Финансовая сфера

Банковское обозрение


26.01.2021 FinSecurityFinTechАналитика
Как рассорились банкиры с социнженерами

Система отношений общества, государства и бизнеса «закачалась» под ударами пандемии. Новый мир и безопасность. Или безопасность в новом мире? Что теперь первично в борьбе с мошенничеством?


На декабрьском SOC-Форуме состоялась ключевая дискуссия, на которой помимо прочего банкиры обсудили вал случаев мошенничества, порожденных пандемией COVID-19, и его главную составляющую — социальную инженерию.

Однако Игорь Ляпунов, соведущий дискуссии и генеральный директор компании «Ростелеком-Солар», призвал взглянуть на проблему шире: «Изменения в мире происходят не только по причине ударов пандемии. Да, на фасаде — COVID-19, а за ним происходят гораздо более сложные и глубокие процессы. Где-то это экономическая турбулентность, где-то — политические вызовы, а в ряде случае это следствие углубления цифровизации. Уникальность текущего момента очень серьезная, сравнимая с последствиями мощного тектонического сдвига. Поэтому важно понимать, куда двигаться дальше. Без этого все остальное — слова, не более».

Такого разгула еще не было

Станислав Кузнецов, заместитель председателя правления Сбербанка, дополнил мысль представителя Ростелекома и заострил в повестке дискуссии тематику управления киберрисками как ключевой компетенции современного банка.

Данные по «Сберу» показывают, что 2020 год продемонстрировал значительный рост уровня киберпреступности во всем мире, в частности в России. Вследствие пандемии в России окончательно сформировалась новая преступная отрасль — компьютерное мошенничество и социальная инженерия как ее доминанта. Каждый 11-12-й телефонный звонок любому гражданину страны — это либо спам, либо звонок мошенника. Таких звонков в день производится примерно 100 тыс. Сбербанк по итогам трех кварталов получил уже 3 млн жалоб со стороны клиентов по этому поводу. Цель мошеннических звонков понятна — попытка украсть деньги со счетов граждан. Этот показатель относительно 2017 года вырос в 30 раз, а  в сравнении с 2018 годом —в 2 раза. 

«Такого разгула преступности не было никогда, — печально констатировал. Станислав Кузнецов. — Нам представляется, что все “признаки национального бедствия” говорят о том, что нам всем вместе необходимо предпринять беспрецедентные меры защиты».

Фото: SOC-Форум

Фото: SOC-Форум

В «Сбере» полагают, что необходимо научиться адекватно анализировать ситуацию, для того чтобы грамотно управлять рисками. Далее вместе с государственными институтами следует выработать меры по резкому снижению мошенничества и киберпреступности в целом. Для этого необходимо укрепить законодательство, ужесточить меры противодействия, включая наказания за те преступления, за которые сегодня просто штрафуют.

Предупрежден — значит вооружен

Но поскольку главные пострадавшие во всем этом безобразии — простые граждане, вполне резонно встал вопрос о том, насколько осведомленность об угрозах способствует формированию киберкультуры в современном обществе.

И вновь Игорь Ляпунов расставил все по местам: «Кто может отвечать за кибербезопасность физического лица? Оно само, и это — аксиома! А достаточная информированность об угрозах влечет два последствия. Во-первых, если ты достаточно трепетно относишься к безопасности у себя дома на своем личном уровне, то этот паттерн поведения ты несешь в компанию, где работаешь. В этом смысле компания становится более защищенной. Во-вторых, эта самая осведомленность станет настоящим драйвером и катализатором повышения защищенности тех финансовых услуг, которые предоставляются физическим лицам. И если само население выступит справедливым требователем именно защищенных услуг, то это станет определенным дифференциатором между поставщиками этих услуг, т.е. банками. У кого, к примеру, более защищенное от мошенничества приложение мобильного банка, тот и выиграет в конкурентной борьбе. Поэтому вложение усилий и средств в повышение осведомленности населения станет правильным усилием в оздоровлении ситуации в киберпространстве».

Виталий Задорожный (Альфа-Банка). Фото: SOC-Форум

Виталий Задорожный (Альфа-Банка). Фото: SOC-Форум

Виталию Задорожному, руководителю департамента кибербезопасности Альфа-Банка, осталось только дополнить коллегу: «В техническом плане обеспечения ИБ современные банки все “прекрасны”. Но ведь атакуют в первую очередь самое слабое звено — человека. Можно быть сколь угодно продвинутыми в области машинного обучения, скоринговых моделей и выявления аномалий, но “бить” начнут оттуда».

Мошенничество в цифрах

Насколько во всей этой истории виновата пандемия? Не сгущают ли краски эксперты? Ответы на эти вопросы было решено дать, сравнивая результаты 2019 года, а также данные по обоим полугодиям 2020-го. Как выяснилось, Банк России скрупулезно собирал все эти сведения, и нам есть что сравнить.

В июне 2020 года глава Банка России Эльвира Набиуллина, выступая в Госдуме с отчетом ЦБ РФ за 2019 год, привела пугающие цифры: «За пять месяцев 2020 года зафиксировано 165 тыс. мошеннических операций на общую сумму 1,6 млрд рублей… Из них 69% преступлений совершается с помощью социальной инженерии. Поэтому, к сожалению, возврат средств не очень большой. Со стороны банка нет никаких нарушений, люди сами отдают мошенникам свои данные, коды, пароли и так далее. Поэтому здесь очень важны, с одной стороны, правоохранительная деятельность, с другой — финансовая грамотность».

И опять Игорь Ляпунов обратился к Артему Сычеву, первому заместителю директора департамента ИБ Банка России, с просьбой прокомментировать данные в целом за 2020 год и спрогнозировать дальнейшие события.

По словам представителя регулятора, с начала 2020 года число звонков от имени службы безопасности какого-либо крупного банка увеличилось почти в 200 раз. Причем более 90% всех звонков совершалось с поддельных номеров, т.е. с использованием подмены реального номера. Поэтому классические меры по блокировке этих номеров ни к чему не привели, да и привести не могли. Эффект в денежном выражении оказался минимальным, зато были продемонстрированы намерения Банка России. И вот даже этот минимальный успех привел к смене тренда: мошенники стали гораздо пристальнее изучать ИБ-проблемы банкиров в области взаимодействия клиента с финансовой организацией. Бить стали отсюда. Хотя подпольные колл-центры не исчезли полностью.

Все это происходило на фоне самонадеянности некоторых финансистов, увлекшихся повышением скорости выхода на рынок новинок любой ценой. Но, как известно, у всего на свете есть своя цена, которая в данном случае выражается, как показал опыт, в пренебрежении разработчиками ПО и сервисов элементарными мерами информационной безопасности. Эти «дыры» в безопасности сейчас очень быстро находят хакеры. Ну а далее…

Уроки пандемии от Банка России

Проблема, по мнению представителя Банка России, состоит в том, что крайним оказывается чаще всего не банк, а потребитель его услуг. При этом, несмотря ни на что, все это является не более чем «пробой пера» мошенников нынешних. А тех, кто будет «работать» года через два, не остановят действующие сегодня базовые правила безопасности, установленные ЦБ. Ведь в них мало написано о грядущей «эре Open API и финансовых экосистем». Регулятор все это видит и активно готовится к будущей битве. Это стало первым уроком пандемии для служб ИБ.

Второй урок заключается в том, что быстрый переход на удаленную работу сотрудников банков иногда сопровождался недостаточной заботой о сохранности персональных данных клиентов, которые стали обрабатываться удаленно.

Станислав Кузнецов (Сбербанк). Фото: SOC-Форум

Станислав Кузнецов (Сбербанк). Фото: SOC-Форум

Наконец, третий урок — необходимость повышения внимания к тем вопросам, которыми регулятор управляет с точки зрения ИБ. Например, за последние месяцы 2020 года опробованы такие новинки, как киберучения ЦБ с крупными банками. На них отрабатывались не только варианты взаимодействия отделов внутри банков в случае реализации инцидентов, но и варианты взаимодействия со всеми элементами обеспечения ИБ финансового сектора страны. Как оказалось, работать есть над чем, причем всем, включая обновленный ФинЦЕРТ Банка России.

Финальная часть дискуссии финансистов о борьбе с мошенничеством была посвящена проблеме подмены телефонных номеров. По мнению Станислава Кузнецова, в случае отсутствия такой функции у мошенников ландшафт киберпреступности изменился бы радикально и быстро, а у правоохранителей появились бы новые возможности. И хотя упрек был адресован ведомствам, которые за это отвечают напрямую, он рикошетом попал в представителя ЦБ.

Артем Сычев от ответа не стал уходить, сославшись на то, что ЦБ РФ со «Сбером» в этом вопросе находятся в одной лодке. По его словам, основная причина медленного решения проблемы лежит «в сфере бизнеса» телеком-операторов. Поэтому разговор с бизнесом не получается, а усилия необходимо направить на убеждение представителей соответствующего федерального министерства в том, что проблему надо решать не только переговорами, но и конкретными изменениями в законодательстве, а банкирам есть что предложить в этом плане!

К сожалению, эти меры не решают проблемы граждан, которым звонят мошенники. Страсти накалились, но на этой сессии углубиться в проблему далее не удалось из-за ограниченного времени. Но от продолжения разговора никто из банкиров не отказался. Ждем новостей.