Што значи да се биде, во финансискиот сектор, на највисока работна позиција од областа на управување со ризици, информациона и сајбер безбедност?
Лидија Вучидолова Богоевска – Работната позиција поврзана со ризици, информациона и сајбер безбедност пред сè значи – Одговорност.
Одговорноста од друга стана подразбира – континуирано воспоставување и одржување мерки и активности за подобрување на нивото на подготвеност од заканите во дигиталниот простор (како основна прва линија на заштита), проценка на инхерентен ризик за изложеноста кон заканите и спроведување на годишна анализа на субер ризиците (како втора линија на заштита), задолжително регуларно тестирање на ефикасноста на воспоставените сигурносни механизми за заштита (т.н. penetration test/vulnerability scans), подигнување на свесноста и нивото на обученост на вработените, редовни, периодични известувања за статусот со управувањето со ИТ и сајбер ризиците, и преземање на корективни и превентивни мерки.
Зад сите овие активности потребни се правила и политики кои подеднакво важат и мора да се применуваат од сите вработени во компанијата со единствена цел – минимизирање на нарушување на доверливоста, интегритетот на податоците и недостапност на ИТ системите и податоците.
Како започна вашата КаСис приказна, имајќи предвид дека 22 години градите кариера во единствениот процесор во Македонија и се занимавате со стандардите?
Лидија Вучидолова Богоевска – Повеќе од 22 година сум дел од КаСис – единствен процесор во Р.С.Македонија кој работи и инвестира во раст и развој на новитетите во картичната индустрија и е докажан сигурен партнер на банките и платежните институции во земјата и регионот.
Лично на почетокот на мојата кариера во оваа индустрија не бев свесна дека мојот порив за учење во доменот на ризици, безбедносни стандарди, заштита на лични податоци информациска и сајбер безбедност ќе ми овозможи раст, развој, но и самодоверба. Сѐ што се сака може да се постигне. Тука ќе потенцирам колку беше и сѐ уште е важна одличната соработка и поддршката од сите мои колеги како тим.
Ако се навратам на 2003 година, кога поднесовме апликации за лиценцирање на КаСис во меѓународните мрежи Мастеркард/Виза, согласно нивните стандарди требаше да имаме обучен вработен кој ќе ги следи процедурите поврзани со внатрешна физичка и логичка контрола. Од тогашниот менаџмент ја добив оваа значајна одговорност и без никаков страв ја прифатив и покрај тоа што тогаш ретко имаше работна позиција во финансиското деловно опкружување поврзана стриктно со управување со ризици, информациона и сајбер безбедност. Дополнително на ова речиси и да бев единствена жена на сите обуки и конференции организирани од меѓународните мрежи на темата ИТ Сајбер безбедност.
Сепак опкружувањето се менуваше, се подобруваше климата за родовата еднаквост и ми претставува чест што сум дел од таа трансформација. Ако пред 15 години само 6,5% од активната работна сила во дејностите на информациска и сајбер безбедноста во светот беа жени, сега според истражувањето на Women in Cyber Security во првиот квартал од 2023 година 24 % од активната работна сила во овие дејностите се жени. Очекувањата се 30 % во 2025 година и 35 % до 2031 година.
Како гледате на интензивните технолошки промени во вашата индустрија, како позитивен импулс кон развој или потенцијален ризик од безбедносен аспект?
Лидија Вучидолова Богоевска – Картичната индустрија има галопирачки развој пред сè во моделите на плаќања и користење на картичките. Со сите нови трендови паралелно се носат и правила за намалување на потенцијалните ризици. Ќе ја споменам најновата верзија 4.0 по стндардот PCI DSS кој стапи на сила од 25.03.2024 и горди сме што КаСис ќе се сертифицира по истиот кон крајот на месец Мај 2024.
Информатичко технолошката индустрија патем е камен – темелник за раст на дигиталното општество и дигиталната економија, а приватните компании и финансиските институции се клучни за нашиот просперитет. Зголемената зависност од технологијата ја нагласува потребата од повисоки стандарди за сајбер безбедност во процесот на одржување на достапноста и интегритетот на критични услуги во критичните сектори. Овој тренд значи дека во иднина, побарувачката за безбедни сервиси и услуги, како на пример потреба од квалификувани сајбер професионалци, ќе продолжи да расте.
Кои се најчестите но и најголемите закани за сајбер безбедност кои денес го погодуваат пазарот на обработка на плаќања и како КаСис се справува?
Лидија Вучидолова Богоевска – Човечкото однесување е најзначајната слабост која се искористува во компјутерскиот криминал. Успешните сајбер напади често се засновани на недостатокот на разбирање за сајбер безбедноста на крајниот корисник. Овие напади користат методи како што се масовни кампањи за е-пошта, за кражба на идентитет, како и повеќе насочени напади. Ние не сме родени со знаење за сајбер безбедноста. Преку едукацијата се ценат ризиците и се учат мерките за нивно ублажување. Но, како и сите други форми на безбедност, свесноста е дополнување, а не замена за достапноста на безбедните функции.
Од друга страна логиката на безбедноста која ние во КаСис ја користиме се состои од неколку основни елементи – внимаваме на опасноста – она што загрозува, следиме што може да е загрозено, детални аналитики и работни места – одговорни за заштита на податоци и инвестиција во средства – за ефикасен начин на кој се заштитува.
Статистички гледано според студијата на Cybersecurity Ventures, сајбер-напад се случувале на секои 39 секунди во 2023 година, или поточно по 2200 напади на дневно ниво.
Земји кои имаат организирана сајбер безбедност според NCSI (National Cyber Security Index) заклучно со декември 2023 се :Полска, Естонија, Латвија и Велика Британија , а процентуално по континенти најмногу напади се случувале во Азија 26%,Европа 23% Среден Исток и Африка 14%, Латинска Америка 13 %.
Како промените во глобалните регулативи за заштита на податоци (на пр. GDPR, CCPA) влијаат на вашите стратегии за безбедност и оперативни процеси? Како балансирате меѓу удобноста на корисникот и безбедноста ова можеби најмногу во доменот на електронски плаќања во е-трговија?
Лидија Вучидолова Богоевска – Нашата стратегија е насочена кон континуирано инвестирање во напредна технологија која придонесува кон врвно корисничко искуство пред сè за нашите банки но и за клиенти во регионот.
Довербата во картичката како инструмент за плаќање е главен императив во промовирање на секој нов сервис и иновација. Најважно е купувачите и имателите на картички да се чувствуваат сигурни при оставање на своите податоци и податоците за своите картички.
КаСис како независен процесор сертифициран од страна на MasterCard , Visa , и Diners International има обврска доследно ги следи и практикува меѓународно прифатените стандарди за работа PCI DSS, PIN PCI, PCI Card Production, ISO 27000 и ISO 20000, и на годишно ниво редовно се усогласуваме со истите Електронската трговија која пак е сегмент од картичната индустрија има правила и регулативи кои се построги. За истите да бидат задоволени треба да се почитуваат комплексни и сложени процедури. Знаењето, искуството и соработката помеѓу сите чинители во оваа област на македонскиот пазар е на добро ниво, и е добра основа за понатамошно воведување новитети.
Генерално гледано можам да кажам дека во финансиските дејности има сигурно, безбедно, доверливо и отпорно дигитално опкружување, поддржано од квалитетно изградени капацитети, високо квалификувани експерти, изградено ниво на доверба, како и национална и меѓународна соработка во областа на сајбер безбедноста.
Гледајќи напред, кои се најголемите идни предизвици за безбедност што ги предвидувате за индустријата за обработка на плаќања?
Лидија Вучидолова Богоевска – Согласно европските и светски аналитики поврзани со ризици, информациона и сајбер безбедност и оваа година а и следните најголемите предизвици како и закани ќе бидат поврзани со:
Социјалното инженерство (Social Engineering) кое за жал останува една од најопасните техники за хакирање што ја користат сајбер криминалците, главно затоа што се потпира на човечка грешка наместо на технички пропусти. Ова ги прави овие напади уште поопасни – многу е полесно да се измами човек отколку да се прекрши безбедносниот систем.
Изложеност од трета страна (Third-Party Exposure) се користи каде Сајбер криминалците можат да ги заобиколат безбедносните системи со хакирање на помалку заштитени мрежи кои припаѓаат на трети страни, а кои имаат привилегиран пристап до примарната цел на хакерот.
Грешки во конфигурацијата (Configuration Mistakes) процес каде дури и професионалните безбедносни системи повеќе од веројатно содржат барем една грешка во начинот на инсталирање и поставување на софтверот.
Недостаток на сајбер хигиена во компаниите ( Poor Cyber Hygiene) – се однесува на редовните навики и практики во врска со употребата на технологијата, како избегнување незаштитени WiFi мрежи и спроведување заштитни мерки како VPN /повеќефакторска автентикација/токенизација и криптографија.
Ранливостите на мобилните уреди (Mobile Device Vulnerabilities) – се влошени со зголемувањето на работата на далечина и недостаток на политики и корпоративни одлуки.
Ransomware – ќе остане и во иднина закана и предизвик за борба и справување.
Лошо управување со податоци (Poor Data Management) – управувањето со податоци и начинот на нивна употреба и чување. Зашто се чуваат/ на кој начин /дали се заштитени – секоја компанија треба да има одговор на овие прашања. Огромни непотребни датотеки доведуваат до конфузија, што ги остава податоците ранливи на сајбер напади.
И на крај би додала – Недостаток на процедура ( Inadequate Post-Attack Procedures) по нападот.
Недостатоците во безбедноста мора да се закрпат веднаш по напад на сајбер безбедноста, да се спроведат превентивни и корекивни мерки.
Значи ли тоа дека експерти за сајбер безбедност ќе бидат се побарани или ќе се заменуваат со AI?
Лидија Вучидолова Богоевска – За информација во моментов 1.милион работни позиции во областа на сајбер безбедноста се слободни. Професионалци – експерти се секогаш потребни и тука ќе додадам дека вештачката интелигенција никогаш целосно нема да ги замени експертите за сајбер безбедност, а причините се повеќе – на пример вештачката интелигенција може да се справи со задачи кои се повторуваат и се поврзани со аналитика на податоци, но човечката експертиза е од суштинско значење за стратегиско одлучување, етички размислувања и сложено решавање проблеми.
Исто така очекувам да се развиваат и нови видови на работни места/позиции каде ќе бидат потребни професионалци во креирање на алатки кои со помош на вештачката интелигенција ќе помогнат да се автоматизираат безбедносни задачи и да се создадат повеќе адаптивни безбедносни решенија специфични за бизнисот и индустријата.
