fbpx
+36 1 781 4842 info@fortix.hu

Az adathalászat veszélyei

Az adathalászat veszélyei

Hogyan védjük meg magunkat?

A cikk megjelenésének szakmai támogatója a CyberCamp
Magyarország első széles körben elérhető junior kiberbiztonsági szakember képzése, amelyen az adathalászat elleni védekezés alapjai is megtanulhatók.
www.cybercamp.hu

junior kiberbiztonsági szakember képzés

Az adathalászat és az emberi tényező

Az adathalászattal már régóta együtt élünk. Emlékszem az első ilyen típusú támadásra.  Az e-mail, amit a csalók küldtek nagyon magyartalan és érthetetlen volt. Természetesen a levélben volt egy link, ami egy adathalász oldalra vitt. A szövegezése inkább vicces volt, mint fenyegető, nem is lehetett igazán komolyan venni. A levélnek a tárgy részét és a benne lévő tartalmat Google fordítóval fordították le.

Azóta sok minden változott az adathalászat során, de egy dolog továbbra is megmaradt, még pedig az, hogy a csalók az emberek hiszékenységét, jóindulatát használják ki arra, hogy kicsalják a pénzüket. Hiszen ha belegondolunk, akkor csak is mi vagyunk azok, akik ráklikkelünk egy linkre, megadjuk az adatainkat, vagy engedjük hogy feltelepítsenek valamilyen programot az eszközünkre, stb. Azért, mert elhisszük azt, amit olvasunk vagy hallunk, azon egyszerű ok miatt, mert figyelmetlenek vagyunk.

Az adathalászat fejlődése

Természetesen nem csak a kontrolkörnyezet változott meg, hanem sajnos a támadások minősége is. Jobbnál jobbak lettek és már nem csak e-mailekről beszélünk hanem, sms, google kereső, telefonos hívások azok, amelyekkel próbálkoznak.

Sajnos, ahogy nő a próbálkozások száma, úgy nő a veszteség is, amit sikerül elvinni az ügyfelek számláiról. Ezt az elméletet az MNB is alátámasztotta. A diagramon látszik, hogy évről évre nagyobb a veszteség.

bankkártya és átutalási csalások által okozott kárérték magyarországon

Az adathalászat két nagy terület ellen irányul:

1,    Bankkártya

2,    Utalási megbízás (internetbank, mobilapplikáció)

2019-előtt az adathalász támadások nagyon nagy része a bankkártya adatok megszerzéséért folyt, ezt mutatja a táblázat is.

Éppen ezért a fő cél a bankkártya, pontosabban a bankkártyán lévő adatok megszerzése. (Bankkártyaszám, lejárati dátum, CVC, vagy CVV kód.) A csalók ezekkel az adatokkal éltek vissza és okoztak veszteséget.

Az elkövetett tranzakcióknak nagy része külföldi weboldalakon történő vásárlás volt. Ahogy nőt ezen tranzakciók száma, úgy nőtt a kontroll is ezeken a területeken. Rájöttek a bankok és az ügyfelek is, hogy fontos a kontroll, a tudatosság, a kommunikáció, mert csak úgy lehet megelőzni a csalásokat.

Felsorolok néhányat azokból a kontrollokból, amelyek bevezetésre kerültek.

  • Bankkártya napi összeg limit
  • Bankkártya napi darabszám limit
  • Mobilbank használata (sms értesítések)

A csalók egy idő után hiába szerezték meg ezeket az adatokat, nem érte meg nekik újabbnál újabb csalásokat kezdeményezni, mert egyre kisebb volt az az összeg, amit megnyertek, így más után néztek. Ez nem azt jelenti, hogy megszűnt az adathalászat a bankkártya adatok ellen, hanem hogy drasztikusan lecsökkentek az ilyen típusú tranzakciók darabszámban és összegben is.

bankkártyás és átutalásos csalások magyarországon

Ekkor jött be a számlás csalások kora, ami még mindig tart.

Az okok pedig egyszerűek:

  • egy sikeres tranzakcióval jóval több pénz elvihető a számláról, mint egy bankkártyás tranzakcióval
  • nem terméket visznek el, hanem pénzt
  • sok esetben magasabb limitek vannak a számlán, mint egy bankkártyán így nagyobb a nyeresége a csalóknak
  • az elektronikus csatornák megszerzésével az ügyfél teljes számlája felett átveszik a hatalmat (betétek, befektetések, látra szóló egyenleg)
  • az érintett ügyfelek kevésbé ismerték az ilyen elkövetési módot

Így ezek miatt a csalók most már kifejezetten, céltudatosan azokat az adatokat szeretnék megszerezni, amivel be tudnak lépni az internetbankba, a mobilapplikációba, hogy a számláinkon lévő pénzt elutalják.

Az okok pedig egyszerűek:

  • egy sikeres tranzakcióval jóval több pénz elvihető a számláról, mint egy bankkártyás tranzakcióval
  • nem terméket visznek el, hanem pénzt
  • sok esetben magasabb limitek vannak a számlán, mint egy bankkártyán így nagyobb a nyeresége a csalóknak
  • az elektronikus csatornák megszerzésével az ügyfél teljes számlája felett átveszik a hatalmat (betétek, befektetések, látra szóló egyenleg)
  • az érintett ügyfelek kevésbé ismerték az ilyen elkövetési módot

Így ezek miatt a csalók most már kifejezetten, céltudatosan azokat az adatokat szeretnék megszerezni, amivel be tudnak lépni az internetbankba, a mobilapplikációba, hogy a számláinkon lévő pénzt elutalják.

 Hogy megismerjük a csalók gondolkodását, és felismerjük időben az ilyen támadásokat, nézzük meg milyen típusai is vannak az adathalászatnak.

Az adathalászat típusai

 E-mail Phishing:

A csalók megírják az e-mailt, benne egy linkkel, ami egy adathalász oldalra mutat. Ezen az oldalon próbálják megszerezni az érzékeny adatainkat.

Spear Phishing

Célzott adathalász támadás. A csalók egy célszemélyt választanak ki, akire rászabják az üzenetet. Ezekben az üzenetekben már találhatók olyan elemek, amelyekkel könnyebben felismerhető a támadás.

Smishing:

A csalók sms-t küldenek benne egy linkkel, ami egy adathalász oldalra mutat, és az oldalon próbálják megszerezni az érzékeny adatokat.  A „Jófogás”-os csalásoknál találkozhatunk ezzel az elkövetési móddal.

Whaling (bálnavadászat)

A csalók nagy cégek vezetőit próbálják lehalászni, mert ők hozzáférhetnek a cégek érzékeny adataihoz. A nevükben utasítják a cég alkalmazottait nagy összegű utalási megbízás könyvelésére. 

Hamisított weboldalak

A csalók bankok, szolgáltatók oldalait másolják le szinte tökéletesen azért, hogy a google keresőben ezek az oldalak elsőként jöjjenek fel találatként. Az ügyfelek ráklikkelnek a találatra, és máris egy hamis bank vagy szolgáltató oldalon találják magunkat.

Voice Phishing (Vishing)

Telefonon keresztüli adathalász támadás. A csalók telefonon próbálják lehalászni a pénzünket. A bankok nevében hívják fel az áldozatokat és meggyőzik őket, hogy adják meg az adataikat.  Nemrég az OTP Bank nevében történtek ilyen visszaélések.

Tech support csalás:

Távoli hozzáférést kérnek a csalók mindenféle ürügyre hivatkozva a célpont számítógépére. Ezt általában egy anydesk nevű programmal teszik meg, amit ha sikerül feltelepíteni, azon keresztül jutnak hozzá az érzékeny adatokhoz.

A csalástípusok után összeszedtük azokat az eseteket, amelyek alapján felismerhető az adathalászati támadás.

Gyanús feladó: A küldő neve kis mértékben eltér a valós feladó nevétől. A küldő pontos azonosításához be kell menni a levelező programba.

Eltérések a megszokott formai jegyekben: nem a megszokott formátumú a levél tartalma (megszólítás, szöveg, aláírás)

Nyelvtani vagy nyelvhelyességi problémák: magyartalan a levél (Google fordító), ami nyelvtani hibákat tartalmaz.

Azonnali reakciók: Azonnali döntésre kényszerítés, valamilyen váratlan nagy veszély, vagy  valamilyen jó lehetőségről való lemaradás miatt.

Bizalmas információk kérése: érzékeny adatokat kérnek az üzenetben, hívásban, amelyek megadásához ügyfélazonosítás szükséges. Pl: telefonos azonosító kód

Hogyan védekezhetünk az adathalász támadások ellen?

 

  • Ne add meg a bankkártyád adatait, internetbank, mobilapplikációd jelszavát, azonosítóját vagy egyszer használatos SMS-ben kapott kódját! A bank ugyanis sosem kéri el ezeket az információkat, ha ilyet kérnek tőled, biztos lehetsz benne, hogy csalóval van dolgod.
  • Ne kattints e-mailen, sms-ben vagy egyéb üzenetben érkező linkekre, mert azok szinte biztos, hogy hamis, az eredetire megtévesztésig hasonló weboldalra irányítanak át és az ott megadott adatokkal már az elkövetők szabadon rendelkeznek a számládon.
  • Amennyiben fel akarjuk keresni bankunk vagy szolgáltatóink honlapját, mert átutalást akarunk végrehajtani, online vásárolni, akkor ne az internetes keresőbe gépeljük be a bankunk honlapját, hanem közvetlenül a menüsorba.
  • Minden esetben legyél óvatos, tegyél fel kérdéseket, ha nem a megszokott módon folyik a telefonbeszélgetés vagy elbizonytalanodsz hívás közben.
  • Amennyiben ismeretlen eredetű alkalmazás letöltését kérik – bármilyen okból -, akkor szakítsd meg a hívást.
  • A bankok nem kérik az internet vagy mobilapplikációhoz szükséges belépési kódokat, jelszavakat vagy a kártyaadatokat (PIN, CVC). Ha ilyet kérnek, azonnal meg kell szakítani a hívást.
  • Ne utalj pénzt telefonon érkező kérésre! A bankok sosem kérnek ilyet.
  • Gyanús megkeresés esetén szakítsd meg a telefonhívást, majd hívd a bank ismert, a saját weboldalán publikált ügyfélszolgálati telefonszámát a hívás valódiságának ellenőrzéséhez.
  • Ne használd a visszaellenőrzéshez azt a telefonszámot, amit megkaptál a hívó féltől! A szám hamis lehet, vagy kifejezetten erre a célra hozták létre.
  • Mobilapplikációi alkalmazásban az ismeretlen kártyás vásárlásokat vagy átutalásokat, csak abban az esetben hagyd jóvá amennyiben azt te hajtottad végre.
  • Legyen beállítva mobilbank (sms szolgáltatás) szolgáltatás a számlás és a kártyás tranzakciókra, hogy időben észleld a jogosulatlan tranzakciókat.

Szerző: Csók Sándor

Iratkozzon fel hírlevelünkre!

    (*)

    Csalásmenedzsment: az MNB új ajánlása

    Csalásmenedzsment: az MNB új ajánlása

    Csalásmenedzsment: az MNB új ajánlása

    Megérkezett tavaly decemberben a CSALÁSMEGELŐZÉSRE, CSALÁSMENEDZSMENTRE vonatkozó új MNB ajánlás!

    A Magyar Nemzeti Bank 12/2022. (VIII.11.) számú ajánlása a belső védelmi vonalak kialakításáról és működtetéséről, a pénzügyi szervezetek irányítási és kontroll funkcióiról

    A 12/2022-es MNB ajánlás a pénzügyi szervezeteknek ad segítséget, mégpedig a teljes belső védelmi vonalaknak kialakításában. Az ajánlás az előző verzióhoz hasonlóan a belső védelem kialakításáról, annak működtetéséről fogalmaz meg elvárásokat és 2023. január elsejétől lépett hatályba.

    Röviden felsoroljuk azokat az elemeket, amelyek nélkülözhetetlenek a belső védelmi vonalak kialakításához és működtetéséhez:

    • Felelős belső irányítás
    • Csalásmenedzsment
    • Belső kontrol rendszer
    • A belső védelmi vonalak kialakításának és működtetésének speciális kérdései
    • Átláthatóság és a belső védelmi vonalakkal kapcsolatos nyilvánosságra hozatal

    Az MNB ajánlás tételesen foglalkozik a csalásmenedzsment területtel.

    A csalásmenedzsment tekintetében az MNB fontosnak tartja az alábbiakat.

    • olyan csalásmegelőzési és eseménykezelési kultúra kialakítása, amely a bekövetkezett csalások tekintetében a zéró toleranciára törekszik, és a preventív megoldásokat helyezi fókuszban.
    • külön a szervezeti egységekhez, csoportokhoz, munkakörökhöz mérten kell összeállítani egy olyan oktatási rendszert, amelyben az érintett munkavállalók megismerhetik a területükhöz tartozó csalási eseményekkel, valamint az ezekhez tartozó megelőzési kontrolokkal.
    • Rendelkezzen a szervezet meghatározott és az irányítási funkciót betöltő testület által jóváhagyott, a csalások megelőzésére és kezelésére vonatkozó stratégiával és politikával.
    • A szervezet a csalások megelőzésével és kezelésével járó feladatok koordinálására önálló kompetenciaközpontot vagy szervezeti egységet hozzon létre, vagy valamely belső kontroll funkciót ellátó területet jelöli ki.
    • Belső csalások megelőzésére alkalmazzon monitoring rendszert, amely tartalmazza a jelentős kockázati eseményeket

     

    Összefoglaló ábra a csaláskezelési és csalásmenedzsment tevékenységről

     Összefoglaló ábra a csaláskezelési tevékenységről

    Amennyiben valakit érint, vagy érdekel az ajánlás, keresse a FORTIX-ot bizalommal. Segítünk értelmezni, felmérni a jelenlegi helyzetet, bevezetni a szükséges intézkedéseket.

    Előző blogbejegyzésünk az 1/2023. (I. 17.) MNB rendeletről: https://www.fortix.hu/megjelent-az-mnb-elso-rendelet-2023-ban/ 

    Iratkozzon fel hírlevelünkre!

      (*)

      Mi az a ChatGPT és mit csinál?

      Mi az a ChatGPT és mit csinál?

      Mi az a ChatGPT és mit csinál?

      A cikk megjelenésének szakmai támogatója a CyberCamp
      Magyarország első széles körben elérhető junior kiberbiztonsági szakember képzése, amelyben az etikus hackelés alapjai is megtanulhatók.
      www.cybercamp.hu

      Mi az a ChatGPT és mit csinál?

      A ChatGPT szemléletesen megfogalmazva egy beszélgető robot vagy beszélgető automata. Nevezik botnak, chatbotnak vagy MI-nek, esetleg AI-nek.  A ChatGPT-vel jelenleg csak írott formában, egy weboldalon keresztül lehet kommunikálni, habár a beszédfelismerés és a beszédszintézis már elég fejlett lenne ahhoz, hogy akár élő szóban is lehessen vele beszélgetni. A ChatGPT és a többi hasonló chat bot nem gondolkodnak, nincsenek érzelmeik, csupán választ generálnak a feltett kérdésekre. A beszélgetések során figyelembe tudják venni az előzményeket, így képesek kontextus-függő választ adni, illetve finomítani vagy korrigálni az adott választ, ha azzal az ember nem elégedett.

      Kicsit pontosabban meghatározva, a ChatGPT az OpenAI da-vinci-3 nyelvi modelljére épülő, weben keresztül publikusan elérhető chat alkalmazás. Az OpenAI-nak többféle nyelvi modellje létezik, amelyek más-más területen bizonyulnak alkalmasnak. Az egyes nyelvi modelleket ki lehet próbálni a Playground – OpenAI API oldalán.

      A ChatGPT-nek és az egyéb hasonló nyelvi modelleknek kérdéseket lehet feltenni, párbeszédet lehet velük folytatni. A modell nem előre megírt válaszokat tartalmaz, hanem a modellben lévő, a tréningezéskor beletöltött adatok, szabályok és a beszélgetés kontextusa alapján generál válaszokat. Hogy mennyire legyen variabilis, vagy éppen determinisztikus az adott modell, az egy 0 és 1 között állítható paraméter. Az OpenAI ezt temperature-nek nevezi, 0 esetén a modell determinisztikus, tehát ugyanarra a kérdésre mindig azonosak lesznek a válaszok; 1 esetén a rendszer sztochasztikussá válik, az adott válaszokban nagy lesz a variabilitás. A ChatGPT esetében ez a temperature 0,7 körül lehet, tehát kicsi az esélye annak, hogy egy komplexebb kérdésre kétszer teljesen megegyező választ adjon.

      A nyelvi modell másik tulajdonsága, hogy képes tanulni a válaszaira adott reakciókból is, de azt biztonsági okokból a nagyközönség felé nyilvános modellen már elég erősen limitálják. Miért? Emlékezzünk például a 2016-os esetre, amikor a Microsoftnak le kellett kapcsolnia a chatbot-ját, mert a kommentelők rövid idő alatt rasszistává változtatták azt.

      ChatGPT illusztracio

      A ChatGPT felhasználása és veszélyei

      A ChatGPT hatalmas mennyiségű adattal, információval rendelkezik. Nagyságrendekkel többel, mint amennyit egy átlagos ember képes lenne megjegyezni vagy akár egész életében csak elolvasni. És ezt az információt fel is tudja használni. Tud benne keresni és tud új információt szintetizálni. Képes a birtokában lévő adatok segítségével olyan problémákat is megoldani, amelyekkel nem találkozott, amelyekre nem készíttették fel.

      Mennyi a ChatGPT intelligenciahányadosa?

      Erre a kérdésre nehéz válaszolni, mert ehhez az intelligencia fogalmát kellene a chatbotra is alkalmazhatóan meghatározni. Ami viszont biztos, hogy az intelligencia tesztekben használt szöveges feladatokat pillanatok alatt és helyesen képes megoldani.

      A ChatGPT veszélyei?

      A ChatGPT egy nagy potenciállal bíró hasznos eszköz lehet a mindennapi életben, megkönnyítheti például az informatikusok munkáját és rövid időn belül például akár az ügyfélszolgálatok munkájának nagyrészét is elvégezheti. De kutatók is eredményesen használhatják a napi feladatiak során. Azonban ennek a technikának is lehetnek árnyoldalai. Vegyük sorba, hogy az egyes felhasználási esetekben milyen veszélyt jelenthet a ChatGPT.

      Tévedni emberi dolog

      Most már ez nem biztos, hogy igaz. A chatbot mögött rejtőző mesterséges intelligencia az idegrendszer működését modellezi, hasonlóan működik az emberi agyhoz. Mint az emberek, a chatbot is adhat inkorrekt választ, tehát tévedhet. Ezért mindig kritikával kell fogadni a kapott válaszokat. Ez történhet esetleg más forrásból történő ellenőrzéssel vagy további kérdések feltételével, ha kétség merül fel a válasz helyességében.

      Amerikában egyre több iskolás esik abba a tévhitbe, hogy nem szükséges tanulni, mert a ChatGPT mindent tud, csak meg kell tőle kérdezni. Több iskolában le is tiltották az OpenAI honlapját, de ez mobilnet használatával könnyedén megkerülhető. Ez a tendencia várhatóan a chatbotok nyelvi képességeinek fejlődésével még inkább terjedni fog és várhatóan világ méreteket fog ölteni a gyermekek körében. Tudni kell azonban, hogy megfelelő tudás nélkül nem lehet kellően pontosan megfogalmazni az elvárásokat, illetve kritikusan szemlélni a kapott válaszokat, tehát továbbra is szükség van a tanulásra és a világ megértésére.

      Sok a szöveg

      A ChatGPT segítségével bármilyen témában könnyen lehet tetszőleges terjedelemben, tetszőleges korcsoportnak szánt szövegeket készíteni. Ezt a tulajdonságot álhírek készítésére is fel lehet használni, mely a pontosan eltalált nyelvezet, téma és érvelés miatt komoly negatív hatást is kiválthat.

      De nem is kell feltétlenül álhíreket készíteni ahhoz, hogy az automata által végtelen mennyiségben elkészített szövegbe egyszerűen belefulladjanak a hírportálok és esetleg az egész emberiség. Most már bárki, komolyabb tudás nélkül bármiről képes bármilyen hosszú szöveget írni. Vajon ez a cikk is ChatGPT-vel készült?

      A csalók arra is rájöttek, hogy nagyon hatásos adathalász emaileket lehet vele íratni vagy manipulációra felhasználni. Például lejárató kampányokat szervezni egy cég munkatársai körében és az így elégedetlenné tett és igazságtételre vágyó munkavállalókat felhasználva belülről indítani támadást a szervezet ellen.

      Házi feladat

      Ezekkel a nyelvi modellekkel a diákoknak nem kell sok időt tölteni egy-egy fogalmazás megírásával. Elég, ha csak beírják, hogy miről és milyen hosszú fogalmazást kell írni, és a bot készséggel elkészíti azt. Ugyanígy képes megoldani pl. matematika, fizika, stb feladatokat is. A pedagógusnak nem sok esélye van a chatbottal szemben. Szerencsére a magyar nyelvi képességei még limitáltak az ilyen botoknak, de ez valószínűleg nem sokáig lesz már így.

      Veszélyes fegyver

      Az nem várható, hogy a ChatGPT a Terminátorhoz hasonlóan az emberiség ellen fordulna, de bűnözői körök máris kihasználják a bot hatalmas tudását. A készítők próbáltak intézkedéseket hozni, hogy ez ne történhessen meg, de egy kis kreativitással ki lehet játszani. A ChatGPT-től lépésről lépésre instrukciókat lehet kapni, hogy hogyan kell egy autót ellopni, valahová betörni, vagy pl. kártékony programot készíteni és azt bejuttatni egy rendszerbe. Segítségével akár az informatikához alig értők is veszélyes hekkerré válhatnak.

      Csalók a láthatáron

      A fentiekhez társul még egy tényező, amiről a ChatGPT készítői nem tehetnek.  A ChatGPT körüli nagy hullámokat igyekeznek meglovagolni a csalók is. Sorra jelennek meg az olyan appok Androidra és IOS-re is, amik a ChatGPT szolgáltatásait ajánlják app formájában. Fontos tudni, hogy a ChatGPT a cikk írásakor csak az OpenAI weblapján érhető el. Vannak más botok is, és az OpenAI is kínál a ChatGPT-n kívül más MI megoldásokat, tehát nem lehet biztosan tudni, hogy valójában mit is töltünk le, annak milyen képességei és esetleg mellékhatásai lehetnek. Ha mégis ilyen alkalmazás letöltése mellett döntünk, alaposan fontoljuk meg, hogy melyiket választjuk. Azonnal gyanakodjunk, ha kevés értékelése van, túl sok mindenhez kér hozzáférést illetve, ha az adatvédelmi tájékoztatónál az szerepel, hogy nem lehet kérni a személyes adatok törlését.

      Összefoglalás

      A ChatGPT publikus megjelenése minden bizonnyal egy új korszak kezdete az informatikában. Segítségével az ember csak a kreativitást igénylő feladatokra koncentrálhat. Az unalmas, keresgélést igénylő, ismétlődő feladatokra ott a bot. A mesterséges intelligencia alkalmazása jelentősen növelheti a számítógéppel végzett munka hatékonyságát. A ChatGPT és egyéb mesterséges intelligencia felhasználásának az előnyök mellett azonban veszélyei is vannak. Eszközként használva mindig kritikával kell fogadni a válaszait, mert az MI sem tévedhetetlen. A hatékonyságnövekedés sajnos az MI-t használó bűnözők esetében is fennáll, így ők is hatékonyabbak lehetnek a segítségével.

      Szerző: Ráczpali István

      junior kiberbiztonsági szakember képzés

      Iratkozzon fel hírlevelünkre!

        (*)

        Megjelent az MNB első rendelete 2023-ban

        Megjelent az MNB első rendelete 2023-ban

        Megjelent az MNB első rendelete 2023-ban

        Az 1/2023. (I. 17.) MNB rendelet a bankjegyek feldolgozásáról, forgalmazásáról, valamint hamisítás elleni védelmével kapcsolatos technikai feladatokról szól.

        Miről szól az MNB rendelet?

        Az 1/2023. (I. 17.) MNB rendelet a kibocsátott, forgalomban lévő, továbbá a forgalomból bevont, de törvényes fizetőeszközre még átváltható forintbankjegyek, valamint, a pénzkibocsátásra jogosult külföldi intézmény által kibocsátott, forgalomban lévő, továbbá a forgalomból bevont, de törvényes fizetőeszközre még átváltható külföldi bankjegyek feldolgozására, forgalmazására, valamint hamisítás elleni védelméről szól.

        1/2023. (I. 17.)

        Az MNB meghatározta, kire vonatkozik, így a rendelet a pénzfeldolgozók, pénzforgalmazók (Posta, Hitelintézetek), valamint az egyéb gazdasági szereplőkre értendő.
        Ezen szereplők első feladata az, hogy kötelesek felmérni a rendeletnek való megfelelésüket és az MNB-t meghatározott időn belül értesíteni erről.

        A rendelet nagyon sok előírást tartalmaz. A legfontosabbak – a teljesség igénye nélkül – a következők:

        1. A készpénzes automaták darabszámának megállapítása, üzemeltetése és rendelkezésre állása.
        2. A pénztár nélküli fiók létesítése, illetve egy adott fiók pénztárának megszüntetése vagy működése.
        3. A hamisgyanús bankjegyek kezelése.
        4. A készpénzellátás zavartalanságát veszélyeztető események felmérése és ezek megakadályozása végett intézkedési terv kidolgozása.
        5. Címlet és átváltási szabályok a forintbankjegyekre.
        6. Bankjegyvizsgáló gépre előírt szabályok (gép használata, működése).
        7. A bankjegyforgalmazás alapvető feltételei.
        8. A pénzfeldolgozókra vonatkozó speciális előírások.

        Amennyiben valakit érint, vagy érdekel az ajánlás, keresse a FORTIX-ot bizalommal. Segítünk értelmezni, felmérni a jelenlegi helyzetet, bevezetni a szükséges intézkedéseket.

        Szerző: Csók Sándor

         

        Forrás: https://njt.hu/jogszabaly/2023-1-20-2C

        Iratkozzon fel hírlevelünkre!

          (*)

          DORA RENDELET: KIRE VONATKOZIK A DORA ? (2. RÉSZ)

          DORA rendelet: Kire vonatkozik a DORA ? (2. rész)

          Az előző részben már utaltunk rá, hogy a Digital Operational Resilience Act, azaz a digitális működési rezilienciáról szóló rendelet (röviden: DORA), a pénzügyi szervezetekre vonatkozó, hamarosan elfogadásra kerülő uniós jogszabály lesz. Ebben a részben átnézzük, pontosan kik lesznek az alanyai és miért nem csak a pénzügyi szervezeteknek kell tisztában lenni a várható szabályozással.

          A rendelet tervezet rögtön az elején nevesíti és tételesen felsorolja, mely szervezeteknek kell kötelezően alkalmazni. Az alábbi tételes lista tartalmazza a pontos a jogszabályi megfogalmazásokat is (ahol rendelkezésre áll), a könnyebb beazonosíthatóság érdekében, gondolva azokra is, akik most találkoznak először ezen kifejezésekkel. A DORA 20 pontban nevesíti a rendelet alanyait, de van, ahol összevontan kezeli az egy érdekkörbe tartozó szervezeteket (pl. biztosítók és viszontbiztosítók). Ezeket a jobb áttekinthetőség miatt külön tárgyaljuk, illetve az érintetti kör terjedelme miatt több részen keresztül foglalkozunk a kérdéssel. Nézzük akkor tételesen, kiknek is kell már most ismerkedniük a DORA-val.

          Hitelintézetek: Az 575/2013/EU európai parlamenti és tanácsi rendelet 4. cikk (1) 1. pontja alapján a következőt kell érteni alatta: „olyan vállalkozás, amely a nyilvánosságtól betéteket vagy más visszafizetendő pénzeszközöket vesz át, valamint saját számlára hiteleket nyújt;”. Ebbe a körbe tartoznak a szakosított hitelintézetek, mint például a lakástakarék pénztárak, jelzálog hitelintézetek és az egyéb szakosított hitelintézetek. Szintén ebbe a körbe tartoznak a bankok, mind a hazai székhelyűek, mind a magyarországi fióktelepek.

          Pénzforgalmi intézmények: Az (EU) 2015/2366 irányelv, 1. cikk (1) d) és 4. cikk 4. pontja alapján a következőt kell érteni alatta: „olyan jogi személy, amely ezen irányelv 11. cikke értelmében engedélyt kapott pénzforgalmi szolgáltatások nyújtására és teljesítésére az Unió területén;”. Itthon ebbe a körbe tartozik például a Magyar Posta.

          Elektronikuspénz-kibocsátó intézmények: A 2009/110/EK európai parlamenti és tanácsi irányelv 2. cikk 1. pontja alapján a következőt kell érteni alatta: „olyan jogi személy, amely a II. cím alapján engedélyt kapott elektronikus pénz kibocsátására;”. Ebbe a körbe jelenleg idehaza csak néhány vállalkozás tartozik.

          Befektetési vállalkozások: A 2014/65/EU irányelv 4. cikke (1) bekezdésének 1. pontja alapján a következőt kell érteni alatta: „minden olyan jogi személy, amelynek rendes üzleti tevékenysége harmadik személyek részére egy vagy több befektetési szolgáltatás nyújtása és/vagy egy vagy több befektetési tevékenység végzése hivatásos alapon”.

          A következő négy szervezetet a rendelet tervezet egy pontban nevesíti. Ami az érdekességük, hogy a pontos meghatározásuk egy másik, még szintén uniós szinten nem elfogadott rendelethez kapcsolódik. Ez a kriptoeszközök piacairól szóló javaslat (röviden: MiCA), amivel kapcsolatban az Európai Tanács és az Európai Parlament, a DORA rendelethez hasonlóan ideiglenes megállapodásra jutott, tehát ezen jogszabály elfogadása is hamarosan várható.

          Kriptoeszköz-szolgáltatók: a tervezet értelmében „minden olyan személy, akinek foglalkozása vagy üzleti tevékenysége körében egy vagy több kriptoeszköz-szolgáltatást harmadik személy részére szakmai alapon nyújt;”.

          Kriptoeszköz-kibocsátó: a tervezet értelmében „olyan jogi személy, amely nyilvános ajánlattétel keretében bármely típusú kriptoeszközt kínál, vagy ilyen kriptoeszközt be kíván vezetni valamely kriptoeszköz-kereskedési platformra;”.

          Eszközalapú tokenek kibocsátói: a tervezet értelmében „eszközalapú token: olyan kriptoeszköz-típus, amely stabil érték fenntartására hivatott azáltal, hogy több, törvényes fizetőeszköznek minősülő fiat valuta, egy vagy több áru, vagy egy vagy több kriptoeszköz, illetve ezen eszközök kombinációjának értékére hivatkozik;” és ezen eszközhöz kötött token kibocsátója lesz majd a DORA rendelet alanya.

          Jelentős eszközalapú tokenek kibocsátói: Érdekes módon a hivatkozott MiCA rendelet tervezet a fogalom magyarázat részben nem ad pontos meghatározást, mit ért ezen meghatározás alatt. Viszont a későbbiekben egy külön cikket szentel a jelentős eszközalapú tokeneknek, ahol a megadott ismérvek alapján egyértelmű a beazonosítások.

          Központi értéktárak: A 909/2014/EU rendelet 2. cikke (1) bekezdése 1. pontja alapján a következőt kell érteni alatta: „a melléklet A. szakaszának 3. pontjában említett értékpapír-kiegyenlítési rendszert működtető jogi személy, amely legalább egy további, a melléklet A. szakaszában felsorolt alapvető szolgáltatást nyújt;”. Jelenleg itthon egy központi értéktár van, ez a KELER Zrt.

          Központi szerződő felek: A 909/2014/EU rendelet 2. cikke (1) bekezdése 1. pontja alapján a következőt kell érteni alatta: „a melléklet A. szakaszának 3. pontjában említett értékpapír-kiegyenlítési rendszert működtető jogi személy, amely legalább egy további, a melléklet A. szakaszában felsorolt alapvető szolgáltatást nyújt;”. Ebből szintén egy van itthon, ez a KELER KSZF Zrt.

          Kereskedési helyszínek: A 2014/65/EU irányelv 4. cikke (1) bekezdésének 24. pontja alapján a következőt kell érteni alatta: „bármely szabályozott piac, multilaterális kereskedési rendszer vagy szervezett kereskedési rendszer;”. A kereskedési helyszínek olyan létesítmények, ahol több harmadik fél részéről vételi és eladási szándékok hatnak egymásra.

          Kereskedési adattárak: A 648/2012/EU rendelet 2. cikkének 2. pontjában alapján a következőt kell érteni alatta: „olyan jogi személy, amely központilag összegyűjti és kezeli a származtatott ügyletek adatait;”.

          (A sorozat következő részében folytatjuk a rendelet tervezet alanyainak felsorolását.) 

          Szerző:

          Dr. Simon Norbert

          Iratkozzon fel hírlevelünkre!

            (*)

            Megjelent az ISO/IEC 27001:2022 információbiztonsági irányítási rendszerszabvány

            Megjelent az ISO/IEC 27001:2022 információbiztonsági irányítási rendszerszabvány

            A globális kiberbiztonsági kihívások kezelése és a digitális bizalom javítása érdekében 2022. Október 25-én tették közzé az ISO/IEC 27001 új és továbbfejlesztett változatát. A világ legismertebb információbiztonsági irányítási rendszerszabványa segít a szervezeteknek az információs eszközeiket biztonságban tartani – ami létfontosságú a mai, egyre inkább digitális világunkban.  

            A kiberbűnözés egyre súlyosabb és kifinomultabb, ahogy a hackerek fejlettebb kiberbűnözési technikákat fejlesztenek ki. A Világgazdasági Fórum globális kiberbiztonsági kilátásokról szóló jelentése szerint a kibertámadások száma 2021-ben globálisan 125%-kal nőtt, és a trend az, hogy 2022-ben is folytatódik ez a növekedés. Ebben a gyorsan változó környezetben a vezetőknek stratégiai megközelítést kell alkalmazniuk a kiberkockázatokkal kapcsolatban.  

            A kiberbűnözés egyre súlyosabb és kifinomultabb. 

            „A negyedik ipari forradalom közepette a rendszerszintű egymásrautaltság a kiberkockázatok költségeit kézben tartva egyre nagyobb értéket teremt” – mondja Andreas Wolf, aki a szabványért felelős szakértői csoportot vezeti. „Azok a szervezetek vezetnek minket a digitális jövőbe, amelyek nemcsak elég szerények ahhoz, hogy beismerjék, hogy egyedül nem tudják megtenni, hanem elég magabiztosak és hozzáértőek is ahhoz, hogy felismerjék, hogy jobb, ha a vállalkozások meg sem próbálják.”  

            E kiberbiztonsági kihívások kezelése érdekében a szervezeteknek fokozniuk kell ellenálló képességüket, és kiberfenyegetés-csökkentő erőfeszítéseket kell végrehajtaniuk. Az ISO/IEC 27001:2022 szabvány a következőképpen válik a szervezet hasznára: 

            • Segít biztonságossá tenni az információt minden formában, beleértve a papíralapú, felhőalapú és digitális adatokat is 
            • Felkészít a kibertámadásokkal szembeni ellenállóképesség növelésére 
            • Központilag felügyelt keretrendszert biztosít, amely minden információt megfelelően véd 
            • Biztosítja az egész szervezetre kiterjedő védelmet, beleértve a technológiai alapú kockázatokat és egyéb fenyegetéseket is 
            • Támogatja a változó biztonsági fenyegetésekre történő hatékony reagálást 
            • Segít csökkenteni a költségeket és a nem hatékony védelmi technológiára fordított kiadásokat 
            • Biztosítja az adatok bizalmasságának, sértetlenségének és rendelkezésre állásának védelmét 

            Azok a szervezetek, amelyek magabiztosan alkalmazzák a kiberrezilienciát, gyorsan az iparág vezetőivé válnak, és meghatározzák az ökoszisztémájuk színvonalát. Az ISO/IEC 27001:2022 holisztikus megközelítése azt jelenti, hogy az egész szervezetre kiterjed, nem csak az informatikára. Így az információbiztonsági irányítási rendszer működése révén az emberek, a technológia és a folyamatok mind profitálnak. 

            Az ISO/IEC 27001:2022 szabvány használatakor az adott szervezet bemutatja az érdekelt feleknek és az ügyfeleknek, hogy elkötelezett az információk biztonságos kezelése mellett. Emellett az ISO/IEC 27001:2022 alapú információbiztonsági irányítási rendszer bevezetése és működtetése nagyszerű módja annak, hogy népszerűsítse szervezetét, megünnepelje eredményeit és bebizonyítsa, hogy munkatársai, partnerei, ügyfelei megbízhatnak benne. 

             

            Iratkozzon fel hírlevelünkre!

              (*)