This site uses cookies, including third-party cookies that help us provide and improve our services. If you want to find out more, click “Read more” to read our Privacy Policy.

READ MORE COOKIE SETTINGS

Interview

Security Adds Value

Dr. Erik Vaskeba

Business Security Officer, Telenor Hungary

Mozgatóerő a biztonság, amely más funkciókhoz hasonlóan szintén közelebb viszi a vállalatot üzleti céljaihoz. Interjú dr. Vaskeba Erikkel, a Telenor Magyarország üzletbiztonsági vezetőjével.

A digitalizáció korában az információbiztonság stratégiai fontosságú területté válik a vállalatok életében, szervezeten belüli megítélése azonban ma még gyakran ellentmondásos. Az alkalmazottak nem egyszer duzzognak, mert a biztonsági szabályok betartását körülményesnek érzik, de olykor a vezetés is csupán a költséghelyet, a szükséges rosszat látja egy-egy biztonsági funkcióban. Ráadásul mindez időszakosan változhat is, egy-egy biztonsági esemény vagy a törvényi megfelelés változó követelményeinek hatására a szervezet biztonságtudatossága hirtelen fellángol, majd gyorsan alábbhagy, ami aligha kedvez az üzletbiztonságnak.

Dr. Vaskeba Eriket, a Telenor Magyarország üzletbiztonsági vezetőjét – aki március végén ebben a témában tart előadást az IDC Security Roadshow 2019 budapesti konferenciáján – a mobil szolgáltató tapasztalatairól kérdeztük, amelyeket a funkció szerepének megerősítésében szerzett.

IDC: Milyen szervezeti és szemléletbeli változtatásokra lehet szükség egy vállalatnál ahhoz, hogy nőjön az üzlet biztonsága? Az üzleti vagy az informatikai oldalnak kell ezért többet tennie, egyáltalán ki legyen az üzletbiztonság gazdája egy vállalatnál?

Vaskeba Erik: A Telenor Magyarországnál az üzletbiztonság funkció a műszaki területről indult, amely a rádiókommunikációs hálózat, az informatikai környezet és a létesítmények fizikai védelmét is felöleli. Az üzlet és a biztonság területének szoros összekapcsolásával kívántuk bemutatni, hogy az informatikai és a fizikai biztonság nem öncélú funkció, hanem értékteremtő erő, mivel a vállalatot hozzásegíti üzleti stratégiájának megvalósításához, céljainak eléréséhez. Mobilszolgáltatóként vállalatunk rengeteg ügyféladatot kezel, és országos lefedettségű infrastruktúrát működtet egy dinamikus, kiélezett versennyel jellemezhető piacon, ahol egy szolgáltatásleállás vagy az érzékeny adatok kiszivárgása rendkívül nagy anyagi és presztízsveszteséget okozhat. Miután elemzésekkel hitelesen alátámasztottuk, hogy a biztonsági beruházások eredményeként az üzlet komoly kockázatokat, potenciális károkat, veszteségeket kerül el, a cégünk a funkció értékteremtő képességét felismerve dedikált üzletbiztonsági szervezet létrehozása mellett döntött, és felkarolta tevékenységét. Az üzletbiztonság erősítésének elengedhetetlen előfeltétele ez a fajta támogatás.

Munkánk azóta a műszaki-informatikai területek mellett számos üzleti területre, többek között a visszaélés-megelőzésre és a kockázatkezelésre, a törvényi megfelelésre és a hatósági adatszolgáltatási igények kiszolgálására, a folyamatok belső auditálására is kiterjedt. Folyamatosan monitorozzuk és mérjük az üzletbiztonsági követelmények teljesülését a műszaki és az üzleti területek munkájában, hogy értékelést adjunk a meglévő állapotról, illetve további fejlesztéseket, változtatásokat javasoljunk. Biztonsági szempontok és ajánlások megfogalmazásával segítjük emellett az új rendszerek, technológiai megoldások és üzleti folyamatok bevezetésére indított projektek megvalósítását, és részt veszünk a vállalati stratégia formálásában is, a döntéshozók számára kimondottan üzletbiztonsági stratégiát dolgozunk ki.

Feladataink és felelősségeink köre folyamatosan bővül. A területek, amelyekkel kapcsolatban állunk, szorosan összefüggnek egymással, és mindegyiküket áthatja az informatika. A digitalizáció trendjeivel összhangban munkánk legnagyobb részben az információbiztonsághoz és a kibervédelemhez kötődik, ezt üzletbiztonsági szervezetünk felépítése is tükrözi. A tavalyi tulajdonosváltást követően csapatunk még magasabb szintre került a szervezeti hierarchiában, így már közvetlenül a vezérigazgatónak jelentünk.

IDC: Mindebből kitűnik, hogy a Telenor Magyarország felsővezetése és tulajdonosa is felismerte az üzletbiztonsági funkció jelentőségét. Ugyanez elmondható az alkalmazottakról is? A nagy sajtóvisszhangot kiváltó biztonsági események gyakran emlékeztetnek bennünket arra, hogy a védelem leggyengébb láncszeme az ember. Hogyan fejleszthető a leghatásosabban az értékes adatvagyonnal, a támadásoknak kitett rendszerekkel dolgozó kollégák biztonságtudatossága?

VE: Üzletbiztonsági csapatunk minden évben többféle programot is megvalósít a biztonságtudatosság kiértékelése, karbantartása és erősítése érdekében. Egy távközlési cégnél szinte minden alkalmazott kapcsolatba kerül az ügyfelek adataival, ezért fontos feladatunk, hogy miden kollégában tudatosítsuk, személyesen mi a szerepe az információvédelem és ezáltal az üzletbiztonság erősítésében. A frissen belépő kollégák számára a HR osztállyal közösen információbiztonsági tréninget és létesítményvédelmi bejárást tartunk, emellett rendszeresen mérjük az alkalmazottak körében a biztonsági szabályok ismeretét, betartását. Az üzletbiztonsági ismeretek felfrissítésére többek között előadásokat, műhelybeszélgetéseket és játékos – például szabadulószobás - foglalkozásokat szervezünk különböző témákban. Információvédelmi kampányaink részeként, külső partnerek bevonásával szimulált adathalásztámadásokat is indítunk, hogy ellenőrizzük, alkalmazottaink a gyakorlatban mennyire követik a szabályokat, napi munkájukat végezve felismerik-e a kockázatokra utaló jeleket. Üzleti egységek szintjén értékeljük ki a teljesítményt, az eredményeket megosztjuk velük, és ha szükséges, akkor tudásfrissítő tréningeket tartunk számukra.

Csak legvégső esetben nevesítünk, ha egy kolléga olyan súlyos hibákat vét az információk kezelésében, hogy az komolyan fenyegeti az üzlet biztonságát, és az esetet átadjuk a HR osztálynak. Évek tapasztalatai azonban azt mutatják, hogy erre a legritkábban kerül sor. A tréningekkel, az átadott ismeretek gyakorlati alkalmazásának monitorozásával és a támadásokat szimuláló tesztekkel hathatósan fejleszthető az alkalmazottak biztonságtudatossága. Fontos, hogy az ismereteket, képességeket folyamatosan fejlessze a vállalat, a biztonság minden technológiai és emberi vonatkozásának figyelmet szentelve, mert a fenyegetések és a kivédésükre szolgáló megoldások is mind kifinomultabbá válnak, gyors fejlődésükkel lépést kell tartani.

IDC: Mely technológiák jutnak majd a legnagyobb szerephez az üzletbiztonság fokozásában a továbbiakban? Miként tervezik továbbfejleszteni ezt a funkciót a Telenornál?

VE: Pusztán technológiai megoldások és információkezelési szabályok bevezetésével, a hozzáférési jogosultságok kiosztásával az üzletbiztonság nem tartható fenn, ezért szükséges a biztonságtudatosság fejlesztése. Ugyanakkor fejlett technológiai eszközök nélkül a kockázatok hatékony kezelése ma már elképzelhetetlen. Mind több ügyfelünk egyre több szolgáltatást használ többféle csatornán és eszközön keresztül. A kockázatok is ezzel arányosan nőnek, műszaki és üzleti területeinknek és üzletbiztonsági csapatunknak is olyan, gyorsan növekvő adatmennyiséget kell elemeznie a veszélyek észleléséhez, forrásuk azonosításához, hogy az pusztán emberi erővel nem oldható meg.

Egyértelműen a hatékonyságot kell növelnünk, ezért minden területen automatizáljuk bizonyos folyamatainkat, többek között a fejlett analitika, a mesterséges intelligencia bevezetésére is indítottunk már kezdeményezést. Ugyanakkor egyértelmű az is, hogy nem automatizálhatunk mindent, egyensúlyra kell törekednünk, amelyben az idő- és munkaigényes, viszont rutinszerű feladatokat veszik át tőlünk a gépek. Szakembereink így olyan üzletbiztonsági problémákra összpontosíthassanak, amelyek megoldása – például a szerződéskötés területén a visszaélés-megelőzéshez hasonlóan – ma még emberi tudást és tapasztalatot követel.

Information Security: the Key to Digital Trust

György Pávlicz

Business Information Security Officer of K&H Bank

Otthonossá kell tennünk a digitális világot az ügyfelek számára, hogy használni akarják a szolgáltatásokat, ehhez pedig szükséges, hogy biztonságban érezzék magukat. Interjú Pávlicz Györggyel, a K&H Bank üzleti információbiztonsági vezetőjével.

A pénzügyi szolgáltatások a leginkább adat- és technológiaintenzív területek közé tartoznak, amelyeket a digitalizációs trendek és az azokat kísérő jogszabályváltozások is az elsők között értek el. A hazai bankok és a Magyar Bankszövetség is folyamatosan figyelemmel kíséri a szektort érintő fejleményeket, és munkacsoportjain keresztül igyekszik kialakítani szakmai konszenzust. A szövetség információbiztonsági munkacsoportja is számos javaslatot, észrevételt fogalmaz meg többek között készülő magyar és európai jogszabályokkal kapcsolatban.

Pávlicz Györgyöt, a K&H Bank üzleti információbiztonsági vezetőjét, aki 2012 óta vezeti a munkacsoportot, az IDC Security Roadshow 2019 budapesti konferenciáján elhangzó előadása kapcsán a törvényi megfelelés szempontjából igen mozgalmas tavalyi évről, a hatályba lépett PSD2 és GDPR információbiztonsági hatásáról kérdeztük.

IDC: Az Európai Unió módosított pénzforgalmi irányelve (PSD2) a digitális pénzügyi szolgáltatások fejlődését, új – nem feltétlenül banki hátterű – piaci szereplők belépését hivatott támogatni. Milyen biztonsági kockázatokat hordoz a piac megnyitása a szolgáltatók és az ügyfelek szempontjából?

Pávlicz György: A bankszektor szereplői alapvetően üdvözlik a kezdeményezést, hogy a digitális technológiák alkalmazására termett, agilis külső szolgáltatók (third party provider, TTP-k) pezsdítsék fel a piacot, bővítsék az innovatív szolgáltatások kínálatát, mivel ez még nagyobb ügyfélelégedettséget és -aktivitást eredményezhet, így minden fél előnyére válhat. A TTP-k a szektor hagyományos szereplői által közzétett alkalmazásprogramozási interfészekhez (API-khoz) kapcsolódnak majd alkalmazásaikkal, hogy elérjék az ott kezelt ügyféladatokat vagy tranzakciókat kezdeményezzenek. A PSD2 értelmében a bankszektor szereplői kötelesek ilyen API-kat közzé- és elérhetővé tenni. Az irányelv a kockázatarányos védelemről megfogalmazott, általános szabályokon túl nem ad részletes követelményrendszert arra nézve, hogy a TTP-knek és alkalmazásaiknak milyen gyakorlati biztonsági követelményeknek kellene tanúsíthatóan megfelelniük a porondra lépéshez, ami közvetve komoly biztonsági kockázatot is jelenthet.

Vélhetően abból indult ki az irányelvet kibocsátó Európa Bizottság, hogy a bankszektor szereplői jól felfogott üzleti érdeküktől vezérelve folyamatosan őrködnek rendszereik biztonsága felett, azokat sérülékenységteszteknek vetik alá és auditáltatják, és működési szabályzatuk ezt valóban elő is írja számukra. A TTP-k üzleti érdekei elvileg ugyanezt diktálnák, de nem feltételezhető mindegyikükről, hogy kellő alapossággal elvégzi a szükséges biztonsági ellenőrzéseket, illetve a fejlesztéseket a biztonság kellő figyelembevételével végzi, ha azokat túl költségesnek és időigényesnek találja.

IDC: A PSD2-t tavaly januárig kellett átültetni a tagállamok jogszabályaiba, de az irányelven alapuló szolgáltatástechnikai szabványok (RTS-ek) némelyike kiforratlan, vagy csak az utolsó pillanatban készült el. Mennyiben befolyásolja ez a biztonságot? Mit tehetnek az érintett felek, régi és új szolgáltatók, jogszabályalkotók, szakmai szervezetek és ügyfelek a kockázatok megnyugtató menedzseléséért, az új modell lehető legbiztonságosabb működéséért?

PGY: Leginkább az nehezíti meg a bankok felkészülését, hogy a PSD2 alapján kidolgozott RTS-ek nem szabványosították a nyílt bankszolgáltatások modelljében használható API-kat, illetve csupán azt rögzítik, hogy azoknak széles körben ismert Open API specifikációnak kell megfelelniük. A bankoknak idén szeptemberig API-kon keresztül hozzáférést kell adniuk a TTP-knek ügyfeleik adataihoz, de uniformizált szabványosítás hiányában nehézkes volt a szükséges beruházásokat, fejlesztéseket megtervezni és megvalósítani.

Tavaly májusban az Európai Unió általános adatvédelmi rendelete, a GDPR is hatályba lépett, amely a hazai bankszektort ugyan nem állította lényegében újabb követelmények elé az ügyféladatok kezelése terén, mert azt a magyar „infotörvény” (2011. CXII.) már öt évvel korábbról és gyakorlatilag ugyanúgy szabályozza, de a megfelelés elmulasztásáért kiszabható bírságok összegét a GDPR az egekbe emelte, amivel tovább árnyalta a PSD2 nyomán előállt helyzetet.

Ma annyit tehetünk, hogy a szektoron belül együttműködünk, szigorúan szakmai értelemben: véleményt cserélünk, és konszenzust igyekszünk kialakítani. Ez alapján minden tagbank árnyalhatja vagy változtathatja saját fejlesztéseit. A nyílt bankszolgáltatásokhoz szükséges beruházásokat nagyon nehéz hosszabb távra előre tervezni, stratégiánk egyik fő eleme a változások folyamatos figyelemmel kísérése és a szakmai egyeztetés lehet.
Az Európai Bankhatóságnak (EBA-nak) például javasoltunk egy modellt, amelyben a szektor régi és újonnan belépő szereplőinek időközönként független információbiztonsági tesztnek kellene alávetniük magukat. Ennek eredményét az erre jogosultak láthatnák, így eldönthetnék, hogy kinek adnak hozzáférést ügyféladataikhoz. Visszajelzéseinket továbbra is megküldjük, és bízunk benne, hogy a tapasztalatok alapján a szabályozás is kiegészülhet majd az információbiztonsági alapkövetelmények ma még hiányolt, konkrét meghatározásával, de ez időbe fog telni.

IDC: A digitalizáció következtében más iparágakban is ökoszisztémákba tömörülnek a különböző lakossági és vállalati igények – például lakhatás, egészségügy, mobilitás, beszerzés – kiszolgálásában érintett piaci szereplők, hogy szolgáltatásaikat összekapcsolják. Hogyan erősíthető a hitelesség, az ügyfelek bizalma ebben a mind összetettebbé váló, digitális környezetben?

PGY: Bonyolult maga a probléma, ezért a megoldás sem lesz egyszerű. Egyrészt a vonatkozó jogszabályokat és standardokat tovább kell majd fejleszteni, hogy minél egyértelműbben szabályozzák az együttműködést, és megszabják az információbiztonság alapkövetelményeit, másrészt az ügyfeleket is meg kell győzni arról, hogy bízhatnak az ökoszisztémákban együttműködő szolgáltatóikban. Egyik sem lesz könnyű, mert a szabványosítás körül mindig üzleti érdekek ütköznek, , illetve az ügyfelek különböző csoportjai is eltérően viszonyulnak személyes adataik megadásához, a digitális térben való tevékenykedéshez.

Akármilyen összetetté is válik azonban a digitális ökoszisztéma, az ügyfélnek mindenkor módot kell adni arra, hogy könnyen és világosan áttekintse, mely adataihoz ki férne hozzá, azokat mire használná az összekapcsolt szolgáltatásokban, és eldönthesse, ehhez hozzájárul vagy sem. Ma még különböző azonosítókkal lépünk be felhasználói fiókjainkba, de ahogyan a szolgáltatások összefonódnak, a jövőben online alteregóink is mindinkább egy határozott körvonalat öltő személyiséggé állnak majd össze. Várhatóan egyetlen digitális énünk lesz, ezért meg akarunk majd győződni afelől, hogy annak minden szolgáltató csak a számára releváns oldalát ismerheti meg adatainkból, és tanúsítottan megtesz minden tőle telhetőt azok védelméért. Az ehhez szükséges transzparencia és szabályozottság gyakorlati megvalósításáig még nagyon hosszú utat kell bejárniuk a jogalkotóknak és a piaci szereplőknek, de ez megkerülhetetlen lesz a digitális bizalom megnyeréséhez és fenntartásához.

Tamási Áront idézve „azért vagyunk a világon, hogy valahol otthon legyünk benne”. A digitális világot is otthonossá kell tennünk az ügyfelek számára, hogy használni akarják a szolgáltatásokat, ehhez pedig szükséges, hogy biztonságban érezzék magukat.

Contacts

Szabolcs Uveges

Senior Conference Manager

+36 209 674 428

Miklos Anosi

Account Manager

+36 1 473 2370

About IDC

55 Years | 1100 Analysts | 110 Countries

International Data Corporation (IDC) is the premier global provider of market intelligence, advisory services, and events for the information technology, telecommunications, and consumer technology markets. With more than 1,100 analysts worldwide, IDC offers global, regional, and local expertise on technology and industry opportunities and trends in over 110 countries. IDC's analysis and insight helps IT professionals, business executives, and the investment community to make fact-based technology decisions and to achieve their key business objectives. Founded in 1964, IDC is a wholly-owned subsidiary of International Data Group (IDG), the world's leading media, data and marketing services company. To learn more about IDC, please visit www.idc.com.