fbpx
+36 1 781 4842 info@fortix.hu

DORA RENDELET: KIRE VONATKOZIK A DORA ? (2. RÉSZ)

DORA rendelet: Kire vonatkozik a DORA ? (2. rész)

Az előző részben már utaltunk rá, hogy a Digital Operational Resilience Act, azaz a digitális működési rezilienciáról szóló rendelet (röviden: DORA), a pénzügyi szervezetekre vonatkozó, hamarosan elfogadásra kerülő uniós jogszabály lesz. Ebben a részben átnézzük, pontosan kik lesznek az alanyai és miért nem csak a pénzügyi szervezeteknek kell tisztában lenni a várható szabályozással.

A rendelet tervezet rögtön az elején nevesíti és tételesen felsorolja, mely szervezeteknek kell kötelezően alkalmazni. Az alábbi tételes lista tartalmazza a pontos a jogszabályi megfogalmazásokat is (ahol rendelkezésre áll), a könnyebb beazonosíthatóság érdekében, gondolva azokra is, akik most találkoznak először ezen kifejezésekkel. A DORA 20 pontban nevesíti a rendelet alanyait, de van, ahol összevontan kezeli az egy érdekkörbe tartozó szervezeteket (pl. biztosítók és viszontbiztosítók). Ezeket a jobb áttekinthetőség miatt külön tárgyaljuk, illetve az érintetti kör terjedelme miatt több részen keresztül foglalkozunk a kérdéssel. Nézzük akkor tételesen, kiknek is kell már most ismerkedniük a DORA-val.

Hitelintézetek: Az 575/2013/EU európai parlamenti és tanácsi rendelet 4. cikk (1) 1. pontja alapján a következőt kell érteni alatta: „olyan vállalkozás, amely a nyilvánosságtól betéteket vagy más visszafizetendő pénzeszközöket vesz át, valamint saját számlára hiteleket nyújt;”. Ebbe a körbe tartoznak a szakosított hitelintézetek, mint például a lakástakarék pénztárak, jelzálog hitelintézetek és az egyéb szakosított hitelintézetek. Szintén ebbe a körbe tartoznak a bankok, mind a hazai székhelyűek, mind a magyarországi fióktelepek.

Pénzforgalmi intézmények: Az (EU) 2015/2366 irányelv, 1. cikk (1) d) és 4. cikk 4. pontja alapján a következőt kell érteni alatta: „olyan jogi személy, amely ezen irányelv 11. cikke értelmében engedélyt kapott pénzforgalmi szolgáltatások nyújtására és teljesítésére az Unió területén;”. Itthon ebbe a körbe tartozik például a Magyar Posta.

Elektronikuspénz-kibocsátó intézmények: A 2009/110/EK európai parlamenti és tanácsi irányelv 2. cikk 1. pontja alapján a következőt kell érteni alatta: „olyan jogi személy, amely a II. cím alapján engedélyt kapott elektronikus pénz kibocsátására;”. Ebbe a körbe jelenleg idehaza csak néhány vállalkozás tartozik.

Befektetési vállalkozások: A 2014/65/EU irányelv 4. cikke (1) bekezdésének 1. pontja alapján a következőt kell érteni alatta: „minden olyan jogi személy, amelynek rendes üzleti tevékenysége harmadik személyek részére egy vagy több befektetési szolgáltatás nyújtása és/vagy egy vagy több befektetési tevékenység végzése hivatásos alapon”.

A következő négy szervezetet a rendelet tervezet egy pontban nevesíti. Ami az érdekességük, hogy a pontos meghatározásuk egy másik, még szintén uniós szinten nem elfogadott rendelethez kapcsolódik. Ez a kriptoeszközök piacairól szóló javaslat (röviden: MiCA), amivel kapcsolatban az Európai Tanács és az Európai Parlament, a DORA rendelethez hasonlóan ideiglenes megállapodásra jutott, tehát ezen jogszabály elfogadása is hamarosan várható.

Kriptoeszköz-szolgáltatók: a tervezet értelmében „minden olyan személy, akinek foglalkozása vagy üzleti tevékenysége körében egy vagy több kriptoeszköz-szolgáltatást harmadik személy részére szakmai alapon nyújt;”.

Kriptoeszköz-kibocsátó: a tervezet értelmében „olyan jogi személy, amely nyilvános ajánlattétel keretében bármely típusú kriptoeszközt kínál, vagy ilyen kriptoeszközt be kíván vezetni valamely kriptoeszköz-kereskedési platformra;”.

Eszközalapú tokenek kibocsátói: a tervezet értelmében „eszközalapú token: olyan kriptoeszköz-típus, amely stabil érték fenntartására hivatott azáltal, hogy több, törvényes fizetőeszköznek minősülő fiat valuta, egy vagy több áru, vagy egy vagy több kriptoeszköz, illetve ezen eszközök kombinációjának értékére hivatkozik;” és ezen eszközhöz kötött token kibocsátója lesz majd a DORA rendelet alanya.

Jelentős eszközalapú tokenek kibocsátói: Érdekes módon a hivatkozott MiCA rendelet tervezet a fogalom magyarázat részben nem ad pontos meghatározást, mit ért ezen meghatározás alatt. Viszont a későbbiekben egy külön cikket szentel a jelentős eszközalapú tokeneknek, ahol a megadott ismérvek alapján egyértelmű a beazonosítások.

Központi értéktárak: A 909/2014/EU rendelet 2. cikke (1) bekezdése 1. pontja alapján a következőt kell érteni alatta: „a melléklet A. szakaszának 3. pontjában említett értékpapír-kiegyenlítési rendszert működtető jogi személy, amely legalább egy további, a melléklet A. szakaszában felsorolt alapvető szolgáltatást nyújt;”. Jelenleg itthon egy központi értéktár van, ez a KELER Zrt.

Központi szerződő felek: A 909/2014/EU rendelet 2. cikke (1) bekezdése 1. pontja alapján a következőt kell érteni alatta: „a melléklet A. szakaszának 3. pontjában említett értékpapír-kiegyenlítési rendszert működtető jogi személy, amely legalább egy további, a melléklet A. szakaszában felsorolt alapvető szolgáltatást nyújt;”. Ebből szintén egy van itthon, ez a KELER KSZF Zrt.

Kereskedési helyszínek: A 2014/65/EU irányelv 4. cikke (1) bekezdésének 24. pontja alapján a következőt kell érteni alatta: „bármely szabályozott piac, multilaterális kereskedési rendszer vagy szervezett kereskedési rendszer;”. A kereskedési helyszínek olyan létesítmények, ahol több harmadik fél részéről vételi és eladási szándékok hatnak egymásra.

Kereskedési adattárak: A 648/2012/EU rendelet 2. cikkének 2. pontjában alapján a következőt kell érteni alatta: „olyan jogi személy, amely központilag összegyűjti és kezeli a származtatott ügyletek adatait;”.

(A sorozat következő részében folytatjuk a rendelet tervezet alanyainak felsorolását.) 

Szerző:

Dr. Simon Norbert

Iratkozzon fel hírlevelünkre!



    (*)



    Megjelent az ISO/IEC 27001:2022 információbiztonsági irányítási rendszerszabvány

    Megjelent az ISO/IEC 27001:2022 információbiztonsági irányítási rendszerszabvány

    A globális kiberbiztonsági kihívások kezelése és a digitális bizalom javítása érdekében 2022. Október 25-én tették közzé az ISO/IEC 27001 új és továbbfejlesztett változatát. A világ legismertebb információbiztonsági irányítási rendszerszabványa segít a szervezeteknek az információs eszközeiket biztonságban tartani – ami létfontosságú a mai, egyre inkább digitális világunkban.  

    A kiberbűnözés egyre súlyosabb és kifinomultabb, ahogy a hackerek fejlettebb kiberbűnözési technikákat fejlesztenek ki. A Világgazdasági Fórum globális kiberbiztonsági kilátásokról szóló jelentése szerint a kibertámadások száma 2021-ben globálisan 125%-kal nőtt, és a trend az, hogy 2022-ben is folytatódik ez a növekedés. Ebben a gyorsan változó környezetben a vezetőknek stratégiai megközelítést kell alkalmazniuk a kiberkockázatokkal kapcsolatban.  

    A kiberbűnözés egyre súlyosabb és kifinomultabb. 

    “A negyedik ipari forradalom közepette a rendszerszintű egymásrautaltság a kiberkockázatok költségeit kézben tartva egyre nagyobb értéket teremt” – mondja Andreas Wolf, aki a szabványért felelős szakértői csoportot vezeti. “Azok a szervezetek vezetnek minket a digitális jövőbe, amelyek nemcsak elég szerények ahhoz, hogy beismerjék, hogy egyedül nem tudják megtenni, hanem elég magabiztosak és hozzáértőek is ahhoz, hogy felismerjék, hogy jobb, ha a vállalkozások meg sem próbálják.”  

    E kiberbiztonsági kihívások kezelése érdekében a szervezeteknek fokozniuk kell ellenálló képességüket, és kiberfenyegetés-csökkentő erőfeszítéseket kell végrehajtaniuk. Az ISO/IEC 27001:2022 szabvány a következőképpen válik a szervezet hasznára: 

    • Segít biztonságossá tenni az információt minden formában, beleértve a papíralapú, felhőalapú és digitális adatokat is 
    • Felkészít a kibertámadásokkal szembeni ellenállóképesség növelésére 
    • Központilag felügyelt keretrendszert biztosít, amely minden információt megfelelően véd 
    • Biztosítja az egész szervezetre kiterjedő védelmet, beleértve a technológiai alapú kockázatokat és egyéb fenyegetéseket is 
    • Támogatja a változó biztonsági fenyegetésekre történő hatékony reagálást 
    • Segít csökkenteni a költségeket és a nem hatékony védelmi technológiára fordított kiadásokat 
    • Biztosítja az adatok bizalmasságának, sértetlenségének és rendelkezésre állásának védelmét 

    Azok a szervezetek, amelyek magabiztosan alkalmazzák a kiberrezilienciát, gyorsan az iparág vezetőivé válnak, és meghatározzák az ökoszisztémájuk színvonalát. Az ISO/IEC 27001:2022 holisztikus megközelítése azt jelenti, hogy az egész szervezetre kiterjed, nem csak az informatikára. Így az információbiztonsági irányítási rendszer működése révén az emberek, a technológia és a folyamatok mind profitálnak. 

    Az ISO/IEC 27001:2022 szabvány használatakor az adott szervezet bemutatja az érdekelt feleknek és az ügyfeleknek, hogy elkötelezett az információk biztonságos kezelése mellett. Emellett az ISO/IEC 27001:2022 alapú információbiztonsági irányítási rendszer bevezetése és működtetése nagyszerű módja annak, hogy népszerűsítse szervezetét, megünnepelje eredményeit és bebizonyítsa, hogy munkatársai, partnerei, ügyfelei megbízhatnak benne. 

     

    Iratkozzon fel hírlevelünkre!



      (*)



      Újabb segítséget nyújt a Microsoft a Brute force támadásokkal szemben.

      Újabb segítséget nyújt a Microsoft a Brute force támadásokkal szemben.

      Újabb segítséget nyújt a Microsoft a Brute force támadásokkal szemben

      A cég folyamatosan törekszik a támadások nehezítésére, lassítására ezáltal a rendszerek biztonságosságára. Ennek égisze alatt vezették be többek között az Azure AD-ban a kényszerített többfaktoros hitelesítést is, valamint a Windows 11 operációs rendszerekben alapértelmezés szerinti házirendet, amely a burte force támadások ellen lehet hatékony.

      A házirend az admin fiókokra is alkalmazható és lehetővé teszi, hogy 10 percre zárolodjón a fiók, ha 10 percen belül 10 sikertelen próbálkozás történt.

      Alapértelmezés szerint a Windows 11 22H2 verzión engedélyezve van a szabály, többi verzió esetén a következő helyen lehet beállítani: Local Computer Policy\Computer Configuration\Windows Settings\Security Settings\Account Policies\Account Lockout Policies.

      Mindemellett a rendszergazdai fiókokhoz használt jelszavak szabályozásán is szigorított a Microsoft, miszerint a jelszónak tartalmaznia kell kisbetűt, nagybetűt, számokat, szimbólumokat és ezekből legalább három félét.

      Mi az a brute force?

      A brute force-támadás (szó szerint angol nyelven: „nyers erő”), más néven a teljes kipróbálás módszere, egy, a titkosító rendszerekkel szemben alkalmazott támadási mód, ami elvileg mindig eredményes.

      Iratkozzon fel hírlevelünkre!



        (*)



        opten “a” minősítés

        opten “a” minősítés

        opten "A" minősítés

        A pénzügyileg legmegbízhatóbb cégek között a FORTIX 

        A FORTIX Consulting Kft. pénzügyi megbízhatóság szempontjából megszerezte az “A” minősítést, ami azt jelenti, hogy az üzleti élet egyik legmegbízhatóbb szereplője, a vele való üzleti kapcsolat kialakítása rendkívül alacsony pénzügyi kockázatot jelent.

        Az OPTEN Kft. kockázati besorolása közgazdászok által elismert cégminősítési módszertanon alapul, melyet a magyar piac sajátosságait és a legfrissebb pénzügyi adatok mellett a cégjegyzéki és a különböző pozitív-negatív információkat (pl. köztartozásmentes adózó, végrehajtás) is figyelembe véve alakítottak ki.

        A modell ezáltal több száz változó alapján a főtevékenységet is figyelembe véve rangsorolja a cégeket korszerű adatbányászati algoritmusok használatával.

         

        A most megszerzett „A” minősítéssel a magyarországi cégek csupán 13%-a rendelkezik.

        Iratkozzon fel hírlevelünkre!



          (*)



          Etikus hackelés – mi fán terem? 

          Etikus hackelés – mi fán terem? 

          Etikus hackelés – mi fán terem?

          A cikk megjelenésének szakmai támogatója a CyberCamp
          Magyarország első széles körben elérhető junior kiberbiztonsági szakember képzése, amelyben az etikus hackelés alapjai is megtanulhatók.
          www.cybercamp.hu

          Kik az etikus hackerek, és miért kellenek?

          Bár az „etikus hacker” kifejezés sokakban romantikus, kalandos foglalkozás benyomását kelti, az etikus hackeléssel foglalkozók alapvetően információbiztonsági szakértők. Az etikus hackelés során belebújnak egy rosszindulatú támadó bőrébe, és hacker módszerekkel próbálnak minél több információt, majd jogosultságot szerezni egy rendszerben.

          Kulcsfontosságú a munkájuk során, hogy a biztonsági vizsgálathoz minden esetben a megbízó írásbeli megrendelése szükséges. Minden vizsgálat esetében meg kell határozni a hatáskört, a vizsgálat időablakát. Valamint a vizsgálat befejeztével jelenteni kell a megbízó felé a feltárt sérülékenységeket, bizonyítékokat, és javaslatot kell adni a kitettség csökkentésére. Az etikus hackernek minden esetben szem előtt kell tartania a megismert adatok biztonságban tartását, és a szándékos károkozás elkerülését

          Tudtad?

          Az első nagyobb hackertámadás 1971-ben történt, amikor egy John Draper nevű vietnámi veterán rájött hogyan lehet ingyen telefonálni. Ezt később „Phreaking”-nek nevezték el.

          Kik voltak a hackerek, és miért „rossz” a hírük napjainkban?

          A „hacker” szó az angolszász „hack” (üt, vág, feldarabol) szóból ered, és eredetileg olyan személyt jelentett, aki vagy dolgokat kivág és feldarabol (jellemzően fát), vagy aki ehhez eszközöket, szerszámokat készít. Hackereknek hívták később, az 1960-as évektől már az olyan informatika szakembereket is, akik a szoftver / hardver készítés öröméért, szórakozásból végezték a munkájukat.

          A hacker tevékenység negatív megítélése a Háborús játékok (1983.) c. mozifilm megjelenéséhez köthető. Ettől kezdve a köztudatban már nem csak segítő, mindent megjavító személyként gondoltak egy hackerre, hanem megjelent a „bűnözői” oldala is.

          A hackerek 3 fajtája

          Szakmai körökben sokszor vita tárgya, hogy vannak-e egyáltalán etikus hackerek, vagy „csak” hackernek hívunk minden olyan információbiztonsági szakértőt is, aki hacker módszerekkel vizsgál egy rendszert, mégis szükséges lehet valamilyen módon megkülönböztetni a rosszindulatú és megbízás alapján dolgozó hackereket.

          Hogy megfelelően el tudjuk határolni az etikus hackereket, kénytelenek vagyunk megemlíteni a másik oldalt is. Vegyük át, hogy milyen hacker fajtákat különböztethetünk meg.

          Etikus hackelés vagy nem etikus hackelés?

          Fehér kalapos hacker: ők a fentebb említett hackerek, nem szándékoznak kárt okozni a vizsgált rendszeren, és hivatalos megbízás alapján végzik a vizsgálatot, hogy megtalálják a szervezet sebezhetőségeit, feltárják azokat, és javaslatokat adjanak azok javítására. Ők tehát etikus hackeléssel foglalkoznak.

          Fekete kalapos hacker: a fehér kalapos hackerek szöges ellentétei. Motivációjuk lehet adatszerzés, adatlopás, zsarolás, szándékos károkozás. Általában bűnözői csoportokban tevékenykednek, de közéjük sorolhatjuk a script kiddie-ket (általában tizenéves „műkedvelő” hackerek, akik többnyire nincsenek tudatában tevékenységük következményeivel) is.

          Szürke kalapos hacker: a fehér és fekete kalapos hackerek kombinációja. Ők rossz szándék nélkül, azonban megbízás nélkül hackelnek. Ha sérülékenységet találnak, azt a rendszer üzemeltetőjének, tulajdonosának jelentik. Bár ők jószándékkal végeznek vizsgálatot, ne feledjük, hogy a rendszer tulajdonosa/üzemeltetője tudta nélkül, így gyakorlatilag az üzemeltető jószándékán múlik, hogy végül fekete, vagy fehér kalapos hackerként tekintenek rájuk. A megbízás nélküli hackelés, információgyűjtés büntetendő tevékenység, a Btk. szabályai vonatkoznak rá!

          Milyen problémákat lehet az etikus hackerelés során feltárni?

          A vizsgált informatikai rendszer biztonsági vizsgálata során az etikus hackerek célja a támadás szimulálása. Ilyenkor támadási pontokat keresnek. A kezdetekben a céljuk, a lehető legtöbb információ megszerzése a vizsgált rendszerről.

          Miután elegendő információt gyűjtöttek az etikus hackelés során, az információkat felhasználva megpróbálják megtalálni a sebezhetőségeket a vizsgált rendszerben. Ezeket automatizált, és manuális vizsgálatok sorozatával végzik. Még a nagyon kifinomult, és jól konfigurált rendszerek is rendelkezhetnek olyan elemekkel, amiket ki lehet használni.

          De nem állnak meg a sebezhetőségek megtalálásánál, akár ki is használhatják ezeket meglevő exploitok segítségével, hogy bebizonyítsák, mit tenne egy rosszindulatú támadó.

          Ezt követően az etikus hackerek részletes jelentést készítenek. Ez a dokumentáció tartalmazza a felfedezett sebezhetőséget, azok kihasználásának a részleteit, valamint a javításukhoz szükséges lépéseket.

          Összefoglalva, az etikus hackerek munkája nagyon összetett: át kell látniuk a vizsgált rendszert, és tisztában kell lenniük azzal, hogy mit és mit nem csinálhatnak egy adott rendszeren belül. Munkájuk igencsak fontos, hogy egy szervezet megelőzze az esetleges adatszivárgásokat, zsarolásokat, vagy hogy a rosszindulatú támadók ne tudjanak kárt okozni a rendszerben.

          Néhány híres etikus hacker

          Joanna Rutkowska – kiberbiztonsági kutató, Lengyelországból származik, és az ő nevéhez fűződik a Qubes OS nevű operációs rendszer, amit a biztonságra összpontosítva hoztak létre. Rutkowska fő területe a lopakodó malwarek ismertebb nevükön a rootkitek. Igazán ismert 2006-ban lett, amikor a Black Hat Briefing konferencián az előadása során rávilágított a Windows Vista kernel sebezhetőségére.

          Charlie Miller – munkáját tekintve leginkább az Apple termékek sebezhetőségeinek feltárásáról ismert. Legnevesebb munkáját a Pwn2Own versenyen érte el, ahol elsőként fedezett fel egy MacBook Air hibát, amiért 10.000 dolláros díjat kapott.

          Kevin Mitnic – előtörténetét tekintve Kevin egy fekete kalapos hacker, aki utána fehér kalapos lett, és tanácsadónak állt. Fekete kalapos hacker tevékenysége közé tartozott a Digital Equipment Corporation biztonsági rendszerének feltörése, ahol a betörést követően lemásolta a talált szoftvereket. Miután bizonyította képességeit a világ előtt, 2000-ben tanácsadónak állt és a híresztelések szerint az FBI részéről is kapott megbízást.

           

           

          Szerző: Szalka Marcell

          Iratkozzon fel hírlevelünkre!



            (*)



            Business Superbrands díjat nyert a FORTIX 

            Business Superbrands díjat nyert a FORTIX 

            Business Superbrands díjat nyert a FORTIX

            Minősített minőség: elismerés a legkiválóbb márkáknak

            Business Superbrands díjat nyert a FORTIX 

            Idén tizenötödik alkalommal ült össze a jelenleg 20 tagú, független szakemberekből álló bizottság, amely a FORTIX-ot érdemesnek találta a Business Superbrands 2022 védjegy viselésére. 

            A Business Superbrands program, amely az üzleti szektor (B2B) márkáinak legkiválóbbjait emeli ki, azaz olyan magyarországi cégeket, illetve márkákat, amelyek nem elsősorban a fogyasztókkal, hanem vállalkozásokkal, szervezetekkel állnak kapcsolatban. 

            A Bisnode adatbázisa alapján, továbbá a jelentős hazai szakmai szervezetek és szövetségek ajánlásainak figyelembevételével létrejövő mintegy 4000 márkát tartalmazó lista pénzügyi és szakmai szűrést követően kerül a bizottság elé. Ebbe a listába éppúgy beletartoznak a legnagyobb nyereségű hazai cégek, mint – az egyes szektorok iparkamarái, egyesületei, szakmai szervezetei által javasolt – olyan kisebb vállalkozások, amelyek az üzleti élet kiválóságainak számítanak, valamint kiemelkedő a hazai kommunikációs és márkaépítési gyakorlatuk. 

            A Superbrandsről bővebben: www.hungary.superbrands.com 

            Idén tizenötödik alkalommal ítélte oda a Superbrands Magyarország Szakértői Bizottsága a Business Superbrands díjakat. 

            A Business Superbrands a széles nagyközönség számára is ismert, a magas minőséget szimbolizáló védjegy, a nemzetközi program keretében a legkiválóbb üzleti márkák részesülnek díjazásban. A díj odaítéléséről egy többlépcsős előszűrést követően egy független, marketingszakmai és vállalatvezető szakemberekből álló bizottság dönt a minden évben. 

            Az elismerés irányt szab a fejlődésre törekvő piaci szereplők számára, és a hazai márkáknak példát mutat a sikeres márkaépítéshez. 

            A díj olyan pozitív visszajelzés a brandről, amely szakmai alapon emeli ki a legjobbakat. A díjat odaítélő bizottság az ágazat elismert szakembereiből áll, akik döntésükkel tanúsítják márkánk eddigi sikerességét és hitelességét. A jelölés kizárólag szakmai szempontok alapján történik, arra sem pályázni, sem jelentkezni nem lehet. 

            Iratkozzon fel hírlevelünkre!



              (*)