Банковское обозрение

Финансовая сфера

  • Опыт Private Banking для критически важной инфраструктуры
12.08.2019 Аналитика
Опыт Private Banking для критически важной инфраструктуры

Важно понимать, что не только собственники бизнеса, но и их ближайшее корпоративное окружение находятся под пристальным вниманием злоумышленников. Поэтому озабоченность служб информационной безопасности банков уже не всегда кажется излишне навязчивой



Апробировано в отечественном private banking

К прямым атакам на внешний и внутренний периметры российские компании сейчас вполне готовы, достаточно давно ориентируясь на отражение именно таких кибератак, которые сейчас и будут использоваться в качестве первых пробных и тестовых для проникновения через их хорошо отработанную, но все же устаревшую защиту. Но не факт, что последующие, гораздо более продвинутые кибератаки они смогут предотвратить. Внедрять более совершенные способы защиты при этом следует с учетом сформировавшегося дисбаланса в нынешней корпоративной стратегии развития российского бизнеса.

Наработки отечественного private banking могут оказаться вполне приемлемым средством осмысления произошедших изменений, они позволяют провести переоценку уязвимостей защиты внешнего и внутреннего периметров с пониманием того, каким образом можно в дальнейшим повысить ее эффективность.

Собственник средних промышленных предприятий с вещественными активами (как раз то состоятельное лицо, с которым предпочтительно устанавливать длительные финансовые отношения) еще с начала 2000-х годов является давним и успешным клиентом российского private banking, из потенциальных VIP-клиентов быстро превратившегося в предпочтительного.

Наиболее состоятельные россияне в верхней части пирамиды состоятельности, представляющие традиционные категории отечественных VIP-клиентов из числа собственников наиболее крупных российских частных компаний, чиновники, а также топ-менеджеры госкомпаний слишком лояльны к собственным финансовым структурам и банкам, в которых они уже обслуживаются, а их привлечение на обслуживание в новый для них банк слишком индивидуально и затратно.

Поэтому private banking был вынужден обратить особое внимание на представителей альтернативных, менее состоятельных категорий VIP-клиентов, прежде всего на частных собственников менее крупных и средних промышленных предприятий, используя более прозрачные и тиражируемые методики привлечения. Для эффективного привлечения и обслуживания такого собственника отечественный private banking перешел на управление не только его личным состоянием, но и его бизнесом, эволюционировав в «программу корпоративной лояльности». Личное состояние и бизнес собственника рассматриваются здесь вместе как совокупный капитал VIP-клиента, что создает хорошие возможности реализации комплексных проектов по обслуживанию капитала, особенно сейчас, в период стагнации.

Соответствующее позиционирование оказалось полезным по отношению не только к другим игрокам банковского сектора, но и к финансовым консультантам, хоть и предлагающим более предпочтительное для состоятельного клиента специализированное обслуживание, но рассматривающих его капитал менее интегрированно. В первую очередь это проявилось при решении сложно структурированных задач, требующих привлечения внешних компаний-контрагентов, а также учета долгосрочных последствий рекомендаций, даваемых клиенту как собственнику бизнеса. Например, при проведении аудита организационно-управленческой структуры бизнеса с его последующей адаптацией к новым финансовым потребностям.

Проводя такой аудит, собственник централизованно замыкает решение не только стратегических, но и оперативных вопросов на самого себя, в лучшем случае — на ограниченный круг лиц, которые не обязательно являются профессионалами, но которым он доверяет. Обычно это родственники, одноклассники или давние друзья, реже — проверенные временем сотрудники или партеры по прошлому бизнесу и лишь в крайнем случае — собственные сотрудники, наемные работники-профессионалы. Несмотря на высокие внутренние издержки на поддержание подобной избыточной и неоптимальной организационно-управленческой структуры, в определенных случаях она вполне успешно обеспечивает устойчивость бизнеса, прежде всего при попытках враждебных поглощений (особенно со стороны государства и государственных корпораций), а также в кризисной ситуации (например, когда собственник бизнеса берет кредит не для всего бизнеса, а для его части, далее списывает кредит и так же поступает с убытками, списываемыми на принудительно банкротящуюся часть структуры бизнеса). В последние годы в связи с непростой экономической ситуацией остается высоким спрос на оптимизацию издержек по содержанию организационно-управленческой структуры.

Отечественный private banking смог предложить своим клиентам вполне конкурентоспособные услуги по оптимизации. Высокая степень доверия со стороны целевого VIP-клиента обеспечила private banking наилучшие возможности эффективного выявления избыточных и неоптимальных элементов в организации и управлении, от которых можно было безболезненно избавиться. Более того, при необходимости private banking мог привлекать для решения отдельных, более специализированных задач внешних контрагентов при сохранении за собой общего контроля за процедурой оптимизации в целом.

На рабочих планшетах персональных менеджеров, с которыми они выезжают к VIP-клиенту, хранятся достаточно важные данные о счетах и операциях тех же VIP-клиентов. Они становятся объектом такой же атаки со стороны злоумышленника, как и любые BYOD-устройства сотрудников других подразделений

Позже у собственника возник спрос на задачи по деофошоризации бизнеса, и вновь потребовалось проводить неполную оптимизацию структуры его бизнеса, где private banking смог в полном объеме адаптировать все свои предыдущие наработки по услугам оптимизации. Затем были объявлены две амнистии капитала (причем последняя еще не закончилась), а также был запущен механизм антироссийских санкций. Это обеспечило отечественному private banking вполне комфортные условия для дальнейшего совершенствования методик оптимизации корпоративной структуры и дальнейшего позиционирования себя в роли основного консультанта не только узкой группы собственников промышленных предприятий, но и других VIP-клиентов, за рамками этой целевой группы, в том числе и не рассматриваемых ранее — из более состоятельных категорий.

Собственники, которые начинали свой бизнес в начале 90-х, достигнув 55–60-летнего возраста, стали постепенно отходить от вопросов оперативного управления, рассматривая в качестве приоритетных задач продажу бизнеса или его передачи по наследству.

Это формирует более массовый спрос со стороны VIP-клиентов, в том числе новых категорий, на услуги по оптимизации организационно-управленческой структуры. Такой спрос сохранится и в ближайшей перспективе. При этом доступ к такой структуре уже подразумевает иную степень доверия собственника к исполнителю.

Практика показывает, что одной лишь подтвержденной квалификации в умении решать сходные задачи для других категорий VIP-клиентов может оказаться недостаточно. Необходимо показать, что новому консультанту можно доверять практически так же, как и его нынешнему подразделению private banking, чего не удавалось ранее. Сейчас это можно осуществить на примере более наглядных и упрощенных тестовых решений, в том числе из другой сферы бизнеса, с предоставлением консультанту частичного доступа к своей организационно-управленческой структуре со стороны клиента, чего также не удавалось ранее. В этом случае новому консультанту предоставляется возможность не только продемонстрировать, что он обладает необходимыми компетенциями, но и показать, что он готов к решению более сложных задач, оправдывая оказанное доверие.

Например, дополнительная защита планшета сестры бывшей жены собственника, которая к тому же до сих пор является главным бухгалтером одного из его предприятий в структуре холдинга, является не просто необходимым шагом в плане обеспечения эффективной защиты внешнего периметра, но и одним из факторов, позволяющих провести последующую оптимизацию, вплоть до ликвидации предприятия, если организовать оптимальную защиту от киберугроз так, чтобы через этот планшет нельзя было получить доступ к информации от других предприятий холдинга.

В конце концов собственник склонен недооценивать уровень киберугроз, что открывает неплохие возможности для соответствующего теста на возможность проникновения через периметр его бизнеса с последующим переосмыслением его составных частей.

Именно поэтому отечественный private banking начинает активно поднимать вопросы переоценки уязвимостей защиты внешнего и внутреннего периметров предприятий критически важной инфраструктуры и промышленности. Цель очевидна — необходимо найти в лице собственника партнера, который будет заинтересован в оптимизации корпоративной структуры для выстраивания системы эффективной кибербезопасности. Привлечь для этого более специализированных внешних контрагентов из сферы ИБ private banking вполне может.

Методики защиты от киберугроз private banking

В России мы до сих пор мы имели дело с различными вариациями проникновения злоумышленников, ориентированными изначально не столько на сам private banking, сколько на более привлекательные корпоративный блок и банковскую розницу.

По сравнению с Европой в России private banking — скорее просто banking. Это менее самостоятельная и автономная структура, обычное подразделение корпоративного или банковского ретейла, в лучшем случае всего лишь одно из множества бизнес-подразделений, которое приносит определенный доход и конкурирует за выделяемые ресурсы внутри банка. Подразделение, прекрасно понимающее, что здесь и сейчас усиливать ИБ можно и самостоятельно, но лучше это делать в рамках общебанковских программ, существенно экономя собственные ресурсы и неторопливо выбирая наиболее подходящие технологии защиты и мониторинга, причем все это за счет средств банка и с одобрения его руководства.

Таким образом, первая брешь, связанная с защитой внешнего периметра private banking, которая выстраивается через защиту периметра всего банка, уже практически ликвидирована. Да, на рабочих планшетах персональных менеджеров, с которыми они выезжают к VIP-клиенту, хранятся достаточно важные данные о счетах и операциях тех же VIP-клиентов. Они становятся объектом такой же атаки со стороны злоумышленника, как и любые BYOD-устройства сотрудников других подразделений.

Поэтому такие устройства вполне привычно и характерными для любого клиентского подразделения банка способами проверяются чуть ли не после каждого выезда персонального менеджера из банка, особенно при его обращении с запросами к корпоративным системам извне. Подобные проверки в private banking являются уже привычным и вполне обыденным делом, а их стоимость лишь незначительно отличается от стоимости аналогичных по другим клиентским подразделениям банка. Именно private banking является инициатором проверок. И, как показывает практика, дело не столько в минимизации рисков, сколько в возможности непосредственно сэкономить на издержках при масштабировании проверок.

Тем не менее остается вторая брешь, это сам VIP-клиент, для которого удобство доступа нивелирует все риски (до сих пор у себя в компании такие випы даже на своем рабочем устройстве обладают правами администратора), с чем практически невозможно бороться. Удобство для клиента соответствует его VIP-статусу.

Если отслеживать атаки на private banking через сотрудников и их устройства еще вполне возможно (как и заставлять их сдавать тесты на знание основ информационной безопасности), то добиться подобной взаимности от VIP-клиента — проблематично! Разве что специальные рассылки и разъяснения, индивидуальные курсы по ИБ. Это эффективная, но пока штучная работа, и, как показало обсуждение на тех же конференциях в начале этого года, лишь паллиатив.

Главное, что четко видно: общий контроль необходимо сохранить за подразделением private banking, которое в наиболее полном виде может не только представить сам периметр, но и описать сопутствующие риски проникновения, причем не ограничиваясь одними лишь предприятиями, а рассматривая корпоративную структуру бизнеса в целом. Это требует понимания того, что из себя представляет организационно-управленческая структура бизнеса собственника и как ее целесообразно изменить. В этом как раз private banking обладает необходимыми компетенциями, позволяющими учесть сопутствующие риски не только по отдельным предприятиям бизнеса клиента, но и по их стейкхолдерам, например членам семьи клиента, имеющим косвенное отношение к его бизнесу.

Даже будучи не самым продвинутым консультантом в области ИБ (разве что в отношении защиты от киберугроз собственного банковского бизнеса), он располагает апробированными методиками, позволяющими при необходимости привлечь внешние компании-контрагенты. Это дает возможность эффективно решать не только частные, специализированные задачи в области ИБ, но и проектировать полноценную защиту от киберугроз всего бизнеса. Кроме того, это представляет собой приемлемый маркетинговый ход, позволяющий усилить доверие и в дальнейшем предложить собственнику решение более интересных для private banking задач по обеспечению прав наследования, проведения амнистии и т.д. Ну а со временем, доказав, что он может эффективно заменить для собственника его нынешнее подразделение private banking, привлечь его на последующее обслуживание как нового VIP-клиента. Остается лишь воспользоваться предоставляемыми возможностями.