Միջազգային մամուլում վերջերս շրջանառվում էին լուրեր այն մասին, թե մի շարք երկրների, այդ թվում` Հայաստանի բանկային համակարգերում խոշոր կիբեռհարձակման են ենթարկվել բանկոմատային ցանցեր:

Չնայած ՀՀ Կենտրոնական բանկում հերքեցին լուրը, այդուհանդերձ, մարդկանց մոտ այս միջադեպը տարատեսակ հարցադրումների տեղիք տվեց. որքանո՞վ են հայաստանյան բանկերը պաշտպանված վիրտուալ հանցագործություններից, նման դեպքեր երբեւէ արձանագրվե՞լ են ՀՀ-ում եւ ո՞ւմ դիմել, եթե կիբեռհարձակման զոհ ես դարձել:

Այս թեմայի շուրջ Banks.am-ը զրուցել է ՀՀ Կենտրոնական բանկի տեղեկատվական եւ տեխնիկական անվտանգության վարչության պետ Համբարձում Դանելյանի հետ:

- Պրն Դանելյան, ինչպե՞ս կմեկնաբանեք մեր տարածաշրջանի երկրներում (այդ թվում` ՀՀ-ում) բանկոմատային ցանցերի վրա կիբեռհարձակման մասին միջազգային մամուլի անդրադարձը: Կա՞ արդյոք անհանգստանալու առիթ:

- Միջազգային մամուլում տարածված այդ հաղորդագրությունը հիմնված էր հեղինակավոր մի ընկերության կողմից մշակված հաշվետվության վրա, որին ես անձամբ ծանոթացել եմ: Հաշվետվության մեջ նշված չի եղել, որ Հայաստանը կիբեռհարձակման զոհ է դարձել, այլ ներկայացվել է ցանկ, որում ներառված երկրները կարող են հաքերային հարձակման ենթարկվել. այս շարքում են եղել Հայաստանը, Ռուսաստանը, ԱՊՀ այլ երկրներ:

Հայաստանյան բանկերից մենք դեռեւս նման ահազանգ չենք ստացել:  

- Ի՞նչ սկզբունքով է կատարվում բանկոմատների վրա կիբեռհարձակումը, եւ ինչպե՞ս է հաշվետվության հեղինակներին հաջողվել նախապես իմանալ կիբեռհարձակման վտանգի մասին:

- Գոյություն ունեն բանկոմատներ «կոտրելու» հարյուրավոր ձեւեր եւ դեպքեր` թե տեղում, թե տանից` կախված բանկի կառուցած ցանցից:

Բանկոմատը համակարգիչ է, որը միացած է բանկի ընդհանուր ցանցին: Եթե այդ միացումը պաշտպանված չէ, կամ բանկը պատշաճ չի հետեւում դրա անվտանգությանը, ապա հաքերը կարող է ներթափանցել այդ համակարգիչ եւ տալ դրան տարբեր հրամաններ, օրինակ` տրամադրելու ինչ-որ քանակի գումար, իսկ այդ նույն պահին նրա մյուս «գործընկերը» կկանգնի բանկոմատի կողքին եւ կհավաքի կանխիկը:

Վերլուծաբաններն ունեն կապեր եւ անգամ ինսայդերներ հաքերային ֆորումներում, որոնք պարբերաբար մոնիտորինգ են իրականացնում, թե ինչ են խոսում, ինչ ծրագրեր են կազմում հաքերները, դրա հիման վրա էլ կառուցում են հաշվետվությունը: Գոյություն ունի նաեւ, այսպես կոչված, «Threat intelligence» հասկացությունը. սա համեմատաբար նոր ուղղություն է, ենթադրում է սպառնալիքների հետախուզություն, որի արդյունքում պարզ են դառնում կիբեռանվտանգության հնարավոր ռիսկերը:

Այսպիսով, հաշվետվությունում նշվել էր, որ հաքերային խմբերը հայտարարել են Հայաստանի բանկերը գրոհելու մտադրության մասին: Այնուամենայնիվ, բանկոմատների վրա կիբեռհարձակման փորձերը բացարձակապես չեն առնչվում քաղաքացիների շահերին. դա նույն է, եթե փորձեն գումար հափշտակել բանկի դրամարկղից:

- Որքանո՞վ են անվտանգ հայաստանյան բանկերը` համեմատած տարածաշրջանի մյուս երկրների հետ: Ինչպե՞ս է կատարվում բանկերում անվտանգության վերահսկողությունը:
    
- Եթե որակապես գնահատենք, ապա կարող եմ ասել, որ անվտանգությունը բանկերում գտնվում է բավարար մակարդակի վրա: Բոլոր առեւտրային բանկերում աշխատում են բավարար որակավորմամբ եւ մասնագիտացմամբ աշխատակիցներ, պահպանվում են անվտանգության միջազգային ստանդարտներն ու ԿԲ համապատասխան պահանջները, առկա են տեղեկատվական անվտանգության հաստիքներ: Բացի այդ, բանկերում ներդրված են ժամանակակից եւ որակյալ տեղեկատվական, տեխնիկական համակարգեր: Այդ ամենի համակցումն ու կազմակերպչական միջավայրը, որ առկա է բանկերում, թույլ է տալիս ասել, որ այսօր մեր բանկերը բավական անվտանգ են:
 
ԿԲ-ն բանկերի համար սահմանել է ՏՏ անվտանգության նվազագույն պահանջները, որոնք ներառում են միջազգային ստանդարտներում եղած բոլոր հնարավոր հսկողության ձեւերը` սկսած կազմակերպչական, վերջացրած` տեխնիկականով: Հաշվի առնելով առանձին բանկերի սպեցիֆիկ ենթակառուցվածքները, անհնար է կոնկրետ նկարագրել` ինչ պետք է ունենա բանկը: ԿԲ որոշմամբ սահմանված են բանկերի կողմից անվտանգության ռիսկերը կառավարելու ընդհանուր պահանջները:  

Բանկերում պարբերաբար կատարվում են ստուգումներ, ներկայացվում ՏՏ ենթակառուցվածքներում առկա ռիսկերն ու ուղղումներ կատարելու անհրաժեշտությունը, որը թույլ է տալիս դրանց վերացմանն ուղղված արագ միջոցներ ձեռնարկել:

ԿԲ մեկ այլ որոշմամբ` բոլոր բանկերում ներդրած է ISO 271001 տեղեկատվական անվտանգության կառավարման միջազգային ստանդարտը. վերջինս միջազգային լավագույն փորձի կուտակում է: Այսինքն` բանկը, լիովին եւ լիարժեք ներդնելով այս ստանդարտը, ինքնին փակում է իր ռիսկերի մեծամասնությունը:

Բացի այդ, բանկերն իրենք իրենց ներսում ունեն ռիսկերի կառավարման համակարգեր. սա նաեւ բխում է իրենց բիզնես շահերից, քանի որ կիբեռանվտանգության ոլորտում գնալով ավելի ու ավելի են աճում սպառնալիքները, իսկ հանցագործները կենտրոնանում են կիբեռխարդախությունների վրա` ֆիզիկականի փոխարեն:

- Կիբեռհանցագործությունների դեպք երբեւէ եղե՞լ է ՀՀ-ում:

- Չեմ հիշում հաքերային հարձակման խոշոր դեպք մեր առեւտրային բանկերում, որից կտուժեին քարտապանները կամ հաշվետերերը: Եղել են կայքերը «դիֆեյս» անելու դեպքեր (երբ կայքում պատկերը փոխարինվում է այլ նկարով, ասենք, հարեւան երկրի դրոշով): Նման բաներ միշտ էլ հնարավոր են, սակայն դրանք որեւէ անդրադարձ չունեն երկրի ֆինանսական կայունության, հաշվետերերի ու քարտապանների ֆինանսական դրության վրա:

Կենտրոնական բանկի կայքերն օրական ենթարկվում են մեծ թվով գրոհների. դրանք բոլորը հաջողությամբ կասեցվում են:

Պետք է ի նկատի ունենալ, որ կիբեռհանցավորության ոլորտը միշտ ավելի առաջ է, քան անվտանգության միջոցները: Սկզբում հայտնվում է վիրուսը, հետո` հակավիրուսը: Կոտրում են անգամ Պենտագոնի, ԱՄՆ Ֆեդերալ Ռեզերվային բանկի կայքերը: Առանց միջադեպերի ՏՏ  ոլորտ գոյություն չունի, առանց միջադեպերի կյանք գոյություն չունի:

- Որո՞նք են կիբեռհանցավորության ամենահայտնի ձեւերը:

- Հաքերային հարձակման ամենատարածված եւ հեշտ ձեւը ֆիշինգն է. մարդկանց ուղարկվում է ինչ-որ հղում, որը շատ նման է X բանկի որեւէ համակարգի (օրինակ` ինտերնետ բանկինգի) հղումին: Օգտագործողը, անցնելով այդ հղումով, տեսնում է իր բանկի ինտերֆեյսին շատ նման էջ, որտեղ իրենից պահանջվում է հավաքել գաղտնաբառ եւ անձնական տվյալներ. այդպիսով` հաքերը ստանում է այդ անձի հաշվին հասանելիություն եւ կարողանում յուրացնել նրա միջոցները:

Ֆիշինգը կիբեռխարդախության ամենահեշտ ձեւն է: Այն շահագործում է ոչ թե բանկի, այլ օգտագործողի անուշադրությունը:

Ցանկացած անծանոթ հղումով անցնելուց առաջ հարկավոր է ուշադիր լինել վերեւում` հասցեի տողում, կանաչ նշանին, սեղմել դրա վրա եւ կարդալ այդ տողում գրածը. եթե այն պարունակում է բանկի դոմեյնը, ապա կարելի է վստահ մտնել կայք:

Պետք է փաստեմ, որ հաքինգն այսօր բավական հեշտացել է: Տեղեկատվական տեխնոլոգիաներից քիչ թե շատ տեղյակ դպրոցականը, իմանալով կոնկրետ կայքի խոցելիությունները, համացանցի միջոցով կարող է բեռնել համապատասխան հաքերային գործիքն ու կոտրել կայքը: Հետեւաբար, շատ կարեւոր է կազմակերպությունների համար հետեւել սեփական խոցելիություններին եւ ժամանակին վերացնել դրանք:

- Ի՞նչ պետք է իմանա շարքային քաղաքացին` հաքերային հարձակումից խուսափելու համար, եւ ի՞նչ անել, եթե արդեն կիբեռհարձակման զոհ ես դարձել:  

- Քաղաքացիները սովորական օգտագործողներ են եւ պարտավոր չեն աջակցել բանկին իրենց անվտանգությունն ապահովելու գործում: Ընդամենը պետք է ուշադիր լինել սեփական տվյալների պահպանության նկատմամբ, ոչ մի դեպքում չտրամադրել բանկային քարտերն ու գաղտնաբառերն այլ անձանց: Վտանգավոր է անցնել անծանոթ հղումներով, բացել անծանոթ աղբյուրներից ստացված ֆայլեր (դա հաքերին կտա ձեր համակարգիչ մուտքի հնարավորություն), անհրաժեշտ է կիրառել հնարավորինս բարդ գաղտնաբառեր եւ պատշաճ կերպով հետեւել անվտանգության արարողակարգերին:

Եթե քաղաքացին, այնուամենայնիվ, դարձել է կիբեռհանցագործության զոհ եւ կրել ֆինանսական կամ այլ վնասներ, պետք է անհապաղ դիմել իրավապահ մարմիններին:

Համբարձում Դանելյանի հետ զրուցել է Սիրանուշ Սիմոնյանը։