Come prevenire e contrastare le frodi su Internet e Mobile Banking

Transcript

Banking Analytics – Customer Analytics e Fraud Management
Milano, 13 maggio 2014
Come prevenire e contrastare le frodi su
Internet e Mobile Banking
Monica Pellegrino
Research Analyst, ABI Lab
Consorzio ABI Lab – Centro di Ricerca e Innovazione per la Banca
Agenda
• Le evoluzioni del quadro normativo in materia di sicurezza
• Lo scenario delle frodi informatiche nel settore bancario italiano
• Le attività istituzionali e di settore sui temi di sicurezza
Azioni di contrasto e sensibilizzazione
13/05/2014
ABI Lab – Centro di Ricerca e Innovazione per la Banca
1
Il quadro di riferimento
Crescente attenzione da parte delle istituzioni di riferimento a livello nazionale ed europeo in merito
ai rischi informatici e all’esigenza di garantire elevati livelli di sicurezza nella realizzazione di pagamenti
da remoto e nella gestione dei dati, come testimoniato dal recente fermento normativo in materia.
•
Le principali evoluzioni normative con impatti sulla gestione della sicurezza e del rischio informatico in banca
investono principalmente gli ambiti di:
‒ Sicurezza degli accessi e dei servizi di pagamento
emanato
in corso di emanazione
‒ Payment Service Directive e recepimento a livello nazionale
‒ Raccomandazioni BCE sulla sicurezza dei pagamenti internet + Assessment Guide BCE
‒ Raccomandazioni BCE sulla sicurezza dei servizi di accesso ai conti di pagamento
‒ Raccomandazioni BCE sulla sicurezza dei pagamenti Mobile
‒ Sicurezza nel trattamento di dati e informazioni bancarie
‒ Provvedimento Autorità Garante per la Privacy per la circolazione delle informazioni bancarie e il
trattamento dei dati bancari
‒ Valutazione del rischio informatico e correlazione con la gestione del rischio operativo
13/05/2014
‒ Disposizioni di vigilanza prudenziale di Banca d’Italia in materia di sistema dei controlli interni,
sistema informativo e continuità operativa
2
Gli impatti sulle banche e le attività
associative a supporto
RACCOMANDAZIONI BCE IN TEMA DI PAGAMENTI INTERNET
•
•
•
Realizzazione di un assessment specifico dei rischi
Ricorso a strumenti di strong authentication in fase di accesso ai servizi
Implementazione di procedure efficaci in merito all’autorizzazione e monitoraggio delle transazioni per
identificare comportamenti anomali e prevenire le frodi
•
Promozione di iniziative di sensibilizzazione della clientela
PAYMENT SERVICE DIRECTIVE (PSD)
•
•
Responsabilità in caso di pagamenti non autorizzati
Accesso ai conti di pagamento a opera di terze parti
RACCOMANDAZIONI BCE SUI SERVIZI DI ACCESSO AI CONTI DI PAGAMENTO
•
•
Impatti indiretti sulle banche, in relazione al livello di sicurezza dei soggetti terzi che intervengono
Corretta individuazione di compiti e responsabilità in caso di transazioni anomale
ABI e ABI Lab hanno rappresentato le esigenze delle banche alle istituzioni competenti attraverso:
• raccolta di feedback e osservazioni all’interno dei Position Paper inviati in risposta alle
consultazioni
• approfondimenti verticali nei tavoli di lavoro europei (EBF, EPC) sui punti critici evidenziati
13/05/2014
3
Assessment Guide BCE in materia di sicurezza dei
pagamenti Internet
(1/2)
Il documento ”Assessment guide for the security of internet payments” è stato pubblicato dal
Forum SecurePay il 4 febbraio 2014.
http://www.ecb.europa.eu/pub/pdf/other/assessmentguidesecurityinternetpayments201402en.pdf
DESTINATARI DELLA GUIDA
• Autorità locali di vigilanza e di sorveglianza dei sistemi di pagamento incaricati di valutare il
rispetto delle “Raccomandazioni BCE in materia di sicurezza dei pagamenti Internet”.
OBIETTIVO GENERALE
• Supportare i supervisori nel valutare la compliance alle raccomandazioni sulla sicurezza dei
pagamenti Internet.
• Garantire che le valutazioni siano armonizzate e efficienti
in tutta l'UE/EEA allo scopo di
facilitare le autorità di vigilanza e/o sorveglianza nel confronto e/o aggregazione dei risultati di
tutti gli Stati Membri.
13/05/2014
4
Assessment Guide BCE in materia di sicurezza dei
pagamenti Internet
(2/2)
CONTENUTI DELLA GUIDA
• Elenco delle domande da usare per l’assessment di ogni KC e BP e ulteriori indicazioni per
garantire che alla domanda sia data una risposta sufficientemente dettagliata e coerente. Le
domande elencate non sono da considerarsi prescrittive, altre opzioni potrebbero essere
altrettanto soddisfacenti per il raggiungimento di un livello accettabile di conformità;
• Elenco, non esaustivo, dei documenti a supporto che potrebbero essere utilizzati nella
valutazione della conformità con le Raccomandazioni;
• Le situazioni descritte sono generiche: alcuni aspetti potrebbero non essere di rilievo per tutti i
PSP o le Autorità di governo.
AI DESTINATARI DELLE RACCOMANDAZIONI:
• È richiesto che rispettino le Raccomandazioni o che siano in grado di spiegare
e giustificare ogni cambiamento;
• È auspicabile che adottino le best practice;
• È necessario che rispondano alle domande dell’assessment riportate nella guida;
• È richiesto che tutte le risposte e la documentazione a supporto, una volta che la valutazione è
in corso, per quanto possibile, siano presentate in formato elettronico.
13/05/2014
5
Disposizioni di Vigilanza Prudenziale di Banca d’Italia
Aggiornamento Titolo V: principali evidenze
PRINCIPI DI FONDO DELLA NORMATIVA
coinvolgimento vertici aziendali
Approfondimenti dei capitoli
8 e 9 in corso nei tavoli di
visione integrata dei rischi
lavoro ABI Lab
efficienza ed efficacia dei controlli
applicazione delle norme in funzione della dimensione e della complessità operativa
Fonte: Fonte: Comunicato Stampa Banca d’Italia
http://www.bancaditalia.it/media/comsta/2013/20130703_disp_vig.pdf
PRINCIPALI ELEMENTI DI NOVITÀ – focus capitoli 8 e 9
13/05/2014
Definizione dei compiti e delle responsabilità degli organi aziendali con funzione di supervisione
strategica, gestione e controllo.
Introduzione di una disciplina in materia di esternalizzazione delle funzioni aziendali e del sistema
informativo
Con riferimento al capitolo 8 sui sistemi informativi, la disciplina è stata integralmente rivista,
disciplinando:
• governance e organizzazione del sistema informativo
• gestione del rischio informatico
• requisiti per assicurare la sicurezza informatica e il sistema di gestione dei dati
• presidi di sicurezza per l’accesso a sistemi e servizi critici tramite il canale internet, recependo le
raccomandazioni della BCE in materia di sicurezza dei pagamenti in internet
Con riferimento al capitolo 9 sulla continuità operativa, la normativa riorganizza le disposizioni
attualmente contenute in diverse fonti in un unico titolo del documento, introducendo le seguenti novità:
• ridefinisce le modalità di gestione delle crisi all’interno del sistema finanziario, definendo il processo di
escalation
• formalizza il ruolo del CODISE, quale struttura di coordinamento presieduta da Banca d'Italia
6
Agenda
13/05/2014
7
Il fenomeno delle frodi informatiche
*Fonte: ABI Lab e School of Management – Politecnico di Milano, Osservatorio Mobile Banking
**Fonte: ABI Lab, Osservatorio Sicurezza e Frodi Informatiche, Rilevazione sulle Frodi Identitarie 2014, 25 rispondenti;
elaborazione sul numero medio di accessi per utente attivo
Il contesto di riferimento
• Aumento negli ultimi anni dell’offerta e dell’utilizzo di servizi erogati
tramite Internet e Mobile Banking:
• banche che offrono servizi via Mobile: +25% dal 2011 al 2013*
• accessi ai servizi di Internet Banking**: 873 milioni per clientela
Retail (+ 18,4 % rispetto al 2012)
•
Crescente utilizzo dei canali a distanza non sempre accompagnato, da
parte della clientela, da una adeguata conoscenza dei rischi e delle
azioni di prevenzione in grado di ridurli.
•
Evoluzione dello scenario delle frodi informatiche parallelamente al
contesto tecnologico di riferimento attacchi sempre più sofisticati
(28,1 % di attacchi di tipo man in the browser)
•
È importante evolvere strumenti e tecnologie di contrasto e prevenzione dei
crimini informatici in funzione dell’evoluzione degli attacchi.
•
Necessario rafforzare le azioni di sensibilizzazione della clientela sul tema.
13/05/2014
8
Furto di credenziali e danno economico – ambito Retail
% clienti attivi Retail vittima di furto di
credenziali (trend 2005 – 2012)
Fonte: ABI Lab, Osservatorio Sicurezza e Frodi Informatiche, Rilevazione sulle Frodi Identitarie 2014, 25 rispondenti
Anticipazione primi risultati del 2013:
•
Stima di 873 milioni di accessi all’Internet
Banking
•
A livello complessivo, riduzione di episodi di
furto di credenziali di accesso ai servizi di
Internet Banking.
•
Non si registrano per il 2013 casi di sottrazione
delle credenziali di accesso ai servizi di Mobile
Banking.
13/05/2014
% clienti attivi Retail che hanno subito un
danno economico (trend 2005 -2012)
1 caso ogni
1.000.000 accessi
Anticipazione primi risultati del 2013:
•
Lieve incremento della percentuale di
clienti vittima di frode e che
conseguentemente ha perso denaro.
•
Il rapporto tra numero di clienti che hanno
perso denaro e che hanno perso le
credenziali è di 2,48%, a conferma di
un’efficace azione di blocco e contrasto.
9
Furto di credenziali e danno economico – ambito Corporate
% clienti attivi Corporate vittima di furto di
credenziali (trend 2005 – 2012)
Fonte: ABI Lab, Osservatorio Sicurezza e Frodi Informatiche, Rilevazione sulle Frodi Identitarie 2014, 25 rispondenti
Anticipazione primi risultati per il 2013:
•
Stima di circa 281 milioni di accessi.
•
A livello del campione complessivo, si registra un
aumento della percentuale dei clienti attivi
Corporate che hanno perso le credenziali, a
conferma dell’attenzione crescente dei criminali
verso tale segmento di clientela.
•
Non si registrano per il 2013 casi di sottrazione
delle credenziali di accesso ai servizi specifici di
Mobile Banking.
% clienti attivi Corporate che hanno subito un
danno economico (trend 2005 – 2012)
13/05/2014
Anticipazione primi risultati per il 2013:
•
Al contrario, risulta nel 2013 in lieve
diminuzione la percentuale relativa dei
clienti che hanno perso denaro
maggiore efficacia delle azioni di contrasto
e prevenzione
•
I maggiori volumi economici perduti sono
relativi a frodi verso la clientela Corporate
10
Agenda
13/05/2014
11
Le attività di ricerca e approfondimento di ABI Lab
•
•
•
•
•
•
Business Continuity
Sicurezza e Frodi
Informatiche
Back office bancari
Documento elettronico
Intranet
Processi e Organizzazione
PROMUOVERE
L’INNOVAZIONE
•
•
•
Green Banking
Mercati dell’Energia
Energie Rinnovabili
ABI Lab approfondisce i principali temi
di interesse delle banche attraverso
tavoli di confronto tra referenti di
banche e aziende consorziate.
13/05/2014
•
•
•
•
•
•
Architetture IT
Information Governance
Telecomunicazioni
Supporto standard fondi
Contact Center
Mobile Banking
ABI Lab - Centro di Ricerca e Innovazione per la Banca
12
Le attività operative e di ricerca in materia di
Sicurezza e Frodi Informatiche
OSSERVATORIO SICUREZZA E FRODI
INFORMATICHE
Presidio continuativo sui temi di sicurezza
informatica e fraud management in banca, con
particolare attenzione ai canali di Internet e Mobile
Banking, realizzato attraverso:
COMMUNITY PRESIDIO.INTERNET
Community interbancaria, avviata con lettera
circolare ABI dell’11 marzo 2009, per lo scambio di
informazioni e per la collaborazione informale con le
Forze dell’Ordine
Comunicazioni:
1a1
1 a molti
1 a tutti
Attività di ricerca
SURVEY e REPORT ANNUALE
BOLLETTINO TECNICO MENSILE
Collaborazioni istituzionali
Workshop e attività di comunicazione
Riunioni del tavolo tecnico composto da:
Community costituita da:
• 44 banche/outsourcer + Poste Italiane
• Partner ICT
• Polizia Postale e delle Comunicazioni
• 370 referenti banche/outsourcer + Poste Italiane
• Polizia Postale e delle Comunicazioni
• Operatori TLC mobili
LE COLLABORAZIONI A LIVELLO INTERNAZIONALE
• IT Fraud Working Group
(Federazione Bancaria Europea)
• ISSG/CISEG – Information Security
Support Group/Cybercrime
Information Sharing Expert Group
(European Payments Council)
• European FI-ISAC – Financial Institutions
Information Sharing and Analysis Centre (ENISA)
• EECTF – European Electronic Crime Task Force
(Poste Italiane, Polizia Postale, USSS)
• Altri network: - Membri di Antiphishing WG - Europol
- Partecipazione a DCC & Progetti Europei
13/05/2014
13
La collaborazione ABI – Banche – Polizia di Stato
13 Dicembre 2010
14 Aprile 2011
Sottoscrizione della Convenzione ABI – Polizia di
Stato per la prevenzione dei crimini informatici
nel settore bancario italiano, per la definizione di
un piano di collaborazione per il contrasto del
crimine informatico, prevedendo lo scambio in
tempo reale delle informazioni rilevanti.
Lettera Circolare ABI “Azioni di sistema in
materia di frodi informatiche“ che descrive le
modalità di partecipazione delle banche al
processo di scambio informativo (modulo di
accettazione e schema generale di accordo)
OBIETTIVI
ATTIVITÁ
Scambio efficace delle informazioni
Condivisione del quadro normativo
Strutturazione delle segnalazioni secondo
schemi condivisi
Analisi aggregate delle segnalazioni a scopi
investigativi e repressivi
partecipazione attiva mediante la
definizione di un unico presidio telematico
di riferimento
segnalazione tempestiva
attivazione delle azioni di contrasto più
opportune
Ad oggi la collaborazione è stata formalizzata dai principali gruppi bancari.
Altre banche si sono attivate per siglare la convenzione che avrà efficacia nei prossimi mesi.
Nell’ambito della collaborazione ABI-Banche – Polizia di Polizia Postale, si inserisce la partecipazione attiva di
ABI Lab nel progetto europeo OF2CEN, attraverso un contributo rilevante in fase di analisi dei requisiti
tecnologici e operativi della piattaforma e di coinvolgimento delle banche.
13/05/2014
14
Azioni di contrasto e prevenzione
Strumenti di monitoraggio e controllo
Monitoraggio e dotazione tecnologica (segmento Retail)*
* Campione variabile
100%
80%
65,2%
62,5%
60%
Si conferma l’elevato livello di consapevolezza
del fenomeno del cybercrime da parte delle
banche, che si accompagna a un impegno
sempre crescente volto a massimizzare il blocco
e il contrasto delle frodi informatiche.
41,7%
40%
Monitoraggio preventivo della rete
(segmento Retail, 24 rispondenti)
20%
100%
Fonte: Fonte: ABI Lab, Osservatorio Sicurezza e Frodi Informatiche,
Rilevazione sulle Frodi Identitarie 2014, 25 rispondenti
0%
Strumenti per il
monitoraggio
transazioni anomale
(24 rispondenti)
•
•
13/05/2014
Analisi automatica dei
log di accesso
all'internet banking
(24 rispondenti)
Monitoraggio della Rete
per identificazione siti
contraffatti
(23 rispondenti)
Diffusione superiore al 60% di strumenti di monitoraggio
delle transazioni e della rete; si prevede un aumento nei
prossimi mesi del livello di diffusione, anche alla luce di
quanto previsto dalle raccomandazioni BCE in materia.
83,3%
80%
70,8%
62,5%
60%
40%
20%
0%
Si registra inoltre un generale incremento rispetto al
Servizio di segnalazione Partecipazione diretta a
Partecipazione a
passato di attività di monitoraggio preventivo della rete,
e di early warning
community di
iniziative associative per
con particolare riferimento alle iniziative associative per
acquisito dall'esterno
information sharing
la collaborazione
intersettoriale
la collaborazione intersettoriale, cui aderisce l’83,3% del
campione.
MIGLIORAMENTO DELLA SICUREZZA DI INTERNET BANKING
TRAMITE MONITORAGGIO, CONTROLLO E COOPERAZIONE
15
Contromisure tecnologiche di contrasto
* Ciascun rispondente può
prevedere più strumenti di II fattore
Ambito Retail
•
II livello di autenticazione: messo a disposizione dal 100% del campione
•
II fattore di autenticazione: messo a disposizione dal 100% del campione
II fattore – Tecnologie (24 rispondenti)*
OTP via hardware disconnesso dal pc
66,7%
OTP via SMS
37,5%
Tessera a combinazione
25,0%
OTP via numero verde
20,8%
Mobile strong authentication
8,3%
Certificato di firma digitale
8,3%
Certificato digitale
4,2%
Token card
4,2%
0%
•
•
•
13/05/2014
20%
II fattore – Disponibilità (24 rispondenti)*
Adozione
obbligatoria
per segmenti
specifici di
clientela
4,1%
40%
60%
80%
Adozione
facoltativa
per tutta la
clientela
4,1%
100%
Il 91,8% dei rispondenti rende obbligatoria l’adozione di
almeno una delle tecnologie messe a disposizione della
clientela Retail
Il 58% del campione mette a disposizione due tecnologie
Il 13% del campione mette a disposizione tre tecnologie
Adozione
obbligatoria di
almeno una
tecnologia
per tutta la
clientela
91,8%
16
1/2
Sensibilizzazione della clientela
Fonte: Cyber Security Report 2013
In leggera diminuzione la % di utenti che dichiara di non
essere informato a sufficienza sul cybercrime (52% nel 2013,
59% nel 2012).
In Italia il 33% degli utilizzatori dei servizi internet non ha
nessuna conoscenza del cybercrime (superiore alla media
europea, ma in diminuzione rispetto al 2012).
Attività informativa verso la clientela
Molto diffuse presso le banche attività di
carattere informativo verso la clientela (100%
via Internet Banking).
Nelle campagne sensibilizzazione sono di solito
rappresentati:
i rischi e le principali minacce informatiche;
gli strumenti di protezione messi a
disposizione dalle banche;
regole e comportamenti per l’utente.
13/05/2014
100%
100%
80%
60%
52%
50%
40%
25%
20%
4%
0%
Informativa sul Informativa presso
Informativa
portale di internet
le filiali
contrattualistica
banking
(25 rispondenti)
(24 rispondenti)
(25 rispondenti)
Informativa via
posta tradizionale
(24 rispondenti)
Informativa via
e-mail
(24 rispondenti)
17
2/2
Sensibilizzazione della clientela Retail
Dal 2007 ABI Lab, in collaborazione con banche, Polizia Postale e delle
Comunicazioni e alcune Associazioni dei Consumatori, ha realizzato una
doppia iniziativa di comunicazione verso i clienti per incrementare il livello di
consapevolezza in merito al fenomeno delle frodi informatiche: un corso di
formazione on line reso disponibile su una web area dedicata e un guida
cartacea da distribuire ai consumatori.
• ~ 1.000.000 copie cartacee distribuite nel 2007/ 2008
• 53 Banche
• 6 Associazioni dei Consumatori
Nell’ambito dell’iniziativa “I 30 Impegni per la Qualità”, PattiChiari ha
definito una guida sulla sicurezza per illustrare le principali opportunità
e minacce associate all’utilizzo dei servizi remoti offerti attraverso i
canali diretti con l’obiettivo di innalzare ulteriormente la consapevolezza
della clientela bancaria sul tema.
• ~ 1.400.000 copie cartacee distribuite nel 2010
• 103 Banche
• 13 Associazioni dei Consumatori
MAGGIORI INFORMAZIONI SUL CORRETTO UTILIZZO DEGLI STRUMENTI
13/05/2014
18
Azioni di sensibilizzazione
Documenti di raccomandazioni clientela Corporate
Il Consorzio ABI Lab, con il contributo del Consorzio CBI, ha realizzato due documenti di
raccomandazioni per un utilizzo sicuro dei servizi di Internet Banking, in fase di prossima veicolazione
alle banche.
Nel dettaglio:
• Azioni di contrasto e prevenzione delle frodi nei confronti della Clientela
Corporate che utilizza i servizi di Internet Banking - Elementi di attenzione per
le banche
Documento contenente alcuni consigli che si ritiene possano essere di ausilio alle
banche nel rafforzamento delle attività di presidio, contrasto e prevenzione delle
frodi, da adottare, in particolare, nei rapporti con la clientela Corporate che utilizza i
servizi di Internet Banking.
• Azioni di sensibilizzazione della Clientela Corporate per un utilizzo sicuro dei
servizi di Internet Banking
Documento rivolto direttamente alle aziende Corporate, condiviso anche con la
Polizia Postale e delle Comunicazioni e strutturato in tre sezioni:
policy aziendali
indicazioni per la protezione delle postazioni dalle quali viene svolta l’attività di
Internet Banking (PC utente)
buone pratiche di comportamento dell’utilizzatore dei servizi di Internet
Banking
13/05/2014
19
Azioni di sensibilizzazione
Documento di raccomandazioni verso la clientela Corporate
Particolare attenzione merita il documento di raccomandazioni indirizzate alle aziende, così strutturato:
• Policy aziendali
Adottare una policy in materia di sicurezza informatica condivisa all’interno di tutta l’azienda
Individuare preventivamente i dipendenti e le postazioni dalle quali vengono svolte le operazioni di IB
Svolgere periodicamente iniziative di formazione interna all’azienda in materia di sicurezza informatica
Utilizzare il canale alternativo di comunicazione e gli strumenti di II fattore messi a disposizione dalla banca
Modificare costantemente le password di accesso ai servizi di IB
• Indicazioni per la protezione delle postazioni (PC utente)
Installare e aggiornare opportuni antivirus e impostare adeguati firewall
Aggiornare periodicamente i sistemi operativi utilizzati sui PC utente
Limitare la navigazione sul web e/o l’installazione di programmi non certificati
Differenziare i profili degli utenti in base alle specifiche esigenze operative
Se necessario per tutelare la sicurezza dell’azienda, svolgere le operazioni di IB da una postazione dedicata
• Buone pratiche di comportamento rivolte all’utilizzatore dei servizi di IB
Assumere un comportamento diligente relativamente alla conservazione di dati relativi a carte di
pagamento, chiavi di accesso e altre informazioni dell’IB
Collegarsi all’indirizzo internet della banca digitando l’indirizzo sul browser e non cliccando su link esterni
13/05/2014
20
Conclusioni e prospettive future
•
È sempre più importante per le banche mantenere presidi di sicurezza molto elevati che
sappiano adeguarsi alle nuove tipologie di minacce presenti sulla scena del cybercrime e
che tengano conto delle peculiarità dei diversi segmenti di clientela oggetto di frode;
•
Si ritiene utile concentrare l’attenzione, per il comparto Retail, sui nuovi attacchi che
mirano a compromettere i device mobili e le soluzioni di protezione per le transazioni su
carte (sia prepagate sia di credito in modalità Card Not Present), mentre, per la clientela
Corporate sulle azioni di rilevazione e contrasto delle transazioni anomale;
•
Sarà necessario monitorare l’evoluzione del quadro normativo al fine di porre in essere le
opportune attività di adeguamento, sempre più attente alle problematiche di sicurezza e
alla lotta al crimine informatico;
•
A livello generale e di sistema Paese si evidenzia la necessità di inquadrare opportune
procedure di cooperazione e information sharing tra i diversi soggetti interessati nel
percorso di attuazione della frode, a livello nazionale e internazionale.
13/05/2014
21
GRAZIE PER L’ATTENZIONE

Come prevenire e contrastare le frodi su Internet e Mobile Banking

Transcript

Documenti analoghi

Ettore Carneade

ESPERIENZE LAVORATIVE EDUCAZIONE LINGUE ED INTERESSI

Il nuovo modulo di ammissione alla garanzia del “Fondo casa” sarà

Spyware: dalla parte dell`attaccante

Scaruca il pdf - misurare la comunicazione

la banca digitale - Macchi di Cellere Gangemi

LA NUOVA ABI Dopo I addio di Giuseppe Mussari Banche, Patuelli

Seite 1 von 1 Paperoni all`improvviso | Assinews

PwC Economic Crime Survey 2016 Italia

Introduzione al corso U.Lab del prof. Otto Scharmer