В финальный день XVIII Международного банковского форума «БАНКИ РОССИИ - XXI ВЕК» состоялся Деловой завтрак ГК «Регион» «Цифровой клиент: новые горизонты дигитализации»
Финансовая индустрия России быстро видоизменяет свою инфраструктурную компоненту. За последние годы уже запущены такие решения как «Система быстрых платежей» (СБП), «Единая биометрическая система» (ЕБС), финансовый Маркетплейс, «Цифровой профиль гражданина» и т.д. На стадии пилотных проектов находятся платформы «Знай своего клиента» (KYC) и цифрового рубля.
Все эти и другие инновации, по мнению представителей Банка России, должны устранить цифровое неравенство граждан при получении удаленного доступа к финансовым продуктам любого банка из любой точки страны. Для самих же банкиров появляется возможность при соблюдении существующих регуляторных требований конструировать как новые продукты, так и каналы их продвижения благодаря Open API и маркетплейсам.
В центре всей этой финансовой экосистемы находится ЕБС, которая в комбинации с логином и паролем от Госуслуг (Единой системы идентификации и аутентификации — ЕСИА) позволяет банкам без личного присутствия гражданина открыть ему счет, вклад или предоставить кредит.
Естественно, что в центре внимания участников Делового завтрака в итоге оказалась информационная безопасность ЕБС и специфика защиты биометрических персональных данных в целом.
Понимание проблемы есть
Почетными гостями организаторов Завтрака стали Анатолий Аксаков, Председатель Комитета по финансовому рынку Государственной Думы Российской Федерации, Председатель Совета Ассоциации банков России, Сергей Швецов, первый заместитель Председателя Банка России, Илья Ясинский, Директор департамента финансового мониторинга и валютного контра Банка России и др.
С докладами выступили Станислав Близнюк, Председатель правления «Тинькофф банка», Татьяна Ушкова, Председатель правления Абсолют Банка и другие известные эксперты и чиновники. ИБ-отрасль представляла Наталья Касперская, Председатель Правления Ассоциации разработчиков программных продуктов «Отечественный софт», Президент ГК InfoWatch.
И если первые говорили о трудностях в прохождении в Государственной Думе нормативных актов, регулирующих платформу KYC, кадровом дефиците и о минусах чрезмерно частого обновления цифровых продуктов, то вторые выразили серьезные опасения в соответствии реальной защищенности IT-систем качественному и количественному росту кибератак на них.
Анатолий Аксаков, передавая слово Наталье Касперской, отметил (с 7-й секунды): «Закон о ЕБС находится в постоянном развитии, в него недавно вносились изменения. Благодаря им мы постарались максимально снять риски, связанные с использованием биометрии для оказания финансовых услуг. И, тем не менее, опасения со стороны признанных экспертов в области ИБ продолжают звучать. И эти опасения в принципе справедливые в той части, что утечки биометрических данных в третьи руки могут привести к большим последствиям. Кроме того, обсуждаемые на Форуме темы, связанные с использованием искусственного интеллекта в банках, показали, что некоторые риски кибербезопасности сохраняются».
Три аспекта ИБ
Video Получив микрофон, Наталья Касперская предложила сначала обсудить некоторые общие вопросы, сформировав тем самым понятийное поле: «В отличие от других видов персональных данных биометрические данные неотделимы от конкретного человека: паспорт, например, можно положить в карман, а со своим лицом так поступить невозможно. Поскольку все персональные данные в соответствии с ФЗ-152 хранятся в соответствии техническими и организационными регламентами, создаётся иллюзия, что они надежно защищены от атак извне.
Однако более чем восемнадцатилетний опыт компании InfoWatch доказывает, что внутренние сотрудники, имеющие легальный доступ к IT-системам, т.н. инсайдеры, в состоянии совершить преступление и похитить какую-то часть данных. Поскольку в ЕБС осуществляется централизованное хранение миллионов биометрических слепков, даже небольшая утечка может привести к большим проблемам».
Эксперт на примере эксперимента с сетью камер наружного наблюдения города Москвы доказала, что вероятность такого рода биометрических утечек прямо пропорциональна сумме вознаграждения за слив данных. И возможность утечек из ЕБС не является чем-то специфическим именно для этого IT-решения: человек продолжает оставаться самым слабым звеном в любой ИБ-системе. Пока существуют так называемые «суперадминистраторы», будут и риски.
«Есть и другой аспект, более широкий. Он связан с тем, что публикуемая банками, включая центральный, МВД и другими организациями статистика по мошенничеству в финансовой сфере, на порядки не совпадает друг с другом. Это говорит о том, что отдельные должностные лица иногда более заботятся о чести мундира, нежели о безопасности каждого конкретного гражданина нашей страны и гражданского общества в целом. ИБ — это территория доверия, без объединения усилий и информации от всех заинтересованных лиц, добиться положительного результата крайне трудно. Примеры с только набирающим силу телефонным мошенничеством и эпидемией фишинговых сайтов тому убедительное подтверждение», — продолжила Наталья Касперская.
Наверное, ни для кого в зале не было новостью о существовании в Интернете сервисов, где недорого можно купить практически любые персональные данные. Роскомнадзор успешно борется с одними из них, но другие появляются еще быстрее. И если в продаже нет нужной мошенникам информации, то в ассортименте имеется хакерский инструментарий для самостоятельного взлома IT-систем. Причем эти разработки находятся на высочайшем техническом уровне.
В связи с этим Наталья Касперская озвучила третий основной тезис своего выступления: «Мошенникам доступны все достижения современной инженерной мысли, в том числе в области искусственного интеллекта. На практике это уже вылилось в появление технологии DeepFake, методики синтеза голоса и изображения, основанной на ИИ. Эксперименты исследователей в области ИБ показали: Amazon пропустил 75% случаев пробивания своей биометрической системы со стороны DeepFake, а Microsoft — 66%. Данных по ЕБС, к сожалению, нет. По моему мнению, решения для борьбы с этой проблемой на инфраструктурном уровне еще не созданы».
В ходе последовавшей за выступлением дискуссии выяснилось следующее: далеко не все топ-менеджеры банков отдают себе отчет в том, что существует серьезная разница между технологиями сбора, а также обработки биометрических данных и надежным их хранением. Не взирая на сделанные инвестиции на стороне банков в отдельности, проблема инсайдера в ЕБС рикошетом откликнется на всех участниках рынка. Если подделка обычных бумажных паспортов по определению не может носить массового характера, то появление на рынке миллионов скомпромитированных биометрических слепков вызовет самые серьезные последствия для отрасли.
Выяснилось, что как минимум два крупнейших банка в стране, озаботились проблемой обработки данных у себя с целью противодействия DeepFake, например, с помощью продвинутых систем Liveness Detection. Эти решения, действительно, могут помочь в ряде случаев за счет использования ИИ для обработки объемных объектов. Но эти решения крайне дороги и не доступны остальным банкирам, не говоря об иных участниках финансовой отрасли. Проблема усугубляется проблемой обеспечения доверия к информации, собранной в одном банке, а используемой в другом. На ком и какая при этом лежит отвественность?
И, наконец, в выступлениях банкиров прозвучали нотки сожаления о том, что за долгие годы бизнес так и не научился содержательно общаться со своими IT и ИБ-подразделениями. Одни говорят про деньги, а другие про киловатты или миллионы собираемых в день подозрительных событиях в инфраструктуре. Главный позитивный итог дискуссии в этой связи прозвучал так: «Необходимо чаще собираться вместе!».