Avvalroq Adliya vazirligi va Markaziy bank tomonidan masofadan moliyaviy xizmatlar ko‘rsatishda axborot va kiberxavfsizlikni ta‘minlash hamda firibgarlikning oldini olish bo‘yicha minimal talablar to‘g‘risidagi nizom tasdiqlangani haqida xabar berilgandi.
Nizom axborotni himoya qilish talablarini belgilaydi. Kredit va to‘lov tashkilotlari mobil ilovalarga qisqa vaqt oralig‘ida noodatiy darajada ko‘p so‘rovlar kelib tushganda cheklovlar joriy etishi, vaqtinchalik bloklash yoki boshqa himoya choralarini qo‘llashlari lozim.
Agar mobil ilovada akkauntga 1 daqiqa ichida bitta IP-manzildan ikki va undan ortiq qurilmadan kirishga urinishlar kuzatilsa, hisob 10 daqiqaga bloklanishi kerak.
Tashkilotlar Android’da ishlovchi qurilmaning tizim huquqlariga noqonuniy kirish orqali xavfsizlik siyosati buzilganda (root), iOS’da ishlovchi qurilmadagi xavfsizlik cheklovlari o‘chirilib, tizimga chuqur kirish imkoniyati yaratilganda (jailbreak) ilova ishini cheklashi kerak. Bunday holat aniqlanganda foydalanuvchiga SMS-xabarnoma yuboriladi.
Quyidagi hollarda xizmatlar mijozlarga SMS va push-bildirishnomalar yuboradi hamda qo‘shimcha tasdiqlashni talab qiladi:
- foydalanuvchi nomidan yangi qurilma orqali tizimga kirishga urinishda;
- onlayn kredit (mikroqarz) olish, omonat qo‘yish va undan pul yechib olish uchun so‘rov yuborilganda;
- tizimda frod alomatlari qayd etilsa (qisqa vaqt ichida bir nechta operatsiyalar, shubhali IP-manzillardan kirish va hokazo).
Kredit va to‘lov tashkilotlari, to‘lov tizimi operatorlari bank kartalari, hisobvaraqlar, mobil ilovadagi akkauntlar hamda elektron hamyonlar bilan bog‘liq frod holatlarni aniqlash va oldini olish uchun axborot xavfsizligini ta’minlash tizimlarini joriy etishlari lozim. Tizimlar uch darajaga bo‘linadi — session, tranzaksion antifrod va uyali aloqa.
Tranzaksion antifrod tizimlari foydalanuvchining to‘lovlarini, jumladan, P2P o‘tkazmalarini va xizmat to‘lovlarini amalga oshirishdan oldin tahlil qiladi. Frod belgilari aniqlanganda, ular operatsiyani to‘xtatish to‘g‘risida qaror qabul qiladi.
To‘lovni amalga oshirish to‘g‘risida qaror qabul qilishdan oldin tranzaksion antifrod tizimlari to‘lovchi va qabul qiluvchiga oid ma‘lumotlarni tahlil qila olishi kerak. Bu ilova faoliyati jurnallari va session antifrod tizimlaridan olingan ma‘lumotlarni qamrab oladi.
Bundan tashqari, tranzaksion antifrod tizimlari shubhali yoki zararli faoliyatni aniqlash va uni avtomatik bloklashni ta‘minlashi lozim. Tizimlar proksi-server, TOR-tarmog‘i, VPN tarmog‘i, shuningdek, xavf ostidagi serverlar va qurilmalardan tizimga kirishga urinishlarni aniqlaydi.
Session antifrod tizimlari uchun quyidagilarni aniqlash imkoniyati bo‘lishi shart:
- foydalanuvchi qurilmasi va xatti-harakatlariga oid ma’lumotlarni yig‘ishda iOS va Android ilovalari uchun SDK hamda internet-banking sahifasidagi JavaScript’ga ega bo‘lish.
- telefonlar yoki SIM-kartalarning almashtirilishini aniqlash;
- ilovadan foydalanishda uyali aloqa tarmog‘i yoki messenjerlar orqali qo‘ng‘iroqlar;
- qurilmani masofadan boshqarish belgilari;
- root/Jailbreak belgilari va nosozliklarni tuzatish rejimi yoqilgani;
- VPNdan foydalanish;
- himoyalangan veb-ilovaga, shuningdek, server tomonidagi sahifalarga tashqi kodni (ineksiyalarni) kiritish;
- fishing holatlari;
- foydalanuvchi hisobidan ruxsatsiz foydalanish;
- joylashuvga oid shubhali faollik (GPS va Wi-Fi orqali).
Session antifrodning yana bir vazifasi avtomatik kirishga urinish (bruteforce) yoki buzilgan autentifikatsiya ma‘lumotlaridan (credential stuffing) foydalanish orqali tizimga kirishga urinishlarni bloklash bo‘ladi.
Session antifrod qurilmani uning texnik xususiyatlari (digital fingerprinting) asosida identifikatsiya qiladi. Ular sessiya ma‘lumotlarini tahlil qilish, shubhali faoliyat belgilarini aniqlash, xavflarni baholash uchun ishlatiladigan brauzerlarni monitoring qilish va ularning eskirgan versiyalarini bloklash imkoniyatiga ega bo‘ladi.
SA doirasida ilovadagi xatti-harakatlar (navigatsiya, kursor harakati, tugmalarni bosish tezligi va matn terish tezligi, tanaffuslar, teginishlar, surishlar) asosida asl foydalanuvchi va firibgarlik faoliyatini farqlash mexanizmi joriy etilishi kerak. Shuningdek, tizimlar zararli faoliyatni tashkilot belgilagan qoidalar asosida bloklaydi.
Ilova kodi ruxsatsiz kirish va tahrirlashdan himoyalangan bo‘lishi hamda real vaqt rejimida tahdidlardan o‘zini o‘zi himoya qilish (RASP) xususiyatiga ega bo‘lishi kerak. Dasturchilar ilovaga antivirus va antifrod funksiyalarini kiritishlari shart.
Banklar va to‘lov tashkilotlari shubhali va bloklangan operatsiyalar, jumladan, sana, vaqt, foydalanuvchi va qurilma haqidagi ma‘lumotlar, operatsiya turi va miqdori, xavfni aniqlash sabablari, ko‘rilgan choralar va yakuniy qaror to‘g‘risidagi ma‘lumotlarni to‘plashlari lozim. Ular kamida uch yil davomida saqlanishi kerak.
Yangi qoidalar qaror rasman e‘lon qilinganidan uch oy o‘tgach — 22-apreldan kuchga kiradi.
Spot, avvalroq, YTT va o‘zini o‘zi band qilganlar uchun maxsus QR-kod qanday ishlashi haqida yozgandi.
