Загрози та інші фактори інформаційної безпеки електронного банкінгу

Размещено на http://www.allbest.ru/

Загрози та інші фактори інформаційної безпеки електронного банкінгу

Коваль Владислав Русланович аспірант, Науково-дослідний інститут приватного права і підприємництва імені академіка Ф.Г. Бурчака Національної академії правових наук України

Анотація

інформаційна безпека електронний банкінг загроза

В даний час банківська діяльність є однією із галузей, у яких застосування цифрових технологій реалізується найефективніше. На сучасному етапі розвитку інтеграція цифрових та фінансових технологій у діяльність комерційних банків визначає їх конкурентоспроможність та фінансову стійкість.

Серед широкого спектра послуг, які пропонують банки, особливе місце посідає дистанційне банківське обслуговування у різних формах, яке дозволяє надавати клієнтам новий рівень сервісу через створення доступних та ефективних механізмів взаємодії банку та клієнтів.

Впровадження електронного банкінгу забезпечує банкам підвищення рентабельності, гнучкості та покращення цифрового досвіду роботи з клієнтами, який можна адаптувати до постійних змін їх потреб. Інтернет- банкінг та мобільний банкінг концентруються на виконанні щоденних транзакцій клієнтів через Інтернет та мобільні банківські програми, електронний банкінг є найбільш всеосяжним із трьох вищезгаданих понять, оскільки охоплює та об'єднує як мобільний банкінг, і Інтернет-банкінг.

Використання технологій електронного банкінгу приносить як певний перелік переваг для клієнтів, так і посилює низку ризиків, які банкам необхідно враховувати та відповідним чином на них реагувати з метою зниження їхнього впливу.

Вступ

Банківська система знаходиться під постійним впливом ризиків цифровізації в першу чергу залежить від кібернетичних ризиків, які здійснюють безпосередній вплив на всю інформаційну систему держави і від так на її безпеку.

Тому інформаційна безпека відіграє найважливішу роль у діяльності банків та інших організацій. Інформаційна безпека - стан захищеності інформації, у якому забезпечуються її конфіденційність, доступність і цілісність.

В цьому дослідженню варто приділити увагу загрозам та іншим факторам інформаційної безпеки електронного банкінгу в сучасних умовах сьогодення.

Мета. Метою статті є обгрунтування теоретичних положень загроз та інших факторів інформаційної безпеки електронного банкінгу.

Матеріали і методи. Матеріалами дослідження є: 1) нормативно- правове регулювання інформаційної безпеки електронного банкінгу; 2) праці вітчизняних науковців, які досліджують правове забезпечення інформаційної безпеки електронного банкінгу, в тому числі загрози та інші фактори інформаційної безпеки електронного банкінгу.

Методологічною основою дослідження є такі загальнонаукові методи: історичний, міждисциплінарний, прогностичний та логічний (аналіз, синтез, індукція, дедукція). Серед наукових методів пізнання використовувалися системно- структурний, правового моделювання та структурно-функціональний.

Результати. У науковій статті визначено поняття електронного банкігу. З'ясовано перелік кіберзагроз, які виникають у фінансовій галузі.

Виокремлено основні загрози та інші фактори інформаційної безпеки електронного банкінгу. Запропоновано методи, які розроблені спеціально для протидії загрозам та інформаційним ризикам.

Перспективи. В подальших наукових дослідженнях пропонується зосередити увагу на правовому механізмі правового забезпечення інформаційної безпеки електронного банкінгу.

Це надасть уникненню загроз та інші факторва інформаційної безпеки електронного банкінгу.

Ключові слова: інформаційна безпека, загрози інформаційної безпеки, банківська діяльність, дистанційне банківське обслуговування, електронний банкінг, цифрові технології.

Koval Vladyslav Ruslanovych Graduate Student of the Research Institute of Private Law and Entrepreneurship named after Academician F.G. Burchak of the National Academy of Legal Sciences of Ukraine

THREATS AND OTHER FACTORS OF INFORMATION SECURITY OF ELECTRONIC BANKING

Постановка проблеми

інформаційна безпека електронний банкінг загроза

У світі, що швидко змінюється і розвивається, інформаційні технології відіграють найважливішу роль. У нинішніх реаліях складно уявити людину, яка б не чула і не користувалася інтернет-магазинами, різними соціальними мережами, електронним банкінгом.

У міру збільшення спектра таких технологій, захист банківських даних стає основною проблемою. Адже чим активніше відбуваються транзакції через програми та додатки, тим складніше їх відстежити банкам, а отже, інформаційні технології стають вразливими для загроз та інших факторів інформаційної безпеки електронного банкінгу

Аналіз останніх досліджень і публікацій. Питанню загроз та інших факторів інформаційної безпеки електронного банкінгу не достатньо досліджено в роботах вчених. Проте наявні наукові дослідження з цього приводу мають здебільшого фрагментарний характер серед таких вчених як: Коробов Ю. І. [2], Руда О. [3], Шалига Т.С. [4], Юрчук Г [5]. та інші.

Метою статті є обгрунтування теоретичних положень загроз та інших факторів інформаційної безпеки електронного банкінгу.

Виклад основного матеріалу

Нині банківська діяльність одна із галузей, у яких застосування електронних технологій реалізується найефективніше. На сучасному етапі розвитку інтеграція цифрових та фінансових технологій у діяльність комерційних банків визначає їх конкурентоспроможність та фінансову стійкість.

Серед широкого спектра послуг, які пропонують банки, особливе місце займає дистанційне банківське обслуговування в різних формах, яке дозволяє надавати клієнтам новий рівень сервісу через створення доступних та ефективних механізмів взаємодії банку та клієнтів. У науковій літературі на даний момент немає однозначного трактування поняття «цифровий банкінг». При цьому електронний банкінг дуже тісно пов'язаний з мобільним та Інтернет-банкінгом, оскільки всі перераховані поняття включають цифрові додатки в тій чи іншій формі.

На відміну від банківського обслуговування у традиційному форматі, що здійснюється за допомогою відвідування клієнтами фізичного відділення банку, дистанційне банківське обслуговування у вигляді електронного банкінгу є сучасним способом ведення банківських операцій за допомогою мережі Інтернет через особистий кабінет на веб-сайті відповідного банку або фінансової установи з персонального комп'ютера, чи смартфона з відповідним додатком банку.

Водночас дистанційне банківське обслуговування у вигляді електронного банкінгу - це послуга, що дозволяє клієнтам здійснювати банківські операції без відвідування банківського відділення, не виходячи із власних мобільних пристроїв. За допомогою мобільних банківських програм клієнти в будь-який час і в будь -якому місці можуть отримати доступ до всієї інформації та послуг свого облікового запису, таких як платежі, перекази, отримання виписок, тощо [1, с.122].

З огляду на активний розвиток електронного банкінгу в Україні, на законодавчому рівні цей термін не визначений. Перша згадка про термін «електронний банкінг» згадується в постанові Правління Національного банку України № 164 від 30.04.2002 р. (на даний момент постанова втратила чинність), яка встановлювала методичні рекомендації з питань розробленням банками України програм з метою протидії легалізації (відмиванню) грошей, отриманих злочинним шляхом.

В подальшому 2006 році було ухвалено розпорядження Кабінету Міністрів України (далі - КМУ) «Про затвердження заходів щодо виконання у 2006 році Плану дій Україна - ЄС», де вказувалась необхідність Національним банком України розроблення вимог безпеки для Інтернет- банкінгу і мобільного банкінгу задля прискорення досягнення прогресу в розвитку сфери послуг інформаційного суспільства та інтеграції України до дослідницької програми технологій інформаційного суспільства. Власне, це і стало ключовим моментом розвитку електронного банкінгу серед банківських послуг України [3]

У свою чергу, електронний банкінг є повною екосистемою банківських послуг, реалізованою в цифровому форматі. Електронний банк значно змінює фінансовий ландшафт, дозволяючи установам ставати більш гнучкими та отримувати вигоду з нових технологій.

Завдяки сучасним банківським рішенням користувачі можуть отримати доступ до автоматизованих процесів та API-інтерфейсів для створення потоків даних у реальному часі та полегшення аналітики даних.

Впровадження електронного банкінгу забезпечує банкам підвищення рентабельності, гнучкості та покращення цифрового досвіду роботи з клієнтами, який можна адаптувати до постійних змін їх потреб. Таким чином, можна зробити висновок, що, в той час як Інтернет-банкінг та мобільний банкінг концентруються на виконанні щоденних транзакцій клієнтів через Інтернет та мобільні банківські програми, електронний банкінг є найбільш всеосяжним із трьох вищезгаданих понять, оскільки охоплює та об'єднує як мобільний банкінг, і Інтернет-банкінг.

Останні роки в Україні відзначається значне зростання кількості користувачів електронними банківськими сервісами. Кількість українців, які використовують для фінансових операцій електронний банкінг, збільшилася в 2 рази з 30 % до 2018 р. до 70% у 2024 р.

Таке зростання користування сервісами електронного банкінгу пов'язане з тим, що до 2022 р. системи Інтернет-банкінгу як канал з кожним роком дедалі більше витіснялися мобільним банком - найактивніше ці процеси розвивалися на тлі пандемії у 2020-2021 роках.

Тим не менш, залишається ще багато потенційних зон зростання для поліпшення досвіду під час здійснення банківських операцій через системи електронного банкінгу.

Крім того, важливо зазначити, що впровадження технологій електронного банкінгу приносить як певний перелік переваг для клієнтів, так і посилює низку ризиків, які банкам необхідно враховувати та відповідним чином на них реагувати з метою зниження їхнього впливу.

Інформаційна безпека відіграє найважливішу роль у житті банків та інших організацій. Інформаційна безпека - стан захищеності інформації, у якому забезпечуються її конфіденційність, доступність і цілісність.

Юрчук Г. зазначає, що існує безліч різних класифікацій принципів інформаційної безпеки. Найчастіше використовується класична тріада CIA, що складається з наступних принципів:

1. Конфіденційність - властивість інформації бути доступною лише авторизованим користувачам;

2. Цілісність - повнота і незмінність вихідних даних

3. Доступність - можливість отримувати надійну та достовірну інформацію зареєстрованим користувачам [6, с.52].

Погоджуємося, що актуальність проблеми інформаційної безпеки електронного банкінгу підтверджується статистикою хакерських атак. Багато організацій, насамперед банки, стають жертвами шкідливих програм (вірусів, троянських програм, програм-вимагачів), фітингу чи крадіжки персональних даних.

Фішинг - це ряд дій зловмисника, що дозволяє вкрасти персональні дані (наприклад, паролі, паспортні дані, дані кредитної картки) шляхом введення в оману або обману жертви.

Крадіжка персональних даних - термін, що означає незаконні дії, коли злочинці представляються від імені жертви і здійснюють різні маніпуляції з даними [5, с.118].

За відкритими даними аналітичних компанії у 2023 році фінансовий сектор посідає друге місце серед кількісті кібератак після державного сектору.

На різні види фінансових організацій припало 17 % усіх атак [7]. Найпоширенішими типами атак на фінансові установи є цільові атаки (88%), веб-атака (81%), шкідливе програмне забезпечення (75%) та botnet-атаки (56%), згідно звіту компанії Carbon Black [8].

За даними Juniper Research, збитки від шахрайства у мобільному і онлайн-банкінгу досягнуть 361 млрд доларів за останні 5 років [8]. Близько 78% фінансових компаній зіштовхнулися з витоками даних за останні 5 років, згідно дослідження Ponemon Institute [9].

Фітингові атаки на фінансові компанії зросли на 16 % у 2023 році в порівнянні з попереднім роком, згідно звіту компанії VMware Carbon Black [8].

Середні втрати від інцидентів, що пов'язані з фішингом, складають 1,3 млн доларів для фінансової компанії, згідно IBM Security [11].

Як відомо, 80% кібератак на фінансові організації мають на меті крадіжку коштів, 75% - крадіжку інформаційних даних, а 28 % - завдання репутаційної шкоди компанії, згідно дослідження LexisNexis Risk Solutions [12].

У 2020 році 40% фінансових компаній в США зазнали фінансових збитків від кібератак розмір яких складав 8 млн доларів.

Однією з найдорожчих кібератак для банків став злам бангладеського Bank SWIFT-системи у 2016 році, який приніс злочинцям 80 млн доларів.

У 2023 році хакерами було здійснено DDoS-атаку на вітчизняний банк monobank, яку вдалося відбити досить швидко, про що можемо зробити висновки, що безпека електронного банкінгу готова відбити будь-які загрози.

Аналіз судової практики дозволяє зауважити, що дана проблема справді дуже актуальна на сьогоднішній день. Не можна відзначити загальну тенденцію у рішеннях суддів з аналогічних справ, пов'язаних із розкраданням коштів з рахунків та вкладів клієнта при використанні систем дистанційного банківського обслуговування, оскільки в деяких справах суддя приймає рішення на користь клієнта, грунтуючись на нормах Закону України «Про захист прав споживачів», а в інших - на користь банку, оскільки клієнт підписав договір з банком, де відповідальність за втрату коштів з рахунку покладено на нього.

Таким чином, проаналізована статистика свідчить про зростання кібер- загроз у фінансовій галузі. Найбільш вразливими ланками є самі працівники, клієнти та незахищені дані. Тому банки активно напрявляють фінанси напідвищення кібербезпеки, в тому числі і на діяльність елетронного банкінгу.

З наведених прикладів можна зробити висновок, що потреба у захисті інформаційних технологій зростає з кожним роком у міру збільшення якості та кількості атак хакерів. Тому для найбільш ефективної протидії злочинності виділяють п'ять ключових етапів формування захисту інформаційних технологій всередині банку:

1. Оцінка вартості;

2. Розробка безпекової політики;

3. Реалізація політики;

4. Кваліфікована підготовка спеціалістів;

5. Аудит.

З перерахованих етапів варто приділити окрему увагу першим двом. Оцінка вартості є найважливішим з етапів. Інформаційна безпека потребує особливих систем забезпечення її діяльності. Для побудови найбільш ефективної системи оцінки інформаційної безпеки потрібна велика кількість фінансових ресурсів.

Повинна бути проведена оцінка ризиків та раціональність подібних інвестицій.

Другий етап передбачає розробку політики безпеки. Для того, щоб грамотно побудувати політику інформаційної безпеки всередині банку слід враховувати такі вимоги:

- варто забезпечувати повну безпеку для інформаційно-обробних систем всередині організації;

- важливо регулярно відстежувати та оновлювати наявну систему безпеки інформації;

- необхідно забезпечувати безпеку інформації під час її обробки, передачі різними каналами зв'язку.

Для забезпечення перелічених вище вимог необхідно дотримуватися наступних етапів при побудові системи інформаційної безпеки:

1. Виявлення інформаційних ресурсів, що підлягають захисту;

2. Виявлення потенційних ризиків та каналів витоку інформації;

3. Оцінка ризиків у разі витоку або ушкодження інформації;

4. Визначення вимог до системи захисту;

5. Впровадження необхідних заходів захисту всередині організації;

6. Контроль за здійсненням інформаційної безпеки електронного банкінгу.

Виокремимо основні загрози та інші фактори інформаційної безпеки

електронного банкінгу:

1. Загрози інформаційної безпеки - різним кібератакам підпадають банки та його клієнти у вигляді фінансового шахрайства. Застосування великої кількості ідентифікації є одним із найкращих методів по протидії шахрайству.

2. Технічні загрози - оскільки електронний банкінг залежить від електричних комунікацій, то будь-які технічні збої мають серйозні наслідки. Банки повинні використовувати технології, які підготовлять їх до вирішення таких ситуації.

3. Загрози зміни банківської системи та очікування клієнтів - завдяки банкам, які працюють тільки в електронному форматі. Наявність електронного банкінгу вже недостатньо для збереження конкурентоспроможності.

У процесі формування захисту також необхідно користуватися методами, які розроблені спеціально для протидії загрозам та інформаційним ризикам, а також іншим факторам.

Вони дозволяють значно скоротити кількість хакерських атак і мінімізувати негативний вплив на інформацію банку. До цих способів відносяться:

1. Посилення заходів безпеки - дотримання всіх наявних заходів та вимог щодо безпеки та інвестування в поліпшення наявних систем з інформаційної безпеки дозволить суттєво скоротити ризики;

2. Передача або розподіл ризиків - аутсорсинг найбільш ризикованих проектів дозволить і також знизить ризики всередині організації.

3. Формування резервів - необхідно враховувати, що будь-яку систему безпеки можливо обійти, отже важливо бути заздалегідь підготовленим до ризиків витоку або втрати інформації;

4. Скорочення ризиків - скорочення ризикованої діяльності дозволить знизити можливі ризики втрати чи пошкодження наявних даних [2,с. 15].

На окрему увагу заслуговує рекомендація щодо створення резервних копій для післяаварійного відновлення. Події сучасності доводять, що навіть найбільш безпечні системи можуть бути зламані, тому наявність резервних даних є первинним завданням будь-якого банку, а втрата даних може спричинити як до фінансових втрат, та і до неможливості функціонування.

Висновки

Безперечно, національні банки мають хороші можливості для управління загрозами, що виникають у зв'язку з електронною трансформацією, оскільки почали адаптуватися до глобальних змін галузі ще кілька років тому, в чому багато сприяв високий рівень проникнення мобільного зв'язку та мережі Інтернет, що постійно зростає, а також наявність добре розвиненого сектору інформаційно-комунікаційних технологій.

Разом з тим, незважаючи на всі переваги технологічних інновацій, банки наражаються на високі ризики через низький рівень захисту даних, частого розкрадання коштів у вигляді отримання несанкціонованого доступу до персональних даних.

Це вимагає від банків значного вдосконалення системи управління даними та їх захисту, а також відповідного навчання клієнтів. Дані про клієнтів стають найбільш цінними активом, а їхня втрата або порушення їхньої безпеки несе за собою високі репутаційні та комерційні витрати для банків.

Таким чином, загрози та інші фактори інформаційної безпеки електронного банкінгу в сучасних умовах сьогодення потребують вдосконалення та подальшого дослідження серед науковців.

Література

1. Коваль В.Р. Правове визначення інформаційної безпеки електронного банкінгу. Молодий вчений. Юридичні науки. 2023. Вип. № 1(113). С.121-125.

2. Коробов Ю. І. Розвиток інформаційних технологій і їх вплив на банківську діяльність. Банківські послуги. 2017. № 5. С. 15-17.

3. Про затвердження заходів щодо виконання у 2006 році Плану дій Україна - ЄС : Розпорядження КМУ від 27.04.2006 No 243-р / Кабінет Міністрів України. Законодавство України. 2006.

4. Руда О. Інтернет-банкінг - базовий інструмент на ринку фінансових послуг. Науковий вісник Херсонського державного університету. Економічні науки. 2015. Вип. 12. Ч.2. С. 185-188.

5. Шалига Т.С. Дистанційне банківське обслуговування роздрібних клієнтів : монографія. Ніжин : Аспект-Поліграф, 2013. 412 с.

6. Юрчук Г. Мережа Інтернет - сучасний канал і середовище надання фінансових послуг. Вісник національного банку України. 2017-№ 7.С.52 - 58.

7. CEOs Lack Confidence in Their Organizations' Ability to Protect Against Cyberattacks Despite Seeing Cybersecurity as Vital to Growth, Accenture Report Finds. URL: https://newsroom. accenture.com/news/2023/ceos-lack-confidence-in-their-organizations-ability-to-protect-against- cyberattacks-despite-seeing-cybersecurity-as-vital-to-growth-accenture-report-finds

8. Cost of a Data Breach Report 2023. URL: https://www.ibm.com/reports/data-breach

9. Global Threat Report. Extended enterprise under threat.URL: https://www.vmware.com/ content/dam/digitalmarketing/vmware/en/pdf/docs/vmwcb-report-gtr-extended-enterpri se-under- threat-global.pdf

10. LexisNexis Risk Solutions Cybercrime Report. URL: https://risk.lexisnexis.com/insights- resources/cybercrime-report(дата

11. Losses from Online Payment Fraud URL: https://www.juniperresearch.com/press/ losses-online-payment-fraud-exceed-362-ЫШon/(дата звернення:10.05.2024).

12. Ponemon Institute Security. URL: https://www.ponemon.org/research/ponemon- library/security/security.html

References

1. Koval V.R. Pravove vyznachennya informatsiynoyi bezpeky elektronnoho bankinhu [Legal definition of information security of electronic banking]. A young scientist. Legal sciences. 2023. Issue No. 1(113). P.121-125 [in Ukrainian].

2. Korobov Yu. I. Rozvytok informatsiynykh tekhnolohiy i yikh vplyv na bankivs'ku diyal'nist'. Bankivs'ki posluhy [Development of information technologies and their influence on banking activity]. Banking services. 2017. No. 5. P. 15-17 [in Ukrainian].

3. Pro zatverdzhennya zakhodiv shchodo vykonannya u 2006 rotsi Planu diy Ukrayina - YES : Rozporyadzhennya KMU vid 27.04.2006 No 243-r / Kabinet Ministriv Ukrayiny. Zakonodavstvo Ukrayiny. 2006 [On the approval of measures for the implementation of the Ukraine-EU Action Plan in 2006: Decree of the CMU of April 27, 2006 No. 243-r / Cabinet of Ministers of Ukraine. Legislation of Ukraine. 2006] [in Ukrainian].

4. Ruda O. Internet-bankinh - bazovyy instrument na rynku finansovykh posluh. Naukovyy visnyk Khersons'koho derzhavnoho universytetu. Ekonomichni nauky. 2015. [Ruda O. Internet banking is a basic tool in the market of financial services. Scientific Bulletin of Kherson State University. Economic sciences. 2015. Issue 12. Part 2. P. 185-188] [in Ukrainian].

5. Shalyha T.S. Dystantsiyne bankivs'ke obsluhovuvannya rozdribnykh kliyentiv: monohrafiya. Nizhyn: Aspekt-Polihraf, 2013. 412 [Remote banking services for retail clients: monograph. Nizhin: Aspect-Polygraph, 2013. 412] [in Ukrainian].

6. Yurchuk H. Merezha Internet - suchasnyy kanal i seredovyshche nadannya finansovykh posluh. Visnyk natsional'noho banku Ukrayiny. [The Internet network is a modern channel and environment for providing financial services. Bulletin of the National Bank of Ukraine. 2017- № 7.S.52] - 58 [in Ukrainian].

7. CEOs Lack Confidence in Their Organizations' Ability to Protect Against Cyberattacks Despite Seeing Cybersecurity as Vital to Growth, Accenture Report Finds. URL: https://newsroom. accenture.com/news/2023/ceos-lack-confidence-in-their-organizations-ability-to-protect-against- cyberattacks-despite-seeing-cybersecurity-as-vital-to-growth-accenture-report-finds

8. Cost of a Data Breach Report 2023. URL: https://www.ibm.com/reports/data-breach.

9. Global Threat Report. Extended enterprise under threat.URL: https://www.vmware.com/ content/dam/digitalmarketing/vmware/en/pdf/docs/vmwcb-report-gtr-extended-enterpri se-under- threat-global.pdf.

10. LexisNexis Risk Solutions Cybercrime Report. URL: https://risk.lexisnexis.com/insights- resources/cybercrime-report.

11. Losses from Online Payment Fraud URL: https://www.juniperresearch.com/press/ losses-online-payment-fraud-exceed-362-billion/.

12. Ponemon Institute Security. URL: https://www.ponemon.org/research/ponemon- library/security/security.html

Размещено на Allbest.ru