A Magyar Nemzeti Bank 11/2020. (X.20.) számú ajánlása a pénzügyi szervezetek működésének fizikai biztonsági és humánkockázat-kezelési feltételeiről (a továbbiakban: ajánlás) 2021. április 1-én, 1 éve lépett hatályba. A témába Balogh Gábor szakértőnk értelmező cikkét a Detektor 2021/1. számába jelentettük meg link: https://detektorsecurity.hu/2021/03/30/bankbiztonsagi-elvarasok-ajanlasa/. Most az „ajánlás” alkalmazása gyakorlati szempontjait tekintjük át.
A Magyar Nemzeti Bank 11/2020. (X.20.) számú ajánlása a pénzügyi szervezetek működésének fizikai biztonsági és humánkockázat-kezelési feltételeiről (a továbbiakban: ajánlás) 2021. április 1-én, 1 éve lépett hatályba. A témába Balogh Gábor szakértőnk értelmező cikkét a Detektor 2021/1. számába jelentettük meg link: https://detektorsecurity.hu/2021/03/30/bankbiztonsagi-elvarasok-ajanlasa/. Most az „ajánlás” alkalmazása gyakorlati szempontjait tekintjük át.
I. A fizikai biztonsági kockázatok és terheik
A fizikai biztonsági kockázatokat leginkább a befejezett, vagy legalább megkísérelt és a hatóság tudomására jutott, a pénzintézet tulajdonát képező, vagy kezelésében lévő vagyontárgyak (leggyakrabban készpénz) megszerzésére irányuló, a fizikai biztonság eszközeit támadó, megkerülő szándékos jogsértések számával lehetne jellemezni. Az elmúlt két év – a járvány időszaka – nem teszi lehetővé a reális adatok megállapítását. A COVID miatti intézkedések, így a kijárás korlátozása, a bankok előjegyzéses és korlátozott ügyfélfogadása önmagában is a bűncselekmények trendromboló, ám örvendetes csökkenésével járt együtt. Ehhez járult még a bankjegymentes fizetési lehetőségek bővülése és az internetes bankolás, a home office lehetőségeinek kiterjesztése, stb. Így nem reális a kockázatok bűncselekmények mennyisége szerinti elemzése. Hosszabb időszak számadataiból látható, hogy a bankok sérelmére elkövetett rablások, lopások száma – már a COVID előtti időszakban is – csökkent.
A fizikai biztonsági kockázatok terhei, az ellenintézkedések költségei, a biztosítási szerződés díjtételei a bankok költségeit szaporítják. Ráadásul ezek pro forma improduktív költségek, nem javítják közvetlenül a jövedelmezőséget. Ezek tehát – leegyszerűsítve – drágábbá teszik a bank számára az alaptevékenységek végzését, a kockázat-kiküszöbölő költségek csökkentik a pénzintézet eredményét. Arra vonatkozó vizsgálatokat pedig soha senki nem végzett Magyarországon, hogy egy bank fizikai biztonsága, annak támadhatatlansága bír-e a marketing szempontjából kifejezhető értékkel. (Az viszont kétségtelen, hogy a személyi széfszolgáltatás népszerűségét a látványos biztonsági elemek, például a vastag, áthatolhatatlannak tűnő rácsok, hatalmas zárak, stb. nagyban megalapozzák.)
A fizikai biztonsági kockázatok hatóságilag megkövetelt szintre történő csökkentése és ennek fenntartása tehát a bankok általános gazdálkodásának szerves részét képezik.
II. Mi garantálhatja a fizikai biztonságot?
Leszögezhető, hogy a biztonság számos résztényezőből tevődik össze, de egyetlen tényezője sem, így a fizikai biztonság sem érheti el a 100 %-ot, amely teljes mértékben kizárna egy jogsértést. Maslow, világhírű amerikai pszichológus aki az emberi szükségletek egymásra épülő piramisát megalkotta, még megérhette, hogy szinte minden tudományág megalkotta a maga „Maslow-piramisát”, így a biztonságvédelem is. Dr. Utassy Sándorhoz a Magyar Biztonságvédelmi Pantheon sajnos már régen elhunyt tagjához fűződik a biztonsági piramis megalkotása, ahol egymásra épülnek a megelőző védelmi intézkedések, a mechanikai védelem, az elektronikai jelzőrendszer, az élőerős védelem, a biztosítás és a piramis csúcsán a maradék kockázat.
A leggyakrabban alkalmazott fogalom egy egyensúlyi állapotot fogalmaz meg, amely a személyek és szervezetek létét és rendeltetésszerű működését veszélyeztető, szándékos jogellenes magatartások és az ezekkel szembeni védelmi eszközök, erők együtthatásaként jellemezhető. A fogalom értelmezése alapján tehát a védelemnek képesnek kell lennie a kockázatok túlnyomó többségének kiküszöbölésére, és – az „Utassy-piramis” alapján – a fennmaradó kockázat nagy többségét a biztosításnak kell lefednie, illetve egy maradvány rész a „felvállalható kockázat”. A bankok tekintetében ez úgy „fordítható le”, hogy megfelelő szabályzatok, előírás szerinti mechanikai védelem és elektronikai jelzőrendszer, a normában meghatározott élőerős védelem (központi épületek, értéktárolók, IT-központok, stb.), megfejelve a biztosított és a biztosító által is elfogadható (és általában csomagban kötött) biztosítási szerződéssel. A megmaradó kockázat (a biztosítói terminológia szerinti „önrész”) mértékét működőképesség és egyéb szempontok alapján a banknak kell felvállalnia. Az ajánlásban a kockázatarányos és hatékony védelem értelmezéseként van jelen hasonló.
A fentiek jelentősen különböznek az ajánlás értelmező rendelkezései között megfogalmazott biztonság-fogalomtól. A normaalkotó különböző intézkedések meghatározásaként és azok technikai megoldásokkal történő kikényszerítéseként határozza meg a biztonság fogalmát, némileg elrugaszkodva a biztonságvédelem tudományosan megalapozott értékeitől és felfogásától. Az értelmező rendelkezések biztonsági részelemenként adnak meghatározásokat, amelyek többsége arra is alkalmas, hogy a biztonságban csak az átlagember szintjén tájékozottak is megértsék azokat.
III. A normaalkotás esetleges problémái
Az ajánlás „…felügyeleti eszköz, amely a felügyelt intézményeket segíti, orientálja a jogszabályok felügyeleti értelmezésével, betartásával kapcsolatban, leírja a jegybank konkrét elvárásait, illetve egyes kiemelt kérdéskörökben tájékoztatja az összes piaci szereplőt, érdeklődőt. A felügyeleti szabályozó eszközök nem jogi kötelmen alapulnak, azok betartása nem kényszeríthető ki, de alkalmazásukat az MNB vizsgálja és értékeli.”
(https://www.mnb.hu/felugyelet/szabalyozas/felugyeleti-szabalyozo-eszkozok)
Már egy évvel ezelőtt is aggályosnak tűnt, hogy az ajánlásban több helyen került említésre a MABISZ, illetve a MABISZ ajánlása a „Betöréses lopás és rablásbiztosítás technikai feltételeiről”. Ez a vélemény az elmúlt időkben nem változott, sőt megerősödött, tapasztalván ennek árnyoldalait az MNB ajánlásnak történő megfelelés folyamatában és gyakorlatában.
Néhány, a MABISZ ajánlást preferáló rendelkezés tekintetében fel kell hívni további, egy évvel ezelőtt nem említett példákat annak árnyoldalaira is:
- Tudomásunk szerint a MABISZ nem rendelkezik akkreditált laboratóriummal, ahol a biztonsági, biztonságtechnikai eszközök paramétereit hitelesen dokumentálni lehetne. A MABISZ minősítő bizottsága a vizsgáló szakemberek álláspontja szerint vagy elfogadja a korábbi szabvány szerinti megfelelőséget igazoló iratot, amelyet a gyártó, vagy fogalmazó szerez be, illetve állít ki, vagy saját szakértői vizsgálatot végeztet el, azonban a jelzett laboratóriumok hiányában nem akkreditáltan.
- A MABISZ saját, egy-egy termékre vonatkozó ajánlásait meghatározott időre, pl. 5 évre adja ki. Az idő letelte után, például egy páncélszekrény, már nem rendelkezik az MNB ajánlás által megkövetelt MABISZ ajánlással. Ez akkor fordulhat elő, ha a forgalmazó már nem forgalmazza az adott terméket, vagy már felhagytak gyártásával és nem érdekeltek újabb tetemes összegért a MABISZ-hoz fordulni ajánlásért.
Azt beláthatjuk, hogy egy bank nem 5 évre vásárol egy páncélszekrényt, amelynek a telepítési, szállítási költségei is tetemesek. Mik a lehetőségei? Vagy új eszközt vesz, vagy megvásárolja egyedileg az ő saját eszközére a MABISZ közvetett szakértőitől azt a nyilatkozatot, amely tanúsítja, hogy a páncélszekrény még mindig megfelel a követelményeknek. Ez persze nem az összes ilyen típusú páncélszekrényre lesz igaz, hanem csak a bank ilyen típusú eszközeire. Viszont az MNB vizsgálata számára – jó eséllyel – meg fog felelni az egyedi nyilatkozat.
A visszás helyzet feloldása lehetne, ha a MABISZ ajánlás elfoglalná helyét a biztosítók és biztosítottak közötti szerződésekben és sehol máshol. Tüneti kezelésként a normaalkotó szervezetek a szabványok alkalmazását írhatnák elő és állami rendelkezésbe nem kerülhetne be egy nyereségérdekelt társaságok szövetsége által, nem akkreditált módon ellenőrzött megfelelőség.
IV. A kockázatértékelés, kockázatelemzés, kockázatarányosság
Az ajánlás VI. fejezete tárgyalja a címben jelzett feladatot. A hatályba lépést követően több bank számára kiderült, hogy ilyen pontosságú adatsorral ingatlanaik, épületeik, épületrészeik tekintetében nem rendelkeznek. Ezek felmérése, beszerzése (elsősorban a bérelt, vagy régi épületekben) nem volt egyszerű feladat számukra. Jó esetben viszont, a jelen állapot rögzítése elégséges volt az ajánlás követelményeinek teljesítésére. A fenntarthatóság más kérdés, mert minden változást le kell követnie a biztonságért felelős szervezetnek, személynek és a lehetséges változások között vannak a bank hatáskörén túl mutatók is (közös falazatú helyiségek túloldalán, idegen területen bekövetkező változások, például a falazat mikrorengéseivel együtt járó tevékenység –akár egy asztalosműhely létesítése).
Bár a kockázatelemzésről alapvetően e fejezet szól, de a VIII., IX., XIV., XV. fejezetekben is felbukkan követelményként az előzetes kockázatelemezés alapján elvárt tevékenység igénye. A „kockázatértékelés” kifejezés nyolc (!) különböző fejezetben fordul elő, az ajánlás szerint, szinte minden érdemleges döntést meg kell hogy előzzön a kockázatok értékelése.
Érdemes lenne a kockázatmenedzsment fogalmát bevezetni, és az öt menedzsment funkció (tervezés, szervezés, irányítás, ellenőrzés, továbbfejlesztés) alkalmazása sem lenne ördögtől való. Ez eredményezné a zökkenőmentes és elvárt biztonsági szint fenntartását a felújításoknál, új épületek, helyiségek kialakításánál, de akár csak egy arculatváltásnál, bútorcserénél. Egy szekrény áthelyezése is okozhat egy bankfiók fizikai biztonságában változást: új helyén a szekrény csökkentheti a PIR látóterét, ezzel rés keletkezhet a biztonságtechnika egységesen kiépített védelmében. (Ezért is hiba, ha a PIR teszt üzemmódban marad az átvételt követően. A figyelmes szemlélő behatárolhatja az észlelési területet.)
Az ajánlás szerint a pénzügyi szervezet „kialakítja és vezeti a személyi és szervezeti infrastruktúráját érintő biztonsági események és incidensek kockázatértékelését, valamint regiszterét”. Ez szolgál az MNB vizsgálatainak alapjául.
A „kockázatarányos” kifejezés is a varázsszavak közé tartozik. Az értéktárolás, a zónák szerint kialakított elektronikai védelem, és a további 5 helyen említett kockázatarányosság meghatározza a kockázatarányos védelem szintjét. Ettől sok eltérésre a bankoknak nincs módja. Egy bekövetkezett biztonsági incidens, vagy káresemény módosíthat ezen. Mégis, a kockázatarányosság kötelezően meghatározott szintje ellenére bekövetkezett káreseményért való felelősség, engem a közúti balesetek „nem az út- és látási viszonyoknak megfelelően” kifejezésére emlékeztet, amikor a gépkocsivezető hiába ment 30 km/óra sebességgel az esős időben, mégis elütötte az elé ugró gyalogost… Az, hogy egy komplex védelmi rendszer kockázatarányos volt-e, a bank vezetése számára nem abból derül ki, hogy soha, még csak meg sem kísérelték támadni azt, hanem abból, hogy sikeres támadás érte. Az első esetben a biztonságért felelős személyt, szervezetet a túltervezettség gyanúja kísérheti, a második esetben pedig az alultervezettség vádja fogalmazódhat meg.
V. A bankrendszer változásai
Tavaly jelentették be, hogy a MagNet Bank megvásárolja a Sopron Bankot – ez két kisebb piaci súlyú bank.
Zajlik a Sberbank magyar érdekeltségének eladása, amely nem biztos, hogy egylépcsős lesz, mert a jelenlegi vevő számára nem a magyar Sberbank volt a fő a tranzakcióban, hanem a délebbi Sberbank érdekeltségek, de a magyar bank a csomag része volt.
A Commerzbank Zrt-t az Erste Bank Hungary Zrt. vette meg, a tranzakció várhatóan még idén zárul.
A Magyar Bankholding szerint március 31-én egyesül a bankcsoport két tagbankja, a Budapest Bank és az MKB Bank. 2023-ban várható a Takarék Csoport csatlakozása is.
Az elmúlt időszakból fontos felhívni a figyelmet arra, hogy minél nagyobb a fiókhálózata egy banknak, fajlagosan annál költségesebb az elvárt fizikai biztonság megteremtése, fenntartása. Az egész országot és nem csak a nagyobb városokat lefedő fiókhálózat nagy próba elé állítja a biztonsági szervezetet. A mérethatékonyságot általában alulról nem érik el egyes bankok (azaz túlságosan kevés az ügyfelük, piaci szegmensük – szakértők 17 hazai bankot sorolnak ide), de a túlságosan nagy fiókhálózat is jelenthet problémát. (Közbevetésként meg kell említeni, hogy a pénzügyi szolgáltatói ellátottság a kistelepüléseken is, a mindenkori kormányzat érdeke is, hiszen ez az egyik feltétele a kistelepülések népességmegőrző képességének.) A biztonságnak is van logisztikai vetülete. Az ajánlásnak történő megfelelés rendszeres helyszíni jelenlétet feltételez a biztonsági szervezet tagjai részéről, ahhoz, hogy hatékony, kockázatarányos legyen a biztonság megfelelő szintjének megteremtése, fenntartása, fajlagosan viszont ez lényegesen nagyobb ráfordításokat igényel.
A fentebb jelzett tranzakciók nem járhatnak a biztonsági szint csökkenésével; csak számos szempontot tartalmazó vizsgálat elvégzése után lehet megtalálni a bankok számára a megfelelő biztonsági rendszereket és módszereket, szolgáltatókat. A tágabb értelemben vett távfelügyeleten kívül, a szolgáltatók kiválasztásánál, nagyobb szerepük lehet a helyi, vagy földrajzilag közeli (akár al-)vállalkozóknak a közlekedési költségek drasztikus növekedése miatt. Megítélésem szerint ez vezethet el a bankok prudens működéséhez.
Balogh Gábor
