTRUKTÚRÁJÁRÓL 61 AZ EU IRÁNYELVEI ÉS RENDELKEZÉSEI AZ E-BANKING IT-BIZTONSÁGÁRÓL ........ 65 A NÉMET PÉNZINTÉZETEKRE VONATKOZÓ IT-BIZTONSÁGI ELVÁRÁSOK ................ 74 AZ E-BANKING IT-BIZTONSÁGÁNAK SZABÁLYOZÁSA AZ USA-BAN ..................... 78 A HATÁLYOS MAGYAR SZABÁLYOZÁS ÁTTEKINTÉSE............................................. 82

VIII.

MELLÉKLET ......................................................................................................... 86

VIII.1. VIII.2. VIII.3. VIII.4. VIII.5.

BIZTOSÍTÓKKAL KÉSZÍTETT MÉLYINTERJÚK .......................................................... 86 EGYÉB PÉNZÜGYI SZOLGÁLTATÓVAL KÉSZÍTETT MÉLYINTERJÚK .......................... 98 MÉLYINTERJÚ VEZÉRFONÁL ................................................................................ 103 TÁBLÁZATOK JEGYZÉKE ..................................................................................... 106 ÁBRÁK JEGYZÉKE................................................................................................ 109

GKI GAZDASÁGKUTATÓ ZRT.

Az elektronikus pénzügyi szolgáltatások kockázatai

I. A

2007. május

KUTAT ÁSRÓL

A GKIeNET Kft. multidiszciplináris megközelítésben vizsgálta meg a témát, tehát a egyaránt fókuszba került a különböző szolgáltatások használata, a kockázatelemzés, a technológiai jellegű IT biztonsági szempontok, illetve mélyinterjús technikát is használtunk a bankok, biztosítók véleményének megismerésére. A kutatás első fázisában elvégeztük az elektronikus és mobil pénzügyi szolgáltatások körének behatárolását, és elemeztük a különböző szolgáltatások piaci elterjedtséégt, várható fejlődését, illetve költségeit. A kutatás második fázisában összefoglaltuk az IT biztonsági kockázatkezelési logikákat a nemzetközi módszertanok, szabványok, ajánlások lényegi elemein keresztül, illetve megvizsgáltuk a legelterjedteb biztonsági sztenderdeket. A kutatás harmadik fázisában feldolgoztuk az elektronikus pénzügyi szolgáltatások IT biztonsági kockázataival kapcsolatos törvényi előírásokat, mind a hazai törvényhozás (a Hpt., a Tpt, Mpt. illetve Öpt. által előírt) mind az Európai Uniós ajánlások, mind az Egyesült Államok előírásainak tekintetében. Megvizsgáltuk, hogy a hazai törvényhozás logikájában és összességében mennyiben tér el az IT biztonsági kockázatkezelésre vonatkozó nemzetközi törvényhozási gyakorlattól. A kutatás zárásaként személyes interjúkat készítettünk az elektronikus és a mobil pénzügyi szolgáltatásokat nyújtó vállalatokkal, melyek keretében szakértői véleményeket kaptunk a korábban vizsgált három területhez, megismertük a bankok és biztosítók tapasztalatait, fejlesztési terveit. Az anyag segédletként szolgálhat a pénzügyi szabályozói és szolgáltatói szféra számára, hogy a nemzetközileg is elfogadott szabványok bevezetésekor mely elemekre kell hangsúlyt fordítani annak érdekében, hogy megfelelően rugalmas ugyanakkor biztonságos keretrendszert jöjjön létre a jövőben bevezetni tervezett szolgáltatásokhoz.

GKIENET KFT.

1


2007. május

II. Ö SSZEFOGL ALÓ II.1. Kockázatkezelés és IT biztonság Mostanra már a legtöbb szervezet felismeri az információtechnológia kritikus szerepét üzleti céljaik megvalósításában. Ugyanakkor azt is érzékelik, hogy az IT infrastruktúrájuk fokozottan támadások célpontja, egyre gyakoribb és hatékonyabb támadások érkeznek, amelyek megelőzése egyre nagyobb erőforrásokat igényel. Ezért az IT szervezetek kiemelt fontosságú feladata lett infrastruktúrájuk biztonságának a kezelése. Ezenkívül a vállalatirányítási, a pénzügyi törvényi előírások is arra kényszerítik a vállalatokat, hogy az eddigieknél nagyobb figyelemmel és hatékonysággal kezeljék informatikai infrastruktúrájukat, mivel megelőző biztonsági intézkedések híján a szervezet számos kockázatnak van kitéve. Egy szabályszerű biztonsági kockázatkezelési folyamat lehetővé teszi a vállalatok számára, hogy költséghatékonyság mellett azonosítsák és elfogadható szinten tartsák üzleti kockázataikat. Abban is segíti a vállalatokat, hogy kockázatkezelés szempontjából priorizálják korlátozott erőforrásaikat. Az elfogadható kockázat mértéke és a kockázatkezelési megközelítés szervezetenként eltérő. Számos kockázatkezelési módszertan van használatban, ezek megítélése jó/rossz jelzőkkel nem adható meg. Mindegyik modell súlyoz a pontosság, erőforrások, idő, komplexitás és szubjektivitás között. Egy kockázatkezelési folyamatba való befektetés segíti a vállalatokat a prioritások megfogalmazásában, a fenyegetések csökkentésének tervezésében, illetve a legközelebbi fenyegetések hatékony kivédésében. Ezenkívül, egy hatékony kockázatkezelési program egy jelentős lépés a vállalat számára a törvényi előírásoknak való megfelelésben. Az informatikai kockázatok kezelésére és mérséklésére – mint a következő táblázatban látható – többféle megközelítés létezik. Ugyanakkor közös jellemzője ezeknek a megközelítésnek, hogy igyekeznek segítséget nyújtani a proaktív hozzáállásban, azaz a lehetséges kockázatok minél korábbi azonosításában. A kockázatok hatásainak mérséklésében a proaktív megközelítésnek van a legnagyobb szerepe. Külön kiemelendő, hogy az informatikai kockázatok kezelése nem tekinthető tisztán informatikai problémának. Az informatikai kockázatok mögött igen sok esetben szervezeti, eljárási (folyamat) és emberi problémák, vagy hiányosságok állnak. Technikai megoldások alkalmazása helyett sok esetben könnyebben és gyorsabban lehet célt érni ezen tényezők fejlesztésével, változtatásával. Nem szabad elfelejteni, hogy a kockázatok kezelésének célja az üzletmenet fenntartása, illetve megfelelő költségszinten történő működtetése. Éppen ezért szükséges megtalálni a megfelelő középutat a kockázatmérséklési, és a kockázat felvállalási döntések esetében. GKIENET KFT.

2


2007. május

1. TÁBLÁZAT AZ IT-BIZTONSÁG MÉRÉSÉRE HASZNÁLT NEMZETKÖZI SZTENDERDEK Nemzetközi sztenderdek Common Criteria (ISO/IEC 15408)

Cobit (Control Objectives for Information and related Technology)

IT Infrastructure Library (ITIL)

ISO/IEC 13335 "Management of Information and Communications Technology Security" ISO/IEC 17799 "Information technology – Code of practice for information security management" ISO-Standard 27001 "Information technology Security techniques - Information security management systems requirements specification"

Részletek Nemzetközileg elismert sztenderd a hardver-illetve szoftver-termékek tanúsítására. A bizonyítvány tanúskodik az IT-termékek és IT-rendszerek biztonsági előírásoknak való megfeleléséről. Az Information Systems Audit and Control Association (ISACA) Egyesület IT Governance Institute (ITGI) intézetének terméke, egy olyan kockázatellenőrzési metódust mutat be, amely alkalmas a bankügyletekkel kapcsolatos releváns folyamatok során alkalmazott ITkockázatok vizsgálatára. Ezt a rendszert az angol Office Of Government Commerce (OGC) fejlesztette ki az ISO 9001 sztenderd alapján. A rendszer az IT szolgáltatások menedzsmentjével foglalkozik az IT-szolgáltatók szemszögéből. Az IT-biztonsági menedzsment-eljárások alkalmazására vonatkozó ajánlás. A működőképes IT-biztonsági menedzsment kiépítésének és szervezetbe való beágyazásának szükséges lépéseit összegzi. Az első olyan nemzetközi IT-biztonság- menedzsment sztenderd, amely a tanúsításra is alkalmas.

A kockázatkezelési folyamat során hasznos segítséget nyújtanak az egyes megközelítések által megfogalmazott kontrollok, melyek az iparági gyakorlat tapasztalatait (best practice) fogják össze, és melyek segítségével felmérhető, ellenőrizhető (auditálás), hogy egy szervezet milyen mértékben mérsékelte már a kockázatokat, illetve hogyan készült fel a kockázatok kezelésére. A bemutatottakon túl az informatikai termékekre, informatikai folyamatokra, illetve az informatikai projektek kezelésére, és az ezekhez kapcsolódó kockázatok felmérésére még számos ajánlást, szabványt fel lehet használni. Ezek inkább szűkebb területek részletesebb kifejtésével foglalkoznak. Amennyiben szükséges az egyes területek részletesebb feltárásához hasznosak lehetnek a következő források (Pető, 2006): Informatikai rendszertermékek fejlesztéséhez szükséges specifikációk (BS 7738-1, 1994) Informatikai alkalmazási rendszerek dokumentálása (ISO 6592, 2000)

GKIENET KFT.

3


Az ISO 9001 követelmények megjelenítése üzemeltetésben (ISO 9001-3, 1991)

2007. május

a

szoftverfejlesztésben

és

Szoftverek életciklusának kezelése (IS/IEC 12207, 1995) Szoftverfolyamatok értékelése (ISO/IEC TR 15504-5, 1999) Szoftvertermékek értékelése (MSZ ISO/IEC 9126, 2000)

II.2. A leggyengébb láncszem : az ügyfél A pénzügyi szektorban elkövetett bűnözés könnyű áldozata az óvatlan és hiszékeny ügyfél. Az ügyfelek körében fellépő valamennyi kockázat az ügyfél számítógépes ismereteivel függ össze. A kockázatok az interneten továbbított adatok illetéktelen személyek általi elolvasásával, megváltoztatásával, törlésével kezdődnek, és bizonyos kódok megszerzésén keresztül, a „félrevezetett” átutalásoknál végződnek. A leggyakoribb bűnelkövetési módszerek a következők: Phishing – megtévesztés hamis névvel, internet-oldallal vagy címmel

Az elkövető e-mail útján igyekszik megtéveszteni az ügyfelet és online-Bankinggal vagy fizetési eljárásokkal kapcsolatos jelszavainak, hozzáférési kódjainak kiadására ösztönöz. A Phishing csak akkor lehet „sikeres”, ha a banki ügyfél hagyja magát manipulálni.

Pharming vagy Browser-Hijacking – az összeköttetés átvezetése hamis szerverre

Pharming során az ügyfelet nem kívánt web-oldalra vezetik. Az elkövető úgy változtatja meg az ügyfél internet-explorer beállításait, hogy a browser beindításakor hamis oldalak nyílnak meg, vagy a tettes a megadott címeket vezeti át más oldalakra.

Trójai programok, amik észrevétlenül átveszik az ügyfél kritikus biztonsági funkcióit

A „trójai programok” célja, hogy lehallgassák egy online-szolgáltatás használóinak adatait. A trójaiak a rendszer működésbe hozatalától folyamatosan „futnak a háttérben”, és feljegyzik a használó billentyűzetének mozgását és továbbítják azokat a program szerzőjének. A „trójai programoknak”-nak jelenleg három fajtáját ismerjük. Az első csoport a „pozitív” trójai, aki csak azokat a billentyűmozgásokat jegyzi fel, amelyek a hacker számára érdekesek lehetnek. Az érdekes adatok körébe tartozhatnak kódszavak, e-mail-címek, és az ügyfél bankszámlaszámai, hitelkártyájának száma stb. Néhány esetben konkrét home-banking-programokat hallgatnak le.

GKIENET KFT.

4


2007. május

A trójaiak másik csoportjába azok a programok tartoznak, amelyek nem futnak folyamatosan a rendszerrel, csak akkor kapcsolódnak be, ha a felhasználó bizonyos előre kiválasztott programokat aktivál, pl. egy online-szolgáltatást. A trójaiak harmadik csoportjába a szerver-programok tartoznak. Ebben az esetben a hacker teljesen hozzáfér az áldozat számítógépéhez, amivel bármit meg is tehet. Jelenleg ezek a trójaiak a legveszélyesebbek, mert ezek a szerver-programok képesek arra, hogy – az ügyfél billentyűzet-mozgásainak és kódszavainak feljegyzésén túl – adatokat töltsenek fel/le a rendszerre/ről.

Man-in-The-Middle-támadás

A támadó fizikálisan, vagy manapság inkább technikailag két kommunikációs partner „közé áll” és irányítja a kettőjük között lefolytatott adatcserét. Ezeket az információkat a támadó nem csak leolvasni tudja, hanem manipulálni is. Számítógép-vírusok

A valamilyen vírussal ellátott web-oldalak közel egyharmada, és a legtöbb spam-mail is az USA-ból származik. Annak ellenére, hogy az USA-ban egyre szigorúbban kezeli a törvény az online bűnözést, tavaly sem nem sikerült csökkenteni a spam-mail-ek számát. A legtöbb vírusos programot az elmúlt évben Kínában írták. 1. ÁBRA A LEGTÖBB VÍRUSOS WEB-OLDAL 2006-BAN Rangsor

Ország

Százalék

1

USA

2

Kína

3

Oroszország

4

Hollandia

5

Ukrajna

6

Franciaország

1.8%

7

Taiwan

1.7%

8

Németország

1.5%

9

Hongkong

1.0%

10

Dél-Korea

0.9%

egyéb

34.2% 31.0% 9.5% 4.7% 3.2%

10.5%

Forrás: Sophos Security threat riport 2007

GKIENET KFT.

5


2007. május

2. ÁBRA A LEGTÖBB SPAM-MAILT 2006-BAN A KÖVETKEZŐ ORSZÁGOKBÓL KÜLDTÉK Rangsor

Ország

Százalék

1

USA

2

Kína (incl. Hongkong)

3

Dél-Korea

4

Franciaország

5.4%

5

Spanyolország

5.1%

6

Lengyelország

7

Brazília

3.5%

8

Olaszország

3.2%

9

Németország

3.0%

10

Anglia

1.9%

11

Oroszország

1.8%

12

Taiwan

1.8%

Egyéb

22.0% 15.9% 7.4%

4.5%

24.4%

Forrás: Sophos Security Threat Report 2007

GKIENET KFT.

6


II.3. Az amerikai, összevetése

német

2007. május

és

magyar

szabályozás

A következő táblázatban az IT-biztonsági szabályokra vonatkozó néhány lényeges kérdést foglaltunk össze. 2. TÁBLÁZAT ELTÉRÉSEK ÉS HASONLÓSÁGOK AZ AMERIKAI, NÉMET ÉS MAGYAR ITBIZTONSÁGI SZABÁLYOZÁSBAN Kérdések USA Németország Magyarország Szabályozza-e az ország hitelintézeti nem nem igen, részletesen törvénye az IT rendszer védelmét? egyéb törvények egyéb törvények közvetetten, FFIEC és közvetetten, BaFin, Lásd a vonatkozó Ki/mi szabályozza? egyéb bankfelügyeleti egyéb bankfelügyeleti fejezetet szervek előírásai szervek előírásai Ki ajánlja az alkalmazandó IT FFIEC ZKA, BSI n.a. szternderdeket? Mo. nem tagja a Bázeli Èrvényesülnek-e a Bázeli Bankfelügyleti Bizottságnak, csupán igen, megjelenés után igen, megjelenés után Bizottság e-Bankingra vonatkozó kockázati közvetetten, ha pl. rövid időn belül rövid időn belül menedzsment előírásai? ECBS vagy uniós irányelv előírja pénzintézet vezető pénzintézet vezető általánosságban a Ki felel a kockázatmenedzsmentért? testülete testülete pénzintézet

A táblázatból jól látszik, hogy míg a pénzintézetek IT-biztonsági előírásaira vonatkozó szabályozás Németországban és az USA-ban igen hasonló, addig a magyar szabályozási megoldás igen eltér ezektől. Míg a magyar jogalkotás az ITvédelmi szabályokat közvetlenül az egyes pénzintézetekre vonatkozó törvényekben tisztázza, mégpedig elég részletesen; addig a másik két országban elsősorban a Bankfelügyeleti Szervek szabályozzák részletesen a kérdéskört. Igaz, hogy mind Németországban, mind az USA-ban számos egyéb törvény is tartalmaz egy-két irányadó paragrafust az IT-védelemmel kapcsolatban, különösen az Elektronikus aláirásról, illetve az adatvédelemről szóló törvények, azonban ezek az utalások nem vethetők össze a magyar törvények konkrét előírásaival. A magyar szabályozás előnye, hogy átlátható, valamint a pénzintézetekre jogszabályi kötelezettséget ró, amelynek megszegését viszonylag egyszerűbb bizonyítani. A német és amerikai szabályozás előnye, hogy rugalmas, könnyebben változtatható és bármikor módosítható az aktuális technikai fejlődéstől függően. A két külföldi megoldás mellett szól az is, hogy a Bankfelügyeleti Szervek - szakmai jártasságuk miatt - jobban ismerik az IT-biztonság pénzügyi szolgáltatásokkal kapcsolatos problematikáját, mint sok esetben maga a jogalkotó, ezért célirányosabb, részletesebb szabályozás megalkotására képesek. Ezek a felügyeleti szervek a Bázeli Bankfelügyeletei Bizottság gyakorlatához hasonlóan a

GKIENET KFT.

7


2007. május

szabályozással egyidejűleg best practices-okat (legjobb gyakorlat) is ajánlhatnak, előírhatják az alkalmazandó sztendereket, azonosítási módszereket stb.

Lényegi hasonlóságok

A konkrét előírásokat tekintve meg kell állapítanunk, hogy nem találkozunk nagy eltérésekkel kétféle szabályozás esetén. Mind a magyar, mind a német és USA-beli szabályok ugyanazokból a kockázatkezelési előírásokból indulnak ki az ITbiztonságra vonatkozóan, pl. kockázati stratégia kialakítása, védelmi-, vészhelyzeti-, helyreállítási tervek létrehozása, feladatkörök megosztása, ügyfél-azonosítási szabályok, adatvédelem és adattárolás stb. Mégis meg kell jegyeznünk, hogy alacsonyabb rendű jogforrásban egyszerűbb részletes szabályokat alkotni, mint törvényben. Erre legjobb példa az FFIEC Kézikönyv, ami a legmesszemenőbb részletekig szabályozza az egyes IT-problémaköröket. Az irányelvek összecsengésének egyik oka a direkt vagy indirekt Bázeli fennhatóság is lehet. Hiszen míg Németország és az USA bizottsági tagként szervesen részt vesz a nemzetközi pénzintézeti szabályok kialakításában és köteles is alkalmazni azokat; addig Magyarország vagy a Banki Sztenderdek Európai Bizottságán keresztül (ECBS) közvetetten, vagy pedig uniós irányelvként közvetlenül kénytelen átvenni a Bázeli ajánlásokat.

GKIENET KFT.

8


III.

E LEKTRO NIKUS

2007. május

ÉS MOBIL PÉNZÜGYI SZOLG ÁLTAT ÁSO K

III.1. Elektronikus szolgáltatások köre Bankok A bankok és biztosítók közül az előbbiek jóval több, online is elérhető szolgáltatást nyújtanak ügyfeleik részére. Ma már nincs olyan bank Magyarországon, amelynek ne lenne elérhető internet-banki megoldása. Az információkérő szolgáltatások közül a számla információ/történet minden bank internetes rendszerén keresztül elérhető, valamint hasonlóan elterjedt még az eseti átutalási ügyek intézése. Ez a két funkció képzi minden internet bank alapját. Az eseti átutalások mellett az állandó átutalási megbízások lehetőségét csak kevés bank alakította ki internetes megoldásában. Az online devizaműveleteket számos bank támogatja. A banki megtakarítási szolgáltatások közül leggyakrabban a betétlekötési lehetőség érhető el az online bankokban, míg az értékpapírok adásvétele jóval ritkábban szerepel a szolgáltatások között. Ugyanígy a hitel-igények online bejelentésére is csak néhány bank oldalán van lehetőség. A bankkártyával kapcsolatos ügyintézések közül a legelterjedtebb a kártyaigénylés, melyet a bankok hozzávetőleg fele támogat online. A kártyalimit módosítása illetve annak letiltása/aktiválása csak néhány rendszerben elérhető, s a PIN-kód cserére is csak kevés helyen van lehetőség. A bankok szolgáltatásaitól leginkább távolálló mobiltelefon-egyenleg feltöltés ritkaságszámba megy. 3. TÁBLÁZAT MAGYARORSZÁGI E-BANKOK SZOLGÁLTATÁSAI Szolgáltatás Számla információ Számla történet Átutalás Betétlekötés Bankkártya igénylés Bankkártya limit módosítása Hiteligénylés Értékpapír adás-vétel Mobiltelefon egyenleg feltöltés Bankkártya letiltása/aktiválása PIN kód csere Állandó átutalási megbízások létrehozása módosítása Deviza műveletek

GKIENET KFT.

Elterjedtség Mind Mind Mind Gyakran Több helyen Néhány helyen Több helyen Néhány helyen Ritka Néhány helyen Több helyen Több helyen Több helyen

9


2007. május

Biztosítók A magyarországi biztosítók online felkészültsége nem összemérhető a bankokéval. Az intézetek webes megjelenése az információszerzésen túl gyakran semmilyen egyéb lehetőséget nem biztosít az érdeklődők számára. Összehasonlításukat bonyolítja, hogy míg egyes biztosítók számos területen jelen vannak (gépjármű biztosítás, életbiztosítás, utasbiztosítás), addig néhányan csak egy-egy területre specializálódtak, s bizonyos területek jellegükből adódóan jelenleg nem alkalmasak online ajánlatkérésen túlmutató funkciók alkalmazására. A statikus információ nyújtás mellett a legtöbb biztosító online kalkulátor szolgáltatást is elérhetővé tesz, s mellette legalább letölthető formanyomtatványokat biztosít letöltésre. Egyes biztosítás típusok esetén a teljes szerződéskötési folyamat online történik, online fizetési lehetőséggel együtt, mint a kötelező gépjármű felelősségbiztosítás, illetve az utasbiztosítás. Az egyéb biztosítási lehetőségek közül (pl. CASCO, lakásb.) a legfejlettebb megoldás is csak az igénylő személyes adatainak online-bekérését, és egy ajánlattevő nyilatkozat elkészítését jelenti, melyet kinyomtatva a szolgáltató számára postán vagy faxon kell eljuttatni. A nem-életbiztosítások esetén, a kárbejelentés folyamata sok társaság honlapján megkezdhető internetes űrlapokon keresztül, illetve néhány esetben dedikált email címet tartanak fenn erre a szolgáltatásra. Ezek a megoldások főleg a gépjárművek káreseteinek bejelentésére lettek kialakítva, míg balesetbiztosításhoz és életbiztosításhoz a „káresetek” bejelentését csak egy-egy biztosító oldalán lehet megtenni. A biztosítók majdnem felénél elérhető online, regisztrációhoz kötött ügyfélszolgálati rendszer. Ezek főleg az egyenleg-információk lekérdezésére illetve szerződések és adatok módosítására szolgálnak. 4. TÁBLÁZAT MAGYARORSZÁGI BIZTOSÍTÁSOK ONLINE ELÉRHETŐSÉGE Szolgáltatás Kötelező gépjármű felelősségbiztosítás CASCO Lakás biztosítás Nyugdíj biztosítás Élet biztosítás Baleset biztosítás Utas biztosítás

Kalkuláció Gyakran Több helyen Több helyen Néhány helyen Több helyen

GKIENET KFT.

Szerződés indítása Gyakran Ritka Ritka Néhány helyen Ritka Több helyen

Kárbejelentés Több helyen Több helyen Néhány helyen Ritka Ritka Ritka Néhány helyen

10


2007. május

III.2. Elektronikus szolgáltatások elterj edtsége Nemzetközi trendek A nagyszámú online-Banking szolgáltatás ellenére Európában csupán a lakosság 25%-a, az USA-ban ennek majdnem duplája, a lakosság mintegy 44%-a bonyolítja le pénzügyi ügyleteit online módon. Igaz, hogy Európában is egyre inkább terjed az internet használata és várhatóan emelkedni fog a szolgáltatások népszerűsége, de hirtelen változásra a jövőben sem számíthatunk. Az USA-ban 2004 óta stagnál az online-Banking piac. 3. ÁBRA AZ ONLINE-BANKING HASZNÁLATA EURÓPÁBAN, 2005-BEN

A tradicionális banki szolgáltatások mellett szól egyrészt az emberi tényező, másrészt pedig, hogy az ügyfelek jó része még mindig bizonytalannak tartja az online szolgáltatásokat. Pedig az offline módon történő visszaélések során sokkal nagyobb károk keletkeznek, mint online Banking során. Az aláírások hamísítása, a hitelkártyákkal való visszaélés még ma is sokkal gyakoribb, mint pl. a hacking. Igaz, nem hanyagolhatjuk el a Phising-támadások során keletkezett károk mértékét sem. A Phising-támadások nemzetgazdasági kára Németországban 2005-ben ugyan még nem érte el a 100 millió eurós határt (a kárnagyság „csupán” nyolcszámjegyű volt, de a kisszámú statisztika szórása sajnos így is nagyon nagy), míg az USA-ban ugyanebben az évben mintegy 2,8 milliárdos kárt okoztak Phising-gel. Az átlagos kárérték kb. 4000 EUR.1 A Deloitte 2006-os ITbiztonsági tanulmánya2 megállapítja, hogy a világ legnagyobb 150 pénzintézetének 1 2

A Phising-ra vonatkozó adatok a nemzetközi Anti-Phising-Munkacsoporttól származnak (APWG) Deloitte: Global Security Survey, 2006

GKIENET KFT.

11


2007. május

kb. 78%-át érte már valamilyen IT-támadás. Ez 2005-höz képest mintegy 26%-os növekedést jelent és egyúttal érzékelteti az IT-problematika komolyságát. A nagy támadási arány ellenére nagyon kevés pénzintézet méri az IT-támadások által okozott károk mértékét, és a támadások pontos elemzését is csak néhányuk végzi el.

Hazai helyzet Elektronikus szolgáltatások ügyfélköre

A hazai bankok szolgáltatásaik széles körét teszik elérhetővé elektronikus csatornákon keresztül. Az utóbbi időben egyértelműen felismerhető tendenciaként jelent meg, hogy a bankok igyekeznek ügyfeleiket (főképp a díjazáson keresztül) az online tranzakciók irányába terelni. Ezt támasztja alá a 2007 áprilisában készült felmérésünk is, melyben az egyes banki tranzakciókra adott online megbízások várható változását is vizsgáltuk. A bankok várakozásai alapján az internetes bankszolgáltatások közül az internetes átutalások aránya növekszik majd a legnagyobb mértékben mind a lakossági, mind a vállalati ügyfelek között (utóbbiak esetében kiemelkedő mértékben). A második, illetve harmadik helyre a vállalati ügyfélkör esetében a mobilegyenleg feltöltése és a tranzakciók ellenőrzése került. A lakossági ügyfelek esetében a pénzintézetek várakozása alapján a második, illetve harmadik helyre a mobilegyenleg feltöltése mellett a csoportos beszedési megbízások indítása került. Ez utóbbi valószínűleg annak a hatása, hogy a pénzintézetek a magasabb hozamot kínáló betétlekötési konstrukciókat a folyószámlára utalt rendszeres jövedelem mellett a csoportos beszedési megbízások meglétéhez kötik. 4. ÁBRA AZ INTERNETEN KERESZTÜL ADOTT LAKOSSÁGI MEGBÍZÁSOK ARÁNYÁNAK VÁRHATÓ VÁLTOZÁSA A KÖVETKEZŐ 12 HÓNAP SORÁN A BANKOK VÉLEMÉNYE ALAPJÁN - EGYENLEGÉRTÉKEK [–100 JELENTŐSEN CSÖKKEN; +100 JELENTŐSEN NŐ]; 2006. 4. NEGYEDÉV Átutalások

75

Mobilegyenleg feltöltés

58

Csoportos beszedési megbízás

51

Betétlekötések

43

Befektetési jegyek vétele/eladása

43

Állampapírok vétele/eladása

40

Részvények vétele/eladása

39

Tranzakciók ellenőrzése

39

Számlainformációk lekérdezése

38

Hiteligénylés

20 0

10

20

30

40

GKIENET KFT.

50

60

70

80

12


2007. május

Internet-banki ügyfelek

A pénzintézetek körében végzett felmérésünk alapján 2006. december 31-én az internetes folyószámla-szolgáltatásokkal rendelkező hitelintézetek kb. 1 millió 177 ezer internet-banki szolgáltatásokra szerződött lakossági ügyféllel rendelkeztek, ami 56%-kal magasabb, mint egy évvel korábban. Az internet-banki szolgáltatásokra szerződött vállalkozások száma ugyanebben az időpontban közel 192 ezer volt, ami 69%-os növekedést takar a megelőző 12 hónap során. 5. ÁBRA INTERNET-BANKI LAKOSSÁGI ÜGYFELEK SZÁMA ÉS ÁTLAGOS ARÁNYA AZ INTERNETES BANKOKNÁL 1 600 000

40%

1 400 000

35%

1 200 000 1 000 000

30% 25%

800 000

20%

600 000

15%

400 000 200 000

10% 5%

Ügyfelek száma (db)

2007.06.30. (előrejelzés)

2006 12 31

2006 09 30

2006 06 30

2006 03 31

2005 12 31

2005 09 30

2005 06 30

2005 03 31

2004 12 31

2004 09 30

2004 06 30

2004 03 31

2003 12 31

2003 09 30

2003 06 30

2003 03 31

2002.12.31

2002.09.30

2002.06.30

2002.03.31

2001 12 31

2001.09.30

2001.06.30

2001.03.31

0%

2000.12.31

0

Ügyfelek aránya (%, jobb o. teng.)

2006. december 31-én az internet-banki ügyfelek aránya az internetes szolgáltatással rendelkező bankok összes lakossági ügyfeléhez viszonyítva átlagosan 18,9%, a vállalati ügyfelek esetén pedig átlagosan 27,9% volt. 6. ÁBRA INTERNET-BANKI VÁLLALATI ÜGYFELEK SZÁMA ÉS ÁTLAGOS ARÁNYA AZ INTERNETES BANKOKNÁL 48% 44% 40% 36% 32% 28% 24% 20% 16% 12% 8% 4% 0%


2007.06.30. (előrejelzés)

2006.12.31

2006.09.30

2006.06.30

2006.03.31

2005.12.31

2005.09.30

2005.06.30

2005.03.31

2004.12.31

2004.09.30

2004.06.30

2004.03.31

2003.12.31

2003.09.30

2003.06.30

2003.03.31

2002.12.31

2002.09.30

2002.06.30

2002.03.31

2001.12.31

2001.09.30

2001.06.30

2001.03.31

2000.12.31

240 000 220 000 200 000 180 000 160 000 140 000 120 000 100 000 80 000 60 000 40 000 20 000 0


GKIENET KFT.

13


2007. május

Az online csatornák népszerűségének folyamatos emelkedését mutatja az is, miszerint 2007 első félévének végére a lakossági internet-banki ügyfélkör nagysága várhatóan 1,42 millió, vállalati ügyfélköré pedig csaknem 222 ezer körül alakul majd. A bankok várakozása szerint a vállalati internet-banking ügyfelek száma a következő 12 hónap folyamán a lakossági ügyfélkör bővülésénél gyorsabban fog növekedni (egyenlegérték a lakosság esetében 60,4, a vállalatok esetében: 74,9). A korábbi időszakokhoz képest mindkét ügyfélkör esetében jelentősen nőttek a bankok várakozásai, aminek hátterében az előző időszakok dinamikus bővülése állhat. 7. ÁBRA INTERNETES ÜGYFELEK ARÁNYÁNAK VÁRHATÓ VÁLTOZÁSA A KÖVETKEZŐ 12 HÓNAP SORÁN A BANKOK SZERINT - EGYENLEGÉRTÉKEK: –100 JELENTŐSEN CSÖKKEN; +100 JELENTŐSEN NŐ SKÁLÁN -

Lakossági ügyfelek

2006.IV.né.

2006.III.né.

2006.II.né.

2006.I.né.

2005.IV.né.

2005.III.né.

2005.II.né.

2005.I. né.

2004.IV. né.

2004.III. né.

2004.II. né.

2004.I. né.

2003.IV. né.

2003.III. né.

2003.II. né.

2003.I. né.

2002.IV. né.

2002.III. né.

2002.II. né.

2002.I. né.

2001.IV. né.

2001.III. né

2001.II. né

2001.I. né

80 75 70 65 60 55 50 45 40 35 30

Vállalati ügyfelek

Aktív ügyfelek aránya

Bár az internet-banki szolgáltatásokra vonatkozó szerződéssel rendelkező ügyfelek száma már meghaladta az egy milliót is, az elektronikus csatornákat valóban használó ügyfelek száma ennél lényegesen alacsonyabb: nyolc válaszoló bank esetében a legalább egy aktív tranzakciót kezdeményező internet-banking ügyfelek aránya a lakossági körben 14% és 67% között mozgott 2006 negyedik negyedévében. A vállalati internet-banking ügyfelek esetében szintén nyolc bank válaszolt erre a kérdésre, melyeknél az aktív vállalatok aránya 50% és 82% között mozgott. Az említett bankok esetében átlagosan a lakossági internet-banki ügyfelek 34%-a, a vállalati ügyfelek 63%-a hajtott végre legalább egy internetbanki tranzakciót 2006. negyedik negyedévében. Mobilbank

Mobiltelefonos banki szolgáltatásokra szóló szerződéssel 2006. december 31-én közel 1,6 millió lakossági és közel 116 ezer vállalati ügyfél rendelkezett. A lakossági ügyfelek száma egy év alatt 50%-kal növekedett, míg a mobilbanki szolgáltatást igénybevevő vállalati ügyfelek száma pedig 37%-kal nőtt.

GKIENET KFT.

14


2007. május

A mobilbanki szolgáltatással rendelkező bankoknál az ilyen szerződéssel rendelkező lakossági ügyfelek aránya 26,5% volt a negyedik negyedév végén, míg a vállalati ügyfelek 19,2%-a használta a mobiltelefont banki szolgáltatások igénybevételére. 8. ÁBRA MOBILTELEFONOS SZERZŐDÉSSEL RENDELKEZŐ LAKOSSÁGI ÜGYFELEK SZÁMA ÉS ARÁNYA A BANKOKNÁL 2 000 000 1 800 000 1 600 000 1 400 000 1 200 000 1 000 000 800 000 600 000 400 000 200 000 0

36% 32% 28% 24% 20% 16% 12% 8% 4%

2006 12 31

2006 09 30

2006 06 30

2006 03 31

2005 12 31

2005 09 30

2005 06 30

2005 03 31

2004 12 31

2004 09 30


2007.06.30. (becslés)


2004 06 30

2004 03 31

2003 12 31

2003 09 30

2003 06 30

2003 03 31

2002.12.31

2002.09.30

2002.06.30

2002.03.31

2001 12 31

2001.09.30

2001.06.30

2001.03.31

2000.12.31

0%

A bankok a mobilbanki ügyfelek igen dinamikus további emelkedésére számítanak a következő időszakban is. A várakozások szerint a lakossági mobilbanki ügyfelek száma 2007 első félévének végére – éves szinten közel 36%-kal növekedve – megközelítheti az 1,84 milliót. A vállalati ügyfélkörben ennél némileg kisebb bővülésre lehet számítani, az ügyfelek száma 2007 júniusának végéig – éves szinten 25%-kal növekedve – 128 ezer fölé kerülhet. A vállalati ügyfelek esetében a korábbiakhoz képest növekedési prognózisukat némileg javították a pénzintézetek. 9. ÁBRA MOBILTELEFONOS SZERZŐDÉSSEL RENDELKEZŐ VÁLLALATI ÜGYFELEK SZÁMA ÉS ARÁNYA A BANKOKNÁL


2007.06.30. (becslés)

2006.12.31

2006.09.30

2006.06.30

2006.03.31

2005.12.31

2005.09.30

2005.06.30

2005.03.31

2004.12.31

2004.09.30

2004.06.30

2004.03.31

0%

2003.12.31

5%

0

2003.09.30

20 000

2003.06.30

10%

2003.03.31

40 000

2002.12.31

15%

2002.09.30

60 000

2002.06.30

20%

2002.03.31

25%

80 000

2001.12.31

100 000

2001.09.30

30%

2001.06.30

120 000

2001.03.31

35%

2000.12.31

140 000


GKIENET KFT.

15


2007. május

III.3. A banki elektronikus szolgáltatások díjazása Tíz bank internetes megoldását és a hozzá kapcsolódó díjakat vizsgáltuk meg. Arra kerestük a választ, hogy milyen kedvezményeket adnak, esetleg milyen plusz terheket rónak a bankok azokra a ügyfeleikre, akik az ügyintézői kapacitás helyett inkább elektronikusan intézik banki ügyeiket. Megvizsgáltuk a lakossági és vállalati ügyfelek számára nyújtott ajánlatokat egyaránt. A vállalati ajánlatok közül igyekeztünk a mikro-, avagy ennek hiányában a kis- és középvállalkozások számára készült szolgáltatás-csomagokat vizsgálni. Ezeknél a vállalatoknál ugyanis kevésbé jellemző az egyedi megegyezés cég és bank között, így pontosabb képhet kaphatunk, és jobban össze is hasonlítható a lakossági adatokkal.

Lakossági internet-banki és egyéb elektronikus szolgáltatások

Belépési díj

A lakossági folyószámlához biztosított internet-banki hozzáférésekhez jellemzően nem szükséges belépési díjat fizetni. Két esetben találtunk kivételt. Ezek közül az egyik bankban (ELLA) nem volt külön nevesített belépési díj, azonban a csomagokban foglalt szolgáltatások és az árak különbségéből kiszámolható, hogy körülbelül 4000 Ft-al kell többet fizetnie annak, aki a banki szolgáltatásokat interneten keresztül is igénybe szeretné venni. A másik bankban (Raiffeisen) egyetlen kivétellel minden számlacsomaghoz tartozik internet-banki elérés. A kivételes csomaggal rendelkező ügyfelek 2000 Ft belépési díjat kell fizessenek. Összességében tekintve azonban kijelenthető, hogy az internet-banki szolgáltatások belépési díjtól mentesek.

Havidíj

Az internet banki rendszerek lakossági használatának havidíjával kapcsolatban ugyanazt találtuk, mint a belépési díj esetében. A bankok túlnyomó többsége nem számít fel a számlavezetési díjtól elkülönülő havi díjat, azonban két esetben itt is találtunk kivételt. Azon bankok, amelyek kérnek havi díjat, jellemzően 150 Ft és 200 Ft közötti összeget kérnek el. Ez az összeg nem magas, ám ellentmondásos üzenetet közvetít. Egyrészt azt sugallja, hogy az ügyfél jobban jár, ha nem akarja elektronikusan, sorban állás nélkül intézni az ügyeit. Másrészt, mint azt később kifejtjük, az elektronikus ügyintézés ügyintézésenkénti díja alacsonyabb a „hagyományos” eljárásokénál, azaz a másik oldalról az elektronikus megoldások felé terelik az ügyfeleiket. Az internet banki havi díj azonban nem jellemző, többségében rejtve marad az ügyfél szeme elől a számlavezetési díjban.

GKIENET KFT.

16


2007. május

Utalási megbízások

Az internetes megoldások előnye leginkább a banki műveletek jutalékának mértékén látható. Minden bank esetében az elektronikus műveletek kedvezőbb „tarifával” történnek, mint a hagyományos, formanyomtatványos folyamatok. Megvizsgáltuk, hogy milyen kondíciókkal lehet a bankokban utalási megbízást feladni bankon belülre és kívülre hagyományosan, és az internetes rendszeren keresztül. A vizsgálatot nehezítette, hogy a bankok rendelkeznek külön olyan számlacsomaggal, mely az internetes ügyintézést támogatja rendkívül alacsony díjaival, míg a hagyományos ügymenet díjai magasabbak. Továbbá léteznek olyan csomagok, melyek kevésbé kedvezőek az internetes megoldások használói számára. A vizsgált bankok körében az utalási megbízások járuléka a teljesen díjmentes kategóriától a hagyományos ügymeneti díjakkal megegyező járulékok kategóriájáig mindent felölel. Számos banknak létezik olyan számlacsomagja, melyben a bankon belüli, egyes esetekben a bankközi utalások is díjmentesek, amennyiben azokra interneten adnak megbízást. Azonban három olyan bankot is találtunk a tízből, melyek nem tesznek különbséget a kétféle ügymenet között. A két véglet között pedig megtalálhatók azok a díjszabások, melyek néhány ezrelékkel jutalmazzák az elektronikusan ügyet intéző klienseket. Az egyes bankok díjai közötti különbséget az alábbi táblázat mutatja. Amennyiben a számlacsomag neve alapján nem egyértelmű, hogy melyik csomagot tekintettük „online” számlacsomagnak a bank portfóliójában, úgy azt a táblázatban jelöltük. Több esetben is előfordult, hogy nem találtunk az adott banknál olyan számlacsomagot, mely egyértelműen az elektronikus megoldások támogatására lett volna kialakítva. Öt bank esetében nem találtunk olyan számlacsomagot, mely egyértelműen az elektronikus ügyintézésre bíztatná az ügyfeleket. A többi esetben találtunk olyan csomagot, melyeknél vagy nevükből, vagy díjszabásukból úgy következtettünk, hogy az a banki portfólió „online” számlacsomagja. Ezek kivétel nélkül ingyenes bankon belüli átutalást biztosítanak interneten keresztül. A bankon belüli, hagyományos átutalás ezen csomagok esetén a többi csomag díjszabásával megegyezően történik, vagy értelemszerűen magasabb díjért. Arra nem találtunk példát, hogy egy „online” számlacsomag a papírforma megbízások esetén is kedvezőbb legyen a hagyományos csomagok díjszabásánál. Ellenben a hagyományos számlacsomagok soha nem büntetik magasabb díjjal, ha az ügyfél az internet bankon keresztül intézkedik.

GKIENET KFT.

17


2007. május

5. TÁBLÁZAT BANKI UTALÁSOK ÖSSZEHASONLÍTÁSA (LAKOSSÁGI) „Online” számlacsomag Bankon belül Személyes

Budapest Bank CIB

eBank

Személyes

eBank

Bankon belül Személyes

0,2% (min.

0,2% (min.

0,2% (min.

300 Ft,

Ingyenes

350 Ft, max.

Ingyenes

5000 Ft)

500 Ft, max. 5000 Ft)

750 Ft, max.

Ingyenes

200 Ft, max. 2500

0,2% (min. 190 Ft, max.

Ingyenes

4000 Ft)

[nonstop

5000 Ft)

[nonstop

[nonstop

csomag]

[nonstop

csomag]

csomag]

199 Ft

25 Ft

0,085%

190 Ft)

50 Ft)

190 Ft)

(min. 50 Ft)

[privát

[privát

[privát

[privát

csomag]

csomag]

csomag]

csomag]

max. 5000

Nem találtunk külön „online” csomagot

0,2% (min.

OTP

Raiffeisen Bank

200 Ft, max.

Ingyenes

320 Ft, max.

2000 Ft)

6000 Ft)

0,2% (min.

0,25% (min.

Ingyenes

0,02% (min. 60 Ft, max. 4000 Ft)

max. 1000

Ingyenes

300 Ft, max.

Ingyenes

4500 Ft)

[lendület

4500 Ft)

[lendület

[lendület

csomag]

[lendület

csomag]

csomag]

GKIENET KFT.

0,2% (min.

0,02% (min.

250 Ft,

60 Ft, max.

max. 5000

4000 Ft)

Ft) 0,2% (min.

10 Ft

200 Ft, Ft)

200 Ft +

200 Ft +

0,185%

0,275% 20 Ft

20 Ft

max. 5000

Ft)

(min. 275

Ft, max.

Ft, max.

5000 Ft)

6000 Ft)

40 Ft

0,2% (min.

0,1% (min.

0,2% (min.

0,1% (min.

200 Ft,

100 Ft,

320 Ft,

200 Ft,

max. 2000

max. 1000

max. 6000

max. 2000

Ft)

Ft)

Ft)

Ft)

0,2% (min.

300 Ft, max.

csomag]

130 Ft,

(min. 275

0,2% (min.

50 Ft

max. 5000 Ft)

0,2% (min.

MKB

400 Ft,

0,2% (min.

250 Ft,


5000 Ft)

Ft)

0,05% (min.

Ft)

K&H Bank

60 Ft, max.

max. 5000

0,15% (min.

0,2% (min. Nem találtunk külön „online” csomagot

0,1% (min.

300 Ft Ft,

0,25% (min.

Ft)

Ingyenes

IEB

eBank

0,2% (min.

0 Ft

190 Ft max.

csomag]

5000 Ft)

0,2% (min.

7500 Ft)

0,15% (min.

60 Ft, max.

Ft)

0,3% (min. Ingyenes

0,1% (min.

max. 5000

Nem találtunk külön „online” csomagot 0,25% (min.

Személyes

ügymenet díjai között

100 Ft +

350 Ft, max.

eBank

Bankon kívül

Nincs különbség az internetbanki és a hagyományos

100 Ft +

ELLA

HVB / UniCredit Bank

Bankon kívül


5000 Ft)

Erste Bank

Hagyományos számlacsomag

0,25% (min.

300 Ft,

0,1% (min.

300 Ft,

0,15% (min.

max. 4500

100 Ft,

max. 4500

150 Ft,

Ft)

max. 1000

Ft)

max. 3500

[alapszámla

Ft)

[alapszámla

Ft)

csomag]

csomag]

18


2007. május

ATM pénzfelvétel és SMS értesítés

Megvizsgáltuk, hogy a bankok milyen összeget vonnak le az ATM automatából történő készpénzfelvétel esetén. Ennek azért van jelentősége, mivel az ATM automata rendszer is a banki ügyfélszolgálat terhelését csökkenti. Ha azt a bank megkülönböztette, akkor a fiókban történő készpénzfelvételi díjak közül a bankkártyás készpénzfelvétel árát jelenítettük meg. 6. TÁBLÁZAT AZ ATM ÉS FIÓKOS KÉSZPÉNZFELVÉTEL KÖLTSÉGEI (LAKOSSÁGI) Saját Budapest Bank

250 Ft + 0,35% (max. 5000 Ft) 0,25% (min.

CIB

400Ft, max. 4500 Ft)

ELLA

Erste Bank

HVB / UniCredit Bank IEB K&H Bank MKB

Fiók Idegen 100 Ft + 1% (min. 250 Ft) 0,25% (min. 400 Ft)

-

-

100 Ft + 0,5%

500 Ft + 1%

(max. 10000

(max. 10000

Ft)

Ft)

Külföldi

Saját

1500 Ft

75 Ft

2000 Ft

100 Ft

-

-

(min. 270 Ft)

250 Ft

1500 Ft

189 Ft – 360

3 USD – 3

Ft

USD + 0,33%

1,5%

45 Ft + 0,45%

300 Ft + 1,1%

0,1% (min.

(min. 250 Ft,

350 Ft)

75 Ft

180 Ft) – 0,1%

1% (min. 220

1% (min. 300

Ft, max. 3000

Ft, max. 4000

Ft)

Ft) 450 Ft

1000 Ft +

1000 Ft + 1%

150 Ft + 0,3%

350 Ft + 0,3%

(min. 400 Ft)

(min. 700 Ft)

?

3 EUR + 1%

6 USD + 1%

1000 Ft +

50 Ft

300 Ft

55 Ft + 0,25%

400 Ft

1000 Ft + 1%

300 Ft

7 USD

1,5%

Díjmentes – 75 Ft

1,5%

1 EUR 500 Ft

4 EUR + 1%

39 Ft + 0,49%

500 Ft

4500 Ft)

Raiffeisen Bank

1,5% + 1000

(min. 350 Ft)

max. 5000 Ft)

0,35% (max.

[külföldi Erste]

0,1% (min. 5 EUR + 1%

150 Ft +

OTP

1500 Ft

45 Ft + 0,45% 1200 Ft +

0,2% (min.

(max. 5000 Ft)

120 Ft + 1%

Külföldi

Ft [külföld]

250 Ft) – 0,2%

300 Ft + 0,3%

ATM Idegen

[külföldi OTP] 3 EUR + 1% [külföld]

190 Ft

7 EUR

190 Ft

190 Ft

7 EUR

Látható, hogy az összes bank támogatja az elektronikus, ATM-en keresztül történő készpénzfelvételt szemben a banki pénztár foglalásával. Az ATM használat díjai 39 Ft + 0,49%-tól egészen 7 euróig (kb. 1800 Ft) terjednek. A bankfiókokban történő felvétel díjai 100 Ft + 0,5%-tól 2000 Ft-ig, azaz jóval drágább intervallumon belül, mint az ATM-es felvét esetében. GKIENET KFT.

19


2007. május

Végül azt is megvizsgáltuk, hogy az egyes bankok „push”-szerű elektronikus információ közlése milyen díjak mellett történik. Az e-mail értesítés egyelőre nem elterjedt, ezért az SMS értesítés díjait hasonlítottuk össze. Az összehasonlítást azonban nehezítette, hogy az egyes bankok más-más információ közlésére nyújtják ezen szolgáltatásukat. Míg egyes bankok hóvégi záróegyenleget küldenek mobilrendszeren keresztül, addig más bankok minden alkalommal, amikor a számlaegyenlegen változás történik. Továbbá a szolgáltatás díja rendszerint számlacsomagonként eltérő bankon belül is. Egy-két csomagtól eltekintve az SMS értesítés szolgáltatásért havi vagy alkalmi díjat kell fizetni. Esetenként mind a kettőt. Egyetlen bankot találtunk, mely nem nyújt „push” tipusú SMS szolgáltatást, azonban a lekérdezés lehetősége itt is adott. 7. TÁBLÁZAT SMS ÉRTESÍTÉS DÍJAI (LAKOSSÁGI) Havi díj SMS díj Budapest Bank

35 Ft,

Díjmentes, illetve 400 Ft

0 Ft

50 Ft – alap, 400 Ft – részletes

CIB

illetve egyes számlacsomagokban

0 Ft

díjmentes

ELLA Erste Bank HVB / UniCredit Bank IEB K&H Bank MKB OTP Raiffeisen Bank

Nincs automatikus szolgáltatás, csak „pull” típusú 25Ft/lekérdezés díjért 0 Ft – 280 Ft (SMS csomagonként)

10 Ft

400 Ft/hó vagy 20 Ft/SMS 0 Ft

30 Ft

0 Ft – 200 Ft

20 Ft

200 Ft

20 Ft

150 Ft (általános), 0 Ft (junior)

10-12 Ft, illetve 20-25 Ft

0 Ft (menza és lendület), 99 Ft – alap, 299 Ft – részletes

0 Ft

Vállalati internet-banki és egyéb elektronikus szolgáltatások Belépési díj

A vállalati ügyfelek számára belépési díjat az internet bankhoz nem kérnek. Ez alól kivétel az ELLA, amely hasonlóan a lakossági ajánlatához, a csomagok tartalmából és árából egy 5000 Ft-os belépési díj kalkulálható ki.

Havi díj

Összesen két olyan bankot találtunk, melyek a vállalati ügyfeleiktől az internet bank használatáért havi díjat kérnek. Az MKB 450 Ft-ot kér felhasználónként, míg az Erste 600 Ft-ot összesen. Míg az MKB a lakossági és vállalati ügyfeleitől is megköveteli az internet bank havidíját, addig az Erste bank csak a vállalati ügyfeleinek számlázza ki ezt a tételt.

GKIENET KFT.

20


2007. május

Utalási megbízás

Az alábbi táblázatban összefoglaltuk, hogy az egyes bankok mennyi jutalék vonnak le az ügyfeleiktől utalási megbízásonként. Előfordult, hogy egyes bankokon belül is változott ez az érték attól függően, hogy milyen számlacsomagra fizet elő valaki. Amennyiben egyértelmű volt, hogy a bank mely számlacsomagját szánja az elektronikus ügyintézést kedvelő vállalati felhasználónak, úgy azt a táblázatban külön jelöltük, azonban ilyen csomaggal összesen két banknál találkoztunk. Ahol a hagyományos számlacsomagok között mégis jelentős eltérés volt a jutalékok mértékében, ott jelöltük az intervallumok határait. 8. TÁBLÁZAT BANKI UTALÁSOK ÖSSZEHASONLÍTÁSA (VÁLLALATI) „Online” számlacsomag Bankon belül Személyes

Budapest Bank

Személyes

eBank


ELLA


Bankon kívül


CIB

Erste Bank

eBank

Hagyományos számlacsomag Bankon belül Személyes

eBank

Személyes

eBank

280 Ft +

130 Ft +

280 Ft +

130 Ft +

0,16%

0,12%

0,2%

0,15%

0,25% (min.

0,13% (min.

0,3% (min.

0,15% (min.

250 Ft,

150 Ft,

350 Ft,

150 Ft,

max. 5000

max. 5000

max. 5000

max. 5000

Ft)

Ft)

Ft)

Ft)


0 Ft

199 Ft

0,12%

0,275%

(min. 120

(min. 500

Ft)

Ft)

0,195%

0,115%

0,115%

0,085%

0,135%

0,115%

(min. 150

(min. 1300

(min. 150

(min. 300

(min. 150

(min. 800

(min. 150

Ft)

Ft)

Ft)

Ft)

Ft)

Ft)

Ft)

0,3% (min.

0,08%

0,4% (min.

500 Ft)

(min. 80 Ft)

500 Ft)

0,175%

0,085%

(min. 800 Ft)

450 Ft +

IEB


0,2% - 700 Ft + 0,2%

K&H Bank


MKB


0,15% (min. 150 Ft)

89 Ft + 0,12% 160 Ft + 0,15%

450 Ft + 0,2% - 700 Ft + 0,2%

200 Ft)

89 Ft + 0,12% 160 Ft + 0,15% 0,12% (min.

310 Ft)

150 Ft)

370 Ft)

175 Ft)

0,22% (min.

0,1% (min.

300 Ft)

120 Ft)

(min. 300

120 Ft

0,15% (min. 200 Ft,

30 Ft, max.

max.

100000 Ft)


Ft)

0,2% (min.

0,2% (min.

0,13% (min.

Raiffeisen Bank

(min. 500

0,11% (min.

Ft)


0,375%

0,15% (min. 0,165%

OTP

Bankon kívül

100000 Ft)

0,12% (min.

0,05% (min.

0,2% (min.

0,1% (min.

350 Ft) –

75 Ft) –

350 Ft) –

100 Ft) –

0,39% (min.

1,6% (min.

0,39% (min.

0,16% (min.

450 Ft)

250 Ft)

450 Ft)

250 Ft)

GKIENET KFT.

21


2007. május

Különös módon a HVB/UniCredit banknál az „online” és a hagyományos számlacsomagok díjaiban nem volt eltérés az internet-banki és papíralapú utalási megbízások esetében. Mint az a táblázatból – és a lakossági díjakat összefoglaló táblázatból – látszik, számos különböző árképzési metódust alkalmaznak a bankok. Amellett, hogy léteznek egyszeri, fixdíjas levonások tranzakciónként, a legtöbb bank százalékos formában kifejezett jutalékot is levon. Emellett gyakran meghatároznak egy minimális, alkalmanként egy maximális értéket, melyek között mozoghat a tranzakció értékétől függő levonandó összeg.

ATM pénzfelvét és SMS értesítés

A lakossági felméréshez hasonlóan a vállalati ügyfelek számára nyújtott elektronikus készpénzfelvételi és információ szerzési lehetőségek díjairól is egy-egy összehasonlító táblázatot készítettünk. Továbbra is igaz az, hogy a bankok alacsonyabb jutalékkal „jutalmazzák” azokat a ügyfeleiket, akik a humán erőforrásokat kímélve elektronikusan intézik készpénzfelvételi ügyleteiket. Míg a bankfiókokban történő készpénzfelvételért felszámolt összeg (200 Ft + 1%)-tól (4 euró + 1%)-ig terjed, addig az ATM felvét költsége 75 Ft-tól (4 euró + 1%)-ig. 9. TÁBLÁZAT AZ ATM ÉS FIÓKOS KÉSZPÉNZFELVÉTEL KÖLTSÉGEI (VÁLLALATI) Saját

Budapest Bank CIB ELLA Erste Bank

280 Ft + 0,22% 0,2% (min. 400 Ft, max. 4000 Ft) 0,3% (min. 500 Ft)

Fiók Idegen 230 Ft +

Külföldi

Saját

1500 Ft

75 Ft + 0,1%

500 Ft

2000 Ft

100 Ft

-

-

0,5%

400 Ft + 0,4%

1200 Ft + 1%

[bázis,standard,komfort] ill. 0,35% (min. 500 Ft)

200 Ft + 1%

K&H Bank

0,22% (min. 350 Ft)

MKB

0,25% (min. 500 Ft)

OTP

0,25% (min. 250 Ft)

Raiffeisen Bank

0,2% (min 350 Ft) – 0,39% (min. 450 Ft)

Külföldi 1500 Ft

250 Ft

1500 Ft

189 Ft – 360

3 USD – 3

Ft

USD + 0,33%

200 Ft +

0,2%

0,4%

1000 Ft + 1%

0,1% (min. 0,1% (min. 350 Ft)

5 EUR + 1%

75 Ft

180 Ft) – 0,1% (min.

3 EUR + 1%

350 Ft)

[„online” csomag]

IEB

(min. 260 Ft)

100 Ft +

0,25% (min. 350 Ft)


ATM Idegen 100 + 1%

200 Ft + 1% 0,2% (min. 350 Ft) 0,3% (min. 1100 Ft) 0,25% (min. 350 Ft) 300 Ft

750 Ft + 0,3% 1100 Ft + 1% 6 USD + 1% 4 EUR + 1% 4 EUR + 1%

GKIENET KFT.

50 Ft + 0,1%

250 Ft +

750 Ft +

0,2%

0,3%

0,2% (min.

0,2% (min.

200 Ft)

300 Ft)

200 Ft

450 Ft

0,25% (min.

0,25% (min.

200 Ft)

350 Ft)

300 Ft

300 Ft

1100 Ft + 1% 600 Ft 4 EUR + 1% 4 EUR + 1%

22


2007. május

Hasonlóan az átutalási megbízásokhoz, a készpénz felvétel esetében is változatos a jutalékszámítási módszer. Az átutalási megbízások jutalékaihoz képest ebben az esetben gyakrabban fordul elő fixen meghatározott díj. A külföldön történő pénzfelvétel banktól függően hol forintban, hol dollárban, hol euróban kerül levonásra az ügyfél számláján. Az SMS információs szolgáltatásnál továbbra is a „push” tipusú megoldások árait igyekeztünk összehasonlítani, s ebből a kategóriából továbbra is csak az ELLA képez kivételt. Míg egyes bankok árai a lakossági díjakhoz képest magasabbak a vállalati ügyfelek számára, néhány bankok épp ellenkezőleg a megfelelő számlacsomag igénylése estén ingyen is biztosítja a szolgáltatást. A HVB/UniCredit Bank esetében a honlapon fellelhető információk között nem volt megtalálható az SMS szolgáltatás díja a vállalati ügyfeleknél. 10. TÁBLÁZAT SMS ÉRTESÍTÉS DÍJAI (VÁLLALATI) Havi díj SMS díj Budapest Bank CIB ELLA Erste Bank HVB / UniCredit Bank IEB K&H Bank MKB OTP Raiffeisen Bank

600 Ft (tartalmazza a napi

35 Ft

egyenlegközlést) 0 Ft – alap

0 Ft

400 Ft – részletes

Nincs automatikus szolgáltatás, csak „pull” tipusú 25Ft/lekérdezés díjért 349 Ft (SMS csomagonként)

19 Ft ?

0 Ft

50 Ft

200 Ft

20 Ft

200 Ft

20 Ft

150 Ft

20-25 Ft

0 – 400 Ft

0 Ft

GKIENET KFT.

23


IV.

K OCK ÁZ ATELEMZÉSI

2007. május

MÓDS ZERTANOK BEMUTAT ÁS A

Mivel a ma működő vállatok többségét átszövi az informatika, természetes, hogy nagy az érdeklődés az informatikai kockázatok értékelése iránt. A számítógépes információrendszerek ugyanis az új lehetőségeken túl számtalan fenyegetést is jelentenek a vállalatok számára. Az informatikai kockázatok értékelése, mint bármely kockázatértékelés, rendkívül nehéz feladat. A kockázat valamely véletlen esemény bekövetkezését jelenti, és így mérése közvetlenül kapcsolódik a bekövetkezési valószínűségekhez. Ugyanakkor az egyes tényezők kockázata sokféleképpen adódhat össze, és egymással kölcsönös függésben levő események láncolata bekövetkezési valószínűségeinek becslését feltételezi. Ráadásul a kockázatok megítélése rendkívül szubjektív lehet, tovább nehezítve azok számszerűsítését. Az IT esetében a kockázatértékelés azt jelenti, hogy a vállalati számítógépes információrendszerek tervezésével, implementálásával, működtetésével és felügyeletével kapcsolatos veszélyeket – melyek lehetnek technikai, személyi, szervezési és működési természetűek – valamilyen szempontrendszer szerint megvizsgáljuk, és megbecsüljük azok mértékét. A kockázatfelmérés célja, hogy a megfelelő kockázatkezelési megoldásokat meg lehessen találni, melyek a következő három területek szerint: Kockázat csökkentése Proaktív megközelítés: A kockázatcsökkentés egyik módja a bekövetkezési valószínűség csökkentése, mely tipikusan megelőző, többnyire védelmi megközelítések által kerül megvalósításra. Reaktív megközelítés: Ebben az esetben nem a kockázat bekövetkezését, hanem egy esemény hatásának mérséklését állítják a középpontba, azaz azt vizsgálják, milyen intézkedések szükségesek, ha megtörténik egy probléma. A teljes elkerülés általában olyan megközelítés, mely során a szervezet lemond egy kockázatosnak ítélt tevékenység folytatásáról. Ez nem tekinthető a szó szoros értelmében kockázatcsökkentési megközelítésnek. Kockázat megosztása: A kockázat megosztása során a bekövetkezés által okozott károk mérséklésére törekszik. Ennek egyik logikus módja a biztosítók bevonása (amelyek saját kockázatuk csökkentése érdekében elvárják a szervezetektől a kockázatmérséklési tevékenységet), illetve a kockázatos tevékenységek

GKIENET KFT.

24


2007. május

kiszervezése, alvállalkozók számára történő átadása (melyek a szolgáltatási díjba ugyan beépítik a kockázatok kezelését, de esetleg nagyobb speciális szakértelemmel rendelkeznek, kiszámítható költségekkel szemben megbízhatóságot biztosítanak). Kockázat vállalása A kockázatnak ezt a részét egy szervezet tudatosan vállalja. Ezt nevezzük maradékkockázatnak. Vagy azért, mert ebben az esetben nincs már mód arra, hogy a kockázatok bekövetkezését, vagy hatásuk mértékét egy szervezet hatékonyan csökkentse (pl. költség-haszon összevetés során lemond a csökkentésről), vagy pedig azért, mert a kockázatok mértéke az elviselhetőség határán belül van. Amennyiben a kockázatok felmérésén túl a kockázatok mérséklésére 3 is figyelmet fordít a szervezet, a következő megtakarításokat érheti el: Bevételnövekedés = (kockázat mértéke x felmerülés valószínűsége x mérséklés aránya ) – kockázatmérséklés költsége A képletből is kitűnik, hogy a kockázat mérséklésére fordított költség csak abban az esetben éri meg a befektetést, ha a kockázat mérséklésével elérhető haszon nagyobb. A gyakorlatban meg kell találni azt a pontot, amikor a kockázat és a kockázatmérséklés értéke minimális. 10. ÁBRA A KOCKÁZATELHÁRÍTÁS OPTIMÁLIS MÉRTÉKE

A kockázatelhárítás optimális értéke Költségek

Teljes költség A kockázatelhárítás költsége

A kockázatból eredő lehetséges kár A kockázatelhárítás mértéke

3

A kockázatkezelés során meghatározandó, hogy milyen megelőző lépések szükségesek a kockázat felmerülésének elkerülésére, illetve amennyiben a kockázat mégis bekövetkezik, úgy milyen ellenintézkedéseket lehet tenni a kár mérséklésére.

GKIENET KFT.

25


2007. május

IV.1. A kockázatmenedzsment alapfogalmai Minden projekt, minden információtechnológiai beruházás rejt kockázatot. Ahhoz, hogy a felmerülő kockázatokat megfelelően kezelni tudjuk, ahhoz pontosan definiálni kell a kockázat fogalmát. Ezen túl a hatékonyság feltétele, hogy megértsük a környezetet és azonosítsuk a sikert befolyásoló potenciális tényezőket. A kockázat – definíció szerint – valamely esemény bekövetkezési valószínűsége, amely a vállalat/intézmény stratégiai céljainak teljesülését befolyásolja. A kockázatmenedzsment egy szisztematikusan felépített folyamat, melynek célja a potenciális kockázatok feltárása és értékelése és ennek eredménye alapján kockázatkezelési terv megfogalmazása és végrehajtása. A kockázat-kontrolling a már azonosított kockázatok és ezek kezelésére megfogalmazott kockázatkezelési program folyamatos nyomon követése, új kockázatok időben történő kiszűrése. A kockázatmenedzsment folyamatát a következő ábra szemlélteti. Az ismert módszertanok felépítése hasonló az ábrán bemutatott 4 lépéses modellhez. Az első lépés a kockázatok azonosítása, különösen azoké, melyek az üzleti célok megvalósulását fenyegetik. Ezt követi a kockázatok elemzése, melynek során a bekövetkezés valószínűségét és a bekövetkezés esetén a hatás nagyságát határozzák meg. Ennek során egy erre hivatott csapat a kockázatokat felméri, ahol lehet számszerűsíti, a hatásokat az üzleti terven átvezeti. 11. ÁBRA A KOCKÁZATMENEDZSMENT FOLYAMATA

GKIENET KFT.

26


2007. május

Harmadik lépés a kockázatok irányítása, mely a feltárt kockázatok kezelését jelenti, azaz a kockázatok mérséklésére irányuló cselekvési terv kidolgozását. A folyamat utolsó lépéseként fontos az állandó monitorozás, a bekövetkezett változások azonosítása, ennek visszacsatolása kockázatkezelési szempontból (Fekete István, Kockázatfelmérés és kezelés). A kockázatmenedzsment minősége, hatékonysága attól függ, hogy a döntési folyamat mely pontjain és milyen összefüggésrendszerben alkalmazzák. A vállalat vezetőinek, illetve alkalmazottainak elkötelezettsége is kulcs fontosságú a kockázatok kezelése szempontjából. A továbbiakban bemutatjuk az informatikai kockázatmenedzsment területére vonatkozó főbb módszertanokat, ajánlásokat, nemzetközi szabványokat. Ezen megközelítések egy része kiegészíti egymást (pl. ITIL-COBiT). A megközelítések egy része mintegy ellenőrzési listát, előírást, kontroll lehetőséget kínál (COBIT), míg mások eljárásokat, folyamatokat mutatnak be, segítve a kockázatmenedzsment folyamatát (ITIL, Microsoft).

IV.2. A legfontosabb kockázatkezelési módszertanok COBIT A legelterjedtebb szempontrendszer a COBIT, amely bizonyos értelemben egyesíti a többi előírást, útmutatásai a gyakorlatban is széleskörűen elterjedtek. A COBIT az üzleti kockázatok, az ellenőrzési igények és a technikai jellegű kérdések között húzódó „szakadékok” áthidalása révén segítséget nyújt a vezetés sokrétű igényeinek kielégítéséhez. Megfelelő gyakorlati megoldásokat kínál, ugyanakkor kezelhető és logikus struktúrában mutatja be a szükséges teendőket. A COBIT által megfogalmazott követendő gyakorlatok (best practice) olyan eljárásokat jelentenek, amelyek kapcsán konszenzusra jutottak a szakértők abban, hogy ezek az eljárások támpontot kínálnak annak eldöntéséhez, hogy jól mennek-e a dolgok, vagy sem. A COBIT – Kontroll célkitűzések az információtechnológia és egyéb technológiák számára – első kiadása 1996-ban jelent meg. Ez valójában olyan dokumentumok gyűjteményeként értelmezhető, amelyek az információtechnológiai kormányzás, kontroll és biztosítás általánosan elfogadott követendő gyakorlatait tartalmazzák. A legújabb verzió a COBIT 4.0 az előző 2000-es verzió továbbfejlesztése. A COBIT kontroll keretrendszere (framework) összeköti az IT kezdeményezéseket az üzleti igényekkel, az IT tevékenységeket általánosan elfogadott folyamatmodellekbe szervezi, azonosítja az informatikai rendszer erőforrás igényét és definiálja az alkalmazandó menedzsment kontroll célkitűzéseket.

GKIENET KFT.

27


2007. május

A kontroll célkitűzések (control objectives) azt fogalmazzák meg, hogy az egyes konkrét informatikai területeken a kontroll-eljárások alkalmazása révén milyen kívánt eredmények, illetve célok valósíthatóak meg. Az üzleti szemléletmód a COBIT egyik fő jellemzője. A COBIT nemcsak a felhasználók és az ellenőrök számára készült, hanem, ami talán még ennél is fontosabb, átfogó hivatkozási forrásként szolgál az üzleti folyamatokért felelős vezetők és a vállalati menedzsment számára. Napjainkban egyre elterjedtebb az a szemléletmód, hogy az üzletpolitika részeként az egyes üzleti folyamatokért felelős vezetők teljes felhatalmazást kapnak, tehát teljes (büntetőjogi) felelősséggel tartoznak az adott üzleti terület működéséért, annak minden aspektusát beleértve. Ehhez hozzátartozik a megfelelő kontroll-funkciók, ellenőrzési mechanizmusok kialakítása is. A COBIT keretrendszer segítséget nyújt az üzleti folyamatokért felelős vezetőknek fentebb említett feladataik teljesítéséhez. A keretrendszerben bemutatásra kerül 34 általános kontroll irányelv, az ellenőrizendő informatikai folyamatokhoz kapcsolódóan, amelyek négy területre csoportosíthatóak: Tervezés és szervezet – az informatikai stratégia megalkotása és annak körülményei, valamint a szervezési kérdések, Beszerzés és megvalósítás – az eszközök beszerzéséhez rendszerbevezetéshez kapcsolódó kérdések, változáskezelés,

és

Informatikai szolgáltatás és támogatás – a szolgáltatások nyújtásával és a felhasználás támogatásával kapcsolatos kérdések Felügyelet – az informatikai folyamatok felügyelete, vizsgálata, értékelése. Ez a struktúra az információk és az azok feldolgozásához kapcsolódó technológia minden aspektusát lefedi. A 34 általános Kontroll Irányelv segítségével az üzleti folyamatokért felelős vezetők megfelelő ellenőrzési rendszert alakíthatnak ki az informatikai környezetre vonatkozóan. A COBIT felépítése egy háromdimenziós egységet képez, melyet az alábbi ábra is illusztrál: Az egyik dimenziót az információs kritériumok – minőségi, bizalmi, biztonsági - képezik. A második dimenzió az informatikai erőforrásokat takarja, melyek öt csoportot alkotnak: adatok, alkalmazási rendszerek, technológia, támogató eszközök és emberek. A harmadik dimenziót az informatikai folyamatok jelentik: területek, folyamatok és tevékenységek.

GKIENET KFT.

28


2007. május

12. ÁBRA A KOCKÁZATMENEDZSMENT FOLYAMATA

A vezetői útmutató (management guidelines) a menedzsment számára ad javaslatokat, hogy hogyan alakíthatók ki az információs rendszerekre vonatkozó ellenőrzési eljárások, a szervezeti célok teljesülése hogyan követhető figyelemmel, illetve külső összehasonlítások alapján hogyan mérhető a vállalat teljesítménye. A COBIT érettségi modelleket (maturity models) kínál az informatikai folyamatok kontrolljához, amely alapján a szervezet a saját helyzetét tudja meghatározni az iparágon belül, a nemzetközi szabványokhoz képest is. Emellett az irányelv legfontosabb végrehajtási célkitűzéseket is kínál, illetve a menedzsment számára olyan mérőszámokat határoz meg, melyek azt mutatják meg, hogy az egyes informatikai eljárások az üzleti követelményeknek megfelelnek-e. További kritikus teljesítmény indexeket is meghatároz a módszertan, amelyek arra adnak választ, hogy az egyes informatikai eljárások milyen mértékben járulnak hozzá a célok teljesítéséhez. A COBIT a kockázatok felméréséhez rendkívül jó alapot biztosít. A COBIT egy olyan informatikai irányítási eszköz, amely az információ technológiához kapcsolódó kockázatok és lehetőségek megértéséhez, illetve kezeléséhez nyújt átfogó segítséget.

GKIENET KFT.

29


2007. május

Microsoft Risk Management

A Microsoft biztonsági kockázatkezelési megközelítése egy proaktív megközelítés, amely egyaránt segítséget nyújt a kis-, közepes- és nagyvállalatoknak abban, hogy a környezeti kihívásoknak és a törvényi előírásoknak megfeleljenek. A proaktivitás mellett ez a módszertan hatékonyan ötvözi a kockázatkezelés mennyiségi és minőségi megközelítéseit, egy egyedi, hibrid nézőpontot alkotva. A Microsoft biztonsági kockázatkezelési folyamata 4 fázisból áll, melyek további részfolyamatokra bomlanak. 13. ÁBRA MICROSOFT, THE SECURITY RISK MANAGEMENT GUIDE - Biztonsági kockázati értékelési rendszer (scorecard) kialakítása - Kontroll hatékonyság mérése Programhatékonyság mérése

- Teljeskörű megoldások keresése - Kontroll megoldások szervezése

Kontrollok implementálása

Kockázat értékelése

Döntéstámogatás

- Kockázati adatkinyerés tervezése - Kockázati adatok kinyerése - Kockázatok priorizálása

- Funkcionális elvárások rögzítése - Kontroll megoldások azonosítása - A megoldások és követelmények összevetése - Kockázatcsökkentés becslése - Megoldási költségek becslése - Kockázatcsökkentési stratégia kiválasztása

1. A kockázatértékelési fázis az üzleti kockázatok azonosítására rangsorolására szolgál. Az alábbi folyamatok képezik részét:

és

Adatgyűjtés tervezése: az előkészületek megtervezése, kulcstényezők azonosítása. Kockázati adatok gyűjtése: adatgyűjtési- és elemzési folyamatok körvonalazása. Kockázatok rangsorolása: azon lépéseknek a megtervezése, melyek a kockázatokat mérik és minősítik. 2. A vezetői döntéstámogatás fázisa szorosan az azt megelőző rangsorra épít, további alfolyamatokkal. Funkcionális követelmények meghatározása: követelményeknek az azonosítása, melyek csökkentésére irányulnak.

a

azoknak a kockázatok

Lehetséges kontroll megoldások kiválasztása: a kockázatcsökkentési megoldások áttekintő elemzése.

GKIENET KFT.

30


2007. május

A megoldás értékelése: a kontrollok és a funkcionális követelmények összevetése. A kockázatcsökkenés megbecsülése: a bekövetkezési valószínűség, illetve a hatás csökkenésének megértése. A megoldás költségének megbecsülése: a kapcsolódó direkt és indirekt költségek értékelése. A követendő stratégia kiválasztása: a költség – hatékonyság elemzés kiteljesítése a leginkább költséghatékony kockázatcsökkentési megoldás kiválasztásáért. 3. Kontrollok implementálásának fázisa Holisztikus megközelítés keresése: a kockázatcsökkentési megoldásunkba be kell vonni az embereket, folyamatokat, technológiát. A védelem megszervezése: szervezése vállalatszerte.

kockázatcsökkentési

megoldások

4. A program hatékonyságának mérése fázis Kockázati mutatórendszer kifejlesztése: a kockázatok mibenlétének és változásának megértése. A hatékonyság értékelés: megfogalmazása céljából.

értékelés

a

fejlesztési

opciók

A Microsoft Risk Management folyamata iparági standardokat vesz alapul a hibrid kockázatkezelési modellje megalkotására, mely négy ismétlődő fázisból áll, a költségek és hatékonyság között egyensúlyozva. A kockázatértékelési folyamat során a minőségi szempontok gyorsan képesek azonosítani a lehetséges kockázatokat, melyeket a mennyiségi módszertannal lehet tovább elemezni. Így a részletezettségnek olyan szintjét lehet elérni, ahol a legfontosabb kockázatok alapos ismerete elsajátítható. Ezen intelligens üzleti folyamat mentén megbízható döntések hozhatók a kockázatokról, illetve azok csökkentéséről.

ISO/IEC 17799 és 2700 Az ISO/IEC (International Organization for Standardization és International Electrotechnical Comission) 17799 és 27001 információ biztonsági szabványok. Az ISO 17799 egy olyan alapot jelent, amelynek segítségével a vállalat biztonsági szabályzatai kidolgozhatóak. Tanúsítványa igazolja a vállalat külső érintettjei számára is, hogy az információbiztonság szintje megbízható (ISO/IEC 17799, 2005). Az ISO 17799 felfogása szerint az információ eszköz értékű a vállalatok számára, ezért azt védeni kell. Ez manapság különösen igaz, mert a vállalatok egy komplex, összefüggő technológiai környezetben végzik tevékenységüket, így az információ számos új high-tech támadás célpontjává válik. Az ISO 17799 szerint az

GKIENET KFT.

31


2007. május

információ kontrollok széles skálájának használatán keresztül védhető. A kontrollok a hardver és szoftver funkcionalitáson túlmenően tartalmazzák a vállalat folyamatait, eljárásait, szervezeti struktúráit. Az információ védelme érdekében a vállalatoknak ezeket a biztonsági kontrollokat kell kidolgozni, alkalmazni, nyomon követni, értékelni és javítani. A kontrollok, a biztonsági követelmények azonosításához három lépés vezet: 1. Kockázatok értékelése: főbb biztonsági fenyegetések, illetve bekövetkezésük hatásának azonosítása. A lehetséges hatások értékelésével tud körvonalazódni az átfogó vállalati célkitűzés és biztonsági stratégia. 2. Törvényi előírások megismerése: törvényi előírások is befolyásolhatják az információbiztonsági menedzsmentet, így azok alapos ismerete létfontosságú. 3. Saját követelmények áttekintése: a fentieken túlmenően a vállalat információ feldolgozási folyamatait, célkitűzéseit és az ezekhez kapcsolódó követelményeket is azonosítani kell, ahhoz, hogy az egyedi információbiztonsági igények átláthatóvá váljanak. Az ISO 27001 és ISO 17799 is információbiztonsági szabvány. Az előbbi sokkal inkább egy módszertant jelent, elmagyarázza hogyan kell egy információbiztonsági rendszert felépíteni. Míg az ISO 17799 a hatékony információbiztonsági rendszer alkotóelemeit veszi sorra részletesen. Azonban az ISO 17799 biztonsági célkitűzései és kontrolljai az ISO 27001 szabványnak is részei. Az ISO 27001 tartalmaz egy 33 lépésből álló információbiztonsági menedzsment rendszer fejlesztési tervet, melyek a főbb lépési az alábbiak: A rendszer céljainak és határainak feltérképezése, Kockázatmenedzsment megközelítés definiálása, Kockázatok azonosítása, elemzése, értékelése, Kockázatkezelési opciók, kontrollok kidolgozása és bevezetése, Biztonsági eljárások bevezetése, nyomon követése, javítása, Kockázatértékelés bizonyos időközönkénti áttekintése, Rendszeres belső ellenőrzések végzése, Az információbiztonság javítása utólagos és megelőző intézkedések által, Mindezek dokumentálása, a dokumentumok karbantartása, frissítése. Az ISO szabványok nagy hatással vannak szinte minden IT audittal foglalkozó szakértőre, a belőlük leszűrhető tudást széleskörűen alkalmazzák, olykor más szabályrendszerek kiegészítéseként.

GKIENET KFT.

32


2007. május

OCTAVE A hatékony információbiztonsági program két kulcsfontosságú tényezője az információbiztonsági kockázatok értékelésének átfogó megközelítése és a megfelelő védelmi stratégia kidolgozása (Alberts et al, Octave – Catalog of Practice). Az OCTAVE (Operationally Critical Threat, Asset and Vulnerability Evaluation Működési szempontból kritikus fenyegetés, vagyon és sebezhetőség értékelés) az átfogó, rendszeres, kontextus-függő biztonsági kockázatkezelési módszertan lényegi komponenseit definiálja. E módszertant követve a vállalat az információbiztonsági döntéseket azoknak a kockázatoknak az ismeretében tudja megtenni, amelyek a kritikus információ technológiai eszközök megbízhatóságát, integritását és rendelkezésre állását befolyásolják. Fontos, hogy az üzleti egységek és az IT szervezet együttműködjenek az információbiztonság megteremtésében. Az OCTAVE módszertan jellemzői: Önirányítás: egy elemző csapat kezeli a folyamatot és elemzi az információt, így a munkatársak aktívan be vannak vonva a döntési folyamatba. Elemző csapat: az OCTAVE elemző csapat meglétét feltételezi, melynek tagjai (tipikusan 3 – 5 fő) a vállalat üzleti egységeiből és az IT szervezetből kerülnek ki. Ez a csapat gyűjti össze a releváns adatokat, elemzi a kockázatokat és fenyegetéseket, védelmi stratégiát dolgoz ki a szervezet számára, illetve a kritikus kockázatok csökkentési tervét tervezi meg. Workshop – alapú megközelítés: információgyűjtési és döntéshozatali szempontból a módszertan workshop (műhelyvita) alapú megközelítést használ. A műhelyvitákat az elemző csapat szervezi, ahova a vállalat különböző területeiről hívják meg a szakértőket, melynek eredményeként azonosítják a legfontosabb információ technológiai eszközöket, az ezekre leselkedő fenyegetéseket, illetve a rájuk vonatkozó biztonsági követelményeket, feltárják a jelenlegi védelmi stratégiát és a szervezet sebezhetőségi szintjét. Információ katalógus: az OCTAVE információkatalógusra támaszkodik:

a

következő

három

fő

Gyakorlatok katalógusa – a jó stratégiai és működési biztonsági gyakorlatok gyűjteménye Fenyegetési profil – azok fenyegetések skálája, melyet a szervezetnek figyelembe kell vennie Sebezhetőségi katalógus – sebezhetőségek gyűjteménye.

platform

GKIENET KFT.

és

alkalmazás

alapú

33


2007. május

A módszertan egy három fázisból álló megközelítést használ, melynek során elemzi a szervezeti és technológiai tényezőket egy átfogó információbiztonsági igény feltérképezéséhez. A fázisok és a kapcsolódó folyamatok a következők, melyeket az alábbi ábra is szemléltet: 1. fázis: Vagyon alapú fenyegetettségi profilok létrehozása – ez egy szervezeti értékelés, melynek során a szervezet kulcs szakértői területeit vizsgálják a gyengeségek és lehetséges fenyegetettség feltárásához. E fázis folyamatai: Felső menedzsment szakértelmének azonosítása Működési terület szakértelmének azonosítása Munkatársak tudásának azonosítása Fenyegetettségi profilok megalkotása.

14. ÁBRA AZ OCTAVE MÓDSZERTAN FELÉPÍTÉSE 1. Fázis Vagyon alapú fegyegetettségi profilok - Vagyonelemek - Fenyegetések, veszélyforrások - Jelenlegi gyakorlat, eljárások - Szervezeti sebezhetőségek - Biztonsági elvárások

Felkészülés

3. Fázis Biztonsági stratégia és biztonsági tervek kialakítása - Kockázatok - Védelmi stratégia - Mérséklési tervek

2. Fázis Infrastruktúra sebezhetőség azonosítása - Kulcskomponensek - Technikai sebezhetőségek

Folyamatos műhelyviták (workshop)

2. fázis: Infrastruktúra sebezhetőség azonosítása – az információ infrastruktúra értékelése a gyengeségek feltárásához, melyek jogosulatlan cselekedetekhez vezethetnek, a következő lépésekkel: Kulcs komponensek azonosítása Kiválasztott komponensek értékelése GKIENET KFT.

34


2007. május

3. fázis: Biztonsági stratégia és biztonsági tervek kialakítása – itt történik a kockázatok elemzése, az előző két fázis adatainak értelmezése, védelmi stratégia és kockázatcsökkentési tervek kidolgozása. Lépései: Kockázatelemzés elvégzése Védelmi stratégia kidolgozása Az OCTAVE módszertan bevezetésével a szervezetek képet kapnak jelenlegi biztonsági helyzetükről, melyet a javulás kiinduló állapotának tudnak tekinteni. Az OCTAVE a kockázatkezelés lényegi komponenseit határozza meg, lehetővé téve az alkalmazó szervezetek számára megfelelő védelmi stratégia kidolgozását, ezáltal hatékony információbiztonság megvalósítását.

ITIL A 80-as évek végén Nagy-Britanniában a CCTA (Central Computer and Telecommunication Agency) elindított egy programot azzal a céllal, hogy a kormányzati intézményekben a jó és bevált gyakorlatok („best practice”) összegyűjtésével és dokumentálásával javítsák az informatikai infrastruktúra menedzselését. Az így született dokumentációsorozat az IT Infrastruktúra Könyvtár (ITIL) néven „de facto” nemzetközi szabvánnyá vált. Az ITIL a kockázati kategóriák közül alapvetően az üzemeltetési kockázatok azonosításával, felmérésével, és az erre adandó válasz kidolgozásával foglalkozik. A válasz ez esetben egy üzletmenet folytonossági és helyreállítási tervben ölt testet. A megközelítés mutatja, hogy az IT üzletkritikus fontosságát hangsúlyozza, és arra törekszik, az informatikai szolgáltatások kiesése esetén is képes legyen a szervezet működni. Ennek érdekében a megközelítés nagy figyelmet fordít az egyes informatikai szolgáltatások (ezen belül a szolgáltatásokhoz szükséges hardver, szoftver és hálózati eszközök) és az üzleti tevékenység összekapcsolására, az ezek kieséséből származó összefüggések és hatások felmérésére. A folyamat termékorientált, azaz nem kontrollokat tartalmaz, aminek meg kell felelni, hanem azt a folyamatot írja le, mely egy üzletmenet folytonossági terv kidolgozásához vezet. A folyamat az üzleti elvárások tisztázásával (miért is szükséges ilyen terv) indul. Az elvárások meghatározzák, hogy milyen informatikai területek kockázatait is kell figyelembe venni, így lehetőség van az megcélzott területek hatásának elemzésére és a kockázatok felmérésére. Ezek alapján alakítható ki az üzletmenet folytonossági stratégia. Az implementáció során megjelennek a proaktív és reaktív megoldások is (kockázatcsökkentés, helyettesítő megoldások), valamint a megközelítés kiterjed arra is, hogy a kockázatok bekövetkezése után (problémaszituáció) milyen módon lehet visszatérni a normál működéshez.

GKIENET KFT.

35


2007. május

A tervek kidolgozása ugyanakkor nem elegendő, hanem a napi működés során a terveket (melyek biztosítják a kockázatok csökkentését, vagy kontrollálhatóságát) folyamatosan karban kell tartani, aktualizálni kell, valamint az ezekben foglalt információkat az informatikai terület dolgozói számára elérhetővé kell tenni. Az ITIL megközelítése jó kiegészítése a kockázatok sorra vevő ajánlásoknak (pl. COBiT), mivel míg azok a kockázatok elemzik, addig az ITIL a kockázatmérséklés folyamatára helyezi a hangsúlyt. Sok esetben a COBiT és ITIL megközelítéseket éppen ezért együttesen használják.

15. ÁBRA AZ ITIL MÓDSZERTAN FELÉPÍTÉSE Kezdeményezés

Elvárások és stratégia

Üzletmenet folytonossági terv kezdeményezése

Üzleti hatáselemzés

Kockázatelemzés

Üzletmenet folytonossági stratégia

Implementáció Szervezeti és implementációs stratégia

Helyettesítési megoldások kialakítása

Működési menedzsment

Helyreállítási tervek kialakítása

Kockázatcsökkentési tervek kialakítása

Működési menedzsment - Oktatás és figyelemfelkeltés - Ellenőrzés, fejlesztés - Tesztelés - Változáskezelés - Képzés - Biztosítás

GKIENET KFT.

36


2007. május

IV.3. A német bankok körében használt megoldások A legfontosabb sztenderdek áttekintése után érdemes még kitérni néhány, a német bankok körében alkalmazott sztenderdre, illetve néhány IT-tanúsítványra, amellyel a bankok IT-rendszerük biztonságosságát minősítik. Az alkalmazott minősítési rendszerek nagy része a nemzetközi ISO előírások valamelyike, de a gyakorlatban létezik néhány speciális német minősítési rendszer is. A minősítési rendszerekről, illetve gyakorlati alkalmazásukról a német Biztonsági és Információtechnikai Hivatal (BSI) informálja a bankokat. A német belügyminisztérium minősítése szerint központi jelentősége miatt a bankrendszer egésze – a közigazgatás, az állami hivatalok, a közlekedés, az energia, a közellátás és az információs technológia mellett – az ún. kritikus infrastruktúrák egyike4. Ezért nemcsak a problémák elhárításával, hanem a problémák megelőzésével is intenzíven kell foglalkoznia a pénzintézetek kockázati menedzsmentjének. A gyakorlatban a bankrendszer valamennyi intézete alkalmazza a BSI kritikus infrastruktúrákkal kapcsolatos ajánlásait, így az ITbiztonsággal foglalkozókat is. Az ajánlásokon túlmenően 2006. január óta a BSI maga is végez ún. IT-alapvédelmi vizsgálatot. A vizsgálat során az ISO 27001 metodológiáját alkalmazza saját 100-2-es (IT-alapvédelem) és 100-3-as (kiegészítő kockázati analízis) sztenderdjei mellett. A következő táblázat a BSI által ITbiztonságra vonatkozóan ajánlott nemzetközi sztenderdeket foglalja össze. (A nemzetközi sztenderdek ismertetésére és összehasonlítására a 2. fejezetben térünk ki.) Ezeken a nemzetközi sztenderdeken kívül meg kell még említenünk, hogy az utóbbi 10 évben a német Központi Hitelbizottság (Zentraler Kreditausschuss – ZKA) közbenjárásának köszönhetően igen sokat fejlődtek a német bankszférárát érintő kommunikációs és a pénzforgalomra vonatkozó sztenderdek. (A ZKA a legfontosabb banki egyesüléseket tömöríti) A ZKA létrehozta az ún. Távoli adatátvitelre vonatkozó megállapodást (DFÜ-megállapodás), amely az aláíró pénzintézeteknek bizonyos sztenderdek alkalmazását írja elő. A DFÜ-megállapodás értelmében mintegy 2000 német bank alkalmazza ezidáig a Banking Communication Standard-et (Banki Kommunikációs Sztenderd - BCS), majd pedig 2008-tól az újabb, ún. EBICS (Electronic Banking Internet Communication Standard) alkalmazására kötelezték el magukat ugyanezek az intézmények. Szintén a ZKA döntötte el a Homebanking Computer Interface (HBCI) sztenderd bevezetését 1998-ban, amely rendszerbe 2004 óta integrálták az FinTS (Financial Transaction Services) alkalmazásait is. A német bankok mintegy fele alkalmazza a HBCI-t, amelynek német határokon kívüli alkalmazása nem túlságosan gyakori.

4

Ld. Bankenverband: Management der kritischen Infrastrukturen, 2004. május

GKIENET KFT.

37


V. IT

2007. május

BIZTONS ÁGI SZTENDERD EK A NEMZETKÖZI GY AK O RLATB AN

Az elektronikus kereskedelem, az online-Banking gyakoribb alkalmazásával együtt nemcsak az elektronikus út kockázatai növekedtek meg, hanem a felhasználók biztonsági tudatossága is. Az elektronikus kereskedelem sajátos kockázatai: az integritás veszélye, a digitális dokumentumok bizalmassága és a szolgáltásokhoz való hozzáférés. Az e-Banking szolgáltatások esetében ehhez társulnak még a következők: a kommunikációs partner azonosítása, meghatalmazások, adatok titkosítása.

16. ÁBRA AZ INFORMÁCIÓS TECHNOLÓGIAI BIZTONSÁG LEGFONTOSABB TÉNYEZŐI

Azonosítás

Integritás

Titkosítás

Biztonsági tényezők

Engedélyezés

Megtagadhatatlanság

Forrás: Bauknecht, 2003

A kockázatok csökkentése érdekében valamennyi IT-terméknek biztonsági tulajdonságokkal kell rendelkeznie. A nemzetközi sztenderdek abban segítenek,

GKIENET KFT.

38


2007. május

hogy tematikus módon megvizsgálhatóvá teszik, valójában milyen biztonsági mechanizmusok védik az egyes IT-termékeket, IT-rendszereket. Az IT-rendszerek biztonságosságát mérő nemzetközi sztenderdekkel kapcsolatban két aktuális kritériumrendszert kell megemlítenünk: Az egyik Information Technology Security Evaluation Criteria (ITSEC), ami a legelismertebb európai IT-biztonsági kritériumrendszer és a szoftverek és a számítógép-rendszerek funkcionalitását és megbízhatóságát, valamint adatbiztonságát minősíti. (Minősítés E0-E6-ig, az E6 minősítés a következőként bemutatott CC szerinti EAL7-nek felel meg). A második a Common Criteria for Information Technology Security Evaluation (CC)5, ami az európai ITSEC továbbfejlesztése és az amerikai Orange Books-szal (TCSEC), a szövetségi Federal Criteria-val (FC), valamint a kanadai CTCPEC-val történő harmonizálása. A CC-kritériumokat 1999-ben az ISO is átvette és a ISO/IEC 15408 címmel publikálta, így jelenleg ez a legszélesebb körben elfogadott kritériumrendszer az információ-technikai termékek és rendszerek minősítésére. A CC mintegy 150 funkcionalitás-összetevőt tartalmaz, így sokkal konkrétabb funkcionalitás-kritériumai vannak, mint pl. az ITSEC-nek. A CC EAL1-7ig minősíti a rendszerek biztonságát. A CC mellékletében kitér nemcsak a védelmi profilokra (Protection Profile), hanem a biztonsági elvárásokra (Security Target) is.

V.1. e-Banking sztenderdek, protokollok Miután az online-Banking távadatátvitellel – interneten keresztüli, vagy direkt összeköttetéssel - történik, ezért a tranzakció végrehajtásához szükség van egyrészt a bank - általában SSL-eljárással biztosított - web-oldala és egy ügyfélprogram offline használatára. (Ma valamennyi böngészőre támaszkodó internet-Banking-rendszer ún. closed source rendszer, az open source rendszerekkel ellentétben nem hozza nyilvánosságra a szoftver forráskódját.) Az e-Banking működéséhez általában három dolog szükséges: 1) valami, amit az ügyfél ismer: pl. Password, PIN 2) valami, amit az ügyfél használ: mobiltelefon, hitelkártya vagy TAN 3) valami, ami az ügyfelet szimbolizálja: pl. ujjlenyomat, biometrikus egységek. (Németországban, Magyarországon, de az USA-ban is egyaránt az ún. duálérvényesítési rendszer van életben, ami azt jelenti, hogy a 3 tényező közül legalább 2 szükséges egy pénzügyi tranzakció elvégzéséhez.) Az egyes megbízások elektronikus aláírással lesznek ellenjegyezve. A megbízások elfogadtatására több eljárás van gyakorlatban.

5

ld.: www.commoncriteria.org

GKIENET KFT.

39


2007. május

Digitális aláirás A biztonságos e-Banking szempontjából az adatok titkosítása mellett (bizalmasság) az adatintegritás is egy fontos szempont. A digitális aláírás az üzenet sértetlenségét igazolja. Ehhez az igazoláshoz ún. egyirányú Hash-funkciót alkalmaznak. Ha a Hashértékek megegyeznek, akkor a fogadó biztos lehet abban, hogy az üzenet valóban a feladótól származik, mert a feladó az egyetlen, aki személyes kódjának birtokában van.

SSL- Secure Sockets Layer Az első verziót 1994-ben fejlesztette ki a Netscape. Az SSL titkosítási protokollok három komponenst integrálnak: az érvényesítést, a kódcserét és a titkosítást. A következő ábra azt mutatja, hogy milyen viszonyban áll az SSL a többi hálózati protokollal és felhasználással. 17. ÁBRA AZ SSL ÉS A TÖBBI NETWORRK-PROTOKOLL VISZONYA Application layer Network layer Secure Sockets Layer

Az SSL-protokollt használó internet-böngésző három dolgot vizsgál. egyrészt, hogy a továbbított oklevelet egy olyan CA (Certificate Authority) tanúsította-e, amely a megbízható CA-k listáján van; másrészt, hogy érvényes-e az olkevél dátuma; harmadrészt pedig, hogy a web-oldal neve megegyezik-e az oklevélen álló névvel. Minden ilyen protokollt használó böngésző rendelkezik az érvényes CA-listával, amiben kérdés nélkül megbízik. Igaz, az SSL-protokoll napjainkban az egyik leggyakrabban alkalmazott titkosítási rendszer, a HTTP szervereken kívül a POP3, SMTP, NNTP, SIP, IMAP, IRC; MBS/IP, FTP és az EAP-TLS is ezt a protokollt használja, mégis van néhány olyan támadás, amivel az SSL használóinak számolniuk kell: 1) 2) 3) 4) 6 7

8

kriptoanalitikus Brute-Force-támadás6, a Know-Plaintext-támadás szótárral7, Replay-támadás8, és Man-in-the-Middle-Attack.

Kriptoanalitikus Brute-Force-támadás: A támadó addig próbálja a kódokat, míg meg nem tatálja a megfelelőt Known-Plaintext-támadás szótárral: A támadó egy olyan szótárt alkot, amely tartalmazza a számára ismert szöveg valamennyi számjegyét, és ezt hasonlítja össze a lehallgatott üzenettel. Replay-támadás: A támadó becsatlakozik a bank és az ügyfél közé és mindkettő számára a partneroldalt szimulálja.

GKIENET KFT.

40


2007. május

PIN/TAN és iTAN A PIN (személyes azonosító szám) egy olyan titkos szám, amellyel a tulajdonos személy tudja érvényesíteni magát a különböző gépek használatakor. A TAN (tranzakció érvényesítési száma) egy egyszer felhasználható password, amely általában hat számjegyből áll. A TAN a bank szemszögéből egy kvázi-aláírásnak számít. A TAN-lista a mai alkalmazások szempontjából egy elöregedett és bizonytalannak számító módszer, mégis nagyon sok banknál van továbbra is alkalmazásban. A TAN megoldásnál biztosabbnak vélt iTAN esetén az ügyfél nem tudja megbízását egy tetszőleges TAN-nal érvényesíteni, hanem a bank egy megfelelő pozíciójú TAN megnevezését kéri. A bank tehát egy sorszámozott TANlistát bocsát ügyfele rendelkezésére, és ő választ, hogy a listáról melyik TAN-t kéri az érvényesítéshez. Az iTAN-eljárás sem tudja azonban kivédeni az ún. Man-in-themiddle-támadást, amikor is az ügyfél egy hamisított home-Banking-weboldalra jelentkezik be egy Phising-mail vagy a Pharming hatására. A szakértők szerint az iTAN sem nyújt sokkal több biztonságot, mint a TAN.

Smartcard vagy Integrált Circuit Card Chipkártyának, Smartcard-nak vagy integrált circuit cardnak nevezik a chippel ellátott műanyagkártyákat. A chipkártyák három biztonsági csoportba sorolhatók: 1. csoport: a kártyáknak nincs különleges biztonsági ismertetőjegye. Ebben az esetben a kártyaleolvasó csak kapcsolati egységként funkcionál. (Legalacsonyabb biztonsági szint) 2. csoport: a kártyaleolvasó billentyűzettel van ellátva és a működésbe hozatalához szükség van egy kódra, pl. PIN-re is. (Védelmet nyújt a kulcsfelhasználókkal és trójai programokkal szemben) 3. csoport: a billentyűzeten túl megjelenítővel és beépített intelligenciával is rendelkezik a kártyaleolvasó, így internetes fizetések is megvalósíthatók. (Ez a legmagasabb biztonsági szint.) HBCI (Home Banking Computer Interface) vagy FinTS (Financial Transaction Services) Ennél a megoldásnál is szükség van chipkártyával vagy ún. kulcslemezzel való érvényesítésre. A HBCI-sztenderd legfontosabb jellemzője, hogy független a bankoktól és szolgáltatóktól, valamint minden használó számára rendelkezésre áll. Ezáltal minden programozónak és szoftver-előállítónak lehetősége van arra, hogy létrehozzák a HBCI ügyfél-oldalát, az ügyfelek pedig minden HBCI-képes bankszerverre rá tudnak csatlakozni.

GKIENET KFT.

41


2007. május

A jelenlegi legbiztosabb online-Banking megoldásnak számít a HBCI-chipkártya használata egy olyan kártyaleolvasóval, amely biztonságos PIN-használatra képes. Így sem a kártya titkos kódja, sem pedig a PIN-beírás nem lesz hozzáférhető egy Keylogger vagy egy trójai program számára. Phising-re sem kerülhet elméletileg ennél a megoldásnál sor, mert a tranzakcióhoz szükség van magára a chipkártyára.

OFX (Open Financial Exchange) Az OFX-et 1997-ben fejlesztette ki a CheckFree a Microsoft and Intuit és a Microsofts Open Financial Connectivity and Intuits Open Exchange sztenderdekből. Az OFX egy olyan sztenderd, amely lehetővé teszi a speciális banki és pénzügyi adatok interneten keresztüli cseréjét. Miután a sztenderdet a Microsoft Money és az Intuit Quicken fejlesztette ki, a sztenderd nem platformfüggetlen. Ma kb. 1500 pénzintézet és mintegy 3.000.000 ügyfél használja az OFX-et. A sztenderd biztonsági protokollját az SSL adja.

GOLD Message Standard (Integrion Financial Network) 1996-ban az IBM és 15 észak-amerikai bank összeállt, hogy egy konzorciumot alapítson abból a célból, hogy saját online-rendszert hozzanak létre az interneten keresztül és online lebonyolított bankügyleteik számára. Az Integrion Financial Network ma kb. 60 millió háztartást szolgál ki Észak-Amerikában. Az infrastruktúrát és a sztenderdeket maga az Integrion hozza létre, de az ügyfelekkel szemben valamennyi bank megtartja saját profilját. A tervek szerint ezek a hálózati szolgáltatások a jövőben más bankok számára is rendelkezésre fognak állni.

IFX (Interactiv Finanancial Exchange) A 90-es évek végén az OFX-Gold előállítói új sztenderdet hoztak létre a pénzügyi szféra számára. Szemben az OFX-el az IFX elektronikus információcseresztenderdje 1997 óta platform- és előállító-független. Az IFX-et napjainkban jóformán csak az USA-ban használják, ott is csak korlátozott körben, mert a platformfüggetlenség ellenére sem álltak át az OFX-ügyfelek az új sztenderdre.

Digitális oklevelek Public-Key-Infrastruktúrával (PKI) Public-Key-infrastruktúra a titkosításban egy olyan rendszer, amelynek segítségével digitális okleveleket lehet kiállítani, elosztani és felülvizsgálni. Az aszimmetrikus titkosítórendszer segítségével az üzeneteket az interneten keresztül digitális formában lehet aláírni és kódolni. A titkosítás matematikailag biztonságos, tehát az eljárás esetleges ismerete esetén sem lehet belátható időn belül feltörni a kódokat. Az ilyen digitális oklevelek továbbításához is szükség van a fogadó által közzétett nyilvános kulcsra (Public Key), amelyet a fogadó e-mailen keresztül küldhet el, vagy

GKIENET KFT.

42


2007. május

egy web-oldalról tölthet le. Biztonsági szempontból itt merülhetnek fel problémák a PKI-s digitális oklevelekkel szemben, ezért a küldőnek mindenképpen meg kell győződnie arról, hogy az elküldött kulcs valóban a fogadótól származik-e.

V.2. Bankközi hálózati rendszerek sztenderdjei BCS-FTAM Az ún. File Transfer and Access Management (FTAM) egy sztenderdizált adatkommunikációs protokoll a fájlok továbbítására. Határozottan több funkciót lát el, mint a kezdetleges FTP. A protokollt az OSI fejlesztette ki és az ISO és a DIN is átvette. Az FTAM hálózati protokoll – a többi OSI-sztenderdhez hasonlóan – nem túl elterjedt, csupán kereskedelmi területen alkalmazzák. A német bankok pénzforgalmi ügyleteinek lebonyolításánál azonban még mindig fontos szerepet játszik.

EBICS Az EBICS (Electronic Banking Internet Communication Standard) egy német multibankképes sztenderd, a pénzügyi forgalom interneten keresztüli lebonyolítására. Az EBICS előreláthatólag még 2007 végéig teljesen felváltja a korábban használt BCS-FTAM protokollt. SEPA A SEPA (Single Euro Payment Area) az európai közigazgatás – kifejezetten az Európai Központi Bank (ECB) és az Európai Fizetési Bizottság (EPC) – kezdeményezése. (A projekt még nincs lezárva.)

ETEBAC Az ETEBAC (Échange Telematique Banque-Clients) egy olyan francia sztenderd, amelyet az EBICS kiegészítő sztenderdjeként lehet alkalmazni pénzügyi forgalom interneten keresztüli lebonyolítására.

SWIFT A SWIFT-Egyesületet (Society for Worldwide Interbank Financial Telecommunication) 1973-ban alapította 200 nemzetközi bank. Az alapítás célja egy olyan állandóan rendelkezésre álló médium létrehozása volt, amely alkalmas az elektronikus pénzügyi átutalások és más bankspecifikus adatok biztonságos továbbítására. A SWIFT a pénzügyi intézmények pénzforgalmát sztenderdizálja. Ma jelenleg mintegy 200 ország 7800 pénzintézete alkalmazza a SWIFT sztenderdeket, a SWIFT-címet vagy BIC-kódot (Bank Identifier Code).

GKIENET KFT.

43


2007. május

V.3. Fejlesztési tervek, a 100%-os biztonság kérdése A 100%-os biztonság kérdése továbbra is központi jelentőségű az e-Banking szektorban. Mind a titkosítás, mind az azonosítás területén újabb és újabb kísérletek folynak egy még biztonságosabb rendszer létrehozására. Ezek közül kiemelünk néhány jelentős újítást.

OTP (One Time Pad) Az OTP egyelőre feltörhetetlen titkosítási rendszernek tűnik, miután véletlenszerűségi elven működik. Ennél fogva minden egyes OTP-t csupán egyszer lehet felhasználni, és használat után meg kell semmisíteni. Még ha a hacker fel is tudná törni a kódot, akkor is új OTP-t fog küldeni neki a rendszer. Az OTP-titkosítás előnyei ellenére van néhány számítástechnikai akadály, ami miatt a titkosítási módszer még nem használható az e-Banking területén. Az egyik fő probléma az, hogy a számítógépek nem képesek véletlenszerű számokat generálni, mert a számsorozatok előállítása meghatározott algoritmuson alapul. Ezért a számítógép igaz hosszú idő eltelte után - újból ugyanazt a számsorozatot fogja produkálni. Ha tehát egy hacker meg tudná fejteni az algoritmust, akkor ki tudná számítani a számsorozat következő elemét. Az OTP-vel szembeni másik - a szimmetrikus titkosítási eljáráshoz hasonló - fő probléma a kód biztos eljuttatása a kommunikációs partnerhez. Enélkül ez a módszer is bizonytalannak számít.

Biometrikus ügyfél-azonosítás A biometrikus eljárás több lehetőséget is nyújt az ügyfél azonosítására. Az azonosítás történhet pl. ujjlenyomat alapján, a szem íriszének, az arcnak vagy a tulajdonos hangjának felismerésével. Igaz, a személyazonosítás ezen formájánál igen kicsi a hamísítás valószínűsége, mégis továbbfejlesztésre szorul az eljárás, ugyanis még mindig nagyon magas a hibaarány. Az eljárás kb. minden ötvenedik felismerésnél hibázik. Amennyiben a hibaarányt csökkenteni lehet, a jövő számos gyakorlati alkalmazási lehetőséget fog nyújtani a biometrikus azonosító eljárásnak. Egy másik probléma ezzel a formában történő azonosítással, hogy a hálózaton keresztül továbbra is egy digitális jelsorozatot fog tovább küldeni a számítógép, amelyet ellophatnak, feltörhetnek, tehát leginkább a kód elvesztését és tárolását egyszerűsíti ez a megoldás.

ILM (Information Lifecycle Management) Az adatcsere sebességének növekedésével újabb megoldások alakultak ki az adatfeldolgozásra és az adatmentésre is. Az egyik legújabb adatmentési módszer az ún. Information Lifecycle Management (információéletciklus-menedzsment), amelyet

GKIENET KFT.

44


2007. május

egyre többen alkalmaznak a gyakorlatban. Az ILM-metódus a központi igazgatás és a decentralizált mentési kapacitás elvét követi.

MDA (Model Driven Architecture) Más ágazatokhoz hasonlóan a szoftver-ágazat is az automatizáció és a sztenderdizáció idejét éli. Az automatizált MDA új lehetőségeket biztosít a programozóknak. Az automatizált felépítéssel működő programozás során a komplex gépi kódokat már nem emberek fogják előállítani vagy beírni. A jövőben mindent a programozó gép generátora fog moduláris szoftver-építőelemekből létrehozni, az ügyfél igényeinek megfelelően.

Kvantumkriptográfia Az ún. kvantumkriptográfiai eljárás a bizalmas adatok titkosításának legújabb módszere. Az eljárás legfőbb újítása, hogy - ellentétben a PKI-titkosítással - itt nincs szükség egy további üzenetre, amely a titkosítási kulcsot tartalmazza. Ezek az üzenetek ugyanis azok, amelyekre a hackerek leginkább vadásznak, ami gyakorlatilag bizonytalanná teszi a Public Key-eljárásokat. A kvantumkriptográfiai eljárás matematikai kombinációk helyett meghatározott kvantumállapotokat használ az információk továbbítására. Egy lehallgatási kísérlet fizikai okokból megváltoztatná az adott kvantumállapotot és ezáltal magát az információtartalmat is. Ez teszi egyedülállóvá ezt a titkosítási eljárást. A kvantumkriptográfiai eljárást azonban még tökéletesíteni kell, mert problémák merülnek fel a nagy távolságok közötti üzenetátvitelnél. Amennyiben ezeket a nehézségeket is ki tudják küszöbölni a kutatók, akkor egy jó ideig megoldódnak a pénzügyi és biztosítási szféra titkosítási gondjai.

GKIENET KFT.

45


2007. május

V.4. IT-biztonság kontra költséghatékonyság Míg banki szemszögből az e-Banking, valamint a banki termékek és szolgáltatások sztenderdizálása az elmúlt évek során jelentős költségcsökkenést eredményezett, különösen ami a humán tőkét illeti; addig az elektronikus bankszolgáltatások 24órás, zökkenőmentes működésével kapcsolatos költségek, elsősorban az ITkiadások nagysága emelkedett. Az IT szolgáltatók számára a bankok fontos ügyfelek. Az előállító-ipar után a bankszektor a legjelentősebb IT-fogyasztó. A banki IT-kiadások nagy részét mégis az IT-szakemberek foglalkoztatása jelenti, és az ún. SITS (System IT-Service) kiadások nagysága annak ellenére igen tekintélyes, hogy egyre több bank fordul külső szakemberhez, mivel az outsourcing jelentős költségmegtakarításra ad lehetőséget. A PAC (Pierre Audoin Consultants GmbH9) számításai szerint a bankszektorban a SITS képezi a harmadik legnagyobb piacot. A SITS-piachoz a szoftver-alkalmazásokon túl a szakértők a projektügyleteket és az outsourcingot is hozzászámolják. 18. ÁBRA NÉHÁNY JELENTŐS NEMZETKÖZI BANK IT KIADÁSAI 2004-BEN

Forrás: IT Spending Trends, Celent Consulting, Paris, 2004 Hogy mennyiben térülnek meg a banok IT-kiadásai, azt a bankok nagyon kis része tudja megmondani. A bankok körülbelül 70%-ának adatok hiányában fogalma sincs az IT-befektetéseinek megtérüléséről. Az IT-projektek általában több mint egyharmada meghaladja a tervezett időkeretet és mintegy egyötöde a tervezett költségkeretet is. Az IT-projektek további egyötöde nem valósítja meg az elvárt működést - foglalja össze az IT-beruházásokkal kapcsolatos tanulmányát az IBM Business Consulting Services. A felmérés során mintegy 165 jelentősebb európai banki IT-projektet kísért figyelemmel az IBM BCS10. Az IBM számításai szerint a 9

www.pac-online.com CIO – IT Strategy for manager, 2005, www.cio.de

10

GKIENET KFT.

46


2007. május

pénzügyi intézmények összkiadásainak mitegy 15-22%-át IT-termékekre és projektekre fordítják. Ezek a kiadások azonban gyakran nem hozzák meg a kívánt eredményeket. Néhány pénzintézet még azt sem igazán tudja megmondani, hogy mely befektetései voltak kifizetődőek és melyek nem. Az elégedetlenség ellenére a bankszektor a jövőben is az IT-biztonsági rendszerek egyik legfontosabb fogyasztója marad. Ennek egyik oka, hogy az e-Banking szolgáltatásoknak a nap 24 óráján keresztül kell elérhetőnek lenniük, másik pedig, hogy a bankok számára továbbra is elsőrendű marad a biztonságosság kritériuma, ami az IT-rendszerre is hasonlóan érvényes, mint más kockázati területre. Szakértők szerint az IT-kiadások a következő négy évben továbbra is nőni fognak, évente előreláthatólag mintegy 7%-kal. Ennek oka, hogy egy teljesítőképes ITbiztonsági menedzsment-rendszerre a jövőben is nagy szükség lesz, hiszen a biztonságos IT-rendszer kármegelőzés szempontjából elsőrangú. A költségfokozó tényezők közé az újabb és újabb IT-kihívások mellett a Bázel II. megállapodás és a pézmosásról szóló törvények elvárásai, valamint az állandó konszolidációs hullám tartoznak. (Ahogy ez majd a jogszabályokra vonatkozó részben részletesen is kifejtésre kerül, a bankok 2007-2008 során fogják teljességgel alkalmazni a Bázel II. megállapodás szavatoló tőkére vonatkozó előírásait, melynek során működési kockázataik között az IT-kockázatokat is számosítaniuk kell.) Előreláthatólag a bankok a jövőben arra is több figyelmet fognak szentelni, hogy megvizsgálják ITkiadásaikat és beruházásaik hatékonyságát, ezért várható, hogy az IT-kiadások részletezettsége megnő a mérlegekben és csoportosításra kerülnek az egyes tevékenységi körökhöz.

GKIENET KFT.

47


VI.

A

2007. május

H AZ AI PÉNZINTÉZETEK ALK ALM AZ OTT GY AKORL ATAI

VI.1. Bankokkal készített interjúk összefoglalója A személyes interjúk során a hazai piacon jelentős szereppel bíró bankok közül hat pénzintézet szakembereit kerestük fel annak érdekében, hogy az elektronikus szolgáltatásokhoz kapcsolódó IT-biztonsági kockázatokról és azok kezeléséről részletesebb információkat tudjunk meg. Az interjúk során általában a bankbiztonságért, illetve az elektronikus pénzügyi szolgáltatásokéért felelős személyek segítették munkánkat, akik jellemzően igazgatói, illetve főosztályvezetői feladatkörben tevékenykednek. Minden válaszadónk kiemelte, hogy nem járul hozzá a bank nevesítéséhez, ezért az egyedi információk visszakövethetőségének megakadályozása érdekében nem készítettünk külön jegyzőkönyvet, hanem az interjúk tapasztalatai együttesen elemeztük.

IT-biztonsági koncepció A megkérdezett pénzintézetek mindegyike rendelkezik IT-biztonsági koncepcióval, igaz ez a kifejezés önmagában nem állja meg a helyét minden esetben. Egyes bankoknál a koncepció több részből áll (pl.: ~szabályzat, ~politika, ~stratégia), illetve van ahol az informatikai biztonsággal kapcsolatos szabályok, irányelvek együttesét másként hívják. Általánosságban elmondható azonban, hogy a koncepció, szabályzat a banki tevékenység kapcsán elengedhetetlen (amellett, hogy kötelező), mivel az intézmények nem csak az elektronikus szolgáltatások kapcsán használnak informatikai rendszereket. Ennek következtében a dokumentum minden esetben különálló egészt képez, nem része más szabályzatnak, koncepciónak. A dokumentum hatásköre esetében nincs eltérés a válaszadók között: az ITbiztonsági koncepció minden, az informatikai rendszerekkel kapcsolatos biztonsági kérdésre kiterjed. A szabályzat kialakításakor általánosan elmondható, hogy követték a hazai, vagy nemzetközi szabványokat. A legtöbb esetben az ISO17799-hez igazodva hozták létre a koncepciót, de volt olyan eset is, amikor az ITB 12. és 16. számú ajánlását, illetve az ITSEC ajánlásokat követték. Az IT-koncepcióhoz minden válaszoló intézmény esetében jól meghatározott felelős tartozik, aki a bankbiztonsági osztály, vagy az informatikai biztonsági osztály vezetője. A felülvizsgálat gyakorisága eltérő volt az egyes bankoknál: van olyan intézmény, ahol évente, van, ahol 2 évente, de olyan is akadt ahol csak 5 évente vizsgálják felül a koncepciót. Az közös pont volt viszont, hogy a felülvizsgálat általában kizárólag

GKIENET KFT.

48


2007. május

az időhöz köthető, mennyiségi küszöbszámokat sehol sem határoznak meg, mit felülvizsgálati opció. A fenti időintervallumoktól eltérően kizárólag abban az esetben kerül sor felülvizsgálatra, amennyiben jelentős, a koncepciót érintő változás (pl.: szervezeti, vagy eljárásrendi) történik a bankon belül. Ebben az esetben természetesen a koncepció igazodik a változásokhoz. A felülvizsgálat módjára vonatkozóan nincs általánosan elfogadott módszertan. A koncepció megújításakor általában a nemzetközi szabványok ajánlásait veszik figyelembe (pl.:ISO 17799, ISO15408, Cobit), természetesen az időközben történt változások követésével.

Oktatás

A válaszoló bankoknál a munkavállalók általában tisztában vannak az IT-biztonsági szabályzattal. Ennek fenntartása érdekében mindegyik pénzintézetnél tartanak oktatást a dolgozóknak, igaz ennek módja és rendszeressége eltérő. Általában az a jellemző, hogy a munkavállalók esetében évente kerül sor a képzésre, de arra is van példa, hogy az új belépőknek 1-2 havonta kell képzésre mennie. Az érintettséget illetően szintén nem egységes a bankok magatartása, van ahol mindenki számára kötelező a részvétel, és van olyan is, ahol csak az IT-szakembereknek kell rendszeres továbbképzésre mennie. Hasonló különbségek adódnak a számonkérésben is: a bankok egy részénél az oktatás után a dolgozók vizsgáznak az adott anyagból, máshol viszont nincs kötelező számonkérés. Közös pont, hogy elégtelen tudás esetén nincs szankció, igaz a válaszadók kiemelték, hogy a munkavállalók elégtelen mértékű ismerete nem jellemző. Az oktatás megvalósítását illetően egyik válaszoló sem jelezte, hogy ezzel kapcsolatban igényt tartana ajánlásra. Fontos továbbá kiemelni, hogy szankció alkalmazása más munkajogi kérdés lenne, így ebben ők nem kompetensek.

ISO

A válaszadó bankok egyike sem rendelkezik ISO minősítéssel. Ennek egyik oka, hogy ezeket a szabványokat nem teljesen a pénzintézetek számára találták ki, másrészt a tanúsítások fenntartása és évenkénti auditálása rengeteg erőforrást venne igénybe. Ugyanakkor van olyan intézmény, amelynek egyes részlegei (pl.:önkormányzati) az üzleti partnerek preferenciái miatt megszerezték az ISO minősítést. A válaszadók véleménye az ISO szabványokról meglehetősen eltérő volt. A pozitív vélemények szerint ezek a szabványok jól lettek kitalálva és alapvetően jól használhatóak. A 17799 és a 27001 szabványok hasznos kontrollpontokat tartalmaznak, melyek segítik a bank munkáját is. A negatív vélemények szerint az ISO szabványok a gyakorlatban nem használhatóak és kizárólag a külső partnerek számára bírnak értékkel. Az átlagos vélemény (egyben a többség véleménye) az volt, hogy az ISO szabványokra mindenképp szükség van, hiszen fontos

GKIENET KFT.

49


2007. május

iránymutatást jelentenek, ugyanakkor teljes mértékben nem lehet őket követni, alkalmazkodni hozzájuk.

Elektronikus szolgáltatások köre és a működés környezete Szolgáltatásokhoz kapcsolódó kockázatok

Valamennyi bank válasza megegyezett azzal kapcsolatosan, hogy ha valamely szolgáltatást nem nyújtanak elektronikus csatornákon keresztül, akkor annak okai között az IT-biztonsági kockázat nem szerepel. Ennek oka, hogy az IT biztonsági kockázatok lefedése a projekt elindításával kapcsolatos döntésnél egyértelműen megfeleltethető valamilyen költségszintnek. Ha egy szolgáltatás bármilyen költségelem miatt is, de nem kifizetődő, azaz megtérülése és az erőforrásigénye nem áll arányban az ügyféligényekkel, abban az esetben nem jelenik meg az elektronikus szolgáltatások körében. A kutatásban résztvevő bankok körében a befektetési ügyek intézése általában ilyen okból nem kerül bele az elektronikus szolgáltatások körébe. A személyesen felkeresett bankok körében 4 esetben kaptunk ilyen választ. Ezen felül viszont a válaszadók kivétel nélkül jelezték, hogy a személyes azonosítást igénylő folyamatok egyelőre leginkább a törvényi akadályok miatt nem kerülhetnek bele az elektronikus szolgáltatások körébe. A jelenlegi szabályozás alapján ugyanis ha egy bank kiállít egy tanúsítványt, akkor azt a másik banknak is el kellene fogadni. A tanúsítványhoz tartozó személyes adatok ugyanakkor nem jutnak el a másik bankhoz, mivel az nem várható el, hogy valaki kiadja az ügyfeleinek a listáját, adatait. A piaci hitelesítők által kibocsátott tanúsítványok használata szintén kérdéses, mivel a hazai piac még nagyon kicsit, így könnyen előfordulhat, hogy a cégek megszűntetik hitelesítő szolgáltatásaikat. A válaszadók véleménye szerint, a piacot is előremozdító megoldás lehetne egy kormányzati CA felállítása, mivel az itt kiadott tanúsítványok hitelességét és hosszú távú működését az állam garantálná. Egyelőre azonban az egyes állami szervek csak szűk körben használható megoldásokat dolgoztak ki, jelentősen hátráltatva a fenti elképzelést. Az ügyfeleknek nyújtott elektronikus szolgáltatások kapcsán a bankok nem különítenek el extra IT-biztonsági kockázatokat. Véleményük szerint ebben az esetben az üzemeltetéshez kapcsolódóan merülnek fel az amúgy is jelen lévő kockázatok: Rendelkezésre állás (7*24 óra!); Rendszerek sérülékenysége, Hitelesség, sértetlenség, bizalmasság kérdése. A fentiek közül a válaszadók egybehangzóan a rendelkezésre állást jelölték meg legnagyobb kihívásnak, tehát azt, hogy a hét minden napján, napi 24 órában elérhetőnek kell lennie a rendszereiknek. Pár perces leállásnál hosszabb üzemzavar

GKIENET KFT.

50


2007. május

már sajtóvisszhangot is kap, ami a technikai kihívások mellett az ügyfelek bizalmában is jelentős csökkenést eredményezhet. A fentieken túl az elektronikus szolgáltatásokhoz kapcsolódóan a bizalmasság sérülése, a kommunikációs csatorna hitelessége és sérthetetlensége, valamint az azonosítás jelent informatikai szempontból kockázati tényezőt. Az elektronikus csatornák használata során a károkozás legegyszerűbb módja, ha a felelőtlen felhasználótól megszerzik az azonosítót, illetve a jelszót. Többcsatornás azonosítás nélkül ezekkel az információkkal teljes hozzáférés érhető el a bankszámlához. A másodikként említett kommunikációs csatorna már az ügyféltől független kockázatot jelent. Amennyiben nem lehet biztosítani a csatornák hitelességét és sérthetetlenségét, nem lehet teljes bizonyossággal meggyőződni arról, hogy az adatok valóban csak az ügyfél és a bank között áramlanak, illetve azokat ténylegesen csak ez a két oldal látja. Az IT-biztonsági kockázatok mérséklése érdekében a pénzintézetek az alábbi lépéseket alkalmazzák: Alkalmazások rendszeres felülvizsgálata; Betörésteszt; Túlterheléses teszt; Különböző rendkívüli események bekövetkeztére vonatkozó cselekvési terv; Többcsatornás azonosítás. A bankok minden gondosság ellenére sem képesek arra, hogy teljes mértékében likvidálják az ügyfél oldalán megjelenő kockázatokat (pl.: a bizalmasság sérülése), melyeket az IT-biztonsági koncepcióban sem lehet ily módon kezelni. A válaszadók ugyanakkor jelezték, hogy saját IT-biztonsági koncepciójuk, szabályzatuk a bank oldalán felmerülő összes kockázati tényezőre vonatkozik, abban nincsenek elkülönítve a kifejezetten az elektronikus szolgáltatásokra vonatkozó kockázatok. Új szolgáltatások indításakor minden válaszoló banknál magas prioritása van az informatikai biztonsági kockázatoknak. A bevezetés előtt minden esetben részletes tesztelést készítenek, melyben a lehetséges kockázatok szintjét minimalizálják.

PKI

A PKI alapú nyílt kulcsú elektronikus aláírás használatára jelenleg mindössze egy bank esetében van lehetőség. A szakemberek szerint a PKI körül kialakult „hírverés” messze nem a valóságot tükrözi. Az elektronikus aláírás széles körben való elterjedését a jelenlegi jogi szabályozási hiányosságok és ellentmondások,

GKIENET KFT.

51


2007. május

illetve a kormány, valamint a közigazgatás tétovázó hozzáállása hátráltatja leginkább. Mindezek ellenére, főként a vállalati szektorban kialakuló igény miatt, van olyan bank, ahol már folyamatban van a PKI alapú rendszer kiépítése, míg máshol a tervek között szerepel ennek bevezetése. A válaszadók egyetértettek abban, hogy a lakossági ügyfelek esetében időben még nagyon távol van az elektronikus aláírás használata az azonosítás folyamatában. A vállalati kör ezzel szemben már részben igényli, főként a magasabb biztonság miatt, részben pedig jobban elfogadja az ilyen irányú törekvéseket.

Támadások

A válaszolók egyhangúan komoly veszélyforrásként értékelték azt a napjainkban tapasztalható tendenciát, miszerint folyamatosan nő a külső támadások száma. Kiemelték ugyanakkor, hogy a bankok esetében a direkt támadások hatástalanok. Igaz, folyamatosan tapasztalhatóak a próbálkozások, a pénzintézetek biztonsági megoldásai tökéletesen ellátják feladataikat. Az interneten keresztül indított támadások célpontja éppen ezért a legtöbb esetben az ügyfél, mivel ő jelenti a rendszer leggyengébb láncszemét. Az adathalász oldalak száma nagymértékben emelkedik és az eddig védelmet jelentő nyelvi akadályok is lassan megszűnnek, mivel egyre tökéletesebb oldalak jelennek meg. Egyes vélemények szerint az ügyféloldali próbálkozások mellett a belső fenyegetettség jelenti a legnagyobb veszélyt, mivel a belső felhasználók sokkal könnyebben hozzájuthatnak kényes információkhoz, mint a külső „támadók”. Összefoglalva, a válaszadók az alábbi veszélyeket tartják leginkább relevánsnak: Belső fenyegetettség; Szerver elleni támadások; Portszkennelés; Adathalász oldalak.

A fenti fenyegetettségek kivédésére az alábbi intézkedésekkel találkozhatunk a bankoknál: Fenyegetés Belső fenyegetettség Szerver elleni támadások Portszkennelés Adathalász oldalak

Védekezés Részletes, központosított jogosultság-kezelés Betörésteszt Erős tűzfal megoldások Nem minősül egyértelmű támadásnak, így mivel a tűzfalon nem tudnak átjutni, nem védekeznek kifejezetten ezellen A weboldalak nevét ellenőrző script Támadás esetén extra tájékoztatás Több csatornás azonosítás

GKIENET KFT.

52


2007. május

A válaszadók többsége szerint földrajzi értelemben nem lehet értelmezni a külső fenyegetettséget, igaz volt olyan vélemény is, miszerint a hazánkat érő legtöbb támadás a volt szovjet tagállamokból érkezik. Az elektronikus szolgáltatások esetében a válaszadók szerint a legmagasabb konkurens felhasználói szám sem haladja meg az ezres nagyságrendet. Természetesen az egyszerre bejelentkezett ügyfelek száma jelentősen ingadozik a napszakok szerint. A túlterhelésből adódó problémák elkerülését a válaszadók hasonló módszerrel igyekeznek elkerülni: a folyamatos tesztelés során az addig tapasztalt maximális felhasználószám 2-5-szeresével végeznek próbákat, így biztosítva az elektronikus szolgáltatásokat biztosító rendszerek túlterhelésből adódó problémáinak elkerülését.

Outsourcing

A válaszoló bankok esetében sehol sem találkoztunk olyan elektronikus szolgáltatással, melyet teljes mértékben outsourcingeltek. Egy esetben jelezték, hogy van olyan szolgáltatásuk, amit részben kiszerveztek, ebben az esetben a rendszeres audit biztosít lehetőséget annak ellenőrzésére, hogy a szolgáltatás megfelel-e az IT- és adatbiztonsági elvárásoknak.

Elektronikus szolgáltatások ügyfélkockázata A válaszadók egybehangzó véleménye, hogy az ügyfél oldalán lehetőség van, a kockázatok csökkentésére és ez a bank részéről kötelező is. Ennek gyakorlati megvalósítására számos megoldással találkozhatunk: Kockázatcsökkentés módja Több csatornás azonosítás; Ügyfél terelése (pl.:kötelező jelszóváltás); Folyamatos és extra tájékoztatás (honlap, SMS, email); Tesztoldal bemutatása a képességek mérésére; Ügyfél lehetőségeinek (kockázati szempontból) minimalizálása

A megoldást említő válaszadók száma 3 2 5 1 2

A válaszadók egy esetben sem jelezték, hogy a felhasználók tudatosságát bármilyen módon mérnék, ugyanakkor tisztában vannak vele, hogy IT-biztonsági szempontból a lehető legnegatívabban kell az ügyfeleket kezelni, mivel mindkét félnek ez a közös érdeke. Másrészt véleményük szerint az ügyfelek általában a kényelmi szempontokat tartják csak szem előtt, és úgy gondolják, hogy a biztonsági megoldások és a kockázatok kezelése és viselése a bank feladatai. A válaszadók a tavalyi, magyar bankok ellen irányuló adathalász akció kapcsán kivétel nélkül pozitívan értékelték a sajtó közreműködését, hiszen időben felhívták a lakosság figyelmét a megtévesztő oldalakra, így már az elején minimalizálni lehetett

GKIENET KFT.

53


2007. május

az „áldozatok” számát. A válaszolók közül emellett többen dicsérték a PSZÁF honlapját, mivel véleményük szerint azon sok, az átlagember számára is érthető, a pénzvilág működésével kapcsolatos dologról lehet olvasni, tájékozódni. A válaszadók szintén kiemelték, hogy az adathalász támadások nagy publicitása kifejezetten hasznos volt az ügyfelek tudatosságának növelésében, mivel sokan ekkor szembesültek azzal, hogy milyen veszélyeket rejt az internetbank felelőtlen használta. A válaszadók szerint ez is jól mutatja, hogy mennyire fontos a kommunikációs csatornák tudatos és célzott használata. Egyhangú válaszként fogalmazódott meg az is, hogy az ügyfél felelősségét visszaélések esetében a törvény egyértelműen meghatározza. A szabályozás szerint az ügyfelet ért kárt 45 ezer forintig az ügyfél köteles viselni. Amennyiben a közreható magatartás, vagy a szándékos gondatlanság bizonyítható (pl.: azonosító átadása, PIN kód ráírása a kártyára) akkor kizárólag a bank hozzáállásán múlik, hogy megtéríti-e az ügyfél kárát. A válaszadók úgy vélik, hogy az ügyfelek döntő többsége a banktól várja a kárpótlást, így különösen nagy szerepet tulajdonítanak annak, hogy a felhasználók tisztában legyenek a törvényi keretekkel és érezzék a saját felelősségüket.

Elektronikus szolgáltatások költségei A bankok számára a szükséges informatikai háttér kialakítása, illetve karbantartása jelentős költségekkel jár. Egy új rendszer (pl.: új pénzforgalmi rendszer kialakítása) kiépítése kapcsán a beruházási költségek elérhetik a százmilliós nagyságrendet is. Az elektronikus szolgáltatások pontos költségét azonban nem lehet elkülöníteni, mivel egy-egy eszközről nem lehet egyértelműen eldönteni, hogy az kizárólag az elektronikus szolgáltatásokat szolgálja ki, vagy esetleg más funkciókat is ellát. Az elektronikus szolgáltatásokhoz kapcsolódó költségek kimutatása a válaszadók szerint tisztán számviteli kérdés, ugyanakkor ilyen statisztikák készítése messze állna a realitástól. Ez részben igaz lehet, de mindenképpen meg kell jegyeznünk, hogy némileg ellentmond a válaszadók azon korábbi állításával, miszerint a beruházások tervezésénél a projekthez egyértelműen költségeket rendelnek és ehhez készítenek elemzést. A költségekkel kapcsolatos információkat a bankok kiemelten bizalmasan kezelték és még a megfelelő titoktartási magatartás mellett sem mutatták be a részletes költségadatokat. Az elektronikus szolgáltatások igénybevétele egyes bankoknál ingyenes, másoknál minimális díjjal párosul. Ugyanakkor azokban az esetekben, amikor ez költséget jelent a fogyasztónak, a kedvezőbb tranzakciós díjakat figyelembe véve összességében olcsóbban veheti igénybe a banki szolgáltatásokat, mintha a

GKIENET KFT.

54


2007. május

személyes ügyintézést választotta volna. Az elektronikus tranzakciókhoz kötődő díjazások minden esetben kedvezőbbek, mint a hagyományos csatornák esetében. Az elektronikus szolgáltatások nyújtásához kapcsolódó fejlesztési és üzemeltetési költségek, bár nem lehet őket egyértelműen elkülöníteni, szükségszerűvé teszik, hogy az ügyfelek ha kismértékben is, de hozzájáruljanak ezen költségek fedezéséhez.

Szabályozási környezet A válaszadók alapvetően pozitívan értékelték a hazai szabályozási környezetet, azonban számos észrevételt tettek. Hiányosságként említésre került például, hogy a bankkártyák használata során a nemzetközileg érvényes szabályokat alkalmazzák, miközben hazai szolgáltatásról van szó, hiszen a tényleges tranzakciók és elszámolások hazai cégeknél, bankoknál történnek. Fontos lenne a szakmai körökben kialakult Best Practice-ből a magyar piacra történő testreszabás után egy jól használható iránymutatást, szabványt kialakítani a bankkártyás fizetési megoldásokra vonatkozóan. A munka során ügyelni kell arra, hogy a kialakítandó szabványok ne legyenek túlságosan konkrétek, mivel az már a szolgáltatások terjedését akadályozná. További hiányosságként merült fel, az elektronikus szolgáltatásokkal való visszaélések szankcionálásának szabályozása. A válaszadók szerint a hazai jogszabályokban nincs egyértelműen tisztázva, hogy milyen eljárásrendben, milyen jogi szankciókkal élhetnek a megkárosított bankok (akadály pl. a földrajzi illetékesség). Nincs egyértelműen tisztázva, hogy ha egy másik országból egy harmadik országbeli állampolgár támadást indít egy hazai bank ellen, akkor mely ország hatósága illetékes eljárni, mely ország törvényei érvényesek. Ehhez kapcsolódó probléma, hogy hazánkban az elektronikus bizonyítékok kezelése is meglehetően nehezen működik. Azt is fontosnak tartják a bankok, hogy az elektronikus fizetőeszközök használatából eredő károk során a felelősség kérdése (ügyfél és bank relációban) egyértelműen, törvény által szabályozva legyen, mivel így a későbbiekben elkerülhetővé válnak a vitás esetek. A válaszadók szerint a hazai szabályozási környezetben erőteljes kettősség figyelhető meg: egyrészt bizonyos területeken precíz és részletes szabályozást dolgoztak már ki amellett, hogy az adott szolgáltatás még nem terjedt el igazán. Ezzel szemben más területeken (mint például a fent említett bankkártya), alig található hazai törvényi, vagy felügyelő hatósági ajánlás, miközben a termék használata már nagy népszerűségre tett szert.

GKIENET KFT.

55


2007. május

Jól szabályozott

Nem jól szabályozott

Visszaélések során a felelősség kérdése

PKI alapú aláírás használata e-banki szolgáltatások Elektronikus bűncselekmények illetékessége Elektronikus azonosítás Adatvédelem Többcsatornás elektronikus azonosítás Bankkártyával kapcsolatos szábályozás

A magyar és az EU szabályozási környezetében egyes válaszadók (3 bank) nem látnak jelentős különbségeket, míg más válaszadók (2 bank) szerint a hazai piacra negatív hatást gyakorló eltéréseket találhatunk. Említésre került az elektronikus okirat hitelesítésére vonatkozó szabályozás, ami az EU-ban bővebb kereteket hagy a mozgásra, míg nálunk meglehetősen túlszabályozott. A válaszadók szerint a szigorú hazai adatvédelmi és adatkezelési szabályok rossz gyakorlatot tükröznek (a törvény sem megfelelő), véleményük szerint az egységes azonosítási lehetőséget nem korlátozni, hanem szabályozni kellene. Jó példa erre a pénzmosás elleni törvény is, ami kimondja a kötelező személyes megjelenést és a személyazonosság igazolását nagy összeg esetében. A szakértők szerint amíg a hazai szabályozási környezet ilyen szigorú marad, addig a szabad piaci szemlélet nem tud megjelenni, nem tud széles körben elterjedni a PKI alapú azonosítás és a nemzetköziesedés előtt is jelentős akadályok emelkednek. A PSZÁF elektronikus szolgáltatásokra vonatkozó ajánlásait a válaszolók alapvetően hasznosnak találják. A Felügyelettel szemben pozitív a válaszolók hozzáállása, véleményük szerint az ajánlásaik hasznosak, a honlapjuk pedig értékes információkkal látja el a felhasználókat. Kiemelték ugyanakkor, hogy a szabályozások csak addig szolgálják a piac érdekeit, amíg hagyják azt érvényesülni. Az elektronikus szolgáltatások területén már kialakult a „legjobb megoldások” területe, így ha ezt túlszabályozással meg kívánja változtatni a szabályozó szerv, azt hátráltatni fogja a piac fejlődését. Két esetben is negatív véleményként fogalmazódott meg a szervezet ajánlásaival szemben, hogy azok túlságosan általánosak, nehezen teljesíthetőek, illetve a számonkérhetőségük megkérdőjelezhető. Pontos definíciók nélkül ellenőrzés során könnyen lehet hibát találni, ami inkább a negatív véleményformálást erősíti a piaci szereplőkben. A fentieken túl említésre került, hogy a bankok kiemelten várják a többcsatornás elektronikus azonosításra vonatkozó ajánlásokat. Javasolták továbbá, hogy az elektronikus pénzügyi szolgáltatások elterjedtsége miatt, az oktatási rendszerben helyet kellene találni az alapvető pénzügyi szolgáltatások (azon belül az elektronikus) bemutatására és azok veszélyeinek ismertetésére.

GKIENET KFT.

56


2007. május

VI.2. Biztosítókkal készített interjúk összefoglalója A személyes interjúk során a hazai piacon jelentős szereppel bíró biztosítók közül négy vállalatnak a szakembereit kerestük fel annak érdekében, hogy az elektronikus szolgáltatásokhoz kapcsolódó IT-biztonsági kockázatokról és azok kezeléséről részletesebb információkat tudjunk meg. Az interjúk során általában az ITbiztonságért, illetve az elektronikus szolgáltatásokéért felelős személyek segítették munkánkat, akik jellemzően igazgatói, illetve főosztályvezetői feladatkörben tevékenykednek.

IT-biztonsági koncepció A megkérdezett biztosítók mindegyike alkotott formalizált IT-biztonsági koncepciót, ami általában informatikai biztonsági szabályzat formájában jelenik meg és az informatika teljes körére kiterjed. Általánosságban elmondható azonban, hogy a koncepció, szabályzat a tevékenység kapcsán elengedhetetlen (amellett, hogy kötelező), mivel az intézmények nem csak az elektronikus szolgáltatások kapcsán használnak informatikai rendszereket. Az IT-biztonsági terület az esetek többségében valamelyik felső vezetési szinthez kapcsolódik, a vezérigazgató-helyettes, vagy akár közvetlenül a vezérigazgató felelősségi körébe tartozik. Adott termék fejlesztésekor az üzleti igény felmerülése után kikérik az IT-biztonsági részleg véleményét, aminek a megvalósíthatósági tanulmánynak is részét kell képeznie, de olyan megoldás is előfordul, amikor a külön is létező fejlesztési szabályzat részeként informatikai fejlesztési szabályzatot hoznak létre.

Oktatás

A válaszoló biztosítóknál a munkavállalók általában tisztában vannak az ITbiztonsági szabályzattal. Ennek fenntartása érdekében mindegyik vállalatnál tartanak oktatást a dolgozóknak, igaz ennek módja és rendszeressége eltérő. Az alkalmazottak részére többnyire informatikai biztonságtudatosság-növelő oktatásokat szerveznek, de gyakori az intranet segítségével történő tájékoztatás, valamint egyes biztosítók kötelező e-learning bevezetését is tervezik.

ISO

A válaszadó biztosítók egyike sem rendelkezik ISO minősítéssel. Ennek egyik oka, hogy ezeket a szabványokat nem teljesen ezen ágazat számára találták ki, másrészt a tanúsítások fenntartása és évenkénti auditálása rengeteg erőforrást venne igénybe. A szabályzatok leginkább az ISO 17799 szabványt követik,

GKIENET KFT.

57


2007. május

minősítéssel azonban nem rendelkeznek és nem is tervezik annak bevezetését. A COBIT használata szintén jellemző, erre a PSZÁF által végezendő auditok miatt van szükségük. A válaszadók véleménye az ISO szabványokról meglehetősen eltérő volt. Az ISO szabványok nehezen szabhatóak testre, mert nem konkrétan az információbiztonság szemszögéből közelítenek, hanem egy jóval nagyobb területet fognak át. Az ISO-ra történő átállásra a belső motiváltság erős, de a szabályozó oldaláról is érezhető az egyre erősebb szorítás. Az ISO 17799-cel kapcsolatban az a véleményük, hogy jellemzően inkább szervezési oldalról közelíti meg az informatikai biztonság kérdését, mintsem technikai oldalról.


Az informatikai biztonsági szabályzatok nem nevesítik az elektronikus szolgáltatásokhoz kapcsolódó kockázatokat, többnyire egyes részek és rendszerelemek kerülnek kiemelésre. Az internetes szolgáltatáshoz szükséges erőforrások meghatározásához alapvetően a csúcsidőszakban jelentkező kihasználtságot mérik, amit a fogyasztói szokásokról vezetett statisztikák tovább pontosítanak annak érdekében, hogy a külső belépők a csúcsidőszaki terhelésre is felkészülhessenek.

PKI

A PKI alapú nyílt kulcsú elektronikus aláírás alkalmazása és a digitális aláírás fogadására alkalmas felület kialakítása nem túl általános gyakorlat, de a későbbi tervekben szerepel a bevezetésük. A szolgáltatás java része törvényi okokból sem nyújtható jelenleg online módon, mert „közhiteles” dokumentumra van szükség, a digitális aláírás gyerekcipőben jár és nem is minden esetben egyértelmű ennek elfogadhatósága. Az elektronikus szolgáltatások kapcsán a legfőbb probléma a termékek jellegéből fakad: a biztosítók esetén a tranzakciók nagy hányada szerződésmódosítással jár, ezt pedig nemcsak hogy kötelesek az ügyfelek személyesen aláíratni, de a biztosítás tárgyát szemlén keresztül lehet csak biztosítani. Az elektronikus aláírás széles körben való elterjedését a jelenlegi jogi szabályozási hiányosságok és ellentmondások, illetve a kormány, valamint a közigazgatás tétovázó hozzáállása hátráltatja leginkább.

GKIENET KFT.

58


2007. május

Támadások

A szolgáltatási biztonságot veszélyeztető támadások számáról alapvetően nem nyilatkoztak, de komolyan veszik a külső veszélyforrásokat (egyes vállalatoknál külön jelszó-szabályzatot hoztak létre), ugyanakkor DOS és DDOS támadásnak még nem voltak szenvedő alanyai. Az adathalászat ellen oktatással és a munkavállalók figyelmének felhívásával védekeznek. A fenyegetettség növekedésének legjobb mutatója, hogy a SPAM levelek száma egy-két éves időszak alatt hat-nyolcszorosára nőtt.

Outsourcing

Az elektronikus szolgáltatások fejlesztésének egy részét gyakran kiszervezik (szigorúan csak a fejlesztést és nem az üzemeltetést), mert a vállalaton belül nem áll rendelkezésre a felületek létrehozásához szükséges szaktudás. Egy esetben az IT üzemeltetését saját tulajdonú külső cégbe szervezték ki, ahol a rendszeres audit biztosít lehetőséget annak ellenőrzésére, hogy a szolgáltatás megfelel-e az ITés adatbiztonsági elvárásoknak.

Elektronikus szolgáltatások ügyfélkockázata A biztosítási szolgáltatások (különösen az életbiztosítások) alapvetően a bizalmi kapcsolat kialakulásán alapulnak, ami megkérdőjelezi az elsődleges értékesítés elektronikus útra történő átterelését. A biztosítás megkötése után ahhoz csak évekkel később, vagy káresemény bekövetkeztekor kell hozzányúlni, amikorra az ügyfelek sok esetben elfelejtik az online felhasználáshoz szükséges azonosítókat. Kritikus tranzakció elektronikus kezdeményezésekor a biztosító később írásbeli megerősítést kér ügyfeleitől, amivel a jogosulatlan személyek által okozott kárt lehet kiszűrni. Alapvetően a biztosító a szerződéses feltételekben a jelszó elvesztéséből/kiadásából származó károk felelősségét átruházza az ügyfélre.

Elektronikus szolgáltatások költségei Az IT-biztonság teljes IT-költésen belüli részarányát nehéz számszerűsíteni és általában nem is tudtak ilyen irányú információval szolgálni, viszont volt olyan biztosító, ahol ez az érték a 20% közelében mozgott. Az elektronikus szolgáltatások a biztosítók nagyobb részénél már léteznek, vagy legalábbis a fejlesztés fázisában vannak. Ezen a téren még lényeges előrelépésre van szükség, továbbá a kialakításuk is igen erőforrás-igényes, bár volt olyan válaszadó, aki szerint nem okoz jelentős extraköltséget.

GKIENET KFT.

59


2007. május

Szabályozási környezet A biztosítók véleménye szerint a magyarországi szabályok alapvetően szigorúbbak, mint az EU-beliek. A magyarországi szabályozás vizsgálatakor elmondható, hogy az alapszintű adatkezelést a Biztosítási és az Adatvédelmi Törvény majdnem teljes körűen lefedi. Az elektronikus adatkezeléssel kapcsolatosan azonban vannak hiányosságok, a PTK szerződésekre vonatkozó részei túl általánosak, a biztosítási törvény pedig túl specifikus. Összességében a kapcsolódó törvények nem veszik figyelembe az Elektronikus Aláírás Törvény azon pontját, miszerint a legbiztonságosabb minősített aláírás egyenértékű a sajátkezű aláírással, így nem egyértelmű, hogy melyik törvény megfelelő pontja élvez elsőbbséget. Még a napokban kiadásra került PSZÁF-ajánlás is elvárja, hogy az elektronikusan küldött ajánlat/megrendelés esetén meg kell várni a papír-alapú változat megérkezését. Alapvetően a gondolkodásból hiányzik annak nevesítése, hogy például minősített aláírás esetén erre nincs szükség. Szabványokon keresztül nehéz szabályozni ezt a területet, mert a szabványok lassabban fejlődnek, mint az informatika, ezért előrelépést jelentene, ha a PSZÁF ajánlásokat adna ki témaspecifikus tranzakciókra. Az állami szereplők a biztosítási ügyletek online fogadókészségének javítását a PKI, illetve a digitális aláírás terjedésének elősegítésével tudnák támogatni. Szabályozási oldalon a biztosítók számára várható legnagyobb változást a Basel II. biztosítói változata, a Solvency II fogja hozni, de ez még csak tervekben létezik.

GKIENET KFT.

60


VII.

2007. május

ELEKTRONIKUS PÉNZÜG Y I SZOLG ÁLTAT ÁSOK KEZ ELÉSE A

TÖ RVÉNYHOZ ÁSB AN

A fejezetben öt különböző jogi környezet szabályozásait dolgoztuk fel. Elsőként a Basel II. e-banking-ra vonatkozó előírásait vizsgáltuk, majd az Európai Unió vonatkozó szabályozásait dolgoztuk fel. Az Európai Unióban a német szabályozás a legkiforrottabb az elektronikus pénzügyi szolgáltatásokkal kapcsolatban ezért ezt külön elemeztük. Ezt követően kitértünk az Amerikai Egyesült Államokban érvényes előírások áttekintésére és végül a magyar törvényhozás vonatkozó rendelkezéseit vettük górcső alá.

VII.1. Basel II. rendelkezések biztonsági infrastruktúrájáról

az

e-Banking

A Bázeli Bankfelügyeleti Bizottság már a 90-es évek végén behatóan foglalkozott az elektronikus pénzügyi szolgáltatások biztonságának kérdésével. A Bizottság korán felismerte, hogy a bankok működésének biztonsága meglehetősen függ elektronikus szolgáltatásaik zavartalanságától, IT rendszerük biztonságától, ami a 90-as évek végén, különösen az USA-ban felmerült problémák kapcsán be is igazolódott. Az ügyfelek körében gyorsan terjedő elektronikus szolgáltatások - a technológia fejlődésével párhuzamosan – egyre több problémt okoztak a pénzintézeteknek. Igaz, hogy a problémakör, és ezzel egyidőben a probléma menedzselése sok esetben változatlan maradt, de az elektronikus csatorna mégis újabb és újabb kihívásokat okoz a bankoknak. Nemcsak az illetéktelen behatolásokat, elektronikus pénzhamisítást, az online-rendszer összeomlását kell megakadályozni elektronikus szolgáltatások esetén, hanem az ügyfelek általi hibás használatot is. Ezen túlmenően, rá kell bírni az ügyfeleket saját számítógépes biztonsági rendszerük kialakítására és a biztonsági rendszerek rendszeres frissítésére, karbantartására.

A Bázeli Bizottság elektronikus pénzügyi szolgáltatásokkal kapcsolatos irányelvei A következőkben röviden összefoglaljuk a Bázeli Bizottság által az elektronikus pénzügyi szolgáltatások kockázatkezeléséhez készített ajánlások legfontosabb megállapításait. Ezek bemutatását annak ellenére nagyon fontosnak tartjuk, hogy a Bázeli Bizottság által kidolgozott ajánlásoknak és irányelveknek kötelező jogerejük nincs, a gyakorlatban mégis fontos kiindulási alapot adnak a Bizottság 13 tagországának, illetve azok pénzügyi felügyeleteinek és pénzintézeteinek. A Bizottság tagjainak tekintélye – Nyugat-Európa legfontosabb ipari országain túl Japán, Kanada és az Amerikai Egyesült Àllamok is bizottsági tag – illetve a banki szféra globalizációja miatt gyakorlatilag Európa valamennyi GKIENET KFT.

61


2007. május

országában figyelembe kell venni a bázeli irányelveket. Az Európai Központi Bank és közvetve az Európai Unió is követi a bázeli elveket. Számos esetben a bázeli megállapodások egészét irányelvként átveszi az európai jog, vagy pedig átülteti a már meglévő jogi keretbe.

Risk management for electronic banking and electronic money activities

A Bizottság 1998 márciusi tanulmánya utal arra, hogy az elektronikus pénzügyi szolgáltatások és az elektronikus pénzzel kapcsolatos tranzakciók is kiválthatnak eddig ismert „tradicionális” banki kockázatokat, mint pl. kreditkockázatot, likviditási kockázatot vagy piaci kockázatot.11 A tradicionális banki kockázatkörökön túlmenően a tanulmány azonban egy új kockázatkategóriát is nevesít, ami a Bázeli Bizottság ajánlásainak körében egyre nagyobb hangsúlyt kap. Ez a rizikókör az operacionális (működési) kockázatok köre. A müködési kockázatok csökkentésére, megszüntetésére a tanulmány - a tradicionális banki kockázatok menedzsmentjéhez hasonlóan - az 1.) felismerés, 2.) kontroling, 3.) monotoring módszert ajánlja, és függelékében egy jó összefoglalást ad a lehetségesen felmerülő veszélyekről, ezek pénzintézetekre gyakorolt hatásáról, valamint a lehetséges kockázatmenedzselési eljárások köréről.

Electronic Banking Group: Initiatives and White Papers

Az elektronikus pénzügyi szolgáltatásokhoz tartozó működési kockázatkör a későbbi Bázeli gyakorlatban változik és kibővül, majd pedig – a pénzügyi szolgáltatás aktuális csatornájától függetlenül - beolvad az általános müködési kockázat fogalomkörébe. Ennek a fejlődési folyamatnak fontos lépcsője a Bázeli Bizottság 1999-ben alakult Electronic Banking Group-ja által 2000 októberében kiadott Fehér Könyv12, amely számba veszi és átfogóan kategorizálja az elektronikus bankolással kapcsolatban felmerülő működési, jogi és hírnévi (reputációs) kockázatokat.13 A tanulmány a következő e-bankolással kapcsolatos működési kockázatköröket nevesíti: az infrastruktúra technológiája, biztonság, adat-integritás, rendszer-elérhetőség, belső kontroll, audit, outsourcing. 11

Basle Commitee on Banking Supervision: Risk management for electronic banking and electronic money activities, Basle, March 1998, 9. old. 12 BIS Electronic Banking Group Initiatives and White Papers, 2000. Okt. 13 Ld. BIS Electronic Banking Group Initiatives and White Papers, 2000. Okt. 16-21. old.

GKIENET KFT.

62


2007. május

Az EBG megállapítja, hogy a Bázeli Bizottság hagyományos kockázatmenedzsment irányelvei az elektronikus pénzügyi szolgáltatásokra is alkalmazhatók, de ezeket a tradicionális irányelveket az internetes csatorna komplexitása miatt a kihívásoknak megfelelően kell integrálni. Az EBG a pénzintézetek vezérkarának (Board of Directors, executive management) hatáskörébe delegálja az elektronikus pénzügyi szolgáltatásokra vonatkozó kockázatmenedzsmentet és hangsúlyozza, hogy elengedhetetlen ennek integrálása a pénzintézetek általános kockázatmenedzsmentjébe.

Risk Management Principels for Electronic Banking

A Bázeli Bizottság 2003 júliusában megfogalmazott – ezidáig legutolsó, és mind az európai, mind az amerikai jog által átvett – ajánlása követi az EGB Fehér Könyvének gondolatmenetét. Elsősorban általános jellegű irányelveket fogalmaz meg, nem tér ki konkrét technikai megoldásokra, nem nevesít sztenderdeket. Mindezt azzal indokolja, hogy nem lenne hatékony az elektronikus pénzügyi szolgáltatások kockázatmenedzsmentjére részletes szabályzatot összeállítani, mert a technológia, illetve a pénzintézetek termékpolitikájának fejlődése miatt az ilyen jellegű előírások hamar elavulnának. Mégis néhány területen, különösen az outsourcing, a biztonsági felügyelet, illetve a jogi és hírnévi (reputációs) kockázatmenedzsment területén a Bizottság indokoltnak tartja, hogy az általános banki kockázatmenedzsment alapelveinél részletesebb irányelveket kövessenek a pénzintézetek14. A Bizottság felismerte, hogy minden pénzintézetnek a kockázati profiljához, szervezetéhez, vezetési stílusához igazodó kockázatmenedzsmentet kell létrehoznia, a helyi bankfelügyelet és jogi gyakorlat elvárásainak megfelelően. A Bizottság a megfogalmazott irányelveket – súlyozás nélkül – 3 csoportba sorolja: vezérkar-, menedzsment-felügyelet; biztonsági kontroll; jogi és hírnévi kockázatmenedzsment. A tanulmány érdekessége, hogy az e-banking érzékeny területekre tartalmaz hat darab függeléket, amelyekben részletezi, hogy mely speciális eljárásokat, módszereket alkalmazzanak a bankok az elektronikus szolgáltatások biztonságos lebonyolításának érdekében. A függelékek a következő területekre koncentrálnak: biztonsági kontroll, outsourcing-menedzsment, engedélyezés, könyvvitel, ügyfélre vonatkozó e-banking információk megőrzése, ügyviteli folyamatosság és előre nem látható események tervezése.) 14

BIS Risk Management Principels for electronic Banking, 2003, july. 6. old

GKIENET KFT.

63


2007. május

11. TÁBLÁZAT A BÁZELI BIZOTTSÁG E-BANKING SZOLGÁLTATÁSOKRA VONATKOZÓ 2003-AS KOCKÁZATMENEDZSMENT-ELVEI A. Vezérkar- és menedzsment-felügyelet (1-3 irányelvek): 1. Az e-bankolási tevékenységek hatékony menedzsment-felügyelete. 2. Átfogó biztonsági ellenőrzési folyamat kialakítása. 3. Megfelelő gondosság és menedzsment-felügyelet az outsourcing és egyéb harmadik fél felé irányuló kapcsolatokban. B. Biztonsági ellenőrzés (4-10 irányelvek): 4. Az e-bankolást végző ügyfelek hitelesítése. 5. Az e-bankolási tranzakciók elutasíthatatlansága és elszámolási kötelezettsége. 6. Az egyes tételek elkülönítését biztosító intézkedések. 7. Az e-bankolási rendszerek, adatbázisok és alkalmazások megfelelő engedélyezési kontrollja. 8. Az e-bankolási tranzakciók, feljegyzések és információk adat-integritása. 9. Az e-bankolási tranzakciók nyomonkövethető könyvelési rendszerének kialakítása. 10. A kulcsfontosságú banki információk bizalmas módon való kezelése. C. Jogi és hírnévhez kötődő kockázatok menedzselése (11-14 irányelvek): 11. Az e-bankolási szolgáltatások megfelelő közzététele. 12. Az ügyfél-információk titkossága. 13. Kapacitásra, üzletmenet folytonosságára és váratlan események bekövetkezésére vonatkozó tervezés, ami biztosítja az e-bankolási rendszerek és szolgáltatások elérhetőségét. 14. Előre nem látható események kezelésére vonatkozó tervezés..

Az elektronikus pénzügyi szolgáltatásokra a fent ismertetett speciális irányelveken túl a Bázeli Bizottság Hatékony bankfelügyelet alapjai-ra (un. Alapvető (Core) és az Egyéb kockázatokra) vonatkozó megállapításai is érvényesek általánosságban.

Működési kockázatok és a kötelező szavatoló tőke aránya a II. sz. Bázel megállapodásban A szavatoló tőke mérésének és a szavatoló tőke követelményeinek nemzetközi konvergenciája című – II. sz. Bázeli Keretmegállapodás15 felértékelte az ügyfelek IT biztonságának súlyát a pénzintézetek biztonsági tartalékának képzésénél. A keretmegállapodás értelmében a működési kockázatok körében számszerűsíteni kell az ügyfél hardverének, szoftverének, telekommunikációs rendszerének biztonságát, továbbá az operacionális kockázatok nagyságától és az ügyfélnek nyújtott szolgáltatás fajtájától függően a szolgáltató pénzintézet köteles meghatározott nagyságú szavatoló tőkét képezni. A szavatoló tőke mértéke végső soron az összkockázat nagyságától függ, amelybe a hitelkockázat mellett a II. sz. Bázeli Keretmegállapodás értelmében a működési kockázat is beletartozik. A 2004. június 26-án elfogadott Keretmegállapodás a pénzintézetekre kétirányú kötelezettséget hárít. Egyrészt, mint szolgáltatónak, az ügyfelük besorolása során 15

Letölthető: http://www.bis.org/publ/bcbsca.htm

GKIENET KFT.

64


2007. május

közvetlenül minősíteniük kell ügyfeleik IT biztonságát; másrészt pénzügyi szolgáltatást igénybevevő ügyfélként a saját IT rendszerük biztonsága is minősítve lesz más pénzintézetek belső vagy külső besorolása nyomán. Ez utóbbi minősítés kapcsán meg kell említeni az IT-problémák lehetséges körét. A Bázeli megállapodás 7. számú „Működési kockázatok – a veszteséget okozó események részletes csoportosítása” című melléklete ugyanis három helyen is nevesít IT-problémákat: külső elkövetések miatt (hackertámadás, adat- és információ-lopás), az üzleti tevékenység megszakítása, rendszerleállás miatt (hardver, szoftver-problémák), és az üzletek lebonyolítása során (engedély nélküli hozzáférés, kommunikáció megszakadása, tranzakció megszakadása). A pénzintézeteknek tehát érdeke, hogy minél jobban bebiztosítsák magukat ezen problémák felmerülésével szemben, hiszen így nemcsak jelentős károkat tudnak megelőzni, hanem valamennyire a szavatoló tőkéjüket is képesek a biztonsági intézkedésekkel csökkenteni.

VII.2. Az EU irányelvei banking IT-biztonságáról

és rendelkezései

az

e-

A pénzintézetekre vonatkozó előírások A pénzintézetek e-Banking szolgáltatásainak IT-biztonságára vonatkozó konkrét utalásokat ritkák az Európai Uniós jogszabályokban. Az Európai Bizottság néhány direkt ajánlásán kívül leginkább csak közvetett szabályozás jellemző ezen a jogterületen. (A jogforrások ismertetésénél a magasabb rendű szabálytól haladunk az alacsonyabb rendű felé.) A tanulmányban hat Európai Uniós jogforrást dolgoztunk fel a pénzintézetekre vonatkozó előírások közül. 12. TÁBLÁZAT A PÉNZINTÉZETEKRE VONATKOZÓ E-BANKINGGAL KAPCSOLATOS ELŐÍRÁSOK Forrás 2006/48/EK 2006/49/EK 2000/46/EK 2002/65/EK

Címe Irányelv a hitelintézetek tevékenységének megkezdéséről és folytatásáról Irányelv a befektetési vállalkozások és hitelintézetek tőkemegfeleléséről Irányelv az elektronikus pénzintézetekről Irányelv a pénzügyi szolgáltatások távértékesítéséről

97/489/EGK Bizottsági javaslat

Bizottsági javaslat az elektronikus fizetőeszközökkel végrehajtott üzletekről

ECBS TR411

Security Guidelines for Electronic Banking-

   

Vonatkozó szabályok szolid cégvezetés kockázatkezelés nyilvánosságra hozatal szavatolótőke képzés



szavatolótőke képzés



szolid cégvezetés

Àtültetési határidö 2006. dec. 31. (banki alkalmazás: 2007 1.1., illetve 2008 1.1.) u.a. mint 2006/48/EK belépésig belépésig

   

kibocsátó (emittens) működése kibocsátó (emittens) felelőssége Bázeli irányelvek problémakörök kockázat szerinti felosztása

GKIENET KFT.

nincs kötelező ereje

nincs kötelező ereje

65


2007. május

A hitelintézetekről szóló 2006/48/EK irányelv

A hitelintézetekről szóló 2006/48/EK irányelv16 három témakörben érinti az ITkockázatok kezelését. Egyrészt a hitelintézetek szolid cégvezetésével kapcsolatban, másrészt a szervezeti és kockázatkezelési technikák, harmadrészt a nyilvánosságra hozandó információk kapcsán. 1. Szolid cégvezetés: Az irányelv 22. cikk (1) bekezdése engedélyezési feltételeként írja elő, hogy a hitelintézet megbízható vállalatirányítási rendszerrel és áttekinthető szervezettel rendelkezzen. Az áttekinthető szervezet fogalmához hozzátartozik, hogy az intézet jól elhatárolt, átlátható és következetes felelősségi körökkel és hatékony eljárásokkal rendelkezik a jelenlegi vagy esetlegesen felmerülő kiszolgáltatottsághoz kapcsolódó kockázatok azonosítására, kezelésére, felügyeletére és jelentésére. Ezenkívül megfelelő belső ellenőrzési mechanizmusokat működtet, beleértve a megbízható adminisztratív és számviteli eljárásokat is. Ezeket a szabályokat és mechanizmusokat úgy kell kialakítani, hogy azok megfeleljenek a hitelintézet ügyleti komplexitásának, azaz arányban legyenek a tevékenységek "természetével", méretével és összetettségével. Ha tehát a hitelintézet elektronikus szolgáltatásokat is végez, akkor az elektronikus szolgáltatásokkal kapcsolatban felmerülő kockázatokat is az ismertetett módon kell kezelnie. 2. Kockázatkezlés: Az irányelv 22. cikkének (2) bekezdése értelmében az V. számú melléklet konkretizálja a kockázatok kezelésének és szervezésének technikai előírásait. A melléklet egyrészt elrendeli a szervezeten belüli feladatmegosztást, másrészt a kockázatkezelés stratégiájának és szabályainak megfelelő időközönként való felülvizsgálatát. A feladatmegosztással és kockázatkezeléssel kapcsolatos feladatkörök a melléklet értelmében a vezetőséghez tartoznak. Miután az ITkockázatokat az operacionális (működési) kockázatok17 körébe sorolhatjuk hiszen a 4. cikk (22) bekezdés definíciója értelmében ide tartoznak a különböző rendszerekkel kapcsolatos kockázatok is - további szabályok vonatkoznak az IT kockázatokra. Az V. számú melléklet 12. pontja értelmében a hitelintézeteknek konkrétan definiálniuk kell - a 4.cikk (22) bekezdés definíciója sérelme nélkül - , hogy mi is tartozik a működési kockázatok körébe. Ennek értelmében az IT-kockázatok definíciójára is szükség lehet. A definíción túlmenően a működési kockázat tekintetében a hitelintézeteknek olyan szabályzatokat és eljárásokat kell bevezetniük a kiszolgáltatottság értékelésére és kezelésére, amelyek 16

2006 június 14-i, 2006/48/EK irányelv a hitelintézetek tevékenységének megkezdéséről és folytatásáról. EUHL 2006.06.31 L 177 1.old 17 4. cikk (22) működési kockázat: a nem megfelelő vagy rosszul működő belső folyamatokból, személyekből és rendszerekből, vagy külső eseményekből eredő veszteség kockázata, amely magában foglalja a jogi kockázatot is;

GKIENET KFT.

66


2007. május

tartalmazzák a ritkán előforduló, de súlyos következményekkel járó eseményeket is (pl. az online-banking hálózat lefagyását). A folyamatos működés során, illetve a súlyos üzletviteli fennakadások esetén bekövetkező veszteségek mérséklésére az intézeteknek vészhelyzeti és üzletmenet-folytonossági terveket kell készíteniük. 3. Nyilvánosságra hozatal: A nyilvánosságra hozatal technikai kritériumait tárgyaló XII. melléklet nevesíti azokat a kockázatkezelési célkitűzéseket és szabályzatokat, amelyet a hitelintézeteknek minden egyes kockázati kategóriára vonatkozóan nyilvánosságra kell hozniuk. Ennek értelmében a működési kockázatokon belül, az IT rendszer kockázatára vonatkozóan is nyilvánosságra kellene hozni a következő információkat: az adott kockázatok kezelésére szolgáló stratégiákat és folyamatokat; a vonatkozó kockázatkezelési funkciókat, vagy más megfelelő rendelkezések szerkezeti és szervezeti felépítését; a kockázatjelentési és –mérési rendszerek érvényességi körét és jellegét; a kockázat csökkentésére és fedezésére vonatkozó szabályzatok, illetve az arra szolgáló eszközök hatékonyságának felügyeletére szolgáló stratégiákat és folyamatokat.

Működési kockázatok és a szavatolótőke képzése: Az irányelv a szavatolótőke képzésére vonatkozóan is említi a működési kockázatokat, de más megközelítésből. Ebben az esetben ugyanis a hitelintézet – a II. számú Bázeli keretmegállapodás előírásainak megfelelően - nem saját, hanem az ügyfél működési kockázatait minősíti és képez ezek arányában szavatoló tőkét. (lásd: 102-105. cikk, illetve a X. melléklet rendelkezései). Ezek a szabályok a II. számú Bázeli keretmegállapodást ültetik át az európai jogba. A befektetési vállalkozásokról és a hitelintézetek tőkemegfeleléséről szóló 2006/49/EK irányelv18 43. és 44. cikke értelmében a befektetési vállalkozásoknak is alkalmazniuk kell ezeket az ügyfélminősítési és szavatolótőke-képzési szabályokat. (Az uniós szabályok átveszik a Bázeli II. Keretmegállapodás ajánlásait és a szavatoló tőke számítására konkrét módszert vezetnek be. (lásd: az irányelv X. melléklete.)) Ilyen szempontból tehát konkrétabbak a szabályok, mint a Bázeli ajánlások, de alapvetően a tőkeszámítási metódus is a Bázeli megállapodásból származik.) Átültetési határidő: Az 2006/48/EK irányelv 152. cikke 2009 végéig ad határidőt a hitelintézeteknek arra, hogy lépcsőzetesen átálljanak a szavatolótőke-számítás ezen módszereire, bár az új számítás időbeli bevezetésére vonatkozóan mérlegelési jogkört és ezáltal későbbi bevezetést biztosít az irányelv. Számos tevékenységre nézve is lehetséges későbbi bevezetés. Azok a hitelintézetek azonban, amelyek 18

2006. június 14-i, 2006/49/EK a befektetési vállalkozások és hitelintézetek tőkemegfeleléséről (átdolgozott szöveg) szóló irányelv 2006. 06. 30-i EUHL L/177 201. old

GKIENET KFT.

67


2007. május

korábban szeretnék alkamazni az új számítási módszereket - Németországban többségében ilyen intézetekkel találkozunk - kérelmezhetik ezt. Ebben az esetben valamennyire lerövidülnek a határidők, de általában így sem lehetnek rövidebbek egy évnél. A tagállamoknak az irányelv rendelkezéseit 2006. december 31-ig kellett átültetniük nemzeti jogukba, de alkalmazniuk csak 2007. január 1-től, illetve 2008. január 1-től kell (157. cikk).

Az elektronikus pénzintézetekről szóló 2000/46/EK irányelv

Hasonlóan a hitelintézetekről szóló irányelvhez, az elektronikus pénzintézetekről szóló 2000/46/EK irányelv19 is csupán a kockázatkezelés általános elveit szabályozza és nem kezeli konkrétan az IT biztonság kérdéseit. A szolid és körültekintő cégvezetésről szóló 7. cikk előírja, hogy a nem pénzügyi kockázatokra nézve is - beleértve a technikai, illetve az eljárásokkal és outsourcinggal kapcsolatos kockázatokat, valamint az IT rendszerrel kapcsolatban felmerülő kockázatokat is kontrollmechanizmusokat kell létrehozniuk.

Irányelv a pénzügyi szolgáltatások távértékesítéséről 2002/65/EK

A fogyasztói pénzügyi szolgáltatások távértékesítéssel történő forgalmazásáról szóló 2002/65/EK20 irányelvvel a fogyasztóvédelem színvonalán kívánt emelni az Unió. Azon túlmenően, hogy az irányelv az ügyfél védelme érdekében tartalmaz egy sor információs előírást, szerződési feltételt; rendezi a nem kívánt szolgáltatás (9. cikk), nem kívánt üzenet (10. cikk) kérdéseit, amelyekkel közvetve a bankok, pénzügyi szolgáltatók IT-rendszerének működésére vonatkozó elvárásokat is megfogalmaz, nem tartalmaz más, közvetlen előírást.

97/489/EGK-es Bizottsági ajánlás az elektronikus fizetőeszközök használatáról

A pénzintézetek e-banking szolgáltatásaival kapcsolatos IT-rendszerekre vonatkozóan az elektronikus fizetőeszközökkel végrehajtott üzletekről szóló 97/489/EGK Bizottsági ajánlás21 fogalmaz meg konkrét "de minimis" előírásokat. Miután a témában azóta sem született hasonló jellegű, vagy magasabb kötőerejű uniós joganyag, ezért az ajánlás a mai napig egyike a legfontosabb e-banking keretszabályoknak. Igaz, hogy az ajánlásnak kötelező jogereje nincs, de ettől függetlenül irányadó a pénzintézetek gyakorlatában. 19

2000. szeptember 18-i, 2000/46/EK az elektronikus pénzintézetek tevékenységének megkezdéséről, folytatásáról és felügyeletéről szóló irányelv 2000.10.27- i EUHL L/275 39.old 20 2002. szeptember 23-i 2002/65/EK a fogyasztói pénzügyi szolgáltatások távértékesítéssel történő forgalmazásáról, valamint a 90/619/EGK tanácsi irányelv, a 97/7/EK irányelv és a 98/27/EK irányelv módosításáról szóló irányelv, 2002.10.9-i EUHL L 271 16.old 21 1997. július 30-i Bizottsági Javaslat az elektronikus fizetőeszközök használatáról - különös tekintettel az ilyen eszközök emittensei és tulajdonosai közötti viszonyra (97/489/EGK)

GKIENET KFT.

68


2007. május

Az ajánlás minimális információs kötelezettséget ír elő, illetve tisztázza a szerződő partnerek felelősségét és a jogvita megoldási lehetőségeit olyan ügyleteknél, amelyek során a következő fizetési eszközöket alkalmazzák az ügyfelek: telefonos és home-banking alkalmazások, fizetési kártyák, és úgynevezett újratölthető elektronikus pénzeszközök.

Az emittens (kibocsátó) működésére vonatkozó szabályok: A javaslat számos olyan biztonságtechnikai előírást tartalmaz, amely közvetve hatással van a pénzintézet technikai rendszerének kialakítására. A biztonságtechnikai elvárások a következők (7. cikk (2)): (A javaslat értelmezésében emmitens az a személy, aki üzleti tevékenysége során egy másik - vele szerződött - személynek egy fizetési eszközt bocsát a rendelkezésére.) A tulajdonos azonosító száma, vagy más kódja nem hozható nyilvánosságra, csak a tulajdonos számára (titoktartási kötelezettség); Az emittens nem küldhet a tulajdonosnak nem kívánt elektronikus fizetési eszközt, kivéve, ha ez a tulajdonos birtokában lévő elektronikus fizetési eszközt helyettesíti; Az emittensnek olyan belső feljegyzéseket kell készítenie, hogy az átutalások vagy elektronikus pénzeszközzel történő készpénzfelvételek visszakövethetők, és az ezek kapcsán felmerülő hibák kijavíthatók legyenek. A feljegyzéseket kielégítő időtartalmra tárolni kell. A tulajdonosnak olyan eszközöket kell rendelkezésére bocsátani, amelyekkel bejelentheti elektronikus fizetési eszközének meghibásodását, elvesztését vagy ellopását stb. (Amennyiben a bejelentés telefonon történik, akkor annak megtörténtéről írásban is érteséiteni kell az ügyfelet.) Az elektronikus fizetések kapcsán felmerülő jogvittákkal kapcsolatban az emmitensnek be kell bizonyítania, hogy az ügylet a szabályzatnak megfelelően lett rögzítve és elkönyvelve, valamint, hogy az ügylet során nem merült fel semmilyen technikai vagy más jellegű hiba.

Az emittens (kibocsátó) felelőssége: Az ajánlás értelmében az emittens nemcsak hibásan lebonyolított, vagy a lebonyolításra nem kerülő ügyletekért felel, hanem a tulajdonos által nem engedélyezetett ügyletekért is, valamint minden olyan hibáért és rendszertelenségért, amelyek a tulajdonos számlájának vezetése kapcsán merülnek fel (8. cikk (1)). Elektronikus pénzeszközök használata esetén a felelősség kiterjed a pénzeszköz elvesztésére, vagy egy rosszul működő e-pénzeszközre visszavezethető hibás ügyletre, feltéve, hogy az elvesztés, illetve a hibás lebonyolítás oka a terminál vagy valamely más berendezés meghibásodása miatt történt (8.cikk (4)).

GKIENET KFT.

69


2007. május

Összefoglalóan megállapíthatjuk, hogy az ajánlás - a fogyasztók érdeke védelmében - a bizonyítási kötelezettségek nagy részét az emittensre hárítja (ún. fordított bizonyítás), különös tekintettel az ügyletek hibátlan rögzítésére és a banki megbízások hibátlan elvégzésére.

ECBS: Security Guidelines for Electronic Banking

A Banki Sztenderdek Európai Bizottságának (ECBS) 2004-es TR411 (2. verzió) ebankingra vonatkozó előírásai gyakorlatilag a Bázeli Bankfelügyeleti Bizottság 2001es, 2002-ben és 2003-ban kiegészített "Risk Management Principles for Electronic Banking" című irányelveinek alkalmazását ajánlja az európai bankoknak. Tulajdonképpen megismétli a már ismertetett Bázeli anyagot. (Az ajánlás irányelvei, az érintett problémakörök és a problémakörökre vonatkozó európai, német, magyar és USA-beli megoldások a mellékletben olvashatók.) Igaz, hogy a Bizottság ajánlásainak jogi kötőereje nincs, de mint az európai bankjogi szabályok egységes alkalmazásának egyik legfontosabb közbenjárója, és mint az európai bankfelügyelet elismert konzultációs és tanácsadó szerve, irányadóak az ajánlások az európai banki szektorban. A mellékletben ismertetett összefoglaláson túl érdemes még kiemelni egy pontot az ECBS anyagával kapcsolatban. Az ajánlás ugyanis - tematikától és a kockázati tényezők nagyságától függően - öt csoportba sorolja az e-banking szolgáltatásokkal kapcsolatban felmerülő problémaköröket: Általános információk (reklám, brosúrák): A legalacsonyabb kockázatú problémakör, mert a termékinformációk, a banki prezentáció, az árfolyamok ismertetése stb. nem kapcsolódik sem ügyfélhez, sem bankszámlához. A banknak csak arra kell ügyelnie, hogy az információk ne legyenek megtévesztőek vagy hibásak. Ügyféllel kapcsolatos általános információk (pl. kimutatás): az ügyféllel vagy bankszámlájával kapcsolatos információkat tartalmazza, pl. a számla kiegyensúlyozottságára vonatkozó megjegyzéseket, de tranzakciókat nem foglal magában. Korlátozott kockázatú problémakör, titoktartási igénnyel. Az ügyfél "előzetes meghatalmazó" utasításai (egyszeri belépés): a tranzakciókat megelőző előkészítő műveletek tartoznak ide (pl. számlainformációk), de az ügyfél már érvényességi kóddal lépett be a rendszerbe. Alacsony pénzügyi rizikóval járó tranzakciók. Az ügyfél által végrehajtott tranzakciók (egyéni tranzakciók): Az ügyfél meghatározza a kedvezményezettet, az összeget, a dátumot stb. Az ECBS ajánlása ezzel a problémakörrel foglalkozik a legrészletesebben. Magas kockázati profil. Ügyfélszerzés és regisztráció (szerződés): Ez a legmagasabb kockázati kör, ezért nagyon érzékenyen kell kezelni. Ide tartoznak az ügyfél legfontosabb adatai, mint

GKIENET KFT.

70


2007. május

címe, érvényességi és belépési kódjai, elektronikus aláírása, és ezek módosításának lehetősége.

(ECBS megjegyzés: Néhány ország bankjoga tiltja az ügyfél azonosításával kapcsolatos feladatok harmadik személyre történő delegálását (outsourcing). Más országokban lehetséges a feladat-delegáció, de csak ún. Tanúsító Hatóságok számára, feltéve, hogy ez az intézmény minősített bizonyítványokat bocsát az ügyfél rendelkezésére, valamint fizikai azonosítás történik az átadás előtt.

13. TÁBLÁZAT AZ ECBS ÁLTAL AJÁNLOTT, E-BANKINGRA VONATKOZÓ NEMZETI ÉS NEMZETKÖZI AJÁNLÁSOK 1. Bank for International Settlements. Basel Committee for Banking Supervision (www.bis.org) Risk Management Principles for Electronic Banking. May 2001 Management and Supervision of Cross-Border Electronic Banking Activities. October 2002 2. International Standards (www.iso.ch) ISO 17799. Code of Practice for Information Security Management. ISO 13941-1 Banking. Cryptographic Devices (Retail). Part 1. Concepts, Requirements and Evaluation Methods. ISO 13569. General Security Guidelines for Banking and Financial Institutions 3. ECBS (www.ecbs.org) TR 406. Guidelines on Algorithm Usage and Key Management. TR 409. The Use of Audit Trails in Security Systems. Guidelines for European Banks. TR 410. Secure Credit Card Payments on the Internet. 4. BITS, The Technology Group for The Financial Services Roundtable. (www.bitsinfo.org) Voluntary Guidelines for Aggregation Services. April 2001. 5. National Recommendations United Kingdom. APACS. Secure Remote Banking Services: Principles, Version 1.0 dated August 2002 Denmark Finansradet. Draft Codex on IT-security in self-service systems. November 2002 United States. FIPS 140 – 2. Security Requirements for Cryptographic Modules (See http://csrc.nist.gov/cryptval )

GKIENET KFT.

71


2007. május

Adatvédelmi és elektronikus kereskedelemmel kapcsolatos előírások Az adatvédelemmel és az elektronikus kereskedelemmel foglalkozó előírások közül három EU-irányelvet vizsgáltunk meg, az alábbi táblázat ezeket ismerteti. 14. TÁBLÁZAT AZ ADATVÉDELMMEL ÉS AZ ELEKTRONIKUS KERESKEDELEMMEL KAPCSOLATOS UNIÓS ELŐÍRÁSOK Forrás

Címe

Vonatkozó szabályok adatközvetítő felelősségének kizárása  ügyfélvédelem technikai szabályai  követelmények a biztonágos aláírást létrehozó eszközökre  ügyfélvédelem általános szabályai

Àtültetési határidö

 2000/31/EK

Irányelv az elektronikus kereskedelemről

1999/93/EK

Irányelv az elektronikus aláírásról

1995/46/EK

Irányelv az adatvédelemről

belépésig

belépésig belépésig

Az e-Commerce 2000/31/EK irányelv

Az elektronikus kereskedelemről szóló 2000/31/EK irányelv22 egy fontos mérföldkő az információs társadalom szolgáltatásainak történetében. Az irányelv két fontos uniós alapelvet juttat érvényre: a szolgáltatások szabad áramlását és a letelepedés szabadságát. Az irányelv előírja, hogy a tagállamok nem köthetik külön engedélyhez a szolgáltatások elektronikus úton történő nyújtását, és egyúttal bizonyos információs kötelezettséget ír elő a szolgáltatók számára. Az irányelv tisztázza a szolgáltató székhelyét, a szerződések elektronikus formában való megkötésének minimális információs és érvényességi feltételeit. Az irányelv meghatározott körben, mint pl. közrendvédelem, bűnüldözés stb. - lehetőséget ad a tagállamoknak arra, hogy korlátozzák az információs társadalommal összefüggő szolgáltatások nyújtásának szabadságát. Ez a korlátozási lehetőség - a befektetők védelme érdekében - az elektronikus pénzügyi szolgáltatásokra is kiterjed (3. cikk (4) a)). Az irányelv e-banking vonatkozásai: Ez az irányelv, a fogyasztói pénzügyi szolgáltatások távértékesítéssel történő forgalmazásáról szóló irányelvvel együtt (2002/65/EK), hozzájárul az online módon nyújtott pénzügyi szolgáltatások jogi kereteinek megteremtéséhez, bár nem zárja ki a jövőbeni harmonizációs kezdeményezéseket a pénzügyi szolgáltatásokkal. Az e-banking szempontjából fontos, hogy az irányelv kizárja az adatközvetítő felelősségét a továbbított információért. Például amennyiben az onlinemegoldásokért és az adatközvetítésért egy külső cég felel, akkor a külső szolgáltató mentesülhet a tartalmat érintő felelősség alól. Azonban csak abban az esetben, ha a 22

2000. június 8.-i 2000/31/EK belső piacon az információs társadalommal összefüggő szolgáltatások, különösen az elektronikus kereskedelem egyes jogi vonatkozásairól „Elektronikus kereskedelemről szóló irányelv” 2000.07.17. EUHL L/178

GKIENET KFT.

72


2007. május

továbbított adat őt semmilyen módon nem érinti, tehát nem módosította a továbbított adatot. (Ez a követelmény nem vonatkozik az olyan technikai jellegű változtatásokra, amelyekre a továbbítás folyamán kerül sor, mivel azok nem érintik a továbbított adat integritását). Az irányelv 12. cikke ezt a műveletet nevezi "egyszerű továbbítás"-nak, illetve "gyorsítótárolóban történő rögzítésnek (caching)". Az irányelv az ügyfél által elkövethető technikai hibákra vonatkozik. Ez konkrétan abban nyilvánul meg, hogy a pénzintézetnek informálnia kell leendő ügyfelét a szerződéskötéshez vezető technikai lépésekről, a beviteli hibák azonosítási módjáról és az ezek kijavításához szükséges eszközökről (10. cikk (1)). Az információs kötelezettségen kívül a 11. cikk (2) értelmében a pénzintézetnek az ügyfél rendelkezésére is kell bocsátania a beviteli hibák azonosítására és kijavítására szolgáló technikai eszközöket.

Az elektronikus aláírásról szóló 1999/93/EG irányelv

Az elektronikus aláírásról szóló 1999/93/EG irányelv23 az elektronikus aláírás kölcsönös elismerését teremtette meg az Unión belül. Az irányelv rendezi a biztonságos aláírást létrehozó eszközökre vonatkozó követelményeket, illetve a digitális aláírás jogi következményeit. Az elektronikus aláírásnak a pénzügyi tevékenységek során, elsősorban az e-banking szolgáltatások világában van nagy jelentősége. Az adatok elektronikus hitelesítésének ezen formája megkönnyíti és meggyorsítja a szerződéskötési folyamatokat. Miután az aláírás kötőereje az irányelvnek köszönhetően Európa-szerte jogilag tisztázott, ezért a pénzintézetek szívesen alkalmazzák ezt a - bizonyítékként és tanúsítványként is szolgáló - aláírási formát. Sőt mind a Bázeli, mind az ECBS (Banki Sztenderdek Európai Bizottsága) ebankingra vonatkozó rendelkezései az elektronikus aláírást ajánlják biztonságos tranzakció-hitelesítési megoldásként.

Az adatvédelemről szóló 95/46/EK irányelv

Igaz, hogy ez az irányelv24 sem tartalmaz konkrét előírásokat a pénzintézetekre nézve, de a személyes adatok feldolgozására vonatkozó előírásokat valamennyi pénzintézetnek alkalmaznia kell. A bankoknak tehát olyan adatvédelmi, illetve az ügyfél-azonosítást szolgáló technikai rendszereket és a digitális technológia által lehetővé tett technikai ellenőrző eszközöket kell használniuk, hogy azok megfeleljenek a banki elvárásoknak, továbbá hozzájáruljanak a bank hatékony működéséhez.

23

1999. december 13- i 1999/93/EK az elektronikus aláírásra vonatkozó közösségi keretfeltételekről szóló irányelv 2000.01.19 EUHL L/13 24 1995. október 24.-i 95/46/EK a személyes adatok feldolgozása vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról szóló irányelv, 1995.11.23. EUHL L 281 31old.

GKIENET KFT.

73


2007. május

VII.3. A német pénzintézetekre biztonsági elvárások

vonatkozó

I T-

Ebben a pontban kitekintést adunk a német pénzintézetekre vonatkozó IT-biztonsági előírásokra, a lenti táblázat a legfontosabb jogforrásokat ismerteti. A német jog nagy hangsúlyt fektet a gazdasági társaságok szabályszerű és zökkenőmentes működésére. Az általános jellegű törvények, mint pl. a HGB (Kereskedelmi Törvénykönyv) is tartalmaznak kockázatcsökkentést előíró rendelkezéseket. 15. TÁBLÁZAT AZ IT-BIZTONSÁGGAL KAPCSOLATOS ELŐÍRÁSOK NÉMETORSZÁGBAN Forrás

AktG

Címe A társaságok ellenőrzéséről és áttekinthetőségéről szóló törvény Részvénytársaságokról szóló törvény

KWG

A hitelintézetekről szóló törvény

KontraG

AnzV

A hitelintézeti törvényhez kapcsolódó bejelentési rendelet

BaFin

11/2001-es körlevél

BaFin BSI

 

Vonatkozó szabályok kockázatfelismerés ellenőrző rendszerek létesítése elnökség ellenőrző feladatköre szigorodik kockázati menedzsment biztonsági intézkedések az elektronikus adatfeldolgozásra vonatkozóan ügyleti dokumentáció és tárolás outsourcing szabályok



utasítási jogkört biztosító szerződések csatolása



lényegi és nem lényegi feladatkörök elhatárolása az outsourcing kapcsán ügyfél identitásának megállapítása bankok pénzmosás megelőzésével kapcsolatos gondossági kötelezettsége a kritikus infrastruktúrákra vonatkozó ajánlások

    

25/2002- es körlevél

 

Ajánlások, IT alapvédelmi vizsgálat



Az IT-biztonságra, kockázatkezelésre vonatkozó német törvények A társaságok ellenőrzéséről és áttekinthetőségéről szóló törvény (KontraG)

A kockázatcsökkentéssel és kockázatmenedzsmenttel kapcsolatos szabályozást a Társaságok ellenőrzéséről és áttekinthetőségéről szóló törvény (KontraG)25 szigorította és konkretizálta 1998-ban. A KontraG-nek önálló rendelkező része nincs, csupán egy csokor meglévő törvényt módosít. A KontraG szigorította számos társasági forma vezető és ellenőrző testületének felelősségi körét. Mind a HGB-be (Kereskedelmi Törvénykönyv §317 (4) és §321 (4) bekezdés), mind a Részvénytársaságokról szóló törvénybe (AktG §91 (2) bekezdés) belekerült, hogy a cégvezetésnek, illetve rézsvénytársaság esetén az elnökségnek megfelelő intézkedéseket kell hoznia annak érdekében, hogy a vállalat korán felismerje a 25

Kihirdetve: Bundesgesetzblatt Jahrgang 1998 Teil I Nr. 24 S. 786 ff.

GKIENET KFT.

74


2007. május

működését veszélyeztető eseményeket és kockázatokat. A külső veszélyek elhárítása érdekében a társaságoknak megfelelő megfigyelő és ellenőrző rendszereket kell létesíteniük. Jóllehet, a veszélyek bekövetkezésének megakadályozása és a kockázatok minimalizálása a KontraG elfogadásakor a törvényhozás elsődleges célja volt, sem a KontraG által módosított törvények, sem pedig a törvényszöveg magyarázata nem tartalmaznak előírásokat az ellenőrző rendszerek jellegére nézve. A törvénymagyarázat csak annyit ír, hogy az ellenőrző rendszereknek meg kell felelniük a szektor és a vállalat nagyságának és szerkezetének, valamint a tőkepiachoz való hozzáféréssel kapcsolatos kihívásoknak. Hasonló érvelést már a Bázeli Bankfelügyeleti Bizottság 90-es évek végi ajánlásainál is találtunk.

Német hitelintézeti törvény (KWG)

Az IT kockázatok csökkentésének fontossága ellenére a német hitelintézeti törvény (KWG) nem érinti sokkal mélyrehatóbban az e-banking IT rendszerének működését, mint a már tárgyalt Európai hitelintézeti irányelvek. Mégis a német hitelintézeti törvény általános szervezeti szabályai előírják, hogy a hitel- és egyéb pénzintézeteknek megfelelő kockázati menedzsmentet kell létrehoziuk, amit a rendeltetésszerű üzleti szervezet elengedhetetlen részének kell tekinteni (KWG §25a). A kockázati menedzsmenttel foglalkozó §25a (1) 4. pontja kitér az elektronikus adatfeldolgozásra is. Az említett paragrafus értelmében a belső ellenőrző rendszernek az elektronikus adatfeldolgozásra vonatkozóan is létre kell hoznia megfelelő biztonsági intézkedéseket. A megfelelő kockázati menedzsment alatt nemcsak a feladat- és felelősségi körök megosztása, kockázati stratégiák kidolgozása, a belső kontrollrendszer és a belső ellenőrzés értendő, hanem az ügyletek dokumentációja és legalább 6 évig való tárolása is (KWG §25a (1) 5. pont). Az ügyleti dokumentációt a német Hitelintézeti Felügyelet (Bundesanstalt für Kreditwesen) ellenőrzi. Az intézetek szervezetének megfelelőségét – illetve ezen belül valamennyi részegység működését és a különböző stratégiákat, így a kockázati stratégiákat is - a hitelintézeteknek rendszeresen felül kell vizsgálniuk. Ezen kötelezettségeken túlmenően a pénzmosás és egyéb csalások megakadályozása érdekében a hitel- és pénzintézeteknek megfelelő biztonsági rendszert kell létrehozniuk. A hitelintézeti törvény külön kitér a bankügyletek vagy pénzügyi szolgáltatások lebonyolításával kapcsolatos lényegi feladatkörök harmadik személyre való átruházására (outsourcing), amely kérdéskör egyrészt konkrétan az e-banking ügyleteket, másrészt pedig az ügyletek lebonyolításával kapcsolatban közvetetten az IT-rendzserek működtetésének kihelyezését (kiszervezését) is érintheti. A KWG §25a (2) bekezdése előírja, hogy az outsourcing sem ezen ügyletek szabályszerű lebnyolítását, sem pedig az ügyletek ellenőrizhetőségét nem korlátozhatja. Az ellenőrzési funkciók – az outsourcing ellenére – továbbra is a vezetőség hatáskörében maradnak. A zökkenőmentesség és szabályszerűség érdekében a

GKIENET KFT.

75


kihelyező hitel- és pénzintézeteknek az outsourcingra hatásköröket is tisztázniuk kell az outsourcing-szerződésben.

2007. május

vonatkozó

utasítási

A vonatkozó rendelkezés értelmében a kihelyezett, kiszervezett feladatkörök továbbra is a belső ellenőrzés alá esnek. A kihelyezés megvalósításáról, de már csupán a kihelyezés szándékáról is értesíteni kell a Bankfelügyeletet és a Német Központi Bankot. A kihelyezett feladatkörök a KWG §25a (3) bekezdése szerint a Bankfelügyelet ellenőrzési hatásköre alá esnek. A kihelyezett feladatköröket tehát mind ellenőrzési, mind pedig felelősségi szempontból úgy kezeli a törvény, mintha azok továbbra is az adott hitel- illetve pénzintézet hatáskörébe tartoznának.

A német hitelintézeti törvényhez kapcsolódó Bejelentési rendelet (AnzV)

Ezeket a kihelyezett feladatköröket a német hitelintézeti törvényhez kapcsolódó Bejelentési rendelet (AnzV) §20 értelmében a Bankfelügyeletnél és a hitel-, illetve pénzintézet székhelye szerinti tartományi Központi Banknál be kell jelenteni. A bejelentési kötelezettséghez az is hozzátartozik, hogy az intézetek csatolják azokat a szerződéseket is, amelyek biztosítják az utasítási jogkörüket illetve, hogy a kihelyezett területek továbbra is az intézet belső ellenőrzési rendszere alá tartoznak. A külső, kiszervezett tevékenységet végző társaságnak ezen túlmenően arról is nyilatkoznia kell, hogy elismeri a Bankfelügyelet ellenőrzési jogkörét.

Az IT-biztonságra vonatkozó egyéb német szabályok A Pénzügyi Szolgáltatások Felügyeletének (BaFin) 11/2001 körlevele

A hitel- és pénzintézetek elnökségének hatáskörébe tartozó lényegi feladatkörök konkretizálásáról nem szól maga a KWG. A lényegi és nem lényegi feladatkörök elhatárolásáról a BaFin 11/2001-es körlevele rendelkezik. A körlevél 10. pontja értelmében minden olyan feladatkör, amely a bankügyletek vagy pénzügyi szolgáltatások lebonyolításához szükséges és egyúttal a bankfelügyelet szempontjából releváns kockázatot jelenthet, az mind lényegi feladatkör alá sorolható. Míg a körlevél 11. pontja értelmében a különböző bankügyletek vagy pénzügyi szolgáltatások lebonyolításához szükséges technikai készülékek – így pl. az elektronikus adatfeldolgozó készülékek – karbantartása vagy a pénzkiadó automaták ellátása nem tartozik a lényegi feladatkörök közé, addig a működési kockázathoz kapcsolódó feladatkörök igen. Az IT-rendszerek szoftvereivel kapcsolatos tevékenységeket tehát mindenképpen a lényegi feladatkörökhöz kell sorolnunk.

GKIENET KFT.

76


2007. május

A Pénzügyi Szolgáltatások Felügyeletének (BaFin) 25/2002-es körlevele

A Bázeli Bankfelügyeleti Bizottság ajánlásainak érvényesülésére jó példa a BaFin 25/2002-es számú, a pénzmosás megelőzésére létrehozott védelmi rendszerek fejlesztésével kapcsolatos sürgősségi körlevele. A körlevél felhívja a figyelmet a Bázeli Bizottság 2001. októberi, „Az ügyfél identitásának megállapítása és a bankok ezzel kapcsolatos gondossági kötelezettsége” című tanulmányára és ajánlja a pénzintézeteknek, hogy alkalmazzák a tanulmány vonatkozó előírásait, ajánlásait. Ebből is látszik, hogy a Bázeli Bankjogi Bizottság által elkészített valamennyi tanulmány és ajánlás - jogi kötőerő nélkül is - alkalmazásra kerül a német bankjogi gyakorlatban.

GKIENET KFT.

77


2007. május

VII.4. Az e-Banking IT-biztonságának szabályozása az USA-ban A bankfelügyelet rendszere az Amerikai Egyesült Államokban A bankfelügyelet rendszere az Amerikai Egyesült Àllamokban meglehetősen összetett. Ez az összetettség egyrészt a föderális szerkezetből adódik, másrészt a bankfelügyeletet érintő feladatkörök megosztottságából. A következő szövetségi intézmények végeznek bankfelügyeleti tevékenységet: Federal Reserve Bord, amely a Federal Reserve System bankrendszerért felelős vezető grémiuma Office of Comptroller of the Currency (OCC-Valutafelügyelet), amelyet a Pénzügyminisztérium alapított 1863-ban Office of Thrift Supervision (OTS), amelyet a Pénzügyminisztérium a 80-as évek pénzügyi krízisei után alapított. A hitelintézeteken túl a takarékpénztárak is az OTS illetékességi körébe tartoznak. Federal Deposit Insurance Corporation (FDIC) National Credit Union Administration (NCUA) 1979-ben ez az öt intézmény megalapította a Federal Financial Institutions Examination Council-t (továbbiakban FFIEC-Bizottság), amely egységes irányelveket és sztenderdeket ír elő a föderális pénzügyi intézmények vizsgálatára, valamint összesítő jelentéseket készít. Az FFIEC-Bizottság által előírt irányelveket, sztenderdeket valamennyi fent említett bankfelügyeleti intézmény alkalmazza. Az FFIEC-Bizottság 2003-ban kiadott egy Kézikönyvet a pénzintézetek ITrendszerének vizsgálatára (IT-Examination-Handbook). A Kéziköny célja, hogy elősegítse a pénzintézetek IT-rendszerrel kapcsolatos kockázatainak azonosítását és ellenőrzésését, különös tekintettel azokra a kockázatokra, amelyek az intézetek által lebonyolított e-Banking szolgáltatásokkal függnek össze. Az irányelvek mellett a Kézikönyv gyakorlatilag összefoglalja az e-Bankingra vonatkozó jogszabályokat, ezért vizsgálatunkat a Kézikönyv alpján végezzük. A kézikönyvvel kapcsolatban meg kell jegyeznünk, hogy mind felépítésében, mind tartalmában nagyon hasonlít a Banki Sztenderdek Európai Bizottságának (ECBS) 2004-es TR411-es számú, e-Bankingra vonatkozó előírásaira. Mindkét forrás a vezérkar - az elnökség vagy a senior management - feladatkörébe sorolja az e-Banking IT-kockázataival kapcsolatos szervezeti egységek, működési szabályok, tervek létrehozását. Mint már említettük, az ECBS gyakorlatilag a Bázeli Bankfelügyeleti Bizottság 2001-es, 2002-ben és 2003-ban kiegészített „Risk Management Principles for Electronic Banking”-című irányelveit veszi át, és ezek alkalmazását ajánlja az európai bankoknak. Egyszóval mind az európai, mind az USA-beli előírások a Bázeli Bizottság ajánlásaiban gyökereznek. (A Bázeli Bankfelügyeleti Bizottságban, mint említettük, az USA is képviselteti magát a Federal Reserve Bank of New York elnöke személyében.)

GKIENET KFT.

78


2007. május

Az FFIEC IT-Examination Handbook-jának legfontosabb előírásai Az FFIEC-Kézikönyv öt csoportba sorolja az alkalmazandó szabályokat: 1) igazgatási 2) outsourcinggal kapcsolatos 3) IT-biztonsággal kapcsolatos 4) ellenőrzési 5) jogi szabályok.

Igazgatás

Az e-Banking üzleti stratégiájának kialakításához, amelynek megfogalmazásáért és végrehajtásáért a vezérkar felelős, a következő feladatokat is hozzásorolja a Kézikönyv: az információáramlás, a tranzakciók és az e-kereskedelem támogatásása; költség-haszon analízis; kockázatok értékelése; megfelelő gondosság-analízis; kockázatkezelési elvek és szabályok létrehozása; valamint az eBanking tevékenység pontos könyvviteli ellenőrzése. A vezérkarnak egyértelmű célokat és elvárásokat kell megfogalmaznia ezen feladatkörök kapcsán, ki kell neveznie és rendszeresen ellenőriznie kell a területi felelősöket.

Outsourcing

Az outsourcing kapcsán a Kézikönyv előírja a kiszervezési tevékenységet végzővel való szerződés minimális elemeit, különösen azokat, amellyekkel a szerződő felek az adatvédelmi és a biztonságtechnikai kérdéseket rendezik. Így az outsourcing-szerződésben rendezni kell a pénzintézetek tulajdonjogát a kiszervezőhöz juttatott adatok felett; a biztonsági, jogi és adatvédelmi auditok elvégzésének garanciáit; a kiszervezési szolgáltatás ellátásához szükséges képességek állandó kontrollját. A szeződés megkötése előtt a vezérkarnak különösen a kiszervezett szolgáltatást végző alkalmasságát, pénzügyi helyzetét, technológiai kompatibilitását és referenciáit kell megvizsgálnia. Külföldi szolgáltató esetén a szolgáltatónak külön szerződési garanciákat kell nyújtania az országa helyzetéből adódóan esetlegesen felmerülő – politikai, gazdasági, terrorizmussal összefüggő stb. – veszélyforrások kiküszöbölésének és kezelésének biztosítására. A Kézikönyv törvényi hivatkozással is megerősít néhány elvárást, pl. a nem nyilvános ügyfél-információk használatának tilalmára (alkalmazandó jogszabályok és Pénzügyi Felügyeleti Szervek előírásai: 65 Federal Register 35,162 (June 1, 2000) (Board, FDIC, OCC, OTS); 65 Fed. Reg. 31740 (May 18, 2000) (NCUA); 12 CFR Parts 40 (OCC), 216 (Board), 332 (FDIC), and 573 (OTS), and 716 (NCUA)); és biztonsági kezelésére vonatkozóan (alkalmazandó jogszabályok és Pénzügyi Felügyeleti Szervek előírásai: “Interagency Guidelines Establishing Standards for Safeguarding Customer Information”(guidelines). 66 Federal Register 8616 (Feb. 1, 2001); 12 CFR Part 30, app. B (OCC); 12 CFR Part 208, app. D–2 and Part 225, app. F (Board); 12 CFR Part 364, app. B (FDIC); 12 CFR Part 570, app. B (OTS)).

GKIENET KFT.

79


2007. május

IT-biztonság

Miután az e-Banking fontos része az IT-biztonság menedzsmentje is, ezért a Kézikönyv elég részletesen tartalmaz IT-biztonsági elvárásokat. A pénzügyi intézmények vezérkarának a következő biztonsági intézkedések létrehozását, illetve a következő szabályok érvényesülését kell biztosítania: 16. TÁBLÁZAT IT-BIZTONSÁGI ELVÁRÁSOK AZ USA-BAN A vezérkarnak a következő biztonsági intézkedések érvényesülését kell biztosítania: Ellenőriznie kell, hogy érvényesülnek-e “Guidelines Establishing Standards for Safeguarding Customer Information” (Federal Register, 2001,) elvárásai a Gramm–Leach–Bliley Act, 1999 (GLBA) 501(b)-nek megfelelően Biztosítania kell, hogy az e-bank-plattform megfelelő biztonsági szakvéleménnyel rendelkezzen Biztosítania kell, hogy a pénzintézet legalább a következő biztonsági eszközökkel rendelkezzen: o Az esetleges támadási forrásokat, szcenáriókat, technikákat folyamatosan figyelemmel kell kísérni (Tagság olyan egyesületekben, mint Financial Services - Information Sharing and Analysis Center (FS-ISAC)) o Aktuális Network-térképek, aktuális felszereltség o A támadási felületek gyors felismerése, kárenyhítés o Hálózati összeköttetés külső kontrollja o Megerősített IT-rendszer o Támadásfelderítő eszközök alkalmazása - Intrusion detection systems (IDS) o A teljes e-Banking számítógépes rendszer és a média fizikai biztonsága o Belső biztonsági előírások azon alkalmazottak számára, akiknek hozzáférésük van e-Bankingrendszerhez, vagy kapcsolatot tartanak az e-Banking ügyfelekkel Az ügyfelek kellő vizsgálata o az FFIEC: Authentication in an Electronic Banking Environment (July 30, 2001) előírásai, o az új ügyfelek azonosítási vizsgálatánál - tekintettel pl. a pénzmosásra, terrorizmus támogatására stb. - a PATRIOT-törvény értelmében 2003. október 1-től valamennyi pénzintézetnek rendelkeznie kell az ún. CIP, ügyfél-identifikációs-programmal: 68 Federal Register 25090 (May 9, 2003); 12 CFR Part 21 (OCC); 12 CFR Parts 208 and 211 (Board); 12 CFR Part 326 (FDIC); 12 CFR Part 563 (OTS), and 12 CFR 748 (NCUA) o Az ügyfél-identifikációs eljárásnak harmonizálnia kell az ügyfél-adatok érzékenységével és a pénzügyi tranzakció nagyságával o A jelszavakat kódolva kell adminisztrálni és elküldeni. A pénzintézet érvényesítési rendszerének harmonizálnia kell a pénzintézet biztonságpolitikájával Ki kell alakítani egy ügyfél-értesítési rendszert és amennyiben biztonsági problémák merülnének fel a pénzintézetnél, úgy sürgősen értesíteni kell az ügyfelet Monitoring: a biztonsági programok vizsgálatát független vizsgálónak kell elvégeznie

GKIENET KFT.

80


2007. május

Adminiszratív ellenőrzés

A e-Banking rendszer elérhetősége és integritása érdekében a vezérkarnak kontrollfolyamatokat kell kialakítania. Az ellenőrzési eljárások kialakítása során ügyelni kell az ún. kettős azonosítási rendszer érvényesülésére; az e-Banking feladatkörök megosztására az estleges belső visszaélések elkerülése érdekében; a gyanús, csalással kapcsolatos tranzakciók észlelése esetén pedig haladéktalanul értesíteni kell a Financial Crimes Enforcement Network (FinCEN)-öt és együtt kell működni vele. A Kézikönyv még olyan kérdésekre is kitér, mint a pénzintézet nevéhez hasonló web-oldalak rendszeres kontrollja az esetleges megtévesztések és egyéb károkozások elkerülése érdekében; az ügyfél-kommunikáció és ügyfél-továbbképzés fejlesztése; valamint az üzletmenet-folytonossági és helyreállítási, valamint az ügyvitel akadályozásának megszüntetésére létrehozandó tervek. Ezentúl rendszeresen tesztelni kell a rendszer ügyvitel-újrafelvételi képességét az esetleges támadások bekövetkezése után.

Jogi Szabályok

Mivel az e-Banking során a pénzintézet csupán korlátozottan vesz fel személyes kapcsolatot az ügyféllel, ezért a pénzintézeteknek az azonosítással és adatvédelemmel kapcsolatos kockázatokat is ki kell zárniuk. Ìgy az e-Banking szolgáltatások lebonyolítása során egyértelműen kell azonosítaniuk üzleti nevüket; nyilvánosságra kell hozniuk web-oldalukon adatvédelmi és biztonsági terveiket; és biztosítaniuk kell, hogy a reklámok, feljegyzések és az oldalaikon nyilvánosságra hozott információk megfelelnek az aktuális jogszabályoknak és a jogszokásnak, beleértve az elektronikus aláírásról szóló törvényt is (Pub. L. No. 106-229: Electronic Signatures in Global and National Commerce Act, röviden E-Sign-Act). Az elektronikus aláirásról szóló törvény pénzügyi szolgáltatásokra való alkalmazására a Federal Reserve Bord adott ki néhány fontos értelmező szabályt (66 Federal Register 17,779 (April 4, 2001) (Regulation B, Equal Credit Opportunity); 66 Federal Register 17.786 (April 4, 2001) (Regulation E, Electronic Fund Transfers); 66 Federal Register. 17,795 (April 4, 2001) (Regulation DD, Truth in Savings); 66 Federal Register 17,322 (March 30, 2001) (Regulation M, Consumer Leasing); 66 Federal Register 17,329 (March 30, 2001) (Regulation Z, Truth in Lending). A névhasználat során a pénzintézeteknek figyelembe kell venniük az Interagency Statement for Branch Names, May 1, 1998 rendelkezését; a web-oldal tartalmára pedig két kapcsolódó intézmény, a FDIC és a NCUA tett közzé web-oldalán általános érvényű szabályokat.

GKIENET KFT.

81


VII.5.

2007. május

A hatályos magyar szabályozás áttekintése

Ellentétben az európai és német szabályozással a magyar pénzügyi szférára vonatkozó IT-előírások meglehetősen konkrétak. A pénzügyi intézmények informatikai rendszerének védelmére vonatkozóan 2005 novembere, illetve 2006 januárja óta konkrét szabályok léptek hatályba. Az új rendelkezések a hitelintézeteken túlmenően a tőzsdei befektetési szolgáltatókra, magánnyugdíjpénztárakra, önkéntes kölcsönös biztosító pénztárakra is érvényesek. Az új szabályok bevezetésének oka az informatikai rendszereknek a pénzügyi szféra működésében betöltött központi szerepe volt. Az e-banking szolgáltatások zökkenőmentes lebonyolításával kapcsolatban valóban fontos feltétel, hogy megbízhatóan működjenek a pénzintézetek informatikai rendszerei.

IT-biztonsági szabályok a vizsgált magyar törvényekben A befektetők és a betétesek fokozott védelmével kapcsolatos törvények módosításáról szóló 2004. évi XXII. törvény a hitelintézetekre és a tőkepiaci befektetési szolgáltatókra; az adókról, járulékokról és egyéb költségvetési befizetésekről szóló törvények módosításáról szóló 2004. évi CI. törvény pedig a magánnyugdíjpénztárakra és önkéntes kölcsönös biztosító pénztárakra vonatkozóan vezetett be új informatikai előírásokat. A Biztosítókról szóló 2003. évi LX. törvény az informatikai védelemmel kapcsolatban nem tartalmaz különálló rendelkezést, csupán a biztosítási tevékenység megkezdésének feltételei között említi a működési kockázatok csökkentését szolgáló információs és ellenőrző rendszer, valamint a vészhelyzeti tervek létrehozásának szükségességét (Bit 65.b) §). A törvények IT-rendszerre vonatkozó jogszabályainak összevetése során – a Biztosítókról szóló törvényt leszámítva – egyértelműen látszik, hogy valamennyi új rendelkezés egyazon mintát követ. Az azonos szerkezet miatt a hitelintézetekről szóló törvény informatikai rendelkezéseit, a Hpt. 13/B §-át vesszük az elemzés alapjául és jelezzük a többi törvénynél felmerülő esetleges eltéréseket. Az informatikai rendszerrel szemben támasztott törvényi elvárások a következő fő kategóriákba sorolhatók: 17. TÁBLÁZAT AZ INFORMATIKAI RENDSZERREL SZEMBEN TÁMASZTOTT ELVÁRÁSOK A MAGYAR PÉNZÜGYI INTÉZMÉNYEKNÉL Kategóriák törvényhelyek Informatikai rendszer biztonsági szabályozási rendszerének kialakítása Hpt. 13/B (1) - (4) § Kockázat-arányos védelem Tpt 101/A (1) - (4) § Részletezni kell a információtechnológiával szemben támasztott követelMtp. 77/A (1) – (4) § ményeket a kockázatok felmérésére és kezelésére a 1) tervezés, a 2) beÖpt. 40/C (1) – (4) § szerzés, az 3) üzemeltetés és az 4) ellenőrzés területén Biztonsági kockázatelemzés max. 2 évenkénti felülvizsgálata, aktualizálása Szervezeti, működési, felelősségi, nyilvántartási rendek, tájékoztatási szabályok létrehozása, ellenőrzési követelmények és szabályok meg-

GKIENET KFT.

82


határozása Felügyelő informatikai ellenőrző rendszer kialakítása és folyamatos működtetése Minimális biztonsági feltételek: informatikai biztonsági rendszer elemeinek (eszközök, folyamatok, személyek) egyértelmű és visszakereshető azonosítása rendszer önvédelme, kritikus elemei védelmének zártsága és teljeskörűségét biztosító ellenőrzése szabályozott, ellenőrizhető és rendszeresen ellenőrzött felhasználói adminisztráció (hozzáférési szintek, egyedi jogosultságok, engedélyezés, felelősségi körök, hozzáférés naplózás, rendkívüli események) kritikus folyamatok eseményeinek naplózása és a naplózás értékelése távadatátvitel bizalmassága, sértetlensége és hitelessége adathordozók szabályozott és biztonságos kezelése rendszer biztonsági kockázattal arányos vírusvédelme Minimális védelmi intézkedések: informatikai rendszer működtetésére vonatkozó utasítások, előírások és fejlesztési tervek az üzleti tevékenységet támogató informatikai rendszerek folyamatos és biztonságos működését biztosító dokumentáció szolgáltatások ellátásához szükséges informatikai rendszer, tartalék berendezések (folytonossági megoldások) alkalmazási környezet biztonságos elkülönítése a fejlesztési és tesztelési környezettől; megfelelő változáskövetés helyreállíthatóság érdekében a szoftver elemek (alkalmazások, adatok, operációs rendszer és környezetük) biztonsági mentése (mentési rend: mentések típusa, módja, visszatöltési és helyreállítási tesztek, eljárási rend), tűzbiztos és elkülönített tárolás (hozzáférési védelem) adattárolás, archivált anyagok legalább öt évig tartó visszakereshetősége, tárolása Mindenkori hozzáférhetőségű elemek: Rendszer működésének és felépítésének leírása szintaktikai szabályok, adattárolás szerkezete rendszerelemek biztonsági osztályokba sorolásának szabályai adatokhoz való hozzáférési rend adat- és rendszergazdák kijelölését tartalmazó okiratok szoftverszerződések (jogtisztaság) ügyviteli-, üzleti szoftvereszközök naprakész nyilvántartása Szoftverekkel szembeni minimális elvárások: a működéshez szükséges és jogszabályban előírt adatok nyilvántartása pénz és értékpapírok biztonságos nyilvántartása tevékenységgel összefüggő országos informatikai rendszerekhez történő csatlakozás a tárolt adatok ellenőrzéshez is felhasználhatók a biztonsági kockázattal arányos logikai védelem és a sérthetetlenség védelme

GKIENET KFT.

2007. május

Hpt. 13/B (5) § Tpt. 101/A (5) § Mtp. 77/A (5) § Öpt. 40/C (5) §

Hpt. 13/B (6) § Tpt. 101/A (6) § Mtp. 77/A (6) § Öpt. 40/C (6) § Bit. 65 b) §: információs, ellenőrzési és vészhelyzetterv

Hpt. 13/B (7) § Tpt. 101/A (7) § Mtp. 77/A (7) § Öpt. 40/C (7) §

Hpt. 13/B (8) § Tpt. 101/A (8) § (+ ügyfelenkénti és összesített naprakész nyilvántartás) Mtp. 77/A (8) § Öpt. 40/C (8) § Mtp. és Öpt. hiányzik az

83


Személyzet informatikai jártassága (az egyes munkakörök betöltéséhez szükséges informatikai ismeretet előírása)

2007. május

országos rendszerekhez való csatlakozás előírása Hpt. 13/B (9) § Tpt. 101/A (9) § Mtp. 77/A (9) § Öpt. 40/C (9) §

A magyar IT-előírások összevetése a kontinentális szabályokkal A fenti összefoglalásból látszik, hogy a vonatkozó magyar szabályok az informatikai védelmi rendszerrel szemben jónéhány minimális elvárást tartalmaznak. A magyar szabályokat összevetve az európai és német előírásokkal, vagy a Bázeli Bankfelügyeleti Bizottság e-Banking és IT-biztonság témakörű ajánlásaival, akkor megállapíthatjuk, hogy egyik szabályozás sem támaszt konkrét technikai elvárásokat és nem részletezi a védelmi rendszer fő működési elveit sem. A banki körökben irányadó Bázeli Bizottság Risk Management Principels for electronic Banking ajánlása például elsősorban általános jellegű irányelveket fogalmaz meg kockázat-menedzsmenti megoldásként. A magyar törvények általános jellegű irányelvei mellett (pl. a kockázatoknak megfelelően legyen kialakítva a védelem, legyen egyértelmű felhasználói adminisztráció stb.), a szabályozás még a szoftverek minimális alkalmassági feltételeit is előírja. A részletesség ellenére a magyar szabályok sem tartalmaznak utalást konkrét tehnológiára, vagy ISO sztenderdre; tehát a jogszabályszöveg elévülésének veszélye az esetleges technológiai fejlődés következtében nem áll fenn. Előfordulhat azonban, hogy a törvényszövegben megfogalmazott elvárások a jövőben evidenciává válnak és a törvényhozó az informatikai rendszerekre vonatkozóan további védelmi intézkedéseket fog igényelni. Az előírások részletessége közötti eltérés mellett még egy jelentős különbség van a magyar és a kontinentális szabályok között, mégpedig a kockázatmenedzsmentre vonatkozó felelősség. Míg az európai, a német és a Bázeli szabályok egyértelműen a vezérkar felügyeleti és felelősségi körébe sorolják - a többi működési kockázat mellett - az IT kockázatok kezelését. A Bázeli Risk Management Principels tanulmány egyértelműen az elnökség (Board of Directors and senior management) illetékességét hangsúlyozza az e-bankinggal kapcsolatos tervek, kockázati analízis, kockázatfelismerés és -kezelés, monotoring kapcsán.26 Hasonlóan tesz a 2006/48/EK irányelv V. melléklete is. A magyar törvényben ilyen konkrét feladatmeghatározással nem találkozunk, szó szerinti értelmezés szerint a magyar szabályok általánosságban a pénzügyi intézmények, pénztárak vagy befektetési szolgáltatók feladatkörébe delegálják az informatikai rendszer védelmét.

26

BIS Risk Management Principels for electronic Banking, 2003, july. 8. old

GKIENET KFT.

84


2007. május

Outsourcing - Kiszervezés

A magyar outsourcingra vonatkozó szabályok (Hpt. 13/A§, Tpt. 160§ , Mtp. 77/B§, Öpt. 40/D§ és Bit. 76§) fő elemeiben - ellenőrzési funkciók, utasítási hatáskörök, belső ellenőrzés hatálya – megegyeznek a német szabályokkal és megfelelnek a Bázeli ajánlásoknak is. (A 2004/48/EK irányelv nem tartalmaz kiszervezésre vonatkozó szabályokat, de a működési kockázatok számításánál említi az outcourcing kiadásokat is.) Eltérést abban találhatunk, hogy sem a német, sem a Bázeli szabályok nem említenek korlátozást a kiszervezhető tevékenységi körre nézve. A magyar szabályok a kiszervezést illetően kizárólag az adatkezeléssel, adatfeldolgozással és adattárolással kapcsolatos tevékenységeket említik. Igaz, hogy a magánnyugdíj- (Mpt. 73 (1)§) és önkéntes kölcsönös biztosító pénztárakról (Öpt. 36 (6)§) szóló törvények más ügymenettel kapcsolatos tevékenységi körben is megengednek további „kihelyezéseket”. Az adatvédelemmel kapcsolatos outsourcing fontossága miatt mindenképpen indokolt az adatvédelmi szabályok törvénybeni rögzítése; kérdés csupán, hogy a kiszervezés definícióját érdemes-e kizárólag erre a három tevékenységi körre szűkíteni, ahogy azt a Tőkepiacról szóló törvény 110§ 5. pontjának értelmező rendelkezése teszi. Másik különbség a német outsourcing szabályokhoz képest, hogy a magyar törvények csupán a kiszervezés megtörténte utáni 2 napon belül írják elő a kiszervezés megvalósításának bejelentését. A német KWG §25a (3) alapján a pénzintézeteknek már pusztán a kihelyezés szándékáról is értesíteniük kell a felügyeletet.

Várható jogszabályváltozások Az új európai tőkemegfelelési szabályok miatt a közeljövőben jogszabályváltozást várhatunk a hitelintézetekre és a befektetési vállalkozásokra vonatkozó törvények esetében. A legfontosabb módosítás, amelyet az európai tőkemegfelelési szabályok átültetése hoz majd a pénzügyi piacok területén, hogy a a hitelintézeteknek és befektetési vállalkozásoknak működési kockázataik kapcsán számszerűsíteniük kell ügyfeleik hardverének, szoftverének, telekommunikációs rendszerének biztonságát is. Az operacionális kockázatok nagyságától és az ügyfélnek nyújtott szolgáltatás fajtájától függően a szolgáltató pénzintézet köteles lesz meghatározott nagyságú szavatoló tőkét képezni. A Bázeli Bankfelügyeleti Bizottság által 2004. júniusában elfogadott Bázel II. Megállapodás ajánlásain alapuló 2006/48/EK és 2006/49/EK irányelvek átültetését 2006. december 31-ig kellett volna teljesítenie a magyar jogalkotásnak is, úgyhogy hamarosan parlamenti döntésnek kell születnie a Pénzügyminisztérium 2006. 11. 07-i, az egyes pénzügyi szolgáltatásokat érintő jogharmonizációs kötelezettségről szóló törvényjavaslathoz kapcsolódó előterjesztéséről27.

27

http://www2.pm.gov.hu/web/home.nsf/portalarticles/D4C9CC505374742DC125721F00337305?OpenDocument

GKIENET KFT.

85


VIII.

2007. május

M ELLÉKLET

VIII.1.

Biztosítókkal készített mélyinterjúk

1. interjú

IT-biztonsági koncepció A biztosító 2001 óta rendelkezik formalizált IT-biztonsági koncepcióval, 2005ben létrehozta nemzetközi belső szabványát, 2006-ban pedig átfogó informatikai biztonsági szabályzatot vezetett be. Ez egy teljesen különálló dokumentumgyűjtemény, ami egy alapdokumentumból és nyolc mellékletből tevődik össze. Az IT-biztonsági koncepció, illetve a szabályzat aktualitásának felülvizsgálata a folyamatok mentén történik, erre évente vagy a folyamatok változásakor kerül sor. A biztonsági szabályzat egyik melléklete az ellenőrzési és felülvizsgálati szabályzat, ami az elektronikus szolgáltatásokhoz kötődő speciális szabályozásokat tartalmazza, mert a biztonsági szabályzat maga nem nevesíti elkülönülten ezeket a kockázatokat. A fejlesztés ellenőrzése a tervezés fázisától az átadási szabványon, és a kontroll-pontokon keresztül a kódolásig mindenre kiterjed. Az IT-biztonsági részleg egyértelműen az Informatikai biztonsági vezető felelősségi körébe tartozik, aki közvetlenül a vezérigazgató-helyettes alárendeltje. Az IT üzemeltetésének évente 23 felülvizsgálaton kell átesnie, amelyet saját tulajdonú külső cégbe szerveztek ki, így a biztonsági előírások betartatása teljesen egyértelmű módon történik. Oktatás

A munkavállalók részére rendszeresen informatikai biztonságtudatosságnövelő oktatásokat tartanak. Az alkalmazottakra vonatkozó szabályzat az oktatási anyaggal együtt kiemelt helyen az intraneten is megtalálható, a változásokra is a belső hálózaton keresztül hívják fel a figyelmet. Az alkalmazottak komoly oktatási sorozatban vesznek részt. Minden új kolléga két napos orientációs tréningen vesz részt, amelynek keretében felvilágosítják az új felhasználót, hogy hol találhatóak a szabályok (külön 27 oldalas kézikönyv szól az Informatikai Biztonságról, amelyet mindenkinek kötelező elolvasni). Két éven belül kötelező e-learning rendszer bevezetését tervezik. ISO

A nemzetközi belső szabvány és az informatikai biztonsági szabályzat követi az ISO/IEC 17799:2000 szabvány előírásait, és teljes körűen kiterjed az informatikai területre, az ISO minősítés további fejlesztését és a minősíttetést azonban nem tervezik.

GKIENET KFT.

86


2007. május


Elektronikus szolgáltatásokat az interneten és az intraneten is nyújtanak, előbbinél az ügyfelek, utóbbinál a szükségesség elve alapján a belső felhasználók számára. Az ügyfelek számára végzett szolgáltatások biztonsági kockázatait illetően nem tudtak konkrét választ adni, jelenleg egy alkusz-portál létrehozásán dolgoznak, amihez még készül a kockázatelemzés. A fejlesztések IT-biztonsága kapcsán korábban nem létezett összehasonlító szabályzat, 2007 szeptemberének végére szeretnének egy fejlesztési biztonsági szabályzatot kialakítani, ami a fejlesztési szabályzat részét fogja képezni. A portál központi magja 2005-ben felkerült az internetre, de csak egy szűk és azonosított kör számára (volt) elérhető. A tervezett alkusz portál folyamatos audit mellett fog működni. Az új szabályok kialakításakor a „maradványkockázat” az aktuális divatkifejezés. PKI

PKI-t külső érintettek nem vehetnek igénybe, de a belső munkaszervezéshez vagy a futó projektek esetén a külsősök számára is kiadhatnak nyilvános kulcsokat, akár külföldi munkavállalók számára is. Támadások

A rendszerüket fenyegető külső veszélyforrásokat komolyan veszik, DDOS támadásnak még nem voltak célpontja. Az adathalászat ellen oktatással és a munkavállalók figyelmének felhívásával védekeznek. A jelszó-szabályzatuk is kifejezetten előírja a gyakori, kötelező password-cserét, továbbá nem engedélyez szótáras kereséssel feltörhető kódokat.

Elektronikus szolgáltatások ügyfélkockázata A rendszerükbe átlagosan 2500 felhasználó szokott bejelentkezni, és körülbelül ugyanekkora a biztosítási alaprendszerbe belépők száma is, a rendszer tűrőképessége is ennek megfelelően került kialakításra. Ezt a fogyasztói szokásokról vezetett statisztikák tovább pontosítják annak érdekében, hogy a külső belépők a csúcsidőszaki terhelésre is felkészülhessenek.

GKIENET KFT.

87


2007. május

Elektronikus szolgáltatások költségei Az informatikai biztonság költsége a megnövekedő kódolási költségek és egyes dedikált projektek okán (több százmillió forintos projekt is fut jelenleg informatikai biztonsághoz kapcsolódóan) a teljes informatikai költésnek közel 20%-át teszi ki.

Szabályozási környezet A magyarországi szabályok alapvetően szigorúbbak, mint az EU-beliek, erre jó példa az ügyféladatok kezelése, ami az ügyfél érdekeit szolgálja. Ez költségoldalon is megjelenik, egy rendszer bevezetésekor már a tervezési szakaszban figyelembe veszik a szabályoknak való megfelelést. Egy projekt terveinél fel kell készülni a lehetséges veszélyforrások elhárítására, a szabályoknak való megfelelés egyben a veszélyforrások elhárítását is jelenti. Az informatikai biztonság költsége a korábban is jelzett 20% körül mozog az összes informatikai költéshez viszonyítva. A szabályozónak az IT-infrastruktúra működtetése során kiemelt, minden környezetben előforduló kockázatokat kellene összegyűjtenie (CobiT folyamatai), továbbá ezekre a kockázatokra adott válaszokat (a kockázat-csökkentő eljárások hatékonyságát) kellene megvizsgálnia és a maradványkockázatot számszerűsítenie. Ezt a csomagot kötelezővé lehetne tenni mindenki számára, valamint az egyes speciális informatikai szolgáltatások kockázatainak felderítésére is egységes módszertant kellene ajánlani. Jó példa lehet erre a spanyolok által kidolgozott Magerit szabvány, ami lehet, hogy elfogadásra kerül az EU-ban.

GKIENET KFT.

88


2007. május

2. interjú

IT-biztonsági koncepció A biztosítónál alapvető követelmény a formalizált IT-biztonsági stratégia, ezt a PSZÁF is megfogalmazza ajánlásaiban, valamint a külföldi tulajdonosi kör is megköveteli. Ilyenformán 1998 óta létezik elkülönült informatikai biztonsági stratégia és koncepció. Az informatikai biztonság korábban közvetlenül a vezérigazgatóhoz volt hozzárendelve, majd 2007. január elsejével a Belső ellenőrzés, Biztonság, Adatvédelem és Kockázatelemzés részleghez került. A terület azonban továbbra is közvetlenül a vezérigazgató felelősségi körébe tartozik, míg a belső ellenőrzésnek a Felügyelő Bizottság felé van beszámolási kötelezettsége. Ezzel megvalósul a PSZÁF ajánlása az elkülönülő informatikai biztonsági területre vonatkozóan. Adott termék fejlesztésekor az üzleti igény felmerülése után kikérik az IT-biztonsági részleg véleményét, aminek a megvalósíthatósági tanulmánynak is részét kell képeznie. Az informatikai biztonságért felelős csoport megvétózhat egy adott szolgáltatást. Nemrégiben került kidolgozásra Online Comittee néven egy online felelősségi rendszer is.

Oktatás

A munkavállalók belépéskor informatikai, illetve ezen belül informatikai biztonsági oktatásban is részesülnek, majd egy e-learning felület segítségével további anyagokat kell elsajátítaniuk, végül ezt egy online teszt követi. A cég belső szabályzatának megfelelően kétévente meg kell újítani a dolgozók informatikai biztonsági ismereteit.

ISO

Szabványként az ISO 17799-et követik, de minősítést nem kértek, mert az Magyarországon nem éri meg, továbbá a fogyasztó oldaláról sincs rá igény, míg auditálásra COBIT 3-at használnak. Az ISO 17799-vel kapcsolatban az a véleményük, hogy jellemzően inkább szervezési oldalról közelíti meg az informatikai biztonság kérdését, mintsem technikai oldalról. 2006 óta Benchmarking-ot alkalmaznak, ezt megelőzően már 1999 óta futott egy „Good Kontroll” program, így a benchmarking bevezetése nem járt jelentős átalakítással.

GKIENET KFT.

89


2007. május


A biztosítási szolgáltatások (különösen az életbiztosítások) alapvetően a bizalmi kapcsolat kialakulásán alapulnak, ami megkérdőjelezi az elsődleges értékesítés elektronikus útra történő átterelését. Korábban volt a biztosítónak egy életbiztosítási termékkel kapcsolatban online ajánlata, azonban ezt az érdeklődés teljes hiányában megszűntették. Ebből kifolyólag a nem-életbiztosítások piacán lehet inkább szolgáltatásokat nyújtani, de a banki és egyéb pénzügyi online szolgáltatásokkal összehasonlítva ez egy tranzakciószegény környezet. A biztosítás megkötése után ahhoz csak évekkel később, vagy káresemény bekövetkeztekor kell hozzányúlni, amikorra az ügyfelek sok esetben elfelejtik az online felhasználáshoz szükséges azonosítókat.

PKI

A szolgáltatás java része törvényi okokból sem nyújtható jelenleg online módon, mert „közhiteles” dokumentumra van szükség, a digitális aláírás gyerekcipőben jár és nem is minden esetben egyértelmű ennek elfogadhatósága. A banknál jelenleg nincs felület digitális aláírás elfogadására, de tervezik ennek bevezetését. A legfőbb probléma azonban a termékek jellegéből fakad: a biztosítók esetén a tranzakciók nagy hányada szerződésmódosítással jár, ezt pedig nemcsak hogy kötelesek személyesen aláíratni, de a biztosítás tárgyát szemlén keresztül lehet csak biztosítani. Kritikus tranzakció elektronikus kezdeményezésekor a biztosító később írásbeli megerősítést kér ügyfeleitől, amivel a jogosulatlan személyek által okozott kárt lehet kiszűrni. Alapvetően a biztosító a szerződéses feltételekben a jelszó elvesztéséből/kiadásából származó károk felelősségét átruházza az ügyfélre. A belső eljárás rendjében a biztosító „elektronikus aláírást” használ, aminek keretében a kárszakértő káreseménykor saját PKI-n alapuló azonosítással bejelentkezik, igazolja az ügyfél személyét és „touchscreen”-en keresztül aláíratja az elektronikus dokumentumot (ez egy tényleges aláírás, ami elektronikusan kerül rögzítésre).

Támadások

A szolgáltatási biztonságot jelenleg támadások nem veszélyeztetik, DOS és DDOS támadásnak még nem volt szenvedő alanya a biztosító. Külső támadások folyamatosan érik a szervert, de azok teljes mértékig a tűzfal által kezelhető szint alatt maradnak. A fenyegetettség növekedésének legjobb mutatója, hogy a SPAM levelek száma egy-két éves távlatban hat-nyolcszorosára nőtt. Összességében 2001-2002 óta nem volt komolyabb informatikai biztonsági

GKIENET KFT.

90


2007. május

probléma, és az akkori eset sem okozott üzletvesztést vagy információ-kiáramlást, de a helyreállítás költségei jelentősek voltak.

Elektronikus szolgáltatások ügyfélkockázata A biztosító számára az e-Business megoldás belső használatra jóval korábban jelentkezett, az alkuszok felé egy lényegesen szélesebb funkcionalitással bíró felület állt rendelkezésre. 2006-ig a honlapon jellemzően statikus tájékoztatás volt elérhető, illetve ajánlatkérés és a szolgáltatási feltételek letöltése. 2006-ban megjelentek az online szolgáltatások, amelyek már tranzakciók lebonyolítását is lehetővé teszik. Az internetes szolgáltatás indításakor a korábbi call-center statisztikákat és ügyfélszolgálati felkereséseket vették alapul, amelyekből származtatták a párhuzamos felhasználó számot (a jelzett tranzakciószegény környezet miatt ez nem éri el az 1%-ot sem). A 2006-ban bekövetkező fejlesztés hatására megjelentek a 4-es szintű funkciók a biztosító online felületén, amelyek azonban pénzügyi tranzakciót nem érintenek. Az alacsonyabb fokú online szolgáltatási skálát technikai oldalról, sőt még szabályozási oldalról sem érzik olyan korlátosnak, mint a fogyasztói igény oldaláról. Régebben próbálkoztak mobiltelefon-alapú szolgáltatással is, amely ugyanúgy a lentebbi korlátokba ütközött és a „kutyát sem érdekelte”.

Elektronikus szolgáltatások költségei Az e-Business szolgáltatások kialakítása nem okoz jelentős extraköltséget a biztosító számára, mert azok az eddigi infrastruktúrára rá tudtak épülni. A külső elérhetőségű portálok védelme talán a legnagyobb közvetlenül az online szolgáltatásokhoz köthető költségelem, de ez sem képvisel jelentős részarányt.

Szabályozási környezet Az állami szereplők a biztosítási ügyletek online fogadókészségének javítását a PKI terjedésének elősegítésével tudnák támogatni. Még a napokban kiadásra került PSZÁF-ajánlás is elvárja, hogy az elektronikusan küldött ajánlat/megrendelés esetén meg kell várni a papír-alapú változat megérkezését. Alapvetően a gondolkodásból hiányzik annak nevesítése, hogy például minősített aláírás esetén erre nincs szükség. Összességében a kapcsolódó törvények nem veszik figyelembe az Elektronikus Aláírás Törvény azon pontját, miszerint a legbiztonságosabb minősített aláírás egyenértékű a sajátkezű aláírással, így nem egyértelmű, hogy melyik törvény megfelelő pontja élvez elsőbbséget.

GKIENET KFT.

91


2007. május

3. interjú

IT-biztonsági koncepció Az IT-biztonság szabályozásával a biztosítónál négy ember és külön osztály foglalkozik, ami az informatikai vezérigazgató hatáskörébe tartozik (közvetlenül a vezérigazgató alatt). Ez az osztály felelős az informatikai szabályozásért, annak fejlesztéséért és adminisztrációjáért. Ez a szervezeti egység a PSZÁF tanácsára jött létre, előtte a rendszertechnikai és üzemeltetési igazgatósághoz tartoztak. Az üzemeltetés nem képzelhető el adminisztrátori jog nélkül, így a problémák elkerülése miatt az is ide tartozik, ugyanakkor az informatika, mint szervezeti egység közelsége is megvalósul . Informatikai Biztonsági Szabályzat 2003 óta létezik elkülönülten, külön vírusvédelem és külön hozzáférhetőség-szabályozás fejezetekkel. Az informatikai biztonság koncepciója az informatikai biztonsági politikában került kifejtésre, amelyek mind vezérigazgatói szintről erednek. A korábbi vírusvédelem megmaradt és kettévált: vezérigazgatói és ügyrendi részre. Ez egyben tartalmazza az irányelveket és a felhasználók számára követendő eljárásrendet. Az e-mail használata is az IT-biztonsági politika és az ügyrend szintjén lett meghatározva, külön internet- és VPN-szabályozással. Az előzőekben felsorolt előírásokat egészítik ki az üzemeltetésre és a működésre vonatkozó belső szabályozás megfelelő részei.

Oktatás

A munkavállalók felkészültségének növelése érdekében belső biztonsági oldalt vezetnek az intraneten, amelyen lehetőség van a problémák jelentésére, továbbá itt megtalálható az összes biztonsági szabály is. Ezeken felül friss hírek tájékoztatnak az éppen aktuális veszélyekről. Az új értékesítési vezetők számára évente kétszer szakmai oktatást tartanak, ami magában foglal egy másfél órás adatvédelmi képzést is. Az elmúlt években a vidéki hálózatok is komoly informatikai oktatásban részesültek.

ISO

Szabványként nem követik a COBIT-t, amelyet ellenőrzés-centrikusnak tartanak, viszont a rendszert úgy alakítják, hogy ahhoz illeszthető legyen, mert az auditokhoz szükséges (a PSZÁF COBIT 3 és 4 szerint végzi az ellenőrzést). A szabályozási feladatok szabványaként a 8 verziós amerikai „information security policy made easy” kiadványt követték, amely a struktúrákra és a biztonsági politikára is adott mintákat. Jelenleg szabványként az ISO 27001-et célozták meg, az ISO szabványok azonban nehezen szabhatóak testre, mert nem konkrétan az

GKIENET KFT.

92


2007. május

információbiztonság szemszögéből közelítenek, hanem egy jóval nagyobb területet fognak át. Az ISO-ra történő átállásra a belső motiváltság erős, de a szabályozó oldaláról is érezhető az egyre erősebb szorítás.


Adott termék fejlesztésekor az üzleti szempontok prioritást élveznek az ITbiztonsággal szemben, azaz az üzleti igényeket ki kell elégíteni. Az elektronikus szolgáltatások azonban még csak most érkeznek a bevezetési fázishoz.

PKI

Az anyaintézetük biztosítja az infrastruktúrát, akinek jóval keményebb biztonsági követelményeknek kell megfelelnie. Továbbá az anyavállalat felől áramlik feléjük adat biztonságos kapcsolaton keresztül, de ők semmiféle információt nem küldenek vissza, az adatkapcsolat egyirányú. A rendszer ezért nem törhető fel ebből az irányból, hiszen sem online, sem offline módon nincs aktív kimenő adatforgalom. Ebből következően az ügyfélnek személyesen is meg kell jelennie a biztosítónál, ő csak az igényét tudja jelezni (és az elérhetőségét adhatja meg). A PKI felhasználásáról emiatt nem beszélhetünk a biztosító esetében.

Támadások

A szolgáltatás biztonságát veszélyeztető támadásokról nem tudnak nyilatkozni, mert nem saját portálon keresztül vannak jelen a virtuális térben.

Elektronikus szolgáltatások ügyfélkockázata Fél év múlva már más módon fognak az ügyfelekkel kommunikálni, jelenleg folyik saját interaktív értékesítési portáljuk kiépítése, ám annak bevezetése után továbbra is papír-alapú szerződéskötésre lesz szükség. A Portál projekt igényfelmérése már megtörtént, jelenleg a felület és a motor kódolása zajlik.

Szabályozási környezet A magyarországi szabályozás vizsgálatakor elmondható, hogy az alapszintű adatkezelést a Biztosítási és az Adatvédelmi Törvény majdnem teljes körűen lefedi. Az elektronikus adatkezeléssel kapcsolatosan azonban vannak GKIENET KFT.

93


2007. május

hiányosságok, a PTK szerződésekre vonatkozó részei túl általánosak, a biztosítási törvény pedig túl specifikus. Például az ügyfélszolgálat megkerülésének lehetőségét a törvények nem egyértelműen szabályozzák. A német szabályozást lehetne példának tekinteni a hazai viszonyok között, ami ugyan erős körülszabályozást jelent egyértelmű felelősség-meghatározással, viszont engedékenyebb a biztosítóval szemben. Szabványokon keresztül nehéz szabályozni ezt a területet, mert a szabványok lassabban fejlődnek, mint az informatika, ezért előrelépést jelentene, ha a PSZÁF ajánlásokat adna ki témaspecifikus tranzakciókra. Szabályozási oldalon a biztosítók számára várható legnagyobb változást a Basel II. biztosítói változata, a Solvency II fogja hozni, de ez még csak tervekben létezik.

GKIENET KFT.

94


2007. május

4. interjú

IT-biztonsági koncepció Formalizált IT-biztonsági stratégiával a biztosító 2001 óta rendelkezik, ez az informatikai stratégiától különállóan létezik. Informatikai szabályzatok alkalmazásával fedik le a sztenderdeket, mint az ITIL és a BS 7799, amelyet jelenleg követnek. Korábban COBIT-t használtak, ami még mindig szerepet kap, mert az auditok számára jól követhető kontroll. Az informatikai biztonsági részleg az IT-igazgatóság része és az ügyviteli igazgatónak tartozik beszámolási kötelezettséggel. Az elektronikus szolgáltatások fejlesztésének egy része azonban kiszervezésre került, de szigorúan csak a fejlesztés, és nem az üzemeltetés része. Ennek oka, hogy korábban a szervezet nem rendelkezett azzal a kritikus tudással, ami a felületek létrehozásához lett volna szükséges. Jelenleg a tudás már rendelkezésre áll, azonban humánerőforrás-gazdálkodási szempontok miatt egyes munkákat még mindig külső cégekkel kell végeztetni. Az üzleti igény felmerülése után kikérik az IT-biztonsági csoport véleményét, aminek a megvalósíthatósági tanulmánynak is részét kell képeznie. Alapvetően egy biztonságilag szabályozott szervezet, így a fejlesztéseket illetően vétójoga van az informatikának.

Oktatás

A munkavállalók folyamatosan informatikai oktatásban részesülnek, amelynek ma már része az informatikai biztonság és a biztonságtudatosság kérdése is.

ISO

Összességében a BS 7799-en keresztül követik az ISO 17799-t, de utóbbi szerint nincsenek minősítve és nem is kívánják magukat minősíttetni. A szabályozásnak nincsenek külön kiemelt elemei az elektronikus szolgáltatásokat illetően.

GKIENET KFT.

95


2007. május


Magában a biztonsági politikában elektronikus szolgáltatások nincsenek külön nevesítve, egyes részek és rendszerelemek kerültek kiemelésre (például mihez szükséges legalább VPN-kapcsolat).

PKI

Szolgáltatási oldalról lehet ajánlatot kérni online módon, de az első szerződés megkötésére csak személyesen kerülhet sor, mert az ügyfélnek azonosítania kell magát és alá kell írnia a kontraktust. Elektronikus aláírás elfogadására nincs felületük. A szerződés megkötésekor az ügyfél kap felhasználónév/jelszó párost, aminek a segítségével elektronikusan meg tudja változtatni az adatait.

Támadások

A szolgáltatási biztonságot veszélyeztető támadások számáról alapvetően nem nyilatkoztak, azonban arra utaltak, hogy bár a probléma növekszik az internet fokozatos terjedésével, a fejlettebb országokban előforduló, ügyfelekre vetített 10%-os támadási arányt, és az egy személyre jutó kárérték 374 ezer forintos angliai átlagát még meg sem közelítjük.

Elektronikus szolgáltatások ügyfélkockázata Az internetes szolgáltatáshoz szükséges erőforrások meghatározásához alapvetően a csúcsidőszakban jelentkező kihasználtságot mérik, 80%-os terheltségi küszöb körül van meghatározva a kötelező infrastruktúrafejlesztés. A kritikus rendszerek esetén más fejlesztési protokollok és kötelező tartalék-rendszerre vonatkozó előírások vannak érvényben.

Elektronikus szolgáltatások költségei Az IT-biztonság teljes IT-költésen belüli részarányát nem számszerűsítik és nem is tudtak ilyen irányú információval szolgálni. Az ügyfelek számára kiépített online tér költsége az árazási metodikában külön tételként nem jelenik meg.

GKIENET KFT.

96


2007. május

Szabályozási környezet Az interjúalany biztonságossági oldalról alapvetően elégedett a szabályozással, bár üzleti szempontból elképzelhetőnek tartja, hogy túlszabályozott a rendszer. A biztosítónak külországi tulajdonosai miatt a külföldi szabályokat is át kell vennie, továbbá konszern-szintű auditoknak kell megfelelnie, így nehéz elkülöníteni a magyar szabályozási követelményeket, az azonban érezhető, hogy a magyar szabályozás keményebb az anyavállalat országáénál. Ez a rendszerszintű védelem előírásaiban jelenik meg, amelyek áttételesen szolgálják az ügyféladatok védelmét is. Állami oldalról a digitális aláírás elterjesztésével lehetne segíteni az elektronikus szolgáltatások terjedését.

GKIENET KFT.

97


VIII.2. Egyéb mélyinterjúk

pénzügyi

2007. május

szolgáltatóval

készített

1. interjú

IT biztonsági koncepció A Takarékszövetkezet rendelkezik IT biztonsági szabályzattal már több, mint 7 éve. A legutolsó, önálló IT biztonsági szabályzat 2006-ban készült el az ISO 17799 szabvány ajánlásainak figyelembevételével. Éppen ezért a jelenlegi szabályzat a szabvány minden előírásának megfelel, illetve megfelel a szintén az ISO szabványra épülő Hpt. Törvény 13/B paragrafusának. Az IT biztonsági szabályzat 4 lépést ír elő: Kockázatfelmérés, Szabályozás, Utóellenőrzés, Újabb hiányosságok leszabályozása. A szabályozás alkalmazási területe tárgyi, személyi és időbeli kérdésekre egyaránt kiterjed. A szabályozás irányítási rendszerének logikája a kialakítás, fenntartás, dokumentálás elvet követi. A szabályzat fejlesztése három módon történhet, lehet folyamatos (a vállalat és a szervezet fejlődésével egyszerre történő), helyesbítő (reagáló jellegű), illetve megelőző. A szabályozás számos területre vonatkozóan tartalmaz eljárásokat, ezek a következők: Szervezet biztonság, Vagyontárgyak biztonsága Személyzet biztonsága, Fizikai és környezeti biztonság, Kommunikáció és üzemeltetés biztonsága, Üzletmenet folytonossága és megfelelősége, Hozzáférés, Rendszerek karbantartása.

Az IT biztonsági kérdésekért a takarékszövetkezetnél a rendszergazda felelős. A szabályzat felülvizsgálata a szabályzat szerint 2 évente kötelező, de évente elvégzik. A felülvizsgálatot az idő tényezőn kívül nem kötik más paraméterhez.

GKIENET KFT.

98


2007. május

Az alkalmazottak oktatása a bevezetéskor megtörtént, illetve jelentős változás esetén tájékoztatják a munkatársakat, valamint minden új munkatárs megkapja a dokumentumot és kérdés esetén a rendszergazdához fordulhat válaszért. A bevezetés utáni oktatás eredményességét a rendszergazda közepesen sikeresnek tartja, a fő irányelveket sikerült a munkatársakkal megértetni, csak olyan kérdésekben szokott probléma jelentkezni, mint a jogosultságok módosításának igénylése, ahol a kollégák figyelmét fel kell hívni arra, hogy a kérelmeket nyomtatni is kell. A Takarékszövetkezet nem rendelkezik ISO 17799 vagy 27001 minősítéssel és nem is tervezik azt bevezetni.

Elektronikus szolgáltatások köre és működési környezete A Takarékszövetkezet a következő elektronikus pénzügyi szolgáltatásokat nyújtja: bankkártya, ATM POS terminál, homebank internetbank A jövőben bevezetésre kerülő új szolgáltatás lesz a dombornyomott kártya kibocsátása. Mobilbank szolgáltatást a takarékszövetkezet nem nyújt, eddig az ügyfelek egyáltalán nem jeleztek ezzel kapcsolatos igényeket. A bankkártya esetében a PIN kód a legfontosabb biztonsági kockázat. Ezzel kapcsolatosan az ügyfél az átvételnél aláír egy nyilatkozatot, hogy nem adja át másnak, nem tárolja a kártya mellett és a kódot titkosan kezeli. Az ATM készülékek esetében IT biztonsági szempontból az jelenthet problémát, ha a telefonvonalat sikerül megzavarni. Ezt azzal igyekeznek kivédeni, hogy a készülékek titkosított bérelt vonalon kapcsolódnak a Takarékszövetkezet szerveréhez. A homebank szolgáltatást 2000 óta üzemeltetik, a szolgáltatást főleg az önkormányzati ügyfelek és a nagyobb cégek veszik igénybe. Az internetbank szolgáltatás 2006 tavasza óta elérhető, bevezetésének legfontosabb oka az ügyfelek fokozódó igénye volt. A homebank szolgáltatás előnye, hogy a Takarékszövetkezet jóváhagyása (a szerveren történő engedélyezések) nélkül a szolgáltatás csak adott kliensről vehető igénybe, hiába telepítik a szoftvert másik gépre. A Takarékszövetkezetnek jelenleg hozzávetőleg 500 homebank és internetbank ügyfele van, ami 750 felhasználót jelent.

GKIENET KFT.

99


2007. május

Az internetbanking és homebanking szolgáltatást külső cég szakértelmének igénybevételével valósítják meg, a belső üzemeltetés nem lenne gazdaságos. A szogáltatást az ELECTRA nevű szoftver segítségével valósítják meg. A rendszer úgy működik, hogy a külső partner szerverét és a Takarékszövetkezet szerverét bérelt vonal köti össze. A külső partner szerverén semmilyen ügyféladat nem található csakis az azonosítók és a jelszavak. Amikor az ügyfél belép, akkor sem az inernetbankhoz használt kliensen, sem a partner szerverén nem kerül tárolásra adat, kizárólag real time megjelenítés van. Az adatok megfelelő biztonságáért a külső partner felel. A felhasználói azonosítók és jelszavak biztonságának garantálása érdekében a partner negyedévente auditáltatja rendszerét. A szolgáltatás igénybevételénél az ügyfél két jelszót használ, az elsőt a belépéshez, a másodikat az utaláshoz (aláírási jelszó). A Takarékszövetkezet javaslatot tesz az ügyfelek számára a jelszó kialakításával kapcsolatban, tehát felhívja a figyelmüket arra, hogy megfelelően bonyolult legyen, illetve legalább 30 naponta változtassák meg. A legfontosabb információkat egy 3 oldalas tájékoztatóban is átadják, illetve a weboldalon keresztül is elérhetőek. A rendszert további biztonsági elemek is védik. Az 50 ezer forintnál nagyobb értékű utalásoknál a rendszer egy véletlenszerűen generált küld az ügyfélnek a mobiltelefonjára és az utalás csak ennek megadása után valósul meg. Az 50 ezer forintos utalási korlátot megfelelő védelemnek tartják ahhoz, hogy az ügyfeleket ne lehessen nagy értékkel megkárosítani. Ennek ellenére a jövőben az SMS-ben kapott kóddal való megerősítést a tranzakció értékétől függetlenül alkalmazni fogják. A rendszer a felhasználói azonosítás és jogosultságellenőrzésen túl további biztonsági szinteket is tartalmaz. Abban az esetben, ha egy ügyfélnél háromszor sikertelen azonosítás történik a rendszer letiltja a felhasználót. Ezen túlmenően ha egy ügyfélnél többször sikertelen próbálkozás történik, akkor az ügyfelet felhívják telefonon és megkérdezik, hogy valóban ő volt-e. Ezek az alkalmak lehetőséget biztosítanak arra is, hogy az ügyfél figyelmét még egyszer felhívják a legfontosabb biztonsági szempontokra. A kontrollmechanizmus a túl magas napi tranzakciószám és a túl nagy utalási összeg esetén is életbe lép. A telefonos ellenőrzésre van lehetőség, hiszen a bankközi utalások csak nap végén történnek meg a GIRO rendszerben. Az internetbank szolgáltatás közvetlenül a honlapon keresztül nem érhető el (nem történik login a weboldalon) hanem külön címen hozzáférhető. A webolbalról mutat link az internetbank címére, ami veszélyt jelenthet adathalászat esetén. Adathalászatnak, vagy más támadásnak a Takarékszövetkezet idáig nem volt célpontja, de ismernek olyan magyar példát, amikor más takarékszövetkezet hasonló támadás áldozata lett. Az eset 2006 őszén történt. A külső támadások veszélyének nagyságát nehéz meghatározni. A Takarékszövetkezet egyetlen webes problémája eddig az volt, amikor a honlapot

GKIENET KFT.

100


2007. május

tároló szolgáltató szerverét este feltörték és egy óráig nem volt elérhető a weboldal. A Takarékszövetkezet egyik ügyfele jelezte a rendszergazdának, hogy az oldal nem elérhető. A rendszergazda tájékoztatta a szolgáltatót, illetve az ügyvezetést, illetve azonnal inaktívvá tette a honlapot. A honlap egy órán keresztül nem volt elérhető, ezalatt a szolgáltató javította a hibát, majd az oldalt újra feltöltötték. A támadás másnapján a rendszergazda feljelentést tett a rendőrségen, de a nyomozás nem hozott eredményt. Az eset után a Takarékszövetkezet internet-szolgáltatót váltott. Az ügyfeleket külön tájékoztatták, hogy milyen formai elemekre kell odafigyelni az oldal használatakor. Az IT biztonsági szabályzatban nevesített kockázatelemzés kiterjed az elektronikus szolgáltatásokra is ebben a részben konkrétan nevesítve van a házibank, az internetbank, az ATM és a POS. Az üzletmenet folytonosságára vonatkozó eljárások között szerepel az elektronikus bankolás is mint kritikus folyamat és a szabályzat rögzíti, hogy a szervert ért támadás eseté mi a teendő. A rendszergazda a legtöbb projektben részt vesz, ezért az IT biztonsági kérdések figyelembevétele rendkívül nagy prioritást kap. PKI alapú azonosítást nem használnak, mivel ez rendkívül megnövelné a költségeket. Az internetbank és homebank rendszerek jelenlegi leterheltsége nagyságrendekkel elmarad a maximális kapacitástól. Az outsourcingelt szolgáltatásokat végző külső partner negyedévente auditáltatja magát annak érdekében, hogy biztonsági rendszere naprakész legyen.

Elektronikus szolgáltatások ügyfélkockázata Az ügyfelek által indított utalások számát folyamatosan figyelik és a korábban leírt módszereket (szerződéskötéskori tájékoztatás, weboldalon elérhető tájékoztató,) alkalmazzák a kockázatok ügyfél oldali csökkentése érdekében. Eddig még nem találkoztak olyan szituációval, amikor valamelyik ügyfelelt kár érte volna. Az IT biztonsági szabályzat nem írja le konkrétan, a felelősség kérdését az ügyfél és a Takarékszövetkezte között, ezt jobban is ki lehetne dolgozni. A logika szerint azonban, mivel az ügyfél a szerződésben vállalja, hogy harmadik személy részére nem adja át az adatokat, ezért minden olyan esetben, amikor nem a Takarékszövetkezet rendszerét törik fel, az ügyfél a felelős.

GKIENET KFT.

101


2007. május

Elektronikus szolgáltatások költségei Az internetbank esetében az SMS díját, a homebank esetében a rendszer telepítésének díját 100%-ban áthárítják az ügyfélre. A Takarékszövetkezet számára közvetlen költségként jelenik meg az internetbank és homebank rendszerek rendszerkövetési díja, rendszerfelügyeleti díja és szoftverfejlesztési díja. A rendszerkövetési díj az internetbank esetében 60 forint havonta ügyfelenként, míg a homebank esetében 16 forint havonta terminálonként. A rendszerfelügyeleti díj egy havi fix összeg, hozzávetőleg 50 ezer forint /hó. A szoftverfejlesztési díj évi fix összeg =260 ezer forint/év). Mindez azt jelenti, hogy az internetbank és homebank rendszerek üzemeltetése hozzávetőleg évente 1 millió forintba kerül. Az internetbank és a homebank esetében alternatívaköltség a Takarékszövetkezet számára, hogy az ügyfél kedvezőbb díjjal utal és a pénzintézet tranzakciós jutaléka 0,2% helyett csak 0,12%. Az ATM-ek üzemeltetés díja havonta 100 ezer forintba kerül, így éves szinten 1,2 millió forint költséget jelent. A készpénzfelvétel díját itt is áthárítják az ügyfélre. A POS terminálok üzemeltetése szintén fix díjasa, de minimális költséget jelent.

Szabályozás A PSZÁF ajánlásait a válaszadó hasznosnak tartja. A terület szabályozási elvéről kapcsolataban az a véleménye, hogy inkább legyn részletesebb és kiterjedtebb, mintsem figyelmen kívül maradjon valamilyen kérdés. A válaszadó nem ismeri az EU-s szabályozást, így nem kívánt véleményt formálni róla. A szabályozásnak való megjelenés esetében beruházási költség volt, hogy az IT biztonsági szabályzatot külső szakemberrel készíttette el a szövetkezet. A Basel II szabályozással a Takarékszövetkezet még csak most ismerkedik, ezért a válaszadó nem kívánt részletes véleményt formálni. Az eddigi tapasztalatok alapján a Basel II szabályozás nem hátráltatja a piac fejlődését. A válaszadó nem tudott olyan új kockázati típust említeni, amellyel kapcsolatban új szabályozások kialakítását tartaná szükségesnek.

GKIENET KFT.

102


VIII.3.

2007. május

Mélyinterjú vezérfonál

IT-biztonsági koncepció 1. Rendelkezik-e az Önök vállalata formalizált IT-biztonsági koncepcióval, szabályzattal? 2. Ha igen, o mióta létezik? o a koncepció, szabályzat különálló dokumentum, vagy része valamely más szabályzatnak? o követ-e valamilyen szabványt, ha igen melyiket? o mire terjed ki? o létezik-e egyértelműen meghatározott felelőse, ha igen, mely pozícióhoz tartozik? o milyen gyakran, illetve milyen esetben vizsgálják felül a koncepciót? o milyen módszertant, illetve küszöbszámokat (pl ügyfelek számának mennyiségi változása) alkalmaznak a felülvizsgálat során? o A munkavállalók mennyire tájékozottak és naprakészek az ITbiztonsági szabályzattal kapcsolatban? Tartanak a munkavállalók számára rendszeres IT-biztonsági oktatást? 3. Ha nem rendelkeznek IT-biztonsági koncepcióval, szabályzattal, o miért nem? o tervezik-e ennek kialakítását? 4. Mi a véleménye az ISO17799, illetve ISO27001 szabványokról? Milyen ISO minősítéssel rendelkeznek, illetve tervezik-e ennek fejlesztését? Elektronikus szolgáltatások köre és a működtetés környezete 1. Milyen elektronikus szolgáltatásokat nyújtanak? Szolgáltatásaik köre valamennyi lehetséges szolgáltatásra kiterjed-e? o Mely szolgáltatásokat nem lehet elektronikus úton igénybe venni és miért nem? o Abban, hogy egyes szolgáltatások nem érhetőek el elektronikus úton, szerepet játszik-e az átlagostól eltérő, vagy különösen nagy ITbiztonsági kockázat? Ha igen mik ezek a kockázatok? 2. Az ügyfelek számára nyújtott elektronikus szolgáltatások kapcsán milyen (extra) IT-biztonsági kockázatokat ismernek, illetve kezelnek? o Kérjük, sorolja fel, és rangsorolja az elektronikus szolgáltatások üzemeltetésével kapcsolatban eddig felmerült problémákat! 3. Az IT-biztonsági koncepció mely részei relevánsak az elektronikus szolgáltatásokra? Vannak-e olyan elektronikus szolgáltatásaik, amelyek külön megnevezésre, szabályozásra kerülnek a koncepcióban, ha igen melyek ezek? o Ezeknél az elektronikus szolgáltatásoknál milyen, a többi területre nem vonatkozó biztonsági kockázatokat kezel a koncepció, szabályzat?

GKIENET KFT.

103


2007. május

4. Új szolgáltatások/projektek indításakor milyen prioritása van a koncepciónak, illetve az IT-biztonságnak? 5. Lehetőség van-e az ügyfeleknek PKI alapú, nyílt kulcsú elektronikus aláírás használatára az elektronikus szolgáltatások igénybevétele során? o Amennyiben nincs lehetőség, akkor miért nem alkalmazzák ezt a technológiát? 6. Mekkora veszélyforrást lát Ön a külső támadásokban? Hogyan alakult ezek jelentősége idő és földrajzi dimenziókban? Volt-e rendszerük valamilyen támadás (pl. adathalászat, DDOS) célpontja? o Ha igen, milyen gyakorisággal, mik a konkrét tapasztalataik, illetve hogyan kezelték a problémát? 7. Rendszerük normális esetben egyszerre átlagosan milyen felhasználó számmal szokott találkozni? Egyszerre maximálisan hány felhasználót képes kiszolgálni a rendszer? 8. Van-e olyan elektronikus szolgáltatásuk, melyet outsourcingeltek? Ha igen, hogyan kérik számon az IT- és adatbiztonsági elvárásokat? Elektronikus szolgáltatások ügyfélkockázata 1. Véleményük szerint az elektronikus szolgáltatásokhoz kapcsolódó ITbiztonsági kockázatokat lehet-e az ügyfél oldalon csökkenteni? o Vizsgálják-e az ügyfelek körében a felhasználói szokásokat, és ha igen hogyan vizsgálják? o Próbálják-e, és ha igen milyen módon próbálják, növelni a felhasználók „tudatosságát”, tesznek-e valamit azért, hogy ügyfeleik az IT-biztonsági kockázatokat minél jobban megismerjék és a lehetőségekhez mérten kerüljék? 2. Működési szabályzatuk meghatároz-e olyan eseteket, amikor a keletkezett kárért az ügyfél a felel? Ha igen, találkoztak már ilyen szituációval? Elektronikus szolgáltatások költségei 1. Az elektronikus szolgáltatások költségei megjelennek-e a fogyasztó oldalán (áthárítják-e ezeket a költségeket a fogyasztókra)? Jár-e közvetlen költséggel az elektronikus szolgáltatás igénybe vétele? 2. Meg tudja-e becsülni az elektronikus szolgáltatások és az ezekhez kapcsolódó tevékenységek (IT biztonság) költségeinek abszolút vagy relatív szintjét? 3. A kapcsolódó költségek mekkora részét teszi ki, o a magasabb IT-biztonsági kockázat kezelése; o az elektronizáltság magasabb foka? Szabályozási környezet 1. Mi a véleménye az elektronikus szolgáltatásokhoz kapcsolódó magyarországi szabályozásokról vagy a Magyarországon is érvényes nemzetközi szabályokról?

GKIENET KFT.

104


2.

3. 4.

5.

6.

2007. május

o Lát-e hiányosságot? o Lát-e ellentmondást? o Lát-e indokolatlan szabályozást (túlszabályozást)? Lát-e jelentős különbségeket lát az Európai Unió, a tagállamok, illetve Magyarország szabályozási környeztében? o Ha igen, melyek ezek a különbségek és pozitív vagy negatív hatással vannak az elektronikus szolgáltatások piacának fejlődésére? Mi a véleménye az elektronikus szolgáltatásokra vonatkozó PSZÁF ajánlásokról, útmutatókról? A szabályozásoknak (EU, Magyarország) való megfelelés milyen költségekkel jár(t) az Önök számára, o beruházási költségek, o tranzakciós költségek, o illetve a szolgáltatásokhoz kapcsolódó árrés tekintetében? Az EU által kialakított Basel II szabályozás, o integrálása milyen szinten áll? o miben hátráltatja a piac fejlődését? Az új megjelenő kockázatok egységes kezelésére milyen szabályok megjelenését javasolná a szabályozók és a törvényalkotók számára?

GKIENET KFT.

105


VIII.4. Problémakör Bank belső működés, felépítés

Belső működés, szervezés Outsourcing

Illegális belépés, identifikációval kapcsolatos problémák, hiányos ügyfélbiztonság, virusbehatolás

2007. május

A Bázeli Bizottság ajánlásai Irányelv 1. A vezérkarnak effektív felügyeletet kell létrehoznia az e-Bankinggal kapcsolatban felmerülő rizikókkal kezelésére. Speciális egység (intézmény) létrehozása speciális feladatkör, felelősség, ügyvitel stb. 2. A vezérkarnak meg kell adnia (hozzá kell járulnia) a bank biztonsági ellenőrzési eljárásának kulcsszempontjait. 3. A vezérkarnak egy átfogó és biztonságos eljárást kell kialakítania az e-Banking outsourcing-cégekkel való kapcsolattartására és azok munkájának ellenőrzésére. 4. A bankoknak megfelelő eljárást kell találniuk az ügyfelek e-Banking tranzakciókkal kapcsolatos identifikációjának és megbízásainak hitelesítésére.

Hiányos ügyfélbiztonság, ügyfél hiányos felvilágosítása

5. Olyan tranzakció-hitelesítésimegoldásokat kell használni, amelyek kizárják a vitathatóságot és egyértelműsítik az e-Banking ügyletekért való felelősséget

Belső működés, szervezés, tisztviselői csalás

6. A bankoknak biztosítaniuk kell az eBanking-rendszer – az adatbankok – és a felhasználás-csoportok közötti feladatmegosztást

Identifikációval kapcsolatos problémák, tisztviselői csalás

7. A bankoknak biztosítaniuk kell, hogy érvényes hozzáférési jogokat alkalmaznak, illetve megfelelő érvényességi vizsgálatot végezzenek mind az e-Banking-rendszernél, mind az adatbankoknál és a felhasználásoknál.

Ajánlás EU ISO 13569. General Security Guidelines for Banking and Financial Institutions. ISO 17799. Code of Practice for Information Security Management ISO 13569. ISO 17799 Külső biztonság hasonló auditja, mint a belső biztonságé: II. Függelék Basel MaRisk Risk Management Principles for Electronic Banking" Sound Practices for Managing Outsourced EBanking Systems and Services Titkosítási technológiák ECBS TR 406 Guidelines on Algorithm Usage and Key Management. 2. Technical report ECBS TR 410 Secure Credit Card Payments on the Internet includes a good survey of possible authentication methods in Chapter 5. secret one-time transaction authentication number (TAN) ISO 13941 Banking cryptographic devices (retail) Part 1: Concepts, requirements, and evaluation methods (1998-06-15) for further information. User ID: password vagy PIN, Veszélyeztetett kódokat meg kell szüntetni. Elektronikus aláírás ie. 5.cikk (1) 4 ( eredetiségvizsgálat) és 9 (auditok) irányelvekhez ajánlott megoldások ECBS report TR 409, The Use of Audit Trails in Security Systems: Guidelines for European Banks. Feladatmegosztás, kritikus infrastruktúráknál nem szabad egy személyt alkalmazni ezen feladatkörökre! ISO Standard 17799 provide guidance on the development of relevant procedures. Különböző ügycsoport – különböző felelős, privilegizált ID-k

GKIENET KFT.

106


adatvédelem

Belső működés, könyvvitel,

8. A bankoknak biztosítaniuk kell, hogy megfelelő módszereket alkalmaznak az e-Banking tranzakciók adatintegritásának rögzítésére és az ezekkel kapcsolatos információk védelmére. 9. A bankoknak biztosítaniuk kell, hogy minden e-Banking tranzakcióknak legyen egyértelmű könyvelési protokollja

2007. május

adatvédelem Message Authentication Codes (MACs), hashing algorithms, digital signatures. encryption, digital signatures and message authentication codes should be used to protect the integrity of audit trail records. Adatvédelem, könyvelés megőrzése extrém helyzetekben is. For updated information of applicable algorithms and key lengths refer to Technical Report ECBS TR 406 Guidelines on Algorithm Usage and Key Management.

Rendszerelöregedés veszélye, adatvédelem, titkosítás

10. A bankoknak biztosítaniuk kell, hogy megfelelő módszereket alkalmaznak az e-Banking információk kódjainak titkosításságénak megőrzésére. Ezeknek a módszereknek meg kell felelniük az információk érzékenységének mind a küldést, mind/vagy az adatbázisban való megőrzést illetően.

Rendszerelöregedés veszélye, szignifikáns rendszerdeficit

11. A bankoknak biztosítaniuk kell, hogy Use recognisable SSL certificates. weboldalukon megfelelő információk 2. Use only URL, with recognisable link to bank állnak a rendelkezésére ahhoz, hogy a potenciális ügyfelek az e-Banking tranzakciók megkezdése előtti belépést megelőzően, meggyőződhessenek a bank identitásáról és aktuális státuszáról

Adatvédelem, hiányos ügyfélbiztonság

12. A bankoknak biztosítaniuk kell, hogy EU Directive on data protection. megfelelnek az ügyfél adatainak védelmére vonatkozó joggyakorlatnak az e-bankinggal kapcsolatos termékek és szolgáltatások rendelkezésre bocsátásakor.

Belső működés, hiányos biztonsági rendszer

13. Az e-Banking rendszer és back-up infrastructure. szolgáltatások elérhetőségének 2. Build a documented and tested recovery érdekében a bankoknak rendelkezniük procedure. kell effektív kapacitásról, ügymenetfolytonosságról és szükséghelyzet-tervröl.

Belső működés, hiányos biztonsági rendszer

14. A bankoknak létre kell hozniuk olyan Establishment of response teams with regular “incidens-reakció-terveket”, amelyekkel contact with law enforcement agencies a váratlan eseményeket kezelik – and with other response teams. beleértve olyan belső és külső támadásokat, amelyek akadályozhatják az e-Banking rendszer és szolgáltatások lebonyolítását.

GKIENET KFT.

107


VIII.5.

2007. május

Táblázatok jegyzéke

1. TÁBLÁZAT AZ IT-BIZTONSÁG MÉRÉSÉRE HASZNÁLT NEMZETKÖZI SZTENDERDEK .................. 3 2. TÁBLÁZAT ELTÉRÉSEK ÉS HASONLÓSÁGOK AZ AMERIKAI, NÉMET ÉS MAGYAR IT-BIZTONSÁGI SZABÁLYOZÁSBAN .............................................................................................................. 7

3. TÁBLÁZAT MAGYARORSZÁGI E-BANKOK SZOLGÁLTATÁSAI ................................................... 9 4. TÁBLÁZAT MAGYARORSZÁGI BIZTOSÍTÁSOK ONLINE ELÉRHETŐSÉGE ................................... 10 5. TÁBLÁZAT BANKI UTALÁSOK ÖSSZEHASONLÍTÁSA (LAKOSSÁGI) .......................................... 18 6. TÁBLÁZAT AZ ATM ÉS FIÓKOS KÉSZPÉNZFELVÉTEL KÖLTSÉGEI (LAKOSSÁGI)...................... 19 7. TÁBLÁZAT SMS ÉRTESÍTÉS DÍJAI (LAKOSSÁGI) ..................................................................... 20 8. TÁBLÁZAT BANKI UTALÁSOK ÖSSZEHASONLÍTÁSA (VÁLLALATI) .......................................... 21 9. TÁBLÁZAT AZ ATM ÉS FIÓKOS KÉSZPÉNZFELVÉTEL KÖLTSÉGEI (VÁLLALATI)...................... 22 10. TÁBLÁZAT SMS ÉRTESÍTÉS DÍJAI (VÁLLALATI) ................................................................... 23 11. TÁBLÁZAT A BÁZELI BIZOTTSÁG E-BANKING SZOLGÁLTATÁSOKRA VONATKOZÓ 2003-AS KOCKÁZATMENEDZSMENT-ELVEI ...................................................................................... 64

12. TÁBLÁZAT A PÉNZINTÉZETEKRE VONATKOZÓ E-BANKINGGAL KAPCSOLATOS ELŐÍRÁSOK . 65 13. TÁBLÁZAT AZ ECBS ÁLTAL AJÁNLOTT, E-BANKINGRA VONATKOZÓ NEMZETI ÉS NEMZETKÖZI AJÁNLÁSOK .................................................................................................. 71

14. TÁBLÁZAT AZ ADATVÉDELMMEL ÉS AZ ELEKTRONIKUS KERESKEDELEMMEL KAPCSOLATOS UNIÓS ELŐÍRÁSOK.............................................................................................................. 72

15. TÁBLÁZAT AZ IT-BIZTONSÁGGAL KAPCSOLATOS ELŐÍRÁSOK NÉMETORSZÁGBAN.............. 74 16. TÁBLÁZAT IT-BIZTONSÁGI ELVÁRÁSOK AZ USA-BAN ......................................................... 80 17. TÁBLÁZAT AZ INFORMATIKAI RENDSZERREL SZEMBEN TÁMASZTOTT ELVÁRÁSOK A MAGYAR PÉNZÜGYI INTÉZMÉNYEKNÉL ............................................................................................ 82

GKIENET KFT.

108


VIII.6.

2007. május

Ábrák jegyzéke

1. ÁBRA A LEGTÖBB VÍRUSOS WEB-OLDAL 2006-BAN ................................................................. 5 2. ÁBRA A LEGTÖBB SPAM-MAILT 2006-BAN A KÖVETKEZŐ ORSZÁGOKBÓL KÜLDTÉK ............... 6 3. ÁBRA AZ ONLINE-BANKING HASZNÁLATA EURÓPÁBAN, 2005-BEN ...................................... 11 4. ÁBRA AZ INTERNETEN KERESZTÜL ADOTT LAKOSSÁGI MEGBÍZÁSOK ARÁNYÁNAK VÁRHATÓ VÁLTOZÁSA A KÖVETKEZŐ 12 HÓNAP SORÁN A BANKOK VÉLEMÉNYE ALAPJÁN ............... 12

5. ÁBRA INTERNET-BANKI LAKOSSÁGI ÜGYFELEK SZÁMA ÉS ÁTLAGOS ARÁNYA AZ INTERNETES BANKOKNÁL ...................................................................................................................... 13

6. ÁBRA INTERNET-BANKI VÁLLALATI ÜGYFELEK SZÁMA ÉS ÁTLAGOS ARÁNYA AZ INTERNETES BANKOKNÁL ...................................................................................................................... 13

7. ÁBRA INTERNETES ÜGYFELEK ARÁNYÁNAK VÁRHATÓ VÁLTOZÁSA A KÖVETKEZŐ 12 HÓNAP SORÁN A BANKOK SZERINT ................................................................................................ 14

8. ÁBRA MOBILTELEFONOS SZERZŐDÉSSEL RENDELKEZŐ LAKOSSÁGI ÜGYFELEK SZÁMA ÉS ARÁNYA A BANKOKNÁL

.................................................................................................... 15

9. ÁBRA MOBILTELEFONOS SZERZŐDÉSSEL RENDELKEZŐ VÁLLALATI ÜGYFELEK SZÁMA ÉS ARÁNYA A BANKOKNÁL

.................................................................................................... 15

10. ÁBRA A KOCKÁZATELHÁRÍTÁS OPTIMÁLIS MÉRTÉKE .......................................................... 25 11. ÁBRA A KOCKÁZATMENEDZSMENT FOLYAMATA ................................................................ 26 12. ÁBRA A KOCKÁZATMENEDZSMENT FOLYAMATA ................................................................ 29 13. ÁBRA MICROSOFT, THE SECURITY RISK MANAGEMENT GUIDE ......................................... 30 14. ÁBRA AZ OCTAVE MÓDSZERTAN FELÉPÍTÉSE ................................................................... 34 15. ÁBRA AZ ITIL MÓDSZERTAN FELÉPÍTÉSE ........................................................................... 36 16. ÁBRA AZ INFORMÁCIÓS TECHNOLÓGIAI BIZTONSÁG LEGFONTOSABB TÉNYEZŐI.................. 38 17. ÁBRA AZ SSL ÉS A TÖBBI NETWORRK-PROTOKOLL VISZONYA ............................................ 40 18. ÁBRA NÉHÁNY JELENTŐS NEMZETKÖZI BANK IT KIADÁSAI 2004-BEN ................................ 46

GKIENET KFT.

109

GKIeNET Kft. Készült a PSZÁF támogatásával. Budapest, május

Recommend Documents