Finansijske institucije, i to prvenstveno banke i procesori kartičarskih plaćanja, tradicionalno su izložene stalnim pokušajima prevara, budući da ove aktivnosti omogućavaju počiniocima sticanje direktne finansijske dobiti uz minimalna ulaganja.

Prevare mogu biti eksterne, kada predstavljaju zlonamerne aktivnosti trećih lica prema npr. banci, ili interne, među koje spadaju namerne aktivnosti i propusti najmanje jedne osobe koja je zaposlena u banci u svrhu sticanja lične koristi. Šteta koju uzrokuju ovakve prevare u neprestanom je porastu.

Prevare narušavaju ugled finansijskih institucija, ugrožavaju njihovu reputaciju, negativno utiču na lojalnost klijenata, na usklađenost sa regulativom i na konačne finansijske rezultate. Stvarni troškovi uglavnom višestruko nadilaze same iznose izgubljene prevarom i uzrokuju čitav niz gubitaka, koje je ponekad teško meriti: smanjenje produktivnosti, gubici usled smanjenja poverenja klijenata, reputacijski gubici, moguće regulatorne kazne i sl. Gubici koje uzrokuju prevare koje ostanu neotkrivene takođe se smatraju materijalno značajnim.

Glavni izazovi u prevenciji prevara

Iako mnoge banke poseduju sisteme za otkrivanje prevara, oni obično pružaju samo reaktivnu analizu sumnjivih transakcija, što nije adekvatan pristup stvarnoj zaštiti od gubitaka. Jednom kada se prevarna transakcija dogodi, procedura utvrđivanja i dokazivanja iste, kao i povraćaj novca, mogu potrajati mesecima.

Glavni izazovi sa kojima se finansijske institucije suočavaju u prevenciji prevara su:

• Neprestana promena trendova u načinu izvođenja prevara i njihova rastuća složenost, što otežava efikasno praćenje različitih inovativnih bankarskih proizvoda i prodajnih kanala (online bankarstvo, ATM aparati, POS uređaji, mobilno bankarstvo).
• Nedovoljan stepen integriteta podataka: nemogućnost integracije i validacije podataka iz brojnih bankarskih kanala i drugih izvora podataka podrazumeva da su oni često nekompletni i nepouzdani.
• Ograničene analitičke sposobnosti: nesposobnost da se transakcije efikasno analiziraju u cilju identifikacije sumnjivih obrazaca ponašanja čini banke podložnim organizovanom kriminalu i ilegalnim praksama.
• Ograničeni ljudski resursi: mogućnost određivanja prioriteta rada i odgovarajućih aktivnosti u specifičnim slučajevima prevara od ključnog je značaja za optimizaciju resursa, ali je to, međutim, teško izvodljivo bez adekvatnog rešenja.
• Učestale promene regulatornih zahteva.

Da bi se gubici sprečili ključna je brzina detekcije. Detekcija i sprečavanje prevara svode se na kontinuiranu borbu između finansijskih organizacija, s jedne strane, i napadača i zlonamernih korisnika s druge strane, gde ponekad i sekunde mogu značiti ili značajne uštede ili značajne gubitke. Upravo zbog toga je procena rizika prevare za svaku transakciju u realnom vremenu, npr. plaćanja kreditnom karticom na prodajnom mestu, najefikasnija opcija za detekciju i sprečavanje prevare.

SAS Fraud Management

SAS Fraud Management pomaže bankama širom sveta u efikasnom sprečavanju finansijskih prevara primenom napredne analitike i tzv. hibridne metodologije detekcije prevara.

Hibridna metodologija detekcije uključuje kombinaciju poslovnih pravila, statističkih modela, provera profila klijenata, provera raznih internih i eksternih lista sumnjivih klijenata i primenjuje se na tri nivoa:

• Finansijski (npr. transakcija) i nefinansijski događaj (npr. promena ličnih podataka, PIN-a, upit u stanje na računu i sl.);
• Pojedini entiteti, npr. klijenti (fizička i pravna lica), uređaji sa kojih se iniciraju finansijske i nefinansijske transakcije, kao i zaposleni (posebno kod internih prevara);
• Mreža – veze između navedenih entiteta, npr. otkrivanje višestrukih plaćanja sa različitih računa koja su inicirana sa istog uređaja.

SAS rešenje se integriše sa autorizovanim sistemima i uz pomoć veštačke inteligencije, ugrađene mogućnosti profiliranja velikog broja klijenata i mašinskog učenja omogućava efikasno praćenje transakcija i blokiranje u realnom vremenu onih koje su procenjene kao visokorizične. Ovakvo rešenje omogućava efikasnu borbu protiv prevara, značajno smanjuje izloženost rizicima i operativne gubitke, poboljšava operativnu efikasnost timova zaduženih za sprečavanje prevara i štiti reputaciju finansijske institucije.

Više informacija o SAS rešenju za detekciju i sprečavanje prevara u finansijskom sektoru dostupno je na web adresi https://www.sas.com/en_us/software/enterprise-fraud-financial-crimes.html.

Grozdana Marić

The post VRHUNSKA TEHNOLOGIJA U BORBI PROTIV PREVARA appeared first on Business&IT.

Među važnijim stvarima koje jedna organizacija treba da razmotri svakako je uvođenje rešenja za centralizovano prikupljanje sigurnosnih informacija i događaja (SIEM – Security Information and Event Management). SIEM rešenja ne predstavljaju samo sisteme za prikupljanje logova već omogućavaju prikaz sistemskih informacija i podataka u realnom vremenu, rizika sa kojima se suočava IT infrastruktura jedne kompanije, kao i svih preduzetih aktivnosti.
Ranijih godina bilo je dovoljno obratiti pažnju na prevenciju malicioznog ponašanja, sa ciljem sprečavanja zaraze ili upada u sistem. Danas se, ipak, preporučuje praktikovanje tzv. zero-trust modela, koji podrazumeva ideju da se pretnja već može nalaziti unutar infrastrukture jedne kompanije i da se ne treba potpuno pouzdati u interne sisteme. Samim tim, fokus se sa prevencije premešta na detekciju pretnje i reakciju na nju.

Optimizacija SIEM rešenja

Kada je reč o sakupljanju logova, najteže je definisati šta od informacija sakupljati i šta alarmirati. Iako je najlakše sakupljati sve logove, ovaj princip često dovodi do toga da prikupljene informacije niko ne pregleda, pa se tako nepotrebno troši storidž prostor i povećava cena SIEM rešenja, na koju utiče i broj događaja u sekundi. Pošto ne postoji univerzalno pravilo o sakupljanju logova, da bi se rad SIEM rešenja optimizovao u svakoj kompaniji bi pre implementacije trebalo razmisliti o tome koje informacije vredi sakupljati i kakve izveštaje očekivati. Neki mogući načini primene odnosili bi se na sledeće informacije:

• Autentifikacija korisnika (administratora): Ovi logovi pomogli bi u identifikaciji kompromitovanog naloga i mogla bi da se povuče paralela čemu je sve ovaj nalog pristupao.
• Detekcija malicioznih paketa: Sa različitih NGFW, IPS, AV, Netflow i sličnih uređaja može se ispratiti zaraza mašine i detektovati da li se malver lateralno širio i na ostale sisteme.
• Izmene na domenu: Promene koje se tiču kreiranja novih korisnika ili njihovo učlanjenje u privilegovane grupe mogu biti indikator unutrašnje pretnje.
• Izmene u sistemu: Zajedno sa autentifikacijom, ovi podaci mogu pomoći u detektovanju kompromitovanog administratorskog naloga i pravljenju plana aktivnosti za ukljanjanje pretnje iz sistema.
• Sistemske informacije: Praćenje informacija poput konstantnog opterećenja sistema, zauzeća dodeljenog diska, isticanja licence, opterećenja internet linka itd. omogućava pravovremeno reagovanje administratora i sprečava nedostupnost servisa.

Na kraju, postavlja se pitanje kako na najbolji način definisati alarme i automatizovati što veći broj događaja koji inače zahtevaju intervenciju administratora. Zbog prevelikog broja e-mail notifikacija koje im pristižu administratori često ne stižu da ih obrade i na kraju ih tretiraju kao „pozadinski šum“. Na ovaj način gubi se smisao implementacije SIEM rešenja, s obzirom da prave pretnje prolaze nedetektovane.

Jedno od mogućih podešavanja na većini SIEM rešenja je definisanje uslova u kojima će se alarm aktivirati. Na primer, sistem administrator uglavnom neće želeti da dobija e-mail notifikacije o pogrešnim logovanjima svakog zaposlenog, ali bi mu zato bilo veoma korisno obaveštenje da je došlo do učestalih pokušaja logovanja u kratkom periodu, što bi moglo da ukazuje na brute force napad. Još jedna od često korišćenih karakteristika alarma je podešavanje slanja notifikacija ukoliko je primećeno da se neki događaj odvija u netipično vreme. Jedna od mogućih primena je slanje notifikacija kada se privilegovani nalog koristi po završetku radnog vremena ili tokom praznika.

SIEM as a Service

Imajući u vidu navedene probleme, uvođenje SIEM rešenja često predstavlja izazov, u smislu dugotrajne, kompleksne implementacije i skupih investicija. Veći problem od tehnologije predstavljaju iskustvo i stručnost inženjera, jer sama tehnologija bez adekvatnog osoblja ne može dati maksimalne rezultate. Prepoznajući ove probleme kod velikog broja korisnika, COMING – Computer Engineering je u procesu izrade SIEM-a kao servisa u cloud-u.

COMING će uskoro svojim korisnicima ponuditi upravo outsourcing celog sistema, što će im omogućiti da svoju energiju usmere na core biznis, a da zadatke visoke vrednosti koji podižu sigurnost celokupne kompanije prepuste iskusnim inženjerima. Prema relevantnim globalnim podacima, korisnik na taj način može da uštedi oko 28% vremena, koje onda može da usmeri na obavljanje svog primarnog biznisa, a to je ono što mu donosi profit.

Još jedan od značajnih benefita korišćenja SIEM-a u cloud-u je to što ovaj servis ne zahteva inicijalne izdatke za tehnologiju – potrebna je samo dobra internet konekcija. Korisnici ove usluge ne moraju da brinu o infrastrukturnim investicijama ili o zastarelosti opreme. Takođe, značajna prednost je mogućnost planiranja troškova, jer je mesečna naknada za korišćenje SIEM-a kao usluge ista svakog meseca. Pored toga, dobijaju se održavanje, podrška i ažuriranje definisanih polisa, u zavisnosti od ugovora. Sama kompanija smanjuje kapitalne i operativne troškove, dok istovremeno dobija posebnu vrednost koja je od presudnog značaja za sigurnost i poslovanje.

Dobar, kvalifikovan i pouzdan provajder, kakav je COMING, nudi stručnost i funkcionalnost. COMING može da isporuči i obradi više podataka nego što to može sam korisnik. Što je još važnije, COMING može da usmeri pažnju na dosledno i proaktivno poboljšanje ukupne bezbednosti organizacije, brinući se o pretnjama i otklanjanju opasnosti bolje, stručnije i agilnije nego što bi sam korisnik to činio.

SIEM kao usluga u COMING cloud-u

Šta SIEM kao servis u COMING cloud-u može doneti vašem poslovanju?

• Mogućnost da pratite sve resurse data centra.
• Upozorenja o bezbednosnim incidentima u realnom vremenu.
• Outsourcing smanjuje rizik od sukoba interesa između sektora.
• Otkrivanje pretnji u realnom vremenu.
• Ubrzavanje istražnog procesa.
• Precizne bezbednosne informacije operaterima, rukovodiocima i učesnicima u reviziji.
• Omogućava istražiteljima incidenata da odmah odgovore na ključna pitanja (Ko? Šta? Gde? Kada? Kako?) u vezi sa upozorenjima.
• Ne zahteva infrastrukturna ulaganja.
• Smanjuje operativne troškove – automatsko izveštavanje štedi vreme analitičara i revizora.
• Automatizacija omogućava skalabilnost kako se korisnička baza proširuje.
• Analiza bezbednosti zasnovana na riziku.
• Izveštavanje.
• Usklađivanje sa zakonskom regulativom.
• Uvek isti mesečni trošak za kompaniju.

Bez obzira na to koje je pravo rešenje za vas – on-premises ili SIEM as a Service u oblaku, efikasan SIEM alat može biti najefikasniji način da se podaci vaše organizacije održe bezbednim.

Jasna Jović i Andrijana Pešić

The post EFIKASNO REŠENJE ZA BEZBEDNOST KOMPANIJSKIH PODATAKA appeared first on Business&IT.

Tehnološka ekspanzija i globalizacija postavile su pred nas nove izazove u pogledu zaštite ličnih podataka, a masovno korišćenje interneta i društvenih mreža donelo je potpuno nove načine na koje podaci mogu da budu zloupotrebljeni. Ogroman obim prikupljanja ličnih podataka i trgovina njima uticali su na Evropsku Uniju da revidira dotad važeća pravila u ovoj oblasti, te da donese Opštu uredbu o zaštiti fizičkih lica u odnosu na obradu podataka o ličnosti i o slobodnom kretanju takvih podataka, tj. General Data Protection Regulation (Regulation EU 2016/679 of the European Parliament and of the Council), koja je stupila na snagu 25. maja 2018. godine.
GDPR donosi niz novih pravila sa namerom da se podaci o ličnosti zaštite bolje nego ranije, da se stvori uniformni pravni okvir u svim državama članicama EU, kao i da se obezbedi slobodan i bezbedan protok podataka između država članica, te prenos u treće zemlje i međunarodne organizacije. Opšta uredba sadrži niz novih kategorija u odnosu na prethodni regulatorni okvir, kao što je pojam pseudonimizacija, pravo na zaborav itd.
Nepridržavanje odredaba koje predviđa GDPR može dovesti do izricanja kazni u iznosima do 20 miliona evra ili do 4% ukupnog godišnjeg prometa za prethodnu finansijsku godinu, u zavisnosti od težine prekršaja.

Prve kazne

Sada, skoro deset meseci nakon početka primene, možemo da govorimo o prvim efektima, a imajući u vidu ogromno interesovanje javnosti koje su izazivale predviđene kazne, osvrnućemo se i na njih.

Prva kazna izrečena je u Austriji početkom oktobra 2018. i tiče se nepravilno postavljenog video-nadzora ispred poslovnih prostorija jednog preduzetnika. U ovom slučaju kamere su, osim ulaza, snimale i veliki deo trotoara ispred poslovnih prostorija, te su na taj način kršena načela obrade kojih treba da se pridržava svaki rukovalac. Preduzetnik je kažnjen relativno malim iznosom (4.800 evra), zbog, kako je objašnjeno, želje da kazna bude proporcionalna ekonomskoj moći rukovaoca.

Krajem istog meseca, u Portugalu je setom sankcija u ukupnom iznosu od 400.000 evra kažnjena bolnica u gradu Bareiro zbog toga što je kršila načela integriteta i poverljivosti podataka, te minimizacije podataka. Naime, utvrđeno je da je pristup dosijeima pacijenata bio omogućen za 985 aktivnih naloga u sistemu, iako je bolnica u trenutku kontrole imala 296 lekara.

Sledeća kazna izrečena je u Nemačkoj sredinom novembra 2018. Društvenoj mreži Knuddels.de izrečena je kazna od 20.000 evra nakon hakerskog napada koji je prouzrokovao krađu i online objavljivanje podataka o 808.000 e-mail adresa i 1,8 miliona korisničkih imena i lozinki. U nekim slučajevima bili su objavljeni i podaci o stvarnim imenima i adresama korisnika. Nakon kontrole, otkriveno je da web stranica nije koristila nikakve mere zaštite ličnih podataka u čijem posedu je bila. Relativno blaga kazna izrečena je zbog dobre saradnje rukovaoca sa organom kontrole i brze implementacije mera bezbednosti podataka.

Do sada najviša kazna, u iznosu od 50 miliona evra, izrečena je kompaniji u čijem je vlasništvu Google. Kazna je izrečena od strane organa za zaštitu podataka o ličnosti u Francuskoj nakon pritužbe dva udruženja građana koja se bave zaštitom podataka o ličnosti u ime više od 10.000 pojedinaca, a zbog navoda o nezakonitom prikupljanju saglasnosti korisnika o slanju personalizovanih oglasa i marketinških poruka. Istraga je zaključila da je Google informacije koje su relevantne za obradu podataka o ličnosti smestio u nekoliko dokumenata, te da se do njih teško dolazi zbog toga što je potrebno pratiti razne linkove i preduzeti mnoge korake da bi se informacije našle. Takođe, utvrđeno je da su informacije same po sebi nejasne i zbunjujuće, te da saglasnost koju korisnik daje za prikupljanje ličnih podataka nije posebno ni jasno izražena za svrhu za koju se daje, te da tako data saglasnost ne ispunjava standarde koje GDPR predviđa. Utvrđeno je i da su polja koja bi korisnik trebalo da označi prilikom pružanja saglasnosti bila unapred obeležena, te da na taj način korisnici koji su kreirali novi korisnički nalog nisu imali izbor, nego su bili naterani da daju saglasnost za obradu podataka. Imajući u vidu ekonomsku moć kompanije Alphabet Inc. na globalnom nivou, sama kazna od 50 miliona evra možda neće presudno uticati na promenu ponašanja Google-a na tržištu, ali je pokazatelj da nadležni organi država članica Evropske Unije imaju želju da tehnološke gigante koji stiču profit korišćenjem ličnih podataka u čijem su posedu nateraju da budu otvoreni u vezi sa načinom kako te podatke koriste.

Pred organima država članica EU koji su zaduženi za zaštitu ličnih podataka u toku su brojni procesi, uključujući i one protiv kompanija Amazon, Apple, DAZN, Spotify i Netflix, pa će posledice primene kaznenih odredaba koje GDPR predviđa biti tek sagledane.

Usaglašavanje poslovanja sa GDPR standardima

Ovaj kratki period primene pokazao je da su uočene povrede raznovrsne i da se tiču kako primene novih tehnologija i servisa, tako i „tradicionalnih“ metoda obrade ličnih podataka, kao što je video-nadzor.

Osim visokih kazni, kompanije čije poslovanje nije usaglašeno sa GDPR standardima suočavaju se sa ogromnim rizikom narušavanja poslovnog ugleda, čije posledice mogu biti umnogome teže od samog plaćanja kazne. Široka lepeza prava koja su data pojedincu u vezi sa obradom ličnih podataka, naglašena odgovornost rukovaoca za obradu podataka, uključujući i odgovornost za bezbednost podataka, ističe obavezu kompanija da usaglase svoje poslovanje sa ovom uredbom.

Obaveza usaglašavanja odnosi se na sve kompanije sa sedištem u Evropskoj Uniji, kao i na kompanije sa sedištem van EU koje nude robu ili usluge fizičkim licima koja se nalaze u EU, bez obzira da li se roba ili usluge naplaćuju, kao i na kompanije koje prate ponašanje fizičkih lica, ukoliko se to ponašanje odvija unutar EU.

U Republici Srbiji je 21. novembra 2018. stupio na snagu novi, dugo očekivani Zakon o zaštiti podataka o ličnosti (Službeni glasnik RS, br. 87/2018), koji će početi da se primenjuje devet meseci od dana stupanja na snagu. Ovim zakonom uključeni su u naš pravni okvir instituti koje predviđa GDPR, imajući u vidu da je Republika Srbija kao država kandidat za članstvo u Evropskoj Uniji u obavezi da zakonodavstvo uskladi sa zakonodavnim okvirom EU.

Kompanija COMING – Computer Engineering d.o.o. Beograd uspešno pruža sveobuhvatnu uslugu usklađivanja poslovanja sa pravilima koja predviđaju GDPR i Zakon o zaštiti podataka o ličnosti, a koja obuhvata procenu usaglašenosti kroz skeniranje poslovnih procesa, procenu uticaja obrade na zaštitu podataka o ličnosti, analizu uočenih neusaglašenosti, preporuke za usaglašavanje, kao i isporuku svih najsavremenijih tehnoloških rešenja koja su potrebna da bi podaci i poslovanje bili bezbedni.

Višnja Crnogorac

The post GDPR 10 MESECI KASNIJE appeared first on Business&IT.