Как карантин сказался на информационной безопасности банков

Kapital.kz поговорил об этом с экспертами

Какие риски влечет за собой удалённый режим работы для коммерческих банков? И как БВУ стараются защищаться от утечек информации, кибератак, фишинга и т. д.? Об уязвимости банковского сектора в этом контексте в условиях карантина корреспондент центра деловой информации Kapital.kz поговорил с экспертами.

«На сегодняшний день нет открытой статистики по общему количеству кибератак на банковский сектор Казахстана в период карантина. С одной стороны, это понятно, так как ни один уважающий себя финансовый институт не захочет, чтобы информация о его уязвимости просочилась в открытые источники. С другой стороны, не стоит ожидать, что коронавирус каким-то образом увеличил или уменьшил количество «успешных» кибератак», — рассказывает управляющий партнёр KPMG в Казахстане и Центральной Азии Сакен Жумашев.

В то же время он обращает внимание, что вопрос по кибератакам в Казахстане давно уже стоит на повестке дня – отечественные компании, и, в частности, банки второго уровня (БВУ), постоянно над этим работают. Безусловно, коронакризис предоставил больше времени отделам по безопасности финансового сектора провести различное тестирование и заняться реализацией тех инициатив, до которых в обычном режиме не доходили руки, отмечает эксперт.

Однако, по его словам, как и до карантина, многое зависит от двух моментов. Первый — это наличие квалифицированных кадров и установка правильного оборудования и программного обеспечения. Второй немаловажный момент – это проведение тренингов, направленных на разъяснение такого понятия, как фишинговая атака, считает Сакен Жумашев.

Между тем в Ассоциации финансистов Казахстана (АФК) сообщили, что отечественные БВУ уделяют повышенное внимание вопросам информационной безопасности и применяют самые современные технологии для защиты данных от несанкционированного доступа.

«Можно сказать, у наших банков сформировалась «сильная школа» в сфере кибербезопасности, поэтому каких-либо утечек, взломов банковских систем и тому подобных инцидентов в сфере информационной безопасности не происходит, хотя за рубежом подобные ситуации не такая уж редкость», — прокомментировали в АФК.

Если говорить о дополнительных мерах защиты для работы в условиях карантина, то в них специалисты Ассоциации не видят острой необходимости, поскольку находящиеся на вооружении средства и методы защиты данных вполне адекватны уровню угроз. При этом новые риски, связанные с обеспечением безопасности удалённой работы сотрудников, по мнению ведомства, сегодня успешно нивелируются.

«В ситуации, когда большая часть персонала банков вынуждена работать из дома, на первый план выходит задача обеспечить стабильную, бесперебойную работу банковских систем с удалённым подключением сотрудников. И здесь очень важно обеспечить надёжную защиту данных, разграничение прав пользователей на том же уровне, что существовал до карантина. Каждый банк решает эту задачу самостоятельно, используя различные программно-аппаратные средства, защищенные каналы связи и протоколы с шифрованием данных, VPN-соединения и др. Поэтому несанкционированный доступ к данным в любом случае исключен», — пояснили в АФК.

Что касается фишинга и других методов социальной инженерии, то здесь проблема лежит скорее в плоскости финансовой и компьютерной грамотности клиентов, утверждают в Ассоциации. Тем временем подавляющее большинство эпизодов кибермошенничества происходят из-за излишней доверчивости и беспечности потребителей финансовых услуг.

«Например, кто-то переходит по ссылкам из рекламных писем на фальшивые сайты и оставляет там свои конфиденциальные данные; кто-то — записывает ПИН-код прямо на своей банковской карте, которую легко потерять или похитить; некоторые граждане не подозревают, что им позвонили вовсе не из банка, и они сами сообщают кибермошенникам секретные коды и другую конфиденциальную информацию», — приводят в АФК факты.

При всем этом в Ассоциации финансистов Казахстана уверены, что ни один банк не заинтересован в том, чтобы его клиенты несли финансовые потери. В этой связи каждый финансовый институт старается противодействовать злоумышленникам — добивается закрытия фальшивых сайтов, осведомляет клиентов о том, как распознать мошенника; занимается расследованиями кибермошенничества в сотрудничестве с правоохранительными органами.

Стоить отметить, что 30 мая 2020 года Постановлением Правительства РК была принята Концепция повышения финансовой грамотности на 2020-2024 годы, разработанная Агентством по регулированию и развитию финансового рынка (АРРФР). Предполагается, что реализация данного документа позволит улучшить финансовые знания потребителей финансовых услуг, защиту их прав и интересов, облегчит доступность финансовых продуктов, а также повысит доверие к финансовой системе.

Напомним, что, помимо надзорного реагирования, на АРРФР также возложены функции по обеспечению надлежащего уровня защиты интересов потребителей финансовых услуг.