Центральный банк Кении предупреждает финансовые учреждения о предстоящих кибер атаках

Центральный банк Кении (ЦБК) предупредил банки и другие финансовые учреждения в Кении о предстоящих кибер атаках из-за растущего уровня кибер преступности в отрасли. ЦБК хочет, чтобы банковские учреждения повысили уровень безопасности в своей IT инфраструктуре, чтобы предотвратить возможные угрозы.

Отчеты свидетельствуют об увеличении использования ИКТ [информационно-коммуникационные технологии] различными финансовыми учреждениями по всей стране. В результате за последние несколько лет уровень кампаний по борьбе с мошенничеством, связанным с ИКТ, значительно возрос.

Именно по этой причине регулятор хочет упорядочить деятельность и защитить кредиторов от кибер мошенничества и ввел ряд мер, которые должны выполняться банками Кении.

Правила стали результатами выводов группы по расследованию банковского мошенничества, указывающих на проблемы безопасности в мобильных, компьютерных и интернет-банковских системах.

В них также говорится о том, что преступники могут получить несанкционированный доступ к системам, используемым различными финансовыми учреждениями. Загружая вредоносное или шпионское ПО, они могут получить доступ к конфиденциальной информации, которую можно в дальнейшем использовать для кражи средств из банков.

Эта проблема характерна не только для Кении, но и для всего мира, где мошенники мелкими переводами перекачивают средства из отдельных счетов банках. В результате чего, к моменту обнаружения мошенничества, довольно значительное количество средств, как правило, уже потеряно.

Помимо частичной перекачки средств, заключительная фаза включает в себя снятие больших денежных объемов, а затем бесследное исчезновение, чтобы никто не смог выяснить, что же на самом деле произошло.

Перед исчезновением, чистятся все записи об операциях в базах данных, чтобы убедиться, что никаких зацепок не осталось.

И в случае даже если они остались, процесс расследования для правоохранителей все равно остается очень сложным и кропотливым.

По этой причине ЦБК заявляет о решающем значении эффективного контроля при осуществлении операций через компьютерные системы.

ЦБК рекомендует кредиторам чаще пересматривать меры по обеспечению кибер безопасности на основе их подверженности риску. Конечно, банки, которые решились на большое количество направлений деятельности, могут столкнуться с относительно более высокими рисками, чем их коллеги.

Теперь, на основе анализа рисков, будут приняты соответствующие меры для обеспечения бесперебойных операций для клиентов, которые используют различные банки для различных целей.

Однако, помимо того, что он является регулятором отрасли, центральный банк служит и другим целям. Другие виды деятельности включают в себя действия кредитора последней инстанции, осуществление денежно-кредитной политики, контроль над инфляцией, эмиссией и среди прочего, нормативная деятельность.

Согласно новым правилам, установленным Центральным банком, необходимо будет нанять больше IT-персонала для увеличения пропускной способности и эффективности обслуживания в банках.

Кения имеет средний рейтинг относительно индекса человеческого развития Программы ООН.

В некоторых районах страны может отсутствовать персонал необходимой квалификации, что приводит к импорту рабочей силы из других стран. Более того, это может стоить довольно дорого, так как потребности этого персонала должны быть надлежащим образом удовлетворены.

Поскольку они из других развитых стран и накопили многолетний опыт работы с ресурсами, имеющимися у них в этих странах, их заработная плата может быть выше заработной платы местных коллег, работающих на аналогичной должности.

В связи с новыми требованиями некоторые заинтересованные стороны в отрасли назвали это решение запоздавшим, поскольку оно должно было быть принято, еще несколько лет назад.

Другие отметили тот факт, что банки запустили онлайн-платформы, которые призваны оптимизировать деятельность и минимизировать длинные очереди. Однако этот шаг, в то же время, делает их мишенью для кибер атак.

Ранее летом прошлого года Центральный банк Кении направил сотрудникам уведомление с предупреждением о том, что они должны проявлять особую бдительность, поскольку преступники проникли в систему учреждения.

В этом сообщении ЦБК заявил, что хакеры были нацелены не только на сам банк, но и на другие жизненно важные государственные объекты, которые обеспечивают потребности финансового сектора.

Они предупредили сотрудников о необходимости принятия мер по обеспечению безопасности. Предупреждение включало советы о том, как избежать фишинговых кампаний, применяя такие методы, как запрет на переход по ссылкам от неизвестных отправителей, предостережение о случайном скачивании файлов и другое.

Тем не менее, некоторые из этих способов по проникновению во внутреннюю систему финансового учреждения все еще используются инсайдерами.

В большинстве своем, те, кто знают о технической структуре учреждения, могут манипулировать системой в своих интересах.

Например, сотрудники, которые создают базы данных и системы для банков, могут легко получить важную информацию от третьих лиц, которая может поспособствовать краже средств со счетов банка.

Более того, они могут удалять логи, эффективно стирая любые следы, которые могли бы в конце концов к ним привести. При этом, хакеры порой занимаются подобным мошенничеством сразу в нескольких учреждениях.

Выдача кредитных и дебетовых карт различными компаниями также подвергает риску владельцев карт. Третьи лица с недобросовестными намерениями могут использовать эту информацию в ущерб владельцу карты.

После того, как третьи лица получат номер карты, дату истечения срока действия и СVV код, оу них появляется возможность перевести деньги с скомпрометированной карты на свой счет.

Сейчас большинство людей в Кении не используют свои карты для оплаты онлайн, а скорее просто периодически снимают с них деньги. По этой причине на некоторых картах, выпущенных отдельными банками, вообще отключена возможность проведения онлайн транзакций.

В таком случае владелец карты должен будет связаться с банком, чтобы ему включили эту функцию. Но в то же время, карты, защищенные таким образом, остаются недоступными для онлайн мошенничества.

Вопрос повышения безопасности карт – например, отправка кода на номер телефона или адрес электронной почты владельца карты, позволит защитить пользователей от несанкционированного использования данных их карт третьими лицами.

В некоторых случаях можно получить цифровые данные на магнитной полосе карты в сочетании с номером карты, CVV и сроком действия которые помогут сделать аналогичную, поддельную карту с теми же правами доступа к счету.

Другие способы, с помощью которых могут осуществляться атаки, это мобильные приложения, установленные на смартфоны.

Многие банки запустили процесс уточнения деталей, чтобы убедиться, что это действительно законный владелец, который имеет право доступа к средствам через цифровые платформы. Поэтому отдельным банкам необходимо проверить, что лучше всего подходит для них на базе платформ, которые они используют.

Кроме того, постоянная научная и исследовательская работа поможет им оставаться в безопасности и защищать своих клиентов.