FINOPOLIS 2016. От средневековья к противостоянию искусственных интеллектов
Президент Республики Татарстан Рустам Минниханов, председатель Центрального банка РФ Эльвира Набиуллина, председатель правления ПАО "Сбербанк" Герман Греф на форуме FINOPOLIS 2016Второй форум Finopolis 2016 в Казани (организаторы Банк России и Правительство Республики Татарстан) был посвящен перспективам развития финансовых технологий и стал крупнейшим событием банковской сферы России. В течение двух дней представители компаний финансового рынка, консалтинговых и IT-компаний, органов государственной власти, организаций, работающих в сфере обеспечения кибербезопасности и разработки программного обеспечения на 17 секционных заседаниях и круглых столах обсуждали вопросы регулирования инновационных финансовых технологий и бизнес-моделей, а также развитие конкретных технологий, таких как блокчейн, инструменты Big Data, искусственный интеллект, Open API и многое другое.
Второе пленарное заседание было посвящено проблемам обеспечения кибербезопасности, что определило значимость этой темы в иерархии обсуждаемых вопросов. Предлагаем читателям сокращенную стенограмму этого заседания.
АЛХИМИКИ XXI ВЕКА
Евгений Касперский (АО «Лаборатория Касперского»): У нас на дворе цифровое средневековье. Компьютерные технологии пришли в нашу жизнь, мы к ним привыкли, радуемся… Но мы не научились делать их безопасными. Мы как средневековые алхимики, которые уже умеют смешивать химические элементы, но все еще уверены, что вот-вот получится золото, а вместо этого то и дело что-то взрывается. Алхимики не знали основ химии, которые знаем мы. Пройдет совсем немного времени – 200-300 лет, мы многому научимся, и компьютерные системы станут удобными и безопасными.
Евгений Касперский
А пока цифры и их динамика следующие. Первый компьютерный вирус появился в 1986 году. За 20 лет непрерывного коллекционирования – с 1986 по 2006 год – я собрал примерно один миллион разных зловредных вирусов. Сейчас за одну неделю наша компания собирает в сети более двух миллионов различных образцов. Каждый день – больше 300 тысяч уникальных зловредов!
В прошлом году по нашей статистике 100% бизнесов и 60% индивидуальных пользователей хотя бы один раз побывали под кибератакой. Много это или мало? Для сравнения, с уличной преступностью в том же прошлом году непосредственно столкнулось 3-5% населения планеты. Киберпреступность в разы агрессивнее: 52, 56, 62%... И эта цифра только растет!
Что такое 300 тысяч новых вирусов в день? Столько мы должны собрать, проанализировать, выпустить апдейт, протестировать его и доставить пользователям. Естественно, подавляющая часть этой работы делается автоматически. У нас стоят роботы, группы инженеров их тренирует, и роботы делают свою работу хорошо. Киберпреступники жалуются, что выпускают нового зловреда, а через несколько минут он уже детектится. У них времени не хватает, чтобы что-то украсть.
Тем не менее крадут. Из операционных систем главной жертвой была и остается Microsoft Windows, но с 2011 года произошли качественные изменения – начался стремительный рост атак на платформе Андроид. Объясняется просто. С одной стороны, новые киберпреступники на компьютерах уже не работают, они сидят в смартфонах. С другой, именно в 2011 году появились мобильные банковские сервисы. А преступники всегда идут туда, где деньги.
Какой ущерб наносит киберпреступность? Шесть лет назад мы провели собственные исследования – посчитали только ту часть, которую мы видим. У нас получилось 100 миллиардов долларов в год. Недавно подобные, но более широкие, исследования провели два независимых агентства. У одного получилось 400 миллиардов в год, а у другого 500. В целом я этим цифрам верю.
Что такое 500 миллиардов в год? Большой адронный коллайдер – гигантский международный проект – стоит 9 миллиардов. Так вот, киберпреступность стоит мировой экономике больше 50 таких коллайдеров в год. За десять лет можно всю физику с ног на голову перевернуть и открыть порталы в соседние Вселенные!
Как вообще можно украсть столько денег? Оказывается, можно. Первый пример: группа хакеров Карбанак с помощью компьютерного червя за два года обчистила около 100 банков в 30 странах на сумму более 1 миллиарда долларов. Многих поймали, но не всех. Это пример того, как криминальные группировки становятся все более профессиональными и масштабными, способными не просто атаковать, а вести долговременную войну с финансовыми организациями.
Такие группировки ведут осаду банка месяцами, незаметно проникая все глубже, и в конце концов получают контроль над ключевыми, самыми боевыми частями организации. Увы, подобных инцидентов становится все больше и больше.
Второй пример – атака на Центробанк Бангладеш с целью украсть 1 миллиард долларов. 80 миллионов украли, и они исчезли, а транзакции еще на 870 миллионов были отклонены. Причина смешная – орфографическая ошибка или опечатка при заполнении формы.
Но банки – это только часть проблемы. Кибертерроризм, атаки на критическую инфраструктуру – энергетику, транспорт, телекоммуникации, средства связи... Пока без глобальных катастроф – потрогали дамбу в Америке, станцию по очистке воды в Европе, отключили электричество в некоторых регионах Украины, остановили домну в Германии... Подобные атаки происходят все чаще и чаще. Пока без разрушений. Пока.
Так почему мы живем в таком цифровом средневековье? Я называю это циклом инноваций: сначала что-то изобрели, потом порадовались, потом выяснили «ой, а оно же не безопасно», потом докрутили где нужно и сделали так, чтобы все было удобно, полезно и безопасно. Это относится ко всем технологиям: и к колесу, и к электричеству, и к пару... Некоторые изобретения не доживают до конца цикла по причине небезопасности. Например, дирижабли. Начали падать, взрываться… Самолеты оказались надежнее. Так вот, цифровые технологии сейчас находятся на третьей стадии цикла. Они изобретены, мы ими пользуемся, радуемся, но уже начинаем понимать, что проблема кибербезопасности – это объективная и, более того, угрожающая реальность. И вот в приоритетах компаний этот пузырек кибербезопасности постепенно выплывает наверх.
Модератор Александр Галицкий (Almaz Capital Partners): Евгений, прямой вопрос. Вы давно занимаетесь этими вредоносами. Возможно ли их победить вообще, и как?
Евгений Касперский: Задайте этот вопрос тем, кто лекарствами торгует. Можно ли создать таблетку, которая победит все болезни? Наверное, нет. Так и у нас. Но у меня лично есть определение: достаточная или стопроцентная безопасность. Стопроцентная безопасность – это когда атака дороже, чем потенциальный ущерб. То есть атакующие должны вложить в разработку атаки больше ресурсов, чем та выгода, которую они в результате получат.
Можно ли достичь такого уровня? Я думаю, что не просто можно, а необходимо, если речь идет о критической инфраструктуре – энергетике, транспорте, связи и финансовых сервисах. Мы – как страна, как мировое сообщество – обязаны и можем сделать критическую инфраструктуру стопроцентно защищенной.
Модератор: А как? Что нужно делать?
Евгений Касперский: Рецепт известен, но почему-то не применяется. Необходимо все новые цифровые системы проектировать сразу с учетом возможных атак, а не так, как сейчас: сначала сделали, а потом вспомнили про безопасность и сверху – вжик! – антивирус прилепили. Надо безопасность продумывать и встраивать сразу, на стадии проектирования.
САМОЕ ГЛАВНОЕ НА БИРЖЕ
Модератор: У меня один вопрос ко всем участникам по очереди: назовите в трех пунктах, что для вас лично самое главное, если говорить о кибербезопасности ваших учреждений как о вашей личной ответственности?
Сергей Поляков (группа «Московская биржа»): Для нас, честно говоря, множественные атаки, когда кто-то бездумно бродит по интернету и горстями разбрасывает вирусы, сегодня несущественны. Достаточно стандартное обеспечение легко с этим справляется. Реальная проблема – целевые атаки, когда ваша компания становится объектом специфического внимания, и вирусы строятся конкретно для вас.
Такие злоумышленники используют социальную инженерию, инсайдеров, пробираются внутрь системы и месяцами сидят в засаде. Украденную информацию сами они не используют, а продают или заказчику, или просто тому, кто купит. Классические варианты защиты тут не помогают.
У биржи своя специфика. Например, взаимодействие с клиентами меняется на глазах. Сейчас мы переходим к модели, когда доминантным способом взаимодействия становится программное взаимодействие. Как предприятие мы даже не знаем откуда приходит тот или иной запрос, кто за ним стоит. Вокруг разрастается целая экосистема программ и связанных компонентов. Поэтому защищать непосредственно периметр откровенно недостаточно. Надо защищать каждый элемент этой экосистемы.
В такой ситуации действия регуляторов, которые формируют требования и стандарты для подобных экосистем, гораздо важнее, чем наши конкретные действия в области программной защиты. Также резко возрастает необходимость сквозного идентификатора. Нет идентификатора – вы не знаете кто к вам пришел. Есть идентификатор – необходимо гармонизировать эту систему в международном масштабе, иначе преступник сменит юрисдикцию и сможет работать под другим идентификатором.
СЕМЬ ПРОБЛЕМ ОТ СБЕРБАНКА
Станислав Кузнецов (ПАО Сбербанк): Я хотел бы сфокусироваться не на трех, а на семи пунктах.
Первый. Нам необходимо – всем вместе – понять, что у нас нет никакой координации ни между кредитными организациями, ни между правоохранительными, ни между государственными институтами. Даже не понятно, кто лидирует в этой области: Министерство связи и массовой коммуникации, Роскомнадзор или ФСБ? Нам нужно объединиться и научиться координировать свои действия.
Заместитель председателя правления ПАО "Сбербанк" Станислав Кузнецов
Не секрет, что у нас нет никакого обмена информацией. Каждый банк имеет стоп-листы, у каждого есть своя база данных, но единой базы данных сегодня не существует, и те же самые преступники, протестировав Сбербанк, идут в ВТБ, потом в Бин и так далее. Создание системы обмена информацией – это первое что необходимо. Лидерство тут за регулятором, мы все вместе должны помочь ему это сделать. В каком формате? Что-то вроде Бюро кредитных историй, возможно, как-то по-другому. Но такой инструмент стране необходим.
Второй. Регулирование с точки зрения законодательства. Почему преступники чувствуют себя комфортно в нашей стране? Потому что мы их даже преступниками не считаем. У нас нет понятий «киберпреступление», «кража с электронного счета»… Есть только одна смешная статья «мошенничество». Нам необходимо срочно всем вместе продвигать пакет законодательных инициатив в этой области.
Третий. Я лично противник регулирования, если говорить о коммерции, я за конкуренцию, но кибербезопасность – особая статья. Это та самая область, которая требует регулирования, причем, активного, оперативного. Если у нас срывают банкоматы, давайте сделаем стандарты, чтобы банкоматы имели автоматические системы защиты. Почему производители у нас диктуют заказчику? Почему с появлением технологии взлома black box регулятор не запретил подверженные ей банкоматы как класс? Почему страдают банки, которые ранее такие банкоматы купили? И таких примеров много.
Четвертый. Образование. Статистика: 35 процентов должностей в мировых компаниях в сфере кибербезопасности вакантны. Кадров нет. Говорить о переизбытке высоких профессионалов у нас в стране тоже не приходится. Надо объединяться и готовить специалистов, работать с вузами, влиять на образовательные стандарты. Сбербанк пытается что-то делать, мы заключили соглашение с передовыми вузами, собираем по субботам студентов, читаем им свои лекции, но это частный случай, как системная кадровая проблема и близко не решается.
Пятый. Международное сотрудничество. Мы все никак не осознаем, что у киберпреступников сегодня нет границ. Бессмысленно ГУБЭПу считать число кибергруппировок в России, они не только в России – давно рассыпались как горох по миру. Но если для них не существует границ, почему же границы существуют между нашими службами? Почему мы не объединяемся в различные международные ассоциации, мы же одним делом занимаемся!
Шестой. Новые технологии. Что из них сегодня в приоритете? Нам представляется, идентификация. Если появится надежная мгновенная идентификация нашего клиента по голосу, лицу, другим признакам, то это решит пусть не все, но почти все проблемы на уровне построения системы противодействия.
Седьмой. Культура. Действительно, мы живем словно в Средневековье, не понимая, что пришло новое время, требующее новой культуры. Нужно приучить себя относиться к гаджетам не как дикари к побрякушкам, а ответственно, научиться как минимум менять пароли. Люди сами отдают преступникам 99% информации. Даже дискуссия возникла: одни банки считают, что в случае преступления по технологиям социальной инженерии они ничего не теряют – это клиент виноват, он сам свои пароли отдал. Другая позиция – банки должны разделять ответственность, в том смысле, что клиент теряет, потому что продукт не совершенный.
Мы сторонники второго подхода. Например, с ноября в Сбербанке работает центр фрод-мониторинга, который останавливает и возвращает обратно на счета до 500 миллионов рублей, выводимых с помощью социальной инженерии.
НАС ЖДЕТ КИБЕРНАШЕСТВИЕ
Reinhold Wochner (Reiffeizen Bank International): Три года назад для банкоматов cуществовали всего один-два вируса, а сейчас их количество не поддается исчислению. Представляете картину, в три часа ночи все ваши банкоматы вдруг выдают все свои деньги неизвестно кому. В такой ситуации мы готовы перейти на виртуальные деньги, но наши клиенты привыкли получать наличные из банкоматов, у нас гигантская инфраструктура, и естественно, что нам остается только уповать на ужесточение стандартов. И роль регулятора тут самая главная.
В Австрии, конечно, далеко не все идеально, но у нас есть министерство, которое отвечает за кибербезопасность, это очень удобно. Например, не так давно регулятор получил рекомендации из Польши и принял решение усилить там кибербезопасность. К концу года там появятся специальные центры, потому что так прописано в законодательстве. Не важно, сколько это будет нам стоить, мы должны это сделать, и все. Так было в свое время и в Сингапуре. Результат положительный.
В Беларуси сейчас также формируется комитет по этим вопросам, но там есть проблемы. Мы не можем платить нашим людям больше, чем установлено белорусским регулятором. В европейских и американских компаниях там платят в долларах и евро, а мы не можем, так как мы – банк, находимся под регулированием. В результате специалисты по кибербезопасности уходят туда, где платят больше. Проблема с кадрами серьезно осложняет ситуацию.
Опять же по закону у нас принят определенный формат обмена информацией. И этот закон работает на пользу дела. Кроме того, Райффазен активно взаимодействует международно. Мы вошли в ассоциацию 500 крупнейших банков и обмениваемся информацией в стандартизированном формате, долговременная ли это программа или оперативная работа по инцидентам. К сожалению, от России там нет представителей.
Согласен с Евгением Касперским, применительно к безопасности мы все еще находимся в мирке дирижаблей. Но нельзя забывать, что где-то уже летают самолеты. Например, в 2015 году из 10 беспилотных, абсолютно автономных автомобилей только один прошел дистанцию от Лас Вегаса до Сан-Франциско. В прошлом году уже 9 из 10. Технологии искусственного интеллекта – это не мечта, а вполне практичные вещи!
И хакеры тоже их осваивают. Очень скоро нас ждет глобальное противостояние: искусственный интеллект киберпреступников против искусственного интеллекта киберзащитников. Мы забудем про русского хакера, немецкого или китайского, потому что будем иметь дело с гигантскими международными командами из 100-200 и более человек, конструирующими свои версии искусственного интеллекта, причем, не для кибератак, а для кибернашествия.
МОЖЕТ, КАК В МАЛАЙЗИИ?
Amirudin Bin Abdul Wahab (CyberSecurity Malaysia): В Малайзии наше агентство является правительственной компанией в области инноваций и технологий, и мы рассматриваем кибербезопасность как комплексное явление. Тут и управление, и технологии, и кадры… И мы координируем весь этот комплекс вопросов на государственном уровне. Мы отчитываемся перед двумя министерствами: Министерством науки и инноваций и Министерством обороны, отвечающим за кибербезопасность.
Мы разработали политику кибербезопасности, за ее осуществлением наблюдает государственный совет, который в свою очередь отчитывается непосредственно перед премьер-министром. Политика ориентируется на десять критических секторов, включая правительственный, финансовый, энергетический, транспортный и т.д. Каждый из этих вертикальных секторов имеет свой регулятивный орган. Например, в банкинге и финансовом секторе – это Центральный банк Малайзии, который работает с коммерческими банками. Все секторы тесно связаны как с генеральным офисом, так и с правоохранительными органами. При такой организации легко обмениваться информацией, получать общие улики, расследовать и пресекать киберпреступления.
В дополнение к этому мы предоставляем технические услуги и обеспечиваем обучение киберрейнджеров, из которых состоят спецподразделения по борьбе с хакингом. У нас также есть криминальная лаборатория по киберпреступлениям, и мы часто помогаем правоохранительным органам в раскрытии преступлений.
Случается, что уровень знаний наших оперативников и специалистов недостаточен, тогда мы взаимодействуем с другими игроками этого рынка, и они становятся нашими коллегами. Мы также активны в международном сотрудничестве, например, подписали меморандум о сотрудничестве с Лабораторией Касперского. Таким образом, мы формируем мощный защитный альянс, и это только часть наших инициатив.
ОТВЕТ РЕГУЛЯТОРА
Артем Сычев (Банк России): Сначала статистика. По нашим данным объем покушений на хищение денежных средств со счетов российских банков и их клиентов за девять месяцев 2016 года составил 5 миллиардов рублей, из которых более 2 миллиардов удалось украсть. Сравнительно немного. Но тревогу вызывают не столько похищенные суммы, сколько динамика роста киберпреступности. А она на протяжении последних 3 лет увеличивается на 30% в год.
Два наблюдения. В 3 квартале 2015 года в России был отмечен максимум хищений со счетов юридических лиц, и резкое сокращение хищений в 4 квартале с последующим сокращением в 2016 году. В чем причина? В том, что на конец 3 и начало 4 квартала 2015 года пришелся пик внедрений системы антифрод в большинстве крупных коммерческих банков. Дело в том, что три года назад, еще на украинском форуме, Центральный банк инициировал обсуждение этого вопроса, после чего были приняты решения, технология антифрода прошла обкатку и, наконец, заработала. Результат налицо. Да, мы до сих пор не имеем законодательного или хотя бы нормативного закрепления работы по антифроду, но об этом позже.
Заместитель начальника ГУБиЗИ Банка России Артем Сычев
Второе наблюдение. Физические лица. Тут другая ситуация: всплеск хищений в 1 квартале 2016 года. Почему? Ответ тоже простой. На конец 2015 года пришелся резкий подъем внедрения инновационных технологий в ряде кредитных организаций. Злоумышленники успели их прощупать, нашли подходы и стали активно осуществлять мошеннические схемы по извлечению клиентских денег. Безусловно, безопасники сработали оперативно, поэтому во 2 квартале такого всплеска уже не было. Но его могло не быть вообще, если бы система безопасности была заранее включена в новые финансовые технологии.
Возвращаясь к тому, что мы обсуждаем стандарты, хочу акцентировать совершенно правильно прозвучавший тут тезис: безопасность не должна быть наложенной, она должна быть включена в систему сразу – на стадии проектирования.
Это что касается технологий безопасности. А что происходит по ту сторону баррикад? На сегодняшний день киберпреступность – это давно уже не отдельно взятая банда, а развитая индустрия, которая, как и любой другой бизнес, имеет главной целью извлечение прибыли. Правда, прибыль там извлекается противозаконным способом, но, надо понимать, там есть и узкие специализации, и управление, и распределение полномочий. Например, те люди, которые пишут вредоносные программы, никогда не получают тех денег, которые уводятся у клиентов, они зарабатывают исключительно от продажи своего инструментария третьим лицам.
С отдельными бандами мы научились бороться, есть хорошие примеры – в мае прошлого года взяли большую группу злоумышленников, но к сожалению, инструментарий, которым они пользовались, до сих пор находится в продаже, и эта опасность не устранена.
Что делать в такой ситуации нам – регуляторам? Опять же, согласен, надо объединяться. Но объединиться в рамках какой-то одной государственной структуры, которая получила бы все полномочия, в наших условиях не реально. Тем не менее три года назад мы создали центр мониторинга и реагирования на инциденты – FinCERT, и теперь стараемся, чтобы его работа была направлена на то, чтобы коллективным разумом, коллективным оповещением банков решать проблему безопасности во всем ее многообразии.
Безусловно, полностью мы ее не решим, но давать полезную информацию коллегам о болевых точках уже получается. Безусловно, мы работаем не одни, у нас есть координирующий орган, его возглавляет первый заместитель председателя Банка России, в него также входят все министерства, имеющие отношение к обеспечению безопасности.
Также совершенно правильно коллеги говорили о законодательстве. Мы прекрасно знаем, что его надо менять, и соответственно продвигаем две инициативы. Первая – это изменение уголовного кодекса с точки зрения переквалификации преступных деяний и увеличения наказаний, чтобы преступление и наказание были приведены в соответствие. Когда воруют миллиардами, а за это дают три года условно, и потом тот же человек, вернее, та же группа лиц, продолжает воровать миллиардами… тут возникает вопрос: а правильно ли это?
Вторая инициатива – это попытка узаконить обязанность любого банка работать с антифродом. Сейчас антифрод – дело добровольное, но деньги теперь путешествуют быстро, оказываются на новых счетах моментально, и нужно, чтобы они попадали к своим хозяевам, а не преступникам. Знаете, почему Тиньков заявляет, что он в своем мобильном банке не ощущает проблемы с киберпреступностью? Потому что воруют не у его клиентов, но именно через его клиентов ворованные деньги выводятся. А как только у этого банка появятся серьезные остатки по счетам клиентов, поверьте, он тут же сам станет объектом мошенников.
Далее я хотел бы обратить внимание на проблему кадров. У нас есть проект рекомендаций по стандартизации квалификационных требований к специалистам по безопасности. Это настольная книга, во-первых, для руководителей кредитных организаций, чтобы понимать, кого нанимать, какие предъявлять требования. Во-вторых, для учебных заведений, чтобы понимали к чему готовить студентов. Сейчас проект обсуждается в Техническом комитете, и мы очень надеемся, что он станет действительно рабочим документом. В принципе мы можем пойти и по довольно распространенному в мире пути обязательной сертификации хотя бы одного человека в финансовой организации.