28 сентября, 2023

Кибербезопасность в новых реалиях

Деловую часть XX Международного банковского Форума открыла сессия «Кибербезопасность в новых реалиях: Защищенный искусственный интеллект и квантовые технологии». Модератор дискуссии Артем Калашников (Газпромбанк) предложил участникам сессии поговорить об опыте использования искусственного интеллекта (ИИ) в банковской сфере, перспективах его применения и роли и влиянии ИИ на повышение кибербезопасности. 

 

ИИ помогает правильно выстраивать безопасность

Начавший дискуссию руководитель кибербезопасности АО «НСПК» Артём Гутник отметил высокий уровень цифровизации России. Он считает, что сфера применения ИИ также широка. Искусственный интеллект уже зарекомендовал себя в тех системах, где необходимо аккумулировать большое количество разных признаков, в том числе в области ИБ. В целом ИИ   это довольно крупная область новых технологий. Отдельные важные элементы ИИ уже не первый год используются в банковской сфере, например, machine learning, что позволяет строить прогнозы и выпускать новые достойные продукты.

«ИИ зарекомендовал себя в тех системах, где необходимо аккумулировать большое количество разных признаков, анализировать их и делать выводы, поэтому он и помогает правильно выстраивать безопасность. Например, в антифрод-системах ИИ довольно успешно может прогнозировать поведение пользователей и в случае его отклонения отбраковывать такую транзакцию», — объяснил он.

При этом, как и любая технология, ИИ может использоваться как во вред, так и во благо. «Например, использование цифровых двойников, которые совсем недавно появились и всё больше охватывают мир, считает эксперт. Злая часть цифрового двойника — это deepfake, который тоже существует и его становится всё больше». Поэтому, несмотря на огромную пользу, которую приносят новые технологии, относиться к ним нужно очень осторожно.

 

Искусственный интеллект — новый пузырь

Эмоциональное выступление президента АО «Крибрум» Игоря Ашманова охватило широкий круг вопросов информационной безопасности и искусственного интеллекта. Эксперт подробно остановился на рисках использования ИИ, в частности, в банковской сфере. «Искусственный интеллект — новый пузырь со всеми его признаками, третий в моей многолетней практике», считает спикер. — «Его раскручивают журналисты, инвесторы, маркетологи и некоторые банкиры». ИИ — любая программная система, имитирующая когнитивные функции человека. Это не обязательно machine learning, это и алгоритм Т9 и даже калькулятор. Единственный в мире искусственный интеллект — сам человек. В него ИИ заложен учителями и средой.

Банки активно используют ИИ. Например, технология применяется в работе чат-ботов для снижения нагрузки на контакт-центры, для систем скоринга, систем обнаружения нарушения закона 115-ФЗ и т. д.

«Можно было бы думать, что всё хорошо, банки внедряют ИИ, значит, они инновационные и т. д. Но если брать по концовке — всю цепочку — то за последние 2-3 года у граждан украли сотни миллиардов рублей с помощью банков. Поэтому сказать, что там сделана система безопасности, которая это предотвращает, нельзя», — полагает Игорь Ашманов. Генеративные системы ИИ, построенные с помощью машинного обучения на больших языковых и графических моделях и внедряемые банками, — дань моде и рациональные соображения. 

«Банк, который гонится за статусом инновационного и бешено внедряет ИИ, притворяется ИТ-компанией, превращается в посредственную ИТ-компанию. Банк зависит от лицензии, он сильно и ограничен требованиями регулятора», — считает спикер. Средний банк, который берется за разработку ИИ, не может конкурировать с зарплатами ИТ-компаний и технологических гигантов. Значит, он нанимает специалистов среднего уровня для разработки посредственных продуктов вместо того, чтобы заниматься финансовыми продуктами». История банка как экосистемы — странная, продолжил докладчик. Он полагает, что для экосистемы нужны другие элементы ДНК, иной подход к B2C, которых в банке ни у кого нет.

ИИ в России — бутафория, поскольку сборка систем ИИ ведется путем крупноузловой сборки на основе западных движков, а отечественных разработок ИИ практически нет. Причем за основу моделей берутся устаревшие версии ИИ, которые западные технологические компании выкладывают для обучения и привлечения специалистов, а отечественные разработчики лишь активно скачивают их в собственных целях. Эксперт отметил отсутствие реальных компетенций у сборщиков таких систем, которые не понимают всех рисков и угроз, скачивают чужие обновления и дата-сеты для обучения, хотя в них часто заложены ошибки. Скачанные opensource нейронные библиотеки и фреймворки часто содержат многочисленные закладки, полагает Ашманов.

Использование открытого ПО содержит высокий риск, включая угрозы нулевого дня. Эксперт напомнил про недавнюю утечку данных из облачного хранилища репозитория AI GitHub компании Майкрософт. «Такие истории будут происходить всегда», напомнил докладчик. Он обратил внимание, что система, построенная на основе глубоких нейронных сетей и больших данных, представляет собой «черный ящик», контроль за которым невозможен. «Мы не знаем, как принимается решение, невозможно пройти в отладчик в отличие от систем, построенных на правилах», — отметил президент АО «Крибрум». «Даже разработчик общается с большой системой как с "черным ящиком"».

Контроля за ИИ нет, по его мнению, потому что нет критериев, в т. ч. критериев корректности. Например, понятно, что такое хороший чат-бот и что он должен, однако чего он не должен делать — неизвестно. Эксперт отметил, что Технический комитет по стандартизации №164 «Искусственный интеллект» (ТК 164) занимается разработками стандартов ИИ, безопасности и функциональной корректности. В июле 2023 г. были приняты 50 стандартов, по большей части они охватывают области медицины и создания БПЛА, вводят термины и понятия. Однако критериев безопасности нет.

Эксперт привел многочисленные примеры некорректной работы скоринговых систем или чат-ботов, в результате действуй которых нарушаются права человека. Например, он не может выйти на связь с оператором банка или оспорить решение ИИ, на основании которого была отклонена заявка на кредит. «Это риски для репутации и удар по банковской лояльности», — считает Ашманов, поскольку не прошли годы, чтобы понять верность принятого ИИ решения и накопить нужный опыт. Есть примеры и нового типа сговора, в результате которого корректируются критерии запроса и клиент получает положительный ответ ИИ. Таким образом, снимается и размывается ответственность разработчиков системы, эксплуатантов и сотрудников финансовых организаций.

Сегодня, по мнению спикера, биометрические данные не защищены должным образом и, в отличие от персональных данных, их невозможно сменить. При этом модели угроз меняются с мошенничества на терроризм. Поэтому любая утечка данных представляет смертельную угрозу, особенно на фоне отсутствия закона об оборотных штрафах за утечки персданных. Перед банками стоит риск выбора неверных приоритетов, сейчас «много пустых обманок и фальшивых целей». 

 

Своих технологий не хватает

Константин Панцерев (СПбГУ) во многом согласился с Игорем Ашмановым. Он отметил, что ИИ — группа технологий, которая способна имитировать действия человека, решать задачи, это искусственные нейронные сети. Бум ИИ начался с 2010-х гг. и связан с глубинным обучением. Многие развивающиеся страны предположили, что с помощью ИИ они способны решить проблемы и обеспечить ускорить социально-экономический рост. С 2018 г. более 30 стран мира приняли стратегии развития ИИ на государственном уровне и придают развитию искусственного интеллекта большое значение. Не осталась в стороне от процесса и Россия. В стране активно развиваются голосовые чат-боты, кредитный скоринг, ведутся исследования в сфере эмоционального ИИ с целью оценки эмоций клиентов финансовых организаций. Однако повсеместное применение ИИ создает трудно прогнозируемые угрозы. Необходимо повышать уровень информационной безопасности и защищенности, учитывая, что разработки технологий ИИ идут впереди, а после над ними надстраиваются процессы ИБ.

«В основном мы работаем на основе западных фреймворков», — отметил Константин Панцерев. Отечественные специалисты оттачивают мастерство на западных open source платформах, своих технологий не хватает. Для развития отечественных систем ИИ, укрепления суверенитета, необходимы финансовые средства и технические решения. Нейронные сети требуют мощной материально-технической базы при разработке и обучении ИИ с нуля. Далеко не каждая компания может иметь такое оборудование, полагает эксперт. Нужны ИИ-лаборатории для разработки отечественных решений таких задач, расширение и создание собственных дата-сетов, что скажется на информационной безопасности компаний и России в целом, считает докладчик.

Несмотря на трудности, объем российского рынка искусственного интеллекта сейчас стабильно растет, в 2022 г. он составил 650 млрд рублей. Планируется, что к 2025 г. ИИ принесет российским компаниям порядка 1 трлн рублей. Правительство России разрабатывает новую стратегию развития ИИ до 2030 г. и планирует вложить в него значительные средства.

 

Идем ногу с мировыми тенденциями

О второе стороне поставленного для обсуждения на сессии вопроса квантовых технологий рассказал Антон Гугля (QApp) в докладе «Квантово-устойчивая защита данных финансовой отрасли». Он отметил активное развитие квантовых технологий и создание нового класса устройств. Квантовые компьютеры созданы в России и мире. Отечественный 16-кубитный квантовый компьютер сегодня решает неиндустриальные задачи. В мире есть техника кратно мощнее. Квантовые компьютеры могут применяться бизнесом для вычислений, моделирования сложных систем для решения разных задач. Их необязательно покупать — многие компании предлагают облачный доступ для вычислительных экспериментов.

Квантовые угрозы — это новые риски, при которых злоумышленник будет использовать квантовый компьютер для атаки на традиционные системы защиты данных, в т. ч. для перехвата данных длительным жизненным циклом и их расшифровкой в будущем.

Эксперт отметил, что ведущие мировые державы включают квантовые угрозы в стратегии информационной безопасности и начинают апробацию квантово-устойчивых решений. В частности, в стратегию нацбезопасности США добавлена квантовая угроза. В России этими вопросами занимается ТК 26 и его профильные подгруппы, поскольку ценные данные требуют защиты новыми инструментами.

Существуют два технологических подхода к вопросу: программный и аппаратный. В России уже есть опыт России по апробации квантовых коммуникаций и постквантовых технологий и криптографии, квантово-устойчивой защиты каналов передачи данных. Работу области квантово-устойчивых технологий ведут и некоторые вендоры. По мнению спикера, «квантовая угроза — фундаментальная история». Банки должен заранее думать и прорабатывать риски и включать их в карты угроз.

Отвечая на вопросы коллег, спикер отметил, что по уровню развития квантовых компьютеров и их мощностей, Россия отстает от мировых тенденций на 7-10 лет. «Однако в направлении криптографии и постквантовых решений идем ногу с мировыми разработчиками», — считает Антон Гугля.

 

ИИ в помощь

Никита Преснухин (PlainChain) рассказал о положительном опыте использования технологий ИИ при работе с криптоактивами и ЦФА. Он отметил, что блокчейн технологии перерабатывают огромный массив данных и транзакций. И если компания хочет быть агрегатором данных, ей на помощь приходит ИИ. В частности, технологии искусственного интеллекта активно применяются при анализе данных для противодействия отмывания средств (ALM), идентификации клиентов криптовалютных сервисов (KYC) в соответствии с актуальными требованиями регуляторов. ИИ помогает при обнаружении незаконной деятельности, на лету считывает IP-адреса и подсети IP-адресов подозрительных кошельков. Также ИИ собирает сопутствующую информацию о владельцах кошельков, которые замечены в неправомочной деятельности. По мнению эксперта, отсутствие регуляторов в вопросах ИИ — важный момент, требующий скорейшего изменения.

 

Спрос на кадры будет расти

Где же взять кадры в области ИИ, машинного обучения, квантовых технологий? По мнению участников сессии, кадрового голода в отрасли нет. Игорь Ашманов отметил, что после событий февраля и сентября 2022 г. из страны уехали 3-5% ИТ-специалистов. Однако идет большое сокращение непрофильных проектов в банковских экосистемах. По данным Ассоциация Разработчиков Программных Продуктов «Отечественный Софт», вакансии ИТ-специалистов быстро заполняются. Еще один важный аспект для привлечения квалифицированных айтишников — достойный уровень оплаты труда.

По мнению Константина Панцерева, подготовка кадров для ИИ — серьезная проблема, потребуется в 6-8 раз больше специалистов и спрос на них будет расти. Помимо этого кадровый голод наблюдается в отрасли ИБ. При этом эксперт из СПбГУ отметил, что в стране действует 85 программ магистратуры в области ИИ и 21 программа бакалавриата. Многие программы открыты в непрофильных гуманитарных и нетехнических вузах, что должно оказать положительное влияние при подготовке специалистов, понимающих специфику отрасли.

Завершая дискуссию, модератор сессии Артем Калашников отметил, что несмотря на многочисленные риски разработки и применения ИИ в банковской сфере, работы в этом направлении активно идут, в т. ч. с применением современных блокчейн- и квантовых технологий, методов криптографии. Применение и развитие искусственного интеллекта во многом будет зависеть от индивидуальной оценки, а вопросы регулирования ИИ — тема, которая достойна отдельной сессии.

 

BIS Journal — главный медиапартнёр XX Международного банковского Форума.

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

14.02.2025
Oracle готова построить «оракул» с помощью ДНК американцев
14.02.2025
Мнение: У владельцев ГИС часто отсутствует чётко выстроенный процесс работы с уязвимостями
13.02.2025
Standoff 15: кибербитва в мае соберёт около полусотни команд белых хакеров и защитников со всего мира
13.02.2025
Эксперты ВТБ представили краткий скам-обзор января
13.02.2025
В ближайшем будущем QR-коды будут содержать антифрод-измерение
13.02.2025
Минцифры начинает строить свой маленький валидатор навыков
13.02.2025
Мишустин — о весне в российском телеком-законодательстве
13.02.2025
ViPNet SafeBoot 3.2 сертифицирован по требованиям двух регуляторов
12.02.2025
UniCredit торопится выйти из России
12.02.2025
ФСТЭК России объявила о начале масштабных испытаний статических анализаторов

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных