Banki kibervédelem: az EKB négy hónapot adott, de a magyar bankok kimaradnak a legerősebb eszközből

Október végéig kell cselekvési tervet letennie az eurózóna legnagyobb hitelezőinek arról, hogyan védekeznek a legmodernebb mesterséges intelligencia-modellek kibertámadásai ellen.
Az Európai Központi Bank felügyeleti szerve kedden küldte szét a levelet a bankvezéreknek, a magyar háztartások számláit őrző banki kibervédelem pedig most szembesül egy kényelmetlen aszimmetriával, hogy a fenyegetést jelentő technológiához hozzáférnek amerikai intézmények, az európai bankok viszont nem.
Claudia Buch, az EKB felügyeleti testületének elnöke arra kérte a hitelezőket, hogy erősítsék meg belső rendszereiket, és ellenőrizzék a külső technológiai beszállítóikat.
A felügyelet indoklása szerint az olyan új modellek, mint az Anthropic Mythos névre keresztelt rendszere, példátlan sebességgel találják meg a szoftverek biztonsági réseit. A működő támadókód előállítása pedig perceken belül megtörténik, így a hagyományos védekezési logika erre nincs felkészülve.
Miért veszélyes a banki kibervédelem szempontjából a Mythos
A Nemzetközi Valutaalap májusi elemzése konkrét számokkal mutatta be a lépték változását (IMF-blog). A brit AI-biztonsági tesztelés szerint a Mythos előzetes a szakértői szintű behatolási feladatok mintegy 73 százalékát oldotta meg, olyan teljesítményt nyújtva, amelyet korábbi rendszerek nem értek el.
A kontrollált tesztekben a modell az esetek több mint 83 százalékában első próbálkozásra generált működő támadókódot. Ez a képesség a bankok elavuló, sokszor toldozott-foldozott informatikai rendszerei ellen fordítható.
Az Anthropic saját leírása szerint
A rendszer minden nagy operációs rendszer és böngésző sebezhetőségét megtalálja és kihasználja, méghozzá akkor is, ha nem szakértő kezeli. A Valutaalap ezért a modellt a kihívás iskolapéldájának nevezte: a meglévő támadási technikákat gépi sebességre gyorsítja.
A pénzügyi rendszer közös szoftverekre és közös szolgáltatókra épül, így egyetlen széles körben használt rés egyszerre több intézménynél nyílik meg. A washingtoni elemzés szerint a korrelált, egyidejű meghibásodás a valódi rendszerkockázat.
A veszély lényege a felezési idő összeomlása. Korábban egy szoftverhiba felfedezése és tényleges kihasználása között hetek vagy hónapok teltek el, most viszont ez az ablak órákra zsugorodik. A támadó gépi sebességgel keresi az ismeretlen réseket, miközben a védő oldalon a javítás továbbra is emberi tempóban halad. Az Európai Rendszerkockázati Testület (ESRB) kedden szintén figyelmeztetést adott ki (ESRB-közlemény), és a jelenséget a pénzügyi rendszer rendszerszintű kockázatának minősítette.
Az ESRB forgatókönyvei a kisbankok iránti bizalom fokozatos megrendülésétől az államilag támogatott kémkedésen át a fizetési és elszámolási rendszerek összehangolt megtámadásáig terjednek. A testület szerint egy incidens gyorsan átterjedhet a szektorban közösen használt technológiai szolgáltatókon keresztül, és a károkat dezinformációs kampányok is felnagyíthatják. Az EKB nem helyezett kilátásba szankciót a szabályt megszegő bankokkal szemben, a beérkező terveket viszont összehasonlításra és nyomon követésre használja.
Kövesd a hozzáférést: a banki kibervédelem kettészakadt piaca
Itt húzódik a magyar sajtó által alig érintett törésvonal. Az Anthropic a legerősebb kiberképességű modelljét nem tette nyilvánossá, mert saját kutatása szerint az több ezer, korábban ismeretlen biztonsági rést talált. Helyette a Glasswing projekt keretében egy szűk körrel osztotta meg a technológiát. Iparági beszámolók szerint a hozzáférés nagyjából 40-50 szervezetnél van, jórészt amerikai óriáscégeknél és kiberbiztonsági szállítóknál, valamint legalább egy nagy amerikai pénzintézetnél.
Az OTP elemzői is jelezték a piaci hatást. hogy április elején újabb eladási hullám söpört végig a kibervédelmi részvényeken, miután az Anthropic bemutatta a modellt. A magyar nagybank szakértői szerint a szektor a jövőbeli kockázatokat árazza, nem a jelenlegi megoldásokat. A befektetői óvatosság önmagában is jelzi, hogy a piac komolyan veszi a fenyegetést. A tőzsdei reakció és a felügyeleti riadó ugyanabból a forrásból táplálkozik.
Európai bank a jelentések szerint nincs a hozzáférők között. A kontinens hitelezői ugyanazokra az elterjedt szoftverekre és ugyanazokra a sebezhetőségekre épülnek, mint amerikai versenytársaik, a védekezéshez szükséges legfejlettebb eszközt viszont nem kapják meg.
A helyzet fából vaskarika, hogy az EKB négy hónapot ad a felkészülésre olyan fenyegetés ellen, amelynek ellenszeréhez a felügyelt bankok nem férnek hozzá. A magyar OTP, MBH és a többi hazai szereplő pontosan ebbe a szorító helyzetbe került.
A hozzáférés kérdését a washingtoni politika is alakítja. Az amerikai kormány idén tavasszal olyan elnöki rendeletet adott ki, amely megbízható partnereknek korai hozzáférést biztosít a fejlett modellekhez, hogy megerősítsék a kritikus infrastruktúra védelmét.
A keret a hazai intézményeket helyzetbe hozza, a tengerentúli hitelezők pedig kimaradnak belőle. Ebből következik, hogy a kiberképesség földrajzi elosztása immár versenyképességi és nemzetbiztonsági kérdés, nemcsak műszaki részlet.
Kémszoftver a demokrácia ellen: kifúrták a saját vizsgálóbizottságát az EU
Mit jelent ez a magyar ügyfélnek
A magyar bankszektor nem áll védtelenül, de a kitettsége valós. Az OTP saját közlése szerint 2025-ben 18,7 milliárd forintnyi kárt hárított el a lakossági digitális csatornáin. A hazai nagybankok a DORA és a NIS2 uniós szabályozás alatt működnek, és a kiberbiztonságot vezetői szinten kezelik. A friss EKB-elvárás mégis új terhet ró rájuk, hiszen a mostani fenyegetés nem az ügyfél megtévesztésére, hanem közvetlenül a bankok informatikai gerincére irányul.
A hazai szabályozási felkészülés egyébként halad. Az OTP integrált kockázatkezelési vezetője nemrég maga hangsúlyozta, hogy egyetlen világszinten elterjedt operációs rendszer használata is koncentrációs kockázatot jelent, hasonlóan ahhoz, ahogy egy bank a hitelportfólió koncentrációját figyeli. A harmadik felek kitettségének mérése a mostani EKB-levél központi eleme. A szemlélet tehát adott, a legfejlettebb védekező eszköz viszont hiányzik hozzá.
A kisembernek ez első ránézésre távoli szakpolitikai vita. Valójában a tétje a napi pénzügyi működés: a kártyás fizetés, a mobilbank és az átutalás megbízhatósága. Egy sikeres, gépi sebességű támadás egyszerre több intézménynél okozhat fennakadást, mert a bankok közös szoftvereket és közös felhőszolgáltatókat használnak.
Az ESRB éppen ezt a láncreakciót tartja a legnagyobb veszélynek, és a magyar háztartások számára is ez a legérzékenyebb pont. A hibrid fenyegetések magyar vonatkozásait korábban külön is elemeztük .
A védekezés ára szintén az ügyfélhez ér el. Az EKB alelnöke korábban tartós, évekig fennmaradó kiadásnak nevezte a kiberbiztonsági beruházást, amelyet a nagy és a kisbankoknak egyaránt vállalniuk kell. A nagy hitelezők könnyebben állják a költséget, a kisebb szereplőknek viszont megterhelő lehet. A számla végül a szolgáltatási díjakban, a fejlesztési prioritásokban és a hitelek árazásában csapódhat le.
A Polkorrekt véleménye
A brüsszeli felügyelet most a bankokra hárítja a felkészülés felelősségét, miközben a védekezés legerősebb eszközét az amerikai piac zárta el az európai intézmények elől. A magyar ügyfél joggal kérdezi, miért az ő bankja marad ki a legmodernebb védelemből, amikor ugyanazt a szoftveres kockázatot viseli, mint a tengerentúli riválisai.
A felügyeleti levél önmagában nem old meg semmit, ha nincs mögötte valódi hozzáférés és uniós szintű koordináció. Addig a banki kibervédelem terhét a kisember fizeti meg, a döntéseket viszont máshol hozzák.





