«Кибербезопасность в финансах» — 2023. Что мешает переломить ситуацию в борьбе с социальной инженерией

BIS Journal №2(49)2023

24 мая, 2023

«Кибербезопасность в финансах» — 2023. Что мешает переломить ситуацию в борьбе с социальной инженерией

На форуме «Кибербезопасность в финансах», который прошёл в феврале 2023 года в Екатеринбурге, участники обсудили методы борьбы с кибермошенниками, вопросы защиты интересов потребителей, законодательные инициативы.

Панельная дискуссия «Противодействие мошенничеству и социальной инженерии» с участием Эльвиры Набиуллиной была посвящена итогам борьбы с таким злом, как социальная инженерия. Эксперты попытались понять, что всё-таки мешает всем участникам рынка во главе с регулятором переломить ситуацию в этой области мошенничества.

По данным регулятора, в 2022 году больше половины случаев кражи средств граждан было совершено именно с помощью социальной инженерии. Размер ущерба от действий злоумышленников вырос на 4,29%, до 14,2 млрд рублей.

В целом рост киберпреступности в 2022 году на 80% превысил статистику 2021 года, сообщил председатель комитета Госдумы по финансовому рынку Анатолий Аксаков, который выступил модератором панельной дискуссии.

По его словам, основная причина, конечно, геополитическая. Однако тот факт, что Россия стала продвинутой цифровой страной, также повлиял на количество атак.

Понятно, что компании стремятся как можно с меньшими затратами предоставлять как можно больше финансовых услуг и при этом с точки зрения бизнес-интересов немного тратить на защиту цифровых процессов. Налицо явный конфликт интересов.

Аксаков предложил участникам дискуссии обсудить ряд законодательных инициатив и тех шагов, которые необходимо предпринять, чтобы свести к минимуму киберпреступность. Первый вопрос, который он предложил для обсуждения,— каковы итоги борьбы с социальной инженерией и что мешает добиться перелома ситуации.

 

Кузнецов поведал о хороших и плохих новостях

В телефонном мошенничестве произошли коренные изменения и по направлению противодействия, и по направлению исследования новых инструментов действий наших противников, рассказал зампред правления Сбербанка Станислав Кузнецов.

«Звонки с Украины не прекратились — это плохая новость, — сказал он. — Хорошая новость в том, что почти прекратились звонки из пенитенциарных учреждений (тюрьма, колония, лагерь или иное закрытое учреждение, предназначенное для отбывания уголовного наказания,— прим. ред.).

Сегодня около 92–95% всех звонков в формате телефонного мошенничества совершается с территории Украины. Столицей телефонного мошенничества по-прежнему остаётся город Днепр, где в пике было около 1100 кол-центров, сейчас работает около 150. Всего на всей территории Украины Сбербанк фиксирует 800–900 колл-центров. При этом хорошая новость, по словам Кузнецова, в том, что в банке стали в десятки раз больше знать о работе этих кол-центров.

Зампред Сбербанка рассказал о том, что четыре телекоммуникационных оператора полностью соблюдают недавно внесённые поправки в закон, однако остальные несколько сотен, особенно региональных телекомов, к сожалению, допускают нарушения и продолжают незаконно торговать телефонными номерами, часть которых вообще предоставляется бесплатно. Это, конечно, нарушение закона, Роскомнадзор знает об этих фактах и уже начал штрафовать подобных телеком-операторов. Но эта проблема сохраняет свою актуальность на региональном уровне.

«На повестке дня остро стоит вопрос о том, как объединить усилия, чтобы не допустить перетекания мошенников из одного банка в другой. В этом смысле у нас есть несколько предложений вместе с коллегами из других банков, как это сделать и объединить усилия, — рассказал представитель Сбербанка. — Мы готовы инвестировать и ресурсы, и силы, чтобы создать единый автоматизированный подход, который могли бы использовать все банки. Думаем, что его надо делать на безвозмездной основе, и лучше, если эту работу возглавит Центробанк».

 

Кулик считает, что противоборствующие стороны эволюционируют и так будет всегда

«Есть такое представление, что надо что-то переломать и всем сразу станет лучше. Мне кажется, что это иллюзия, потому что это то же самое, что человечество и болезни — обе стороны эволюционируют всё время», — высказал свою мысль заместитель президента — председателя правления ВТБ Вадим Кулик.

По его словам, есть некоторые задачи, которые надо решить, и это может произойти уже в ближайшее время.

Первое — это создание между участниками взаимодействия — физическим лицом и организацией — доверия. Что имеется в виду? «Иванов должен быть уверен, что он общается с банком ВТБ, а ВТБ должен быть уверен, что общается с Ивановым», — подчеркнул Кулик.

В пандемию многие организации переходили на электронные каналы взаимодействия. Как результат появилась масса способов выудить информацию о физическом лице, в том числе с помощью фальшивых сайтов.

Для того чтобы было понимание, с кем человек общается, нужно доработать систему уже имеющихся государственных сервисов (например, Госуслуги, ЕБС) и донести до физического лица безопасный способ такого общения, сказал представитель ВТБ. Необходимо также составить базу, из которой будет понятна принадлежность телефонных номеров той или иной организации. Кроме того, должна быть решена проблема доставки значимой информации. Сейчас ответственность операторов за защищённость СМС одинаковая, независимо от содержания. Они в принципе не несут ответственности в этом плане, а наверное, должны бы, считает Кулик.

Вторая задача — это онлайн-обмен данными, при котором возможна блокировка подозрительных действий. Для того чтобы блокировка окончательно отработала, нужны будут точечные изменения в законодательстве, чтобы у банков появились права блокировать все подозрительные операции, подчёркивает эксперт ВТБ.

Наконец, «как бы мы ни защищались, если человек после многочисленных хищений опять попадает на уловки мошенников, то без третьей компоненты — образования людей и выстраивания у них определённой формы недоверия к таким способам воздействия на них — не обойтись, этим нужно обязательно заниматься», — говорит Кулик.

Заместитель президента — председателя правления ВТБ рассказал о том, что есть определённый процент клиентов, пусть и небольшой, которые готовы прийти в отделение банка и обливать сотрудников зелёнкой, наслушавшись разговоров о том, что они участники спецоперации по задержанию «ужасных банкиров», которые занимаются коррупционной деятельностью прямо в отделении кредитной организации.

 

Комлев заявил о важности межбанковской связанности операций

«Мы как оператор платёжной системы видим другие аспекты проблемы, в отличие от банков. Важный момент — межбанковская связанность операций, которая не всегда видна кредитным организациям, потому что она очень часто разрывается на уровне снятия наличных и переноса их руками в другой банкомат другого банка. Эти наличные деньги просто не видны», — объясняет своё видение вопроса генеральный директор Национальной системы платёжных карт (НСПК) Владимир Комлев.

Сейчас в НСПК идёт работа над тем, как за счёт машинного обучения, искусственного интеллекта, больших данных связать в одну транзакцию операции, которые на первый взгляд кажутся абсолютно разными (речь идёт о том, когда деньги снимаются со счёта в одном банке и затем кладутся на счёт в другом банке физическим способом, не через электронные каналы). И это составит весомый вклад в борьбу с социальной инженерией, подчёркивает Комлев.

«Я не хочу сказать, что мы научились отслеживать все транзакции, но среди тех, которые мы научились видеть, вероятность попадания близка почти к 100%», — отметил он.

Мошенничество никуда не денется, уверен эксперт. «И пока есть мошенники, они будут совершенствовать свои средства, а мы будем придумывать всё более искусные методы противостояния», — сказал Комлев.

По его мнению, сейчас рынок начинает консолидироваться вокруг понимания того, что проблема не может быть решена отдельно Сбером, ВТБ, НСПК или ФинЦЕРТ. Должна быть единая консолидированная структура, которая максимально технологична, автоматизирована и в состоянии с такими вызовами бороться, резюмировал эксперт.

 

Почему мы не можем переломить ситуацию с социальной инженерией

Аксаков поддержал мысль Комлева о том, что надо объединять усилия по борьбе с социальной инженерией, поскольку одному банку с этим не справиться. При этом он обратился к прошлому опыту, когда банки старались замалчивать эту проблему, меньше говорить о том, что воруют деньги, потому что боялись испугать клиентов, опасались, что те уйдут из банковской сферы в наличные.

«Сейчас во весь голос все кредитные организации говорят об этой проблеме, но при этом социальная инженерия растёт, — подчеркнул Аксаков. — По данным Лаборатории Касперского, в прошлом году полтора миллиарда данных из различных крупных компаний утекло на рынок, что говорит об объёме проблемы, которую необходимо решать».

Депутат задал прямой вопрос главе Банка России Эльвире Набиуллиной: почему нам не удаётся переломить ситуацию?

 

Ситуация неидеальная, но результат есть

«Мы обсуждаем это на разных форумах, боремся и боремся, каждая финансовая организация предпринимает усилия, мы предпринимаем усилия как регулятор. Где же мы всё-таки находимся? Я тоже посмотрела всю статистику, цифры. Такой общий ответ: результат есть, неидеально, но при этом не удалось достичь взрывного роста мошеннических атак, хотя такой риск был», — отметила председатель Центробанка.

По её мнению, в нынешней дискуссии речь идёт о банальной вещи — стакан наполовину пуст или полон. «Анатолий Геннадьевич утверждает, что он наполовину пустой, а коллеги с финансового сектора говорят, что они борются и говорят, что наполовину полный», — подметила Набиуллина.

Что можно увидеть по цифрам? Количество атак растёт, и эта тенденция будет продолжаться. Объём ущерба растёт, но не такими темпами, как количество атак. Успешность атак падает. Потому что если посмотреть удельный вес мошеннических атак к безналичному товарообороту, то он снизился на 25% в этом году.

Среди технологий социальная инженерия продолжает доминировать, хотя её вес несколько снизился: раньше речь шла о двух третях, сейчас они составляют примерно 50% из общего объёма мошеннических операций.

«На мой взгляд, перелома, к сожалению, не произошло, — констатировала глава регулятора. — Но я с Вадимом (Куликом— прим. ред.) не согласна, что это иллюзия, что будет когда-то переломный момент, мы должны его добиться. Приведу пример фальшивомонетчества. В своё время страна почувствовала, что это угроза, применили жесточайшее наказание, все органы власти боролись. Да, оно и сейчас есть, но не является социально распространённым явлением. И мне бы очень не хотелось, чтобы получение финансовых сервисов у людей в голове всё время ассоциировалось с риском мошенничества. Любой звонок может рассматриваться как звонок от мошенников. А у нас сейчас, к сожалению, появилась такая тенденция. И мы обязаны её переломить, и я считаю, что мы можем этого добиться», — высказала своё мнение Набиуллина.

 

Не хватает скорости и высочайшего уровня координации действий

Возникает закономерный вопрос: что необходимо, чтобы ситуацию переломить?

«Мошенники, как всегда, креативны и очень сфокусированы. А мы действуем разрозненно и медленно, потому что в этой борьбе участвуют все: законодатель с законодательной базой, мы с регуляторными и надзорными практиками, банки, операторы связи, правоохранительные органы. Мы научились многие вещи делать быстрее, но всё равно мошенники будут быстрее нас. Поэтому нужна скорость и беспрецедентный уровень координации», — высказала своё мнение председатель Центробанка.

Она выразила удовлетворение тем, что коллеги поддержали идею обмена информацией и что крупные участники рынка готовы в это инвестировать, потому что не все кредитные организации могут создать на своей базе данных модели с ИИ.

«Если вы готовы делиться данными и отработкой моделей — это прекрасно, и мы как регулятор к этому готовы. Потому что критически важны и скорость обмена, и скорость принятия решений. Всё-таки многие атаки идут на крупных участников рынка, но дойдёт до всех, и все должны быть к этому готовы».

 

Кто заплатит за мошенничество?

Модератор панельной дискуссии обрисовал её участникам следующую проблему: «Я перевёл деньги в другой банк, а это оказались воры (операция была мошеннической — прим. ред.). Возникает вопрос о возмещении ущерба. Как вы относитесь к тому, чтобы возместить ущерб или часть ущерба, который понёс ваш клиент, и потом уже самому разбираться с тем, кто украл деньги,— с дроппером».

Владимир Комлев считает, что этот вопрос является болезненным для банков. По его мнению, важность тезиса о том, что должна быть собственная ответственность людей и осознанность в совершении действий, не вызывает сомнений. Финансовая грамотность и понимание того, что ты делаешь, — ключевые вещи. При этом Комлев считает, что не должна возникнуть ситуация, при которой снизится «градус нормальной здоровой ответственности среди граждан». Если человек будет знать, что, сколько бы денег он ни перевёл мошенникам, ему всё равно всё возместят, это навредит.

Кулик, сам определивший свою роль в данной дискуссии как роль «асоциального пессимиста», указал на риск превращения банков в «странные социальные организации».

«Представьте, вы выдали ипотеку, и клиент приходит и говорит: я под социальным давлением взял у вас кредит и возвращать не буду. Мы рискуем превратиться в какие-то странные социальные организации, поэтому правильнее было бы иметь водораздел. Если технологии отработали правильно и у организации есть все следы того, что клиент был многократно предупреждён и отвергал эту помощь в разных формах, тогда я не понимаю справедливости этого возмещения», — объяснил позицию представитель банка ВТБ.

«Если банк виноват в том, что не защитил клиента, банк должен вернуть деньги. Если клиент после всех предупреждений снял деньги и по ведомой только ему логике отнёс их мошеннику самостоятельно, банк не должен нести ответственность», — высказал своё мнение Кузнецов.

 

Набиуллина решила не радовать банки, но порадовать их клиентов

Глава Центробанка чётко обозначила позицию регулятора: «Я не порадую банки. Я считаю, что банки должны отвечать перед клиентами. Банки у нас такие продвинутые, с моделями, с системами антифрод-защиты. Человек более беззащитен перед мошенниками, чем финансовая организация с её мощью».

Кстати, когда человек подпадает под влияние мошенников, это не только вопрос знаний, но и некоторой психологической готовности, человек может быть психологически уязвим в какие-то моменты своей жизни, и не всегда знания спасают, считает Набиуллина.

«Мы с вами знаем немало примеров, когда даже менеджеры продвинутых финансовых организаций попадали на утку мошенников, — подчеркнула она. — Поэтому, помимо финансовой грамотности, необходимо создавать системы специальной защиты, а это могут делать только финансовые институты».

Глава Центробанка уверена, что необходимо принимать соответствующий закон. Он позволит, используя базу данных ЦБ о мошеннических счетах, во-первых, быстрее такой счёт блокировать. Во-вторых, у человека будет два дня, чтобы подумать, переводить деньги на счёт или нет.

«Знаю такие случаи, когда человека увещевают, просят не переводить деньги, а он настаивает. Что в этой ситуации делать? Я считаю, что мы должны думать об этих решениях. Например, если мы знаем, что это сайт мошенников, надо блокировать поступление на него средств. И второе, я знаю, что обсуждаются вопросы страхования киберрисков — это сложный вопрос, сложно оценить риски, но об этом можно думать. Особенно если система антифрода будет создана, страховщикам будет легче оценивать риски», — отметила Набиуллина.

По её мнению, перелома, о котором говорилось ранее, не произойдёт, если не будет достигнут перелом в вопросе по возмещению ущерба клиентам.

«Всё-таки возмещение ущерба банками стимулирует банки более активно заниматься антифродом», — констатировала председатель ЦБ.

В данном случае логика главы регулятора вполне понятна и заслуживает одобрения, на наш взгляд. Потому что банк — это огромная, сильная организация, особенно если речь идёт о тех финансовых учреждениях, которые принимали участие в пленарной дискуссии. Один из них монополист рынка, другой недалеко ушёл от этого. И они имеют огромный потенциал для защиты клиентских средств.

Логика «сам перевёл мошеннику — сам виноват» справедлива только отчасти. Безусловно, нужно думать головой, когда ты совершаешь те или иные операции со своими деньгами, и быть предельно осторожным. Финансовая грамотность нам всем в помощь. Но Набиуллина абсолютно права в рассуждениях о «психологической уязвимости» каждого из нас в некоторые моменты жизни.

Люди доверяют банкам деньги, которые те с готовностью принимают. В таком случае они обязаны выстраивать эффективные системы защиты клиентских средств или признать свою несостоятельность и рекомендовать уходить в кеш.

Возмещение ущерба — это единственный способ стимулировать кредитные организации «заниматься антифродом», здесь регулятор также прав. Только материальный стимул является для банкиров действенным.

Правда, если банки получат право блокировать сомнительные, по их мнению, операции клиентов, есть риск того, что финансовые учреждения начнут усердствовать и заблокируют всё что надо и что не надо, дабы избежать проблем на своей стороне.

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

06.09.2024
«С учётом латентной преступности»
06.09.2024
ФСТЭК напомнил об организациях, которые могут «обезопасить» кадры
06.09.2024
Стартовали Международные игры по кибербезопасности!
06.09.2024
В России появится ИТ-система защиты прав граждан за полмиллиарда рублей
06.09.2024
Минцифры собирает заявки на ИТ-гранты
05.09.2024
АБР не в восторге от инициативы регулирования рынка рассрочки
05.09.2024
Объявлена программа 11-го Форума ВБА-2024 «Вся банковская автоматизация»
05.09.2024
DumpForums в зените? Хакеры заявили об утечке банковской базы данных
05.09.2024
Минпромторг и Минобрнауки начнут регулярно обмениваться данными
05.09.2024
Найти средство против пандемии кибермошенничества

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных