cloud

Elemzések

Az EBA felhőszolgáltatásokra vonatkozó iránymutatása

Mire kell ügyelni szabályozói (kiszervezési) és kiberbiztonsági szempontból?

Az Európai Bankhatóság (EBA) 2017 decemberében közzétette a pénzintézetekre érvényes, felhőszolgáltatások igénybevételére vonatkozó véglegesített iránymutatását.

Az EBA javaslatai az alábbi öt kiemelt területre vonatkozóan fogalmaznak meg uniós szintű felügyeleti elvárásokat azokkal a pénzintézetekkel szemben, amelyek felhőszolgáltatásokat vennének igénybe:

  • Adatbiztonság és rendszerek
  • Adattárolás helye, adatfeldolgozás
  • Hozzáférési és ellenőrzési jogosultságok
  • Kiszervezett tevékenységek további kiszervezése
  • Rendkívüli intézkedési tervek és kilépési stratégiák

A javaslatok 2018. július 1-jével lépnek életbe, és illeszkednek az EBA fintech cégekre vonatkozó általános koncepciójába, hiszen a felhőszolgáltatások fontos és hatékonyságnövelő technológiai megoldások, amelyek segítségével a pénzintézetek innovatív pénzügyi termékeket és szolgáltatásokat tudnak kínálni.

A javaslatok az ilyen jellegű kiszervezési tevékenységre vonatkozó felügyeleti elvárások figyelembevételével kerültek megfogalmazásra, és lehetővé teszik a pénzintézetek számára, hogy úgy aknázzák ki a felhőszolgáltatásokban rejlő lehetőségeket, hogy közben a kockázatok megfelelő kezelését és a jogszabályoknak való megfelelést is biztosítsák.

A kiszervezésre vonatkozóan 2006 óta van érvényben egy általános irányelv, mégpedig az Európai Bankfelügyelők Bizottságának (CEBS) irányelve. A CEBS irányelve többek között olyan területeken nyújt iránymutatást, mint az adatok titkossága és a rendszerek rendelkezésre állása. Az EBA végleges iránymutatása az integritás és a nyomonkövethetőség iránti igényt szem előtt tartva készült, és meghatározza, hogy milyen biztonsági eljárásokat kell alkalmazni, ha egy pénzintézet felhőszolgáltatóknak szervez ki bizonyos tevékenységeket. A javaslatok célja a felhőszolgáltatások biztonsági szempontjaival kapcsolatos sokféle felügyeleti elvárás közötti összhang megteremtése.
 

A javaslatok középpontjában az érintettek által azonosított, felügyeleti szempontból összehangolásra, illetve pontosításra szoruló legfontosabb területek állnak. Az irányelv céljai a következők:

  • egyértelmű iránymutatással szolgálni a pénzintézetek számára arra az esetre, ha élvezni szeretnék a felhőszolgáltatások által biztosított előnyöket, miközben gondoskodnak a kockázatok megfelelő azonosításáról és kezeléséről is
  • a felügyeleti gyakorlat harmonizációjának elősegítése a felhőszolgáltatásokkal kapcsolatos elvárások és folyamatok tekintetében

A felhőszolgáltatások igénybevétele számos előnnyel jár (ilyen például a méretgazdaságosság, a rugalmasság, a működési hatékonyság növekedése és a költséghatékonyabb működés), ugyanakkor komoly kihívásokat is tartogatnak (többek között az adatvédelem és az adattárolás helye, a biztonsági kérdések és a koncentrációs kockázat szempontjából), nem csupán az egyes pénzintézetek szintjén, de iparági szinten is.

A publikus felhőalapú platformok előnyei ellenére az ilyen platformokkal kapcsolatos kiberbiztonsági aggályok sok céget elrettentenek attól, hogy tevékenységeik egyre nagyobb részét helyezzék át a felhőbe. A pénzintézetek már túlléptek azon a kérdésen, hogy vajon biztonságos-e a felhőalapú számítástechnika. Ma már aktuálisabb az a kérdés, hogy miként lehet biztonságosan igénybe venni a felhőszolgáltatásokat, hiszen a cégek által jelenleg alkalmazott biztonsági eljárások és architektúrák jelentős része adott esetben kevésbé működik hatékonyan a felhőben.

Érthető módon a cégek sokféle kontrollt próbálnak bevetni ezen a téren, és a fejlődés ütemét elnézve a kiberbiztonsági vezetők joggal reménykedhetnek abban, hogy ezek a kontrollok már az elkövetkező három évben is jelentős fejlődésen mehetnek át.

A felhőszolgáltatások térhódítása Magyarországon is megfigyelhető. A pénzügyi szolgáltatások területén végbemenő digitalizáció és innováció az illetékes felügyeleti és a szabályozó hatóságok számára egyaránt komoly aggodalomra ad okot. A rendkívüli intézkedési tervek és a kilépési stratégiák fontos elemei a felhőszolgáltatásokon keresztül történő kiszervezésnek. Az EBA javaslatai iránymutatással szolgálnak a pénzintézetek számára minden olyan, a rendkívüli intézkedési tervekkel és a kilépési stratégiákkal kapcsolatos szerződéses konstrukció és szervezeti megoldás tekintetében, amelyet a felhőszolgáltatásokon keresztül történő kiszervezés esetében alkalmazni célszerű.
 

Miben tudunk segíteni?

Napjainkban a hálózati erőforrások védelméhez nem elég csupán a peremterületek biztonságára ügyelni – már sokkal inkább az ún. mélységi védelem biztosítása jelenti a kihívást a cégek számára. A támadások gyakorisága és kifinomultsága látványosan megnőtt az elmúlt néhány év során, ugyanakkor a támadások sikeres végrehajtásához már nem szükséges olyan szintű szakértelem, mint korábban. A cégeknek az infrastruktúrájuk és az alkalmazásaik védelme érdekében hatékonyan kell kezelniük a támadások kockázatát, ehhez pedig szakértők segítségére van szükségük. A Deloitte olyan szolgáltatásokat kínál, amelyek segítségével mérsékelhető a biztonsági incidensek kockázata:

  • Kiszervezéssel kapcsolatos előírások
    Segítséget nyújtunk a bankoknak az üzleti modelljük átalakításában a kiszervezésre vonatkozó aktuális ajánlások figyelembevételével
  • Sérülékenységi vizsgálat
    Az ügyfeleink rendszereiben észlelt biztonsági sérülékenységek által okozott kockázatok felmérése
  • Infrastruktúrák behatolási tesztelése
    Behatolási tesztek végrehajtása az ügyfél kritikus hálózati infrastruktúráját érő hackertámadásokat szimulálva
  • Alkalmazások behatolási tesztelése
    A vizsgálat célja az alkalmazások azon hibáinak azonosítása, amelyek növelik a jogosulatlan hozzáférés és tranzakciók valószínűségét
  • Etikus hackeri tevékenység
    Teljes körű információbiztonsági elemzés. Valósághű támadás, amely rendszerint az információbiztonság mindhárom, egymáshoz szorosan kapcsolódó elemére (a fizikai, a kiberbiztonsági és az emberi tényezőre) kiterjed
  • Konfigurációellenőrzés
    A szerverek konfigurációjának ellenőrzése a gyengeségek azonosítása érdekében
  • Alkalmazások biztonsági tesztelése (AST)
    Statikus alkalmazástesztelési technológiát alkalmazunk, amely lehetővé teszi ügyfeleink számára, hogy mindig egy lépéssel a fenyegetések előtt járjanak, és a hagyományos módszer ötszázalékos lefedettségével szemben a portfolió negyven százalékát lefedjük.
  • Menedzselt biztonsági monitorozás
    Ez a menedzselt szolgáltatás a nap 24 órájában gondoskodik ügyfeleink adatainak és informatikai rendszereinek monitorozásáról. Az ügyféllel együttműködve azonosítjuk a cég digitális eszközeit, majd felmérjük, hogy ezek az eszközök milyen kockázatoknak vannak kitéve, és gondoskodunk a fenyegetések kezeléséről.
  • Adathalászat felismerése
    Megtanítjuk ügyfeleink alkalmazottait, hogy miként azonosítsák az adathalász próbálkozásokat, és tudatosságra oktatjuk őket a biztonsági kérdésekben. Különféle forgatókönyveken keresztül megvizsgáljuk az alkalmazottak reakcióit az adathalász e-mailekre.
  • Fenyegetésekkel kapcsolatos hírszerzés és adatelemzés (TIA)
    Azonosítjuk a szervezeten kívül zajló, potenciálisan veszélyes eseményeket, és hasznos megállapításokat teszünk az ügyfél stratégiai és hírszerzési igényeit szem előtt tartva.
  • A közösségi média monitorozása és a kapcsolódó adatelemzés (SLA)
    Segítséget nyújtunk ügyfeleinknek abban, hogy a közösségi médiára ne csak reagáljanak, hanem aktívan alakítsák is azt: gondoskodjanak az adataik védelméről, kiaknázzák a kínálkozó lehetőségeket, illetve azonosítani tudják az ezekből a forrásokból eredő kockázatokat.
  • Játékosítási platform a kiberbiztonság javításáért (Hackazon)
    Ez a felhőalapú képzési platform a nap 24 órájában elérhető, és folyamatosan frissül. Ez az online kurzus a játékosítás eszközével segít az alkalmazottak kiberbiztonsági ismereteinek gyarapításában. A tematika minden esetben az ügyfél igényeinek megfelelően alakítható.
  • Felhőalapú védelem DDoS támadások ellen
    WAF védelem és felhőalapú védelem DDoS támadások ellen infrastruktúrák, weboldalak és DNS-szerverek számára.
  • DDoS támadások szimulációja
    DDoS támadások szimulációjával a védelem megfelelőségének ellenőrzése, és az azonosított hiányosságok elemzése.
  • Kiberbiztonsági incidensek kezelése
    A megfelelő szakemberek, módszerek és technológiai megoldások segítségével hatékony jelentéstételi megoldásokat alkalmazunk, elemezzük a megtámadott rendszereket, és segítséget nyújtunk a veszélyben lévő adatok prioritási sorrendjének felállításában.
  • Kiberbiztonsági forensic szolgáltatások
    A globális korrupcióból, peres ügyekből, csalásokból, pénzügyi visszaélésekből és egyéb fenyegetésekből eredő kockázatok és sérülékenységek azonosítása, felmérése és kezelése.
  • Kiberbiztonsági Akadémia
    Online, illetve helyszíni szakmai képzéseket és oktatásokat tartunk ügyfeleink és szakértőink részére a Kiberbiztonsági Akadémia EMEA-régióra kiterjedő dedikált online platformján. A platform a nap 24 órájában elérhető.
  • Kiberbiztonsági kockázatok kezelése és compliance tevékenység
    A kiberbiztonsági kockázatok kezelése és a compliance tevékenység területén szerzett széleskörű tapasztalatunknak köszönhetően segítséget tudunk nyújtani ügyfeleinknek a kiberbiztonsági kockázatok kezelésére szolgáló testreszabott rendszerek kialakításában, kiberbiztonsági kontrollrendszerek megtervezésében és megvalósításában, valamint a kiberbiztonsági előírásoknak való megfelelés biztosításában.
     
Hasznosnak találta?