2016 júliusában lépett hatályba a pénzügyi intézmények informatikai rendszerének védelméről szóló kormányhatározat, ami előírta, hogy az érintett intézményeknek kiberbiztonsági okokból évente tanúsíttatniuk kell a rendszerüket. Ehhez pedig külső céget kell megbízniuk, amely megfelel a határozat feltételeinek, és amiknek csak egy cég tudott megfelelni: a Rogán Antal kabinetminiszterhez ezer szálon kötődő Hunguard Kft.
Néhány évvel később a pénzügyi intézmények IT-rendszerének tanúsítására jogosult szervezetek listáján feltűnt egy másik cég is, de gyakorlatilag nem igazán dolgozhatott ezen a területen. Oka, hogy előbb egy rendeletmódosítás olyan új feltételeket hozott be, amelyeknek megint csak a Hunguard felelt meg; majd idén nyáron, miután újra reálissá vált, hogy bővüljön a tanúsítók köre, akkorát szigorítottak a szabályokon, hogy a másik szereplőt hamarosan törölni is fogják a listáról.
2016. január 1-jén lépett hatályba a 42/2015. (III. 12.) Korm. rendelet „a pénzügyi intézmények, a biztosítók és a viszontbiztosítók, továbbá a befektetési vállalkozások és az árutőzsdei szolgáltatók informatikai rendszerének védelméről” címen, amelybe bekerültek az érintett intézmények rendszerének tanúsítására vonatkozó részek.
Az a cég végezhetett tanúsítást a rendelet szerint, amelyik bekerült a tanúsító szervezetek MNB által vezetett jegyzékébe. Ezeket a feltételeket kellett teljesíteni:
- kellett két, megfelelő végzettségű és tapasztalatú szakértő,
- legalább tíz teljes munkaidőben foglalkoztatott munkavállaló,
- rendelkeznie kellet legalább ötüknek a Nemzeti Biztonsági Felügyelet által kiállított személyi biztonsági tanúsítvánnyal,
- minimum 100 millió forintos felelősségbiztosítás,
- megfelelő akkreditáció a megelőző öt évből legalább négyben,
- legalább három tanúsítási referencia,
- a Nemzeti Biztonsági Felügyelet által kiállított, legalább három éve meglévő telephely-biztonsági tanúsítvány,
- és be kellett kerülniük az Alkotmányvédelmi Hivatal nyilvántartásába is.
Később ezeken a feltételeken változtattak, hogy mindig csak egy cég feleljen meg ezeknek. Ugyanakkor az Informatikai, Távközlési és Elektronikai Vállalkozások Szövetsége (IVSZ) arra a megállapításra jutott, hogy a feltételek nem álltak összhangban az információbiztonsági szakma nemzetközi szabványaival, és kizárták a feladatra amúgy alkalmas vállalkozások többségét.
A Hunguard akkoriban reagált is a kifogásokra, szerintük a kormány csak kellően szigorú feltételeket szabott, amelyeknek viszont megfelelhet több másik cég is. Végül a nyilvántartásba vett tanúsító szervezetek listáján egyedül a Hunguard szerepelt. A feltételek közül a több évre visszamenőleges okiratok megléte volt a meghatározó.
2020. május 21-én jött egy fordulat, a Hunguard mellé felkerült a listára a Certop Informatikai Kft., amely meg tudott felelni a feltételeknek. Augusztusban viszont meg is jelent a rendelet első érdemi módosítása, amely újabb feltételeket határozott meg, ami szerint a listán lévő tanúsítók végezhessék is magát a munkát. Ezeknek az új feltételeknek a két cég közül már ismét csak a Hunguard felelt meg.
A Certop 2023 tavaszára készen állt a három évvel korábbi változtatásokra, és elkezdhette a pénzügyi szervezetek tanúsítását. Alig néhány szerződést tudtak csak megkötni, mert idén júliusban – részben uniós jogszabályokra hivatkozva – újra átszabták a terület szabályozását, ezúttal elég alaposan.
Az újabb módosítás az MNB-listára kerülés feltételéül azt szabja, hogy a tanúsítani kívánó cég felkerüljön a Szabályozott Tevékenységek Felügyeleti Hatósága (SZTFH) által vezetett listára, mint magas megbízhatóságú megfelelőségértékelő szervezet. Erre a második listára viszont csak az a cég kerülhet fel, amely teljesíti az eddigieknél is jóval szigorúbb feltételeket – amire jó darabig megint csak a Hunguard lesz képes.
A feltételek visszatértek az alapokhoz, csak szigorúbb formában:
- Az eddigi tíz helyett már tizenöt teljes munkaidős munkavállalóra van szükség, ami 50 százalékos emelés. Személyi biztonsági tanúsítvány pedig öt helyett már legalább tíz főnek kell.
- Eddig három éve kellett, hogy legyen telephely-biztonsági tanúsítvány, ezentúl a megelőző kilenc évben legalább hét éven keresztül.
- Az előírt felelősségbiztosítást 100 millióról 250 millióra emelték.
- Az eredetileg előírt akkreditációs területeken („informatikai biztonsági funkciókat megvalósító szoftvertermékek és -rendszerek”) az eddigi öt évből négy év helyett már kilencből hétéves akkreditált státusz kell.
- A 2020-ban behozott területeken („a 910/2014/EU rendelet szerinti bizalmi szolgáltatások, zárt elektronikus információs rendszerek, digitális archiválást végző alkalmazások, elektronikus aláírási termékek, valamint elektronikus aláírási rendszerek”) pedig nulla-két év helyett a megelőző hét évből ötévnyi akkreditáltság a követelmény.
- Referenciából is több kell: az eredeti területeken kis- és középvállalkozásoktól negyven, más cégektől húsz darab, míg a később behozott területeken kettő.
- A vizsgálólaborokra is hasonló feltételek vonatkoznak, ezek teljesülését azonban idéntől már nem kell külön igazolni, ha a labor a tanúsító cég része – mint ahogy ez a Hunguard esetében van.
„Ezek teljesen irreális feltételek, semmi közük a tanúsításhoz, beleírhatták volna azt is, hogy legyen az auditor kék szemű és 168 centiméter magas” – mondta a területet ismerő forrás.
Az eltelt évekhez kötött feltételek az igazán fontosak, mert ezek azok, amelyeket egyszerűen nem lehet meggyorsítani: aki nem felel meg, annak ki kell várnia, így ezek a feltételek hosszú évekre bebiztosítják a Hunguard egyeduralmát.
„Jött a rendelet, hogy a tanúsító minek feleljen meg, és abban a percben a Hunguardnak már meg is volt ez a feltételrendszer. Vannak benne olyan évszámok, amiknek senki más nem fog tudni megfelelni olyan öt-hét évig” – mondta egy forrás.
A rendelet 2016. november 26-tól hatályos verziója határozza meg, hogy a tanúsító szervezet mennyi pénzt kérhet el. A meghatározó tényező a tanúsított pénzügyi intézmény mérlegfőösszege:
- 10 milliárd forint alatt legfeljebb 5 millió forintot,
- 10 és 1000 milliárd között legfeljebb 25 millió forintot, míg
- 1000 milliárd fölött legfeljebb 60 millió forintot lehet elkérni.
Az 1990-ben alapított Hunguard pénzügyi teljesítménye a kétezres évektől érhetők el, ezekből az látszik, hogy egy-egy kiugrástól eltekintve az éves nettó árbevétele általában bőven 100 millió alatti volt, az adózott eredménye pedig a kétezres évek második felében 1 millió forint környékén mozgott.
2011-ben a nettó árbevétel 49,6 millió, az adózott eredmény 0,4 millió volt, majd ahogy a Hunguard egyedüli cégként megkezdhette a közműcéges auditálást, jött egy nagyságrendi ugrás: 2015-ben 1 439 milliós nettó árbevétellel és 781 milliós adózott eredménnyel zártak. A legutóbbi céges beszámoló szerint 2022-ben a tulajdonosok 300 millió forint osztalékot vettek ki a cégből.
Egy szakember véleménye szerint: „Egyértelműen látja mindenki, hogy miről van szó. És akkor mi van? Ez egy következmények nélküli ország.”