PSD2 мотивира банките да обезопасят дигиталните плащания
Владимир Икономов е ръководител на УС на Асоциацията на сертифицираните специалисти по откриване на измами– България (ACFE Bulgaria) и началник „ Организация и надзор на планови действия “ в„ Първа капиталова банка “ АД.
В момента има доста измами от вида "сайтове фантоми ", които продават доста евтини маркови артикули, които в огромните търговски уеб сайтове са доста по-скъпи.
Банките в България, а и в Европа имат съществени канали за интернет банкиране
Ресурсът от експерти по киберсигурност е стеснен и това се следи всяка година
От 2018 година до в този момент в Европейски Съюз са наложени санкции в размер на над 460 млн. евро по регламента GDPR
Г-н Икономов, бихте ли обрисували главната група финансови измами в интернет. Кои са най-често срещаните?
- Най-общо финансовите измами в интернет биха могли да бъдат класифицирани в главно две огромни групи - измами с картови заплащания и измами с интернет банкиране. Това са и най-преобладаващите измами в спектъра от цифрови услуги за разплащане. При картовите заплащания онлайн доминират измамите от недобросъвестни търговци, което е и най-големият % от позиция на загуби за крайните клиенти и организациите, които обслужват заплащанията им. На второ място при картовите заплащания са измами с откраднати или изгубени данни – да вземем за пример посредством фишинг или при пробив и приключване на данни от огромни търговци или картови оператори. Относно измамите с интернет банкиране се следят измами от вида CEO Fraud, което е подкатегория на фишинга, само че с съответна устременост към несъмнено физическо или юридическо лице. Друг срещан вид измами с интернет банкиране са Account Takeover измамите, или тези, при които данните за достъп и автентификация биват компрометирани от трета страна, най-често посредством фишинг, злотворен програмен продукт или композиция от двете.
Забелязвате ли някакви нови трендове, които би трябвало да държат потребителите нащрек?
- Постоянно равнище на напредък се следи при фишинг измамите, триумфът на които зависи най-общо от равнището на цифрова подготовка и осъзнатост на самия краен консуматор. При тези измами доста постоянно потребителите неумишлено и непринудено споделят данните си или конфигурират неумишлено злотворен програмен продукт на употребяваните от тях работни станции, посредством който след това биват компрометирани финансовите или персоналните им данни. Над 85% от фишинг офанзивите са съсредоточени в три съществени области: финансови услуги – към 20%, обществени медии – към 25% и услугите по предпазване на информация (напр. клауд услуги) – към 40%. Тоест офанзивите са към най-масовите услуги.
Всички тези услуги се ръководят от мощни частни организации, да вземем за пример Гугъл и Фейсбук. Те са наясно с рисковете от фишинг офанзивите и са основали механизми да пресичат компрометирането на потребителските профили посредством разнообразни принадлежности. Въпросът е дали крайният консуматор ще има желанието да ги приложи. Най-простото нещо е хората да задействат своята двуфакторна автентификация. Абсолютно всяка една услуга го предлага. Тази автентификация най-общо може да се дефинира като спомагателен способ, посредством който потребителят потвърждава пред доставчика на услугата, че това в действителност е той. Например всякога, когато влизате във Фейсбук, в е-поща, облачна услуга или интернет банкиране, да се изисква спомагателен код – най-често посредством push нотификация от мобилно приложение или авариен вид – посредством SMS на авансово посочен и доказан от потребителя мобилен номер. Това понижава доста риска от компрометиране на профили вследствие на фишинг офанзиви.
Както споделих по-рано, при измамите с интернет банкиране участват посредством потребление на злотворен програмен продукт. В основата си този вид измами стартират своя живот вследствие на фишинг или несъзнателно отворен уебсайт в интернет. Немалко хора разчитат на нелицензиран програмен продукт – като операционна система и антивирусна стратегия. Използването на подобен програмен продукт носи своите последствия.
Относно заплащанията с карти следва да се има поради, че сега клиентите не трябва да рискуват и да пазарят и заплащат в уеб сайтове, които не са им добре познати. В момента има доста измами от вида "сайтове фантоми ", които продават доста евтини маркови артикули, които в огромните търговски уеб сайтове са доста по-скъпи. След заплащането или не получавате тези артикули, или откакто ги получите, вашите данни паралелно с заплащането са откраднати и продадени. Това може да докара и до източване на картата на потребителя на виртуален POS терминал без 3D сигурност и съставлява доста огромен риск.
Особено сензитивен е въпросът, когато приказваме за цифрови заплащания. Успяват ли банките и финансовите институции да поддържат високо равнище на сигурност?
- Да. От една страна, регламента PSD2 доста спомогна за мотивацията на банките в тази посока посредством налагането на доста строги ограничения за така наречен задълбочено определяне на идентичността на платеца. От друга страна, гарантирайки сигурността на заплащанията в своите цифрови канали, банките пазят и своята известност. Защото когато имат сигурен и благонадежден канал, това е гаранция за предан клиент. Банките в България, а и в Европа имат съществени канали за интернет банкиране. Разбира се, средата се трансформира непрекъснато и закани изникват. Бизнесът не може да спи. Постоянно се вкарват нововъведения, които носят опасности, само че тези опасности се адресират както би трябвало.
Къде виждате пробойни?
- Обикновено пробивите се възнамеряват и извършват с съществена цел източване на данни с друго равнище на конфиденциалност. Тези данни след това се употребяват за изнудване и други измами – да вземем за пример финансови. Затова е мощно целесъобразно, когато се възнамерява имплементация на нова система, като за образец бих могъл да дам PSD2 интерфейсите (API), които банките отварят в целия Европейски Съюз, още във етапа на дизайн и архитектура да бъдат планувани всички вероятни опасности за сигурността, които са познати все още, надлежно да се изградят отбрани, които не позволяват пробиви, евентуално превръщащи се след това в измами.
В тясна връзка с тематиката бих желал да оповестя, че на 24 март тази година Асоциацията на сертифицираните специалисти по откриване на измами – България (ACFE Bulgaria) провежда събитието DigiPay 2020. Успяхме да притеглим доста известни български и интернационалните лектори, с които ще обхванем цялата проблематика, обвързвана с заплащанията - отбрана на данните, измами, другите стандарти и механизми за ограничението на измамите. Радвам се, че това е третото издание на форума и се надявам, че ще има огромен отзив, тъй като тематиката е доста огромна и близка до всички. Всеки има телефон и карта в джоба, с които разплаща всекидневно. Ако всеки е информиран за рисковете, които се крият, както и за потребните ходове, това ще доста потребно за него.
- Към днешна дата българските банки покриват ли условията на директивата?
Бих могъл да кажа, че доста огромна част от тях са подготвени със своите PSD2 интерфейси – оповестени и отворени към платежните институции. Но това е единствено началото на един дълъг път. Процесът по взаимна интеграция ще отнеме най-малко няколко години, това чакам и да е времето, до момента в който се наложи като процедура в бизнеса.
- Споменахте рисковете от пробиви и хакерски офанзиви. Безпрецедентен пробив бе сбъднат в системите на Национална агенция за приходите. Успя ли страната да си научи урока след огромния теч на персонални данни?
Сложен въпрос. След подробен прочит на резултатите от работата на анкетната комисия в Народното събрание мога да кажа, че изводите са в оптимистична посока, както и е направено доста през последните 6 месеца за застраховане на сигурността на данните. Хубавото е, че са издадени редица съответни рекомендации, с цел да не се допусне нов случай в бъдеще. Една от рекомендациите, най-хубавата съгласно мен, се отнася за администрациите в страната, а точно да се извърши одит на всички осведомителни системи, съдържащи скъпи данни. Това ще докара до навременни наставления и рекомендации за основаване на превантивни контроли, които няма да позволен теч от други структури.
Какви биха били резултатите, в случай че този одитен отчет бъде оповестен през днешния ден? Доколко е обезпечена осведомителната сигурност в тези структури?
- Със сигурност има структури, които от позиция на сигурността на данните, са доста добре обезпечени. Водещ фактор е размера на структурата, бюрокрацията и равнището на сдържаност на данните и информацията в нея. Колкото по-голяма е една конструкция, толкоз по-големи са провокациите при гарантиране на сигурността на информацията. Колкото по-малка е тя, толкоз по-лесно се вкарват модерните контролни механизми. Много огромен % от офанзивите могат да бъдат спрени или въобще да не бъдат позволени посредством използването на дребен на брой, само че вярно интегрирани механически и административни контроли. Така че аз съм оптимист.
На общинско ниво обаче би трябвало да още по-зле ситуацията. Все отново и средствата за осведомителна сигурност са доста по-малко...
- Възможно е, само че и размерите данни в техните осведомителни системи са доста по-малки. В случая следва да се гледа стратегически и се да се стартира прегледът от най-големите структури. Това е най-правилният интегриран метод за ръководство на риска в тази посока.
Проблемът със отбраната от измами онлайн има и различен аспект - подготовката на чиновниците. Доколко хората в държавни и общински структури, а и в частния бранш са готови за евентуални закани?
- Като цяло в последните години светлината на прожекторите е ориентирана към осведомителната сигурност и киберсигурността. Това автоматизирано генерира потребност от доста на брой високо готови експерти, а ресурсът от такива експерти е стеснен и това се следи всяка година. Затова както при институциите, по този начин и при бизнеса се следи недостиг на готови хора. Бих споделил, че в държавните структури дефицитът е по-сериозен. Една от рекомендациите на въпросната анкетна комисия е да се увеличи разходът за личен състав, обвързван с осведомителната сигурност. Това е значимо, тъй като добре квалифицираните експерти чакат високо заплащане, доста по-високо от междинното за пазара.
Къде е решението с ниската просветеност в областта на киберсигурността?
- Хубавото сега е, че университети и частните компании отварят вратите си за организации като нашата и други частни компании в региона на осведомителната сигурност. Те вършат курсове за студенти и чиновници, посредством които се покачват техните пълномощия. Получава се синергия сред учените и бизнеса и по този метод се усъвършенстват резултатите.
Отделно, локални и интернационалните организации дават голям брой запаси онлайн, които спомагат са повишение на квалификацията на чиновниците, нещо, което следва да се приема като непрекъснат развой по самоусъвършенстване.
Доста време регламентът GDPR работи в Европейски Съюз. Какви са резултатите от въвеждането му?
- Истината е, че доста от организациите поглеждат GDPR и виждат главно евентуални санкции. От 2018 година до в този момент в Европейски Съюз са наложени санкции в размер на над 460 млн. евро. Това е на база обществена информация, допустимо е и да са доста повече. В последните месеци броят на санкциите нараства. Изводът е, че към този момент има процедура в националните регулатори и с всеки минал месец контролът става все по-строг, което води и до по-често използване на корективни ограничения. България не е изключение.
Това, което предлагам на организациите в посока GDPR, е да не гледат на осъществяването на условията на регламента единствено в посока на писмено сходство, а да основат интегрирани дълготрайни стратегии за техническо застраховане на сигурността на данните.
В момента има доста измами от вида "сайтове фантоми ", които продават доста евтини маркови артикули, които в огромните търговски уеб сайтове са доста по-скъпи.
Банките в България, а и в Европа имат съществени канали за интернет банкиране
Ресурсът от експерти по киберсигурност е стеснен и това се следи всяка година
От 2018 година до в този момент в Европейски Съюз са наложени санкции в размер на над 460 млн. евро по регламента GDPR
Г-н Икономов, бихте ли обрисували главната група финансови измами в интернет. Кои са най-често срещаните?
- Най-общо финансовите измами в интернет биха могли да бъдат класифицирани в главно две огромни групи - измами с картови заплащания и измами с интернет банкиране. Това са и най-преобладаващите измами в спектъра от цифрови услуги за разплащане. При картовите заплащания онлайн доминират измамите от недобросъвестни търговци, което е и най-големият % от позиция на загуби за крайните клиенти и организациите, които обслужват заплащанията им. На второ място при картовите заплащания са измами с откраднати или изгубени данни – да вземем за пример посредством фишинг или при пробив и приключване на данни от огромни търговци или картови оператори. Относно измамите с интернет банкиране се следят измами от вида CEO Fraud, което е подкатегория на фишинга, само че с съответна устременост към несъмнено физическо или юридическо лице. Друг срещан вид измами с интернет банкиране са Account Takeover измамите, или тези, при които данните за достъп и автентификация биват компрометирани от трета страна, най-често посредством фишинг, злотворен програмен продукт или композиция от двете.
Забелязвате ли някакви нови трендове, които би трябвало да държат потребителите нащрек?
- Постоянно равнище на напредък се следи при фишинг измамите, триумфът на които зависи най-общо от равнището на цифрова подготовка и осъзнатост на самия краен консуматор. При тези измами доста постоянно потребителите неумишлено и непринудено споделят данните си или конфигурират неумишлено злотворен програмен продукт на употребяваните от тях работни станции, посредством който след това биват компрометирани финансовите или персоналните им данни. Над 85% от фишинг офанзивите са съсредоточени в три съществени области: финансови услуги – към 20%, обществени медии – към 25% и услугите по предпазване на информация (напр. клауд услуги) – към 40%. Тоест офанзивите са към най-масовите услуги.
Всички тези услуги се ръководят от мощни частни организации, да вземем за пример Гугъл и Фейсбук. Те са наясно с рисковете от фишинг офанзивите и са основали механизми да пресичат компрометирането на потребителските профили посредством разнообразни принадлежности. Въпросът е дали крайният консуматор ще има желанието да ги приложи. Най-простото нещо е хората да задействат своята двуфакторна автентификация. Абсолютно всяка една услуга го предлага. Тази автентификация най-общо може да се дефинира като спомагателен способ, посредством който потребителят потвърждава пред доставчика на услугата, че това в действителност е той. Например всякога, когато влизате във Фейсбук, в е-поща, облачна услуга или интернет банкиране, да се изисква спомагателен код – най-често посредством push нотификация от мобилно приложение или авариен вид – посредством SMS на авансово посочен и доказан от потребителя мобилен номер. Това понижава доста риска от компрометиране на профили вследствие на фишинг офанзиви.
Както споделих по-рано, при измамите с интернет банкиране участват посредством потребление на злотворен програмен продукт. В основата си този вид измами стартират своя живот вследствие на фишинг или несъзнателно отворен уебсайт в интернет. Немалко хора разчитат на нелицензиран програмен продукт – като операционна система и антивирусна стратегия. Използването на подобен програмен продукт носи своите последствия.
Относно заплащанията с карти следва да се има поради, че сега клиентите не трябва да рискуват и да пазарят и заплащат в уеб сайтове, които не са им добре познати. В момента има доста измами от вида "сайтове фантоми ", които продават доста евтини маркови артикули, които в огромните търговски уеб сайтове са доста по-скъпи. След заплащането или не получавате тези артикули, или откакто ги получите, вашите данни паралелно с заплащането са откраднати и продадени. Това може да докара и до източване на картата на потребителя на виртуален POS терминал без 3D сигурност и съставлява доста огромен риск.
Особено сензитивен е въпросът, когато приказваме за цифрови заплащания. Успяват ли банките и финансовите институции да поддържат високо равнище на сигурност?
- Да. От една страна, регламента PSD2 доста спомогна за мотивацията на банките в тази посока посредством налагането на доста строги ограничения за така наречен задълбочено определяне на идентичността на платеца. От друга страна, гарантирайки сигурността на заплащанията в своите цифрови канали, банките пазят и своята известност. Защото когато имат сигурен и благонадежден канал, това е гаранция за предан клиент. Банките в България, а и в Европа имат съществени канали за интернет банкиране. Разбира се, средата се трансформира непрекъснато и закани изникват. Бизнесът не може да спи. Постоянно се вкарват нововъведения, които носят опасности, само че тези опасности се адресират както би трябвало.
Къде виждате пробойни?
- Обикновено пробивите се възнамеряват и извършват с съществена цел източване на данни с друго равнище на конфиденциалност. Тези данни след това се употребяват за изнудване и други измами – да вземем за пример финансови. Затова е мощно целесъобразно, когато се възнамерява имплементация на нова система, като за образец бих могъл да дам PSD2 интерфейсите (API), които банките отварят в целия Европейски Съюз, още във етапа на дизайн и архитектура да бъдат планувани всички вероятни опасности за сигурността, които са познати все още, надлежно да се изградят отбрани, които не позволяват пробиви, евентуално превръщащи се след това в измами.
В тясна връзка с тематиката бих желал да оповестя, че на 24 март тази година Асоциацията на сертифицираните специалисти по откриване на измами – България (ACFE Bulgaria) провежда събитието DigiPay 2020. Успяхме да притеглим доста известни български и интернационалните лектори, с които ще обхванем цялата проблематика, обвързвана с заплащанията - отбрана на данните, измами, другите стандарти и механизми за ограничението на измамите. Радвам се, че това е третото издание на форума и се надявам, че ще има огромен отзив, тъй като тематиката е доста огромна и близка до всички. Всеки има телефон и карта в джоба, с които разплаща всекидневно. Ако всеки е информиран за рисковете, които се крият, както и за потребните ходове, това ще доста потребно за него.
- Към днешна дата българските банки покриват ли условията на директивата?
Бих могъл да кажа, че доста огромна част от тях са подготвени със своите PSD2 интерфейси – оповестени и отворени към платежните институции. Но това е единствено началото на един дълъг път. Процесът по взаимна интеграция ще отнеме най-малко няколко години, това чакам и да е времето, до момента в който се наложи като процедура в бизнеса.
- Споменахте рисковете от пробиви и хакерски офанзиви. Безпрецедентен пробив бе сбъднат в системите на Национална агенция за приходите. Успя ли страната да си научи урока след огромния теч на персонални данни?
Сложен въпрос. След подробен прочит на резултатите от работата на анкетната комисия в Народното събрание мога да кажа, че изводите са в оптимистична посока, както и е направено доста през последните 6 месеца за застраховане на сигурността на данните. Хубавото е, че са издадени редица съответни рекомендации, с цел да не се допусне нов случай в бъдеще. Една от рекомендациите, най-хубавата съгласно мен, се отнася за администрациите в страната, а точно да се извърши одит на всички осведомителни системи, съдържащи скъпи данни. Това ще докара до навременни наставления и рекомендации за основаване на превантивни контроли, които няма да позволен теч от други структури.
Какви биха били резултатите, в случай че този одитен отчет бъде оповестен през днешния ден? Доколко е обезпечена осведомителната сигурност в тези структури?
- Със сигурност има структури, които от позиция на сигурността на данните, са доста добре обезпечени. Водещ фактор е размера на структурата, бюрокрацията и равнището на сдържаност на данните и информацията в нея. Колкото по-голяма е една конструкция, толкоз по-големи са провокациите при гарантиране на сигурността на информацията. Колкото по-малка е тя, толкоз по-лесно се вкарват модерните контролни механизми. Много огромен % от офанзивите могат да бъдат спрени или въобще да не бъдат позволени посредством използването на дребен на брой, само че вярно интегрирани механически и административни контроли. Така че аз съм оптимист.
На общинско ниво обаче би трябвало да още по-зле ситуацията. Все отново и средствата за осведомителна сигурност са доста по-малко...
- Възможно е, само че и размерите данни в техните осведомителни системи са доста по-малки. В случая следва да се гледа стратегически и се да се стартира прегледът от най-големите структури. Това е най-правилният интегриран метод за ръководство на риска в тази посока.
Проблемът със отбраната от измами онлайн има и различен аспект - подготовката на чиновниците. Доколко хората в държавни и общински структури, а и в частния бранш са готови за евентуални закани?
- Като цяло в последните години светлината на прожекторите е ориентирана към осведомителната сигурност и киберсигурността. Това автоматизирано генерира потребност от доста на брой високо готови експерти, а ресурсът от такива експерти е стеснен и това се следи всяка година. Затова както при институциите, по този начин и при бизнеса се следи недостиг на готови хора. Бих споделил, че в държавните структури дефицитът е по-сериозен. Една от рекомендациите на въпросната анкетна комисия е да се увеличи разходът за личен състав, обвързван с осведомителната сигурност. Това е значимо, тъй като добре квалифицираните експерти чакат високо заплащане, доста по-високо от междинното за пазара.
Къде е решението с ниската просветеност в областта на киберсигурността?
- Хубавото сега е, че университети и частните компании отварят вратите си за организации като нашата и други частни компании в региона на осведомителната сигурност. Те вършат курсове за студенти и чиновници, посредством които се покачват техните пълномощия. Получава се синергия сред учените и бизнеса и по този метод се усъвършенстват резултатите.
Отделно, локални и интернационалните организации дават голям брой запаси онлайн, които спомагат са повишение на квалификацията на чиновниците, нещо, което следва да се приема като непрекъснат развой по самоусъвършенстване.
Доста време регламентът GDPR работи в Европейски Съюз. Какви са резултатите от въвеждането му?
- Истината е, че доста от организациите поглеждат GDPR и виждат главно евентуални санкции. От 2018 година до в този момент в Европейски Съюз са наложени санкции в размер на над 460 млн. евро. Това е на база обществена информация, допустимо е и да са доста повече. В последните месеци броят на санкциите нараства. Изводът е, че към този момент има процедура в националните регулатори и с всеки минал месец контролът става все по-строг, което води и до по-често използване на корективни ограничения. България не е изключение.
Това, което предлагам на организациите в посока GDPR, е да не гледат на осъществяването на условията на регламента единствено в посока на писмено сходство, а да основат интегрирани дълготрайни стратегии за техническо застраховане на сигурността на данните.
Източник: banker.bg
КОМЕНТАРИ