САМОЗАЩИТА / РЪКОПАШЕН БОЙ

   За заплахите, различните видове картови злоупотреби и кражби на идентичност, както и за най-ефективните методи за защита срещу тях разговаряме със Саймън Лангли, старши мениджър Управление на информационния риск, KPMG Великобритания.

   Г-н Лангли какви са най-често срещаните заплахи във връзка със сигурността на информацията при използване на банкови карти?

   Картовите измами и кражби на идентичност се предизвикват преди всичко от невниманието или от незнанието на потребителите. Хората се регистрират и предоставят данни за себе си, докато разглеждат уеб сайтове и писма от електронната си поща (т.нар. phishing e-mails), без да проверят легитимността на източника.
   Сблъсквали сме се и с доста по-прецизни престъпления, при които хакерите директно проникват в системата на дадена организация и копират мащабни количества картова информация. В такива случаи обикновено става въпрос за “клониране” на карти, като по-уязвими са картите с магнитни лента. Този тип злоупотреби се случват доста често в САЩ. Великобритания премина към картов режим с използване на карти с чип преди около година, но въпреки това все още възникват известни проблеми. Запознатостта на потребителите е главната гаранция срещу злоупотребите.
   С какви средства може да се осигури ефективна защита срещу споменатите заплахи?

   Банките са институциите, които осъществяват някои от най-ефективните технологии за защита на потребителите. Всъщност финансовите институции се безпокоят не толкова от кражбите на самите карти, а преди всичко от злоупотребите с идентификационни детайли и номерата на банковите сметки. Много сайтове на финансови институции в наши дни предоставят на потребителите инструкции какво да направят, ако получат phishing e-mail или попаднат на измамнически уеб сайт.
   В повечето европейските страни, особено във Великобритания и Германия, нивото на измамите и злоупотребите онлайн е нарастнало двойно в сравнение с миналата година. За сметка на това броят на измамите лице в лице значително е намалял.

   Добра защита осигурява и употребата на еднократни пароли (one time passwords), но въвеждането им е доста скъпо и изисква сериозно сътрудничество от страна на потребителите. Приложението на тези пароли в корпоративна среда е много по-лесно. Този метод използваме и ние, в KPMG. През следващите няколко месеца ни предстои да внедрим подобна, но доста по-сложна система за идентификация в една от най-големите банки във Великобритания.

   Имат ли картовите злоупотреби национална специфика?

   Разликите между финансовите системи и видовете злоупотреби в страните от Източна и Западна Европа произтичат преди всичко от различната банкова и информационна инфраструктура в отделните държави. В страни като САЩ и Великобритания например, инфраструктурата е много по-развита и с по-установени традиции и това на практика затруднява внедряването на нови системи. Използването на електронни подписи например, не е особено популярно в САЩ и Великобритания, но за това пък е често срещана практика в България. Банковата инфраструктура в САЩ и Великобритания е с многогодишна история и традиции, ето защо финансовите институции доста трудно пристъпват към внедряване на нововъведения.
   Информационната инфраструктура в България се променя изключително бързо през последните 10 години и за това внедряването на новите технологии е много по-лесно и безболезнено, отколкото в Западна Европа.
   Бих сравнил положението в България с това в Япония след Втората световна война. И двете се намират в период на възход, на ново изграждане на всичко разрушено и това ги прави по-открити към новите технологии. За това страни като България на практика се намират в много по-благоприятно положение спрямо традиционните банкови системи в англосаксонските държави.
   Нашите наблюдения показаха, че в Чехия и България например, банките разполагат със значително по-модерни технологии в сравнение с финансовите институции във Великобритания. Банковите системи в Англия са тежки, обслужват десетки хиляди потребители и всъщност са доста стари – на повече от 20-30 години, въпреки че са обновявани във времето. Британските финансови институции са доста предпазливи по отношение на технологичните новости и чак когато видят конкретен пример за добра ИТ практика, са склонни да внедрят съответната технология.

   Върху какви защитни механизми бихте привлекли вниманието на нашите читатели?

   В KPMG се стремим се да обучаваме своите потребители – това е едно от нещата, което ни отличава от останалите компании. Затова бих казал, че голяма част от измамите ще спрат, ако потребителите избягват да дават данните си за идентификация без предварително да проверят на кого точно предоставят персонална информация.
   Някои от нашите банкови клиенти използват въвеждането на по-голям брой пароли за достъп като метод за защита. Това действително затруднява и усложнява нещата, но не бих го определил като едно дълготрайно решение.
   Виждали сме доста интересни разработки на някои уеб сайтове, на които освен въвеждането на парола, се избират и допълнителни променливи елементи от дадено меню. Тези защитни механизми се използват от сравнително малък брой организации във Великобритания, въпреки че много банкови институции ги имат предвид.

Въпросите зададе Силвия Симеонова