Кибермошенникам - бой: ЦБ Азербайджана вводит новые требования к банковской системе
© Depositphotos.com / Gorodenkoff
Подписаться
В регуляторе пояснили, что случаи хищения средств происходят даже тогда, когда граждане не сообщают преступникам данные своих банковских карт.
БАКУ, 31 янв — Sputnik. Банкам в Азербайджане придется усилить информационную безопасность. Об этом заявили в ответе на запрос Sputnik Азербайджан в Центральном банке (ЦБА).
В ЦБА заявили, что усиление систем киберзащиты банков можно обеспечить, руководствуясь требованиями к обеспечению информационной безопасности субъектов, деятельность которых на финансовых рынках контролируется ЦБА, путем реализации соответствующих мер, направленных на предотвращение кражи данных в контролируемых субъектах. Требования вступят в силу в марте 2025 года.
Отметим, что заместитель председателя правления Центробанка Вюсал Халилов заявил, что ЦБА намерен реализовать ряд мер в связи со случаями хищения средств с карточных счетов граждан страны.
По его словам, безналичные платежи становятся все более распространенными, но также учащаются случаи мошенничества.
"Это наблюдается во всех странах. К сожалению, и в Азербайджане таких случаев становится все больше. В основном это связано с тем, что граждане делятся своей личной информацией. С марта ЦБА обновит правила информационной и кибербезопасности в финансовом секторе. Это даст определенный положительный эффект. Одновременно в СМИ совместно с финансовыми институтами будет проводиться просветительская работа", - отметил Халилов.
Какими будут основные требования?
В ЦБА отметили, что в целях предотвращения кражи данных карт с помощью социальной инженерии банки и платежные учреждения должны регулярно проводить мероприятия по повышению осведомленности клиентов. В то же время рекомендуется осуществлять круглосуточный мониторинг платежей отделом или подразделениями по борьбе с мошенничеством.
"Кроме того, сообщаем, что в целях усиления киберустойчивости финансового рынка Центральным банком начата реализация инициатив Стратегии развития финансового сектора на 2024-2026 годы. Регулятор постоянно отслеживает практику ведущих стран и работает над совершенствованием законодательной базы в целях обеспечения безопасного использования платежных услуг", - говорится в информации ЦБА.
Там отметили, что постановлением правления ЦБА от 13 марта 2024 года утверждены "Правила осуществления усиленной аутентификации клиентов", разработанные в соответствии с требованиями закона "О платежных услугах и платежных системах". Регламент предусматривает особые требования к надежной аутентификации пользователей платежных услуг, а также защите конфиденциальности, целостности и безопасности их персональных данных, снижению рисков мошенничества и других противоправных действий.
В Центральном банке также заявили, что постоянно реализуют в масштабах страны просветительские мероприятия с учетом всех целевых групп. За прошедший период в рамках сотрудничества ЦБА и Ассоциации банков Азербайджана были подготовлены и размещены на страницах Центробанка и банков в социальных сетях, а также на теле- и радиоканалах просветительские видео- и аудиоролики о случаях мошенничества при использовании платежных карт.
Планируется и в текущем году продолжить совместную работу в соответствующем направлении.
Какие методы используются для кражи денег с карт?
В Центральном банке Азербайджана перечислили способы, с помощью которых мошенники совершают кражи денег с карт.
"Мошенники могут попытаться получить данные карты и незаконно использовать средства, совершая звонки, отправляя электронные письма или текстовые сообщения на ваш телефон, выдавая себя за сотрудников банка", - сообщили в ЦБА.
Наиболее часто используемыми в последнее время методами мошенников являются распространение фейковых объявлений об участии в акциях и лотереях, обещающих ценные призы, вложение средств в инвестиционные сделки на основе финансовых пирамид, обещающих высокую прибыль в короткие сроки, или получение данных карты для совершения платежа в качестве покупателя путем обращения к владельцу продукции, продаваемой через интернет. При возникновении подобных ситуаций ни в коем случае нельзя сообщать другой стороне данные карты, а также пароли, введенные на телефоне через сервис 3D Secure.
"Следует отметить, что сотрудники банка никогда не будут запрашивать у держателя карты указанную конфиденциальную информацию", - подчеркнули в Центробанке.
Деньги крадут даже у тех, кто не делится данными своих карт
В ЦБА также пояснили, что случаи хищения происходят даже тогда, когда граждане не сообщают данные своих банковских карт.
"Когда держатель карты проводит транзакции по различным отправленным ссылкам и на подозрительных сайтах, мошенники получают информацию и иногда продают ее третьим лицам через даркнет или другие сети. В результате проходит определенный период времени, и владелец карты обнаруживает, что с нее были сняты деньги. Обычно для онлайн-транзакций рекомендуется использовать отдельные дебетовые карты с низким балансом. Также рекомендуется установить максимальные лимиты для одной транзакции в зависимости от показателей использования держателем карты", - заявили в ЦБА.
Такие шаги страхуют владельца карты от больших потерь, отметил регулятор. И, как уже упоминалось, некоторые сайты могут не требовать OTP при совершении платежа. Поэтому применение лимитов держателем карты может предотвратить потерю средств.
Жалоб на кражу денег с карт стало намного больше
Эксперт в банковской сфере Акрам Гасанов сообщил Sputnik Азербайджан, что в последнее время резко выросло количество жалоб на кражу денег с карточных счетов. Не проходит и недели, чтобы он не получал подобную жалобу.
Гасанов отметил, что в большинстве случаев данные карт мошенникам предоставляют сами держатели карт.
"Обычно киберпреступники обманывают граждан, звоня им от имени банка и получая данные карт. В некоторых случаях граждане совершают онлайн-покупки на сайтах и размещают там данные своих карт. Поэтому гражданам рекомендуется никому не сообщать эти данные. И не совершайте покупки на неизвестных сайтах!" - советует специалист по банковским вопросам.
По словам эксперта, банки обычно винят самих пострадавших граждан, мол, это они сами передали данные своих карт киберпреступникам.
Гасанов отметил, что банки должны настроить систему так, чтобы каждый раз, когда гражданин пользуется картой, на его мобильный телефон отправлялось СМС, а с карты снимались средства после ввода OTP-кода. У банков есть такая услуга. Гражданин может осознанно или неосознанно, случайно предоставить эту информацию киберпреступникам.
"Банки также должны иметь систему безопасности. Процесс снятия средств с карты не должен происходить без подтверждения клиента посредством СМС. Киберпреступники не могут видеть мобильный телефон гражданина и вмешиваться в его работу. Иногда клиенты, подписавшиеся на СМС-услуги, не получают одноразовый код, и средства списываются с карты. Вина в этом уже не граждан, а банков", - заявил собеседник.
В системе информационной безопасности банков имеются пробелы
Эксперт утверждает, что при снятии с карты крупных сумм система безопасности банка должна автоматически блокировать карту, если нет СМС-подтверждения.
"Эта лазейка в банках стала очевидна после того, как с карты отца Национального героя Хокумы Алиевой было украдено 80 000 манатов. Если СМС не подтверждается, банк должен позвонить клиенту и убедиться, снимает ли он средства с карты. Ведь когда банки переводят деньги за границу, они "задают вопросы" клиенту. Все это свидетельствует о слабости системы информационной безопасности банков. Потому что иногда кражи происходят, когда гражданин не передавал данные своей карты второму лицу. Особенно это часто случается в банках с большим количеством клиентов. Грубо говоря, это происходит из-за жадности финансовых учреждений. У крупных банков так много клиентов, что они не могут обеспечить безопасность их счетов", - заявил Гасанов.
По его словам, такая ситуация вызывает резонный вопрос: почему банк, который не может обеспечить полную безопасность счетов своих клиентов, берет на себя обслуживание столь большого числа людей?
Напомним, согласно "Требованиям по обеспечению информационной безопасности в контролируемых субъектах финансовых рынков", финансовые организации должны постоянно совершенствовать систему управления информационной безопасностью (İTİS) и разрабатывать политику информационной безопасности в этом направлении.
Данная политика может пересматриваться не реже одного раза в год, а также при проверке системы управления рисками, при необходимости в нее могут быть внесены соответствующие изменения. Кроме того, политика информационной безопасности может быть пересмотрена в исключительных случаях, когда вносятся изменения для обеспечения непрерывности, адекватности и эффективности İTİS.
Оценка соблюдения настоящих требований в контролируемых организациях I категории (банки, страховщики, центральный депозитарий, Бюро обязательного страхования, кредитные бюро, организации электронных денег и операторы платежных систем) осуществляется внешним аудитором не реже одного раза в год, а в организациях II и III категорий надзора (лица, имеющие лицензию на осуществление деятельности на рынке ценных бумаг, национальный оператор почтовой связи, платежные организации, акционерные инвестиционные фонды и управляющие инвестиционными фондами; небанковские кредитные организации, за исключением кредитных союзов) аудиторскую оценку проводят не реже одного раза в два года.
20 сентября 2024, 17:05
