Асоціація ЄМА відсвяткувала своє 25-річчя у колі провідних експертів банківського сектору країни та представниками регулятора. Свято поєднали з користю, адже обговорили такі важливі теми, як актуальні кіберзагрози, спрямовані на фінансові установи, технології RSA для захисту онлайн-платежів та діяльність банків на платіжному ринку України у 2024 році
XXIV Payments & Security EMA Conference. Фото: EMA
У Києві відбулась урочиста конференція XXIV Payments & Security EMA Conference до відзначення 25-ї річниці заснування Асоціації ЄМА, яка з 1999 року підтримує банківський і платіжний сектор України, захищає їхні інтереси та сприяє наданню українцям якісних банківських послуг та безпеки платежів.
Передусім учасники обговорювали роль банків у управлінні та захисті від кібератак, а також вплив технологій на платіжний ринок України. Особливу увагу було приділено впровадженню миттєвих платежів та їхньому впливу на фінансову інклюзію.
На XXIV Payments & Security EMA Conference також були присутні журналісти з PaySpace Magazine. Найважливіші тези спікерів заходу у нашому репортажі.
Актуальні кіберзагрози, спрямовані на фінансові установи
Як змінився ландшафт кіберзагроз за останні роки? В першу чергу, відбулось збільшення кількості інцидентів. З 2021 року їхня кількість збільшилася фактично вдвічі, але українські компанії, в принципі, не люблять говорити про свої проблеми публічно, тому реальна картинка може бути в десятки разів більше.
За словами керівника з питань захисту інформації департаменту інформаційної безпеки Райффайзен Банку Руслани Округ та її колеги Катерини Мащенко Security Awareness Manager банку, інша тенденція останніх років полягає в тому, що раніше переважно очікували атаки від комерційно орієнтованих компаній, які націлені на отримання фінансової вигоди. Зараз ця картинка змінилася, і на перший план вийшли вже угруповання, які на рівні держави-терориста.
Це досить небезпечні атаки, зловмисники ретельно готують свої операції і чекають, коли отримають наказ. Вони роблять так, що компанії або ціла індустрія зазнають максимальних збитків.
Минулого року найбільш активними були команди військової розвідки, на них припадає 36% всіх інцидентів, а також активною була команда ФСБ — 8% інцидентів. Інша тенденція останніх років — збільшення хакактивістів, тобто ці люди, які використовують хакінг не для отримання фінансової вигоди, а для просування певних ідей.
А деякі групи теж потрапили в топ; та сама група «Зоря» та «кіберармія росії» і на них припадає понад 10% інцидентів. Зараз будь-яка маленька група ентузіастів може об’єднатися, отримати фінансування від держави-терориста і зробити дуже боляче будь-якому бізнесу або навіть країні; таких гравців багато, і їхня ефективність велика.
За даними досліджень, середня вартість кібератаки для компанії-жертви зараз складає 4,5 мільйони доларів, а цифра на 15% збільшилася з 2020 року. А 74% всіх випадків проникнення у кіберпростір компанії — це людський фактор, тобто через погано навчених або неуважних працівників компанії-жертви.
Взагалі, це глобальна тенденція збільшення кількості кібератак. Багато з них припадають на країни-члени НАТО, але минулого року 48% — це майже половина всіх атак, спрямованих на Україну.
«Фактично, ми можемо стверджувати, що війна стала й у кіберпросторі. Таке збільшення інцидентів в принципі спостерігалося з 2014 року, але їх такий сплеск відбувся напередодні вторгнення. Тоді були на початку 2022 року масштабні, та державні організації, близько 70 ресурсів було атаковано; у лютому 2022 року була серія кібератак саме на банківську інфраструктуру. По суті, це був такий підготовчий етап; наш банк також зазнав атаки, і це було дуже масивно, це було довго. Наші клієнти цього не відчули, але ми відчули дуже добре, тому що фактично 24 січня змагались хто спритніший, хто розумніший — ми виграли тоді, тому що ми готувалися до цього», — зазначила Руслана Округ.
Атаки на банківський сектор постійно продовжуються, і навіть зараз, імовірно, якийсь банк переживає чергову атаку, додає експертка.Хоча технічні можливості банків для відбиття атак зросли дуже суттєво.
Згідно з доповіддю, фішинг залишається найбільш актуальною загрозою. Разом з ним розвиваються інші методи соціальної інженерії. Очікується, що буде збільшення атак на ІТ компанії, які займаються військовою або критичною інфраструктурою.
«Ми періодично проводимо вправи із залучення наших айтівців. Аналізуємо наші слабкі місця. Ми зробили таку пам’ятку, яку можуть використовувати інші організації. Тобто це заходи безпеки, розподілені на 15 наслідків. Ми теж спостерігаємо різкий зріст шахрайства з початком війни. Десь навесні минулого року кількість збільшилася в 6 разів. Якщо раніше була найбільш популярна схема, це дзвінки від імені банку під різними приводами, то зараз переважно збирають дані через фішингові сайти. Наприклад, у 2021 році заблокували 15 сайтів, які імітували сторінки банку; минулого року це було 310 сайтів. Переважну більшість шахрайств блокують досить ефективні алгоритми. Ефективність цього року стала 90% середину, тобто за рік ми зберегли 107 мільйонів гривень наших клієнтів», — повідомляє Руслана Округ.
Читайте також: Visa і Mastercard знизять плату за обробку платежів в одній з країн
Як змінюється портрет шахрая? Якщо раніше вважалося, що це радше люди похилого віку, зараз картинка кардинально змінилася. Переважно цільова аудиторія шахраїв — це люди віком 30-40 років, це переважно жінки і це максимально активні люди. Ця інформація корисна бізнесу, по-перше, з погляду додаткових налаштувань алгоритму протидії шахрайству, а по-друге, для просування програм обізнаності клієнтів. Фахівці банку радять приділяти багато уваги навчанню як клієнтів, так і своїх працівників.
«Ми розуміємо, що наш кінцевий користувач це все ж таки найслабша ланка, і найпростіший спосіб для зловмисників, щоб потрапити в мережу нашої організації або ж викрасти дані, як мінімум витік даних або, наприклад, проникнення в інфраструктуру компанії, може бути через працівника, можливо, багатьма способами: перехід за фішинговим посиланням, розкриття своїх даних, заражені файли або, наприклад, завантаження файлу на дуже ненадійному ресурсі, і цей список можна ще продовжувати», — пояснює Катерина Мащенко, Security Awareness Manager, Райффайзен Банку.
Світова статистика каже, що фішинг залишається тенденцією найпоширенішою, і найпростішою для реалізації, тому що для зловмисників це дешево, а для компанії, по-перше, може бути втрачена важлива інформація і про клієнтів і про саму компанію, може відбутися зараження шкідливим програмним забезпеченням.
У Райффайзен Банку побудували авторську програму навчання і досягли доволі гарних показників. Наприклад, в 4 рази зменшили кількість випадків завантаження шкідливого програмного забезпечення, а також зменшили клікабельність у фішингових листах у 2,5 раза. Тож діляться порадами для інших компаній.
Фінансова та репутаційна безпека у часи ChatGPT
На тему загрози бізнес-емейл компрометації у фінансовій та репутаційній безпеці доповів Дмитро Остапенко, регіональний технічний директор в Україні та Молдові, TrendMicro.
Спікер наголошує на тому, що зловмисники можуть легко маскуватися під колег або бізнес-партнерів. Він говорить про так званий бізнес-емейл компрометацію, яка є однією з найбільш хитрих форм шахрайства. Злочинці можуть використовувати скомпрометовані емейл-акаунти високопоставлених працівників компанії, щоб від імені цих осіб розпоряджатися фінансовими операціями, переказуючи гроші на підроблені рахунки.
Особливість цього виду шахрайства полягає в тому, що відправлені листи зазвичай виглядають абсолютно законно, адже вони не містять шкідливих файлів чи підозрілих посилань. Шахраї можуть навіть маніпулювати банківськими реквізитами, втручаючись у листуванні з контрагентами й змінюючи їх на свої.
Дмитро Остапенко, регіональний технічний директор в Україні та Молдові, TrendMicro. Фото: EMA
«Процес зазвичай розпочинається з дослідження зловмисниками внутрішньої структури компанії та з’ясування ключових осіб, що відповідають за фінансові платежі. Вони можуть створити сайт, схожий на поштовий домен контрагента, і використовувати його для введення в оману співробітників. Важливим є використання автоматизованих інструментів для аналізу електронних листів, які дозволяють виявляти потенційно шкідливі повідомлення, засновані на поведінці та намірах, закладених в тексті. Це допомагає зменшити людський фактор і покладатися на об’єктивні технології для ідентифікації підроблених листів», – радить учасникам форуму Дмитро.
До чого тут ChatGPT? Остапенко пояснив характер роботи ШІ. Насправді це механізм обробки запитів і надання відповідей на них, заснований на так званій генеративній моделі, основу якої склала розробка Google з 2017 року. Тоді основними завданнями цієї платформи були переклад текстів, ліцензування та підсумовування, а також сумаризація і створення зв’язних текстів. Таким чином, відповіді мають бути якомога більш природними для людини. Зрозуміло, що враження має скластися, наче людина спілкується з іншою людиною, а не з якимось бездушним алгоритмом. Іншими словами, також робляться спроби вселити душу, і в певному сенсі це вдалося.
Завдяки ChatGPT спілкування з сервісами дало надзвичайний поштовх автоматизації будь-яких процесів. Якщо раніше кожну кібератаку мала підготувати група людей, які могли витрачати на це кілька місяців, аби проникнути всередину інфраструктури, визначити ключових осіб, потім виявити особливості написання певних листів, що все робилося вручну з мінімальною автоматизацією, то зараз з появою таких мовних моделей величезна кількість моделей ставить досить серйозні виклики.
«Тобто будь-який запит, який поступає на обробку, обов’язково передбачає діставання об’єктів з внутрішньої бази даних чи ресурсів, скажімо так, і обов’язково має пройти процес, який ми назвемо процесом «людяності». Тобто, щоб зробити цю відповідь, цю інформацію такою легкою для сприйняття та зрозумілою, існує дуже, дуже велика кількість мовних моделей, кількість фраз і слів у яких обчислюється мільярдами, сотнями мільярдів, що є надзвичайно важливою і потенційно небезпечною особливістю. Технічний науковий прогрес може бути використаний не тільки в корисливих цілях, з добрими намірами, а, на жаль, і зловмисниками», – розповів Дмитро.
Crime-as-a-Service: зростальні ризики бізнесів у цифрову епоху
Керівник EMA Academy Раїса Федоровська. Фото: EMA
Керівник EMA Academy Раїса Федоровська під час своєї презентації звернула увагу на так звану світову скамдемію та навела разючі цифри. Кількість постраждалих від шахрайства в 2023 році 2 040 000 000.
Це означає, що кожна 4-та людина у світі стала жертвою шахраїв.
Допомагають шахраям спеціальні ресурси, наприклад, програма Crime-as-a-Service, яка створила 40 000 фішингових доменів. На платформу приходили кіберзлочинці ходили за підпису 249 доларів на місяць. 170 трендів світових брендів, були атаковані цієї платформи, 10 000 користувачів.
Системна протидія платіжному шахрайству та захист клієнтів
Начальник управління захисту прав споживачів НБУ Ольга Лобайчук на заході поділилася статистикою кібершахрайства в Україні та загалом у світ.
- В умовах війни великою проблемою є зростання кількості шахрайських операцій: показник збільшився у 6 разів у порівнянні з роками до повномасштабного вторгнення.
- Середня сума шахрайської операції у 2023 році становила 8500 грн.
- За 2023 рік шахраї «заробили» понад 3 млрд грн.
- Популярні схеми: недоставлення товару після передплати в мережі, дзвінки від імені банків, фішинг, прохання про допомогу через соцмережі.
Начальник управління захисту прав споживачів НБУ Ольга Лобайчук. Фото: EMA
На тлі такої статистики начальник управління захисту прав споживачів НБУ Ольга Лобайчук закликала всі фінансові установи приділяти максимум уваги кібербезпеці та співпрацювати з правоохоронцями у випадках, коли їхні клієнти постраждали від шахрайських дій.
«Ця проблема стала топпроблемою періоду воєнного стану за кількістю і сумою збитків. Це насправді говорить про те, що ми з вами не допрацьовуємо, і дуже добре, що це піднялося на такий високий рівень у державі. Коли наші правоохоронні органи хочуть розслідувати, хочуть шукати шахраїв, власне, їм треба трошки допомогти зі сторони банків та платіжних установ. Ми дуже бачимо різне відношення навіть від команд самих банків до цих кейсів та бажання банків допомогти своїм клієнтам. У кіберпросторі маємо чудово розуміти, що всі системи мають працювати превентивно, на крок вперед, поки що, на превеликий жаль, на декілька кроків вперед, а за нами знаходяться шахраї. Тому дуже сподіваюся на зміни до закону про платіжні послуги, і там, власне, є певна історія з обміном інформацією», — звернулася до колег Ольга Лобайчук.
Готові технічні рішення для створення необанку
Співвласниця Payforce group Тетяна Ніколенко поділилась із аудиторією готовими технічними рішеннями для створення необанку. А також актуальними даними в цьому сегменті.
На сьогоднішній день у світі працює трохи більше ніж 300 банків, які обслуговують понад 350 мільйонів користувачів. В Україні наразі діють чотири необанки. З огляду на зростання цього ринку, річний сукупний темп зростання планується на рівні 24,6% протягом наступних п’яти років, що свідчить про динамічне зростання кількості таких банків у світі.
«Щодо напрямків для створення необанку, то класичний напрямок, який відомий і в Україні, полягає в тому, що необанк, отримавши ліцензію від донорського банку, створює власний мобільний застосунок і процеси, надаючи послуги, зручніші для кінцевого користувача. Інший варіант — створення банку на базі мобільного оператора, який має величезну клієнтську базу. Для оператора важливо зберегти лояльність користувачів, пропонуючи їм додаткові сервіси і можливості для монетизації клієнтської бази. Ще один напрямок — ритейл. Великі компанії, такі як гіпермаркети або ритейлери продуктів харчування, можуть використовувати необанк для збільшення лояльності клієнтів, пропонуючи додаткові послуги та можливості для заробітку», — зазначила у доповіді Тетяна Ніколенко.
Також експертка виділяє напрямок криптобіржі, оскільки навіть класичні банки, які пропонують звичні банківські послуги, вже не задовольняють потреби покоління Z. Цікавість до криптовалюти робить поєднання класичних банківських послуг з можливістю купівлі, продажу криптовалюти або інвестування в криптоактиви особливо привабливим.
Тому важливо звернути увагу при проектуванні банку на класичну структуру, яка включає не тільки ліцензії, без яких банк не може існувати, але й на банківські системи, ядро яких обслуговує рахунки, веде клієнтські обліки та бухгалтерські книги.
Співвласниця Payforce group чітко структуризувала з чого складається необанк:
- Ліцензії.
- ABS (CORE Banking System).
- Картковий процесинг.
- Онбординг.
- Кореспонденська мережа.
- Комплаєнс.
- CRM/CDP.
- Технологічна платформа необанку.
Діяльність банків на платіжному ринку України в 2024 році: прозорість та відповідальність
Директор департаменту платіжних систем та інноваційного розвитку НБУ Андрій Поддєрьогін на заході доповів про основні плани регулятора на платіжному ринку України. В основі промови Поддєрьогіна був новий закон про платіжні послуги, який імплементує другу платіжну директиву та нові підходи до регулювання платіжного ринку.
Цікаве по темі: НБУ радить банкам використовувати ШІ при кредитуванні
Директор департаменту платіжних систем та інноваційного розвитку НБУ Андрій Поддєрьогін. Фото: EMA
«Працюючи спільно з вами над цим завданням, окрім регулювання, ми також переглядали звітність нашого ринку про платіжні операції та безготівкові розрахунки. Королем нашого ринку за кількістю операцій залишаються електронні платіжні засоби, платіжні картки — 64 відсотки операцій, а кредитовий переказ — 36 відсотків. За сумою переведених коштів з використанням цих платіжних операцій королем є вже кредитовий переказ. Як ви бачите, юридичні особи мають найбільший середній чек та середню суму операцій.»
Якщо подивитися на кількість платіжних пристроїв, то кількість POS-терміналів, де можна використовувати платіжні картки, повністю відновилася. Внаслідок отримання ліцензій небанківськими фінансовими установами та встановлення власних мереж POS-терміналів, у порівнянні з кінцем 2022 року, в Україні кількість терміналів зросла більш ніж удвічі завдяки праці небанківських фінансових установ, йдеться у доповіді.
Щодо планів, то перекази або миттєві платежі, за думкою всіх центральних банків, є новим інструментом, який, по-перше, дозволить зменшити вартість платежів для користувачів завдяки зниженню вартості платежів для надавачів платіжних послуг. Це кредитовий переказ, який клієнт ініціює у своєму обслуговуючому банку через платіжну систему, не передається жодних аутентифікаційних ресурсів для встановлення підтвердження особистості держателя картки, за рахунок чого зменшуються витрати.
«Ми очікуємо, як і всі інші центральні банки, що впровадження миттєвих кредитових переказів призведе до зниження витрат для користувачів. Нещодавно з’явилися платіжні рішення і сервіси на основі кредитового переказу в поєднанні з QR-кодом стандарту НБУ, доопрацьованого учасниками ринку. Але миттєвий переказ завдяки гарантованій доставці коштів на рахунок отримувача протягом 10 секунд відкриває абсолютно нові можливості для учасників ринку щодо створення нових сервісів. Очікується також позитивний вплив на рівень фінансової інклюзії. Є сегменти, які можна зайти з безпековими послугами легше та дешевше, ніж з використанням карток», — резюмує Поддєрьогін.
25 років разом з ЄМА!
Асоціація вже чверть століття підтримує український банківський та платіжний бізнес, захищає його інтереси та сприяє тому, щоб українці отримували й користувались якісними, безпечними та надійними платіжними послугами.
Заступник Директора, керівник ФБРіК Асоціації ЄМА Олеся Данильченко. Фото: EMA
Заступник Директора, керівник ФБРіК Асоціації ЄМА Олеся Данильченко для PaySpace Magazine ексклюзивно поділилась підсумками роботи EMA та планами на майбутнє:
«25 років — це вже солідний рубіж, після якого можна сказати, що ви готові до будь-якої ситуації. І все ж, це не лише питання створення якогось продукту, а й здобуття довіри учасників ринку. Враховуючи, що за нами стоїть велика кількість людей, я вважаю, що ми досягли дуже позитивного результату, яким можуть похвалитися небагато хто на нашому ринку. По-перше, ми зрозуміли, що розвивати асоціацію як напрямок розвитку бізнесу і не звертати увагу на питання безпеки неможливо, оскільки всі сучасні тренди показують, що будь-яку діджиталізацію ми маємо розглядати і з точки зору безпеки, і з точки зору ризиків. Друге — це створення автоматизованої системи обміну інформацією. Організувати це було дуже складно. Ну і третє, я думаю, що це довіра, яку нам вдалося зберегти та примножити в будь-якій ситуації. І це майданчик, на якому люди розуміють, що вони можуть довіряти один одному, а ми виступаємо як партнер для них. Тобто це місце, де вони можуть комунікувати і знати, що цій людині вони теж можуть довіряти.
Що стосується планів на майбутнє, то, по-перше, це максимальна автоматизація в банках. Все, що від нас залежить, ми зробимо для цього. Друге — це безпека, і ми плануємо рухатися до тіснішої співпраці з європейськими колегами. Інтеграція в їхню екосистему кібербезпеки є важливим новим проєктом, який також добре сприйнятий нашим ринком. Ми вже багато зробили в цьому напрямку, але плануємо працювати ще більше.»
Ознайомтесь з іншими популярними матеріалами:
