Қаржы нарығындағы ақпараттық қауіпсіздік жағдайына шолу

Қаржы нарығындағы ақпараттық қауіпсіздік жағдайына шолу

Ақпараттық және киберқауіпсіздік департаментінің директоры Роман Перминовтің түсіндірмесі.

Соңғы жылдары қаржы нарығында киберқауіпсіздіктің маңыздылығы артты. Қаржы ұйымдары клиенттерге онлайн қызмет көрсетуге кеңінен көше отырып, клиенттерді және бизнес активтерін қорғау үшін жоғары сапалы цифрлық қауіпсіздікті енгізуі керек. Технологиялар ыңғайлы болып қоймай, сонысымен де жаңа мүмкіндіктерді пайдалануға үміттенетін қылмыскерлерді тартады.

Ең жақсы қорғаныс тактикасы – алдын алу. Алда тұрған сын-қатерлерге дайын ұйымдар кибершабуылдар күрделене түскен сайын өз ұйымдарының активтері мен беделін қорғайды.

Әрине, бұл қаржы нарығында реттеу шараларын қатаңдатуға және талаптарды сақтауды талап етуге алып келді. Клиенттер банктердің өз деректері мен активтерін қорғағанын қалайды.

«Осылайша, банктік киберқауіпсіздік барлық желілерді, қоймаларды, қосымшаларды және құрылғыларды қорғауы керек. Цифрлық қызметтер тәуекелдерін басқару қазіргі уақытта банк қызметінің маңызды аспектісі болып табылады», - дейді Роман Перминов.

Агенттік Ақпараттық қауіпсіздік салалық орталығы шеңберінде өз функцияларын іске асыра отырып, 2020 жылдың басынан бастап оның қызметі үшін қаржы нарығына қатысушыларға: банктерге, сақтандыру ұйымдарына, кредиттік бюроларға, бағалы қағаздар нарығына қатысушыларға және микроқаржы ұйымдарына қойылатын ақпараттық қауіпсіздік жөніндегі талаптарды қамтитын нормативтік құқықтық базаны қалыптастыру бойынша кешенді жұмыс жүргізді. Сонымен қатар қаржы нарығында ақпараттық қауіпсіздік тәуекелдерін бағалау және өңдеу тәсілдері әзірленіп, заңнамалық тұрғыдан бекітілді.

Салалық орталық ақпараттық қауіпсіздікке төнетін қауіп-қатерлер, қаржы ұйымдары инфрақұрылымының осалдықтары, сондай-ақ қаржы нарығындағы ақпараттық қауіпсіздік оқиғалары мен инциденттері туралы ақпаратты жинауды, бағалауды және талдауды жүзеге асырады. Қаржы нарығына қатысушыларға жіберілетін, оларға қауіп-қатерлерге уақтылы ден қоюға және олардың ақпараттық қауіпсіздікті басқару жүйесін жетілдіруге мүмкіндік беретін ескертулер осы жұмыстың нәтижесі болып табылады.

«Жоғарыда көрсетілген міндетті жүзеге асыру үшін Агенттік өз күшімен «QAINAR» қаржы нарығындағы ақпараттық қауіпсіздік оқиғалары мен инциденттері туралы ақпаратты өңдеудің автоматтандырылған жүйесін (бұдан әрі – «QAINAR» АӨАЖ) әзірлеп, пайдалануға берді», - деп атап өтті қаржы реттеушісінің өкілі.

Агенттік Басқармасының қаулысымен қаржы нарығындағы «QAINAR» АӨАЖ жұмысының қағидалары бекітілді.

Осы уақытқа дейін «QAINAR» АӨАЖ-ға Қазақстан Республикасының екінші деңгейдегі барлық банкі және тиісті мүмкіндіктері бар бірқатар басқа ұйымдар қосылған.

2023 жылғы желтоқсандағы жағдай бойынша «QAINAR» жүйесінде
21 миллионға жуық ақпараттық қауіпсіздік оқиғасы, басқаша айтқанда, кибершабуылдар тіркеліп, пысықталды.

2021 жылдан бастап қазіргі уақытқа дейін кибершабуылдардың алдын алу мақсатында «QAINAR» АӨАЖ қолданатын Салалық орталық:

  • ақпарат алмасуға қатысушыларға ақпараттық қауіпсіздікке төнетін қауіп-қатерлер туралы 332 ескерту және осалдықтар туралы 654 ескерту жіберілді;
  • банктердегі ақпараттық қауіпсіздік инциденттерінің 229 картасы өңделді.

2023 жылғы 28 наурызда Агенттіктің Киберқауіпсіздік басқармасы Қазақстан Республикасы Президентінің №157 Жарлығымен Агенттіктің Ақпараттық және киберқауіпсіздік департаменті болып қайта құрылды.

Агенттіктің киберқауіпсіздік бағытын күшейту тексерілетін қаржы ұйымдарының ауқымын кеңейтуге және ақпараттық қауіпсіздік талаптарының сақталуын тексерудің тиімділігін арттыруға мүмкіндік берді.

Киберқауіптердің өсуіне байланысты Агенттіктің реттеу нормалары қаржы ұйымдарына қатысты айтарлықтай қатаң болады. Ағымдағы жылы банктер мен микроқаржы ұйымдарының ақпараттық қауіпсіздігін қамтамасыз етуге қойылатын талаптарды күшейту бойынша ауқымды жұмыс жүргізілді. Талаптардың өзгерістері бағдарламалық қамтамасыз етуге қойылатын талаптарды күшейту есебінен қаржылық қызметтер көрсетудің ақпараттық қауіпсіздік деңгейін арттыруға бағытталған, оның ішінде:

- бағдарламалық қамтамасыз ету кодтарын әзірлеу, пысықтау және сақтау қауіпсіздігін қамтамасыз ету;

- бірқатар маңызды операцияларды жүзеге асыру кезінде СДАО (ҚБЕО биометриясы) арқылы клиентті биометриялық идентификаттауды пайдалану;

- мобильді құрылғыда қашықтан басқару бағдарламаларын пайдалану кезінде немесе қауіпсіздік функциялары бұзылған кезде қосымшаның жұмысын шектеу (Jailbreak, root access);

- қосымшада ақша қаражатымен операцияларды жүзеге асыру барысында геолокациялық деректерді жазу.

«Банктер мен микроқаржы ұйымдары нормалардың сақталуын неғұрлым мұқият қадағалауға мәжбүр, бұл олардан қосымша күш пен ресурстарды талап етеді, сонымен қатар клиенттерге түсетін жүктемені жеңілдетеді», - деп атап өтті спикер.

Сонымен бірге, қаржы ұйымдары операцияларды оңтайландыру және шығындарды азайту үшін бұлтты шешімдерді көбірек қолдануда. Сондай-ақ, деректерді талдау және ауытқуларды анықтау үшін жасанды интеллект пен машиналық оқыту енгізіліп жатыр, олар нақты уақыт режимінде күдікті әрекеттерді анықтай алады. Алайда, мұның өзі алгоритмдер мен машиналық оқыту модельдеріне шабуыл жасау сияқты жаңа тәуекелдерді тудыруда. Бұл реттеушілік талаптарды жетілдіруді және олардың орындалуын бақылауды талап ететін ақпараттық қауіпсіздік саласында жаңа сын-қатерлер туғызады.

Банк ісін цифрландыру көптеген басқа сервистерге қауіпсіз банк жүйелерімен бірігуге мүмкіндік береді. Әлбетте, қаржы ұйымдарының киберқауіпсіздік жүйесіндегі ең әлсіз буын олар көрсететін қызметтер шеңберінде банк инфрақұрылымына қандай да бір қолжетімділік алатын ұйымдар болып табылады. Шабуылдардың бұл түрі жеткізілім тізбегіне шабуыл деп аталады. Мысалы, қаржы ұйымдары үшін мобильдік және веб-қосымшаларды әзірлеу қаржылық көрсетілетін қызметтер саласында бәсекелестік артықшылыққа қол жеткізуге мүмкіндік береді. Қаржылық көрсетілетін қызметтерді біріктіретін желілер мен дүкендер тұтынушыларға тиімді және ыңғайлы қызмет ұсынады. Алайда, бөгде қатысушылардың банктік инфрақұрылымға қосылуы қауіпті болып отыр. Киберқылмыскерлер ендігі жерде жеткізушілер тізбегіндегі қауіпсіздігі төмен жеткізушілерге шабуыл жасай алады.

Онлайн-банкинг клиенттердің құрылғыларына таралды, бұл тұтынушылардың көпшілігінің 2023 жылы цифрлық қаржылық қызметтерге қол жеткізуінің негізгі тәсілі болды. Алайда, миллиондаған құрылғылардың пайда болуымен шабуыл аймағы айтарлықтай арта түсуде. Енді тұтынушылар интернет заттарының құрылғылары мен жүйелерін басқаруға, оның ішінде олардың қауіпсіздігін қамтамасыз етуге көп күш салуы керек. Алаяқтар жоғалған немесе ұрланған телефондарды, жаңартылмаған микробағдарламаны және құрылғылардың ең төмен қауіпсіздік саясатын қолдана алады. Фишинг және әлеуметтік инженерия, төлем бағдарламалары, шифрланбаған активтерге шабуыл сияқты дәстүрге  айналған шабуылдар да өзектілігін жоғалтпайды.

Блокчейн-технологиясының дамуы және криптовалюталардың таралуы ақпараттық қауіпсіздік саласында жаңа сын-қатерлер туғызады. Сенімділігіне қарамастан, криптовалюталар киберқылмыскерлердің назарын аударады. Хактивизм, әсіресе әлемдегі шиеленіскен геосаяси жағдай аясында өзектілігін жоғалтпайды. Хактивистердің негізгі мақсаты-қаржы нарығының жекелеген компанияларына шабуыл жасағанына қарамастан, ол тұтастай алғанда елдің қаржы жүйесін ауқымды тұрақсыздандыруды көздейді. Қаскүнемдер халық арасында дүрбелең туғызуға, азаматтардың қаржы институттары мен мемлекеттік билікке деген сенімсіздігін тудыруға тырысады. Олар белгілі бір саяси режимдермен немесе қаржылық-өндірістік топтармен байланысты ұйымдарға олардың қызметіне нұқсан келтіру, мемлекеттің қаржы жүйесін тұрақсыздандыру, ақпаратты ашу, қоғамдық пікірге әсер ету немесе белгілі бір мәселелерге назар аудару мақсатында шабуыл жасай алады.

2023 жылы қаржы нарығындағы ақпараттық қауіпсіздік өзекті және күрделі мәселе болып қала береді. Қаржы ұйымдары үнемі өзгеріп отыратын қиындықтар мен қауіптерге тап болады және қауіпсіздік әдістері мен стратегияларын үнемі жетілдіріп отыруы керек. Киберқауіптердің күрделене түсуін және реттеудің күшеюін ескере отырып, ынтымақтастық, қызметкерлерді оқыту және ақпараттық қауіпсіздік инновациялары қаржылық ақпараттық қауіпсіздік саласындағы табыстың негізгі құрамдас бөлігі болып табылады.

«Тәуекелдерді тиімді басқару және сақтық шаралары қаржы ұйымдары үшін өз активтерін қорғау және тұтынушылардың қауіпсіздігін қамтамасыз ету үшін өте маңызды», - деп қорытындылады Роман Перминов.

 

Сыртқы коммуникациялар басқармасы

+7 (727) 237 1089, press@finreg.kz