Безопасность как услуга. Почему банк должен заботиться о кибергигиене своих VIP-клиентов?

Безопасность как услуга. Почему банк должен заботиться о кибергигиене своих VIP-клиентов?

В последние год-полтора рост целенаправленных кибератак на российский бизнес закономерно привёл к адекватному предложению средств противодействия со стороны вендоров, активно продвигающих новые решения в области информационной безопасности.

Однако наряду с вендорами к практике непрерывного обеспечения кибергигиены, причём не только собственной, но и в отношении своих клиентов, подошли и российские банки. В самом начале активность проявляли лишь отдельные структурные подразделения направления private banking, старясь помочь нивелировать риски киберугроз только своим целевым VIP-клиентам. Однако сейчас имеет смысл говорить о продвижении этой банковской модели и на другие клиентские подразделения, а также на более широкий спектр самих клиентов, прежде всего в корпоративном секторе. Такая постановка вопроса не столько о том, стоит ли банкирам заботиться о кибергигиене не только VIP-клиентов, но и клиентов вообще, основана на вполне прагматичном подходе, инициированном и весьма эффективно развиваемом их подразделениями private banking. 

ТЕНДЕНЦИИ БИЗНЕСА СКВОЗЬ ПРИЗМУ PRIVATE BANKING

Ничего удивительного здесь нет: ещё до пандемии кибергигиена стала рассматриваться в private banking как дальнейшее продвижение долгосрочных услуг по реструктуризации капитала для своего целевого VIP-клиента. А это не столько вершина пирамиды состоятельности — миллиардеры, миллионеры, представители первой сотни российского Forbes, — сколько более многочисленная её середина — собственники и топ-менеджмент российского бизнеса ближе к среднему, за которых ещё можно побороться. 

Для них характерна искусственно усложнённая иерархическая, реже сетевая, структура собственного бизнеса в виде совокупности функционально связанных российских и иностранных юридических лиц, по отдельности представляющих малый и средний бизнес. При этом собственник централизованно замыкает решение не только стратегических, но и оперативных вопросов на самого себя, в лучшем случае — на ограниченный круг лиц, которые не обязательно являются профессионалами, но которым он доверяет. Несмотря на высокие внутренние издержки на поддержание такой избыточной и не совсем оптимальной организационно-управленческой структуры, в определённых случаях она вполне успешно обеспечивает устойчивость и непрерывность бизнеса, а подчас и его выживание. Например, при попытках враждебных поглощений (в том числе со стороны более крупного бизнеса и государственных корпораций), а также в кризисной ситуации (когда, например, собственник бизнеса берёт кредит не для всего бизнеса, а для его части, далее списывает кредит и так же поступает с убытками, списываемыми на принудительно банкротящуюся часть структуры бизнеса). Поскольку в подобных условиях российский бизнес развивается начиная с 2009 года почти непрерывно, его собственник вполне определился с тем, за что и почему он готов платить, расплачиваясь весьма существенными издержками избыточности и усложнённости за сохранение подобной организационно-управленческой структуры. В том случае, когда всё-таки потребуется сократить подобные издержки, практика показала, что собственнику достаточно ограничиться лишь незначительными, косметическими изменениями. 

Особенно отчётливо это проявилось со временем, когда нарастание внутренней конкуренции и постоянное снижение маржи бизнеса постепенно заставляло его всё-таки заняться оптимизацией своей структуры, при этом отнюдь не отказываясь от неё полностью, лишь аккуратно переходя к менее избыточной и более простой организационно-управленческой схеме. С учётом того что российский собственник при этом традиционно рассматривает свой капитал в плане наиболее эффективного для себя управления и централизации (контролируя и личное состояние, и свой бизнес одновременно), подобная агрегация закономерно привела отечественный private banking к позиционированию не только на обслуживание состоятельных клиентов как физических лиц, но и как собственников бизнеса корпоративного блока банка, превратившись внутри банка в отдельную «программу корпоративной лояльности» для VIP-клиентов. Поэтому основой продуктового ряда российского private banking и стали услуги по такой оптимизации. Они обеспечивают долгосрочные отношения с клиентом и гарантируют эффективное сопровождение текущих и привлечение новых VIPов.

Однако допуск к операциям по оптимизации требовал высокой степени доверия со стороны VIP-клиента, который должен был убедиться в том, что, помимо знаний по реструктуризации, банкиры и их контрагенты обладают ещё и навыками решения возникающих при этом проблем весьма конфиденциального характера. Хорошим примером, демонстрирующим умение ставить и находить эти нужные решения, послужил опыт банкиров по минимизации рисков при разделе бизнеса между партнёрами и распределения совокупного капитала между супругами при разводе. Позже, в начале 2010-х, когда в условиях стагнации послекризисной российской экономики постепенно стареющий собственник задумался о перспективе отхода от дел, сформировался устойчивый спрос на продажу бизнеса и его передачу по наследству, для чего и требовалось провести его реструктуризацию, ориентированную на повышение прозрачности текущей организационно-управленческой структуры и её оптимизацию уже для нового собственника. И даже если собственники ещё не задумывались об этом, они были просто вынуждены озаботиться повышением прозрачности по собственным операциям и счетам своего бизнеса в полном соответствии с требованиями по деофшоризации со стороны зарубежных и российских регуляторов. 

В любом случае в распоряжении отечественного private banking, быстро нарабатывающего опыт в адаптации различных схем оптимизации, оказался и весьма представительный набор аргументов, демонстрирующих на сходных задачах появление серьёзных проблем, если клиент немедленно не озаботится управлением рисками в нужном направлении. Особенно ярко это проявилось с введением санкций, когда клиенту требовалось продвинуть услуги оптимизации, требующей соблюдения высокого уровня конфиденциальности, например, при той же репатриации активов обратно в Россию. 

НА СЦЕНУ ВЫХОДЯТ ХАКЕРЫ-НЕОФИТЫ

Непосредственно перед пандемией у российского private banking появился новый, ещё не задействованный ранее, аргумент для немедленного проведения, связанный с информационной безопасностью VIP-клиентов. Причём этот аргумент прекрасно вписался в уже привычные схемы «продажи страха» VIP-клиентам (политкорректнее, безусловно, «управления рисками»). И дело даже не в том, что общее количество и качество атак на российский бизнес существенно увеличилось, что вызвало ответный интерес в поиске средств защиты с его стороны, сколько в том, что, воспользовавшись всплеском интереса к данной проблеме, private banking весьма умело сделал акцент на определённом, крайне чувствительном для VIP-клиента типе уязвимостей. 

Дело даже не в целенаправленной атаке, за которой обычно стоят весьма квалифицированные злоумышленники. Например, при том же достаточно простом фишинге, получая доступ к не слишком активно защищаемому смартфону бухгалтера в лице его бывшей жены и доверенного подписанта по чувствительным для VIP-клиента операциям, неофит-хакер уже может не ограничиться простой стандартной атакой на типичного физика среднего класса, а понять, что он может атаковать и часть организационно-управленческой структуры всего холдинга. Здесь и возможностей больше, и прибыль от атаки существенно выше. Ну а если неофит вовремя остановится, то он легко сообразит, что полученные данные можно за весьма неплохую комиссию передать более подготовленным профессионалам, которые гораздо быстрее, квалифицированнее и эффективнее вскроют недостижимую для него сейчас защиту засвеченного холдинга. Главное, не пожадничать, чему уже давно учат в даркнете на примере тех же кардеров, которые, массово снимая с засвеченных карт по $10, должны в какой-то момент просто понять, что у них в руках платиновая карта, с которой более квалифицированный злоумышленник может снять и несколько тысяч. Так почему же не продать эту карту долларов за сто, чтоб все были довольны? 

Ну а решение проблемы — всё та же оптимизация организационно-управленческой структуры уже для обеспечения защиты под руководством сотрудников подразделения private banking, банковских специалистов по информационной безопасности или привлечённых контрагентов. 

Что получаем в итоге? Эти риски VIP-клиент не может игнорировать, умений и знаний в их минимизации у банкиров и их контрагентов предостаточно, так что на фоне успешного решения поставленных задач по частной оптимизации предварительно напуганного потенциальными убытками клиента напрашивается вполне обоснованный шаг по продвижению более общих задач, обеспечивающих его долгосрочное сопровождение (в случае текущего VIP-клиента) или его привлечение на обслуживание в банк (если это потенциальный VIP-клиент). В 2018–2019 гг. такая аргументация со стороны российского private banking сыграла свою роль, однако не получила широкого распространения, поскольку с наступлением пандемии и введением новых санкций более востребованными оказались привычные аргументы. 

КИБЕРГИГИЕНА КАК УСЛУГА

Сейчас же private banking снова вернулся к аргументам, связанным с кибергигиеной. И дело даже не в том, что общее количество и качество атак на российский бизнес с начала СВО снова увеличилось. По-прежнему большие деньги любят тишину, особенно когда риски по ним так стремительно растут. Практика показывает, что признаваться в потерях, даже если затем удаётся пропиариться на последующем выстраивании удовлетворительной защиты, отнюдь не выход: репутация для частных банкиров и их VIP-клиентов важнее! Да и российский рынок информационной безопасности сумел приспособиться к новым реалиям. И здесь уже важно, что VIP-клиенты, несмотря на их вроде бы значительный капитал (суммарно и бизнес, и личное состояние), который надо бы защитить, для крупного российского вендора в области кибербезопасности не являются целевыми клиентами, и их защиту проще обеспечить отдельными коробочными решениями для других пользователей! Так что всё дело в том, как именно private banking использует данную аргументацию для собственного продвижения.  

В рамках уже упоминаемого примера достаточно обратить внимание VIP-клиента, что сейчас количество атак сразу же переходит в качество, особенно по начинающим хакерам, неофитам. Число последних за всё время СВО заметно выросло, поскольку для них появилась общая, политически ангажированная цель. И хотя их квалификация не такая уж и высокая и они пользуются стандартными, простейшими технологиями проникновения, например, в виде того же фишинга, для российского private banking и отечественных VIP-клиентов это особенно опасно, поскольку именно эти атаки быстро переориентируются на типичные уязвимости. Более того, эти простейшие атаки становятся весьма продуктивными именно из-за массового удара по площадям со стороны начинающих хакеров, число которых всё возрастает, так что они просто вынуждены искать новые объекты, чтобы не слишком сильно конкурировать друг с другом! И как раз при таком росте числа атакуемых компаний малого и среднего бизнеса, просто в силу закона больших чисел, под атакой может неожиданно оказаться соответствующее юридическое лицо холдинговой структуры VIP-клиента. Последует уже упоминавшаяся атака на его бухгалтера, и отечественному private banking уже можно говорить о более высокой вероятности таких кибератак, специально акцентируя внимание VIP-клиента на них. 

Да и продвигать услуги по кибергигиене персональному менеджеру VIP-клиента сегодня гораздо проще, чем ещё три-четыре года назад. У него появляется неплохой помощник — это внутреннее подразделение по информационной безопасности, которое занимается по отношению к банку сходными задачами, и его вендоры. А консультант из такого подразделения сейчас именно тот специалист, который занимается не просто сходными для VIP-клиента задачами, но может ещё просто и понятно изложить самую сложную проблему непрофессиональному пользователю в лице того же VIP-клиента. И как это уже не раз бывало с ним в родном банке, когда он убеждал топ-менеджеров банка в необходимости внедрения тех или иных средств защиты от вендоров! Особо отметим, что и те же самые топ-менеджеры стали весьма компетентны в вопросах информационной безопасности. А ведь они традиционно выступают кураторами наиболее значимых для банкаVIP-клиентови наряду с персональными менеджерами могут успешно продвигать продуктовый ряд своего банка, в данном случае как раз услуги кибергигиены!

К тому же всё это вместе может масштабироваться за счёт сходных решений от банковских контрагентов уже здесь и сейчас. Не будем забывать и того, что российский банк изначально находится под жёстким контролем регуляторов, так что «средняя температура по больнице», если говорить о защищённости банка, сравнивая её с защищённостью капитала и даже бизнеса VIP-клиентов, гораздо выше! Поэтому к советам подразделения private banking VIP-клиент склонен прислушиваться, тем более если киберзащита его бизнеса также регулируется как объект КИИ. 

Не будем забывать и о наглядности представления для VIP-клиента таких вроде бы внешне простых в разработке, но весьма эффективных в деле фишинговых атак. Теми же технологиями генеративных нейросетей иногда в качестве развлечения пользуется и сам VIP-клиент, и это не вызывает у него никакого отторжения! Для поиска уязвимостей достаточно использовать последние модификации того же ChatGPT при анализе профиля объекта атаки. Например, имея перед глазами список обновлённых в последние полгода нормативных актов, которые необходимо знать тому же бухгалтеру, персональный менеджер, не прибегая к услугам банковского безопасника, сидящего здесь же, рядом, может быстро составить список тем в «письмах радости», на которые этот конкретный бухгалтер в полном соответствии с его публичными данными однозначно отреагирует, открывая заражённое письмо или переходя по внешней ссылке. И всё это в режиме реального времени презентуется последние месяцы VIP-клиентам, доказывая необходимость обратить пристальное внимание на кибергигиену! 

ЧТО ДАЛЬШЕ?

Но здесь особо отметим, что для отечественного private banking основная задача такой презентации ограничивается последующим продвижением других услуг — по оптимизации организационно-управленческой структуры VIP-клиента, и все усилия со стороны банкиров пока направляются в эту сторону. Однако, поблагодарив подразделение private banking за то, что оно в непростой нынешней ситуации ещё раз продемонстрировало свою значимость для банка, имеет смысл, сказав «а», сказать и «б», то есть пойти дальше. 

Защита от фишинга — это защита от наиболее простых атак. Зачем останавливаться только на этом? Можно попробовать масштабировать уже апробированные решения банка и на другие задачи VIP-клиентов. А это уже более высокий уровень их лояльности, причём не только для подразделения private banking, но и всего банка в целом. Ведь по VIP-клиентам private banking ориентируется на защиту и реструктуризацию юридических лиц среднего и малого бизнеса, что позволяет говорить о той же киберзащите и для корпоративного бизнеса. И получается, что именно сейчас у банкиров появляется хорошая возможность перейти к таким услугам уже более обосновано, без особых затрат усиливая лояльность собственных клиентов. 

Мы сформулировали тему этой статьи в её названии: «Почему банк должен заботиться о кибергигиене своих VIP-клиентов?» Но тему можно и расширить, поднявшись на уровень выше: «Почему банк должен заботиться о кибергигиене своих корпоративных клиентов?» Потенциал для такого изменения тактики ведения банковского бизнеса уже присутствует, только им ещё предстоит воспользоваться.