Финансовая сфера

Банковское обозрение


  • Кибергигиена для всех
21.09.2023 FinCorpFinRegulationFinSecurityАналитика

Кибергигиена для всех

За полтора года российский private banking научился относиться с уважением не только к вопросам собственной информационной безопасности, но и к практике контроля за ее соблюдением у своих VIP-клиентов


Поделиться с клиентами своим опытом в части кибергигиены и превратить это если не в отдельный, окупаемый консалтинг, то хотя бы во внедрение соответствующих практик в систему поддержки лояльности текущих клиентов как отдельную бизнес-модель, просто напрашивалось. Подразделения private banking успешно задействовали свои давние, еще допандемийные наработки, чтобы помочь нивелировать риски киберугроз своим целевым VIP-клиентам.

Однако сейчас имеет смысл говорить о более представительном продвижения этой банковской модели и на другие клиентские подразделения, а также на наиболее широкий спектр самих клиентов, прежде всего в корпоративном секторе, где просматривающийся клиентский спрос можно и нужно дополнительно стимулировать, а затем удовлетворить. Но одно дело — выстраивать такую бизнес-модель с нуля, когда ресурсов не очень много, а другое — воспользоваться уже готовыми и постоянно совершенствующимися наработками подразделений private banking, вынужденных защищать своих VIP-клиентов уже как объект целевых атак, общее количество и качество которых растет со временем.

Обоснованная необходимость

Еще до пандемии кибергигиена стала рассматриваться в private banking как дальнейшее продвижение долгосрочных услуг по реструктуризации капитала для своих целевых VIP-клиентов. Причем продвижение через абсолютно новый и ранее почти не использованный подход в рамках технологии управления рисками VIP-клиента, хотя фактически весьма действенно презентовалась новая, еще не заезженная «страшилка» (будем называть вещи своими именами), которая могла оказаться для клиента весьма опасной.  

Напомним, сам VIP-клиент — это не столько вершина пирамиды состоятельности, сколько более многочисленная ее середина — собственники и топ-менеджмент бизнеса ближе к среднему, за которых еще можно побороться и привлечь на обслуживание из других банков. Для таких клиентов характерна искусственно усложненная иерархическая, реже сетевая структура собственного бизнеса в виде совокупности функционально связанных российских и иностранных юридических лиц, по отдельности представляющих МСБ. Сам же собственник централизованно замыкает решение не только стратегических, но и оперативных вопросов на самого себя, в лучшем случае — на ограниченный круг лиц, которые не обязательно являются профессионалами, но которым он доверяет.

Несмотря на издержки на поддержание такой избыточной и далекой от оптимальной организационно-управленческой структуры, она вполне успешно обеспечивает устойчивость и непрерывность бизнеса, а подчас и его выживание.  

Одновременно такой собственник традиционно рассматривает и личное состояние, и свой бизнес совместно, в плане наиболее эффективного для себя управления рисками. А это сразу же позиционирует российский private banking на обслуживании состоятельных клиентов не только как физических лиц, но и как собственников бизнеса, в том числе клиентов того же корпоративного блока банка. Поэтому основной продуктового ряда российского private banking со временем стали услуги именно по оптимизации, обеспечивающей долгосрочные отношения с клиентом и гарантирующей эффективное сопровождение текущих и привлечение новых VIP-клиентов.

Однако допуск к операциям по оптимизации потребовал высокой степени доверия к private banking со стороны VIP-клиента, который должен был убедиться, что помимо знаний по реструктуризации банкиры и их контрагенты обладают еще и навыками решения возникающих проблем конфиденциального характера. Хорошим примером, демонстрирующим умение находить эти нужные решения, послужил опыт private banking по минимизации рисков при разделе бизнеса между партнерами и распределении совокупного капитала между супругами при разводе. Позже, в середине 2010-х, когда в условиях стагнации послекризисной российской экономики постепенно стареющие собственники задумались о постепенном отходе от дел, сформировался устойчивый спрос на продажу бизнеса и его передачу по наследству, для чего часто требовалось провести как раз его реструктуризацию, ориентированную на повышение прозрачности текущей организационно-управленческой структуры и ее оптимизацию для нового собственника. Последний уже должен был четко представлять, что именно он покупает или получает в наследство. И даже если собственники бизнеса еще не планировали отходить от дел, в этот момент они просто были вынуждены озаботиться сходным повышением прозрачности по собственным операциям и счетам своего бизнеса в полном соответствии с требованиями по деофшоризации со стороны зарубежных и российских регуляторов.

В любом случае в распоряжении отечественного private banking, быстро нарабатывающего опыт в адаптации различных схем оптимизации, оказался представительный набор аргументов, на сходных задачах демонстрирующих появление серьезных рисков, если клиент немедленно не озаботится управлением рисками в нужном направлении. Особенно ярко это проявилось с введением первых антироссийских санкций, когда клиентам требовалось продвинуть услуги оптимизации, требующей соблюдения высокого уровня конфиденциальности, например при той же репатриации активов обратно в Россию.

Непосредственно перед пандемией у российского private banking появился новый, еще не задействованный ранее аргумент для проведения реструктуризации капитала клиента через оптимизацию организационно-управленческой структуры, связанный уже с обеспечением информационной безопасности VIP-клиентов. Этот аргумент прекрасно вписался в привычные схемы тотальной «продажи страха» VIP-клиентам (политкорректно, безусловно, говорить об «управлении рисками», но будем называть вещи своими именами).

Дело даже не в целенаправленной, многовекторной и сложной атаке, за которой обычно стоят весьма квалифицированные злоумышленники. Достаточно использовать не самый сложный фишинг. Тогда даже не очень подготовленный и квалифицированный неофит-хакер легко получает доступ, например, к не слишком активно защищаемому смартфону бухгалтера в лице бывшей жены и доверенного подписанта по чувствительным для VIP-клиента операциям. Такой злоумышленник может уже не ограничиться стандартной атакой на типичного для фишинга «физика» среднего класса, а догадаться, что через полученный доступ он может атаковать и часть организационно-управленческой структуры всего холдинга. Здесь и возможностей больше, и прибыль от атаки существенно выше, а полученные данные можно за неплохую комиссию передать подготовленным профессионалам, которые более быстро, квалифицированно и эффективно вскроют недостижимую для него сейчас защиту «засвеченного» холдинга. Решение проблемы по защите от подобных киберугроз — все та же привычная оптимизация организационно-управленческой структуры, с почти автоматической ликвидацией соответствующих уязвимостей (конечно, под руководством сотрудников подразделения private banking, а через них и банковских специалистов по информационной безопасности или привлеченных контрагентов).

В итоге эти риски VIP-клиент не сможет игнорировать. Умений и знаний по их минимизации у банкиров и их контрагентов предостаточно. Не будем здесь забывать о высоком уровне квалификации противодействия киберугрозам у банкиров благодаря отдельному дополнительному контролю со стороны регулятора. Так что на фоне успешного решения поставленных задач по оптимизации предварительно напуганного потенциальными рисками киберугроз клиента напрашивается следующий шаг со стороны private banking по продвижению общих задач, обеспечивающих в зависимости от текущего статуса его долгосрочное сопровождение или привлечение на обслуживание.

В 2018-2019 годах такая аргументация была весьма популярной, однако не получила широкого распространения с наступлением пандемии и введением новых санкций.

Более востребованными в этот турбулентный период оказались старые, привычные аргументы, но необходимость мониторинга состояния кибергигиены VIP-клиентов уже нельзя было игнорировать.  

Масштабируем опыт

Начиная с весны 2023 года отечественный private banking снова вернулся к приоритетному использованию аргументов, связанных с кибергигиеной. Здесь для персонального менеджера VIP-клиента в рамках уже упоминавшегося примера с бухгалтером — бывшей женой достаточно изменить акценты в изложении кейса. Стоит обратить внимание VIP-клиента на то, что именно сейчас количество атак начинает постепенно переходить в качество, особенно по тем же начинающим неофитам-хакерам. Более того, простейшие атаки становятся весьма продуктивными из-за массового удара. И как раз при таком росте числа атакуемых компаний МСБ в силу закона больших чисел под атакой может неожиданно оказаться и соответствующее юридическое лицо холдинговой структуры VIP-клиента. Так что отечественному private banking уже можно говорить о более высокой вероятности таких киберугроз, акцентируя внимание VIP-клиента исключительно на них.

Да и продвигать такие услуги по кибергигиене персональному менеджеру гораздо проще. У него появляются неплохие помощники — это внутреннее подразделение по информационной безопасности, которое занимается по отношению к банку сходными задачами, и его вендоры. А консультант из такого подразделения — сейчас именно тот специалист, который может просто и понятно изложить самую сложную проблему непрофессиональному пользователю в лице того же VIP-клиента, как это уже не раз бывало с ним в родном банке, когда он убеждал топ-менеджеров в необходимости внедрения тех или иных средств защиты от вендоров.

Особо отметим, что и те же самые топ-менеджеры стали весьма компетентны в вопросах информационной безопасности. А ведь они традиционно выступают кураторами наиболее значимых для банка VIP-клиентов и наряду с персональными менеджерами могут успешно продвигать продуктовый ряд своего банка, в данном случае — как раз услуги кибергигиены VIP-клиентам.

К тому же все вместе может масштабироваться за счет сходных решений от банковских контрагентов. Не будем забывать, что российский банк изначально находится под жестким контролем регуляторов, так что «средняя температура по больнице», если говорить о защищенности банка, сравнивая ее с защищенностью капитала и даже бизнеса VIP-клиента, которую он может здесь предложить, гораздо выше. Поэтому к советам подразделения private banking VIP-клиент склонен прислушиваться.

Попробуем пойти чуть дальше

А вот перспективы здесь не ограничиваются случаями защиты от простейших фишинговых атак на VIP-клиентов. Зачем банкам останавливаться только на этом? Можно попробовать развернуть более серьезную киберзащиту для тех же VIP-клиентов, но уже привлекая проверенных вендоров в области информационной безопасности и постепенно превращая это в отдельную консультационную услугу подразделения private banking.

Кроме того, по VIP-клиентам private banking фактически ориентируется на киберзащиту и реструктуризацию юридических лиц — МСБ, что позволяет говорить о тех же услугах для подразделения корпоративного бизнеса банка на основе апробированных технологий от private banking и с его непосредственным участием в настоящий момент. Получается, что именно сейчас у банкиров появляется хорошая возможность перейти к этому уже более осознанно, без особых затрат повышая лояльность собственных клиентов. Благо и само подразделение private banking заинтересовано в подобном, прекрасно понимая, что тем самым оно повышает свою значимость внутри банка, и совершенно обоснованно претендуя на дополнительные ресурсы для собственного развития.

Потенциал для такого изменения тактики ведения банковского бизнеса, где через кибергигиену клиентов все оказываются в ситуации win-win, есть, только им еще предстоит воспользоваться.






Новости Новости Релизы