Biztonságos felhőhasználat a pénzügyi szektorban: Kockázatok és lehetőségek az MNB legfrissebb ajánlása mentén

MNB ajánlás - felhőszolgáltatások illusztráció

A pénzügyi intézmények egyre nagyobb mértékben veszik igénybe a közösségi és publikus felhőszolgáltatásokat, hogy kihasználják azok rugalmasságát és költséghatékonyságát. Az MNB 2/2025. (I.13.) számú ajánlása meghatározza a felhőszolgáltatások használatával kapcsolatos elvárásokat és kockázatkezelési gyakorlatokat.

Mi az a felhőszolgáltatás?

A felhőszolgáltatás olyan informatikai megoldás, amely lehetővé teszi az igény szerinti hálózati hozzáférést megosztott, konfigurálható számítástechnikai erőforrásokhoz. Főbb jellemzői:

Igény szerinti hozzáférés – a felhasználók önkiszolgáló módon vehetik igénybe.

Hálózati elérés – az erőforrások interneten vagy magánhálózaton keresztül elérhetők.

Megosztott erőforrások – a szolgáltató több ügyfelet szolgál ki.

Rugalmas méretezhetőség – az erőforrások gyorsan allokálhatók és felszabadíthatók.

Mért szolgáltatás – a használat alapján történik az elszámolás.

A felhőszolgáltatások négy alapvető elérési modellje a következő:

Publikus felhő – Bárki számára elérhető felhőszolgáltatás, amelyet egy külső szolgáltató üzemeltet és több ügyfél használhat.

Privát felhő – Egyetlen szervezet számára dedikált felhőinfrastruktúra, amelyet a szervezet maga vagy egy külső szolgáltató üzemeltet.

Közösségi felhő – Egy meghatározott közösség (például egy cégcsoport vagy egy ágazati szereplők csoportja) által megosztott és közösen használt felhőszolgáltatás.

Hibrid felhő – Legalább két különböző típusú (publikus, privát vagy közösségi) felhőinfrastruktúra kombinációja, amely biztosítja az adatok és szolgáltatások igény szerinti áramlását.

Az ajánlás a publikus és közösségi felhőmodellekkel foglalkozik, valamint hibrid felhő esetén annak publikus vagy közösségi elérési vonatkozásait tárgyalja. A pénzügyi szektor számára különösen fontos ezen modellek szabályozása, mivel ezek a nagy szolgáltatók által biztosított, megosztott infrastruktúrákat jelentik.

A felhőalapú megoldások három fő szolgáltatási modellben érhetők el, amelyek eltérő szintű kontrollt és menedzsmentet biztosítanak a felhasználóknak:

IaaS (Infrastructure as a Service) – A szolgáltató virtuális hardvert biztosít, míg az operációs rendszer és az alkalmazások telepítése a felhasználó feladata.
PaaS (Platform as a Service) – A szolgáltató nemcsak a hardvert, hanem az alapszoftvereket is biztosítja, így a felhasználó csak az üzleti alkalmazásokat kezeli.
SaaS (Software as a Service) – A teljes megoldás a szolgáltató kezében van, a felhasználók kész alkalmazásokat érhetnek el felhőalapú infrastruktúrán keresztül.

Felhőszolgáltatás életciklusa

A pénzügyi szektor számára a felhőszolgáltatások alkalmazása stratégiai döntés, amely jelentős előnyöket hozhat, de egyben komoly kockázatokat is rejt. Az intézményeknek a teljes életciklus során átgondolt és szabályozott megközelítést kell alkalmazniuk a felhőmegoldások bevezetésére, működtetésére és kivezetésére.

Üzleti igény és tervezés
A felhőszolgáltatás bevezetése előtt az intézményeknek alaposan mérlegelniük kell üzleti céljaikat és a lehetséges kockázatokat. A döntés-előkészítés során a költségek, a szolgáltatás rugalmassága és a biztonsági követelmények összehasonlítása mellett fontos az előnyök és hátrányok elemzése. Az üzleti kockázatok feltérképezése magába foglalja a különböző technológiai és adatkezelési megoldások értékelését, valamint annak vizsgálatát, hogy a felhőalapú működés milyen hatással lesz a meglévő rendszerekre és folyamatokra.

Kockázatelemzés
A felhőszolgáltatások bevezetése előtt az intézményeknek alapos kockázatelemzést kell végezniük, amely kiterjed az adatkezelésre, az infrastruktúra biztonságára, valamint a szolgáltató pénzügyi stabilitására és tanúsítványaira (például ISO 27001). Kiemelten fontos az adatkezelés helyszínével kapcsolatos jogi és biztonsági kockázatok vizsgálata, különös tekintettel az Európai Gazdasági Térségen kívüli adatkezelésből fakadó kihívásokra. A szolgáltatók kiválasztásánál elengedhetetlen a szerződéses biztosítékok és a kontrollmechanizmusok részletes meghatározása, amelyek garantálják az adatok biztonságát és a szolgáltatás zavartalan működését.

Bevezetés
A sikeres felhőbevezetés érdekében részletes migrációs és üzembe helyezési tervet kell készíteni, amely meghatározza az adatok és rendszerek átvitelének lépéseit. Az átállás során kiemelten fontos az adatok integritásának biztosítása és a tesztelési folyamatok megfelelő dokumentálása. Az intézményeknek gondoskodniuk kell arról, hogy a szolgáltató által biztosított környezet megfeleljen az üzleti és jogi követelményeknek, és a bevezetés ne veszélyeztesse a normál üzletmenetet.

Folyamatos ellenőrzés
A felhőszolgáltatás használata során az intézményeknek folyamatosan nyomon kell követniük a szolgáltatási szint megállapodások (SLA-k) teljesítését és biztosítaniuk kell a rendszeres auditokat. A szolgáltatásbiztonság garantálása érdekében szükséges a naplózás, az incidenskezelési folyamatok működtetése és a szolgáltató által végzett biztonsági intézkedések ellenőrzése. Egy jól működő monitoringrendszer lehetővé teszi a problémák korai felismerését és az azonnali beavatkozást az esetleges kockázatok minimalizálása érdekében.

Kivezetés
A szolgáltatás megszüntetésekor az adatok megfelelő visszatöltése és törlése elengedhetetlen a pénzügyi és jogi megfelelőség érdekében. Az üzletmenet-folytonosság biztosítása érdekében az intézményeknek dokumentált kivezetési stratégiát kell kidolgozniuk, amely részletesen leírja a felhőből való kilépés lépéseit, az alternatív megoldásokat és az adatbiztonsági követelményeket. A megfelelő előkészületek hiánya komoly kockázatokat jelenthet, ezért a kivezetési folyamatot előre tervezetten és ellenőrzött módon kell végrehajtani.

Felhőszolgáltatás-biztonsági alapelvek

Adatbiztonság
A felhőben tárolt adatok védelmét kiemelten kell kezelni, ezért azok titkosítása kötelező. Az adathozzáférések szabályozására és folyamatos naplózására megbízható mechanizmusokat kell alkalmazni, hogy biztosítható legyen az illetéktelen hozzáférések megakadályozása. Emellett olyan kontrollokat kell bevezetni, amelyek garantálják az adatok bizalmasságát, sértetlenségét és rendelkezésre állását a teljes működési időszak alatt.

Hálózati védelem
A hálózati kapcsolatok titkosítása elengedhetetlen annak érdekében, hogy az adatok védettek maradjanak az átvitel során. A behatolásérzékelő rendszerek és tűzfalak alkalmazása szintén kulcsfontosságú, hiszen ezek a megoldások segítenek az illetéktelen hozzáférési kísérletek azonosításában és kivédésében.

Jogosultságkezelés
A felhasználói jogosultságokat rendszeresen felül kell vizsgálni annak érdekében, hogy mindenki csak a számára szükséges hozzáféréssel rendelkezzen. A kiemelt felhasználók esetében kötelező a többfaktoros hitelesítés alkalmazása, amely növeli az azonosítás biztonságát. Emellett a naplózás és folyamatos monitorozás elengedhetetlen a jogosulatlan hozzáférések és szokatlan aktivitások időben történő felismeréséhez.

Üzemeltetési biztonság
Az incidenskezelési és helyreállítási terveket a felhőszolgáltatóval együttműködve kell kialakítani, hogy egy esetleges üzemzavar vagy támadás esetén gyorsan és hatékonyan lehessen reagálni. A rendszeres auditok és biztonsági tesztek – például penetrációs tesztek – végrehajtása biztosítja, hogy a rendszer megfeleljen az aktuális biztonsági elvárásoknak és az újonnan felmerülő fenyegetésekkel szemben is védett legyen.

IV. Ellenőrzés

Az MNB a pénzügyi intézmények felhőhasználatát az alábbi szempontok szerint vizsgálja:

A szolgáltató által biztosított biztonsági garanciák és tanúsítványok megléte, amelyek igazolják a megfelelő védelmi intézkedések alkalmazását.
Az adatok és rendszerek védelmére hozott intézkedések hatékonysága, beleértve az incidenskezelési és naplózási mechanizmusokat.
A szolgáltatás kivezetési stratégiájának kidolgozottsága, amely biztosítja, hogy az adatok visszatöltése és törlése megfelelően szabályozott és dokumentált legyen.
A pénzügyi intézmények belső ellenőrzési mechanizmusai, amelyek garantálják, hogy a felhőszolgáltatások használata megfelel a jogszabályi előírásoknak és a belső biztonsági irányelveknek.

Összegzés

A felhőszolgáltatások biztonságos használata a pénzügyi szektorban megfelelő kockázatkezelést és szigorú ellenőrzést igényel. Az MNB 2/2025. ajánlása részletesen meghatározza azokat az elvárásokat, amelyek alapján az intézményeknek meg kell valósítaniuk a felhőalapú rendszerek védelmét.

Az ITSecure Kft. támogatást nyújt pénzügyi intézményeknek a megfelelő felhőstratégia kialakításában, beleértve:

Kockázatelemzés és audit – A felhőszolgáltatók kiválasztása és ellenőrzése.

Biztonsági intézkedések kidolgozása – Az adatok védelmének és a hálózati biztonságnak a biztosítása.

Megfelelőségi tanácsadás – Az MNB ajánlásainak való megfelelés biztosítása.

Vegye fel velünk a kapcsolatot, és segítünk a biztonságos felhőmegoldások bevezetésében!

További tartalmaink

Bajban vagyok: képesítés nélküli IBF-et jelöltem ki!

Mit tehet, ha nem megfelelő képesítésű, illetve tapasztalatú információbiztonsági felelőst jelölt ki az Ön cége?

7 kritikus lépés a NIS2 megfeleléshez – Készen áll a változásokra?

A NIS2 irányelv jelentős változásokat hoz a kiberbiztonsági szabályozásban, és a megfelelő felkészülés kulcsfontosságú.

Hogyan biztosíthatják a pénzügyi intézmények IT-rendszereik és adataik védelmét?

A digitalizáció előretörésével az IT-biztonság kiemelt prioritássá vált a pénzügyi szektorban. Az MNB új ajánlása, az 1/2025. (I.13.) számú szabályozás részletes iránymutatást ad az intézményeknek a jogszabályi megfelelés és a kockázatalapú védelem kialakításában.

Informatikai biztonság

Audit

Adatvédelem

Informatikai szabályzatok