Банкеръ Weekly

Владимир Икономов, председател на ACFE България, пред "Банкеръ"

PSD2 мотивира банките да обезопасят дигиталните плащания

Владимир Икономов е председател на УС на Асоциацията на сертифицираните експерти по разкриване на измами – България (ACFE Bulgaria) и ръководител „Организация и контрол на проектни дейности“ в „Първа инвестиционна банка“ АД.


  • В момента има много измами от типа "сайтове фантоми", които продават много евтини маркови стоки, които в големите търговски сайтове са значително по-скъпи.

  • Банките в България, а и в Европа имат сериозни канали за интернет банкиране

  • Ресурсът от специалисти по киберсигурност е ограничен и това се наблюдава всяка година

  • От 2018 г. до сега в ЕС са наложени глоби в размер на над 460 млн. евро по регламента GDPR

Г-н Икономов, бихте ли очертали основната група финансови измами в интернет. Кои са най-често срещаните?

- Най-общо финансовите измами в интернет биха могли да бъдат класифицирани в основно две големи групи - измами с картови плащания и измами с интернет банкиране. Това са и най-преобладаващите измами в спектъра от дигитални услуги за разплащане. При картовите плащания онлайн преобладават измамите от недобросъвестни търговци, което е и най-големият процент от гледна точка на загуби за крайните клиенти и организациите, които обслужват плащанията им. На второ място при картовите плащания са измами с откраднати или загубени данни – например чрез фишинг или при пробив и изтичане на данни от големи търговци или картови оператори. Относно измамите с интернет банкиране се наблюдават измами от типа CEO Fraud, което е подкатегория на фишинга, но с конкретна насоченост към определено физическо или юридическо лице. Друг срещан тип измами с интернет банкиране са Account Takeover измамите, или тези, при които данните за достъп и автентификация биват компрометирани от трета страна, най-често чрез фишинг, зловреден софтуер или комбинация от двете. 

Забелязвате ли някакви нови тенденции, които трябва да държат потребителите нащрек?

- Постоянно ниво на растеж се наблюдава при фишинг измамите, успехът на които зависи най-общо от нивото на дигитална подготовка и осъзнатост на самия краен потребител. При тези измами много често потребителите несъзнателно и доброволно споделят данните си или инсталират несъзнателно зловреден софтуер на използваните от тях работни станции, чрез който впоследствие биват компрометирани финансовите или личните им данни. Над 85% от фишинг атаките са концентрирани в три основни области: финансови услуги – около 20%, социални медии – около 25% и услугите по съхранение на информация (напр. клауд услуги) – около 40%. Тоест атаките са към най-масовите услуги.

Всички тези услуги се управляват от мощни частни организации, например Google и Facebook. Те са наясно с рисковете от фишинг атаките и са създали механизми да пресичат компрометирането на потребителските профили чрез различни инструменти. Въпросът е дали крайният потребител ще има желанието да ги приложи. Най-простото нещо е хората да активират своята двуфакторна автентификация. Абсолютно всяка една услуга го предлага. Тази автентификация най-общо може да се дефинира като допълнителен метод, чрез който потребителят доказва пред доставчика на услугата, че това наистина е той. Например всеки път, когато влизате във Facebook, в електронна поща, облачна услуга или интернет банкиране, да се изисква допълнителен код – най-често чрез push нотификация от мобилно приложение или резервен вариант – чрез SMS на предварително посочен и потвърден от потребителя мобилен номер. Това намалява значително риска от компрометиране на профили в резултат на фишинг атаки.

Както казах по-рано, при измамите с интернет банкиране присъстват чрез използване на зловреден софтуер. В основата си този тип измами започват своя живот в резултат на фишинг или неволно отворен сайт в интернет. Немалко хора разчитат на нелицензиран софтуер – като операционна система и антивирусна програма. Използването на такъв софтуер носи своите последици.

Относно плащанията с карти следва да се има предвид, че в момента клиентите не бива да рискуват и да пазаруват и плащат в сайтове, които не са им добре познати. В момента има много измами от типа "сайтове фантоми", които продават много евтини маркови стоки, които в големите търговски сайтове са значително по-скъпи. След плащането или не получавате тези стоки, или след като ги получите, вашите данни успоредно с плащането са откраднати и продадени. Това може да доведе и до източване на картата на потребителя на виртуален POS терминал без 3D сигурност и представлява много голям риск. 

Особено чувствителен е въпросът, когато говорим за дигитални плащания. Успяват ли банките и финансовите институции да поддържат високо ниво на сигурност?

- Да. От една страна, регламента PSD2 много спомогна за мотивацията на банките в тази посока чрез налагането на много строги мерки за т.нар. задълбочено установяване на идентичността на платеца. От друга страна, гарантирайки сигурността на плащанията в своите дигитални канали, банките защитават и своята репутация. Защото когато имат сигурен и надежден канал, това е гаранция за лоялен клиент. Банките в България, а и в Европа имат сериозни канали за интернет банкиране. Разбира се, средата се променя постоянно и заплахи изникват. Бизнесът не може да спи. Постоянно се въвеждат иновации, които носят рискове, но тези рискове се адресират както трябва.

Къде виждате пробойни?

- Обикновено пробивите се планират и изпълняват с основна цел източване на данни с различно ниво на конфиденциалност. Тези данни после се ползват за изнудване и други измами – например финансови. Затова е силно препоръчително, когато се планира имплементация на нова система, като за пример бих могъл да дам PSD2 интерфейсите (API), които банките отварят в целия ЕС, още във фазата на дизайн и архитектура да бъдат предвидени всички възможни рискове за сигурността, които са познати към момента, съответно да се изградят защити, които не допускат пробиви, потенциално превръщащи се впоследствие в измами.

В тясна връзка с темата бих искал да оповестя, че на 24 март тази година Асоциацията на сертифицираните експерти по разкриване на измами – България (ACFE Bulgaria) организира събитието DigiPay 2020. Успяхме да привлечем много известни български и международни лектори, с които ще обхванем цялата проблематика, свързана с плащанията - защита на данните, измами, различните стандарти и механизми за ограничаването на измамите. Радвам се, че това е третото издание на форума и се надявам, че ще има голям отзвук, защото темата е много голяма и близка до всички. Всеки има телефон и карта в джоба, с които разплаща ежедневно. Ако всеки е осведомен за рисковете, които се крият, както и за полезните ходове, това ще много полезно за него.  

- Към днешна дата българските банки покриват ли изискванията на директивата?

Бих могъл да кажа, че много голяма част от тях са готови със своите PSD2 интерфейси – публикувани и отворени към платежните институции. Но това е само началото на един дълъг път. Процесът по взаимна интеграция ще отнеме поне няколко години, това очаквам и да е времето, докато се наложи като практика в бизнеса.

- Споменахте рисковете от пробиви и хакерски атаки. Безпрецедентен пробив бе осъществен в системите на НАП. Успя ли държавата да си научи урока след мащабния теч на лични данни?

Сложен въпрос. След детайлен прочит на резултатите от работата на анкетната комисия в парламента мога да кажа, че изводите са в оптимистична посока, както и е направено много през последните 6 месеца за обезпечаване на сигурността на данните. Хубавото е, че са издадени редица конкретни препоръки, за да не се допусне нов инцидент в бъдеще. Една от препоръките, най-добрата според мен, се отнася за администрациите в страната, а именно да се извърши одит на всички информационни системи, съдържащи ценни данни. Това ще доведе до навременни предписания и препоръки за създаване на превантивни контроли, които няма да допуснат теч от други структури.

Какви биха били резултатите, ако този одитен доклад бъде публикуван днес? Доколко е обезпечена информационната сигурност в тези структури?

- Със сигурност има структури, които от гледна точка на сигурността на данните, са много добре обезпечени. Водещ фактор е големината на структурата, бюрокрацията и нивото на критичност на данните и информацията в нея. Колкото по-голяма е една структура, толкова по-големи са предизвикателствата при гарантиране на сигурността на информацията. Колкото по-малка е тя, толкова по-лесно се въвеждат модерните контролни механизми. Много голям процент от атаките могат да бъдат спрени или изобщо да не бъдат допуснати чрез прилагането на малък на брой, но правилно интегрирани технически и административни контроли. Така че аз съм оптимист.

На общинско равнище обаче би трябвало да още по-зле положението. Все пак и средствата за информационна сигурност са много по-малко...

- Възможно е, но и обемите данни в техните информационни системи са значително по-малки. В случая следва да се гледа стратегически и се да се започне прегледът от най-големите структури. Това е най-правилният интегриран подход за управление на риска в тази посока.

Проблемът със защитата от измами онлайн има и друг аспект - подготовката на служителите. Доколко хората в държавни и общински структури, а и в частния сектор са подготвени за потенциални заплахи?

- Като цяло в последните години светлината на прожекторите е насочена към информационната сигурност и киберсигурността. Това автоматично генерира нужда от много на брой високо подготвени специалисти, а ресурсът от такива специалисти е ограничен и това се наблюдава всяка година. Затова както при институциите, така и при бизнеса се наблюдава дефицит на подготвени хора. Бих казал, че в държавните структури дефицитът е по-сериозен. Една от препоръките на въпросната анкетна комисия е да се повиши разходът за персонал, свързан с информационната сигурност. Това е важно, защото добре подготвените специалисти очакват високо възнаграждение, много по-високо от средното за пазара.

Къде е решението с ниската грамотност в сферата на киберсигурността?

- Хубавото в момента е, че университети и частните компании отварят вратите си за организации като нашата и други частни компании в областта на информационната сигурност. Те правят курсове за студенти и служители, чрез които се повишават техните компетенции. Получава се синергия между академиците и бизнеса и по този начин се подобряват резултатите.

Отделно, местни и международни организации предоставят множество ресурси онлайн, които спомагат са повишаване на квалификацията на служителите, нещо, което следва да се приема като непрестанен процес по самоусъвършенстване.

Доста време регламентът GDPR действа в ЕС. Какви са резултатите от въвеждането му?

- Истината е, че много от организациите поглеждат GDPR и виждат основно потенциални глоби. От 2018 г. до сега в ЕС са наложени глоби в размер на над 460 млн. евро. Това е на база публична информация, възможно е и да са много повече. В последните месеци броят на глобите нараства. Изводът е, че вече има практика в националните регулатори и с всеки изминал месец контролът става все по-строг, което води и до по-често прилагане на корективни мерки. България не е изключение.

Това, което препоръчвам на организациите в посока GDPR, е да не гледат на изпълнението на изискванията на регламента само в посока на документално съответствие, а да създадат интегрирани дългосрочни програми за техническо обезпечаване на сигурността на данните.

Facebook logo
Бъдете с нас и във