Mindig jókor változó jogszabályok tartják egyedüliként a piacon egy Rogán-közeli céget

2016 júliusában lépett hatályba a pénzügyi intézmények informatikai rendszerének védelméről szóló kormányhatározat, ami előírta, hogy az érintett intézményeknek kiberbiztonsági okokból évente tanúsíttatniuk kell a rendszerüket. Ehhez pedig külső céget kell megbízniuk, amely megfelel a határozat feltételeinek, és amiknek csak egy cég tudott megfelelni: a Rogán Antal kabinetminiszterhez ezer szálon kötődő Hunguard Kft.

Néhány évvel később a pénzügyi intézmények IT-rendszerének tanúsítására jogosult szervezetek listáján feltűnt egy másik cég is, de gyakorlatilag nem igazán dolgozhatott ezen a területen. Oka, hogy előbb egy rendeletmódosítás olyan új feltételeket hozott be, amelyeknek megint csak a Hunguard felelt meg; majd idén nyáron, miután újra reálissá vált, hogy bővüljön a tanúsítók köre, akkorát szigorítottak a szabályokon, hogy a másik szereplőt hamarosan törölni is fogják a listáról.

2016. január 1-jén lépett hatályba a 42/2015. (III. 12.) Korm. rendelet „a pénzügyi intézmények, a biztosítók és a viszontbiztosítók, továbbá a befektetési vállalkozások és az árutőzsdei szolgáltatók informatikai rendszerének védelméről” címen, amelybe bekerültek az érintett intézmények rendszerének tanúsítására vonatkozó részek.

Az a cég végezhetett tanúsítást a rendelet szerint, amelyik bekerült a tanúsító szervezetek MNB által vezetett jegyzékébe. Ezeket a feltételeket kellett teljesíteni:

• kellett két, megfelelő végzettségű és tapasztalatú szakértő,
• legalább tíz teljes munkaidőben foglalkoztatott munkavállaló,
• rendelkeznie kellet legalább ötüknek a Nemzeti Biztonsági Felügyelet által kiállított személyi biztonsági tanúsítvánnyal,
• minimum 100 millió forintos felelősségbiztosítás,
• megfelelő akkreditáció a megelőző öt évből legalább négyben,
• legalább három tanúsítási referencia,
• a Nemzeti Biztonsági Felügyelet által kiállított, legalább három éve meglévő telephely-biztonsági tanúsítvány,
• és be kellett kerülniük az Alkotmányvédelmi Hivatal nyilvántartásába is.

Később ezeken a feltételeken változtattak, hogy mindig csak egy cég feleljen meg ezeknek. Ugyanakkor az Informatikai, Távközlési és Elektronikai Vállalkozások Szövetsége (IVSZ) arra a megállapításra jutott, hogy a feltételek nem álltak összhangban az információbiztonsági szakma nemzetközi szabványaival, és kizárták a feladatra amúgy alkalmas vállalkozások többségét.

A Hunguard akkoriban reagált is a kifogásokra, szerintük a kormány csak kellően szigorú feltételeket szabott, amelyeknek viszont megfelelhet több másik cég is. Végül a nyilvántartásba vett tanúsító szervezetek listáján egyedül a Hunguard szerepelt. A feltételek közül a több évre visszamenőleges okiratok megléte volt a meghatározó.

2020. május 21-én jött egy fordulat, a Hunguard mellé felkerült a listára a Certop Informatikai Kft., amely meg tudott felelni a feltételeknek. Augusztusban viszont meg is jelent a rendelet első érdemi módosítása, amely újabb feltételeket határozott meg, ami szerint a listán lévő tanúsítók végezhessék is magát a munkát. Ezeknek az új feltételeknek a két cég közül már ismét csak a Hunguard felelt meg.

A Certop 2023 tavaszára készen állt a három évvel korábbi változtatásokra, és elkezdhette a pénzügyi szervezetek tanúsítását. Alig néhány szerződést tudtak csak megkötni, mert idén júliusban – részben uniós jogszabályokra hivatkozva – újra átszabták a terület szabályozását, ezúttal elég alaposan.

Az újabb módosítás az MNB-listára kerülés feltételéül azt szabja, hogy a tanúsítani kívánó cég felkerüljön a Szabályozott Tevékenységek Felügyeleti Hatósága (SZTFH) által vezetett listára, mint magas megbízhatóságú megfelelőségértékelő szervezet. Erre a második listára viszont csak az a cég kerülhet fel, amely teljesíti az eddigieknél is jóval szigorúbb feltételeket – amire jó darabig megint csak a Hunguard lesz képes.

A feltételek visszatértek az alapokhoz, csak szigorúbb formában:

• Az eddigi tíz helyett már tizenöt teljes munkaidős munkavállalóra van szükség, ami 50 százalékos emelés. Személyi biztonsági tanúsítvány pedig öt helyett már legalább tíz főnek kell.
• Eddig három éve kellett, hogy legyen telephely-biztonsági tanúsítvány, ezentúl a megelőző kilenc évben legalább hét éven keresztül.
• Az előírt felelősségbiztosítást 100 millióról 250 millióra emelték.
• Az eredetileg előírt akkreditációs területeken („informatikai biztonsági funkciókat megvalósító szoftvertermékek és -rendszerek”) az eddigi öt évből négy év helyett már kilencből hétéves akkreditált státusz kell.
• A 2020-ban behozott területeken („a 910/2014/EU rendelet szerinti bizalmi szolgáltatások, zárt elektronikus információs rendszerek, digitális archiválást végző alkalmazások, elektronikus aláírási termékek, valamint elektronikus aláírási rendszerek”) pedig nulla-két év helyett a megelőző hét évből ötévnyi akkreditáltság a követelmény.
• Referenciából is több kell: az eredeti területeken kis- és középvállalkozásoktól negyven, más cégektől húsz darab, míg a később behozott területeken kettő.
• A vizsgálólaborokra is hasonló feltételek vonatkoznak, ezek teljesülését azonban idéntől már nem kell külön igazolni, ha a labor a tanúsító cég része – mint ahogy ez a Hunguard esetében van.

„Ezek teljesen irreális feltételek, semmi közük a tanúsításhoz, beleírhatták volna azt is, hogy legyen az auditor kék szemű és 168 centiméter magas” – mondta a területet ismerő forrás.

Az eltelt évekhez kötött feltételek az igazán fontosak, mert ezek azok, amelyeket egyszerűen nem lehet meggyorsítani: aki nem felel meg, annak ki kell várnia, így ezek a feltételek hosszú évekre bebiztosítják a Hunguard egyeduralmát.

„Jött a rendelet, hogy a tanúsító minek feleljen meg, és abban a percben a Hunguardnak már meg is volt ez a feltételrendszer. Vannak benne olyan évszámok, amiknek senki más nem fog tudni megfelelni olyan öt-hét évig” – mondta egy forrás.

A rendelet 2016. november 26-tól hatályos verziója határozza meg, hogy a tanúsító szervezet mennyi pénzt kérhet el. A meghatározó tényező a tanúsított pénzügyi intézmény mérlegfőösszege:

• 10 milliárd forint alatt legfeljebb 5 millió forintot,
• 10 és 1000 milliárd között legfeljebb 25 millió forintot, míg
• 1000 milliárd fölött legfeljebb 60 millió forintot lehet elkérni.

Az 1990-ben alapított Hunguard pénzügyi teljesítménye a kétezres évektől érhetők el, ezekből az látszik, hogy egy-egy kiugrástól eltekintve az éves nettó árbevétele általában bőven 100 millió alatti volt, az adózott eredménye pedig a kétezres évek második felében 1 millió forint környékén mozgott.

2011-ben a nettó árbevétel 49,6 millió, az adózott eredmény 0,4 millió volt, majd ahogy a Hunguard egyedüli cégként megkezdhette a közműcéges auditálást, jött egy nagyságrendi ugrás: 2015-ben 1 439 milliós nettó árbevétellel és 781 milliós adózott eredménnyel zártak. A legutóbbi céges beszámoló szerint 2022-ben a tulajdonosok 300 millió forint osztalékot vettek ki a cégből.