В Агентстве по регулированию и развитию финансового рынка (АРРФР) рассказали, какие меры принимаются в Казахстане для повышения кибербезопасности мобильных приложений финансовых организаций, сообщает Bizmedia.kz.
В настоящее время действуют требования об обязательном использовании двухфакторной аутентификации с применением биометрии в качестве основного способа подтверждения личности при предоставлении дистанционных услуг финансовыми организациями.
С июля 2024 года для усиления защиты граждан введена обязательная биометрическая идентификация при оформлении кредитов банками и микрофинансовыми организациями в электронном формате.
Чтобы предотвратить использование фотографий или видеозаписей посторонних лиц при оформлении займов, в августе 2024 года АРРФР утвердило Правила проведения биометрической идентификации. Они предусматривают двухэтапную проверку изображения клиента:
- На первом этапе мобильное приложение проверяет подлинность изображения, чтобы убедиться, что перед камерой находится реальный человек, а не его фотография или видеокопия.
- На втором этапе проводится сверка лица клиента с эталонной базой данных.
На основании результатов двухэтапной проверки финансовая организация принимает решение о предоставлении услуги.
Для последующего контроля результатов биометрической идентификации установлены требования по хранению нескольких изображений из видеопотока в виде электронного документа на весь срок действия кредита.
Эти меры являются обязательными для банков и микрофинансовых организаций при выдаче кредитов и микрозаймов через Интернет.
В октябре 2023 года АРРФР ввело дополнительные требования для повышения безопасности информационных систем и мобильных приложений банков и микрофинансовых организаций (МФО):
- Перед запуском в эксплуатацию мобильные приложения должны пройти обязательную проверку безопасности исходного кода.
- Если на мобильном устройстве обнаружены признаки взлома или удалённого управления, доступ к онлайн-сервису оформления займов блокируется.
- Для предотвращения международного мошенничества введена запись геолокационных данных клиента.
Для защиты граждан от мошеннических действий также предприняты законодательные меры по усилению защиты прав лиц, на которых незаконно оформили кредиты:
- С 20 августа 2024 года кредиторы обязаны приостанавливать начисление процентов и претензионно-исковую работу на весь период расследования по случаям мошеннических займов.
- Требования к клиенту по фиктивным кредитам снимаются после вступления в силу решения суда, устанавливающего факт мошенничества.
- С 1 сентября 2024 года введена обязанность кредиторов списывать долги по незаконно оформленным кредитам в рамках услуги «Стоп-кредит», когда клиент добровольно отказался от получения займа.
АРРФР регулярно проводит контрольные мероприятия, чтобы обеспечить соблюдение банками требований по информационной безопасности. В 2023 году проверки прошли в 14 банках второго уровня, предоставляющих дистанционные услуги через мобильные приложения. Нарушения были выявлены в 7 банках, и ко всем применены меры надзорного реагирования. Все проблемы оперативно устранены.
В соответствии с законом «О персональных данных и их защите», уполномоченным органом в этой сфере является Комитет по информационной безопасности Министерства цифрового развития, инноваций и аэрокосмической промышленности (КИБ МЦРИАП). Комитет осуществляет контроль за соблюдением требований защиты персональных данных, включая проверки банков по жалобам граждан на утечки данных.
За нарушение правил защиты персональных данных предусмотрена как административная, так и уголовная ответственность.
