Kaip elektroninių pinigų ir mokėjimo įstaigos pasiruošę teikti pranešimus apie operacinės arba saugumo rizikos įvykius?

Lietuvos bankas, siekdamas įvertinti, kaip elektroninių pinigų ir mokėjimo įstaigos (toliau – Įstaigos) yra pasiruošusios įgyventi Pranešimų apie operacinės ar saugumo rizikos įvykius teikimo Lietuvos bankui taisyklių nuostatas, atliko pasirinktų 54 Įstaigų dokumentų analizę ir vertinimą. Remiantis juo, buvo parengtos  išvados ir rekomendacijos dėl pranešimų teikimo proceso gerinimo, aptarti gerosios praktikos atvejai bei atvejai, kai Įstaigose taikoma praktika turėtų būti tobulinama.

ECOVIS ProventusLaw pateikia Lietuvos banko atliktos analizės ir vertinimo pagrindines įžvalgas.

1. Visos įstaigos, kurių buvo prašoma, pasirūpino prieigos prie Lietuvos banko administruojamo pranešimų teikimo modulio teisėmis. Įstaigose yra paskirti atsakingi asmenys, kurie prireikus pateiktų pranešimus Lietuvos bankui.

2. Įstaigose yra patvirtintos procedūros, reglamentuojančios pranešimų apie incidentus teikimo Lietuvos bankui eigą. Tačiau dalis Įstaigų tokias procedūras nustatė tik paprašytos pateikti tai patvirtinančius dokumentus.

3. Iš pateiktų dokumentų ir aprašomų procedūrų matyti, kad Įstaigose labai nevienodai detaliai aprašomos operacinės ir saugumo rizikų keliamos grėsmės, naudojamos priemonės ir kt.

4. Kadangi iki šiol buvo pranešta tik apie kelis didelius incidentus, iš šių duomenų sunku spręsti, kiek Įstaigų pateiktos procedūros ir aprašai būtų efektyvūs praktikoje. Darytina išvada, kad didžioji dauguma Įstaigų aprašytų ir Lietuvos bankui pateiktų procedūrų praktikoje nėra taikiusios, tačiau jose yra numatyta tvarka, sudaranti galimybę identifikuoti įvykusį incidentą ir apie tai pranešti Lietuvos banko nustatyta tvarka.

5. Daugumoje Įstaigų atsakingais už pranešimų teikimą Lietuvos bankui yra paskirti aukščiausio lygio vadovai (generalinis direktorius, administracijos vadovas), bet abejotina, ar aukščiausio lygio vadovai, vykdantys vadybines funkcijas, yra tinkamiausi asmenys teikti pranešimus Lietuvos bankui. Atsižvelgiant į tai, kad šiai funkcijai vykdyti reikalingos ekspertinės žinios, rekomenduotina paskirti asmenį, kuris būtų tiesiogiai susijęs su Įstaigoje vykdomų operacijų stebėjimu ir analize, operacinės rizikos valdymu.

Vertinimo metu atrankos būdu 36 Įstaigų buvo paprašyta pateikti vidinius dokumentus, kuriuose yra apibrėžtos Įstaigos vidaus taisyklės (procedūros, priemonės), kaip stebimi su mokėjimo paslaugų teikimu susijęs operacinis ar saugumo rizikos įvykiai (MOSRĮ).

Įvertinęs Įstaigų pateiktus dokumentus, Lietuvos bankas gerąja praktika laiko tokią praktiką, kai Įstaigos detaliai aprašo priemones ir procedūras, kurias taiko siekdamos valdyti ir kontroliuoti operacinę ir saugumo riziką. Išskirtini šie pagrindiniai atvejai:

  • su darbuotojais susijusios priemonės ir procedūros:

– dokumentuota ir prižiūrima darbuotojų atrankos sistema ir tikrinimas, skiriama daugiau dėmesio tiems darbuotojams, kurie dirba su reikšmingais Įstaigos veiklos procesais, neskelbtinais duomenimis;

– prieigos tiek prie fizinių išteklių, tiek prie sistemų ir duomenų ribojimas ir kontrolė (pagal atliekamas darbo funkcijas, prieiga suteikiama tik vadovybės patvirtintiems asmenims);

– Įstaigos vadovybės patvirtintas konkrečių asmenų (tiek vidinių, tiek išorinių vartotojų, išskyrus klientus), kurie turi teisę prieiti prie neskelbtinų duomenų, sąrašas;

– kiekvienam darbuotojui priskiriamas individualus prisijungimo vardas ir asmeninis jungimosi į Įstaigos naudojamą virtualųjį privatų tinklą (VPN) raktas, pagal kuriuos galima atsekti darbuotoją ir jo veiksmus;

– darbuotojų slaptažodžiai reguliariai keičiami;

  • operacinei ir saugumo rizikai valdyti taikomos vidaus kontrolės priemonės ir procedūros:

– dviguba darbuotojų ir išorinių partnerių atliekamų funkcijų kontrolė;

– funkcijų atskyrimas, veiklos procesų, jų vykdymo ir atsakomybės sričių paskirstymas keliems asmenims;

– įvykę sukčiavimo ar saugumo incidentai analizuojami, iš jų mokomasi, diegiamos priemonės ir tobulinami procesai, kad jie nepasikartotų;

– elektroninių laiškų ir kitų komunikavimo būdų stebėsena siekiant nustatyti potencialius sukčiavimo atvejus;

– visų asmenų, prisijungusių prie vidinės IT sistemos ar kitų sistemų (duomenų bazių), duomenų ir veiksmų išsaugojimas bei dokumentavimas;

  • su mokėjimo operacijomis ar IT susijusios priemonės ir procedūros:

– operacijų ir paslaugų naudojimo limitų nustatymas pagal klientų rizikos vertinimą;

– operacijų stebėsena ir analizė, siekiant nustatyti neįprastas ar įtartinas operacijas;

– stebėsenai naudojamos IT stebėsenos sistemos;

– neturint vidinių išteklių, IT sistemų kūrimas ir priežiūra patikima žinomam profesionaliam paslaugų teikėjui, turinčiam reikiamą kvalifikaciją ir ilgametę patirtį rūpintis finansų įstaigų sistemų priežiūra ir saugumu;

– kritinė infrastruktūra ir duomenys saugiame duomenų centre, turimas atsarginis duomenų centras;

– reguliarus (kasdienis) ir nuolatinis Įstaigos duomenų atsarginių kopijų darymas (pasitelkiant patikimus trečiuosius asmenis arba daro pati Įstaiga);

– atliekama reguliari kompiuterinės technikos ir kitos įrangos inventorizacija, priežiūra ir tikrinimas;

– IP adresų tikrinimas, pranešimai klientams ir atsakingiems Įstaigos darbuotojams apie prisijungimą iš neįprastų (sistemai nežinomų ir kliento ar Įstaigos nepatvirtintų) IP adresų;

– prisijungiančių vartotojų autorizavimas ir autentiškumo kontrolė;

– saugių ryšio kanalų naudojimas, duomenų šifravimas (SSL protokolas);

– sistemoms testuoti naudojami fiktyvūs, o ne tikrų klientų ar operacijų duomenys;

– Įstaigoje naudojama įranga apsaugoma nuo virusų bei kenkėjiškų programų, naudojamos ugniasienės, reguliariai atnaujinama programinė įranga;

– IT sistemų testavimas (arba reikalaujama, kad testavimo rezultatus teiktų Įstaigos tiekėjai ar partneriai) siekiant nustatyti, ar nėra trūkumų, silpnų vietų, neteisėtos prieigos prie sistemų ir duomenų;

– Įstaigos darbuotojai prieigai prie svarbių ir jautrių Įstaigos ir klientų duomenų gali naudoti tik Įstaigos išduotus įrenginius (kompiuterinę techniką, telefonus), jie turi būti apsaugoti patikimais slaptažodžiais, PIN kodais ir kitomis saugos priemonėmis;

– nuotolinės prieigos prie duomenų ir sistemų vykdymas tik per saugų VPN ryšį.

 

Naujienlaiškio prenumerataSusisiekti