В настоящее время банковское сообщество испытывает постоянно растущее давление, связанное с необходимостью соответствовать требованиям регулирующих органов, поддерживать высокий уровень операционной эффективности и стабильности, а также увеличивать привлекательность банков. В быстро развивающейся экономической среде появляются новые вызовы, связанные с динамикой внешних угроз, появляются новые технологии, блокчейн, а также новые виды атак. В условиях растущего количества разнообразных компьютерных атак и киберпреступлений, повышенного интереса преступников к счетам клиентов и прочей конфиденциальной информации участники кредитно-финансовой сферы больше не могут позволить себе заниматься информационной безопасностью эпизодически. Чтобы обеспечить сохранность и защиту интеллектуальной собственности, средств клиентов и самих финансовых организаций, конфиденциальной клиентской информации и другой информации, имеющей критически важное значение для эффективного ведения бизнеса, необходимо иметь комплексную стратегию в сфере безопасности. Кроме того, перед лицом такой серьезной угрозы банковское сообщество должно объединить свои силы и разработать совместные действия по борьбе с динамично развивающейся индустрией киберпреступников.

Присутствие представителей финансового сообщества позволило создать довольно разностороннюю дискуссию и продемонстрировать различные подходы и точки зрения по обсуждаемой проблематике. Благодаря участникам, представляющим интересы разных сторон (бизнеса и регуляторов), дискуссия получилась сбалансированной и информативной. На ней были затронуты следующие основные вопросы: угрозы для кредитно-финансовой системы; современный профиль кибератак; уровень защищенности крупных финансовых институтов; информационный обмен между игроками на международной арене.

В сессии были отражены основные аспекты, определяющие понятие кибербезопасности. Большее внимание было уделено анализу основных угроз, с которыми сталкивается банковское сообщество, была выделена роль социальной инженерии, также была подчеркнута необходимость создания защищенных технологий и их внедрение в повседневную деятельность для того, чтобы порог опасности все-таки был выше, чем он есть на сегодня.

Основные выводы, прозвучавшие в ходе дискуссии

Участниками были выделены основные тренды по деятельности киберпреступников.

Первый тренд — нефинансовая мотивация преступников. Ранее основной мотивацией для большинства организованных преступных группировок была финансовая. Однако сейчас нужно отметить, что на территории России появились нефинансово мотивированные группировки, основная задача которых — кибершпионаж финансовой отрасли (получение информации о финансовой элите страны, VIP-клиентах, платежах госкомпаний).

Второй тренд — рост диверсионных атак. Если раньше злоумышленники ограничивались только кражей денежных средств, то сейчас после шпионажа либо хищения производится диверсия с целью уничтожения инфраструктуры и доказательной базы. В итоге банки вынуждены заниматься восстановлением работы инфраструктуры, а не расследованием инцидентов.

Третий тренд — новые способы фишинга. Банки должны использовать удаленную идентификацию клиента, идентифицирующую вредоносное программное обеспечение.

Четвертый тренд — неналаженное международное сотрудничество. Это большая проблема, потому что группировки этим пользуются, выбирая конфликтующие страны. (Илья Сачков, основатель и генеральный директор Group-IB)

Достаточно много внимания уделено такому виду мошенничества, как социальная инженерия, — когда мошенники связываются с клиентами банка и под различными предлогами вынуждают их отдать свои секретные пароли, коды SMS, которые используются для подтверждения. Особенно интересен тот факт, что появляется новый вид мошенничества — самопереводы — когда мошенник ничего у клиента не забирает, но вынуждает клиента перевести куда-то деньги по разным причинам. Такие проблемы могут решаться только путем роста грамотности клиента, а также работы правоохранительной системы. (Сергей Лебедь, руководитель службы кибербезопасности ПАО Сбербанк)

По мнению регулятора, все банки в обязательном порядке должны заниматься антифродом, так как любая транзакция имеет две стороны — банк получателя и банк отправителя и, соответственно, антифрод должен быть на обеих сторонах транзакции. Новый законопроект, который прошел три чтения в Государственной Думе, содержит механизм реализации информационного обмена. Технически Центральный банк к реализации этой задачи будет готов к концу этого года, и тогда у банков появится возможность легально осуществлять такой информационный обмен и подгружать эти данные в автоматизированные системы. (Артём Сычёв, и. о. директора департамента информационной безопасности Банка России)

Отмечено, что достаточно большой процент всех атак, происходящих в мире, финансируется государствами. Это очень серьезный аспект, потому что вкладываются большие инвестиции. Приход государственных денег в сферу информационных нападений вызывает опасения у финансового сектора, так как у государственных структур совершенно другие цели, они совершенно по-другому работают, у них совершенно другие метрики работы.

Уровень угрозы в инфраструктуре достаточно высок: клиенты сильно недофинансировали свою информационную безопасность, и работа сегодня ведется на начальной стадии развития информационной безопасности в этой отрасли. В связи с этим в финансовом секторе необходим информационный обмен, необходимо подтягивать друг друга в образовательном смысле по системе вирусов, делиться информацией.

Единственный способ борьбы с новыми видами кибератак — это информационный обмен. Информационный обмен важен не только внутри страны, но и за пределами Российской Федерации. В связи с чем отдельное внимание можно уделить подписанию на Форуме соглашения между центральными банками Российской Федерации и Казахстана об информационном обмене. Такая же работа проводится с другими странами Евразийского Союза. На подходе Белоруссия, чуть попозже — Киргизия и Армения.

Одним из ключевых вопросов, который обсуждался экспертами, было создание защищенных технологий и внедрение средств защиты в банках. Так как согласно опросам только 50% банков считают вопросы кибербезопасности лидирующими технологиями, на которые они хотели бы обратить внимание. (Игорь Качалин, заместитель начальника Центра защиты информации и специальной связи ФСБ России)

Практически все проверки, которые сейчас проводит ЦБ, включают в себя и проверку с точки зрения выполнения требований и нормативных документов Банка России в области информационной безопасности. На сегодняшний день нет ни одной кредитной организации, которая полностью соответствует всем требованиям. Проверки показывают, что на самом деле в кредитных организациях не все так плохо; есть замечания, но эти замечания, как правило, носят некритичный характер.

Центральный банк готовит новый документ, на основании которого можно будет сделать вывод, насколько правильно кредитная организация оценивает свои операционные риски и формирует для этого соответствующие условия.

Центральный банк также видит для себя приоритетными вопросы, связанные с созданием автоматизированных систем с использованием отечественных средств безопасности.

Были обсуждены вопросы, связанные с искусственным интеллектом и его применением в области безопасности. По словам Дмитрия Гадаря, вице-президента — директора департамента информационной безопасности АО «Тинькофф Банк», в ближайшем будущем многие перейдут на средства защиты, основанные на искусственном интеллекте. На сегодняшний день есть несколько механизмов машинного обучения, однако они не работают из-за наличия ложных срабатываний. Если количество таких срабатываний становится запредельно большим, то система становится практически бесполезной.

Другой интересный тренд в области развития технологий — поведенческий анализ пользователей (user behavior analysis) — он изучает отклонение от нормального поведения пользователя; например, скорость движения мыши или скорость перепрыгивания между полями на страничке интернет-банка — они легко профилируемы, и поэтому можно эффективно построить поведенческий анализ и, соответственно, отловить вредоносные программы с учетом настроения клиента, отслеживая его поведенческий анализ или клавиатурный почерк.

Оценивая перспективы машинного обучения для повышения информационной безопасности, не стоит забывать, что у злоумышленников есть точно такой же инструмент, и зачастую он работает лучше. Например, злоумышленники используют машинное обучение, чтобы обмануть машинное обучение, и это крайне эффективно работает.

Автор:

Марина Валерьевна Утевская, кандидат экономических наук, доцент кафедры корпоративных финансов и оценки бизнеса Санкт-Петербургского государственного экономического университета

Экспертные аналитические заключения по итогам сессий деловой программы Форума и любые рекомендации, предоставленные экспертами и опубликованные на сайте Фонда Росконгресс являются выражением мнения данных специалистов, основанном, среди прочего, на толковании ими действующего законодательства, по поводу которого дается заключение. Указанная точка зрения может не совпадать с точкой зрения руководства и/или специалистов Фонда Росконгресс, представителей налоговых, судебных, иных контролирующих органов, а равно и с мнением третьих лиц, включая иных специалистов. Фонд Росконгресс не несет ответственности за недостоверность публикуемых данных и любые возможные убытки, понесенные лицами в результате применения публикуемых заключений и следования таким рекомендациям.