Informatikai biztonsági képzések a BIB szervezésében

„Vigyázni az emberek adataira, pénzére szerintem nagyon jó hivatás.”

 

Soron következő interjú epizódunkat az információbiztonság témakörének szenteljük. Egy markáns tapasztalati háttérrel rendelkező szakértő kalauzol el minket a hazai informatikai felügyelet és felügyelés lényegének megismeréséhez, a Magyar Nemzeti Bank felügyeleti elvárásainak miértjeihez. Aktuális helyzetképpel is gazdagodni fogunk a beszélgetés folyamán, illetve a közeljövő feladatait, kihívásait is érintjük majd. Végül megkérjük beszélgetőpartnerünket, hogy fogalmazzon meg egyfajta kulcsüzenetet a felügyelt intézmények számára. Izgalmas percek következnek.

 

Vendégünk Biró Gabriella, a Magyar Nemzeti Bank Informatikai Felügyeleti Főosztályának vezetője. Gabriella, köszönjük, hogy meglátogattál bennünket. Első lépésként ugorjunk vissza a kezdetekhez, és mesélj nekünk pár mondatban a személyes motivációidról. Mi volt az az első impulzus életpályádon, ami az IT biztonság témaköre felé fordított Téged? Mi az aspirációd ezen a téren, kifejtenéd ezt bővebben számunkra?

Egészen kicsi koromtól IT-val akartam foglalkozni, de az egyetemi tanulmányaim alatt találkoztam az IT biztonsággal és nagyon megtetszett. Szeretem azt, hogy mindig van fejlődés, mindig vannak új dolgok, új technológiák, új elméleti megközelítések. Az is fontos számomra, hogy valami olyat csinálok, ami hasznos, aminek van értelme, célja. Vigyázni az emberek adataira, pénzére szerintem nagyon jó hivatás.

 

 

Az emberek adataira és pénzére vigyázni valóban egy felelősségteljes, ugyanakkor tiszteletreméltó és elkötelezettséget követelő feladat. Ássunk most kicsit mélyebbre a szakterületeden. Mit jelent a hazai pénzintézeti szektor számára a Magyar Nemzeti Bank Informatikai Felügyeleti működése? Mit és hogyan fog össze a Felügyelet ezen jellegű tevékenysége, hatásköre keretében?

A Magyar Nemzeti Bank Informatikai Felügyeleti Főosztály egy nagy múltú, komoly szakmai alapokon nyugvó csapat. A szabályozási környezet állandó és következetes, ami nagyon fontos, mert stabil kereteket ad a több éven átívelő IT fejlesztéseknek is. Ha ma Magyarországon valaki engedélyköteles pénzügyi tevékenységet folytat, akkor ki lehet indulni abból, hogy átment egy szigorú engedélyezési eljáráson, ahol megvizsgáltuk, hogy adottak-e a működésének IT feltételei. Emellett szabályozási és felügyelési tevékenységet is végzünk, azaz ellenőrizzük a már működő intézményeket.

 

 

Ezek szerint a főosztály feladat- és hatásköre igencsak széleskörű. Megosztanád általános tapasztalataidat a felügyelt intézmények megfelelési képességéről, hajlandóságáról és az egyes ajánlások általuk való gyakorlati alkalmazásáról? Van-e olyan aspektus, amelyben igény lenne még fejlődésre?

A döntő többség próbál megfelelni az MNB elvárásainak. Azt IT ajánlásokkal kapcsolatban az a tapasztatalom, hogy a szakembereket általában könnyű meggyőzni, hamar megértik, hogy mire miért van szükség. Az egy másik kérdés, hogy a megfeleléshez megkapják-e a kellő támogatást a menedzsment részéről, vagy az IT mellett az üzlet ötleteinek megvalósítása viszi el az erőforrásokat. Ugyanakkor mi is próbálunk gyakorlatias ajánlásokat megfogalmazni. A többségünk dolgozott a “túloldalon” és eléggé empatikusak, ámde szigorúak vagyunk. Fejlődésre mindig van igény és lehetőség, de összességében jó a helyzet.

 

 

Beszéljünk most a közelmúltbeli és jelenlegi kihívásokról, kiberbiztonsági, IT biztonsági jellegű helyzetképről röviden. Mi a meglátásod az ajánlások átültetésével, a követelményeknek való megfeleléssel kapcsolatban?

Ahogy egyre jobban függünk az IT megoldásoktól, egyre több dolgot intézünk online, egyre több adatunk van informatikai rendszerekben, úgy egyre nagyobb a támadási felület és egyre összetettebb kiberbiztonsági kérdéseket kell megválaszolnia a szakértőknek. Ezért aztán mindig, minden évben el lehet mondani, hogy egyre több fenyegetés, egyre több kihívás jelentkezik az IT biztonság területén. Éppen ezért ugyan az MNB ajánlásai szigorúnak számítanak, de az összes többi szabályozó is közelít már ehhez a szinthez, például EU-s szinten a most formálódó a DORA rendelet is erre példa. Pont azért, mert az MNB elvárások már nem újak, a magyar pénzintézetek és a pénzintézetekben dolgozó szakemberek többsége is jól ismeri az elvárásrendszert, de mi is nagyon nyitottak vagyunk a kérdések megválaszolására, illetve elég sok oktatást is tartunk. Így viszont, ha valaki nem felel meg az elvárásoknak, akkor ott többnyire nem arról van szó, hogy nem érti.

 

 

Akkor elmondható, hogy a lehetőség teljes mértékben adott, és a cél egy, szükség esetén valós, kétoldalú kommunikáció megteremtése és fenntartása a mindenkori megfelelés érdekében. Megnyugtató, hogy a felügyelt intézmények ténylegesen fordulhatnak Hozzátok kérdéseikkel. Milyennek látod a piaci szereplők működési sémáit felügyeleti szemszögből? Adottak-e a működés IT feltételei a piaci szereplők körében? Statikus elvárási rendszer, vagy folyamatos változások jellemzik a megfelelési pontokat?

Érdekes módon az új szereplők, a fintech cégek olykor könnyebben megfelelnek az IT követelményeknek, mint a hagyományos pénzintézetek, mivel jobban értik a technológiai elvárásokat és nem cipelnek magukkal olyan technológiai örökségeket, ami megnehezítené a helyzetüket. Aki engedélyhez kötött tevékenységet végez, az egyszer már az engedélyezési eljárás során bemutatta, hogy tudja teljesíteni az IT követelményeket, viszont mindig jönnek új technológiák és új feladatok, ezért sosem lehet hátra dőlni. Például 5 évvel ezelőtt még nem volt annyira mindennapi dolog az online számlanyitás, mint most. Az is változik, hogy éppen minek hívjuk ugyanazt: számítástechnikai, informatika, IT, … Ugyanakkor az IT biztonság alapelvei meglepően időtállónak bizonyultak, bár mostanában nagyon gyakran kiberbiztonságnak nevezzük ezeket.

 

 

Ezek szerint egy valami állandó, méghozzá a folyamatos változás. Ugyanakkor, kicsit előrevetítve a következő kérdést, egy konzisztens, egységes követelményrendszer is vezérfonalként szolgál. Véleményed szerint melyek a jövő, a közeljövő feladatai, kihívásai? Mire számítasz, mit gondolsz, mik lehetnek a főbb irányok, gondolunk itt az egyes ajánlásokra, trendekre, tendenciákra?

Egészen biztos, hogy a pandémia által felgyorsított digitalizáció velünk marad, az online ügyintézés támogatása és a papírmentesség, a hiteles digitális dokumentumok előállítása egyre gyakoribb feladat lesz. A szabályozásban már évek óta látszik az a tendencia, hogy egyre többen ismerik fel a kiberbiztonság és az IT témák fontosságát, egyre több ilyen témájú rendelet, ajánlás születik. Lassan viszont elérkezünk a konszolidáció időszakához, amikor már a meglévő szabályozások összehangolása, a szinergiák megtalálása lesz a cél. Remélem, hogy ez az MNB tapasztalatának felértékelődését is jelenti, mivel mi már 20 éve egységes követelményrendszert alkalmazunk a különböző intézmény típusokra IT szempontból.

 

 

Az összehangolási folyamatok, a szinergiák megtalálása valamennyi érintett számára közös cél. Nem fogtok unatkozni, abban biztosak lehetünk. Tudnál-e előrevetíteni olyan aspektust, például az ajánlásokat, a jelenlegi követelményrendszereket illetően, amelynek keretében számítani lehet, és kell, a közeljövőben változásokra?

A legnagyobb változás a DORA rendelet közzététele lesz, viszont utána hozzá kell majd nyúlnunk a saját, MNB-s szabályozóeszközeinkhez is. Már van egy listánk, vannak terveink azzal kapcsolatban, hogy min fogunk változtatni. Ami viszont még idén várható: az elektronikus írásbeli jognyilatkozatokra vonatkozó vezetői körlevelünket átalakítjuk, kibővítjük és ajánlás formában fogjuk kiadni.

 

 

BIB-es képzéseink révén az érintett intézmények hozzájuthatnak első kézből a mindenkori aktualitásokhoz, és gyakorlati útmutatóval is gazdagodhatnak a résztvevők. Ezzel kapcsolatban is számíthatunk arra, hogy képzések keretében bemutatjátok a változásokat?

Igen, természetesen, készülünk valamennyi vonalon az információknak akár konzultációs formában, akár kurzusok keretében való megosztására. Érdekünk az ajánlásoknak való megfelelés támogatása is, és ebben nyitottak vagyunk, folyamatosan aktualizáljuk a kurzusok tematikáját a fejlemények tükrében, mindig naprakész információkat osztunk meg.

 

 

Összegzésképpen, mi lenne a kulcsüzeneted a felügyelt intézmények számára?

A legfontosabb, hogy alakítsanak ki élő kapcsolatot a felügyelettel. Vegyenek részt az oktatásainkon, kérdezzenek, jöjjenek konzultálni! Mindenkinek jobb, ha konstruktívan együtt tudunk működni és jó, biztonságos megoldások születnek.

 

 

Ezzel az üzenettel zárjuk interjúnkat, köszönjük szépen Biró Gabriellának, az Informatikai Felügyeleti Főosztály vezetőjének a beszélgetést, rendkívül hasznos információkkal gazdagodhattunk. Sok sikert kívánunk a további munkádban, és köszönjük, hogy vigyáztok az emberek adataira és pénzére.

 

Beszélgetésünk videó formátumban is elérhető youtube csatornánkon, hallgassanak bele:

Interjú Biró Gabriellával, az MNB Informatikai Felügyeleti Főosztályának vezetőjével

 

Kapcsolódó kurzusaink:

Kiberbiztonsági ellenállóképesség – 360 fokos nézet

Informatikai rendszerek védelme a 8/2020 (VI.22.) MNB ajánlás szerint

Távmunka és távoli hozzáférés a 12/2020.(XI.6.) MNB ajánlás szerint

Felhőszolgáltatók igénybevétele a 4/2019 (IV.1.) MNB ajánlás szerint