Банковское обозрение (Б.О принт, BestPractice-онлайн (40 кейсов в год) + доступ к архиву FinLegal-онлайн)
FinLegal ( FinLegal (раз в полугодие) принт и онлайн (60 кейсов в год) + доступ к архиву (БанкНадзор)
XX Международный банковский форум стартовал с сессии, посвященной кандидатам на включение в обновленные модели киберугроз банков. В их число вошли ИИ, а также квантовая и постквантовая криптография
Одним из ключевых выводов, сформулированных 27 сентября 2023 года в ходе сессии «Кибербезопасность в новых реалиях: защищенный искусственный интеллект и квантовые технологии» в рамках XX Международного банковского форума, стало то, что пришла пора классические «ламповые» модели ИБ-угроз дополнять сразу несколькими пунктами.
Во-первых, искусственный интеллект помимо исключительно технических рисков начал генерировать проблемы совершенного иного характера, угрожающие деловой репутации использующих его банков, понижающие уровень клиентского сервиса за счет невозможности интерпретации решений, например скоринга, а также затрудняющие процесс импортозамещения.
Во-вторых, на горизонте 2030 года мир столкнется с так называемой квантовой угрозой, ставящей под сомнение надежность и устойчивость множества широко распространенных в финансовом секторе криптографических алгоритмов, используемых, например, в блокчейнах, цифровой подписи, базах данных ЕБС, защите каналов связи и т.д.
Модератором сессии выступил Артем Калашников, управляющий директор Центра информационной безопасности дочерних и зависимых обществ Газпромбанка. В дискуссии приняли участие руководитель кибербезопасности НСПК Артем Гутник; Константин Панцерев, профессор Санкт-Петербургского государственного университета; Игорь Ашманов, президент компании «Крибрум»; Антон Гугля, генеральный директор компании QApp, а также Никита Преснухин, директор департамента расследований компании Plain Chain.
Артем Калашников (Газпромбанк). Фото: АБР
«Модератор сказал о том, что искусственный интеллект широкими шагами идет по всему миру, а отечественные банки стараются не отставать. На мой взгляд, это очень плохо», — сразу обозначил свою позицию Игорь Ашманов, сравнив текущую ситуацию с очередным, уже третьим по счету, рыночным пузырем, признавая при этом и наличие «рационального зерна в использовании финансистами ИИ».
Эксперт разделил претензии к ИИ на несколько кластеров.
Игорь Ашманов («Крибрум»). Фото: АБР
Во-первых, налицо зависимость отечественных разработчиков моделей от иностранных фреймворков и дата-сетов. Первое несет в себе риски технологического отставания, а второе — вероятность появления эффекта «невидимки», или суперпользователя, из-за наличия закладок или ошибок в сборе и обработке первичных данных, закладываемых в модель. И то, и другое в совокупности приводит в большинстве случаев к невозможности интерпретации получаемых посредством «черного ящика» результатов, что, естественно, не устраивает получивших отказ в кредите клиентов. Очевидно, это не устраивает и Росфинмониторинг, не имеющий возможности автоматически получать мотивированное суждение о решениях ИИ.
Во-вторых, отечественные разработчики принимают активное участие в деятельности обширных комьюнити вокруг западных фреймворков, по сути, бесплатно привнося в них опыт, нарабатываемый в российских банках. А многолетний опыт показывает, что наиболее активные программисты и дата-сайентисты моментально попадают в поле зрения рекрутеров и хедхантеров тех IT-гигантов, которые стоят за этими комьюнити. Этим отчасти обуславливается дефицит продвинутых специалистов на отечественном рынке труда, усугубляемый также тем, что и релоканты, и официально убывшие за рубеж эксперты увозят с собой верифицированные здесь дата-сеты. А это есть прямая угроза ИБ.
Наконец, ИИ, включая последние наработки в области генеративных нейросетей, по своей природе является «усреднителем» тех данных, на которых он обучается. А это означает, что и чат-боты, так любимые банкирами, являются вполне себе посредственными, не способными на решение нетиповых задач помощниками клиентов банков.
«Средний банк, который гонится за статусом инновационного и внедряет ИИ, превращается в посредственную IT-компанию по причине того, что у него имеется банковская лицензия и огромные ограничения от регулятора в лице Банка России», — заключил Игорь Ашманов, предложив в итоге «снижать, а не повышать уровень цифровизации банков».
Константин Панцерев (СПГУ). Фото: АБР
Эту позицию и основные выводы по поводу ИИ поддержал Константин Панцерев, а вот позволили себе не во всем согласиться с ней Артем Калашников и Артем Гутник, который отметил: «НСПК по роду деятельности анализирует и контролирует уровень фрода в банках. Это сложная задача, в которой ИИ незаменим. Также у нас есть различные продукты для банков, например «Сервис принятия решений», помогающий оценивать легитимность платежей в электронной коммерции».
Артем Гутник (НСПК). Фото: АБР
«Квантовый компьютер — это новый класс вычислительных устройств, и работают они совершенно по-другому. Математически доказано, что большинство алгоритмов шифрования неустойчивы к квантовой угрозе. 2030 год является ориентировочным сроком появления мощного квантового компьютера, способного взломать современные системы криптозащиты», — описал суть очередной проблемы Антон Гугля.
Антон Гугля (QApp). Фото: АБР
Квантовые вычислители отличают повышенные на порядки скорости выполнения операций перебора, что важно при подборе ключа при симметричной криптографии. Кроме того, они быстро и успешно производят операцию факторизации, что является основой ассиметричной криптографии. Понятно, что не все алгоритмы квантовые машины способны «обнулить», но те, что могут, широко применялись до сих пор в цифровой подписи, ДБО, блокчейнах и т.д.
В России осознают квантовую угрозу и на уровне государства, и на уровне частных компаний, разрабатывая как собственные квантовые компьютеры, так и стандарты квантовой (аппаратные решения квантового распределения ключей) и постквантовой (программные решения защиты данных) криптографии в рамках Технического комитета ТК26 и Национального центра цифровой криптографии.
Квантовые коммуникации уже пилотируют ГПБ и Сбер, а постквантовое ПО можно найти в ГПБ, НСПК, ВТБ и компании «Мастерчейн». По информации Артема Калашникова, несколько крупных банков ведут работы в области высоконагруженных квантовых антифрод-систем. Но все это — начало пути, требуются колоссальные усилия научного сообщества и банков. Если в постквантовой сфере Россия в чем-то даже опережает развитые страны, то в квантовой сфере отставание составляет примерно семь лет.
Хотя по итогам дискуссии в новые модели угроз не были включены иные пункты, но кандидаты на их роль имеются. В частности, с развитием цифровых валют и цифровых финансовых активов обострилась проблема проведения процедур KYC и AML в блокчейнах.
«Это нетривиальная задача минимизации, казалось бы, известных ранее рисков. Тем не менее решений для безопасного обращения криптоактивов и ЦФА в банках сейчас недостаточно», — отметил в своей презентации Никита Преснухин.
Еще одна угроза была ярко подсвечена в ходе сессии вопросов и ответов в дискуссии Игоря Ашманова и Анатолия Козлачкова, вице-президента Ассоциации банков России. Она связана с поиском форм ограничений и контроля над разработками в области ИИ, поскольку отставание в этой области может обернуться стратегическим поражением всей станы, а не только банковской сферы.
По мнению Игоря Ашманова, данный контроль нужен там, где государство и бизнес развивают не ИИ, а цифровую слежку за гражданами, стремясь получить как можно больше сведений, касающихся их поведения и т.д. Если бить по рукам подобным «следопытам», то это никак не повлияет на развитие технологий. А вот как их самих регулировать в условиях СВО — вопрос дискуссионный. С одной стороны, все для победы, с другой, понять и оценить риски использования ИИ — дело самих банков. А вот морально-этические проблемы с ИИ придется, видимо, решать всем вместе.
Первые государственные банки располагались в бывших частных домах и даже на монастырском подворье, а первое здание, построенное специально для банка, появилось в 1783 году по Указу императрицы Екатерины II о строительстве в Санкт-Петербурге Ассигнационного банка