Jakab Péterrel, az MKB Bank bankbiztonságért felelős ügyvezető igazgatójával és a Magyar Bankszövetség Bankbiztonsági Bizottságának vezetőjével beszélgettünk a pénzintézeti csalások természetrajzáról, illetve az ellenük való védekezés lehetőségeiről.
A sorozat korábbi részeiben sorrendben a pénzintézeti csalás fogalma, megtörtént csalási esetek, védekezési módszerek, informatikai eszközök a védekezésben , arányos védelem volt a téma
A csalások minden bankot egyformán érintenek. Mekkora az együttműködés, az információcsere közöttük? Vagy inkább mindenki titkolózik és csendben örül a másik kárának?
Az együttműködésben természetesen nem a konkrét esetek megosztása az érdekes, hanem az eljárástípusokkal, az újfajta csalásokkal kapcsolatos információk. Bankszövetségen belül is vannak rendszeres konzultációk, kimondottan a csalásokkal foglalkozó munkabizottságok, ahol ki tudjuk cserélni a tapasztalatainkat. És talán hihetetlenül hangzik, de ezen a téren nincs konkurenciaharc, nem örülünk a másik kudarcának, hanem inkább a "ma neked, holnap nekem" alapján segítjük a másikat.
Korábban már szó volt a nyilvánosságról. Azt közzéteszik-e, hogy milyen védelmek vannak a bankban?
Azt természetesen nem, hogy ne lehessen felkészülni a kikerülésükre. A titkolózásnak gyakorlati haszna van: vagy alá- vagy fölébecsülik a bankbiztonság képességeit. Mindkettő jó nekünk: előbbi esetben óvatlan lesz az elkövető, és könnyen nyakon csípjük, az utóbbi esetben pedig egyszerűen visszatartjuk a jogsértő cselekedettől.
De sokszor nem is kell konkrét védelmi intézkedés, elég ha a dolgozókkal éreztetjük, hogy dokumentált kontroll alatt van a tevékenységük. Az első Big Brother széria alatt a filmletöltéssel foglakozó dolgozók szinte teljesen lefoglalták a 4x8 megabájtos internetkapcsolatunkat. A naplóállományból derült ki, hogy mi az ok. Sok mindenre lett volna lehetőségünk technikailag, de mi azt választottuk, hogy a letöltésben legaktívabbnak mutatkozó hat kolléga főnökét értesítettük, hogy a beosztottjuk a múlt héten ennyi és ennyi gigabájt videót töltött le ebből a műfajból; biztos, hogy jól el tudja végezni a munkáját emellett? Az intézkedésről pedig (szigorúan név nélkül) a bank minden egyes dolgozóját értesítettük. Másnap helyreállt a rend -- és nem kellett URL-eket blokkolni, korlátozni az internethozzáférést, szigorúbb szabályzatot írni vagy más kényszerítő eszközt alkalmazni. Egy kis pszichológia is megtette, nem kellett a technológia.
A bankbiztonsági vezető egy napja Ügyvezető igazgatói szintű vezetőként sajnos számtalan olyan feladatom és kötelezettségem van, ami a szakmától meglehetősen távol áll. Többféle banki vezetőtestületben kell képviselnem a bankbiztonságot, és ezen belül az információbiztonságot, beosztásomnál fogva elég sokat ülök megbeszéléseken -- a heti munkaidőm legalább 30 százaléka erre megy el. Feladataim közé tartozik sokféle belső szabályozás bankbiztonsági véleményezése, illetve a biztonsági szabályzatok megfogalmazása, beleértve a legmagasabb szintű Biztonságpolitika megalkotását. Mindezeken túl társadalmi megbízatásaim is vannak, mint például a Bankszövetség Bankbiztonsági Bizottságának vezetése. No és az elkerülhetetlen papírmunka, a projektek megtervezése, előrehaladásuk dokumentálása. Ennek megfelelően egy átlagos napom meglehetősen korán kezdődik és soká ér véget: fél hét körül rendszerint már bent vagyok, és hat-fél hét előtt nemigen megyek haza. De akkor már legalább gyorsan hazaérek. A munkám egyik legizgalmasabb részét a különleges, újszerű csalások felderítése jelenti, különösen, ha informatikai vonatkozásai is vannak -- bár a bank szempontjából jobb, ha nincs neki.
|
Egyes vélemények szerint az információbiztonság magyarországi helyzetének is jót tenne, ha kötelező jelleggel nyilvánosságra kellene hozni az ügyféladatokat is érintő biztonsági incidenseket. Mi erről a véleménye?
Nem hiszem, hogy a "tisztítótűz" valóban hozzájárulna ahhoz, hogy a vállalatok és szervezetek hatékonyabban védjék adataikat. Több gondom is van a felvetéssel. Először is, szerintem nem kellene ötleteket adni a wannabe hackereknek a konkrét incidensek részletes ismertetésével -- ez több kárt okozna, mint amennyi hasznot hajtana. Másodsorban arról sem vagyok meggyőződve, hogy a közvélemény a helyén tudja kezelni a biztonsági híreket. Szalagcímek harsogják világgá, hogy feltörték a chipkártyákat -- erre egy csomó banki ügyfél kezd idegeskedni, hogy akkor most használhatja-e a bankkártyáját, amiről azt mondták neki, hogy tök biztonságos? Mert csak az nem derül ki a hírből, hogy egy olyan kártyafajtát törtek fel, amelyet az Egyesült Királyságban használtak, nem dinamikus a kulcskiosztása, ma már sehol nem alkalmazzák és a ma legszélesebb körben alkalmazott chipkártyákat ezzel a módszerrel nem lehet feltörni. Azért ez messze nem jelenti azt, hogy a chipkártya ne lenne biztonságos!
Két okból is úgy gondolom, hogy ez pénzügyi területeken nem jó. A pénzintézetek pont olyan cégek, amelyek tényleg kifizetik az ügyfeleiket érő károkat. Másrészt pedig szerintem mindenki elhiheti, hogy a pénzintézetek képesek felfogni: nekik elemi érdekük az, hogy ilyesmi ne történhessen meg, és ha mégis véletlenül megtörténik, akkor azt az ügyfelek és a biztonság oldaláról is korrektül kezeljék. Egyszerűen azért, mert ebben érdekeltek, és még pénzük is van rá. És abban is biztosak lehetünk, hogy az IT-biztonságot tekintve a bankok, pénzintézetek messze a többi gazdasági szereplő átlaga felett állnak.
Egy hónap múlva jelentkezünk (március 14-i héten várhatóan) a sorozat következő részével, egy kicsit más jellegű beszélgetéssel...
