Қаржы • 12 Қараша, 2020

Банктердің киберқалқаны сынаққа дайын ба?

282 рет
көрсетілді
7 мин
оқу үшін

Технологиялық үдерістер қарқын алған заманда киберқауіпсіздік негізгі проблемалардың біріне айналғандай. Бұл әсіресе қаржы саласында өте өзекті мәселе. Айталық, таяуда еліміздегі екінші деңгейлі банктердің бірінде техникалық ақау туып, соның салдарынан интернет банкингтің жұмысы нашарлап, миллиондаған тұтынушы әуре-сарсаңға түскені белгілі.

Банктердің киберқалқаны сынаққа дайын ба?

Коллажды жасаған Амангелді Қияс, «EQ»

Қай банктің қорғанысы күшті?

Киберқауіпсіздіктің жаһандық рейтингінде Қазақстан 40-шы орында тұр. Осыдан үш жыл бұрын еліміз 118-ші орында орналасқан еді. Демек, «Қазақстанның киберқалқаны» тұжы­рым­­дамасын жүзеге асыру жоспарына сәйкес, жылдан-жылға әлемдік индек­стегі көрсеткіш жақсарып келеді. Осы­лайша, еліміз 5 жыл ішінде KPI нәтижелерін жақсартып, кибершабуылдан мықтап қорғанған үздік 20 мемлекеттің қатарынан көрінуді көздеп отыр.

Алайда бұл аталған бағытта қор­да­ланған мәселелер жоқ деген­ді біл­дірмейді. Биыл сәуірде Кибер­ша­буыл­дарды талдау және тергеу орта­лығы (КТТО) отандық екінші деңгейлі банк­тердің веб-ресурстарының қауіп­сіздігіне байланысты рейтингті жария­лағ­ан еді. Соған сәйкес, еліміздегі қаржы институттарының мықты және әлсіз тұс­тары анықталды деген пікір айтты атал­ған орталықтың президенті Олжас Сатиев.

– Алдымен бұл рейтингті аудитпен шатастыруға болмайтынын ескерт­кім келеді. Банктердің веб-сайт­тары сыртқы белгілері бойынша бағаланды. Осының нәтижесінде қай компанияның киберқауіпсіздікке жіті көңіл бөлетіні байқалды. Мысалы, рейтинг бо­йынша бірінші орынға Kaspi Bank жайғасты. Сол кездің өзінде бұл банктің IPO-ға шығуға мықтап дайындалып жатқаны анық көрініп тұрды. Олар бүкіл процестерін соған ыңғайлады. Себебі IPO-ға шығатын компанияларға қойылатын басты талаптың бірі – веб-ресурстың қауіпсіздігі. Қазір отандық банктердің киберқауіпсіздік стратегиясы біз жүргізген есептің негізінде түзетіліп жатқаны байқалып отыр. Былтыр дәл осындай зерттеуді Польша елі­нің нарығында жүргізген едік. Ол жақ­тағы көрсеткіштер біздікінен тіптен нашар десек те болады, – деді Кибер­ша­буылдарды талдау және тергеу орта­лығы президенті О.Сатиев.

Сарапшының айтуынша, көп жағ­дайда екінші деңгейлі банктер ұйымның құрылымы жайлы ақпарат қамтылған ресми сайттарына мән бермейді. Сол се­кіл­ді қызметкерлер корпоративтік пош­таны пайдалану арқылы ойын-сауық және танысуға арналған интернет ресурстарда тіркелетіні анықталып отыр. Нақты айтқанда, орталық өз есебінде банкке қатысты мәліметтер таралып кеткені жөнінде жазды.

Бұл қаншалықты қауіпті дегенге келсек, шартты түрде адам танысуға арналған сайтта жұмыс поштасының кө­мегімен тіркелу арқылы логин мен құпия сөздің қолды болуына өзі мүмкіндік береді. Осындай жағдайдың 90%-да корпоративтік жасырын сөздің ойын-сауық және басқа форумдардың құпия сөзімен сәйкес келетіні белгілі болып отыр. Бұл интернет алаяқтарға тиім­ді. Неге десеңіз, қаржы ұйымының жеке мәліметтерін пайдалану арқылы қыл­мыс­керлер ойына келгенін істеуден тайын­байды, дейді IT мамандар.

 

Күн тәртібіндегі негізгі мәселе

Экономистердің пікіріне сүйенсек, интернет банкинг, сондай-ақ цифрлы валюта сынды қаржылық техно­ло­гия­лар­дың дамуына орай кибер­қауіп­сіздік күн тәртібіндегі негізгі мәселеге айналып отыр.

– Жуырда еліміздегі екінші деңгейлі банктің төңірегінде шу болғаны есімізде. Оған шын мәнінде қандай себеп ықпал еткені туралы айту қиын. Ол хакерлік шабуыл болуы да мүмкін. Бірақ банк «Барлығы жақсы, бұл техникалық ақау» деп халықты сабырға шақыруы да мүмкін. Бір анығы, банктің дәрежесі артып, табысы көбейген сайын кибер­ша­буыл­дың да үдей түсетіні сөзсіз.

Осы таяуда Ұлттық банк жеке қа­ра­жаттарды сақтауға байланысты био­­мет­рикалық қорғау жүйесін енгізіп жат­қаны туралы айтқан еді. Яғни интернет банкингті қолданған кезде сау­сақ­тың, дауыстың, сондай-ақ көз секілді мүшенің сәйкестігі тексеріледі, – деді GSB UIB директоры, экономист Мақсат Халық.

Мақсат Халық айтқандай, бүгінде криптовалютаның қарқын алғанын жақсы білеміз. Ұлттық банк оны қол­да­нуды құптамайтынын айтып, өз ұс­танымын білдірді. Себебі аталған на­рық­та цифрлы ақшаның құбылмалылығы өте жоғары. Бірақ қаржылық реттеуші орган осы сегменттегі блокчейн технологиясын мойындайтынын жеткізді.

– Бұл технологияның негізінде біз де ақша қаражаттарын сақтап, тарату мен бөлуде қолданатын болсақ, онда барынша қауіпсіздік мәселесі сақталады деп айтып отыр. Өзім де осы оймен келісіп, қолдаймын. Өйткені кибершабуылдан қорғануда блокчейннің артықшылығы көп, – деді GSB UIB директоры.

 

Жауапкершілікті күшейткен жөн

Кибершабуылдарды талдау орталы­ғы­ның өкілдері соңғы жағдай хакерлік шабуылмен байланысты емес деген ойда. Аталған ұйымның интернет банкингіндегі ақау бағдарламалық әзірлемені жаңарту барысында орын алуы ықтимал дейді орталық мамандары.

Десек те сарапшылардың айтуын­ша, бұл бағытта басқа да маңызды проб­лема бар. Мәселен, осыған дейін елі­мізде жеке мәліметтердің таралып кетуіне байланыс­ты бірде-бір жеке немесе заңды тұлға, ұйым заң алдында жауапкершілікке тартылмаған.

– Жеке мәліметтердің қорғалуына тоқталсақ, біз де әлі бірде-бір ұйым аза­маттар туралы ақпараттың таралып кетуіне байланысты заң тұрғысында жа­уап берген жоқ. Ең өкініштісі де осы. Ай­талық, Еуропа аумағында деректерді қорғау жөніндегі жалпы регламент (General Data Protection Regulation; GDPR) қарастырылған. Оның аясында кез келген ұйым азаматтардың деректері қол­ды болып жатса, ол туралы үш тәу­лік­тің ішінде жариялауы тиіс. Олай болмаған жағдайда қомақты айыппұл салынады. Бізде бұл жағы ескерілмеген. Тиісті заң болғанымен нақты жауап бергендер жоқтың қасы. Ал іс жүзінде шамамен ай сайын мәліметтердің таралып кетуіне қатысты жағдайлар тіркеліп жатады, – деді О.Сатиев.

Осы орайда, GDPR кәрі құрлықта бірінші жылы енгізілгенде регламентке немқұрайды қараған компаниялар мен корпорациялардың ірі айыппұлдарды төлегенімен есте қалғанын айта кетейік. Соның бірі Google компаниясына қатысты. Францияның Ақпараттық технологиялар және адам құқықтары жөніндегі комиссиясы (CNIL) іздеу жүйесін құрастырушыларға 50 млн еуро айыппұл салған болатын. Компания пайдаланушылардың жеке деректерін жинауға байланысты Еуропалық Одақ­тың заңнамасын бұзды деп айыпталды.

Ұлыбританияда British Airways компаниясына 204 млн еуро көлемінде ірі айыппұл салынды. Әуе компаниясы қауіпсіздік талаптарын сақтамауы салдарынан 500 мыңнан астам клиенттің деректері таралып кеткен-ді. Сол секілді Британ аралында Marriott қонақүйлер желісіне шамамен 339 млн-дай қонақтың деректері таратылғаны үшін 110 млн еуро көлемінде айыппұл салынды.

Бұл санатта антирекорд Facebook компаниясына тиесілі. Атап айтсақ, әлеуметтік желі Cambridge Analytica ісі бойынша құпиялықты сақтаудағы талапты бұзғаны үшін 5 млрд еуро төлеуге мәжбүр болды.