Се проценува дека стотици милијарди евра се украдени во изминативе неколку години преку хакерски напади на банки и преку кражба на податоци, што ја нагласува потребата од зголемување на сајбер-безбедноста во финансискиот свет и од зголемување на свесноста на населението од опасностите што демнат во секојдневните онлајн трансакции и активности на интернет. Со оглед на тоа што новата дигитална ера носи огромни безбедносни ризици, анализиравме што се прави во Македонија за да се намали опасноста од сајбер-инциденти кај банките што би резултирале со финансиски загуби и кражба на податоци.
Народната банка свесна за ризиците
Народната банка во новиот извештај за финансиска стабилност констатира дека потребата од забрзана дигитализација и секојдневно користење на дигиталните финансиски услуги, особено во периодот по пандемијата на ковид-19 и неизвесноста предизвикана од глобалните безбедносни случувања и војната во Украина, секојдневно расте. Според НБМ, голем дел финансиски услуги во денешниот модерен свет практично не може да се замислат без дигитализацијата, која сѐ повеќе го менува финансискиот систем.
„Од друга страна, нивната поврзаност и големата зависност од ИТ-системите и електронските комуникации доведуваат до постојан пораст на ризиците од појавата на нови, напредни закани од дигиталниот простор, кои имаат способност брзо да се прошират и надвор од границите на една држава, често опфаќајќи и институции што не се нивна главна цел“, велат од Народната банка.
Иако вкупните штети од сајбер-инцидентите е тешко да се утврдат, се проценува дека само во 2018 година тие се движат од 45 милијарди долари до 654 милијарди долари во глобалната економија.
Оттаму укажуваат дека тие имаат можност релативно брзо значително да го нарушат непреченото функционирање на ИТ-системите и да имаат негативно влијание врз функционирањето и стабилноста на целокупниот финансиски и банкарски сектор.
„Во согласност со последните извештаи на релевантни меѓународни институции се забележува сериозно зголемување на ризиците од дигиталниот простор (анг. cyber risk), вклучувајќи ја и веројатноста дека овој вид ризик ќе предизвика системска криза“, велат од Народната банка.
Од тие причини, Европската централна банка како една од своите главни стратегиски цели ги дефинира потребата од засилено управување со овој ризик и потребата од зајакнување на стабилноста и отпорноста во целокупниот финансиски систем. За таа цел, во рамките на Европскиот парламент и Советот на ЕУ, во декември 2022 година е донесена нова законска регулатива за зајакнување на отпорноста на дигиталните финансиски услуги (анг. Digital Operational Resilience Act ‒ DORA).
Depositphotos
Од НБМ велат дека заради усогласување со новата законска рамка во ЕУ и најновите добри практики и стандарди на оваа тема се преземаат активности за ажурирање на подзаконската регулатива за сигурноста на информативниот систем на банката, како и за соодветно приспособување на мерките за заштита од ризикот од нападите од дигиталниот простор.
Супервизорски активности кај банките
Од Народната банка информираат дека преземаат низа активности за зајакнување на отпорноста на банките на заканите од дигиталниот простор.
„Така, во рамките на редовните теренски контроли се спроведуваат супервизорски активности за проверка на начинот на кој банките управуваат со овој ризик и се нагласува потребата од поголемо ниво на свесност за сѐ поголемиот тренд на заканите од дигиталниот простор и можноста дека тие значително ќе влијаат врз нивното непречено работење“, велат од Народната банка.
Од НБМ посочуваат дека при контролите особено внимание ѝ се посветува на оцената на потребата од подобрување на процесите на банките за реакција и справување со инцидентите поврзани со сценарија на напад од нови напредни закани од дигиталниот простор, кои може значително да ја нарушат стабилноста на ИТ-системите на банките.
Според НБМ, состојбите во поглед на заканите од дигиталниот простор во банкарскиот систем на РСМ се стабилни. Кај Народната банка се пријавени мал број значајни сигурносни инциденти поврзани со социјален инженеринг, прекин на услугите (анг. Distributed Denial of Service ‒ DDoS) и откривање злонамерен код. Притоа. финансиската штета од овие напади е незначителна.
„Како дел од овие активности, во 2022 година Народната банка им препорача на банките да ги засилат своите активности за постигнување и одржување на целното ниво на подготвеност од нападите од дигиталниот простор, давајќи им конкретни насоки за зајакнување на заштитата на нивните ИТ-системи од прекин на услугите, односно од софистицираните напади т.н. ДДОС (анг. DDoS ‒ Distributed Denial of Service)“, велат од централната банка.
Забраните за плаќања се исклучок, само кон високоризични субјекти
За да видиме како се справуваат субјектите во македонскиот банкарски сектор со ризиците што ги носи дигитализацијата,, испративме прашања до неколку големи банки. Одговори добивме само од „Комерцијална банка“. На прашањето дали постојат деловни субјекти во земјава и во странство кон кои не се дозволуваат онлајн плаќања, од банката велат дека генерално нема такви деловни субјекти, но и дека има исклучоци.
„По исклучок, забрана за онлајн плаќања со наши картички може да се постави кај: деловни субјекти што системот за детекција и превенција на злоупотреби со картички на банката ги проценил за високоризични и деловни субјекти за кои од меѓународните платежни институции ’Мастеркард’ (Mastercard) и ’Виза’ (Visa) е добиено известување дека се високоризични“, велат од банката.
Од Комерцијална банка велат дека континуирано вложуваат ресурси за одржување и зголемување на безбедноста при извршување онлајн трансакции со картичките издадени од банката.
„Најголем дел правила се дефинирани од страна на давателите на лиценци за работа со картички (’Мастеркард’ и ’Виза’) и во последната деценија се посветува висок степен на внимание и инвестиции во оваа сфера“, објаснуваат од „Комерцијална банка“.
За да ја осигури заштитата на клиентите при секоја онлајн трансакција, „Комерцијална банка“ АД Скопје ги користи следните механизми:
1. Проверка на бројот на картичка, датумот на истекување и CVV2 бројот внесени при онлајн купувањето.
2. Проверка на дневни и периодични лимити за број и износ на трансакции за интернет-плаќања.
3. Нотификации и/или СМС за секоја успешна и неуспешна трансакција преку алтернативните канали.
4. Користење т.н. протокол EMV 3D Secure за највисоко ниво на безбедност при онлајн трансакции. Протоколот 3D Secure користи метод на автентикација базиран на ризик на трансакција. За ризичните и невообичаените трансакции се испраќа еднократен код (OTP) до клиентот, кој мора да се внесе на интернет-страницата за да се реализира плаќањето.
5. Токенизација на картичките преку сервисите за токенизација на „Мастеркард“ и „Виза“ на онлајн страници кај големите светски трговци.
6. Користење напредни системи за детекција и превенција од злоупотреби со картички во реално време (fraud monitoring системи).
7. Континуирана едукација на клиентите за безбедно користење на картичките на интернет и сл.
Од „Комерцијална банка“ додаваат дека како и во секоја сфера на современото живеење, така и овој дел од дигиталниот свет не е имун на ризици.
„Може слободно да кажеме дека имплементацијата на технички мерки е на завидно ниво, при што ’Комерцијална банка’ им овозможува на своите клиенти во секој момент да се информирани за своите трансакции преку известувања и нотфикации во мобилната апликација, се испраќаат кодови за верификација на онлајн трансакции по однапред дефинирани правила, а во идниот период следува и дополнителен развој на овој сегмент во согласност со најновата регулатива, која стапува во сила следната година“, велат од банката.
Не наседнувајте на лажни игри и СМС
Во последно време станува сѐ поочигледно дека техничките мерки мора да бидат дополнети со поголемо внимание од корисниците на картички, укажуваат од „Комерцијална банка“.
„Имено, има јавно достапни информации за клиенти што сѐ почесто споделуваат лични доверливи податоци со злонамерни корисници на истите тие. Овие споделувања најчесто се резултат на лажни наградни игри преку социјалните мрежи, лажни СМС или имејл-пораки за поштенски пратки и слично“, велат од банката.
Оттаму посочуваат дека иако споменатото споделување и злоупотреба на податоците се случуваат надвор од банкарските системи, последиците се рефлектираат во состојбата на банкарските сметки.
„Тоа е доволен мотив за банката да врши континуирана едукација и потсетување на клиентите за заштита на своите лични и доверливи податоци, како и повремена забрана за вршење трансакции на одредени износи и/или кон одредени трговци, насочени кон заштита на средствата на клиентите“, велат од банката.
Depositphotos
Од „Комерцијална банка“ велат дека станува збор за континуиран и динамичен процес што бара постојано следење, анализа и преземање активности, бидејќи развојот на дигиталниот свет неминовно носи и предизвици од овој тип.
„Би сакале да ги потсетиме клиентите дека на веб-страницата на банката се објавени совети за безбедно користење на картичките, а имаат можност и за добивање дополнителни информации преку 24-часовниот Центар за грижа за корисниците на картички“, велат од банката.
На прашањето колку пари годишно во просек инвестира во сајбер-безбедноста, од банката велат дека континуирано се инвестира во опрема, алатки и човечки капитал за сајбер-безбедност и редовно се следат и имплементираат највисоките меѓународни стандарди за безбедност.
„Во исто време банката ги исполнува и барањата на домашната регулатива за постигнување високо ниво на заштита во дигиталниот простор. Како пример, во 2022 година ’Комерцијална банка’ инвестираше во делот за сајбер-безбедност повеќе од 10 проценти од вкупниот буџет за набавка и одржување ИКТ-опрема“, велат од банката.
.webp){kind=icon}
