Veprimet abuzive, vlerësimi dhe kontrolli i rrezikut në ATM

14/03/2015 8:01 AM 0 komente
Emancipimi bankar, thënë ndryshe njohja dhe qasja që ka sot shoqëria ndaj sistemit bankar dhe shërbimeve të tij, nuk mund të kuptohet pa përdorimin e ATM-ve (Automated Teller Machine) të cilat tashmë kanë një shpërndarje në të gjithë vendin dhe u japin një “ndihmesë” të madhe në çdo kohë përdoruesve për tërheqjen e vlerave monetare dhe kryerjen e shërbimeve të tjera utilitare.
Nga ROLAND TASHI*

KRISTI BODECI**

ATM-të, siç quhen zakonisht bankomate, janë makineri, sisteme, për tërheqjen automatike të parave, depozitimeve apo pagesave të utiliteteve nga llogaria rrjedhëse ose e kursimit e përdoruesit nëpërmjet përdorimit të kartës së debitit apo kreditit. Këta distributorë parash, mund të vendosen brenda godinës së bankës por edhe larg saj, mjafton të jenë të lidhura dhe të komunikojnë me serverin e bankës nëpërmjet rrjetit telematik.

Në ditët e sotme, nuk përbën informacion mënyra se si mundësohet tërheqja e parave nëpërmjet kartës, e cila ka dy elemente sigurie; shiritin magnetik ose CHIP-in, i cili mban të dhënat e klientit dhe kodin numerik, PIN, të cilin e administron përdoruesi dhe nëpërmjet tij, autorizon kryerjen e veprimeve nga ATM-ja deri në marrjen e parave.

Sot është me interes të informohemi mbi mënyrat që përdoren nga elemente kriminale për grabitjen e parave nga ATM-të si dhe, shumë e rëndësishme, njohja dhe menaxhimi i rrezikut që paraqesin këto pajisje. Duhet të kuptojmë se ka disa mënyra për grabitjen e parave, por më kryesoret janë: dhuna, ndërhyrja fizike në ATM, – grabitja “inteligjente” e parave nëpërmjet përvetësimit abuziv të të dhënave të kartës individuale dhe PIN-it, – ndërhyrja në sistemin operativ, informatik të ATM-së.

Rreziku standard, shumë i njohur dhe i përhapur, është fenomeni “skimming”, kopjimi i të dhënave të shiritit magnetik të kartës, duke vendosur një pajisje elektronike kopjuese mbi pajisjen lexuese të kartës dhe duke instaluar minitelekamera në trupin e ATM-së të cilat orientohen të “shohin” tastierën gjatë kohës që përdoruesi vendos këtu kodin e PIN-it. Më pas, këto të dhëna do të shërbejnë për klonimin e kartave dhe tërheqjen, zbrazjen e llogarive të klientëve të pakujdesshëm.

Rrezik tjetër mbetet fenomeni “Cash trapping”, bllokimi i parave në vendin ku ato duhet të dalin, mënyrë e cila sot përbën rreth 46% të sulmeve ndaj ATM-ve, me tendencë në rritje.

Keqbërësit përdorin pajisje mekanike, të ngjashme me figurat e mëposhtme,

figura tashi 1_opt

figura tashi 2_opt

të cilat vendosen në brendësi të sirtarit, folesë ku ATM-ja nxjerr paratë. Kjo pajisje bllokon daljen e parave jashtë dhe mundëson mbajtjen e tyre brenda saj. Klienti, i cili ka autorizuar normalisht ATM-në të kryejë veprime, pret në kohën e mjaftueshme që paratë të dalin dhe më pas largohet prej saj. Ndërkohë, keqbërësi afrohet, tërheq pajisjen e vendosur në fole së bashku me paratë që ajo ka “grumbulluar”. Në këto raste, klienti dëmtohet pasi në llogarinë e tij bankare veprimi regjistrohet i kryer, ndërkohë që ai nuk merr fizikisht këto para.

Për të reduktuar fenomenin, prodhuesit vendosin pajisje inteligjente të cilat sinjalizojnë në rastet kur këto pajisje mekanike “grabitëse” vendosen në ATM.

Bllokimi i butonave të tastierës së ATM-së, është gjithashtu një mënyrë për përftimin abuziv të parave dhe përdoret kryesisht në ATM-të me tastierë me butona dhe jo në ato me “touch screen”, ku veprimet kryhen nëpërmjet prekjes së ekranit. Kjo mënyrë tenton në marrjen fizike të kartës së klientit. Keqbërësit bllokojnë me lëndë ngjitëse ato butona në tastierë të cilat shërbejnë për përfundimin e transaksionit, pasi është vendosur kodi PIN dhe është regjistruar sasia e parave që do tërhiqet.

Klientët, në pamundësi të vazhdimit të transaksionit, pasi butonat e bllokuar nuk lejojnë që programi i ATM-së ta njohë veprimin, largohen duke menduar se makineria ka probleme teknike. Pas një afati të paracaktuar, ATM autorizon në mënyrë automatike nxjerrjen jashtë të kartës pasi nuk pati asnjë “konfirmim” nga klienti për të mbyllur veprimin, kjo për arsye të bllokimit të butonave. Keqbërësit qëndrojnë diku pranë ATM-së, zakonisht kur ato vendosen jashtë sistemit bankar në zona publike, dhe marrin kartën që ka nxjerrë ATM-ja ndërkohë që klienti i “mërzitur” është larguar prej saj.

Mënyrë tjetër grabitjeje, e cila aplikohet zakonisht nga përdoruesit e autorizuar të bankës apo shërbimeve kontraktore, është marrja fizike e parave në kasafortën e ATM-së gjatë kohës së furnizimit apo defekteve teknike të saj.

Kjo mundësi “favorizohet” nga bankat, të cilat nuk kanë procedura të sigurta gjatë kohës që në ATM do të veprohet me vlerat monetare dhe “shfrytëzohet” nga të punësuar të inkriminuar ndaj të cilëve nuk kushtohet vëmendja e mjaftueshme në fazën e punësimit dhe zhvillimit të veprimtarisë në punë dhe jashtë saj.

Për parandalimin e kësaj grabitjeje ka disa mënyra; rritja e prezencës së punonjësve që kryejnë veprime në ATM, përmirësimi i mënyrës së mbylljes së kasetave me vlera monetare që vendosen në ATM, instalimi i pajisjeve sinjalizueze gjatë kohës që veprohet me kasafortën e ATM-së, vendosja e kombinatorëve dixhitalë, të cilët ndryshojnë kodin numerik pas çdo përdorimi, etj.

Mënyrat më të sofistikuara për grabitjen e ATM-ve janë sulmet kibernetike (Cyber attack) të cilat, megjithëse nuk janë shumë të përhapura, sjellin dëme të konsiderueshme në vlera monetare. Sulmet kibernetike përgatiten për të ndërhyrë me teknika inxhinierike, informatike në programin e ATM-së, nëpërmjet instalimit të viruseve, “malware”, të cilat çorganizojnë sjelljen standarde të ATM-së, duke e “detyruar” atë që të nxjerrë jashtë të gjitha paratë që gjenden brenda saj. Zakonisht, këto teknika abuzive aplikohen gjatë fundjavës, ku vëmendja dhe kontrolli nuk është i mjaftueshëm.

Kjo formë e sofistikuar, është efikase në rast se realizohet në bashkëpunim me punonjës të autorizuar për të vepruar me ATM-në, kontraktorë mirëmbajtës, etj. Në këto raste, rreziku reduktohet nëpërmjet disa mënyrave, – kufizimi dhe monitorimi i ndërhyrjes në pjesën operative, pjesën e sipërme e ATM-së, – aplikimi i programeve informatike të cilat “mbikëqyrin” mundësinë e instalimit të viruseve, nuk lejojnë vendosjen e USB-ve dhe pajisjeve të tjera regjistruese, etj.

Një tjetër problem me sigurinë e ATM-ve, mbetet vazhdimi i përdorimit të sistemit operativ Windows Xp, ndërkohë që Microsoft e ka nxjerrë në “pension” këtë sistem prej muajit prill 2014 dhe po aplikon sistemet operative Windows 7 ose 8. Sot, në botë, janë rreth 95% të ATM-ve të cilat operojnë me sistemin operativ XP, duke krijuar probleme me sigurinë dhe përputhshmërinë e ATM-së me sistemet e pagesave Master & Visa.

Sipas një raporti të publikuar nga Microsoft Security Intelligence Report, për vitin 2012 evidentohet numër më i lartë i sulmeve ndaj sistemit operativ Windows Xp krahasuar me sistemet operative të tjera.

Vonesa në aplikimin e sistemeve Windows 7 ose 8, përbën rrezik pasi piratët e sulmeve kibernetike kanë informacion për pikat e dobëta të sigurisë të Windows Xp, krahasuar me përdoruesit. Gjithashtu duhet theksuar se përdoruesit e Windows Xp nuk mund të marrin përditësime për rritjen e sigurisë nga Microsoft, ndërkohë që me aplikimin e sistemeve operative Windows 7 ose 8, kjo procedurë është normale duke ndikuar në rritjen e nivelit të sigurisë dhe njëkohësisht duke ia vështirësuar punën pirateve kibernetikë.

Grafika e mëposhtme tregon qartë numrin e lartë të sulmeve ndaj sistemit operativ Windows Xp krahasuar me sistemet operative të tjera.

Monitor_699

Mundësitë dhe format që shfaq krimi për grabitjen e ATM-ve, i kushtëzojnë prodhuesit dhe përdoruesit, në radhë të parë bankat, që ta menaxhojnë paraprakisht rrezikun që kanë këto pajisje për të mbrojtur klientin, vlerat monetare dhe reputacionin e bankës.

Menaxhimi i rrezikut është disiplina që synon në analizimin, gjetjen dhe zbulimin e formave, mënyrave që do ta ekspozojnë ATM-në ndaj rreziqeve të mundshme. Menaxhimi i rrezikut fillon që në fazën e projektimit të këtyre pajisjeve, sistemeve operative informatike që do të përdoren, vazhdon me analizën e zonës, rajonit ku do të instalohet kjo pajisje duke vlerësuar edhe nivelin e krimit në këtë rajon, vazhdon me gjetjen e infrastrukturës së nevojshme logjistike për funksionimin normal të saj, instalimin e sistemeve të mbrojtjes elektronike, përcaktimin saktë të limiteve të vlerave që duhet të mbajë, numrin e transaksioneve që do të kryhen, njohjen që kanë përdoruesit me këtë pajisje, etj.

Menaxhimi i rrezikut, duhet të kalojë dy faza kryesore; së pari, “vlerësimi i rrezikut” dhe së dyti, “kontrolli i rrezikut”. Vlerësimi, është faza gjatë së cilës identifikohen rreziqet kryesore me qëllim trajtimin e tyre. Identifikimi përfshin analizën mbi shpeshtësinë e ndodhjes së tyre, mundësitë e rasteve të paraqitjes së rrezikut dhe impaktit që ai jep në zhvillimin normal të veprimtarisë së ATM-së.

Kontrolli ka si qëllim reduktimin e mundësive, si dhe minimizim të pasojave gjatë një ngjarjeje me potencial rreziku, para dhe pas implementimit të kontrolleve. Kontrolli bazohet mbi një plan masash të ndërmarra, “mitigimi”, me qëllim lehtësimin/zbutjen e efekteve për monitorimin e situatave që paraqesin rrezik si dhe në rivlerësimin e tyre pas aplikimit të programit të “mitigimit”.

Mënyrë tjetër për të përcaktuar, përpara instalimit, nivelin e rrezikut që do të ketë ATM –ja, është aplikimi i matricës së klasifikimit të rrezikut. Kjo matricë përcakton nivelin e riskut që do të ketë kjo makinë në zonën ku do të vendoset duke ponderuar të gjithë elementet që përmbajnë rrezik me peshën specifike të tyre.

Duhet theksuar se matrica, përveç sa përcakton nivelin e rrezikut, “rekomandon” se në cilët elemente duhet ndërhyrë në mënyrë që ky risk të reduktohet.

Vlerësimi i rrezikut që kanë ATM-të, kontrolli i këtij rreziku, aplikimi i matricës së sigurisë, formimi dhe informimi i punonjësve të bankës dhe klientëve lidhur me kujdesin që duhet të tregojnë gjatë përdorimit të kartës dhe problematikave gjatë veprimeve me këtë pajisje, mbetet gjithmonë në vëmendje të strukturave drejtuese në banka.

Në politikat e sigurisë së bankave, një vend të rëndësishëm duhet të ketë siguria e ATM-ve.

 

*KOMITETI I AAB-SË PËR SIGURINË BANKARE

* FUNKSIONI I KARTAVE & BANKINGU ELEKTRONIK. FUNKSIONI I KARTAVE & BANKINGU ELEKTRONIK. PROCREDIT BANK

 

Komente

avatar
  Subscribe  
Notify of