Bitmək bilməyən "Kartımdan pul oğurlanıb" şikayətləri: günahkar banklardır? Araşdırma

Məlum olduğu kimi, yanvarın 27-də “Kapital Bank”ın “Birbank” tətbiqində yaranan problem səbəbindən istifadəçilərin kart məlumatları silindi, əməliyyatların icrası mümkünsüz oldu. Problem 7 saatdan artıq davam etdi. Bank problemin "proflaktik tədbirlərdən" qaynaqlandığını bildirdi və səbrlə yanaşdıqları üçün müştərilərə təşəkkür etdi.

Xatırladaq ki, ötən il "Azərikard" da 7 saat müddətində çökmüşdü. Elektrik sistemində baş verən nasazlıqdan sonra bu prosessinq mərkəzinin bütöv sistemi restartdan sonra dayanmış və onu 7 saat müddətində bərpa etmək mümkün olmamışdı. O zaman problem daha çox buradakı texnologiyalara supportun yetərli, dayanıqlı olmamasıyla bağlıydı. Nəticədə ölkənin maliyyə-bank sistemində, 15 bankda xidmət dayanmışdı. Mərkəzi Bankın auditindən sonra bu qurumda İT mühitlə, təhlükəsizliklə bağlı ciddi nöqsanların olduğu müəyyənləşmişdi.

“Multimedia” İnformasiya Sistemləri Texnologiyaları Mərkəzinin direktoru, Azərbaycan İnternet Forumunun prezidenti Osman Gündüz Bakupost.az -a bildirib ki, "Birbank" problemi məhz ötən ilin sonunda elan olunan rebrendinqlə bağlı olub:

“Xatırladıram ki, ötən ilin sonu "Kapital" Bank rəhbərliyi bu il yanvarın 15-dən "Birbank" brendinə keçəcəyini bildirmişdi. Bir neçə gün olardı ki bu, reallaşmışdı. Və birdən-birə "Birbank" çökdü. Əlbəttə, rebrendinq təkcə ad dəyişikliyi deyil. Düşünmək olar ki rebrendinqdə "Kapital Bank" sistemlərinin "Birbank"a inteqrasiyası zamanı məlumat bazalarında problemlər olub. Güman ki, aparılan zəruri tətbiq yenilənmələrindən sonra problemlər, məlumat bazalarında qüsurlar, texniki çatışmazlıqlar və s. olub. Aparılan testlər yetərli, problemləri aşkar etmək mümkün olmayıb. Beləliklə, ötən ilin sonu baş tutan rebrendinqlə bu günkü "Birbank" çöküşü arasında böyük ehtimalla bağlantı var.

İkinci, ən böyük ehtimal odur ki, "Kapital Bank" sistemlərinə qarşı yönəlmiş DDoS hücumlar və ya digər kiberhücumlar olub. İstənilən halda, ötən ilin yekununda təxminən 200 milyon gəlir götürən, ölkənin ən böyük bankı statusu olan bir bankın 5 saat müddətində sistemini bərba edə bilməməsi çox düşündürücüdür. Dəymiş ziyan güman ki, yüz minlərlə ölçülə bilər. Belə bir hal heç bir standartlara sığmır. Ümid edirəm Mərkəzi Bank da baş verənlərin fərqindədir. Problemin həlli üzərində "Kapital Bank"ın uzun müddət işləyib. Bərpanın uzanması göstərir ki, problem çox ciddidir. Normal bir açıqlama olmadığı halda bu tip vəziyyət müştəri inamını sarsıda bilər. Belə uzunmüddətli dayanma banka etibarı aradan qaldırır, onun reputasiyası üçün ciddi risklər yaradır”.

Azərbaycan İnformasiya və Kommunikasiya Texnologiyaları Sənayesi Assosiasiyası İdarə Heyətinin sədri Elvin Abbasov isə Bakupost.az -a bildirib ki, bank problemlə bağlı ictimaiyyəti məlumatlandırmalıdır. Bu, həm də “ISO 27001” standartının tələblərindən biridir:

“Mərkəzi Bank tərəfindən lisenziyaya müvafiq olaraq qaydalar müəyyən edilir və qoyulan qaydalara riayət edilməsi mütləqdir. Burada bir çox istiqamətdə, həmçinin də təhlükələrlə bağlı qaydalar var. İstər xidmətin keyfiyyəti, istərsə də təhlükəsizlik baxımından banklar öz iş prinsiplərini bu qaydalara uyğun qurmalıdırlar. Burada təhlükəsizlik sadəcə, informasiya texnologiyaları müstəvisində nəzərdə tutulmur. Həmçinin elektron müstəvidə də problemlər mümkündür. Xidmətin yenilənməsində müxtəlif problemlər yarana bilər. Bu da o deməkdir ki, onlar sınaq mərhələsində kifayət qədər test aparmayıblar. Bank həmçinin kiber hücumlara məruz qala bilər. Bunlar təbiidir və heç bir korporasiya bundan tam sığortalanmayıb. Hər halda, əgər bank geniş bir müştəri seqmentinə xidmət edirsə, mütləq ictimaiyyəti məlumatlandırmalıdır”.

Elvin Abbasov hesab edir ki, “Kapital Bank”ın “Birbank” tətbiqindəki problem kənar müdaxilədən qaynaqlanmır. Problemlər elektronik avadanlıqlarda, serverlərdə və sistem yenilənməsi zamanı yaranan məsələlərlə bağlı olub.

Son zamanlar ölkənin bank sistemində xoşagəlməz hallar, eyni zamanda vətəndaşların bank kartlarından pullarının çəkilməsi, oğurlanması halları xeyli artıb. Vətəndaşlar müyyən vaxtlarda onların kart hesablarından pul çəkilməsi ilə bağlı fikirlər səsləndirir. Banklar isə bildirirlər ki, müştərilər öz kart məlumatlarını qarşı tərəfə ötürməzsə, belə halların baş verməsi mümkün deyil.

Bank məsələləri üzrə mütəxəssis, hüquqşünas Əkrəm Həsənov Bakupost.az -a bildirib ki, ya bankların tətbiq sistemləri, informasiya proqramı qüsurludur, ya da hakerlər üçün tətbiqə daxil olmaq, orada müəyyən əməliyyatlar aparmaq ciddi problem deyil:

“Bu da o deməkdir ki, bankın tətbiqi çox da keyfiyyətli deyil. Proqram təminatları dünyada müxtəlifdir. Nə qədər ucuzdursa, bir o qədər də zəifdir. Ola bilsin ki,bank xəsislik edib və tətbiqin təhlükəsizliyi üçün çox pul xərcləməyib. Yaxud da, sadəcə o işi yaxşı icra etməyiblər”.

Mütəxəssis hesablardan vəsaitin oğurlanmasında bank əməkdaşlarının iştirakını istisna etmir:

“İkinci variant odur ki, tətbiq yaxşıdır, amma bankın daxilində olan əməkdaş(lar) oğurluq edir. Bu, artıq bankın daxilində olan işçi problemidir. Hər bir halda, məsuliyyət bankındır. Dövlət, cəmiyyət, bank müştəriləri üçün fərqi yoxdur ki, bankın proqramı zəifdir, yoxsa bank işçisi oğurluq edir. Sadəcə olaraq, bunları sübut etmək bir qədər çətin məsələdir. Birincisi, vətəndaş bunları yaxşı bilmir. Bank da deyir ki, öz günahındır, PİN kodu kiməsə vermisən, itirmisən və s. Adətən, banklar məsuliyyəti üzərilərindən atırlar”.

Ə.Həsənov vurğulayıb ki, banklar sistemi elə qurmalıdırlar ki, kartdan istifadə zamanı hər dəfə vətəndaşın mobil telefonuna sms gəlsin, OTP kod daxil edildikdən sonra kartdan vəsait çıxılsın:

"Bankların belə bir xidməti var. Vətəndaş bilərəkdən, yaxud bilməyərəkdən bu məlumatları təsadüfən kiberdələduzlara verə bilər. Amma bankların da bir mühafizə sistemi olmalıdır. Müştəri sms vasitəsilə təsdiqləməsə kartdan vəsaitin silinməsi prosesi baş verməməlidir. Kiberdələduzlar vətəndaşın mobil telefonunu görə, ora müdaxilə edə bilmirlər. Bəzən sms xidmətlərə qoşulan müştərilərə də otp kod gəlmir və vəsait kartdan silinir. Artıq bunun günahı vətəndaşlarda yox, banklardadır",

İT mütəxəssisi Fərid Pərdəşünas isə hesab edir ki, dələduzlar kartlara bankın mobil tətbiqi vasitəsilə daxil ola bilirlər. O, Bakupost.az -a bildirib ki, son vaxtlar dələduzlar bank kartlarını yox, bankların mobil tətbiqlərini oğurlayırlar:

"İnsanlara bununla bağlı təhlükəsizlik kodu göndərilir. Şəxsiyyət vəsiqəsinin FİN-i əldə olunaraq bank kartlarının hamısına birdən daxil olurlar. Bir kartı götürüb oradakı məlumatlarla bank tətbiqinə daxil olub digər kartlara keçid edirlər. Mobil tətbiqi oğurlayırlar deyə, həmin banka bağlı olan bütün kartları idarə edirlər”.

Ekspert bildirib ki, vətəndaşlar heç bir halda şəxsi kodlarını üçüncü tərəflə paylaşmamalıdırlar:

“Ona görə də vətəndaşlar şəxsiyyət vəsiqələrinin FİN kodlarını, mesajla gələn təhlükəsizlik kodlarını heç kimə verməli deyillər. Çünki FİN kodla da bankın mobil tətbiqlərində qeydiyyatdan keçmək olur. Qeydiyyatdan keçəndə 3D kod göndərilir. O kodu da adətən, vətəndaşlardan istəyirlər. Onları necəsə aldadıb ələ keçirirlər”.

Azərbaycan Mərkəzi Bankından verilən məlumata görə, bankların qarşısında informasiya təhlükəsizliyini gücləndirməklə bağlı tələb qoyulacaq. Bununla əlaqədar olaraq, "Maliyyə bazarlarında fəaliyyətinə nəzarət edilən subyektlərdə informasiya təhlükəsizliyinin təmin edilməsinə dair Tələblər" 2025-ci ilin mart ayından etibarən qüvvəyə minəcək.

Qeyd edək ki, AMB-nin İdarə Heyətinin sədr müavini Vüsal Xəlilov Azərbaycan Mərkəzi Bankının ölkə vətəndaşlarının kart hesablarından oğurluq halları ilə bağlı bir neçə tədbir həyata keçirməyi nəzərdə tutduğunu açıqlayıb. O, bildirib ki, nağdsız ödənişlər artıqca, dələduzluq halları da artır:

"Bütün ölkələrdə bunu müşahidə etmək olar. Əfsuslar olsun ki, Azərbaycanda da belə hallar artmaqdadır. Bu, əsasən vətəndaşların özlərinə məxsus məlumatları paylaşmasından irəli gəlir. Mərkəzi Bankı ilk olaraq bu ilin martından maliyyə sektorunda informasiya və kibertəhlükəsizlik qaydalarını yeniləyəcək. Bunun müəyyən qədər müsbət təsiri olacaq. Eyni zamanda maliyyə qurumları ilə birgə mediada maarifləndirici işlər aparılacaq".

Mərkəzi Bankdan vurğulanıb ki, son dövrlərdə fırıldaqçılar tərəfindən ən çox istifadə olunan metodlar – dəyərli mükafat vəd edən kampaniyalarda, lotereyalarda iştirakla bağlı saxta elanların paylaşılması, qısa zamanda yüksək gəlir vəd edən, piramida sxeminə əsaslanan investisiya əməliyyatlarına vəsait yatırılması və ya internet üzərindən satılan məhsulların sahibinə müraciət edərək, alıcı qismində ödəniş etmək üçün kart məlumatlarının əldə olunmasıdır:

"Bu kimi hallarla qarşılaşılan zaman kart məlumatları, eləcə də 3D Secure xidməti vasitəsilə telefona daxil olan şifrələr heç bir halda qarşı tərəfə bildirilməməlidir. Nəzərə alınmalıdır ki, bank əməkdaşları sözügedən həssas məlumatları heç bir halda kart sahibindən sorğulamır".

Sevinc,

BakuPost