В борьбе с кибермошенничеством нет единого рецепта. Виноваты и сами физические лица, и банки, и ответственные за сохранение должного уровня ИБ. Но, тем не менее, свет в конце тоннеля виден
Несмотря на то, что круглый стол «Киберугрозы и обеспечение информационной безопасности: проблемы и решения» в рамках XVIII Международного банковского форума «БАНКИ РОССИИ - XXI ВЕК», состоялся ближе к финалу этого мероприятия, внимание к нему было повышенное.
Безопасность всегда актуальна
У такого интереса аудитории форума были веские причины.
Во-первых, модератором дискуссии выступила Наталья Касперская, председатель правления ассоциации разработчиков программных продуктов (АРПП) «Отечественный софт», президент ГК InfoWatch. О том, что ей есть, что сказать самой и спросить у других, она уже заявила ранее в ходе Делового завтрака ГК «Регион: «Цифровой клиент: новые горизонты дигитализации».
Во-вторых, в ходе панельной дискуссии «Ключевые вызовы и направления развития финансового рынка» Анатолий Аксаков, председатель Комитета по финансовому рынку Государственной Думы Российской Федерации, председатель Совета Ассоциации банков России, в общении с Эльвирой Набиуллиной, Председателем Банка России, отметил важность темы информационной безопасности, поднятой Натальей Касперской. (27 секунда)
В-третьих, на прошедшем днем ранее круглом столе «Человек и искусственный интеллект: единство и борьба противоположностей» Игорь Ашманов, член Совета при Президенте РФ по развитию гражданского общества и правам человека, президент компании «Крибрум» и Анатолий Козлачков, вице-президент, Ассоциации банков России, пришли выводу о том, что именно сфера банковской ИБ может стать точкой мощного роста использования ИИ. Но есть нюансы. Обо всем этом им было предложено высказаться на круглом столе Натальи Касперской.
И, наконец, состав участников круглого стола говорил сам за себя: по количеству записавшихся на дискуссию он стал лидером всего форума. В числе экспертов на трибуне оказались: Вадим Уваров, директор Департамента информационной безопасности Банка России, Владислав Горкавцев, Заместитель начальника ГУЭБиПК МВД России, Александр Иванов, МВД России, Сергей Велигодский, управляющий директор, начальник Управления противодействия кибермошенничеству Сбербанка, Дмитрий Гадарь, директор департамента информационной безопасности «Тинькофф Банка», Мария Шевченко, председатель Совета директоров «Киви Банка», Сергей Бочкарев, заместитель генерального директора НСПК и Павел Крылов, руководитель направления по противодействию онлайн-мошенничеству компании Group-IB.
Что вошло в повестку дискуссии?
Увеличивающийся с каждым годом ущерб от кибермошенничества вынуждает банки уделять вопросам защищенности и киберустойчивости повышенное внимание, а также стимулирует регуляторов усиливать требования к информационной безопасности в кредитных организациях. Так какие меры по борьбе с кибермошенничеством и перспективы межведомственного взаимодействия стали наиболее актуальными? Какие есть действенные способы противодействия социальной инженерии? Насколько продвинулись процессы импортозамещения программного обеспечения и IT-оборудования?
Понятно, что только этими пунктами дискуссия не ограничилась, накопилось множество нерешенных моментов при наличии высокой скорости изменений, связанных с цифровой трансформацией финансовой отрасли. Одной из таких «неожиданных» проблем стала проблематика сбора, обработки и безопасного хранения, а также использования биометрических данных в рамках ЕБС и конкретных кредитных организаций. Именно здесь свою принципиальную позицию продемонстрировал Игорь Ашманов, вступив в полемику с представителем «Тинькофф Банка», результатом которой стало конструктивное решение о продолжении совместного поиска приемлемого и для банка, и для общества в целом решения проблем безопасности.
К сожалению не все проблемы, поднятые участниками круглого стола, удалось приблизить к подобному финалу. Например, предложение Сергея Велигодского о введении в правовую орбиту «лица, ответственного за борьбу с кибермошенничеством во всех его проявлениях» не нашло ожидаемого им отклика у представителя МВД. По его мнению, всё уже прописано в действующем законодательстве, осталось научиться применять его в полную силу.
А то, что проблемы здесь действительно есть, отметили Дмитрий Гадарь и Павел Крылов. Они довольно много внимания уделили описанию способов коммуникаций между мошенниками, выполняющими разные роли в криминальной индустрии: от найма безработных специалистов, до вывода денег за границу. Это касается и социальных инженеров, и дропперов, и организаторов DDoS-атак. Одной из такой коммуникационных площадок продолжает оставаться платформа Telegram.
Почему об этом зашла речь? Вадим Уваров в своем докладе отметил (с 41 секунды): «Основным трендом в увеличении количества преступлений является социальная инженерия. Ее вклад в объемы операций, совершаемых без согласия клиентов, составляет примерно 66%(1-е полугодие 2020 года) и 51%(1-е полугодие 2021 года). При этом объем операций в рублях только растет: 4,0 млрд. рублей (1-е полугодие 2020 года) и 5,9 млрд. рублей (1-е полугодие 2021 года). Что касается ЦБ, то действенной мерой борьбы является информационное взаимодействие между ФинЦЕРТ Банка России и поднадзорными организациями».
Одной из проблем является то, что несмотря на двукратный рост направляемых Банком России операторам связи номеров для блокировки, появление новых подменных номеров увеличивается еще большими темпами. С блокируемыми по указанию ЦБ мошенническими веб-сайтами аналогичная ситуация. Фишинг процветает.
Ситуация с ПО
Эти другие высказывания экспертов дали основание Наталье Касперской заявить: «У меня есть некоторый скепсис по поводу того, что простые граждане даже после повышения уровня своей финансовой и кибер-грамотности все же смогут сами противостоять столь профессиональному по уровню мошенничеству. Здесь должна увеличиваться роль специализированных компаний и ПО».
А подобный софт, причем отечественной разработки, уже есть. И «Банк Тинькофф» и Сбер создали соответствующие решения, которые в связке с IT-системами операторов связи могут выявлять мошеннические номера и предупреждать клиентов банков о возможных атаках на них. Проблема в том, что подобный софт в силу бюджетных возможностей смогли создать лишь несколько крупных структур.
А вот, что делать остальным банкам? На этом акцентировала свое внимание Мария Шевченко. Отсутствие возможности найма высокооплачиваемых разработчиков приводит к использованию банкирами свободного ПО. Сиюминутные задачи оно действительно помогает решать, однако загоняет при этом в несколько ловушек. Во-первых, действительно больших и комплексных решений на нем не сделать своими силами. А, во-вторых, где гарантии, что в этом ПО нет закладок или того, что оно будет обновляться и развиваться? Поэтому надо всем вместе повернуться в сторону отечественных вендоров в лице, например, Ассоциации «Отечественный софт». Кроме того, близятся сроки окончания процессам ипортозамещения в банках по другим продуктам.
Примерно схожую картину с ПО привел представитель НСПК, когда описывал ситуацию борьбы с недавней мощной DDoS атакой на финансовую инфраструктуру России. По его словам, им пришлось создавать «нейронную сеть», состоящую из людей из разных платежных систем и банков с тем, чтобы разобраться в режиме реального времени, что же на самом деле происходит с платежами, и на кого именно в реальности нацелена атака. Вендоры есть, но к сожалению, подобного решения пока нет.
Что в итоге? Как эффективнее бороться с мошенничеством?
Наталья Касперская на правах модератора подвела первые итоги круглого стола: «Во-первых, рынку необходимо безопасное ПО инфраструктурного масштаба на базе машинного обучения и ИИ с тем, чтобы в реальном режиме времени бороться с фродом и другими видами атак. Во-вторых, наверное, имеет смысл продолжить диалог о необходимости появления в России “единого ответственного за борьбу с киберпреступностью”. В-третьих, было бы неплохо разложить последние преступления на элементы: от утечек данных, до действий конкретных дропкардеров. И по каждому виду мошенничества на этой основе продумать способы реагирования и защиты. В-четверных, финансовому рынку необходим еще более масштабный обмен данными, и лидером здесь должен стать регулятор. И, наконец, пришла пора пересмотреть ответственность операторов связи за подмену номеров и всех остальных за продажу краденных персональных данных».