Собравшиеся обсудили проблемы отрасли и выработали практические меры по снижению масштабов потерь и управлению киберрисками.

О мерах со стороны финансового регулятора

Статистика ЦБ по уровню мошенничества в финансовой сфере удручает. Да, процентная доля социальной инженерии упала. Ее вклад в объемы операций, совершаемых без согласия клиентов, составляет примерно 66% (первое полугодие 2020 года) и 51% (первое полугодие 2021 года). При этом объем операций в рублях растет: 4 млрд рублей за первое полугодие 2020 года и 5,9 млрд рублей за первое полугодие 2021-го.

Количество направляемых ЦБ операторам связи уведомлений для блокировки подменных мошеннических телефонных номеров выросло с 9685 до 17 953 штук за указанные выше промежутки времени соответственно.

По словам Вадима Уварова, директора департамента информационной безопасности Банка России, ЦБ предпринимает решительные действия по изменению ситуации. Так, совестно с Минфином ЦБ разработал проект закона о внесении изменений в ФЗ-161 «О национальной платежной системе» в целях предоставления доступа МВД к базе данных “операций без согласия” для получения в рамках информационного обмена на ранней стадии данных, которых им не хватает для принятия решения о своевременном возбуждении уголовных дел, либо изменений в рамках уже возбужденный дел. Сейчас проводится процедура межведомственного согласования с МВД.

Вадим Уваров (Банк России). Фото: Олег Зубко. Ассоциация Банков России

Огромное внимание регулятор уделяет практико-ориентированному обучению собственных сотрудников, представителей правоохранительной системы и специалистов в области ИБ поднадзорных организаций. Прошлые раунды показали несомненные плюсы, поэтому в четвертом квартале 2021 года стартует новый курс для представителей МВД.

Кроме того, Федеральным законом от 01.07.2021 № 250-ФЗ в ряд документов внесены изменения, согласно которым Банк России сможет инициировать досудебную блокировку сайтов, рекламирующих финансовые пирамиды, вводящих клиентов кредитных или некредитных финансовых организаций в заблуждение сходством доменных имен, оформлением или содержанием, предлагающих финансовые услуги, которые оказывать не вправе.

Новый механизм с 1 декабря 2021 года позволит финансовому регулятору передавать списки мошеннических интернет-ресурсов в Генеральную прокуратуру, у которой есть законные полномочия направлять предписания об их внесудебной блокировке в Роскомнадзор. Блокирование будет осуществлено в течение нескольких дней. Раньше эта процедура могла занимать месяцы.

По данным Вадима Уварова, с момента начала эксперимента в рамках этого законопроекта, с августа 2020 года, в Генпрокуратуру отправлено около 10,6 тыс. адресов мошеннических сайтов. Принятый закон также дает регулятору право обращаться в суд с заявлением об ограничении доступа к ресурсам, распространяющим вредоносное ПО. Дополнить озвученные данные можно цитатой из сообщения Банка России от первого июля 2021 года: «Онлайн-мошенники особенно активизировались во время пандемии COVID-19, так как граждане предпочитали получать услуги и сервисы в основном в дистанционном формате. За первый квартал 2021 года было выявлено 124 нелегальных форекс-дилера, 85 финансовых пирамид и 144 нелегальных кредитора. В целом, около 45% нелегальных участников финансового рынка и финансовых пирамид действуют в интернете».

При этом Банк России пользуется статистической информацией, получаемой им от поднадзорных организаций.

О мерах со стороны МВД

На вопрос Натальи Касперской, модератора круглого стола, председателя правления Ассоциации разработчиков программных продуктов «Отечественный софт», «Какой статистикой пользуется МВД?» Владислав Горкавцев, заместитель начальника ГУЭБиПК МВД, ответил: «Государственной, в основе которой лежит количество возбужденных уголовных дел. За восемь месяцев 2021 года возбуждено уже более 358 тыс. уголовных дел, рост к аналогичному периоду 2020 года составил около 13%. По линии “экономики” возбуждено порядка 20 тыс. дел, рост составляет почти 70%».

Наталья Касперская (InfoWatch). Фото: Олег Зубко. Ассоциация Банков России

Какие сложности возникают у МВД? Это огромные потоки информации, которые без помощи банковского сообщества министерству обработать крайне сложно. Помощь от финансистов Владислав Горкавцев ожидает и на стадии доследственной проверки, потому что, когда возбуждается уголовное дело и уже может быть применен весь комплекс оперативно-следственных мероприятий, необходимо быстро «поймать» деньги до того, как они уйдут, чтобы у потерпевшего была возможность их себе вернуть.

«А сколько удается сейчас вернуть похищенных средств?» — попросила уточнить цифры модератор. «По линии “экономики” вернули по возбужденным делам порядка 10 млрд рублей, по уголовным делам ситуация похуже вследствие увода наличных денег мошенниками в теневой оборот», — констатировал спикер из МВД.

На вопрос модератора о роли повышения финансовой грамотности в целях борьбы с мошенничеством Владислав Горкавцев ответил: «Можно сделать хоть 10 ступеней технической защиты, но если человек искренне заблуждается, то он пройдет весь клиентский путь и потом своими собственными руками снимет деньги или переведет их мошенникам. Здесь необходимо плотно работать с населением, повышая его информированность и грамотность, в том числе и тогда, когда человек приходит в отделение банка и заключает там некий договор. Клиенту обязаны сказать о наличии целого спектра рисков, ему должны сказать, что банк гарантирует чистоту сделок и их прозрачность и сделать это не при помощи десятка листов с мелким шрифтом, а устно и доходчиво. Например, банк должен заранее договориться с клиентом о том, что сначала в подозрительной ситуации будет автоматически заблокирован счет, а уж потом клиент будет надлежащим образом проинформирован об этом. Это поможет несколько успокоить телефонных мошенников, а для этого нужна комплексная работа внутренних служб банков».

Понятно, что сказанное относилось не только к социальной инженерии, но и к финансовым пирамидам, подпольным казино и т.д.

Что предлагают банкиры?

Сбербанк собирает свою собственную статистику как по жалобам клиентов на свершенное мошенничество, так и по пыткам его совершить, и доля последних гораздо выше, чем совершенных преступлений. По оценке Сергея Велигодского, управляющего директора, начальника управления противодействия кибермошенничеству Сбербанка, объем кибермошенничества в целом по банковскому сектору за 2020 год составил около 60 млрд рублей. При этом ни у кого в стране нет общей картины по мошенничеству.

Александр Иванов (МВД), Сергей Велигодский (Сбербанк). Фото: Олег Зубко. Ассоциация Банков России

Но цифры — это не все. Главное — каковы драйверы роста. Если вести отсчет с 2018 года, «мы все вместе ситуацию упустили», так как именно с этого года началось массовое использование IP-телефонии и злоумышленники стали активно обзванивать жертв с помощью подменных номеров. Сбербанк оценивает как неэффективную меру передачу для блокировки номеров операторам связи, а сам он передает ежегодно порядка 100 тыс. записей. Это не работает, потому что на той стороне новых номеров — как «фантиков у дурачка».

Более или менее работает схема построения общей с операторами связи IT-платформы, выявляющая на их стороне мошеннические звонки и учитывающая эти факты в антифроде Сбербанка. Аналогичную систему удалось запустить в Тинькофф Банке, о чем позже подробно рассказал Дмитрий Гадарь, директор департамента информационной безопасности Тинькофф Банка.

Что далее? По мнению Сергея Велигодского, проблема телефонного мошенничества уже несколько лет обсуждается на уровне федеральных органов исполнительной власти, но решение так и не принято. Причина тому — технологии ушли вперед настолько, что существующая нормативная база устарела примерно лет на 10. Причем страдают не только банкиры, достаточно вспомнить истории о «минировании» школ, офисных центров и т.д.

Проблема в том, что отрасль IP-телефонии развивалась стихийно, ее регулированием никто не занимался и сейчас созданы огромные инфраструктуры IP-операторов, которые зарабатывают на пропуске трафика серьезные деньги. Причем некоторые IP-операторы созданы только для того, чтобы прогонять через себя «черный и серый» трафик. Минцифры пытается как-то эту ситуацию исправить, но пока

получается так себе. Поэтому все чаще вносится предложение создать в стране наделенного нужными полномочиями «главного человека по борьбе с мошенничеством».

Куда деваться банкирам? Например, интегрироваться со Сбербанком или Тинкофф Банком. При этом в отличие от практики ЦБ оба этих банка не занимаются блокировкой номеров, происходит исключительно информирование клиентов банка, поэтому никакой статистики по этому вопросу нет. Известно только, что Сбербанк выявляет в сутки около 8 млн опасных событий, с которыми службе ИБ необходимо работать.

Что касается НСПК, то в отличие от банков у платежных систем несколько иной набор рисков. Например, это мощные DDoS-атаки, способные практически полностью парализовать платежный сегмент. Решение здесь лежит исключительно в области применения ИИ, который позволил бы банкам совместно с НСПК в режиме реального времени минимизировать подобные угрозы.

Что касается ИИ в банках, то с участием экспертов из зала состоялась содержательная дискуссия о рисках, возникающих в этой связи. Один из них — массовое использование Open Source-решений от американских гигантов Facebook и Google. Проблем здесь две.

По мнению Марии Шевченко, председателя совета директоров Киви Банка, следует обратить внимание на риски закладок в этом ПО и на то, насколько вероятно, что сообщество разработчиков вокруг этих продуктов стабильно и готово продолжать их совершенствовать. Также очень велика роль верифицированных датасетов для обучения ИИ. А то, что чувствительных проблем здесь достаточно, показал подробный разбор некоторых из них на одной из предыдущих сессий Форума представителем IBM.

Мария Шевченко (Киви Банк). Фото: Олег Зубко. Ассоциация Банков России

Масса нерешенных проблем и с законодательным регулированием рисков ИИ, а также с формированием морально-этического кодекса применительно к киберфизическим устройствам. Действенной мерой в этом направлении могло бы стать более плотное взаимодействие финансистов с представителями Ассоциации разработчиков программных продуктов «Отечественный софт» и Совета при Президенте России по развитию гражданского общества и правам человека. ИИ всегда связан с большими массивами данных, затрагивающих едва ли не каждого гражданина страны. Обеспечение их ИИ-безопасности, так же, как и в случае с социальной инженерией и биометрической идентификацией в рамках ЕБС, является системной проблемой, требующей комплексного решения.

По итогам круглого стола Наталья Касперская отметила: «Одним из важных итогов дискуссии является запрос на увеличение масштабов информационного обмена между участниками рынка, а также на внедрение учета лучших практик борьбы с каждым из компонентов современных рисков ИБ, естественно, с привлечением отечественных вендоров и экспертов в области ИИ».