«Կիբեռհանցագործությունները զարգացման միտում ունեն»

Կիբեռհանցագործության հետևանքով համաշխարհային տնտեսությունը 2024 թ-․ին կրել է 7,2 տրիլիոն ֆունտի վնաս։ Media.am-ի հետ զրույցում այս մասին ասել է բանկային ոլորտի միջազգային փորձագետ, «Ասակա» բանկի  խորհրդի նախագահ Աշոտ Օսիպյանը՝ նշելով, որ խնդիրն ակտուալ է ոչ միայն Հայաստանում։ Ըստ նրա՝ իրավիճակը պահանջում է, որպեսզի բանկերը բարձրացնեն կիբեռհանցագործությունների դեմ պայքարի և կիբեռռիսկերի կառավարման հմտությունները։ Այս և հեռավար բանկային ծառայություններին առնչվող այլ հարցերի շուրջ զրուցել ենք Աշոտ Օսիպյանի հետ:

Կիբեռհանցագործությունների քանակը Հայաստանում աճում է։ Դրանց ձևաչափն ամեն օր փոխվում է։ Հետաքրքիր է, թե բանկերն ինչպե՞ս են լուծում անվտանգության հարցերն այս ռիսկերը հաշվի առնելով։ 
Կիբեռհանցագործությունների խնդիրն արդի է ամբողջ աշխարհում, այն աճում   է տնտեսություն մեջ կիրառվող նոր թվային տեխնոլոգիաների,  ինչպես նաև հեռավար տարբեր նոր  գործիքների կիրառման հնարավորությունների ավելացման արդյունքում։ Ցավոք, պետք է արձանագրենք, որ կիբեռհանցագործություններն ունեն աճի միտում  և հասնում են վտանգավոր ծավալների։ Ըստ մասնագիտական վիճակագրության՝ կիբեռհանցագործության հետևանքով համաշխարհային տնտեսությունը 2024 թ-․ին կրել է 7,2 տրիլիոն ֆունտի վնաս։ Ավելացնենք, որ աշխարհում, մեկ ժամում տեղի ունենում միջինում 1400 կիբեռհանցագործություն, որի 60 տոկոսը բաժին է ընկնում բանկային համակարգին, իսկ օրական  միջինում հայտնաբերվում է 350 000 վիրուս։

Եվ իրավիճակը, բնականաբար,  պահանջում է, որպեսզի բանկերը բարձրացնեն կիբեռհանցագործությունների դեմ պայքարի և կիբեռռիսկերի կառավարման հմտությունները։ Դա իրենից ներկայացնում է կիբեռռիսկերի կառավարման նոր քաղաքականության մշակում և  արդյունավետ կիբեռպաշտպանության  համակարգի ներդրում։ Կառավարման այդ համակարգը բաղկացած է հետևյալ փուլերից՝ նույնականացում, ռիսկերի գնահատում և դրանց նվազեցման գործիքների կիրառում, կիբեռռիսկերի հսկողության սահմանում, մոնիտորինգի իրականացում, ինչպես նաև՝ արտառոց դեպքերում վերականգնման ծրագիր։

Պետք է ասեմ, որ կիբեռռիսկերի կառավարման ոլորտում գործում են մի շարք միջազգային ստանդարտներ, որոնցից ամենահայտնին ISO 27-ը և NIST 800-30 են։  Ամենակարևորն այն է, որ այսօր կիբեռռիսկերի կառավարման խնդիրը դարձել է  օրակարգային բանկերի կառավարման մարմիններում։ Բանկերն իրենց կառուցվածքում ձևավորում են կիբեռանվտանգության հատուկ թիմեր, ինչպես նաև այդ թիմերն ուժեղացնում են կիբեռռիսկերի կառավարման մասնագետներով։

Վերոնշյալ բոլոր միջոցառումները բանկերից պահանջում են իրականացնել լրացուցիչ ծախսեր և կապիտալ ներդրումներ՝ կիբեռանվտանգությունը բարձրացնելու նպատակով։

Պետք է նշեմ, որ տարեցտարի բանկերի կիբեռանվտանգության ծախսերն աճում են։ Եթե դուք միջազգային վիճակագրությունն ուսումնասիրեք, կտեսնեք, որ բանկային համակարգը  իր IT  բյուջեի 14 տոկոսը ծախսում է կիբեռանվտանգության զարգացման վրա։

Բանկերը պետք է կարողանան կառուցել համակարգ՝ հաշվի առնելով արտաքին վտանգները։

Իսկ ովքե՞ր են բանկերին թիրախավորողները, ինչպե՞ս են դա անում։
Կիբեռհանցագործներին, ըստ իրենց նպատակի, կարելի է դասակարգել մի քանի խմբի։ Առաջին խումբն ունենում է քաղաքական նպատակներ՝ իդեալոգիա, երբեմն դա արվում է պետությունների դեմ, որպեսզի ձախողեն պետական կառավարման պրոցեսները, խուճապ առաջացնեն։ Հաջորդը՝ ֆինանսական նպատակներ հետապնդող կիբեռհանցագործներն են, որոնք  կարող են լինել մասնագիտացած իրավաբանական կամ ֆիզիկական անձիք։ Մյուս խումբը հաքերներն են, սրանք էլ հետապնդում են սպորտային հետաքրքրություն կամ նմանատիպ այլ պատճառներ ունեն։ Եվ վերջին խումբը՝  ներքին ինսայդերներն են, այսինքն` բանկի անբարեխիղճ աշխատակիցներ, որոնք որոշակի դրդապատճառներով թիրախավորում են ներքին տեղեկատվական համակարգը՝ ունենալով ֆինանսական կամ այլ անձնական դրդապատճառ:

Կիբեռհանցագործության հիմնական նպատակը տվյալների գողությունն է, կամ տեղեկատվական համակարգի  պարալիզացումը։

Ո՞ր գործոններն են ավելացնում կիբեռհանցագործությունները։
Հիմնական գործոնը հեռավար գործիքների ավելացումն է, թվային նոր տեխնոլոգիաների կիրառումը։ Կիբեռհանցագործությունների թիվն աճում է այն երկրներում, որտեղ այդ գործիքակազմը գերակշռում է։

Հայաստանի պարագայում այս պատճառներից ո՞րն է նպաստում կիբեռհանցագործությունների թվի աճին։
Հայաստանի պարագայում, վերոնշյալ բոլոր հանգամանքներն առկա են, որոնք էլ հանգեցրել են կիբեռհանցագործությունների աճի։ Ավելացել են թվային վաճառքի խողովակները ոչ միայն բանկային համակարգում, այլ նաև իրական հատվածում, օրինակ՝ առևտրի, սպասարկման և տուրիզմի ոլորտները։

Հայկական բանկերը ևս, ինչպես միջազգային  բանկերը, ներդրում են կատարում կիբեռանվտանգության ապահովման մեջ, մեր փորձն այս առումով չի զիջում։ Երբ զրուցում եմ կիբեռանվտանգության մասնագետների հետ, նրանք վստահեցնում են, որ այսօր հայկական բանկերն ավելի պաշտպանված են, քան 5 տարի առաջ։ Տարեցտարի բանկերի ապահովությունը մեծանում է։

Հանցագործներն ավելի դժվարությամբ են կարողանում խոցել բանկային համակարգը և հաճախ դա անում են բանկի հետ առնչություն ունեցող այլ համակարգերի միջոցով։

Երբեմն  բանկերը թիրախավորելիս որևէ վիրուս է տարածվում բանկի թվային համակարգում, որի արդյունքում  բանկը կրում է ֆինանսական և հեղինակության կորուստ։ Այլ դեպքերում կիբեռհանցագործները հաճախորդների մասին տվյալներ են գողանում, որոնք հետագայում օգտագործում են ֆինանսական օգուտներ ստանալու համար։

Ցավոք, պետք է արձանագրեք, որ կիբեռհանցագործությունները, դրա տեսակները զարգացման միտում ունեն՝ կիրառելով նորագույն գործիքներ և տեխնոլոգիաներ։

Ո՞ր պահից ՀՀ բանկերը զգացին, որ կիբեռանվտանգության մասով ռազմավարության կարիք կա։
Հայաստանում կիբեռռիսկերի կառավարման համակարգերը սկսեցին ներդրվել  2015-2016 թթ․-ից։ Եվ հենց այդ ժամանակից կիբեռռիսկերի կառավարումը դարձավ հայկական բանկերի կառավարման մարմինների քննարկման առարկա։ Բանկերը սկսեցին մշակել կիբեռանվտանգության քաղաքականություն, կիբեռռիսկերի կառավարման համակարգերի ստեղծում,  համապատասխան մասնագետների ներգրավում և վերապատրաստում։ 2018թ․ հայկական բանկերը սկսեցին կանոնավոր՝ առնվազն տարին մեկ  անգամ իրականացնել pentest (հարձակում ցանցի/համակարգի վրա՝ դրա անվտանգությունը փորձարկելու նպատակով), որի նպատակն է անկախ մասնագիտական կազմակերպության միջոցով ստանալ տվյալ կառույցի կիբեռանվտանգության մակարդակի մասին  անկախ գնահատական և բացահայտել իրենց կառույցի անվտանգության խոցելի  կողմերը։

Տարածաշրջանային երկրների, ԱՊՀ երկրների հետ համեմատած՝ Հայաստանի բանկերը կիբեռհանցագործությունների ավելի շա՞տ են ենթարկվում, թե՞ ավելի քիչ։
Դժվար է գնահատել։ Չկա մի երկիր, որտեղ կիբեռանվտանգությունը բանկի համար առաջնային խնդիր չլինի։ Ես աշխատել եմ Ռուսաստանում, Միջին Ասիայում և կարող եմ ասել, որ բոլորն էլ ունեն նույն խնդիրները։ Բոլորն են մտածում, թե ինչպես պաշտպանվել։ Այլ երկրներում բանկային համակարգի մեծությունն ավելի գրավիչ է դառնում կիբեռհանցագործների համար։

Եթե դեմ չեք, խոսենք օրինակներով։ Վերջերս մի խումբ մարդիկ կառավարության դիմաց բողոքի ակցիա էին իրականացնում, բանկերին մեղադրում էին կիբեռհանցագործության շղթայում ներգրավված լինելու մեջ։ Ասում էին, որ կան տվյալներ, որոնք միայն բանկը ունի և այդ տվյալների արտահոսքը կարող է միայն բանկից լինել։ Կամ առանց մարդու իմացության խոշոր փոխանցումների պարագայում բանկը պետք է զանգահարի ու ստանա հաստատում՝ արդյոք կատարվում է այդ փոխանցումը թե ոչ։ Կարո՞ղ է նման բան լինել։
Ձեր ասածից ենթադրում եմ, բանկն իր հաճախորդների հետ միասին դարձել է կիբեռհանցագործության զոհ։ Քանի որ կոնկրետ դեպքին ծանոթ չեմ, ուստի չեմ կարող գնահատական տալ։ Ձեր ասածը լրացուցիչ ուսումնասիրության կարիք ունի։ Սակայն կցանկանամ լրացուցիչ ուշադրություն հրավիրել 3 հիմնական հանգամանքի վրա․ առաջինը՝ բանկերի հաճախորդների ֆինանսական գրագիտություն և հեռավար գործիքներից օգտվելու փորձառության բարձրացում։ Երկրորդ՝ բանկերի կողմից դեպքերի թափանցիկ և օբյեկտիվ հետաքննության իրականացում։ Եվ երրորդ՝ բանկային գործունեությունը կարգավորող մարմնի ԿԲ-ի կողմից կիբեռհանցագործությունների նախադեպերի վերլուծություն և լուծումների կարգավորում։

Ֆինանսական ներդրումային կեղծ համակարգերն են ակտիվացել։ Կեղծ կայքերում ներդրումներ են կատարում մարդիկ, մեծ գումարներ են փոխանցում։ Տվյալ պարագայում բանկն օրինակ չի՞ տեսնում, որ փոխանցումն արվում է ոչ վստահելի կամ կասկածելի հաշվեհամարի, որը Հայաստանում գրանցված չէ։ Ինչո՞ւ է բանկը հաստատում նման փոխանցումները։
Եթե, ես սկսեմ Ձեր հարցի վերջից, ասեմ, որ բանկը հաճախ չի կարող տեսնել հաշիվը կե՞ղծ է, թե ոչ։ Բանկը ստուգում է փոխանցվող անձի ինքնությունը, փոխանցման նպատակը և ստացողի ով լինելը։

Եթե փոխանցումը կատարվում է ընկերությանը,  բանկը չի  կարող տեսնել, թե այդ ընկերությունն ինչով է զբաղվում, գոյություն ունի՞, թե ոչ։ Բանկը չունի նման լիազորություններ ու գործիքներ՝ ուսումնասիրելու ընկերությունն իրական է, թե կեղծ։ Սա ավելի շատ փոխանցում ստացող և այդ ընկերությանը սպասարկող բանկի խնդիրն է։ Ընդհանապես, մարդիկ պետք է զգոն լինեն։ Շատ ժամանակ նրանք արձագանքում են առաջարկների, որտեղ 40 000 դրամ ներդնելով խոստանում են 240 000 դրամ եկամուտ։

Ցանկացած գործարք կատարելիս պետք է լինել ռացիոնալ և վերլուծել, թե որքանո՞վ է առաջարկը իրատեսական։

Բանկը, որպես պատասխանատու կառույց, որպես սոցիալական պատասխանատվություն կրող կառույց, հաշվի առնելով այս բոլոր խնդիրները, մեդիագրագիտության մակարդակը, ֆինանսական գրագիտության մակարդակը, չի՞ կարող ոչ մի միջոց ձեռնարկել։ Օրինակ, սահմանել շեմ, որ եթե փոխանցվող գումարը հատի այդ շեմը, բանկը հաճախորդին զանգի կամ հաստատում ստանա։
Յուրաքանչյուր դեպք պետք է ուսումնասիրվի առանձին և յուրաքանչյուր բանկ ունի կիբեռհանցագործության զոհ դարձած հաճախորդի հետ աշխատելու իր ընթացակարգերը։ Կուզենայի կոչ անել զգույշ լինել սոցիալական ցանցերում, երրորդ անձանց չտրամադրել անձնական տվյալներ, ուշադիր լինել բանկային հաշվի քաղվածքներ ստանալիս։

Իսկ առևտրային բանկերը պետք է աշխատեն բարձրացնել հեռավար սպասարկվող հաճախորդների նույնականացման անվտանգության աստիճանը։

Օրինակ՝ բրիտանական բանկերն ունեն հաճախորդների հեռավար սպասարկման նույնականացաման 5 աստիճան։ Առաջինը՝ դեմքով և մատնահետքով է ճանաչում, երկրորդը՝ հաշվի վերաբերյալ գաղտնաբառերի մուտքագրմամբ, երրորդը՝ ձեր գտնվելու վայրով, չորրորդը՝ հեռավար ծառայություն մատուցող կայանով  և հինգերորդը՝ այդ կայանի օգտատերով։

Ո՞ր դեպքերում բանկը կարող է իր կորզված գումարները վերադարձնել հաճախորդին։
Պրակտիկայում, երբ կիբեռհանցագործություն է տեղի ունենում, բանկը նախաձեռնում է քննություն, որը կարող է լինել ինչպես բանկի ներսում, այնպես էլ՝ բանկից դուրս։ Եվ, իհարկե, եթե պարզվում է  բանկի մեղավորությունը՝ գումարը փոխհատուցվում է։

Նման դեպքեր գրանցվե՞լ են։
Իհարկե, իմ պրակտիկայում՝ շատ։

Տվյալների անվտանգության մասով ինչպիսի՞ իրավիճակ է։ Շատ մտահոգություններ կան, որ ֆիզիկական անձանց համընդհանուր հայտարարագրման գործընթացը մեծ մարտահրավեր է այս առումով։
Հայտարարագրման գործընթացը շատ լուրջ մարտահրավեր է։ Բնականաբար, հայտարարագրումը, հարկերի հավաքագրումը պետության համար անհրաժեշտ գործընթացներ են, սակայն ես մտահոգված եմ այդ համակարգի ներդրման ժամանակահատվածի և մեխանիզմի ընտրության  առումով։

Տվյալների անվտանգության հարցը յուրաքանչյուր բանկի գերակա խնդիրն  է,   որը պետք է լինի բանկի կառավարման բոլոր մարմինների ուշադրության ներքո և անընդհատ կատարելագործվի Բանկային գաղտնիքի տեսանկյունից կատարված վերջին օրենսդրական փոփոխությունը բացասական եմ գնահատում։ Այդ փոփոխությունների արդյունքում մարդկանց անհանգստացնում է իրենց վերաբերյալ ինֆորմացիայի արտահոսքը դեպի պետական մարմիններ․ և թե այդ ինֆորմացիան ինչպե՞ս ու ո՞ր դեպքում կօգտագործվի իրենց դեմ։

Փոփոխության բացատրությունն այն է, որ պետք է նվազեցնել կանխիկի շրջանառությունը, բայց իմ կարծիքով, այն հանգեցնելու է ուղիղ հակառակ ազդեցության։
Ձեզ հետ համաձայն եմ, ցավոք այդ կանխատեսումը իրատեսական է։ Վերջին տարիների ընթացքում տարբեր պատճառներից ելնելով՝ մշակութային, հարմարավետության, օրենսդրական կարգավորան, կանխիկի շրջանառությունը նվազել էր։  Մենք հասել էինք նրան, որ անկանխիկ  գործարքներն ավելացել էին, իսկ կանխիկի շրջանառությունը կրճատվել էր։ Ես հպարտությամբ ասում էի, որ մենք գրեթե  կանխիկի շրջանառության հարցը մաքսիմալ լուծել ենք։ Հիմա  նույնը չեմ կարող ասել, որովհետև վերջին բոլոր փոփոխությունները, մասնավորապես բանկային գաղտնիքի, հայտարարագրման համակարգի նեդրման հետ կապված, կարող են  կտրուկ ավելացնել կանխիկի շրջանառւթյունը։

Եվ վերջին թեման։ Բանկային կառավարման մեջ արհեստական բանականության (ԱԲ) կիրառումը ինչպե՞ս եք գնահատում։
Այսօր բանկերը մասսայաբար օգտագործում են ԱԲ-ն իրենց առօրյա աշխատանքում և բավականին հաջողություն են գրանցում։ Դրա վառ օրինակը հաճախորդի վարկունակության գնահատման և վարկավորման ամբողջ գործընթացն է։ ԱԲ-ն  շատ է կիրառվում նաև ժամանակակից մարքեթինգային հետազոտությունների և վերլուծությունների մեջ՝  արհեստական բանականության համակարգը հետևում և վերլուծում է ձեր ակտիվությունն ու հետաքրքությունը սոցիալական ցանցերում, ապա  դրա հիման վրա ձևավորում է յուրաքանչյուր հաճախորդի համար համապատասխան առաջարկ։ Նաև չեմ կարող չնշել, որ առանց ԱԲ  համակարգի  չեմ պատկերացնում  բանկերի ռիսկերի կառավարումը։

Աղբյուրը՝ media.am