2008. február 28. 11:25, Csütörtök
Hazai helyzet
Egyelőre nem tudni, Magyarország él-e annak lehetőségével, hogy a németországi adóhatóság által felajánlott CD-ből kér egy másolatot. Még nem alakított ki a Pénzügyminisztérium konkrét álláspontot ezzel kapcsolatban - mondta lapunknak Kőszegi Márk, a tárca helyettes szóvivője. Ezzel együtt arról sem döntött a kormány, hogy a jövő hét elején esedékes uniós pénzügyminiszteri tanácskozáson milyen véleményt alakít majd ki. Összességében a magyar kormányzati kommunikációba (feketegazdaság felszámolása, fehérítés) igen jól beilleszthető lenne akár egy áruba bocsátott adatbázis megvásárlása, akár a határozott fellépés az adóparadicsomok ellen. Az persze más kérdés, hogy valaha bevallaná-e bármelyik hatóság, hogy fizetett az adatokért.
Az adóhatóság bármilyen adatbázisba betekinthet a vizsgálatok során. Az egyetlen kitétel az, hogy általános információkat nem kérhet le, de konkrét személyről lényegében bármit megtudhat és a jogszabály szerint bármit fel is használhat. Vagyis elvileg a liechtensteini forrásból származó adatbázist is haszonnal forgathatnák a revizorok. Persze az ellenőrök az ország határain belül fellelhető banki adatbázisokat is felhasználhatják: nemcsak a számlakivonatokról van szó, hanem lényegében bármilyen szerződésről, melyet a bank és az ügyfél kötött. Természetesen a biztosítások és önkéntes pénztári befizetések is ebbe a kategóriába tartoznak.
A hazai hitelintézetek saját belső rendszereikben maximálisan igyekeznek meggátolni a jogosulatlan adatszerzést, ügyféladatok kimentését, illetve továbbítását. Ügyféladatokhoz - hívta fel a figyelmet Csaba József, a K&H-csoport compliance- vezetője - minden esetben a kérő személy vagy hatóság azonosításával és hitelesítésével lehet hozzáférni és csak akkor lehet továbblépni, ha az azonosítás és hitelesítés sikeres és valóban jogos a kérelem. Egy ideje a bankok már befizetést sem fogadnak el attól a személytől, aki nem tudja a terhelendő számla tulajdonosa neve mellett annak bankszámlaszámát is, mivel az utána kiadott bizonylaton olyan adatok is szerepelnek, amelyeket előzőleg a befizető nyilvánvalóan nem ismert.
Azt a bankok belső szabályzatai és ügyviteli előírásai szabják meg, hogy az ügyintéző milyen mértékben fér hozzá banki adatokhoz. A jogosultságkezelő rendszereket úgy igyekeztek összeállítani a hitelintézetek, hogy az adott ügyintéző csak akkor juthasson hozzá a kért adatokhoz, ha valóban jogosult a válaszadásra. Vannak olyan ügyfélcsoportok, amelyekhez csak az ügyintézők szűkebb csoportja férhet hozzá, ide tartozik például a private banking ügyfélkör bizonyos számlainformációja. (Ez persze nem azt jelenti, hogy ezek esetében például korlátoznák az alapszámlákhoz való hozzáférést.)
Ahogy azt a Budapest Banknál és a Citibanknál is hangsúlyozták: a munkavállalók adatot mozgatható adatrögzítőre (pendrive, CD, floppy stb.) nem tudnak menteni, mivel ennek technikai feltételei nem biztosítottak számukra. A bankoknál minden számítógépen letiltották az ilyenekre való adatmentés elérhetőségét - ez kizárólag szigorú, többszintű jóváhagyással, megfelelő és visszakövethető leltár készítésével történhet meg. Az ilyen jogosultságok engedélyeztetése szintén többlépcsős folyamat.
Az elektronikus levelezés terén a legtöbb banknál mennyiségi korlátozásokat vezettek be az elküldendő adatállomány méretét tekintve - ez persze korántsem biztosít teljes védelmet. A Citibanknál emellett tilos a csatlakozás az összes internetalapú levelezőrendszerhez, elektronikus levelet kizárólag a bank belső levelezőrendszerén keresztül, kontrollált környezetből lehet kiküldeni, maradéktalanul ellenőrizhetően. Több más pénzintézetnél - például a KDB Banknál - minden egyes tranzakció, így a számla kinyomtatása is automatikusan és visszakövethetően ellenőrizhető a rendszerben, az is látszik, hogy ki és mikor nyomtatott.
Védekezni lehet, ugyanakkor - ismeri el Csaba József - a pénzintézetek számára jelenleg nincs olyan költséghatékony megoldás, amely abszolút biztonsággal megakadályozná, megelőzné a szándékos adatlopást. A banki tevékenységeket elvben csak feddhetetlen és képzett munkatársak végezhetik, ám legalább ilyen fontos, hogy megfelelő kontrollszervezetek működjenek (compliance, IT-biztonság, belső ellenőrzés) és a banktitok védelme mellett elkötelezett, erre áldozó menedzsment is legyen. Azoknak, akiknek valamilyen okból mégis megfordul a fejükben a szabálytalan banktitokkezelés, esetleg lopás, tudniuk kell, hogy ha sikerül is, az ellenőrzési rendszerben rövid időn belül kiderül, mit csináltak.
A Pénzügyi Szervezetek Állami Felügyelete (PSZÁF) rendszeresen riportoztatja a bankszektor tagjait biztonsági kérdésekben. A banktitok és az informatikai rendszerek védelmének vizsgálata során már az induláskor minden esetben arra kíváncsi, hogy van-e az adott hitelintézetnél megfelelő szabályzat és az teljes körű-e. Ezt követi annak vizsgálata, hogy betartják-e a szabályzat elemeit - például valóban vezetnek-e nyilvántartást a hozzáférésekről és hogy valóban egyeznek-e a jogosultsági beállítások a nyilvántartással.
Ahogy a felügyeletnél elmondták, vizsgálják, hogy a folyamatok nyomon követhetőek-e, ténylegesen működik-e a naplózás, és legalább ilyen fontos, hogy milyen időtávra kereshetőek vissza a rekordok. A felügyelet szigorúan ellenőrzi, hogy a hitelintézet által kijelölt személy valóban kontrollálja-e ezt a tevékenységet. A fenti ellenőrzést minden esetben elvégzik ott is, ahol külsős hozzáférés történik a rendszerekhez. A felügyelet az elmúlt időszakban banktitoksértéssel kapcsolatos komolyabb visszaéléssel nem szembesült, határozatait szemlézve ugyanakkor kitűnik, hogy az informatikai rendszerek biztonságával, az ügyfélállományok kezelésével kapcsolatban többször talált korrigálandó, kisebb hibákat.
Informatika és tudomány