Legal regulation of resistance to cyber threats in payment sphere

  • М. A. Pozhydaieva  Doctor of Science of Law, Associate Professor, Professor of Administrative and Financial Law Department, Institute of Law of Kyiv National Economic University named after Vadym Getman http://orcid.org/0000-0003-2355-1131
  • A. O. Bidiukova  Master of Laws, Institute of Law, Kyiv National Economic University named after Vadym Hetman http://orcid.org/0000-0002-3989-9135
Keywords: cybersecurity, cyber defence, cyber risk, cyber-attack, cyber incident, payment services, legal support of counteraction to cyber threats, legislation.

Abstract

The article is devoted to highlighting the problematic aspects of legal support against cyber threats in the payment sphere. Currently, cybersecurity is a priority in the list of issues regarding the legal regulation of relations in the field of payments on the Internet. This is due to the current tendency to transform payment services completely into an online space that is not fully regulated by de jure.

The purpose of the article is to analyse the regulatory and legal support of Ukraine against cyber threats during payment transactions in the Internet in the context of guaranteeing payment security.

The scientific novelty is that the definition of legal support for countering cyber threats that may arise during payment transactions on the Internet, as carried out by authorized entities through the rules of law organizational, legal, engineering, cryptographic measures, preventive (preventive) and operational methods, including monitoring and forecasting, using information and technological means, so that these subjects form an orderly system of timely impact on threats to the security of payments on the Internet and their risks.

Conclusions. The main legal measures to combat cyber threats during online payments include: authentication (multifactor authentication); BankID of the NBU; encryption; control of data access; mandatory appointment of responsible persons for ensuring the protection of information, cyber security and information security and monitoring of their activities by the head of the payment service provider; use of specialized protection against malicious code, malware and viruses, their timely updates, etc.

Due to the dynamic reform of the legislation in the field of payment services, there is some distinction between regulatory acts on cyber protection from cyber-attacks and cyber incidents during the provision of payment services and payment on the Internet. This indicates the need to apply a unified approach to ensure the legal mechanism for countering cyber threats in the payment sphere, which will guarantee the proper level of security of online payments.

References

1. Звіт з оверсайта інфраструктур фінансового ринку за 2020 рік / Офіційне Інтернет-представництво Національного банку України. URL: https://bank.gov.ua/admin_uploads/article/Report_oversight_2020.pdf?v=4 (Дата звернення: 21.08.2021).
2. Річний звіт з оверсайта платіжних систем за 2018 рік / Офіційне Інтернет-представництво Національного банку України. URL: https://bank.gov.ua/admin_uploads/article/Report_oversight_2018.pdf?v=4 (Дата звернення: 21.08.2021).
3. Сума та кількість безготівкових операцій із платіжними картками зросла більше ніж на третину / Офіційне Інтернет-представництво Національного банку України. URL: https://bank.gov.ua/ua/news/all/suma-ta-kilkist-bezgotivkovih-operatsiy-iz-platijnimi-kartkami-zrosli-bilsh-nij-na-tretinu (Дата звернення: 21.08.2021).
4. The global risks report 2020. World economic forum. URL: http://www3.weforum.org/docs/WEF_Global_Risk_Report_2020.pdf (Дата звернення: 21.08.2021).
5. Україна 2030 – країна з розвинутою цифровою економікою. URL: https://strategy.uifuture.org/kraina-z-rozvinutoyu-cifrovoyu-ekonomikoyu.html#6-2-1 (Дата звернення: 21.08.2021).
6. Антонов А. Б., Балашов В. Г. Основы обеспечения безопасности личности, общества и государства : учебное пособие. Москва : Институт защиты предпринимателя, 1996. C. 36–55.
7. Ткачук Т. Ю. Правове забезпечення інформаційної безпеки в умовах євроінтеграції України : дис. … д-ра юрид. Наук : 12.00.07. Ужгород, 2019. 487 с.
8. Про основні засади забезпечення кібербезпеки України : Закон України від 05.10.2017 р. № 2163-VIII. URL: https://zakon.rada.gov.ua/laws/show/2163-19/ed20201024#Text (Дата звернення: 21.08.2021).
9. Про платіжні послуги : Закон України від 30.06.2021 р. № 1591-ІХ. URL: https://zakon.rada.gov.ua/laws/show/1591-20#Text (Дата звернення: 21.08.2021).
10. Про затвердження Положення про нагляд (оверсайт) платіжних систем та систем розрахунків в Україні : Постанова Національного банку України від 28.11.2014 р. № 755. URL: https://zakon.rada.gov.ua/laws/show/v0755500-14/ed20200131#n651 (Дата звернення: 21.08.2021).
11. Про затвердження Положення про захист інформації та кіберзахист в платіжних системах : Постанова Правління Національного Банку України від 19 травня 2021 р. № 43. URL: https://bank.gov.ua/ua/legislation/Resolution_19052021_43 (Дата звернення: 21.08.2021).
12. Корона-шахрайство. Кіберзагрози під час карантину. URL: https://cdn.ideabank.ua/sites/default/files/2021-01/Кіберзагрози %20під %20час %20карантину.pdf (Дата звернення: 21.08.2021).
13 ТОП-5 кіберзагроз під час карантину. URL: https://www.ukrgasbank.com/press_center/announcement/12377- (Дата звернення: 21.08.2021).
14. Огляд кіберзагроз 2020: результат пандемії. URL: https://techexpert.ua/covid-cybersecurity/ (Дата звернення: 21.08.2021).
15. Платіжна безпека: основні поради / Офіційне Інтернет-представництво Національного банку України. URL: https://bank.gov.ua/promo/stopfraud/#section-25 (Дата звернення: 21.08.2021).
16. Стартувала інформаційна кампанія Національного банку з протидії платіжному шахрайству / Офіційне Інтернет-представництво Національного банку України. URL: https://bank.gov.ua/ua/news/all/startuvala-informatsiyna-kampaniya-natsionalnogo-banku-z-protidiyi-platijnomu-shahraystvu (Дата звернення: 21.08.2021).
17. Про затвердження Положення про систему BankID Національного банку України : Постанова Національного Банку України від 17 березня 2020 року № 32. URL: https://zakon.rada.gov.ua/laws/show/v0032500-20#Text (Дата звернення: 21.08.2021).
18. Методичні рекомендації щодо управління операційним ризиком (у тому числі кіберризиком та безперервністю діяльності) та забезпечення зберігання інформації про клієнтів об’єктами платіжної інфраструктури. URL: https://bank.gov.ua/ua/news/all/metodichni-rekomendatsiyi-schodo-upravlinnya-operatsiynim-rizikom-u-tomu-chisli-kiberrizikom-ta-bezperervnistyu-diyalnosti-ta-zabezpechennya-zberigannya-informatsiyi-pro-kliyentiv-obyektami-platijnoyi-infrastrukturi (Дата звернення: 21.08.2021).
19. Керівництво із застосування ризик-орієнтованого нагляду. FATF (Париж, березень 2021). URL: https://www.fatf-gafi.org/publications/fatfrecommendations/documents/guidance-rba-supervision.html (Дата звернення: 21.08.2021).
20. Конвенція про кіберзлочинність: Міжнародний документ від 23.11.2001. URL: https://zakon.rada.gov.ua/laws/show/994_575#Text (Дата звернення: 21.08.2021).
21. Про загрози кібербезпеці держави та невідкладні заходи з їх нейтралізації : рішення Ради національної безпеки і оборони України від 29.12.2016. URL: https://zakon.rada.gov.ua/laws/show/n0015525-16#Text (Дата звернення: 21.08.2021).
22. Директива 2002/20/ЄС Європейського Парламенту і Ради (ЄС) про дозвіл електронних комунікаційних мереж та послуг. URL: https://nkrzi.gov.ua/images/upload/58/19/612c7f47edc6f0524aaeee7546d3668b.pdf (Дата звернення: 21.08.2021).
23. Директива 2002/21/ЄС Європейського Парламенту і Ради (ЄС) про спільні правові рамки для електронних комунікаційних мереж та послуг. URL: https://zakon.rada.gov.ua/laws/show/984_003-02#Text (Дата звернення: 21.08.2021).
24. Директива 2016/1148 про заходи для високого спільного рівня безпеки мережевих та інформаційних систем на території Союзу. URL: https://zakon.rada.gov.ua/laws/show/984_013-16#Text (Дата звернення: 21.08.2021).
25. Регламент (ЄС) 910/2014 про електронну ідентифікацію та довірчі послуги для електронних транзакцій на внутрішньому ринку. URL: https://zakon.rada.gov.ua/laws/show/984_016-14#Text (Дата звернення: 21.08.2021).
26. Регламент (ЄС) No 2019/881 про Агентство ЄС з кібербезпеки та про інформацію та сертифікацію кібербезпеки комунікаційних технологій. URL: https://eur-lex.europa.eu/legal-content/BG/TXT/?uri=CELEX:32019R0881 (Дата звернення: 21.08.2021).
27. Берназюк О. О. Цифрові технології у праві: тенденції та перспективи розвитку : дис. … д-ра юрид. Наук : 12.00.07. Ужгород, 2021. 541 с.
28. Directive (EU) 2015/2366 of the European Parliament and of the Council of 25 November 2015 on payment services in the internal market, amending Directives 2002/65/EC, 2009/110/EC and 2013/36/EU and Regulation (EU) № 1093/2010, and repealing Directive 2007/64/EC. URL: http://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32015L2366 (Дата звернення: 21.08.2021).

References:
1. Zvit z oversaita infrastruktur finansovoho rynku za 2020 rik [Report on the oversite of financial market infrastructures for 2020] / Ofitsiine Internet-predstavnytstvo Natsionalnoho banku Ukrainy. URL: https://bank.gov.ua/admin_uploads/article/Report_oversight_2020.pdf?v=4 (Last accessed: 21.08.2021) [in Ukrainian].
2. Richnyi zvit z oversaita platizhnykh system za 2018 rik [Annual report on the oversite of payment systems for 2018] / Ofitsiine Internet-predstavnytstvo Natsionalnoho banku Ukrainy. URL: https://bank.gov.ua/admin_uploads/article/Report_oversight_2018.pdf?v=4 4 (Last accessed: 21.08.2021) [in Ukrainian].
3. Suma ta kilkist bezghotivkovykh operatsii iz platizhnymy kartkamy zrosla bilshe nizh na tretynu [The amount and number of non-cash transactions with payment cards increased by more than a third] / Ofitsiine Internet-predstavnytstvo Natsionalnoho banku Ukrainy. URL :https://bank.gov.ua/ua/news/all/suma-ta-kilkist-bezgotivkovih-operatsiy-iz-platijnimi-kartkami-zrosli-bilsh-nij-na-tretinu 4 (Last accessed: 21.08.2021) [in Ukrainian].
4. The global risks report 2020. World economic forum. URL: http://www3.weforum.org/docs/WEF_Global_Risk_Report_2020.pdf (Last accessed: 21.08.2021).
5. Ukraina 2030 – kraina z rozvynutoiu tsyfrovoiu ekonomikoiu [Ukraine 2030 – a country with a developed digital economy]. URL: https://strategy.uifuture.org/kraina-z-rozvinutoyu-cifrovoyu-ekonomikoyu.html#6-2-1 4 (Last accessed: 21.08.2021) [in Ukrainian].
6. Antonov, A. B., Balashov, V. G. (1996). Osnovy obespechenija bezopasnosti lichnosti, obshhestva i gosudarstva: uchebnoe posobie [Fundamentals of ensuring the security of the individual, society and the state]. Moskva : Institut zashhity predprinimatelja, pp. 36–55 [in Russian].
7. Tkachuk, T. Yu. (2019). Pravove zabezpechennia informatsiinoi bezpeky v umovakh yevrointehratsii Ukrainy: dys. … d-ra yuryd. Nauk : 12.00.07. Uzhhorod [in Ukrainian].
8. Verkhovna Rada Ukrainy. (2017). Pro osnovni zasady zabezpechennia kiberbezpeky Ukrainy [On the basic principles of cybersecurity in Ukraine] : Zakon Ukrainy № 2163-VIII. URL: https://zakon.rada.gov.ua/laws/show/2163-19/ed20201024#Text 4 (Last accessed: 21.08.2021) [in Ukrainian].
9. Verkhovna Rada Ukrainy. (2021). Pro platizhni posluhy [On the payment services] : Zakon Ukrainy № 1591-IХ. URL: https://zakon.rada.gov.ua/laws/show/1591-20#Text (Last accessed: 21.08.2021) [in Ukrainian].
10. Natsionalnyi bank Ukrainy. (2014). Pro zatverdzhennia Polozhennia pro nahliad (oversait) platizhnykh system ta system rozrakhunkiv v Ukraini [On approval of the Regulations on supervision (oversight) of payment systems and settlement systems in Ukraine] : Postanova № 755. URL: https://zakon.rada.gov.ua/laws/show/v0755500-14/ed20200131#n651 (Last accessed: 21.08.2021) [in Ukrainian].
11. Pravlinnia Natsionalnoho Banku Ukrainy. (2021). Pro zatverdzhennia Polozhennia pro zakhyst informatsii ta kiberzakhyst v platizhnykh systemakh [On approval of the Regulation on information protection and cyber protection in payment systems] : Postanova № 43. URL: https://bank.gov.ua/ua/legislation/Resolution_19052021_43 (Last accessed: 21.08.2021) [in Ukrainian].
12. Korona-shakhraistvo. Kiberzahrozy pid chas karantynu [Crown-fraud. Cyber threats during quarantine]. URL: https://cdn.ideabank.ua/sites/default/files/2021-01/Kiberzahrozy %20pid %20chas %20karantynu.pdf (Last accessed: 21.08.2021) [in Ukrainian].
13. TOP-5 kiberzahroz pid chas karantynu [TOP-5 cyber threats during quarantine]. URL: https://www.ukrgasbank.com/press_center/announcement/12377 (Last accessed: 21.08.2021) [in Ukrainian].
14. Ohliad kiberzahroz 2020: rezultat pandemii [Review of cyber threats 2020: the result of a pandemic]. URL: https://techexpert.ua/covid-cybersecurity/ (Last accessed: 21.08.2021) [in Ukrainian].
15. Platizhna bezpeka: osnovni porady [Payment security: basic tips] / Ofitsiine Internet-predstavnytstvo Natsionalnoho banku Ukrainy. URL: https://bank.gov.ua/promo/stopfraud/#section-25 (Last accessed: 21.08.2021) [in Ukrainian].
16. Startuvala informatsiina kampaniia Natsionalnoho banku z protydii platizhnomu shakhraistvu [The information campaign of the National Bank started on] / Ofitsiine Internet-predstavnytstvo Natsionalnoho banku Ukrainy. URL: https://bank.gov.ua/ua/news/all/startuvala-informatsiyna-kampaniya-natsionalnogo-banku-z-protidiyi-platijnomu-shahraystvu (Last accessed: 21.08.2021) [in Ukrainian].
17. Natsionalnyi bank Ukrainy. (2020). Pro zatverdzhennia Polozhennia pro systemu BankID Natsionalnoho banku Ukrainy [On approval of the Regulations on the BankID system of the National Bank of Ukraine to combat payment fraud] : Postanova № 32. URL: https://zakon.rada.gov.ua/laws/show/v0032500-20#Text (Last accessed: 21.08.2021) [in Ukrainian].
18. Metodychni rekomendatsii shchodo upravlinnia operatsiinym ryzykom (u tomu chysli kiberryzykom ta bezperervnistiu diialnosti) ta zabezpechennia zberihannia informatsii pro kliientiv obiektamy platizhnoi infrastruktury [Guidelines for operational risk management (including cyber risk and business continuity) and ensuring the storage of customer information by payment infrastructure]. URL: https://bank.gov.ua/ua/news/all/metodichni-rekomendatsiyi-schodo-upravlinnya-operatsiynim-rizikom-u-tomu-chisli-kiberrizikom-ta-bezperervnistyu-diyalnosti-ta-zabezpechennya-zberigannya-informatsiyi-pro-kliyentiv-obyektami-platijnoyi-infrastrukturi (Last accessed: 21.08.2021) [in Ukrainian].
19. FATF. (2021). Guidance on Risk-Based Supervision. Paris. URL: https://www.fatf-gafi.org/publications/fatfrecommendations/documents/guidance-rba-supervision.html (Last accessed: 21.08.2021).
20. Konventsiia pro kiberzlochynnist [Convention on Cybercrime]: Mizhnarodnyi dokument vid 23.11.2001. URL: https://zakon.rada.gov.ua/laws/show/994_575#Text (Last accessed: 21.08.2021) [in Ukrainian].
21. Rada natsionalnoi bezpeky i oborony Ukrainy. (2016). Pro zahrozy kiberbezpetsi derzhavy ta nevidkladni zakhody z yikh neitralizatsii [On threats to state cybersecurity and urgent measures to neutralize them] : Rishennia vid 29.12.2016. URL: https://zakon.rada.gov.ua/laws/show/n0015525-16#Text (Last accessed: 21.08.2021) [in Ukrainian].
22. European Parliament and Council. (2002). Directive 2002/20/EC of 7 March 2002 on the authorisation of electronic communications networks and services (Authorisation Directive). URL: https://nkrzi.gov.ua/images/upload/58/19/612c7f47edc6f0524aaeee7546d3668b.pdf (Last accessed: 21.08.2021) [in Ukrainian].
23. European Parliament and Council. (2002). Directive 2002/21/EC of 7 March 2002 on a common regulatory framework for electronic communications networks and services (Framework Directive). URL: https://zakon.rada.gov.ua/laws/show/984_003-02#Text (Last accessed: 21.08.2021) [in Ukrainian].
24. European Parliament and Council. (2016). Directive (EU) 2016/1148 of 6 July 2016 concerning measures for a high common level of security of network and information systems across the Union. URL: https://zakon.rada.gov.ua/laws/show/984_013-16#Text (Last accessed: 21.08.2021) [in Ukrainian].
25. European Parliament and Council. (2014). Regulation (EU) No 910/2014 on electronic identification and trust services for electronic transactions in the internal market and repealing. URL: https://zakon.rada.gov.ua/laws/show/984_016-14#Text (Last accessed: 21.08.2021) [in Ukrainian].
26. European Parliament and Council. (2019). Regulation (EU) No 2019/881 on information and communications technology cybersecurity certification and repealing Regulation (EU) No 526/2013 (Cybersecurity Act). URL: https://eur-lex.europa.eu/legal-content/BG/TXT/?uri=CELEX:32019R0881 (Last accessed: 21.08.2021) [in Ukrainian].
27. Bernaziuk, O. O. (2021). Tsyfrovi tekhnolohii u pravi: tendentsii ta perspektyvy rozvytku [Digital technologies in law: trends and prospects] : dys. … d-ra yuryd. Nauk : 12.00.07. Uzhhorod [in Ukrainian].
28. European Parliament and Council. (2015). Directive (EU) 2015/2366 of 25 November 2015 on payment services in the internal market, amending Directives 2002/65/EC, 2009/110/EC and 2013/36/EU and Regulation (EU) № 1093/2010, and repealing Directive 2007/64/EC. URL: http://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32015L2366 (Last accessed: 21.08.2021).

Abstract views: 29
PDF Downloads: 29
Published
2021-10-02
How to Cite
Pozhydaieva М., & Bidiukova , A. (2021). Legal regulation of resistance to cyber threats in payment sphere . Scientific Papers of the Legislation Institute of the Verkhovna Rada of Ukraine, (5), 68-77. https://doi.org/10.32886/10.32886/instzak.2021.05.08