Budapest, 2020. november 19. – Az MNB új ajánlása szigorú elvárásokat fogalmaz meg a pénzügyi intézmények és – a járvány miatt egyre nagyobb számú – távmunkázó munkavállalóik, illetve szerződéses partnereik közti digitális kommunikáció kialakítására, hitelesítésére és folyamatos kontrolljára vonatkozóan. Nem engedhető meg az adatszivárgás, s a pénzügyi intézményeknek IT-biztonság szempontjából teljes mértékben kontrollálniuk kell a távmunkás kommunikációt.
A Magyar Nemzeti Bank (MNB) ajánlást jelentetett meg honlapján a pénzügyi intézmények munkavállalóinak, szerződéses munkatársainak – pl. egy járványhelyzet miatti – távmunkájával és távoli hozzáféréseivel kapcsolatos informatikai biztonsági követelményekről. A pandémiás kijárási korlátozások miatt ugyanis egyre több bank, biztosító stb. áll át a tömeges távmunkára. Ezáltal a piacon teret nyertek az adott intézmény által informatikailag nehezebben kontrollálható, pl. felhőszolgáltatásokon alapuló csoportmunka, videókonferencia stb. IT-megoldások, melyek megfelelő használatához az MNB az ajánlás közzétételével kíván segítséget nyújtani.
A jegybank ezért legkésőbb 2021. január 1-jétől elvárja, hogy a pénzügyi intézmények IT-biztonsági szabályzatai egészüljenek ki a távmunkához szükséges hozzáféréseket szabályozó dokumentummal. A piaci szereplőknek kockázatelemzést és e rizikót csökkentő intézkedési terveket kell készíteniük a távmunkával kapcsolatos IT-biztonsági kockázatokról, a résztvevő személyekre, folyamatokra és rendszerekre vonatkozóan. Szükséges az is, hogy iránymutatást és oktatást is adjanak távmunkázó munkatársaiknak a távoli kapcsolat (pl. operációs rendszerek, programok) felépítéséről, biztonsági beállításairól, illetve a felmerülő IT-kockázatok kezeléséről.
A pénzügy intézmények és a távoli felhasználói munkatársak, szerződött partnerek közti kommunikáció csak fokozott titkosítással, összetett jelszavakkal, s több faktoros hitelesítéssel történhet. Az MNB javasolja, hogy az intézmények biztosítsanak saját eszközöket (notebook, okostelefon, tablet) a távmunkához. A munkatársak vagy harmadik fél saját eszközeinek használata e célra csak az intézmények belső rendszereihez való korlátozott hozzáférésekkel, illetve további kontrollintézkedésekkel (pl. harmadik félnél titoktartási nyilatkozat) fogadható el.
Jegybanki elvárás, hogy a pénzügyi intézmények hálózatához a távmunka során csak az IT-biztonsági előírásoknak megfelelő, ellenőrzött és engedélyezett eszközök csatlakozzanak. Tiltani, de minimum korlátozni kell az adatszivárgás szempontjából kockázatos weboldalakat és szolgáltatásokat (pl. közösségi média, publikus felhő alapú adattárolók, fájlmegosztók és webmail). A távmunkát szolgáló IT-eszközök és rendszerek folyamatos működőképességére megfelelő számú és képzettségű informatikai szakembert kell alkalmazni.
A pénzügyi intézményeknek a távoli felhasználók tele- és videókonferenciás, online chat stb. kapcsolattartása során is gondoskodniuk kell e kommunikációs csatornák bizalmasságáról, sértetlenségéről és hitelességéről. Az ügyfelekkel való telefonhívások távmunkában történő rögzítése (pl. az értékpapírpiaci megbízásoknál) elektronikus úton kell történjen. Ha ez valami miatt időlegesen akadályba ütközne, akkor minél hamarabb vissza kell térni az átmeneti alternatív (pl. kézi) adatrögzítési módokról az elektronikus megoldásra.
Magyar Nemzeti Bank