Fintech & κυβερνοασφάλεια: Θέμα εμπιστοσύνης

Από τα πλέον νευραλγικά κομμάτια του ψηφιακού μετασχηματισμού των χρηματοοικονομικών υπηρεσιών η αντιμετώπιση των διαδικτυακών απειλών χρειάζεται ιδιαίτερη προσοχή, ενώ είναι πολλές και σημαντικές οι προδιαγραφές που πρέπει να τηρούνται, για την πρόληψη κινδύνων.

Η πανδηµία έφερε µεγάλες ανατροπές, εξαναγκάζοντάς µας να περάσουµε από τον offline στον online κόσµο πάµπολλες δραστηριότητες. Η βίαιη, λόγω της COVID-19, επιτάχυνση του ψηφιακού µετασχηµατισµού είχε τα καλά της, αλλά βέβαια είχε (κι έχει ακόµα) τους κινδύνους της. Ένας από τους µεγαλύτερους, που ίσως ακόµα να µην έχουµε δει σε πλήρη ανάπτυξη, αλλά η πρόγευση που πήραµε ως τώρα προµηνύει πολλά, είναι σίγουρα η κυβερνοασφάλεια, ειδικά στον χώρο της οικονοµίας.

Κι αν οι τράπεζες και οι χρηµατοοικονοµικοί οργανισµοί έχουν σχετικά καλό παρελθόν στα θέµατα ασφαλείας, όντας ένας σκληρά ρυθµιζόµενος και εποπτευόµενος κλάδος, η σχέση των µικρότερων σε µέγεθος, φτωχότερων σε εµπειρίες και νεότερων σε ηλικία FinTech µε την κυβερνοασφάλεια σίγουρα έχει ακόµα πολλά περιθώρια βελτίωσης. Με δεδοµένο, µάλιστα, ότι το 2020 αποδείχθηκε η χειρότερη χρονιά στην ιστορία, όσον αφορά στις παραβιάσεις δεδοµένων, µάλλον δικαιολογούνται οι ειδήµονες του κλάδου να υποστηρίζουν πως «η κυβερνοασφάλεια είναι σήµερα το πιο σηµαντικό πρόβληµα στην ψηφιακή οικονοµία».

Γιατί, η τελευταία (άρα και οι Fintech) έχουν άµεση εξάρτηση από την εµπιστοσύνη του κοινού, των πολιτών-πελατών τους. Κάθε «ολίσθηµα» έχει άµεση αρνητική επίπτωση στο κοινό αίσθηµα. Ποιος µπορεί να µας βοηθήσει, για να µη συµβεί κάτι τέτοιο; Πάλι η ψηφιακή τεχνολογία, σε στενή συνεργασία µε την εκπαίδευση και την ευαισθητοποίηση του κοινού.

Αυξημένες οι απειλές
Η τεχνολογία είναι αυτή που επιτρέπει πλέον να διαχειριζόµαστε τα οικονοµικά µας από τον υπολογιστή ή το κινητό και, σιγά-σιγά, θα µας δίνει ολοένα µεγαλύτερες δυνατότητες σ’ αυτόν τον χώρο, όσο διευρύνεται η εφαρµογή του  PSD2, το οποίο «εκδηµοκρατίζει» µε γοργό ρυθµό τις τραπεζικές δραστηριότητες. Οι ψηφιακές neo-τράπεζες, οι robo-advisers και οι online πλατφόρµες προφανώς ήρθαν για να µείνουν, ανατρέποντας το κατεστηµένο, όµως, η απειρία των πολλών απέναντι στους νέους κανόνες του παιχνιδιού δεν διευκολύνει την κατάσταση.

Οι κίνδυνοι -µακριά από εµάς- καραδοκούν και είναι πολλοί. Αρχικά, οι FinTech αυξάνουν και πληθαίνουν συνεχώς, χρόνο µε το χρόνο παγκοσµίως, µε δέλεαρ την επιτυχία κάποιων εξ αυτών που εξελίχθηκαν γρήγορα σε µονόκερους. Όµως, το τοπίο σε θέµατα αντιµέτρων στο χώρο της κυβερνοασφάλειας µένει εν πολλοίς το ίδιο. Σε πολύ µεγαλύτερο βαθµό αυξάνουν οι χρήστες, όπως προείπαµε, µε την απειρία να τους οδηγεί συχνά σε αβίαστα συµπεριφορικά σφάλµατα που διευκολύνουν τις παραβιάσεις δεδοµένων. Κι όπως θα ανέµενε κανείς, έχουν αυξηθεί κατακόρυφα οι κακόβουλοι, που «µυρίστηκαν ψητό» και έτρεξαν.

Αρωγός οι νέες τεχνολογίες
Τα προβλήµατα µπορεί να πολλαπλασιάζονται, αλλά το ίδιο συµβαίνει και µε τις λύσεις στην τεχνολογική αγορά. Έτσι, βλέπουµε αρκετές FinTech να προτιµούν πλέον τη «διασπορά» του κινδύνου σ΄ ό,τι αφορά στο cloud – µεταξύ public και private, υπάρχει η λύση του multi-cloud που κερδίζει συνεχώς έδαφος. Επίσης, η Τεχνητή Νοηµοσύνη ήδη προσφέρει τις υπηρεσίες της (κάτι ξέρει η MasterCard επ’ αυτού) στην αναγνώριση της ηλεκτρονικής απάτης, µέσω της ανάλυσης των σχετικών µε χρηµατοοικονοµικές δραστηριότητες µεγάλων δεδοµένων.

Το Blockchain είναι ένα άλλο πεδίο δόξης λαµπρό, καθώς προσφέρει διαφάνεια, αποκεντρωµένη διαχείριση και µεγαλύτερη προστασία απέναντι στους hacker, ενώ πρόσθετους πόντους προσφέρει κι η αρχιτεκτονική SASE (Secure Access Service Edge) που συνδυάζει δικτυακές υπηρεσίες και ασφάλεια «σε συσκευασία ενός». Τέλος, δεν πρέπει να ξεχνάµε και τις ρυθµιστικές επεµβάσεις, που βάζουν τους δικούς τους περιορισµούς και τεχνικές προδιαγραφές (πχ. υποχρέωση κρυπτογράφησης) για να διαφυλαχθεί το προσωπικό απόρρητο των χρηστών-πελατών των FinTech.

Απαραίτητη η κυβερνητική στήριξη
Οι ρυθµιστές απαιτούν και οι FinTech οφείλουν να λάβουν τα µέτρα τους, αυτό είναι σαφές. Όµως, µπορούν να το κάνουν µόνες τους; Δύσκολη η εξίσωση, υποστηρίζει σε πρόσφατο άρθρο του στους Financial Times, ο συγγραφέας Eswar Prasad. Καλό και άγιο το πέρασµα µεγάλου µέρους των τραπεζικών εργασιών στα χέρια των χρηστών, µε την αξιοποίηση της ψηφιακής τεχνολογίας (γιατί νοµίζετε πως οι τράπεζες περιορίζουν τον αριθµό των καταστηµάτων τους, στα «απολύτως απαραίτητα»;) που εκσυγχρονίζει τα δίκτυα και µειώνει το κόστος τους. Λογικά, αυτό θα έπρεπε να περνάει (βοηθούντος και του ανταγωνισµού) ως ένα βαθµό στους πολίτες. Εκεί, υποστηρίζει πολύ σωστά ο κ. Prasad, δεν έχουµε δει ακόµα αυτό που θα έπρεπε…

Οι απανταχού κυβερνήσεις πρέπει να επιµείνουν στην δίκαιη κατανοµή και την προστασία των πολιτών και των δεδοµένων τους, κάτι που ήδη γίνεται σε κάποιες χώρες (πχ. Κίνα, Ινδία, Φινλανδία κ.ά), όπως τονίζει. Για να ολοκληρώσει λέγοντας πως ο µεν ιδιωτικός τοµέας θα πρέπει να αφεθεί ελεύθερος να αναλάβει επιχειρηµατικές πρωτοβουλίες, όµως, και οι κυβερνήσεις από την πλευρά τους θα πρέπει να διασφαλίσουν οφέλη για όλους και να διαχειριστούν τους κινδύνους.

FinTech: Αυστηρό νομικό πλαίσιο και έμφαση στην ασφάλεια
Ο Χρήστος Ξενάκης, καθηγητής Ψηφιακών Συστηµάτων στο Πανεπιστήµιο Πειραιά και επί πολλά χρόνια coach της Εθνικής Οµάδας Κυβερνοασφάλειας, απαντάει στις ερωτήσεις του Digital Finance για τη σχέση του χώρου των FinTech µε τα θέµατα ασφαλείας, τους κινδύνους που τον απειλούν και τα µέτρα που πρέπει να ληφθούν για την ελαχιστοποίηση του -αναπόφευκτου, όπως συµβαίνει πάντα στις καινοτοµίες- ρίσκου.

Πολλές μεγάλες τράπεζες συνεργάζονται με τις FinTechs, για να αναμορφώσουν τη χρηματοοικονομική μας πραγματικότητα. Ποιοι είναι οι σημαντικότεροι κίνδυνοι που μας απειλούν -από πλευράς κυβερνοασφάλειας- από αυτή την εξέλιξη;

Ο χώρος του FinTech αποτελεί µια αναδυόµενη βιοµηχανία που χρησιµοποιεί την τεχνολογία για να βελτιώσει τις χρηµατοοικονοµικές δραστηριότητες, επιδιώκοντας να αντικαταστήσει τις παραδοσιακές µεθόδους για την παροχή προηγµένων χρηµατοοικονοµικών υπηρεσιών.

Πολλά χρηµατοπιστωτικά ιδρύµατα εφαρµόζουν λύσεις και τεχνολογίες FinTech για την ανάπτυξη και τη βελτίωση των υπηρεσιών τους που αφορούν σε πληρωµές, δάνεια, ασφάλιση, αποταµιεύσεις και επενδύσεις, κι έτσι οι καταναλωτές έχουν πλέον πρόσβαση σε όλο και περισσότερες ηλεκτρονικές συναλλαγές. Ωστόσο, ο ψηφιακός µετασχηµατισµός των χρηµατοοικονοµικών υπηρεσιών εγείρει ολοένα και περισσότερους κινδύνους κυβερνοεπιθέσεων.

Κύριο µέληµα του χρηµατοπιστωτικού τοµέα θα πρέπει να αποτελεί η προστασία των προσωπικών δεδοµένων και της ιδιωτικότητας των καταναλωτών, καθώς και η ασφάλεια των ηλεκτρονικών συναλλαγών.

Παράλληλα, απαιτείται και η προστασία της λειτουργίας των ίδιων των συστηµάτων, δεδοµένου ότι αποτελούν κρίσιµη υποδοµή της οικονοµίας και της κοινωνίας. Επιβάλλεται, εποµένως, η ανάπτυξη και λειτουργία ψηφιακών συστηµάτων παροχής χρηµατοπιστωτικών υπηρεσιών µε έµφαση στην ασφάλεια, καθώς και η εφαρµογή αυστηρού νοµικού πλαισίου που θα θέτει σηµαντικές εγγυήσεις ασφάλειας, ώστε να εξασφαλιστεί η εµπιστοσύνη στις ηλεκτρονικές συναλλαγές.

Fraud – scam – data breaches – money laundering – ransomware – privacy issues έχουν μπει στη ζωή μας. Tι μέτρα πρέπει να πάρουν οι fintech και οι χρήστες για την αντιμετώπισή τους;

Οι παραπάνω όροι περιγράφουν δράσεις που εκτελούνται από χάκερς προκειµένου να εξαπατήσουν τους χρήστες των ηλεκτρονικών συναλλαγών, υποκλέπτοντας προσωπικά δεδοµένα, πληροφορίες και χρήµατα, µέσω της αποστολής µηνυµάτων «ψαρέµατος» και της χρήσης κακόβουλου λογισµικού. Στο πλαίσιο αυτό, οι FinTech είναι απαραίτητο να κατανοήσουν το µεταβαλλόµενο τοπίο των κυβερνοαπειλών που αντιµετωπίζουν, ώστε να βελτιώσουν τον τρόπο που σχεδιάζουν τις παρεχόµενες υπηρεσίες τους, να διαχειρίζονται αποτελεσµατικά τον κίνδυνο και να εκπαιδεύουν κατάλληλα τις οµάδες συντήρησης των συστηµάτων στην αντιµετώπιση των απειλών.

Επίσης, οφείλουν να διασφαλίζουν την προστασία των συναλλαγών των καταναλωτών, να τους ενηµερώνουν και να τους προφυλάσσουν από πιθανές απάτες. Οι καταναλωτές, από την πλευρά τους, πρέπει να είναι υποψιασµένοι και ενηµερωµένοι αναφορικά µε τους κινδύνους που ελλοχεύουν και να αποφεύγουν να ακολουθούν οδηγίες µηνυµάτων αµφιβόλου προέλευσης που δέχονται µέσω ηλεκτρονικού ταχυδροµείου, SMS και κλήσεων, γνωστά και ως Phishing.

Πολλές από τις λειτουργίες των fintech είτε δεν καλύπτονται από κάποιο σύγχρονο θεσμικό πλαίσιο, είτε καλύπτονται μερικώς, αφήνοντας αρκετές «κερκόπορτες» στους κακόβουλους. Τι πρέπει να προσέξουμε και να πράξουμε, πέρα από την ευαισθητοποίηση του κοινού, που κι αυτή είναι ελλιπής;

Οι εταιρείες FinTech οφείλουν να συµµορφώνονται µε το κανονιστικό πλαίσιο και τις απαιτήσεις που αυτό ορίζει. Υποκατηγορία του FinTech αποτελεί το RegTech (Regulatory Technology), το οποίο εξετάζει τεχνολογίες, όπως η τεχνητή νοηµοσύνη, η ανάλυση µεγάλων δεδοµένων, το cloud computing και η µηχανική εκµάθηση, που έχουν τη δυνατότητα αποτελεσµατικότερης και αποδοτικότερης παροχής κανονιστικών απαιτήσεων, σε σύγκριση µε τις ήδη υπάρχουσες δυνατότητες.

Η µη συµµόρφωση των εταιρειών µε το κανονιστικό πλαίσιο έχει ως συνέπεια υψηλά πρόστιµα και, λόγω αυτού, οι εταιρείες αναζητούν λύσεις, ώστε να µειωθεί αυτός ο κίνδυνος. Ωστόσο, η ραγδαία εξέλιξη της τεχνολογίας και η αύξηση των κυβερνοεπιθέσεων συχνά δηµιουργεί κενά στο θεσµικό πλαίσιο και απαιτεί τη συνεχή αναπροσαρµογή του. Η διατήρηση ίσων κανόνων ανταγωνισµού µεταξύ των υφιστάµενων τραπεζών και των νέων εταιρειών FinTech, έτσι ώστε να διατηρείται η οικονοµική σταθερότητα, παραµένει µεγάλη πρόκληση. Αυστηρή προτεραιότητα του θεσµικού πλαισίου είναι η προστασία των καταναλωτών, ιδίως όσον αφορά στην ιδιωτικότητα και την ασφάλεια στον κυβερνοχώρο, κι αυτό αποδείχτηκε µε τη θέσπιση του κανονισµού GDPR.

Οι χρηματοοικονομικές εφαρμογές περνούν με γοργό ρυθμό στο cloud. Πόσο μεγάλος είναι ο κίνδυνος για compromised data security και τι πρέπει να διασφαλίζουν οι πελάτες-χρήστες;

Η εκτόξευση της χρήσης του διαδικτύου και των διαδικτυακών συναλλαγών κατά τη διάρκεια της πανδηµίας, σηµατοδότησε την ανάπτυξη του cloud computing και, πρόσφατα, του multi-cloud computing. Οι αρχιτεκτονικές πολλαπλών νεφών εισάγουν νέες προκλήσεις σε ήδη πολύπλοκα µοντέλα ασφαλείας. Καθηµερινά, ένας τεράστιος όγκος δεδοµένων αποθηκεύεται και µεταδίδεται µέσω δικτύων, γεγονός που αποτελεί πρόσθετη πιθανή απειλή για την ασφάλεια και προστασία των συναλλαγών. Ο τρόπος µε τον οποίο συχνά χρησιµοποιούνται και επεξεργάζονται ευαίσθητα δεδοµένα τα δίκτυα µπορεί να θέσει σε κίνδυνο την ασφάλειά τους και να δώσει πρόσβαση σε κακόβουλους φορείς.

Η διαχείριση της πρόσβασης των εργαζοµένων στα δεδοµένα αποτελεί έναν από τους πιο κρίσιµους τοµείς της ασφάλειας στο cloud και οι εταιρείες οφείλουν να υιοθετούν αξιόπιστα µοντέλα ελέγχου πρόσβασης, αλλά και να πραγµατοποιούν τακτικούς ελέγχους, ώστε να διασφαλίζεται ότι υπάρχουν µόνο έγκυροι χρήστες στο σύστηµα.Μια δηµοφιλής άποψη στην αγορά είναι πως «το ρίσκο είναι αναπόφευκτο – το θέµα είναι να βρεις τι θα κάνεις από την πλευρά σου, αν όχι για να το εξουδετερώσεις, τουλάχιστον να το ελαχιστοποιήσεις». Θα θέλαµε ένα σχόλιο επ’ αυτού.  Όπως σε κάθε τοµέα, έτσι και στην περίπτωση των εταιρειών FinTech, κάθε καινοτοµία εµπεριέχει χωρίς αµφιβολία κι ένα βαθµό ρίσκου. Σκοπός, εποµένως, είναι η ελαχιστοποίηση αυτού του ρίσκου και η εξασφάλιση όσο το δυνατόν µεγαλύτερης προστασίας των συναλλαγών και της εµπιστοσύνης των πελατών.

Προς αυτή την κατεύθυνση, κάθε νέα εταιρεία οφείλει να κατανοεί τους κινδύνους στους οποίους εκθέτει τους πελάτες της, καθώς και τους άλλους συµµετέχοντες στο χρηµατοπιστωτικό σύστηµα και να συµµορφώνεται πλήρως µε τους ισχύοντες κανονισµούς. Η στρατηγική της θα πρέπει να σχεδιάζεται και να υλοποιείται βάσει µεθόδων µετριασµού των κινδύνων που απορρέουν από τη χρήση της τεχνολογίας. Παράλληλα, µε τη θέσπιση ενός πλαισίου µε κανονιστικές διαδικασίες και προγράµµατα κινδύνου, κάθε εταιρεία FinTech θα πρέπει να είναι πολύ επιλεκτική, όσον αφορά στους προµηθευτές λογισµικού που επιλέγει, αλλά και να εφαρµόζει πολιτικές κατά της νοµιµοποίησης εσόδων από παράνοµες δραστηριότητες.

Κύριο μέλημα του χρηματοπιστωτικού τομέα θα πρέπει να αποτελεί η προστασία των προσωπικών δεδομένων και της ιδιωτικότητας των καταναλωτών καθώς και η ασφάλεια των ηλεκτρονικών συναλλαγών