DORA: Biztonságosabbá válnak a pénzügyek az EU-ban

Uniós törvényi támogatás segíti majd a pénzügyi vállalatok támadásokkal szembeni ellenállóképességének felmérését és növelését.

Pénzünkre utaznak

A mindennapi életünkre komoly hatást gyakorló kommunikációs rendszer teljes elnevezését - Society for Worldwide Interbank Financial Telecommunication - az iparágban dolgozókon kívül ritkán ismerik fel. Annál inkább a köztudat részét képezi a szervezet mozaikszavas neve: SWIFT. Ezen a rendszeren keresztül zajlik a devizapiaci ügyletek túlnyomó része, némi egyszerűsítéssel élve ez az az érrendszer, ami összeköti egymással a pénzvilág nagy, nemzetközi szereplőit.

2016 februárjában Banglades központi bankját célzó hackerek a SWIFT hiányosságait kihasználva próbáltak nagy mennyiségű pénzt eltulajdonítani: 1 milliárd dollárt akartak ellopni. Ugyan a tranzakciók többségét sikerült blokkolni, 101 millió dollárnak mégis nyoma veszett. Fontos figyelmeztetést jelentett ez a banki szféra számára, a pénzügyi rendszerek kibertámadásokkal szembeni kockázataira irányítva a fókuszt.

Mára sajnos mégis axiómává vált: nem az a kérdés, bekövetkezik-e egy támadás, hanem az, hogy mikor. 2020 februárjában Christine Lagarde, az Európai Központi Bank elnöke, az IMF korábbi vezetője arra figyelmeztetett, hogy akár súlyos pénzügyi válságot is okozhat egy összetett támadás. Nem csupán óriási gazdasági költségekkel kell számolni egy sikeres, nagy horderejű incidens nyomán, hanem a nyilvánosság bizalomvesztésével szintén meg kell(ene) birkózni.

A kockázat pedig nagy: a VMware felmérése szerint több mint 200 százalékkal nőtt a pénzügyi intézményeket célzó támadások száma. Az IBM idei kutatása rámutatott: átlagosan 4,35 millió dolláros kárt okoz egy-egy ilyen incidens. A Picus Security 2022-es tanulmánya felfedte, hogy továbbra is magas a zsarolóprogramok, a jelszóhalász kísérletek, a webalkalmazások hibáira alapuló és a szolgáltatásmegtagadásra (DoS) irányuló támadások aránya, leginkább ezek az APT-k (fejlett, folyamatos fenyegetések) jelentenek veszélyt a pénzügyi világra.

Elsősorban tehát a fenti fenyegetésekre kell felkészülni. Ezt a felkészülést, pontosabban az európai pénzügyi szervezetek ellenállóképességének felmérését és fokozását kívánja segíteni az Európai Unió az egységes törvényi szabályozás kialakításával.

A gyenge pontok felmérésével tehető hatékonnyá a védelem

Hiába ugyanis a több évtizednyi közös út, az Európai Unió gazdasági szervezetei számos területen továbbra is heterogén képet mutatnak. A politikai, gazdasági közösségben honos bankok, biztosítócégek és egyéb pénzügyi érdekeltségű vállalatok informatikai kockázatait kezelni hivatott törvényi szabályozás országos szintű, vagyis nem egységes. Ennek hátránya egyértelműen káros az érintettekre nézve: ahelyett, hogy széles körben elfogadott irányelvek mentén alakítanák ki a digitális fenyegetésekkel szembeni védelmüket, törvényhozói irányból maximum helyi rendelkezésekre támaszkodhatnak.

Ezen változtatna az Európai Bizottság, mely közösségi szinten tervez keretet adni a vonatkozó szabályozásnak, illetve az informatikai fenyegetésekkel szembeni fellépésnek. A digitális működési ellenállóképesség törvény, azaz Digital Operational Resilience Act (röviden DORA) ezen a területen ígér jelentős előrelépést. Az egyelőre tervezet formában létező javaslattal kapcsolatban május 11-én jutott ideiglenes megállapodásra az Európa Tanács és az Európai Parlament. Ennek folyománya, hogy a DORA-javaslatok hivatalos elfogadását követően minden uniós tagállamnak törvénybe kell iktatnia a benne foglaltakat.

Az illetékes Európai Felügyeleti Hatóságok (ESA) feladata a műszaki szabványok kidolgozása. Ezt követően állhat majd élesbe a rendszer. A várakozások szerint erre a 2024-ben kerül sor, egy egyelőre pontosabban meg nem határozott időpontban.

Bővül az érintettek köre

Lássuk kicsit részletesebben, mire fókuszál a DORA! Fő célja, hogy a pénzügyi rendszer minden szereplőjének könnyen elérhető útmutatókat biztosítson a kibertámadások és más kockázatok elkerüléséhez. A törvény - beiktatása után - megköveteli az érintettektől, hogy gondoskodjanak arról: szervezetük ellenáll az infokommunikációs fenyegetéseknek.

A DORA a pénzügyi intézmények lehető legszélesebb spektrumát igyekszik lefedni. Hatálya alá esnek a hitelintézetek, a pénzforgalmi intézmények, az e-pénzintézetek, a befektetési vállalkozások, a kriptoeszköz-szolgáltatók, a központi értéktárak, az alternatív befektetési alapok kezelői, az ÁÉKBV-kezelő társaságok, a kritikus referenciamutató-kezelők és a közösségi finanszírozási szolgáltatók egyaránt. Természetesen a fintech cégekre is vonatkozik a szabályozás; a fintech vállalkozások megfelelőségéért a velük kapcsolatban álló pénzügyi szervezetek is felelősek lesznek.

Számos, korábban ennyire direkt infokommunikációs szabályzás által nem érintett cég szintén a tervezet célkeresztjébe kerül. Annyira, hogy nem csak a szigorúan vett pénzügyi szférának készül a DORA. A tervezettel bemutatkozik egy, kifejezetten a külső beszállítók – mint amilyenek például a felhőszolgáltatók – számára készülő felügyeleti keretrendszer is.

Végül érdemes megemlíteni, hogy átláthatóbb, egyértelműbb törvényi szabályozást hoz a DORA magával. Az érintettek terhelésének minimalizálása érdekében a megfeleléshez köthető adminisztrációs és pénzügyi terhek is alacsonyak lesznek.