Қазақстандық банктер киберқауіпсіздікке дайын емес
Қазақстандық банктер киберқауіпсіздік мәселелеріне салғырт қарайтын болып шықты. Жақында «Делойт» компаниясы қаржы нарығын реттеу және дамыту агенттігімен бірлесе талдау жүргізіп, нәтижесінде банктердің қауіпсіздік мәселесіне жеткілікті көңіл бөлмейтінін анықтаған.
Соның ішінде мобилді қосымшалардың қорғалу мәселесі алға шығады. Қазір көптеген клиенттер банктердің мобилді қосымшасы арқылы операцияларды жүзеге асыруға ынталы екені белгілі. Бұл орайда отандық қаржы институттарының мобилді қосымшаларының 26 пайызы SSL-pinnig-ті (қосылу қауіпсіздігін қамтамасыз ететін механизм)қолданбайды екен. Банк қосымшаларының 84 пайызы құпия ақпараттарды құпия күйде сақтай алмайды. Тек 16 пайызы ғана ақпараттарды құпия сақтау механизмін енгізген.
Сонымен қатар отандық қаржы институттарының 65 пайызының веб-сайттары Еуроодақтың жеке деректерді қорғау туралы жалпы ережесіне сай емес екен. Бұл әрине, клиенттердің ықыласын кері итеретін жағымсыз ақпар.
«Біз бірқатар банктің қауіпсіздік жүйесінен әжептәуір кемшіліктерді анықтадық. Көбі веб-серверлерін орнату кезінде қауіпсіздіктің негізгі әдістерін елемейді және қызметкерлердің цифрлық қауіпсіздік туралы хабардар болмауы банктің өзінің де, оның клиенттерінің де деректеріне шын мәнінде қауіп төндіруі мүмкін. Мұндай кезде «елеусіз» және «кішкентай» проблема болмайды. Оның қай-қайсы да деректер мен қаражатты қолды қылуға кез келген сәтте жол ашып беруі ықтимал. Біз агенттікке қажетті ақпараттарды ұсындық. Олар кемшіліктерді түзеу бойынша банктермен жұмыс жүргізді» дейді «Делойт» компаниясының тәуекелдерді басқару департаментінің басшысы Владимир Ремыга.
Агенттіктің киберқауіпсіздік басқармасының бастығы Роман Перминовтың айтуынша, олар Ұлттық Банкпен бірлесіп қаржы секторы киберқауіпсіздігінің 2020-2022 жылдарға арналған стратегиясын әзірлеп, бекіткен. Соның нәтижесінде ақпараттық қауіпсіздік тәуекелдерін бағалау әдістемесі және қорғалу деңгейін бағалау қағидалары енгізіліп, банктер мен бағалы қағаздар нарығы үшін ақпараттық қауіпсіздік жөніндегі талаптар өзгерген.
«Агенттік тек қаржы нарығын реттеумен ғана емес, сонымен қатар дамытумен де айналысады. Біз салалық ақпараттық қауіпсіздік орталығы сияқты бағытты дамытудамыз. Қаржы секторы – осындай тәжірибе басталған Қазақстандағы алғашқы сала, экономиканың басқа секторларында салалық ақпараттық қауіпсіздік орталықтарын құру енді ғана жоспарланып жатыр. Біз қаржы ұйымдарын орталықтың деректер алмасуды қамтамасыз ететін тиісті ақпараттық жүйесіне қосылуды міндеттегіміз келеді» дейді Роман Перминов.
2020-2021 жылдары кибершабуылдардың алдын алу мақсатында агенттік 20 алаяқтық интернет-ресурсты, оның ішінде қаржылық пирамида белгілері бар 13 интернет-ресурсты бұғаттаған. Банктерге ақпараттық қауіпсіздік қатерлері туралы 400-ден астам ескерту жіберіліп, олардан келіп түскен 300-ден астам ақпараттық оқыс оқиға картасы өңделіпті. Ендігі ретте ақпараттық қауіпсіздік процестерін автоматтандырып, адам ресурсын үнемдеу үшін Qainar автоматтандырылған ақпарат өңдеу жүйесі пилоттық деңгейде іске қосылған. Жүйе ақпараттық қауіпсіздік оқиғаларын, сигналдар мен оқыс оқиғаларды тіркейді, қауіп пен осал тұс туралы ескертеді.
Қазіргі кезде барлық 22 банк Qainar-ға қосылған. Соның ішінде 8 банк («Еуразиялық банк» АҚ, «Ресей Сбербанкі» АҚ ЕБ, «Банк ЦентрКредит» АҚ, ForteBank АҚ, «Альфа-Банк» ЕБ АҚ, Bank RBK АҚ, Halyk Bank АҚ, Altyn Bank АҚ) өзара іс-қимыл жасаудың автоматтандырылған тетігін пайдаланады екен.
«2020 жылы Алматы қаласы прокуратурасының жедел-іздестіру тобының кейбір қазақстандық банктердегі цифрлық арналар арқылы ақшалай қаражатты жымқыру дерегі бойынша сотқа дейінгі тергеп-тексеруіне қатыстық. Цифрлық материалдарды талдау жүргізіліп, мамандардың қылмыстық іс шеңберіндегі қорытындысы дайындалып, Алматы қалалық прокуратурасына тапсырылды. Киберқауіпсіздікті қамтамасыз ету жүйесінің алдында жаңа әрі күрделі сынақтардың тұрғанына қарамастан, нарықтың бұл сегменті серпінді дамуда. Халықаралық тәжірибені талдау, пайдалану, сондай-ақ кәсіби деңгейі жоғары мамандармен өзара тығыз іс-қимыл жасаудың арқасында Қазақстанның қаржы секторы туындайтын қауіп-қатерлерге тойтарыс беруге және ақпараттық әрі киберқауіпсіздікті қамтамасыз етуді одан әрі жетілдіруге дайын» дейді департамент басшысы.
Жақында ЦАРКА, кибер шабуылдарды талдау және зерттеу орталығы қазақстандық банктердің веб-қауіпсіздігіне байланысты арнайы зерттеуін ұсынған еді. Бұл ретте орталық:
• Бағдарламалық қамтамасыз ету жұмысының жылдамдығы және құрамы;
• Домен репутациясы;
• Ақпараттарды беру және контент қауіпсіздігі;
• Трафикті шифрлеу және ақпараттың ұрлануы;
• Қауіпсіздік баптауы;
• Стандарттарға сәйкестігі сияқты негізгі критерийлер бойынша талдау жүргізген.
Зерттеу қорытындысы бойынша банктердің киберқауіпсіздік деңгейі 2020 жылмен салыстырғанда 19,6 пайызға өсіпті. Теріс үрдістер байқалмаған. Веб-ресурстың қорғалу деңгейі жағынан ең жоғарғы көрсеткіштерге Альфа-Банка, Bank RBK және City Bank ие болса, Capital Bank, Заман-Банк және Пәкістан Ұлттық банкінің төмен деңгейде екені анықталған.
«Веб-ресурстың осал тұстары немесе қауіпсіздік мәселелері туралы ақпаратты қалай және қайда жіберу керектігі туралы нұсқаулар бере отырып, ішкі ақпараттық қауіпсіздік қызметіне сыртқы зерттеушілермен өзара әрекеттесуге мүмкіндік беретін Security.txt файлын 24 банк енгізбеген. 25 банктің тоғызы OWASP Top 10 шабуылдарына бейім.Олардың көмегімен киберқылмыскерлер пайдаланушы деректерін ала алады. Шабуылдарға қарсы тұрудың ең жақсы көрсеткіштерін Alfa-Bank, Citi Bank, Sberbank, First Heartland Jysan Bank және Bank RBK көрсетті» делінген зерттеуде.