"Państwo powinno wspierać i doceniać każdego, kto przyczynia się do rozwoju cyberumiejętności" - powiedział Yevhen Balyutov z Raiffeisen Bank
20 marca 2024 15:47 Największe cyberataki i oszustwa często zaczynają się od wykorzystania technik inżynierii społecznej (linki phishingowe, e-maile z plikami wirusów, niezamierzone przekazywanie poufnych danych oszustom). Podnoszenie poziomu edukacji finansowej i umiejętności cybernetycznych wśród ludności pomoże w walce z tym zjawiskiem, mówi Yevhen Balyutov, dyrektor ds. bezpieczeństwa informacji w Raiffeisen Bank.
W wywiadzie dla UA.NEWS Jewgienij przedstawił 5 najważniejszych zasad ochrony przed oszustwami dla klientów banków, opowiedział o programach cyberbezpieczeństwa Raiffeisen Bank dla pracowników i ogółu społeczeństwa oraz ocenił rolę państwa i biznesu w podnoszeniu poziomu wiedzy finansowej.
Czy Raiffeisen Bank zapewnia swoim pracownikom szkolenia z zakresu finansów i cyberbezpieczeństwa?
Yevhen Balyutov: Oczywiście! Od ponad dwóch lat prowadzimy program RASP (Raiffeisen Awareness Security Programme) dla naszych pracowników. W ramach tego programu prowadzimy pracowników przez świat cybernetycznej dżungli. Zaczynasz jako cyber tchórz, ale możesz stać się cyber graczem, cyber mistrzem, poprzez różne szkolenia i poziomy.
Program RASP obejmuje również analizę profilu pracownika, ocenę jego umiejętności i zapewnienie wiedzy specjalistycznej w zakresie bezpieczeństwa. Pracownicy otrzymują rekomendacje i porady mające na celu podniesienie ich poziomu wiedzy w zakresie cyberbezpieczeństwa, a także mogą brać udział w dodatkowych kursach i zdobywać punkty. Istnieje system nagród: za punkty można otrzymać towary i różne nagrody, a im wyższy poziom, tym fajniejsze są te nagrody!
Oprócz RASP, Raif ma wiele prawdziwych testów warunków skrajnych, w tym symulacje phishingu - w sumie wdrożono około 10 wariantów takich testów, a wiele innych jest obecnie w fazie rozwoju.
Zdjęcie: Zespół ds. cyberbezpieczeństwa Raiffeisen Bank
Jakie działania z zakresu cyberbezpieczeństwa oferuje Raiffeisen Bank swoim klientom?
Yevhen Balyutov: Pomagamy wszystkim naszym klientom, zarówno osobom fizycznym, jak i prawnym, poprawić ich umiejętności finansowe i cybernetyczne. Jeśli mają konkretne prośby, zapewniamy bezpłatne porady i dzielimy się naszą wiedzą i doświadczeniem. Przeprowadziliśmy już szkolenia dla 12 firm - klientów korporacyjnych Raif. Wszystkie z nich odnotowały bardziej świadome podejście do cyberbezpieczeństwa wśród swoich pracowników i zmniejszenie liczby ataków phishingowych.
Raiffeisen Bank rozwija swój program edukacji cybernetycznej i finansowej na YouTube. Nasze filmy edukacyjne uzyskały już około 100 tysięcy wyświetleń. Jednak dla przeciętnego obywatela temat ten jest złożony i skomplikowany, dlatego planujemy unowocześnić format programu - tworzyć krótkie filmy z elementami grywalizacji i komponentem motywacyjnym w postaci nagród za osiągnięcia.
Program RASP (który jest obecnie dostępny dla pracowników Raif) wkracza w przestrzeń publiczną i staje się dostępny dla wszystkich. Chcemy przecież edukować i dawać przykład kolegom z innych banków i branż. Marzymy, że branża będzie się rozwijać, a ludzie poprawią swoją świadomość finansową i wiedzę na temat higieny cyfrowej. Nasz zespół aktywnie inwestuje czas i pieniądze w te projekty, ponieważ uważamy to za naszą misję.
Zdjęcie: kadry z lekcji wideo Raiffeisen Bank na temat cyberumiejętności
Jaka jest różnica między projektami szkoleniowymi dla klientów indywidualnych i korporacyjnych?
Yevhen Balyutov: Jeśli mówimy o zwykłej osobie, istnieje zestaw podstawowych zasad, których należy przestrzegać.
Na przykład, nie powinieneś nikomu podawać swojego kodu CVC\CVV, zawsze włączaj uwierzytelnianie dwuskładnikowe, nie pożyczaj nikomu swojego urządzenia i nie klikaj nieznanych linków. Zasady te są bardzo podstawowe i pozornie oczywiste, ale właśnie dlatego nie wszyscy ich przestrzegają. Aby być bardziej skutecznym, potrzebujesz indywidualnego podejścia do różnych odbiorców: niektóre formy interakcji dla dorosłych, a inne dla dzieci. Potrzebujemy przykładów z życia wziętych, które pozwolą nam przełożyć tę wiedzę na coś praktycznego.
W segmencie podmiotów prawnych każda branża ma bardzo ustrukturyzowane i zrozumiałe ryzyko. Jeśli jest to firma rozrywkowa, istnieją pewne rodzaje ryzyka, jeśli jest to dostawca usług telekomunikacyjnych, istnieją inne rodzaje ryzyka, jeśli jest to firma rolnicza, istnieją inne rodzaje ryzyka. Następnie należy zdecydować, jak poradzić sobie z tym ryzykiem i jak je złagodzić. Po drugie, należy zrozumieć, że firmy zatrudniają zwykłych ludzi, więc podstawowe zasady dla nich są takie same jak dla osób fizycznych.
Dlatego dla firm oznacza to bardziej szczegółowe ukierunkowane szkolenia, konkretne kwestie, konkretne ryzyko i konkretne zagrożenia. A dla osób prywatnych są to informacje, które powinny być interesujące i bardzo proste komunikaty.
Jakie jest 5 najważniejszych wskazówek dotyczących cyberbezpieczeństwa dla klientów banków?
Yevhen Balyutov: Główną zasadą jest, aby pod żadnym pozorem nie ujawniać nikomu swojego loginu i hasła, ponieważ ułatwia to atakującym dostęp do środków. Jednak nawet ta zasada nie zawsze jest przestrzegana przez ludzi, którzy tracą wszystkie swoje środki. Poniższe wskazówki pomogą ci dodatkowo zabezpieczyć dostęp, dane i środki:
Porada nr 1: nigdy nie podawaj nikomu jednorazowych kodów, które przychodzą z banku dla każdej transakcji. Jest to jedno z największych zagrożeń, a rynek oszustw mierzony jest w miliardach hrywien rocznie. Kiedy oszuści uzyskują dostęp do konta bankowego lub karty klienta, potrzebują jednorazowego kodu, który jest wysyłany na numer finansowy klienta w celu dalszego wykorzystania. SMS-y z naszego banku są wysyłane do klientów z jednego numeru o nazwie Raiffeisen. Jeśli celowo lub nieumyślnie przekażesz go intruzowi, możesz stracić wszystkie swoje pieniądze. Pamiętaj: nie ma «pracowników banku», którzy mogą do Ciebie zadzwonić i poprosić o ten kod, aby uniknąć «zablokowania karty» lub «kradzieży środków z konta». To wszystko są oszustwa.
Porada nr 2: Nie podawaj nikomu pełnego numeru karty, daty ważności i kodu CVV/CVC.
Porada nr 3: Włącz uwierzytelnianie dwuskładnikowe, gdy tylko jest to możliwe. Od poczty e-mail po komunikatory i konta w mediach społecznościowych. Ponieważ to naprawdę działa.
Porada nr 4: Uważaj, gdzie znajduje się Twoje urządzenie, na które otrzymujesz wszystkie kody i potwierdzenia. Jeśli zgubisz ten gadżet, musisz zablokować możliwość wyświetlania na nim kodów jednorazowych.
Porada nr 5: Bądź ostrożny z wszelkimi wiadomościami otrzymywanymi w mediach społecznościowych, komunikatorach lub pocztą elektroniczną. Zawsze sprawdzaj nadawcę. Jeśli nie spodziewałeś się wiadomości od nadawcy, lepiej zapytać ponownie, nawet w innym komunikatorze, «Czy to ty do mnie napisałeś?».
Wiele osób jest ciekawych, co kryje się za tym linkiem, załączonym plikiem lub zapomnianą pamięcią USB. Myślą: «Rzucę okiem, nie ma w tym nic złego». Proszę, nie rób tego! W końcu tak właśnie często zaczynają się najpotężniejsze i najstraszniejsze incydenty cybernetyczne, kosztujące państwo i firmy setki milionów dolarów.
Zdjęcie: Zespół ds. cyberbezpieczeństwa Raiffeisen Bank
Jak skutecznie państwo może wpływać na wiedzę finansową i cybernetyczną obywateli?
Yevhen Balyutov: Państwo może mieć bardzo silny wpływ na podnoszenie świadomości obywateli w zakresie wiedzy finansowej i bezpieczeństwa. Mamy do tego prawie wszystko: rozwinięte instytucje i programy państwowe; firmy, które potrafią bardzo dobrze sprzedawać, tworzyć fajne wizualizacje i treści.
Jako ojciec trójki dzieci chciałbym, aby wiedza na temat finansów była częścią programu szkolnego. Jest to tanie i skuteczne. W końcu dzieci bardzo szybko przyswajają nowe informacje i łatwiej rozumieją wzorce.
Byłoby wspaniale, gdyby Ukraina miała krajową strategię poprawy umiejętności finansowych, która byłaby kompleksowa i skoordynowana między instytucjami rządowymi.
Nie sądzę, byśmy potrzebowali osobnego organu odpowiedzialnego za edukację finansową. W końcu każda organizacja rządowa może odegrać w tym swoją rolę - tworząc treści, zapewniając platformę, szkolenia i możliwość nauczenia się czegoś nowego.
W jaki sposób państwo powinno współpracować z biznesem w zakresie rozwoju umiejętności finansowych i cybernetycznych?
Yevhen Balyutov: We współczesnym świecie nie można lekceważyć cyberbezpieczeństwa. Chciałbym, aby państwo aktywniej rozwijało partnerstwa z sektorem prywatnym w celu realizacji inicjatyw edukacyjnych.
Ukraina ma dobre przykłady podnoszenia świadomości cyfrowej i finansowej ze strony Narodowego Banku, Gabinetu Ministrów i Ministerstwa Transformacji Cyfrowej. Biznes dostrzega wysiłki NBU i rządu w tym obszarze i myślę, że byłoby znacznie skuteczniej, gdybyśmy robili to razem. Mamy już pierwsze kroki ze strony NBU, który aktywnie angażuje banki w nowe programy szkoleniowe, dając możliwość dzielenia się wiedzą i treściami.
Państwo powinno wspierać i doceniać każdego, kto przyczynia się do rozwoju umiejętności finansowych i cybernetycznych. Raiffeisen Bank prowadzi wiele działań w zakresie cyberbezpieczeństwa i wiedzy finansowej. Wierzę, że teraz jest najlepszy czas na połączenie sił biznesu i instytucji rządowych. Razem jesteśmy silniejsi!