ITexec

ITjo_bizt.jpg
Forrás: ITB
Azonnali fizetés

Biztonság időnyomás alatt

„Az emberiség megőrült, tesztelés nélkül vesz birtokba mindent’ – mondja X., aki a kiberbiztonság terén szerzett nevet magának hazai szakmai körökben. Hajlamos a pesszimizmusra, ami az ő területén erősen javallt. Így van most X. az azonnali fizetéssel járó IT-biztonsági veszélyeket illetően is. Ha más hozzáértőket is megkérdezünk, kiderül, hogy ebben az esetben X. nincs egyedül.

Előző dolgozatomban a március 2-án hazánkban elinduló azonnali fizetési szolgáltatás kezdeteire irányítottam olvasóim figyelmét, most egy olyan aspektus következik, amely nem mellőzhető esetünkben.Kiberbiztonsági szakértőkkel és érintett szakemberekkel beszélgettem arról, hogy milyen IT-biztonsági kockázatokkal jár, járhat majd az azonnali fizetés rendszere. 
 
Előrebocsátom, hogy volt, aki egyetlen szót sem volt hajlandó a témáról ejteni, mert éppen az egyik vezető bank azonnali fizetési projektjében volt – és talán még most van – a pénzintézet segítségére, és attól tartott, hogy bármit mond, abból azonosítható lehet az ügyfele, amit viszont nagyon nem szeretne. A téma forró pite, megéri a feldolgozást. 
 
Az égnek hála, voltak olyan beszélgetőtársaim is, akik képesek voltak az általánosság szintjére emelkedni, ahol a tanulságok úgy fogalmazhatók meg, hogy nem sérül egyetlen konkrét pénzintézet jóhíre. Az egymástól függetlenül megfogalmazott legnagyobb kihívásnak tartják a megkérdezettek a csalók időben történő detektálását. Amikor négy óra állt a fizetési tranzakció megvalósítására, elegendő idő jutott a fraud, a csalási szándék felfedésére – mondják beszélgető társaim, akik szerint még egy óra is elfogadható időkeret az ilyen ellenőrzések lefuttatására. Az ötmásodperc azonban olyan rövid idő, amely alatt csak a megfelelően felkészített rendszerek képesek nagy biztonsággal kiszűrni a rosszfiúk próbálkozásait. 
 
Fontos előkészítő szabályozás volt a megerősített azonosítás kötelező bevezetése, ami csökkenti a csalás lehetőségét, – mondja egyik megkérdezettem. A mi X.-ünk szerint viszont olyan kockázatokkal is szembe kell majd néznie az érintett intézményeknek, amelyek okai a múltból eredeztethetők. Szerinte az ötmásodperces fizetés bevezetésével előhívódnak majd azok az eddig rejtett vagy negligált hibák, problémák, sebezhetőségek, amelyek a bankok központi rendszereiben mostanáig fennmaradtak – mindenféle fejlesztés dacára. 
 
A leállás nélküli (0-24-es) működés megteremti annak a lehetőségét, mondja az egyik, vészhelyzetek kiötlésére kifejezetten hajlamos szakember, hogy egy-egy kisebb bankot az ügyfelei – például a bankról elterjeszett álhírek hatására – gyors tranzakciókkal (értsd: pénzkivonással) igen rövid idő alatt térdre kényszerítsék (hacsak nincsenek felkészülve az érintettek idevonatkozó protokollokkal). 
 
X. úgy véli, főhet most a feje a szolgálatok illetékeseinek is, hiszen egy jól előkészített akcióval a rosszfiúk egyetlen perc alatt akár öt-hat bankon futtathatnak át értékhatárt (10 millió forintot) nem meghaladó összegekre darabolt vagyonokat, úgy, hogy a végén még ki is vezetik az egészet valamilyen lenyomozhatatlan bitcoinos kifizető helyre. 
 
Lehet, hogy rosszul válogattam ki őket, de tény, hogy egy sem akadt a megkérdezettjeim között, aki optimistán tekintene az azonnali fizetés kiberbiztonsági jövőjébe. Mi több, amikor megkérdeztem őket, hogy mi a haszna, értelme, üzleti indokoltsága az ötmásodperces átutalás bevezetésének, egyöntetűen úgy válaszoltak, hogy az egyórás átutalási időkeret bőven megfelel mindenkinek. 
 
Az egyik beszélgetésben próbáltam érvelni a gyors utalás mellett, és azt találtam mondani, hogy bizony egy ötmásodperc alatt végrehajtott utalás a feleségnek akár házasságot is menthet. Mire beszélgető társam csak ennyit mondott: „Ötmásodpercre! – nagy élettapaszlatról téve tanúbizonyságot. 
 
(Folytatása következik.)