Compliance Control об уникальности рынка информационной безопасности Азербайджана
Интервью с Евгением Бабицким — Deputy CEO Compliance Control.
Востребованность ИБ-решений полностью опирается на потребности рынка, когда его участники понимают ценность и стоимость решения задач кибербезопасности, защиты каждого пользователя финансовых услуг от финансовых потерь.
Один из наших приоритетов — обучение и информирование представителей отрасли в разных странах, в частности, в Азербайджане. А также своевременное предложение технологических и консультационных решений для предотвращения киберинцидентов.
Безопасность банков при незрелом рынке
Большинство инцидентов безопасности в финансовой сфере связаны с человеческим фактором. Приведу пример рынков, которые только развиваются, и в отличие от Азербайджана, не имеют такого уровня зрелости. Когда первый раз происходит инцидент, люди просто не знают, как реагировать. Они не обучены общаться с мошенниками и доверяют людям больше, чем те, кто уже столкнулся с ними, или кому финансовая организация провела инструктаж, обучение в виде рекламы или рассылок.
Поэтому люди добровольно передают мошенникам данные, которые передавать нельзя. В итоге это вызывает негатив, а финансовые организации вынуждены с этим работать, так как клиенты обвиняют банки в произошедшем.
На практике отслеживать подобные мошеннические объявления в социальных сетях и в интернете в целом, если даже мы предполагаем, что они мошеннические, достаточно сложно. Их может быть множество, и нужны специальные дорогие системы, чтобы банк мог отслеживать появление в интернете страниц, которые маскируются под конкретный банк.
Приоритеты банков
Мошенничество — не единственная проблема в сфере кибербезопасности, с которой сталкиваются банки. Мы ведем сотни проектов в год по этому направлению. Вопрос в приоритетах и бюджетах, которые банк выделяет на кибербезопасность.
Если бюджет ограничен, а чаще всего это так, банк вынужден повышать собственную кибербезопасность. И отслеживание мошеннических ссылок по всему интернету — просто не первый приоритет. Поэтому к таким системам многие приходят не на первом этапе, а уже с другим уровнем зрелости в области информационной безопасности.
Не все могут себе это позволить, и далеко не все дошли до такого уровня зрелости, чтобы отслеживать ссылки. Или же удается отслеживать только часть, но какие-то поддельные ссылки все равно доходят до конечного потребителя, который попадается на крючок мошенников.
Чем отличается рынок кибербезопасности в финансовой отрасли Азербайджана?
ИБ-рынок Азербайджана довольно зрелый, он отличается от некоторых соседних стран, например, той же Турции. Там другие паттерны мошенничества, другие тренды в сфере кибербезопасности. Здесь регулярно проводят профильные мероприятия, где коллеги могут обмениваться опытом, обсуждать последние тренды киберзащиты. Здорово, что специалисты Азербайджана не копируют опыт других стран без анализа, насколько это применимо к конкретному рынку. Потому что каждый рынок имеет свои особенности, и их нужно учитывать, например, в вопросах распределения бюджета на кибербезопасность.
Первые проекты в Азербайджане мы начинали более шести лет назад. За это время активно наблюдали, как развивается этот рынок. Так как работаем в более чем 35 странах мира, включая Россию и Центральную Азию, мы видим, какие международные тенденции применимы к Азербайджану. Можем оперативно реагировать и помогать банкам, финтех-компаниям добиваться успехов и не сталкиваться с серьезными инцидентами кибербезопасности.
Задачи Compliance Control в Азербайджане
В каждой стране люди привыкли по-разному использовать платежные инструменты. И ключевая задача — создать уникальные подходы к обеспечению защиты этих платежных инструментов, чтобы у людей не списывали деньги, было меньше взломов и других проблем, с которыми столкнутся банки или платежная организация.
Наш основной фокус — консалтинг по compliance, по требованиям, которые различные регуляторы предъявляют к банкам, финтех-компаниям платежным организациям. За 6 лет работы в стране мы реализовали десятки проектов по кибербезопасности для крупных банков Азербайджана, разглашать не можем по договору NDA. Но обозначим, что проекты касались консалтинга по кибербезопасности, а также комплаенс PCI DSS и PCI 3DS.
Мы одновременно реализуем проекты по безопасности для банков, процессинговых центров и платежных компаний, которые занимаются как внутренними, так и трансграничными платежами. Такой разброс проектов внутри финансовой отрасли дает нам возможность отследить все цепочки, как проходят транзакции и реализуется фрод внутри всего финансового рынка как внутри страны, так и при взаимодействии с соседними странами.
Планы на развитие Compliance в Азербайджане
Как международная компания мы работаем с Visa, MasterCard, SWIFT, которые разрабатывают глобальные стандарты для всего мирового рынка. Недавно вышла новая версия стандарта PCI DSS 4.0. Это полностью переработанный стандарт, который будет мировым сообществом принят как обязательный с апреля 2024 года. В его разработке мы принимали непосредственное участие.
Переход на новую версию стандарта уже идет, и с апреля 2024 года она уже будет обязательной для всех платежных и финансовых организаций на рынке Азербайджана. И к этому переходу в вопросах соответствия новым требованиям стандарта мы помогаем заранее подготовиться нашим заказчикам.