Maliyyə Bazarında kiber dayanıqlığın gücləndirilməsi üçün Mərkəzi Bank tərəfindən 2024-2026 illəri əhatə edən maliyyə sektorunun inkişaf Strategiyasının təşəbbüslərinin icrasına başlanılıb.
Bankların qarşısında informasiya təhlükəsizliyini gücləndirməklə bağlı tələb qoyulacaq. Bu barədə Sputnik Azərbaycan-ın sorğusuna Azərbaycan Mərkəzi Bankından (AMB) verilmiş cavabda bildirilib.
Mart ayından banklar qarşısında yeni tələblər qüvvəyə minəcək!
Azərbaycan Mərkəzi Bankından bildirilib ki, bankların kiber mühafizə sistemlərinin gücləndirilməsi üçün Azərbaycan Respublikası Mərkəzi Bankının "Maliyyə bazarlarında fəaliyyətinə nəzarət edilən subyektlərdə informasiya təhlükəsizliyinin təmin edilməsinə dair Tələblər" rəhbər tutaraq aşağıdakı tədbirləri həyata keçirməklə təmin oluna bilər. Bütün tələblər nəzarət subyektlərində məlumatların oğurlanmasının qarşısının alınması üçün tələb olaraq qeyd olunub. 2025-ci ilin mart ayından etibarən Tələblər qüvvəyə minəcək. (https://e-qanun.az/framework/56708).
Qeyd edək ki, AMB-nin İdarə Heyətinin sədr müavini Vüsal Xəlilov bugünlərdə keçirilən mətbuat konfransında Azərbaycan Mərkəzi Bankının ölkə vətəndaşlarının kart hesablarından oğurluq halları ilə bağlı bir neçə tədbir həyata keçirməyi nəzərdə tutduğunu açıqlayıb.
O, bildirib ki, nağdsız ödənişlər artıqca, dələduzluq halları da artır.
"Bütün ölkələrdə bunu müşahidə etmək olar. Əfsuslar olsun ki, Azərbaycanda da belə hallar artmaqdadır. Bu, əsasən vətəndaşların özlərinə məxsus məlumatları paylaşmasından irəli gəlir. AMB ilk olaraq bu ilin martından maliyyə sektorunda informasiya və kibertəhlükəsizlik qaydalarını yeniləyəcək. Bunun müəyyən qədər müsbət təsiri olacaq. Eyni zamanda maliyyə qurumları ilə birgə mediada marifləndirici işlər aparılacaq", - deyə o qeyd edib.
Əsas tələblər nə olacaq?
AMB-dan sorğumuza verilmiş cavabda o da bildirilib ki, kart məlumatlarının sosial mühəndislik (social engineering) metodu ilə oğurlanmasının qarşısı alınması üçün Banklar və Ödəniş təşkilatıarı tərəfindən müştərilər üçün maarifləndirmə tədbirləri mütəmadi olaraq həyata keçirməlidir. Eyni anda Antifraud (Dələduzluğa qarşı mübarizə) şöbə və ya bölmələri tərəfindən ödənişlər davamlı şəkildə 24/7 monitorinqi tövsiyyə edilir.
"Əlavə olaraq bildirmək istərdik ki, Maliyyə Bazarında kiber dayanıqlığın gücləndirilməsi üçün Mərkəzi Bank tərəfindən 2024-2026 illəri əhatə edən maliyyə sektorunun inkişaf Strategiyasının təşəbbüslərinin icrasına başlanılıb-(https://www.cbar.az/pages/strategy). Mərkəzi Bank tərəfindən ödəniş xidmətlərindən təhlükəsiz formada istifadənin təmin edilməsi məqsədilə davamlı olaraq qabaqcıl ölkə təcrübələri izlənilməklə, qanunvericilik bazasının təkmilləşdirilməsi istiqamətində fəaliyyət həyata keçirilir. "Ödəniş xidmətləri və ödəniş sistemləri haqqında" Qanunun 35.2-ci maddəsinin tələbinə əsasən hazırlanmış "Gücləndirilmiş müştəri autentifikasiyasının tətbiqi Qaydası" Azərbaycan Respublikası Mərkəzi Bankının İdarə Heyətinin 13 mart 2024-cü il tarixli 12/2 nömrəli Qərarı ilə təsdiq edilib. Qayda ödəniş xidməti istifadəçilərinin etibarlı autentifikasiyası, habelə onların fərdiləşdirilmiş təhlükəsizlik məlumatlarının məxfiliyinin və bütövlüyünün qorunması, həmçinin dələduzluq və digər qanunsuz fəaliyyət risklərinin azaldılması istiqamətində konkret tələbləri nəzərdə tutur",deyə AMB-dən bildirilib.
Mərkəzi Bank onu da bəyan edib ki, onlar tərəfindən davamlı olaraq bütün hədəf qrupları nəzərə alınmaqla ölkəmiqyaslı maarifləndirici tədbirlər həyata keçirilir: "Ötən dövr ərzində Mərkəzi Bank və Azərbaycan Banklar Assosiasiyasının birgə əməkdaşlığı çərçivəsində ödəniş kartlarından istifadə zamanı müşahidə olunan fırıldaqçılıq halları barədə maarifləndirici video və audioçarxlar hazırlanmış və Mərkəzi Bankın və eləcə də bankların sosial şəbəkə hesablarında, həmçinin televiziya və radio kanallarında yayımlanıb. Cari il ərzində də müvafiq istiqamətdə birgə işlərin davam etdirilməsi nəzərdə tutulur".
Kartlardan pul oğurluğu hansı üsullarla həyata keçirilir?
Azərbaycan Mərkəzi Bankı kartlardan oğurluqların səbəbini açıqlayıb. Sorğumuza cavabda bildirilib ki, fırıldaqçılar kartlardan pul oğurlamaq üçün müxtəlif üsullarla əl atırlar.
"Fırıldaqçılar özlərini bank əməkdaşı kimi təqdim edərək zənglər edərək, maillər yazaraq və ya telefona mesajlar göndərərək kart məlumatlarını əldə etməyə və vəsaitlərdən qanunsuz olaraq istifadə etməyə cəhd göstərə bilərlər. Son dövrlərdə fırıldaqçılar tərəfindən ən çox istifadə olunan metodlar – dəyərli mükafat vəd edən kampaniyalarda, lotereyalarda iştirakla bağlı saxta elanların paylaşılması, qısa zamanda yüksək gəlir vəd edən, piramida sxeminə əsaslanan investisiya əməliyyatlarına vəsait yatırılması və ya internet üzərindən satılan məhsulların sahibinə müraciət edərək, alıcı qismində ödəniş etmək üçün kart məlumatlarının əldə olunmasıdır. Bu kimi hallarla qarşılaşılan zaman kart məlumatları, eləcə də 3D Secure xidməti vasitəsilə telefona daxil olan şifrələr heç bir halda qarşı tərəfə bildirilməməlidir. Nəzərə alınmalıdır ki, bank əməkdaşları sözügedən həssas məlumatları heç bir halda kart sahibindən sorğulamır", deyə Mərkəzi Bankdan bildirilib.
Kart məlumatlarını paylaşmayanların da kartından oğurluq olur
Mərkəzi Bank vətəndaşların bank kartı barədə məlumatları paylaşmadığı halda belə oğurluq hallarının olduğuna da aydınlıq gətirib.
Mərkəzi Bankdan bildirilib ki, göndərilmiş müxtəlif linklər və şühbhəli saytlarda kart sahibi əməliyyat apardıqda dələduzlar məlumatı əldə edir və olur ki, darknet və ya başqa şəbəkələr vasitəsilə üçüncü tərəflərə bu məlumatı satırlar: " Nəticədə müəyyən müddət keçir və kart sahibi fərqli mənbələrdən kartından pul çıxarıldığını aşkar edir. Ümumiyyətlə tövsiyyə olunur ki, onlayn əməliyyatlar üçün aşağı balansı olan ayrıca debet kartlardan istifadə edilsin. Həmçinin öz istifadə göstəricilərinidən asılı olaraq bir əməliyyat üçün maksimal limitlər müəyyən etsin. Bu kimi addımlar kart sahibini böyük itkilərdən sığortalamış olur. Bəli qeyd edildiyi kimi, bəzi saytlarda ödəniş aparıldığı zaman OTP tələb olunmaya bilər. Kart sahibi tərəfindən limitlərin tətbiqi vəsait itkisinin qarşısını ala bilər".
Kart hesablarından pulların oğurlanması ilə bağlı şikayətlər kəskin artıb!
Bank məsələləri üzrə hüquqşunas Əkrəm Həsənov Sputnik Azərbaycan-a açıqlamasında bildirib ki, son vaxtlar kart hesablarından pulların oğurlanması ilə bağlı şikayətlər kəskin artıb. Elə həftə yoxdur ki, kart hesabından pul oğurluğu ilə bağlı ona şikayət daxil olmasın.
Ə.Həsənov deyir ki, əksər hallarda kart barədə məlumatları elə kart sahiblərinin özləri dələduzlara verirlər:
"Əksər hallarda kiberdələduzlar vətəndaşları bankların adından zəng edərək aldadır və kart məlumatlarını ələ keçirirlər. Bəzi hallarda isə vətəndaşlar internet saytlarından onlayn alış-veriş edərək kart məlumatlarını ora yerləşdirirlər. Ona görə də, vətəndaşlara tövsiyə olunur ki, kart məlumatlarını heç kəsə verməsinlər. Tanınmayan saytlardan alış-veriş etməsinlər".
Banklar həmişə günahı vətəndaşın boynuna atır
Amma Ə. Həsənov deyir ki, bu, heç də həmişə vətəndaşın günahkar olduğu anlama gəlmir. Onun sözlərinə görə, bəzən banklar vətəndaşları günahkar çıxardırlar ki, onlar kart məlumatlarını kiberdələduzlara verirlər.
"Banklar sistemi elə qurmalıdırlar ki, kartdan istifadə zamanı hər dəfə vətəndaşın mobil telefonuna sms gəlsin, OTP kod daxil edildikdən sonra kartdan vəsait çıxılsın. Bankların belə bir xidməti var. Vətəndaş bilərəkdən yaxud bilməyərəkdən bu məlumatları təsadüfən kiberdələduzlara verə bilər. Amma bankların da bir mühafizə sistemi olmalıdır. Müştəri sms vasitəsilə təsdiqləməsə kartdan vəsaitin silinməsi prosesi baş verməməlidir. Kiberdələduzlar vətəndaşın mobil telefonunu görə, ora müdaxilə edə bilmirlər. Bəzən sms xidmətlərə qoşulan müştərilərə də otp kod gəlmir, və vəsait kartdan silinir. Artıq bunun günahı vətəndaşlarda yox, banklardadır", Ə.Həsənov bildirib.
Bankların informasiya təhlükəsizliyi sistemində boşluqlar var!
Hüquqşunas deyir ki, böyük məbləğlər kartdan çıxardıldıqda bankın mühafizə sistemi sms təsdiqi olmazsa, kartı avtomatik bloklamalıdır:
"Milli Qəhrəman Hökümə Əliyevanın atasının kartından 80 min manatın oğurlanması faktı banklardakı bu boşluğu üzə çıxartdı. Bank sms təsdiqlənmirsə müştəriyə zəng edib kartdan vəsaitin onun tərəfindən çəkilib-çəkilmədiyini dədiqləşdirməlidir. Çünki, banklar xaricə pul köçürdükdə müştərini "sual atəşinə" tuturlar. Bu onu göstərir ki, bankların informasiya təhlükəsizliyi sistemi zəifdir. Çünki, bəzən vətəndaş kart məlumatlarını ikinci şəxsə ötürmədikdə belə çıxılır. Bu xüsusilə müştərisi çox olan banklarda müşahidə olunur. Bu da bankların loru dildə desək, acgözlüyündən qaynaqlanır. İri bankların o qədər müştərisi var ki, onlar bütün müştərilərinin hesablarının təhlükəsizliyini qoruya bilmirlər. Bu zaman banka sual oluna bilər ki, təhlükəsizliyi təmin edə bilməyən bank bu qədər müştəriyə niyə xidmət götürmək öhdəliyi götürür?".
Xatırladaq ki, "Maliyyə bazarlarında fəaliyyətinə nəzarət edilən subyektlərdə informasiya təhlükəsizliyinin təmin edilməsinə dair Tələblər"ə əsasən, maliyyə qurumları informasiya təhlükəsizliyinin idarə edilməsi sistemini (İTİS) davamlı təkmilləşdirməli, bu istiqamətdə informasiya təhlükəsizliyi siyasəti hazırlanmalıdır. Bu siyasətə azı ildə 1 dəfə ayrıca baxıla, habelə risklərin idarə edilməsi sisteminə baxılarkən yenidən nəzərdən keçirilə və tələb edildikdə müvafiq dəyişikliklər edilə bilər. Bundan başqa, İTİS-in davamlılığının, adekvatlığının və effektivliyinin təmin edilməsi üçün dəyişikliklər edildikdə informasiya təhlükəsizliyi siyasətinə növbədənkənar qaydada yenidən baxıla bilər.
Bu Tələblərə uyğunluğun qiymətləndirilməsini kənar auditor I kateqoriya nəzarət subyektlərində (banklar, sığortaçılar, mərkəzi depozitar, İcbari Sığorta Bürosu, kredit büroları, elektron pul təşkilatları və ödəniş sistemlərinin operatorları) ildə 1 dəfədən az olmayaraq, II və III kateqoriya nəzarət subyektlərində (qiymətli kağızlar bazarında lisenziyalaşdırılan şəxslər, poçt rabitəsinin milli operatoru, ödəniş təşkilatları, səhmdar investisiya fondları və investisiya fondlarının idarəçiləri; kredit ittifaqları istisna olmaqla, bank olmayan kredit təşkilatları) 2 ildə bir dəfədən az olmayaraq aparacaq.