Alex
Fejlesztések során a legsebezhetőbbek a bankok
A gyorsabb átutalási rendszerre történő áttérés miatt sok új informatikai fejlesztést végeznek a bankok, melyek megnövelik az adatszivárgás veszélyét. A kockázatokat teljesen megszüntetni lehetetlen.
Az MNB új rendelete alapján a hazai pénzintézeteknek 2012 júliusától át kell térniük a napon belüli átutalási rendszerre. A vélhetően mind a lakossági ügyfelek, mind az üzleti élet szereplői által régóta áhított változás a pénzügyi szektortól komoly informatikai fejlesztéseket kíván meg. Az MTA székházában egy szakmai beszélgetésen hívták fel a pénzügyi szektor informatikai vezetőinek figyelmét a fejlesztési projektek sebezhetőségére, illetve az ilyenkor fokozott veszélyt jelentő kockázati tényezők - mint például az adatszivárgás - megelőzésének lehetséges módjaira.
A Magyar Nemzeti Bank 2010. október 13-án bejelentett rendelete értelmében 2012. július 1-jétől a belföldi bankközi forintátutalások időtartama 1 napról 4 órára rövidül. A banki-pénzügyi szektorban ennek kapcsán komoly informatikai fejlesztések várhatók, hogy rendszereik minden szempontból megfeleljenek az új elvárásoknak, ezáltal ügyfeleik igényeinek is. Mivel az információ koncentráltsága és értéke is rohamosan nő, a várható fejlesztéseknél nem szorulhatnak háttérbe a biztonsági szempontok sem, hiszen a pénzügyi szektor már napjainkban is az internetes bűnözők kedvelt célpontja. Ezt az erősödő tendenciát pedig csak segíti az, hogy a cégek egyre több elektronikus szolgáltatást vezetnek be, amelyek a támadási felületek számát is növelik.
"Egy bankban szinte minden adat védendő" - mondta el a szakmai beszélgetésen Jakab Péter, a Magyar Bankszövetség Bankbiztonsági Munkabizottságának vezetője, az MKB Bank bankbiztonsági ügyvezető igazgatója. "A tapasztalatok azt mutatják, hogy a bizalmas információk, például pénzügyi, stratégiai adatok, az esetek többségében a vállalati hálózatból a saját munkavállalók által, különböző csatornákon keresztül kerülnek ki. Ilyen csatornák lehetnek a népszerű webes e-mail rendszerek, az azonnali üzenetküldő szoftverek, a webes feltöltő oldalak, vagy akár a szabványos kimenő levelek ismeretlen adattartalma is, mert ez utóbbi akár bizalmas, minősített adat is lehet."
A bankok, a biztosítók, a takarékszövetkezetek és más pénzügyi intézmények által kezelt hatalmas adatállomány és üzleti információk - például államtitkok, bank- és értékpapír titkok, ügyfelek adatai - megszerzéséhez egyre komolyabb érdekek fűződnek, ma már nem ritka a szervezett bűnözés felbukkanása sem az ilyen támadások hátterében.
Talán még nagyobb problémát jelent azonban a nem szándékolt, azaz figyelmetlenség, tudatlanság, hanyagság, a minőségbiztosítás hiánya vagy nem kielégítő volta miatt bekövetkező hibák által okozott adatszivárgás, az information disclosure vagy információ kitakarás. A különböző üzleti dokumentumok ellenőrizetlen meta-adatai, a vállalatok által publikált üzleti jelentések, statisztikák, az internetes rendszerek nem megfelelően kontrollált hibaüzenetei mind, mind tárházát jelentik az emberi erőforrásokkal vagy automatizált robothálózatokkal végzett támadásokhoz szükséges információknak. Ehhez a körhöz tartozik a hacker támadások egyik legkedveltebb fegyvere, a Social Engineering is, amelynek segítségével igen könnyen lehet megszerezni meghatározó információkat egy vállalat rendszereinek feltöréséhez.
"Napjaink egyre intelligensebb mobil eszközei és az internetes kommunikációs csatornák új, mindent elsöprő divatja további nagy kockázati tényezőt jelent az adatszivárgás területén" - hívta fel a figyelmet a modern kommunikációs szokások veszélyeire Frész Ferenc, a KÜRT Zrt. stratégiai üzletág-fejlesztési vezetője. Az információbiztonság megfelelő szintje a jövőben a vállalatok sikerének mércéje is lehet, hiszen az adatok megőrzésének képessége az ügyfél bizalmát is növeli. A KÜRT szakembere arról is beszélt, hogy a pénzügyi vállalatok közelgő, jelentős IT-fejlesztési projektjei megnövelhetik a rendszerek sebezhetőségét. Ennek oka a minőségbiztosítási hiányosságok mellett az, hogy a fejlesztés során alkalmazott rendszerek kevésbé védettek, mint az üzleti folyamatokat kiszolgáló informatika, ugyanakkor gyakran éles adatokkal történik a tesztelés.
Az információbiztonság, azon belül is az adatszivárgás kezelése a rendszerek fejlesztésekor ezért különösen akut probléma, és gyakran háttérbe szorul a költséghatékonyság és a szoros határidők betartásának kényszere miatt. Jelen esetben is, a pénzintézeteknek 2011 novemberében már tesztelni kell majd az új informatikai megoldásokat. Ez a probléma jelenti napjaink egyik legégetőbb kérdését - nem csak a pénzügyi szektor, de minden, bizalmas adatokat kezelő vállalat számára. A technológiai megoldások nem elegendőek, mellette számos egyéb védelmi intézkedés szükséges a fenyegetettségek kellő mértékű csillapításához. A csillapítás szó itt kiemelt jelentőségű, hiszen a kockázatokat teljesen megszüntetni lehetetlen, csakis az elfogadható, kockázatarányos mértékűre csökkentésük valósítható meg reálisan.
"A szükséges védelmi intézkedések mindegyikére jellemző, hogy nem egyedi akcióként, hanem folyamatos, menedzsment jellegű tevékenységként kell őket beilleszteni a szervezetek mindennapi életébe. Ilyen feladatok a sérülékenység-menedzsment, a felhasználók információbiztonsági tudatosságának menedzselése (oktatások, tréningek), a log-menedzsment és természetesen a jogosultsági, azonosítási rendszerek és az adatvagyon menedzsmentje" - mondta a pénzügyi szféra IT vezetőinek tartott szakmai fórumon Frész Ferenc.
Az MNB új rendelete alapján a hazai pénzintézeteknek 2012 júliusától át kell térniük a napon belüli átutalási rendszerre. A vélhetően mind a lakossági ügyfelek, mind az üzleti élet szereplői által régóta áhított változás a pénzügyi szektortól komoly informatikai fejlesztéseket kíván meg. Az MTA székházában egy szakmai beszélgetésen hívták fel a pénzügyi szektor informatikai vezetőinek figyelmét a fejlesztési projektek sebezhetőségére, illetve az ilyenkor fokozott veszélyt jelentő kockázati tényezők - mint például az adatszivárgás - megelőzésének lehetséges módjaira.
A Magyar Nemzeti Bank 2010. október 13-án bejelentett rendelete értelmében 2012. július 1-jétől a belföldi bankközi forintátutalások időtartama 1 napról 4 órára rövidül. A banki-pénzügyi szektorban ennek kapcsán komoly informatikai fejlesztések várhatók, hogy rendszereik minden szempontból megfeleljenek az új elvárásoknak, ezáltal ügyfeleik igényeinek is. Mivel az információ koncentráltsága és értéke is rohamosan nő, a várható fejlesztéseknél nem szorulhatnak háttérbe a biztonsági szempontok sem, hiszen a pénzügyi szektor már napjainkban is az internetes bűnözők kedvelt célpontja. Ezt az erősödő tendenciát pedig csak segíti az, hogy a cégek egyre több elektronikus szolgáltatást vezetnek be, amelyek a támadási felületek számát is növelik.
"Egy bankban szinte minden adat védendő" - mondta el a szakmai beszélgetésen Jakab Péter, a Magyar Bankszövetség Bankbiztonsági Munkabizottságának vezetője, az MKB Bank bankbiztonsági ügyvezető igazgatója. "A tapasztalatok azt mutatják, hogy a bizalmas információk, például pénzügyi, stratégiai adatok, az esetek többségében a vállalati hálózatból a saját munkavállalók által, különböző csatornákon keresztül kerülnek ki. Ilyen csatornák lehetnek a népszerű webes e-mail rendszerek, az azonnali üzenetküldő szoftverek, a webes feltöltő oldalak, vagy akár a szabványos kimenő levelek ismeretlen adattartalma is, mert ez utóbbi akár bizalmas, minősített adat is lehet."
A bankok, a biztosítók, a takarékszövetkezetek és más pénzügyi intézmények által kezelt hatalmas adatállomány és üzleti információk - például államtitkok, bank- és értékpapír titkok, ügyfelek adatai - megszerzéséhez egyre komolyabb érdekek fűződnek, ma már nem ritka a szervezett bűnözés felbukkanása sem az ilyen támadások hátterében.
Talán még nagyobb problémát jelent azonban a nem szándékolt, azaz figyelmetlenség, tudatlanság, hanyagság, a minőségbiztosítás hiánya vagy nem kielégítő volta miatt bekövetkező hibák által okozott adatszivárgás, az information disclosure vagy információ kitakarás. A különböző üzleti dokumentumok ellenőrizetlen meta-adatai, a vállalatok által publikált üzleti jelentések, statisztikák, az internetes rendszerek nem megfelelően kontrollált hibaüzenetei mind, mind tárházát jelentik az emberi erőforrásokkal vagy automatizált robothálózatokkal végzett támadásokhoz szükséges információknak. Ehhez a körhöz tartozik a hacker támadások egyik legkedveltebb fegyvere, a Social Engineering is, amelynek segítségével igen könnyen lehet megszerezni meghatározó információkat egy vállalat rendszereinek feltöréséhez.
"Napjaink egyre intelligensebb mobil eszközei és az internetes kommunikációs csatornák új, mindent elsöprő divatja további nagy kockázati tényezőt jelent az adatszivárgás területén" - hívta fel a figyelmet a modern kommunikációs szokások veszélyeire Frész Ferenc, a KÜRT Zrt. stratégiai üzletág-fejlesztési vezetője. Az információbiztonság megfelelő szintje a jövőben a vállalatok sikerének mércéje is lehet, hiszen az adatok megőrzésének képessége az ügyfél bizalmát is növeli. A KÜRT szakembere arról is beszélt, hogy a pénzügyi vállalatok közelgő, jelentős IT-fejlesztési projektjei megnövelhetik a rendszerek sebezhetőségét. Ennek oka a minőségbiztosítási hiányosságok mellett az, hogy a fejlesztés során alkalmazott rendszerek kevésbé védettek, mint az üzleti folyamatokat kiszolgáló informatika, ugyanakkor gyakran éles adatokkal történik a tesztelés.
Az információbiztonság, azon belül is az adatszivárgás kezelése a rendszerek fejlesztésekor ezért különösen akut probléma, és gyakran háttérbe szorul a költséghatékonyság és a szoros határidők betartásának kényszere miatt. Jelen esetben is, a pénzintézeteknek 2011 novemberében már tesztelni kell majd az új informatikai megoldásokat. Ez a probléma jelenti napjaink egyik legégetőbb kérdését - nem csak a pénzügyi szektor, de minden, bizalmas adatokat kezelő vállalat számára. A technológiai megoldások nem elegendőek, mellette számos egyéb védelmi intézkedés szükséges a fenyegetettségek kellő mértékű csillapításához. A csillapítás szó itt kiemelt jelentőségű, hiszen a kockázatokat teljesen megszüntetni lehetetlen, csakis az elfogadható, kockázatarányos mértékűre csökkentésük valósítható meg reálisan.
"A szükséges védelmi intézkedések mindegyikére jellemző, hogy nem egyedi akcióként, hanem folyamatos, menedzsment jellegű tevékenységként kell őket beilleszteni a szervezetek mindennapi életébe. Ilyen feladatok a sérülékenység-menedzsment, a felhasználók információbiztonsági tudatosságának menedzselése (oktatások, tréningek), a log-menedzsment és természetesen a jogosultsági, azonosítási rendszerek és az adatvagyon menedzsmentje" - mondta a pénzügyi szféra IT vezetőinek tartott szakmai fórumon Frész Ferenc.