Ақпараттық және киберқауіпсіздікті сақтау шеңберінде Агенттік банктер үшін де, микроқаржы ұйымдары үшін де ақпараттық қауіпсіздікті қамтамасыз етуге қойылатын жеке талаптар белгіледі. Агенттіктің нормативтік құқықтық актілерінде ақпараттық жүйелердегі, интернет-ресурстардағы және қаржы ұйымдарының мобильді қосымшаларындағы ақпаратты қорғауға қойылатын талаптар айқындалған, олар алаяқтардың клиенттің тікелей қатысуынсыз ақша алуына немесе клиентке кредит ресімдеуіне мүмкіндік бермейді.
Агенттік автоматтандырылған "Qainar" жүйесін пайдалана отырып, қаржы нарығындағы ақпараттық қауіпсіздіктің жай-күйіне тұрақты негізде мониторинг жүргізеді. Ағымдағы жылы "Qainar" жүйесі ақпараттық қауіпсіздік талаптарына сәйкестігі тұрғысынан сынақтан өтіп, толыққанды өнеркәсіптік пайдалануға енгізілді. Кибершабуылдарға қарсы іс-қимылды үйлестіру жұмысы ұйымдастырылды (қаржы нарығы субъектілерінен және мемлекеттік органдардан 73 қатысушы). 2022 жылғы қыркүйектен бастап жылдың аяғына дейін "Qainar"-ға қосылу туралы талап енгізілгелі бері қаржы ұйымдары шамамен 2,8 миллион, ағымдағы жылы 22 миллионға жуық ықтимал қауіпті оқиғалардың, басқаша айтқанда, кибершабуылдардың алдын алды.
Агенттік қаржы нарығының субъектілерін 2023 жылы ағымдағы киберқауіптер мен ықтимал осалдықтар туралы хабардар ету шеңберінде:
- қауіп туралы 91 ескерту және ақпараттық қауіпсіздіктің осалдығы туралы 67 ескерту жіберді;
- қаржы ұйымдарында 64 кибер оқыс оқиға, оның ішінде 42 DDoS-шабуыл тіркеліп, өңделді.
Сонымен бірге 2023 жылы тиісті уәкілетті органға (Қазақстан Республикасының Мәдениет және ақпарат министрлігіне) 24 алаяқтық интернет-ресурстарды бұғаттау туралы ақпарат берілді, 2022 жылы олардың саны 59 болды.
Қазақстандық банктерді ақпараттық қорғаудың тиімділігі қаскүнемдерге банктік шоттар иелеріне хабарланбай шоттарынан ақшаны тікелей ұрлауға мүмкіндік бермейді. Бұл қашықтан қызмет көрсету және қаржы ұйымдарының клиенттерін тарту арқылы алаяқтық схемалардың көмегімен жасалатын қылмыстардың өсуіне әкелді. Алаяқтықтың ең көп таралған әдісі вирустарды немесе қашықтан басқару бағдарламаларын азаматтардың құрылғыларына енгізу үшін әлеуметтік инженерияны қолдану болып табылады. Осылайша, не болып жатқанын білмейтін азаматтардың атынан алаяқтар кез-келген операцияны орындауға мүмкіндік алады.
Клиенттерді қорғауға бағытталған Кредиттік алаяқтыққа қарсы іс-қимыл тетіктерін іске асыру жөніндегі жол картасы[1] шеңберінде Агенттік қашықтан қызмет көрсетуге арналған бағдарламалық қамтылымды – банктер мен микроқаржы ұйымдарының мобильді қосымшалары мен сайттарын қолдану қауіпсіздігіне қойылатын талаптарды күшейтті.
Қашықтан көрсетілетін қаржылық қызметтердің қауіпсіздігін арттыру мақсатында 2023 жылғы қазанда осындай қызметтер көрсететін банктер мен микроқаржы ұйымдарына қойылатын талаптарды күшейту жөніндегі нормативтік құқықтық актілерге түзетулер әзірленіп, бекітілді.
Барлық банктер мен микроқаржы ұйымдары өздерінің мобильді қосымшалары мен сайттары үшін олардың қауіпсіздігін арттыратын бірқатар рәсімдерді жүзеге асыруы керек. Мәселен, бағдарламалық қамтылымды іске қоспас бұрын оның бастапқы кодының қауіпсіздігіне талдау жүргізіп, анықталған кемшіліктерді жою қажет. Аударымдар мен төлемдерді жүзеге асырумен байланысты аса маңызды операциялар үшін клиентті міндетті түрде биометриялық идентификаттау енгізілді. Бұдан басқа, операциялық жүйенің қорғаныс тетіктерінің бұзылу белгілері анықталған немесе клиенттің құрылғысын қашықтан басқару анықталған жағдайда, мобильді қосымшалар қашықтан қызмет көрсетуге тосқауыл қояды. Сонымен бірге мобильді қосымшаның клиентпен кері байланысына қойылатын талаптар күшейтілді, яғни клиентке маңызды әрекеттер бойынша қосымша хабарлау талап етіледі.
Сонымен қоса қаржы нарығында ақпараттық қауіпсіздік деңгейін арттыру мақсатында Агенттік тұрақты бақылау және қадағалау іс-шараларын жүзеге асыруда. 2023 жылы Агенттік Қазақстан Республикасының ақпараттық қауіпсіздік, ақпараттық қауіпсіздік тәуекелдері және ақпараттық технологиялар тәуекелдері саласындағы заңнамасының талаптарына сәйкестігі тұрғысынан қаржы ұйымдарына қатысты тәуекел дәрежесін бағалау негізінде 6 тексеру, 14 құжаттамалық тексеру жүргізді. Жүргізілген тексерулердің қорытындысы бойынша анықталған бұзушылықтарды жою мақсатында қаржы нарығының субъектілеріне қатысты 16 жазбаша ұйғарым қолданылды.
Қазіргі уақытта киберқауіпсіздік талаптары сақталмаған жағдайда қаржы ұйымдарына ықпал етудің жеткілікті тетігі жоқ. Осыған байланысты Қазақстан Республикасының Әкімшілік құқық бұзушылық туралы кодексіне 14 тармақ бойынша ақпараттық қауіпсіздік саласындағы айыппұл санкцияларын көздейтін түзетулер енгізу жобасы әзірленді. Бұл жоба мемлекеттік органдармен келісу сатысында.
Әкімшілік шараларды қолдану банктік қызметтерді пайдалану кезінде ақпараттық қауіпсіздік пен жеке және заңды тұлғалардың киберқауіпсіздігін қамтамасыз ету бөлігінде заңнамалық талаптарды сақтау сапасын арттыруға мүмкіндік береді.