A kulcs te vagy – Szervezetten a kibercsalások ellen
A magyarországi Kiberpajzs Program bemutatása is szerepelt az idei, immár a VII. Alternatív Vitarendezési Konferencián, melynek részleteit dr. Fülöp Katalin, a Magyar Nemzeti Bank vezető compliance szakértője ismertette.
Hetedik alkalommal rendezte meg a Magyar Nemzeti Bank (MNB) és a keretei között működő Pénzügyi Békéltető Testület (PBT) az Alternatív Vitarendezési Konferenciát június 6-7. között. Az eseményen – amelynek egyik támogatója a Wolters Kluwer Hungary – neves hazai és külföldi szakemberek mutatták be, hogy a kibercsalások milyen kihívások elé állítják az alternatív vitarendezés szereplőit. Az eseményt élőben is követhették az érdeklődők. A résztvevők megismerhették, hogy a modern világban a digitalizáció térnyerésével és a digitális eszközök használatával milyen kockázatokkal szembesülnek a fogyasztók, milyen veszélyek fenyegetnek bennünket és ezekkel szemben hogyan, miként védekezhetünk. Ennek keretében mutatkozott be a magyarországi Kiberpajzs Program is, melynek részleteit dr. Fülöp Katalin, a Magyar Nemzeti Bank vezető compliance szakértője ismertette „A védelem egyik lehetséges eszköze – A Kiberpajzs Program Magyarországon” címmel.
(dr. Fülöp Katalin – fotó: MNB)
Előadását személyes gondolatokkal kezdte. Mint mondta, az online visszaélések témakörével kapcsolatban megállapítható, hogy az életünket több dimenzióban éljük. Az egyik az offline tér (amit megfogunk, a kezünkben érzékelhetünk), a másik az online, a kibertér. A szülők régebben is és ma is felkészítik a gyerekeket az előbbi veszélyeire. Ám mivel az utóbbi ma már nagyon meghatározó a felnőttek és a gyerekek, de az idősek világában is, ezért felelősségünk van abban, hogy átadjuk nekik azt a tudást, amire mi már szert tettünk. Persze ki hogyan, például egy hamis e-mailben lévő rossz linkre kattintással, vagy szakmai érdeklődésből vagy egy ilyen konferencián való részvétel alapján. Mindehhez persze a fogadó részéről is szükség van arra, hogy ezeket a tanácsokat elfogadja.
A Kiberpajzs lényegében egy nemzeti együttműködés a bűnmegelőzés, az igazságszolgáltatás, a nyomozati munka támogatásában, kommunikációs testületek és intézmények tevékenységében, pénzügyi intézmények és testületek, valamint a hatóságok részvételével. Mostanra pedig már egy szabályozott projektszervezetről beszélhetünk. Túl azon, hogy kiberbiztonsági edukációt végez, egy széles körű, átfogó – trendelemzésekkel, értékelésekkel alátámasztott – munka is elindult. Ennek célja, hogy támogatni tudják a szabályalkotást, illetve az intézmények ez irányú tevékenységét.
A programban résztvevők egyelőre 2027-ig vállaltak aktív elköteleződést a jelenlegi projektszervezetben, meghatározott feladatokra és munkákra. A fő tevékenysége a nevelési és oktatási programok kialakítása, a nyomozati munkát támogató javaslatok kidolgozása, egy közös tudásbank létrehozása, a nemzetközi folyamatok, megoldások felmérése, alkalmazása, továbbá a nemzetközi kapcsolatok erősítése. A szervezet távlati céljai közt szerepel, hogy a jogalkotók felé javaslatokat dolgozzon ki. Tevékenységének fókusza a kiberbűnözés visszaszorítása, illetve ideális esetben annak szinte teljes felszámolása.
A projekt két létrehozója a Magyar Bankszövetség és az MNB, mellettük résztvevője továbbá az MNB keretein belül működő Pénzügyi Békéltető Testület, a Nemzetgazdasági Minisztérium, a Nemzeti Média és Hírközlési Hatóság (NMHH), a Nemzeti Védelmi Szolgálat (NVSZ), a Magyar Államkincstár, a Rendőrség, az Igazságügyi Minisztérium (IM), a Szabályozott Tevékenységek Felügyeleti Hatósága (SZTFH), a Nemzetbiztonsági Szakszolgálat, a Nemzeti Kibervédelmi Intézet és a Médiaunió Alapítvány.
Ami az előzményeket és a célokat illeti, 2022 nyarán az MNB és a bankszövetség vezetői szándéknyilatkozatban erősítették meg, hogy a kiberbűnözés visszaszorítása érdekében együttműködnek. Ebben a hatósági oldalt az MNB képviselte. Még az év novemberében létrejött az együttműködés öt alapító intézmény részvételével, de a munka már ez idő alatt is zajlott tudásmegosztó rendezvények keretében, melyeken megtörtén az igényfelmérés is. Majd elindult a szervezeti együttműködés. Négy nagy rendezvényt is tartottak addigra, az együttműködés pedig elnyerte a Visa Special Award 2022 díját. (A szakmai elismerés minden évben egy jelentős, társadalmi üzenetet hordozó kezdeményezésre hívja fel a figyelmet. 2022-ben a Magyar Nemzeti Bank és a Magyar Bankszövetség kiberbiztonsági edukációs programjának járt az elismerés, az egész iparágat széleskörű koalícióba fogó projekt kezdeményezéséért – a szerk.) Ezután a partnerek folyamatosan csatlakoztak a kezdeményezéshez, majd a projekt elérte a jelenlegi taglétszámát.
Fő célja volt, hogy a kibervédelmi oktatás és a kommunikációs kampányokon keresztül elinduljon egy figyelemfelhívó folyamat. Bemutatva a digitális pénzügyekben szükséges óvatosság fontosságát, elsősorban a fogyasztók számára. Ám emellett egy szakmai, professzionális kört is érintő tudásmegosztás is része lett a kommunikációnak. Ez alapján 2022-2023-ban több eredményt is sikerült elérni. Megtörtént a Kiberpajzs honlap létrehozása, majd partnerséget kötöttek a Médiaunió Alapítvánnyal, amely társadalmilag kiemelt témákat igyekszik professzionális kommunikációs háttérrel támogatni. A szervezet fő kampánya A kulcs te vagy, melynek lényege, hogy magát a fogyasztót vértezzék fel azzal a tudással, miszerint ő az, aki megállíthatja a negatív folyamatokat, eseményeket. Mindemellett számos sajtómegjelenésük is volt, sok konferencián és egyéb fórumon tudtak megjelenni. Így aztán eljutottak odáig, hogy az edukáció és a kommunikáció mellett már a trendfigyelések, piaci folyamatok nyomon követése is elindulhatott.
A résztvevőkkel közös tevékenységek részeként együttműködnek a rendőrséggel és a pénzügyi szolgáltatókkal, ami egy hot-line kapcsolat létrehozását jelentette például a vagyonvisszaszerzések megsegítése érdekében. Az IM keretein belül működő áldozatsegítő központtal közösen pedig szabályozási tevékenységbe kezdtek, megelőzendő az áldozatok másodlagos viktimizációját. Mindezek mellett pedig elkezdték felmérni annak lehetőségét, miként megvalósítható, hogy bizonyos rosszindulatú tartalmakat hirdető weboldalak blokkolása megtörténhessen.
Ami az első év értékelését illeti, eredményes időszakot tudhat maga mögött a Kiberpajzs Program. A résztvevő intézmények erősen elkötelezettek abban, hogy közösen küzdjenek meg a kiberbűnözéssel. Ugyanakkor a fejlődés miatt észlelték, hogy szükséges egy olyan szervezeti forma, melyben a sok, különböző intézmény hatékonyan tud együtt dolgozni. Így alakult ki a már említett projekt-együttműködés, amelyben már konkrétan leírt feladatokat, felelősségeket és határidőket rögzítettek.
(VII. AVR Konferencia – fotó: MNB)
Ami a Kiberpajzs működési felépítését illeti, a két társalapító egyben jelenleg is a két társvezető, azaz az MNB és a bankszövetség. Emellett a társ-projektgazdák a projektirányító bizottságot és a projekt egészét is koordinálják, vezetik és a stratégiai irányokat is meghatározzák. A projektirányító bizottságban vannak a résztvevő szervezetek delegáltjai, szavazati jogkörrel. A kiemelt intézményi projekt koordinációja szintén az MNB kereteiben zajlik. A szervezetben három munkacsoport működik, az egyik a kommunikációs, amit jelenleg a bankszövetség vezet, a másik az operatív, ahol az elemzések és a folyamat-értékelések zajlanak, így megfogalmazható a legtöbb feladat is, támogatandó a Kiberpajzs célkitűzéseit. A harmadik a jogi munkacsoport. Ez minden olyan témakör jogi hátterét elemzi, mely az operatív munkacsoportnál, illetve a projektcélok kapcsán felmerül, emellett javaslatokat tesz, esetenként a jogalkotás felé is megfogalmazva.
A Kiberpajzs egyik projektje az úgynevezett spoofinggal (hívószám-hamisítás – a szerk.) és a smishinggel (sms-adathalászat, hamis banki sms – a szerk.) foglalkozik. Célja felmérni a lehetőségeket az összes releváns szereplő bevonásával, hogy szabályozási javaslatokat tudjanak megfogalmazni az érintetteknek e negatív tevékenység visszaszorítására. Ebben a szervezet komoly szakértői bázisra támaszkodhat. A gyakorlati teendők érdekében megvalósítottak egy nemzetközi kérdőívezést, ebben 32 ország válaszait dolgozta fel az egyik munkacsoport, bemutatva a nemzetközi gyakorlatokat. Az ORFK számára is összeállítottak egy kérdéssort, melynek révén a nyomozati munka során tapasztalt bűnözői magatartás elemzését tudják majd vizsgálni. Egy másik belföldi felmérésük pedig egy piackutatás volt, ehhez a magyar pénzügyi intézményektől kértek be információkat, ők hogyan használják a tömeges, aktív linket tartalmazó sms-küldési technológiát. A válasz az volt, hogy igenis használják, ami azt jelenti, hogy nemcsak rosszindulatú link lehet egy ilyen sms-ben. Ezért ennek a visszaszorításában úgy kell gondolkodni, hogy eközben ne vegyenek el egy egyébként hasznos eszközt a pénzintézetektől. A jelenlegi javaslatcsomag szerint az úgynevezett DNO-list alkalmazása jöhet szóba. Ez azoknak a hívószámoknak a listázása, amelyekről nem lehetséges hívásindítás. Számos estben ugyanis azzal a valósnak tűnő állítással tudják befolyásolni az áldozatot, hogy a hívó a rendőrségtől, netán a bankjától vagy valamelyik szolgáltatójától keresi. A listázásnak pont az lenne a lényege, hogy bizonyos védett telefonszám-lista jöhessen létre. A másik ilyen szűrési pont lehet, ha az alfanumerikus hívószámokat tudják szűrni. Vagyis, kizárólag olyan formátumú telefonszám hívása tudjon „átmenni”, amely megfelel a megállapított paramétereknek. Más megoldásokon is dolgoznak a Kiberpajzs szakemberei a rosszindulatú telefonhívások kiszűrésére, ebben sok munka vár még rájuk. A telekommunikációs cégek bevonása már megtörtént, a jövőben ennek elmélyítésén dolgoznak, hiszen az együttműködésük és a szaktudásuk is elengedhetetlen ennek megvalósításához.
Egy másik, amolyan „puha projektjük” a PIHE névre (betűszóra) keresztelt, fejlesztés alatt álló programjuk. Ezzel az a céljuk, hogy azoknak, akiket bármilyen kár ért, vagy rosszindulatú tevékenységet tapasztaltak a kibertérben, lehetőségük legyen azt bejelenteni. Ennek az internetes felületén most dolgoznak, fő koordinátora pedig az NMHH. A lényege egyfajta help-desk felület kialakítása. Ez megfelelő információt adhat a bejelentőnek, milyen típusú visszaélés esetén hová fordulhat és milyen lehetőségei, tennivalói vannak. E rendszerbe később egy visszajelzési mechanizmust is szeretnének beépíteni. A PIHE egy amolyan lágy eszköz, hatósági tevékenység nélkül, de célja, hogy a fogyasztói jelzéseket az érintett szervek tudomására hozzák. Emellett a hatóságok számára egy támpontot adó adatbázisként is szolgálhat. Az induláshoz már elkészültek a bejelentésekre szolgáló űrlapfelületek, az adatháttér kialakításáról is megtörténtek az egyeztetések. A jogi munkacsoport feladata lesz, hogy az űrlapokon szereplő tájékoztatók és információk mindenben megfeleljenek a jogszabályi előírásoknak.
Jelenleg is folyamatos a rendőrség és a pénzügyi intézmények közötti együttműködés. Ez egy hot-line kapcsolatot jelent, lényege, hogy kettejük között felgyorsulhasson az információ-csere. Látni kell ugyanis, hogy a visszaélések legnagyobb százaléka szinte másodpercek alatt zajlik le, így nincs lehetőség arra, hogy az offline világban még elfogadott például 8 vagy 30 napos határidőkben lehessen gondolkodni. Ezért alakult ki ez a hot-line együttműködés, ami egy 24 órás elérhetőségű, dedikált csatorna az intézmény és a rendőrség között; a formája lehet telefonvonal vagy akár e-mail is. Az ORFK-tól kapott friss statisztika szerint a hot-line kapcsolaton keresztül tavaly decemberben 125, januárban 90, februárban 86, márciusban pedig 39 ilyen kérés érkezett. Jelenleg tervben van, hogy újabb pénzügyi szolgáltatókkal bővüljön ez az együttműködés.
A következő a keresztazonosítás kérdése. Sok esetben például a bankunknak vagy más, megbízhatónak tűnő szolgáltatónknak adja ki magát a telefonáló. A cél, hogy ezek a hívások ellenőrizhetők legyenek. Ennek kialakításához jelenleg a módszertanokat vizsgálják, vajon mely lehetőségek kivitelezhetők a pénzintézetek részéről úgy, hogy azok kellően biztonságosak is legyenek. Vagyis, hogy az azonosítást és az ehhez szükséges kérdés-válaszokat is a hívó és a hívott egyidejűleg tudja elvégezni, ez lényegében olyan, mint egy jelszó-azonosítás. Ám ez még egy viszonylag új, kidolgozás alatt álló projektje a programnak.
Dr. Fülöp Katalin végül vázolta az idei elképzelésüket. A céljuk, hogy valós „védőfelszereléssel”, konkrét csalástípusokra bontott megoldási technikákkal lássák el a fogyasztókat. Azaz, nemcsak a veszélyekre hívják fel a figyelmüket, hanem elmondják azt is, milyen módon tudnak védekezni a csalásokkal szemben. Ezeket szeretnék a 2024-es kommunikációs kampányaikban megjeleníteni a közösségi és a hagyományos médiában, valamint más formákban egyaránt. Emellett egy alulról szerveződő társadalmi együttműködés kialakulását is szeretnék elérni, hogy az emberek egymás között is beszéljenek ezekről a csalásokról, azokra felhívják egymás figyelmét.
Különösen, hogy a jövőre készülve a Kiberpajzs Program szakemberei is arra számítanak, a csalók idővel szintet fognak lépni, a visszaélések pedig újabb technológiai kihívások elé állítják az intézményeket, a hatóságokat és persze a fogyasztókat.
A konferencián elhangzó előadások a Magyar Nemzeti Bank YouTube csatornáján megtekinthetők:
VII. Alternatív Vitarendezési Konferencia | Kibercsalások és az alternatív vitarendezés (youtube.com)
A Wolters Kluwer Hungary Kft. a Jogászvilág kiadója.