Изказване на г-жа Нина Стоянова, подуправител на БНБ, ръководител на управление „Банково“, при откриването на събитието на в. „Банкеръ“ „Дигитализация и киберсигурност 2022“, 3 юни 2022 г.
В наши дни дигитализацията навлиза все повече във всички сфери на живота – като например банкови услуги, електронна търговия, публични услуги, електронно правителство и много други. По-специално в областта на платежните и финансови услуги дигитализацията започна отдавна, като пандемията от Ковид-19 послужи като допълнителен катализатор на процесите по трансформация на бизнес модели и услуги. От друга страна, засиленото използване на дигитални канали за получаване на услуги и развитието на електронната търговия поставят нови предизвикателства, свързани с опазване на данните на клиентите и сигурността на услугите. Темата за връзката между дигитализацията и киберсигурността е силно актуална и днес в контекста на последните събития в Европа.
Навлизането на иновативни продукти и услуги за плащания вече е трайна тенденция на европейско и национално ниво. Появиха се и много Финтех компании, които започнаха да предлагат нови продукти и услуги, редом с вече утвърдените играчи на пазара. Заедно с това, навлизането на все по-иновативни продукти и участници на платежния пазар в условията на силна конкуренция води до повишаване на рисковете и уязвимостите. В Европа и у нас все по-голямо разпространение намира използването на мобилния телефон като портал към различни платежни услуги, в това число дигитализирането на платежни карти и ползването на електронни портфейли, осигуряването на мобилни ПОС устройства, приложения за мобилно банкиране и други допълнителни функционалности, работещи на основата на съществуващите платежни схеми.
В светлината на тези развития сигурността на електронните плащания и опазването на данните продължава да бъде във фокуса на европейското и българско законодателство. Това бе една от основните законодателни цели през последните години, като Втората директива за платежните услуги (PSD2) въведе конкретни разпоредби в тази насока. Така още през 2019 г. в цяла Европа беше въведено задължението за задълбочено установяване на идентичността на платеца (strong customer authentication, SCA) на базата на използването на поне два независими елемента от различни категории – знание, притежание и характерна особеност. Последната категория обхваща елементи, които характеризират ползвателя, напр. биометричните данни – пръстов отпечатък, лицево разпознаване и др. Биометричната автентикация вече е въведена и у нас с помощта на приложенията за банкиране чрез мобилен телефон. Като цяло, през 2021 г. доставчиците на платежни услуги в България приключиха с миграцията на своите системи и продукти и вече прилагат всички изисквания за задълбочено установяване на идентичността на платеца. В резултат на положените от компетентните органи и доставчиците на платежни услуги усилия се наблюдава трайно намаление на измамите при електронни плащания, разпространени преди въвеждането на задълбочено установяване на идентичността.
Усъвършенстването на правната рамка на европейско ниво в тази област продължава. Тази година предстои да започне преглед на Втората директива за платежните услуги, като се очаква да бъде направена цялостна оценка на въздействието на задълбоченото установяване на идентичността на клиента върху нивото на платежни измами. Проучват се възможностите и за използване на електронната идентификация и решенията, основани на удостоверителните услуги, при влизане в профила на клиента и иницииране на платежни операции. Специално внимание ще бъде обърнато на засилване защитата срещу нови видове измами, които се наблюдават след въвеждането на задълбочено установяване на идентичността, особено в контекста на незабавните плащания и заплахите от типа „фишинг“ и „социално инженерство“.
През месец септември 2020 г. Европейската комисия публикува „Стратегия за цифровизиране на финансовите услуги в ЕС“, част от която е проект на Регламент за оперативната устойчивост на цифровите технологии (DORA). Този регламент допълва и хармонизира съществуващите изисквания в областта на сигурността на плащанията. С него се цели подсилване на киберсигурността и оперативната устойчивост на финансовия сектор като цяло, включително на доставчиците на платежни услуги. Сред важните изисквания, които предстои да бъдат въведени, са тези по отношение на управлението на ИТ рисковете, оптимизация на правната рамка за уведомяване на регулаторите при възникване на инциденти, изисквания за тестване на оперативната устойчивост на цифровите технологии на финансовите субекти и за управление на рисковете, произтичащи от трети страни – доставчици на ИТ технологии и услуги. Регламентът също ще стимулира финансовите субекти да обменят помежду си на доброволна основа сведения за киберзаплахи, за да подобрят и укрепят киберустойчивостта си. Очаква се регламентът да бъде финализиран в рамките на настоящата година.
По отношение на сигурността на инфраструктурите на финансовите пазари важно значение има и публикуваната от Европейската централна банка Европейска рамка за тестване на киберсигурността, базирано на разузнаване за заплахи (TIBER-EU). Тестовете на TIBER-EU имитират тактиките, техниките и процедурите на реални кибернападатели, базирани на специално проучване на заплахите. Те са подходящо създадени, за да симулират атака срещу критичните функции на дадена инфраструктура и нейните основни елементи, т.е. хора, процеси и технологии. Тестът има за цел да разкрие силните и слабите страни на тестваното лице, което му позволява да достигне по-високо ниво на киберзрялост.
През декември 2020 г., Европейската комисия публикува предложение за директива относно мерки за високо общо ниво на киберсигурност в ЕС, която да замести настоящата директива относно мерки за високо общо ниво на сигурност на мрежите и информационните системи в Съюза (NIS Directive). Сред основните цели са да се повиши нивото на киберустойчивост във всички съответни сектори на ЕС и да се намалят несъответствията в различни части на вътрешния пазар на ЕС. Очаква се да се подобри нивото на осведоменост и колективната способност за подготовка и реакция на заплахи, чрез гарантиране на ефективно сътрудничество в Съюза. Съгласно предложената директива от държавите-членки се изисква да приемат национални стратегии за киберсигурност, за да определят стратегическите цели, подходящи политики и регулаторни мерки с оглед постигане и поддържане на високо ниво на киберсигурност.
В заключение бих искала да отбележа, че тенденциите в Европа са към развитие на хармонизирана и интегрирана финансова и платежна инфраструктура, базирана на общи стандарти и инструменти за сигурност. Работата на европейско ниво по прецизиране на предложената нова правна рамка продължава, като се очаква различните ѝ елементи (регламенти и директиви) да бъдат финализирани в срочен порядък, предвид важността на предлаганите промени за гладкото и сигурно функциониране на пазарите.
Пожелавам интересна и ползотворна работа на всички участници в днешната конференция.