Азербайджан: $3,5 млн украдено с банковских карт - эксперт требует реформ
Банковские кражи в Азербайджане
На панельной дискуссии на тему кибер-суверенитета начальник отдела информации и кибербезопасности Министерства внутренних дел Азербайджана Хикмет Мамедов заявил, что в прошлом году было похищено 22 миллиона манатов (прим. 13 миллионов USD), а за последние 4 месяца — в общей сложности 6 миллионов манатов (прим. 3,5 миллионов USD) с банковских карт граждан Азербайджана.
Эксперт по информационной и коммуникационной безопасности Осман Гюндуз, комментируя ситуацию, отметил, что обнародование этой информации на официальном уровне является положительным шагом, однако раскритиковал Центробанк и другие государственные структуры за то, что до сих пор не отреагировали на происходящее.
«После этого официального заявления Центральный банк должен был немедленно отреагировать. Однако пока этого не наблюдается. Массовые хищения уже стали чем-то обыденным. Теперь мы каждый день ждем, сколько денег, по словам представителя МВД, украдено с карт. Когда же правительство примет действенные меры против этой угрозы?» — задается вопросом Осман Гюндуз.
Руководитель пресс-службы МВД Эльшад Гаджиев, выступая 2 мая на медиафоруме, проходившем в Баку, заявил, что основной причиной мошенничества, связанного с банковскими картами, является передача личной информации другим лицам.
«Ни один гражданин не должен сообщать данные своей банковской карты, отвечая на звонки из-за границы или размещая их на онлайн-платформах. Это создает условия для краж. Предотвращение краж с банковских карт в первую очередь зависит от внимательности самих граждан».
По его словам, в результате проводимой в этой сфере просветительской работы количество случаев мошенничества значительно сократилось — если ранее ежедневно регистрировалось около 50 таких случаев, то сейчас эта цифра колеблется в пределах от 10 до 20.
Статистика засекречена
В Азербайджане отсутствуют открытые для общественности статистические данные о случаях краж в цифровых платежных системах. Хотя Министерство внутренних дел, Центральный банк и Государственная служба специальной связи и информационной безопасности делятся общими показателями по киберпреступлениям, информации о том, в каком именно банке или мобильном приложении кражи происходят чаще всего, нет.
По данным на конец 2023 года, Азербайджан занимает 52-е место в Национальном индексе кибербезопасности. Этот показатель отражает технический уровень развития, однако масштаб цифровых краж и риски по конкретным банкам остаются неясными.
- «Правительство должно считать эту картину позорной» – экономист о балансе импорта-экспорта в Азербайджане
- В Азербайджане вместе с зарплатами выросли и тарифы на коммунальные услуги
- Выведут ли крупные штрафы для предпринимателей, берущих плату в виде card-to-card, экономику Азербайджана из тени?
Что говорят банки?
Отдельные банки, например, PAŞA Bank, заявляют, что предпринимают меры в сфере кибербезопасности и получили сертификат соответствия международным стандартам (PCI DSS). Банки, такие как Kapital Bank и ABB, также сообщают, что обеспечивают безопасность с помощью двухфакторной аутентификации. Однако статистика по реальным случаям краж не публикуется.
Осман Гюндюз отмечает, что названия банков, в которых зафиксировано наибольшее количество краж, имеются в распоряжении Центрального банка и МВД, однако не раскрываются общественности:
«Публикация этих данных могла бы вызвать серьезную общественную реакцию. Но, по-видимому, этого не делают из-за страха перед репутационными потерями банков».
«Центральный банк должен пересмотреть свои правила, ужесточить требования к идентификации, а банки обязаны нести ответственность за украденные средства. Недопустимо уходить от ответственности под предлогом “вы сами подтвердили”».
Насколько достаточна правовая рамка?
В Азербайджане основной правовой рамкой в этой сфере является закон «О персональных данных», принятый в 2010 году. Однако, по мнению экспертов, этот закон не отвечает современным цифровым рискам и значительно отстает от международных стандартов (например, требований Общего регламента по защите данных — GDPR Европейского Союза).
GDPR (Общий регламент по защите данных) — это закон, регулирующий сбор, обработку и хранение персональных данных. Вступивший в силу 25 мая 2018 года, он направлен на защиту данных граждан ЕС и возлагает серьезные обязанности на компании.
«Контроль и системы внутреннего аудита над лицами, имеющими доступ к данным клиентов в банках, слабы. Также нет запрета на работу иностранных граждан в банковской системе, что создаёт потенциальную угрозу», — говорит Осман Гюндюз.
Что говорит международная практика?
Эльшад Гаджиев также сказал, что «в Европе при кибермошенничестве пострадавшие никогда не получают обратно свои деньги».
Однако в Турции и странах Европейского Союза при кражах в цифровых платежных системах банки компенсируют основную часть ущерба. Согласно директиве PSD2, европейские банки обязаны в течение 24 часов компенсировать несанкционированные операции — если только клиент не проявил халатность.
Директива по платежным услугам 2 (PSD2) — это регулирование, которое контролирует платёжные услуги и провайдеров в Европейской экономической зоне (EEA). Ее цель — повысить конкуренцию, инновации и безопасность в платёжной индустрии.
В Грузии банки обязаны ежегодно предоставлять аудит кибербезопасности и публиковать отчеты для общественности о случаях утечек данных. В Азербайджане таких механизмов отчетности нет.
Какие есть предложения?
Осман Гюндюз говорит, что, несмотря на важность и пользу просветительской работы и цифровой грамотности, решить проблему в краткосрочной перспективе только за счет этого будет сложно. Он предлагает следующие шаги для устранения проблемы:
- Публикация информации о банках, где чаще всего происходят кражи;
- Ужесточение правил идентификации Центральным банком;
- Аудит кода мобильных приложений и создание кнопки тревоги «SOS»;
- Усиление внутреннего контроля в банках и у мобильных операторов;
- Ужесточение юридической ответственности за киберкражи.
На фоне роста цифровых платежей массовые случаи краж вызывают вопросы из-за молчания государства и банковского сектора. Сокрытие статистики, отсутствие прозрачности и слабая общественная информированность лишь усугубляют проблему. Международный опыт показывает, что прозрачность и ответственность — ключевые основы кибербезопасности. Азербайджан, однако, пока далёк от такого подхода.
Банковские кражи в Азербайджане
Новости в Азербайджане
