A pénzünk múlik rajtuk

Skynet
Két amerikai képviselő friss javaslata a Google, az Amazon és a Microsoft szervereinek, valamint más kritikus banki IT-szolgáltatóknak a sokkal szigorúbb szabályozásáról, felügyeletéről szól. A pénzintézetek ugyanis rengeteg feladatukat az interneten, távoli szervertermeken (a felhőn) keresztül végzik, ami jelentős sérülékenységi kockázatot hordoz.

ÜZLETKRITIKUS SZÁMÍTÁSI FELHŐK

Akár a XIX. század elején az elektromosság, manapság az internet az a kritikus infrastruktúra, amelyen „a fél világ működik”. Anno, az 1920–30-as években egy-egy áramszünet viszont közel sem okozott akkora fennakadást. Legfeljebb előkerültek a régi gáz- és petróleumlámpák Ellenben mondjuk 1965-ben és 1977-ben New Yorkban, a kilencvenes években déli szomszédainknál, a NATO-s bombázások alatt, vagy nagyobb természeti katasztrófáknál bekövetkezett hosszú áramszünetek során már óriásiak voltak az egészségi és anyagi károk, hiszen ilyenkor leáll a hűtés, a fűtés, a légcsere, a villamos járművek, a közlekedésirányítás, az intézmények, az ajtók működése, szinte az egész nagyvárosi élet.

 

NEM ELÉG MENTENI

Összességében kísérteties a hasonlóság a mai világhálót tekintve, csak utóbbi esetében jelenleg még ott tartunk, ahol az áramszolgáltatás volt a második világháború előtt. Magyarán napjainkra azért alaposan megérezzük, ha nincsen, de még valahogy megvagyunk „a kockás füzetekkel és a telefonálgatással”. Már csak azért is, mert természetesen a kritikus adatokat (például bankok, közművek, a távközlési és netes megoldások esetén) naponta többször adathordozókra mentik, így ha üzemzavar van, vissza lehet állítani a legutolsó ismert állapotot. Azaz nem minden vész el, csak legfeljebb az utolsó pár óra digitális történései.

Csakhogy ez utóbbi sem a legjobb megoldás a bankok, tőzsdék, pénzügyi elszámolórendszerek, fizetési megoldások tekintetében, hiszen ott pillanatonként tranzakciók milliói történnek. Különösen sérülékenyek az olyan struktúrák, ahol a pénzügyi adatok egy-egy külső szerverteremben, akár az adott ország határain kívül vannak. 

 

NAGYBANKOT TÁMADTAK

Ez utóbbit az európai és a magyar pénzügyi szabályozás tiltja is a bankoknak, éppen azért, hogy ne tegyék ki az adott ország elektronikus pénzrendszerét ennek az extra kockázatnak. Az Egyesült Államokban – hiába fejlettebb ott a technológia, hiába van ott a Szilícium-völgy – a banki rendszerek sérülékenyebbek. Például ott kevésbé szigorúan szabályozzák a banki műveletekhez, háttérrendszerekhez előírt számítási kapacitások kiszervezését külső szervertermekbe.

Éppen így fordulhatott elő, hogy a minap nem kevesebb mint százmillió amerikai és hatmillió kanadai banki ügyfél adatai kerültek veszélybe egy hackertámadás során. Augusztus végén látott napvilágot, hogy a Capital One Bank IT-rendszerét feltörték: nevek, címek, telefonszámok és hitelminősítési értékelések kerültek ki, sőt a híradások szerint 1,14 millió ügyfél társadalombiztosítási azonosítóját (nálunk ez a személyi számnak vagy a személyi igazolvány számának felel meg), nyolcvanezernek pedig a hitelkártyája mögött álló számlaszámát is megszerezték, ráadásul a bank nem minden adatot tárolt titkosítva. Az is csak a szerencsén múlott, hogy jelszavak és hitelkártyaszámok nem kerültek ki, így tényleges számlalecsapolásokra a lopott információk kevéssé alkalmasak.

Nem mellékes, hogy a Capital One az USA tizedik legnagyobb bankja, mi több, a kiadott hitelkártyák száma alapján az ötödik az Egyesült Államokban, azaz a bevételei harmadát ez utóbbi adja. Mégis, egy 33 éves seattle-i IT-mérnök hölgy – feltehetően egy rosszul konfigurált digitális tűzfal révén – megkerülte a szigorú banki vírusvédelmet. A gyanúsítottat egyébként azért foghatták el gyorsan, mert több online felületen (egyebek mellett a GitHubon és a Slack chatrészén) eldicsekedett tettével, ami valakinek feltűnt, s értesítette a kárt szenvedett bankot, ez utóbbi pedig az FBI-t. A Reuters jelentése szerint a nő korábban dolgozott egy olyan meg nem nevezett felhőszolgáltatónál, amely adatfeldolgozást végzett a Capital One számára. Bár erre nincs bizonyíték, de több mint valószínű, hogy azért ismerte jól a hitelintézet sérülékenységét, mert a felhőszolgáltatónál különleges, „szupertitkos” értesülésekhez jutott hozzá.

 

LÉPNEK A KÉPVISELŐK

Egy ilyen esetet követően nem meglepő tehát, hogy pár napja kiderült: két demokrata párti képviselő levélben, indítványban kéri az USA fő „pénzügyi őrző-védőjétől”, a Financial Stability Oversight Counciltól (FSOC, azaz Pénzügyi Stabilitási Felügyeleti Tanács), hogy vonja a jövőben direkt felügyelete alá a távoli szerveren futó felhőszolgáltatásokat nyújtó kulcsfontosságú vállalatokat.

A tervek szerint nem minden szerverüzemeltető lenne „célpont”, hanem csak a három legnagyobb: a Google, a Microsoft és az Amazon. Ezek együtt az ottani felhőpiac közel hatvan százalékát birtokolják. De mellettük a szigorú felügyeleti előírásokat kiterjesztenék azokra a kisebb felhőszolgáltatókra is, amelyek a pénzintézeteknek hasonló, távoli elérésű szolgáltatásokat kínálnak. A Katie Porter és Nydia Velázquez által aláírt s az FSOC-hez a minap eljuttatott indítvány szerint immár e tevékenységek is a nemzetközi pénzügyi rendszer üzletkritikus részeit jelentik, ezért indokolt a kiemelt figyelem és szigor velük szemben.