Bank kartlarına kiber hücumların sayı günü-gündən artır. Müştərilər əksər hallarda bank məlumatlarını heç kimlə bölüşmədiyini deyirlər, banklar isə hakerləri müəyyənləşdirə bilmirlər. Bu istiqamətdə sual yaradan məqamlar çoxdur.
Valyuta.az-ın müştərilərin səhvi, bankların yanaşmaları istiqamətində suallarına, dünyanın ən böyük bank və maliyyə xidmətləri göstərən qurumlarından olan HSBC-də etik haker vəzifəsində işləyən azərbaycanlı Ramil Mustafayevin cavablarını, araz.az da, öz dəyərli oxucularına da təqdim edir:
R.Mustafayev qeyd edir: “Bu müsahibədə hazırkı işlədiyim bankın nümayəndəsi kimi deyil, təhlükəsizlik eksperti kimi iştirak etdiyimi bildirmək istəyirəm”.
– İlk olaraq bank sektorunda etik hakerlikdən danışaq. Etik hakerlərin bank sektorunda işi nədən ibarətdir?
– Etik hakerlik digər sahələrdə olduğu kimi bank sektorunda da təhlükəsizlik sistemində mühüm rol oynayır. Etik hakerlər kompüter sisteminin və ya şəbəkəsinin pis niyyətli şəxslər tərəfindən istismar olmasından əvvəl zəiflikləri müəyyən etmək üçün sistemləri və şəbəkələri sınaqdan keçirirlər. Belə ki, etik hakerlər banklarla sıx əməkdaşlıq edir, onların ümumi təhlükəsizlik vəziyyətini artırmaq üçün nüfuz testləri, zəifliyin qiymətləndirilməsi və təhlükəsizlik auditini aparırlar.
– Etik hakerlərlə bağlı məlumatlarda bir də “qırmızı komanda” anlayışına rast gəlirik.
– Qırmızı komanda və etik hakerlik oxşar cəhətləri paylaşsa da, qırmızı komandalaşma daha əhatəli yanaşmadır. Qırmızı qruplaşma zəifliyin qiymətləndirilməsindən kənara çıxaraq bankın ümumi təhlükəsizlik vəziyyətini qiymətləndirmək üçün real dünyada baş verən hücumları ssenariləşdirərək onları simulyasiya edir. Qırmızı komanda bankın müdafiə sistemlərini ətraflı şəkildə sınaqdan keçirir və təhlükəsizliyi artırmaq üçün icra edilə biləcək tövsiyələr verir.
Banklara olan əsas kiber hücumlar
– Bütün banklarda etik hakerlər varmı?
– Banklarda etik hakerlərin olması vahid standart deyil. Çünki daha böyük, daha çox resursla zəngin banklar hərtərəfli kibertəhlükəsizlik strategiyalarının bir hissəsi kimi tez-tez etik hakerləri işə götürür və ya onlarla müqavilə bağlayır. Digər tərəfdən, kiçik banklarda büdcə məhdudiyyətləri səbəbindən daxili etik hakerlər olmaya bilər. Bununla belə, onlar tez-tez etik hakerlik təcrübəsi təklif edən və müntəzəm təhlükəsizlik auditlərini həyata keçirən kibertəhlükəsizlik şirkətlərinin xidmətlərindən istifadə edirlər.
– Etik hakerlərin olması, bank sektorunda kiberhücumların qarşısının alınmasına necə təsir edib?
– Əslində, böyük təsiri olub. Belə ki, nüfuzetmə testi və zəifliyin qiymətləndirilməsi vasitəsilə bu ekspertlər banklara potensial təhlükəsizlik təhdidlərini qabaqcadan görməyə və onlara qarşı mübarizə aparmağa kömək edir. Onların rolu təkcə təhlükəsizlik boşluqlarını müəyyən etmək deyil, həmçinin riskləri azaltmaq üçün qabaqcıl təhlükəsizlik texnologiyaları və metodologiyaların tətbiqinə köməklik edirlər. Bundan əlavə, etik hakerlər bank işçilərinin maarifləndirilməsində geniş yayılmış, lakin güclü hücum vektorlarından olan fişinq kimi sosial mühəndislik təhdidləri haqqında məlumatlılığın artırılmasında mühüm rol oynayırlar.
Bütövlükdə, etik hakerlərin töhfəsi bankın müdafiə mexanizmlərinin gücləndirilməsində, uğurlu kiberhücum hallarının əhəmiyyətli dərəcədə azaldılmasında və qurumun rəqəmsal təhlükəsizlik təhdidlərinə qarşı dayanıqlığının gücləndirilməsində əvəzsizdir.
– Ramil bəy, hazırda bu prosesin içindəsiniz. Hazırda banklara kiber hücumlar əsasən nə ilə bağlı olur?
– Məsələn, “skimming” hücumları. Bu, cinayətkarların kart məlumatlarını gizli şəkildə ələ keçirmək üçün bankomatlara və ya kart oxuyucularına zərərli qurğular quraşdırmasını əhatə edir.
Müştərilərin kart məlumatlarını tələb edən qanuni görünən e-poçt və ya mesajlar ala biləcəyi fişinq riski də var, lakin bunlar əslində onların məlumatlarını oğurlamaq cəhdləridir.
Ransomware hücumları getdikcə daha da təkmilləşməkdədir. Ransomware hücumunda hakerlər bank sisteminə giriş əldə edirlər və kritik məlumatları şifrələyirlər. Sonra onun bərpası üçün bankdan pul tələb edirlər. Belə hücumlar beynəlxalq təcrübədə bank əməliyyatlarını müvəqqəti olaraq məhdudlaşdırdığı hallara gətirib çıxarır.
Digər əhəmiyyətli təhlükə, pulu birbaşa oğurlamaq üçün deyil, bank xidmətlərini pozmaq, müştərilərin etibarını sarsıtmaq və nüfuzuna zərər vurmaq üçün nəzərdə tutulmuş paylanmış xidmətdən imtina (DdoS) hücumlarıdır.
Yaxud banklar insayder (daxili) təhdid kimi kibertəhlükəsizlik problemi ilə üzləşir. İnsayderlər şirkətin və ya qurumun resurslarına, personalına və ya nüfuzuna zərər vurmaq üçün bilərəkdən və ya bilməyərəkdən icazəli girişilərindən istifadə edirlər. Məsələn, işdən ayrılan işçilər ən çox yayılmış təhdidlər siyahısındadırlar. Onlar növbəti işi tapmaqlarında kömək edəcəyinə inandıqları materialları oğurlaya və ya qisas almaq üçün həssas məlumatları ifşa edə bilərlər.
Bunlara əlavə olaraq, kiber cinayətkarlar daim bankların həssas məlumatlarını əldə etməyə çalışır və işçi heyətini nəzərdə tutulmayan əməliyyatlar həyata keçirmələri üçün fişinq e-poçtları, saxta veb-saytlar və ya telefon zəngləri kimi aldadıcı taktikalardan istifadə etməklə hədəfə alır.
“Cinayətkar bu sistemi kart məlumatlarını toplamaq üçün hazırlamışdı”
– Banklar çox zaman deyirlər ki, kartlardan pul oğurlanması müştərilərin kart məlumatlarından istifadədə ehtiyatsızlığından dolayı olur.
– Azərbaycanda olduğum müddətdə iş yoldaşlarımdan birinin qurbanı da olduğu hadisəni danışım. Bir vebsayt var idi, o, sizə başqa istifadəçilərin “WhatsApp” mesajlarına daxil olmaq üçün xidmət təklif etdiyini iddia edirdi. Təbii ki fırıldaqçı idi, amma elə məsələ idi ki, insanların diqqətini çəkmişdi. Maraqlı məqam ondan ibarət idi ki, istifadəçilərdən CVC (Kart Doğrulama Kodu) daxil olmaqla, kart məlumatlarını daxil etmələri və bu xidmətdən istifadə etmək üçün nominal haqq ödəmələri tələb olunurdu. Məlumatları təqdim etdikdən sonra istifadəçilər ödənişin uğursuz olduğunu bildirən sadə bir mesaj ilə qarşılaşırdılar. Əslində, bu bir hiylə idi və onlar artıq kiber fırıldağın qurbanı olmuşdular. Cinayətkar bu sistemi, qurbanların gizli şəkildə kart məlumatlarını toplamaq üçün hazırlamışdı. O, bu oğurlanmış məlumatlardan istifadə edərək, daha sonra onlayn olaraq məhsul və xidmətlərin icazəsiz alışını etməyə cəhd edirdi. Bəzi hallarda, əgər kart sahibi 3D təhlükəsiz autentifikasiyasını aktiv etməyibsə, xüsusən Azərbaycan daxilində fəaliyyət göstərən xidmətlər üçün bu cəhdlər uğurlu olurdu. Ətraflı araşdırmamızdan və müvafiq orqanlara məlumat verdikdən sonra həmin şəxs tutularaq məsuliyyətə cəlb edildi.
Bu hal onlayn əməliyyatlarda sayıqlığın vacibliyinə dair bir xatırlatma rolunu oynayır. “WhatsApp” kimi nüfuzlu şirkətlərin müştəri məlumatlarını üçüncü tərəflərlə paylaşmadığını bilmək vacibdir. Buna görə də, bəzi sosial şəbəkə platformalarında getdikcə daha çox yayılmış bir təcrübə olan şəxsi məlumatlara çıxış təklif etdiyini iddia edən hər hansı şəxs və ya şəxslərə kart məlumatlarını paylaşmamağı qətiyyətlə tövsiyə edirəm. Bu cür təkliflər demək olar ki, həmişə istifadəçiləri istismar etmək üçün hazırlanmış fırıldaqlardır.
– Maraqlıdır, bank kartlarının təhlükəsizlik sistemini qırmaq hazırda hakerlər üçün nə dərəcədə çətindir?
– Ümumiyyətlə, bank kartı təhlükəsizliyini istismar etmək çox mürəkkəb məsələdir. Çünki, müasir bank kartları icazəsiz girişi çətinləşdirən EMV (Europay, Mastercard, and Visa) çipləri və dinamik şifrələmə kimi qabaqcıl təhlükəsizlik texnologiyaları ilə təchiz edilib. Bundan əlavə, banklar kibertəhlükəsizlik tədbirlərini davamlı olaraq təkmilləşdirir və fırıldaqçılığın aşkarlanması sistemlərindən istifadə edirlər.
Lakin heç bir sistemin 100% təhlükəsiz olmadığını etiraf etmək çox vacibdir. Çox vaxt təhlükəsizliyin ən zəif halqası texnologiyanın özü deyil, insan faktorlarıdır. Hakerlər tez-tez fişinq hücumları vasitəsilə bundan istifadə edirlər, bu yolla fərdi və ya həssas məlumatları əldə edirlər. Buna görə də, onlar bir çox hallarda hazırkı təhlükəsizlik tələblərinə cavab verən sistemlərə icazəsiz giriş əldə edə bilirlər. Əfsuslar olsun ki, insan faktoru bank kartı təhlükəsizliyində kritik zəiflik olaraq qalmaqdadır.
“Kartınızı harada və necə istifadə etdiyinizlə bağlı diqqətli olun”
– Kartımızın təhlükəsizliyi üçün hansı məlumatları qorumalıyıq?
– Müəyyən məqamlara diqqət edərsək, bank kartlarımızın təhlükəsizliyini əhəmiyyətli dərəcədə artırıla bilərik. İlk növbədə, kartın nömrəsi, son istifadə tarixi və Kart Doğrulama Kodu (CVC) kimi həssas kart məlumatlarınızı qorumaq çox vacibdir. Həmçinin, şəxsi identifikasiya nömrənizlə (PIN) ehtiyatlı olmaq və onu heç kimlə paylaşmamaq çox vacibdir. Bundan əlavə, kartınızı harada və necə istifadə etdiyinizlə bağlı diqqətli olmaq çox vacibdir. Tranzaksiyalar üçün təhlükəsiz və nüfuzlu veb-saytlardan istifadə etmək və kart məlumatlarınızı ictimai Wi-Fi şəbəkələri üzərindən paylaşmaqdan çəkinmək lazımdır.
Bundan əlavə, iki faktorlu autentifikasiya və ya tranzaksiya xəbərdarlığı kimi bankınız tərəfindən təmin edilən əlavə təhlükəsizlik tədbirlərinin aktivləşdirilməsi daha bir qorunma qatını əlavə edir. Onlayn əməliyyatlar üçün müvəqqəti nömrəyə malik virtual kartlar olan birdəfəlik kartların istifadəsi təhlükəsizliyinizi əhəmiyyətli dərəcədə artıra bilər. Çünki, bu kartlar məhdud istifadə müddəti və ya istifadə limitinə malikdir, məlumatların oğurlanması zamanı riski və təhlükəni effektiv şəkildə minimuma endirir.
– Bankların təhlükəsizlik sistemləri deyirik. Azərbaycandakı bankların hamısının təhlükəsizlik sistemi təxminən eyni ola bilərmi, yoxsa hər birinin sistemi arasında böyük fərq ola bilər?
– Azərbaycanda bankların təhlükəsizlik sistemləri bir qurumdan digərinə əhəmiyyətli dərəcədə dəyişə bilər. Daha böyük banklar daha təkmil kibertəhlükəsizlik tədbirlərinə sərmayə qoya, kiçik banklar isə daha az mürəkkəb sistemlərə malik ola bilər. Bu dəyişikliyə bankın maliyyə imkanları, resursları, rəqəmsal təhlükəsizliyə sadiqliyi və istifadə etdiyi texnologiya kimi amillər təsir edir.
– Müştərisi olduğumuz bankın təhlükəsizlik sistemininin nə dərəcədə güclü olduğunu necə müəyyənləşdirə bilərik?
– Müştərilər bankın təhlükəsizlik səviyyəsini müəyyən etmək üçün onun şifrələmə, fırıldaqçılıq aşkarlama sistemləri və iki faktorlu autentifikasiya kimi təhlükəsizlik xüsusiyyətlərini araşdıra bilərlər. Əlavə olaraq, bankın təhlükəsizlik insidentlərinin idarə edilməsində təcrübəsini və onların təhlükəsizlik təcrübələrindəki yeniləmələrini araşdırmaq onların kibertəhlükəsizlik öhdəliyinə dair fikirlər verə bilər.
Banklar kartımızdan pul oğurlayanları niyə tapa bilmirlər?
– Banklar çox vaxt pulun kartımızdan necə və kim tərəfindən oğurlandığını bilmirlər. Bugünkü texnologiya bunu müəyyənləşdirməyə imkan vermir?
– Bu vəziyyət müasir kibercinayətlərin yüksək dərəcədə mürəkkəb olması ilə əlaqədar yaranır. Kibercinayətkarlar tez-tez şəxsiyyətlərini və yerlərini maskalamaq üçün qabaqcıl üsullardan istifadə edir, VPN və proxy serverlər kimi vasitələrdən istifadə edirlər ki, bu da onların axtarışını olduqca çətinləşdirir.
Bundan əlavə, kibercinayətkarlığın qloballaşması da mürəkkəbliyi artırır. Müxtəlif ölkələrdən fəaliyyət göstərən cinayətkarlar Azərbaycandakı müştəriləri hədəfə ala bilər ki, bu da yurisdiksiya və beynəlxalq hüquq-mühafizə maneələrinə səbəb olur. Kibercinayətkarlıq üsulları da sürətlə inkişaf edir. Banklar bir strategiyaya uyğunlaşan kimi hakerlər daha yeni, daha təkmil strategiyaya keçirlər. Bundan əlavə, məxfilik və məlumatların mühafizəsi qanunları hadisə ilə bağlı bankların açıqlaya biləcəyi məlumatların miqdarını məhdudlaşdıra bilər.
Buna görə də, müştərilər üçün qəribə görünsə də, bankların kart fırıldaqçılığı hadisələri haqqında ətraflı məlumat verə bilməməsi halları anlaşılandır.
– Banklar müştəri məlumatlarını qorumaq üçün nə kimi tədbir görürlər?
– Təhlükəsizliyin pozulması maliyyə itkilərinə, reputasiyanın düşməsinə və müştəri etibarının itirilməsinə səbəb olur. Buna görə də, reputasiyaya diqqət edən banklar müştəri məlumatlarının qorunmasının vacibliyini başa düşür və riskləri azaltmaq üçün möhkəm təhlükəsizlik tədbirlərinə sərmayə qoyurlar. Banklar kiber hücumlara çox ciddi yanaşırlar. Kart əməliyyatlarını qorumaq üçün çoxsaylı təhlükəsizlik tədbirlərindən istifadə edirlər. Buraya əməliyyatlar zamanı məlumatların qorunması üçün qabaqcıl şifrələmə texnologiyaları və hər hansı şübhəli fəaliyyət barədə xəbərdarlıq edən güclü fırıldaqçılıq (fraud) monitorinq sistemləri daxildir. Müştəri məlumatlarını qorumaq üçün isə banklar güclü autentifikasiya üsulları, tranzit və saxlanma zamanı məlumatların şifrələnməsi, şəbəkə seqmentasiyası, müntəzəm təhlükəsizlik qiymətləndirmələri və işçilərin hərtərəfli təlim proqramları kimi müxtəlif təhlükəsizlik tədbirlərindən istifadə edirlər. Bu tədbirlər müştəri məlumatlarının qorunmasına və icazəsiz girişin qarşısının alınmasına kömək edir.
Bundan əlavə, banklar tez-tez müştərilərə xəbərdarlıqlar həyata keçirir, onların hesablarında hər hansı qeyri-adi əməliyyatlar barədə dərhal xəbərdar edilir ki, bu da fırıldaqçılığın qarşısını almaq üçün tez müdaxilə etməyə kömək edir.
– Təhlükəsizlik auditləri məsələsini qeyd etdiniz. Hansı sıxlıqda banklar təhlükəsizlik auditləri keçirməlidirlər?
– Auditin keçirilməsi vaxtının təyin olunması bankın risk iştahı, ölçüsü və inkişaf edən təhlükə mühitindən asılıdır. İdeal olaraq, banklar təhlükəsizlik tədbirlərinin daimi qiymətləndirilməsi üçün ildə bir dəfə və ya iki ildə bir dəfə düzgün bir rejimlə qırmızı komanda tədbiri təşkil etməlidir. Bu tədbirlərin sıxlığını təyin edərkən, texnologiya mühitindəki dəyişiklikləri, yeni təhlükələri və qanunvericilik tələblərini nəzərə almaq lazımdır.
– Bank sektorunda informasiya təhlükəsizliyini təmin etmək üçün hər hansı qanunvericilik və tənzimləmələr mövcuddur?
– Bəli, Mərkəzi bank və ya maliyyə nəzarət orqanları kimi qanunvericilik orqanları informasiya təhlükəsizliyini təmin etmək üçün standartlar və təlimatlar tətbiq edirlər. Həmçinin, banklar PCI DSS və ya GDPR kimi informasiya təhlükəsizliyi standart və nizamnamələrinin tələblərinə riayət edirlər. Bu tələblər məlumatların qorunması, giriş nəzarəti, hadisələrə, təhdidlərə cavab vermək və davamlı nəzarət kimi vacib prosesləri əhatə edir.
araz.az xəbər portalı.