«Сбербанк сегодня защищает клиентов от мошеннических атак в 97% случаев»
Зампред правления Сбербанка Станислав Кузнецов – о мошенничестве методом социальной инженерии, защите данных и проблемах кибербезопасностиКрупнейшему банку России приходится решать больше всех проблем с безопасностью и защитой данных. По информации на конец III квартала 2019 г., у Сбербанка было выпущено 126,4 млн дебетовых карт и 18,2 млн кредитных, что в обоих случаях немногим менее половины от всех выпущенных в России карт. Значительную часть возникающих проблем Станислав Кузнецов, который курирует в Сбербанке работу блока «Сервисы» и управления внутрибанковской безопасности, объясняет отсутствием у многих людей элементарных представлений о нормах безопасности. Поэтому повышение финансовой грамотности он считает одним из главных способов противостояния мошенникам.
По словам Кузнецова, банку удается защищать своих клиентов от атак мошенников в 97% случаев. Но, сосредоточившись на внешней угрозе, Сбербанк не заметил ее внутри. Прошлой осенью стало известно об утечке данных около 5000 клиентов, которую организовал один из сотрудников.
Как после этого Сбербанк перестроил работу по защите информации, почему клиенты расстаются с деньгами, даже понимая, что их обманывают, и чем биометрические данные, которых у банка уже миллионы образцов, могут помочь в борьбе с кибермошенниками и облегчить жизнь клиентам, Кузнецов рассказал «Ведомостям».
– Да, примерно на 10%, и это весьма существенный рост в абсолютных цифрах. Мы зафиксировали почти 2,5 млн жалоб клиентов на попытки телефонного мошенничества, это почти в 15 раз превышает показатели 2017 г. Нельзя не сказать, что работа правоохранительных органов против этого вида мошенничества улучшилась, но ее явно недостаточно.
– Такой цифры по стране у нас нет. По Сбербанку нам удалось предотвратить хищения средств клиентов на сумму чуть меньше 40 млрд руб. Это означает, что мошенники уже выводили деньги, а мы их остановили.
Мы разработали собственную систему фрод-мониторинга. По сути, мы сегодня защищаем наших клиентов от подобных атак в 97% случаев. Это очень высокий показатель.
– Проблема мошенничества методом социальной инженерии наиболее ярко проявила себя в России. В других странах у нее значительно меньший масштаб. У нас старшее поколение относится с доверием к любому телефонному звонку, не допуская, что может звонить мошенник. В 2019 г. тренд на увеличение числа мошенничеств переломить не удалось. Мы прогнозировали этот рост, и наш прогноз, к сожалению, оправдался. Возникает вопрос, как с этим бороться. В моем понимании, нужно сосредоточить усилия на трех направлениях. Первое: правоохранительная система должна гораздо решительнее реагировать на эти случаи. Второе: надо ужесточить законодательство, назначить за этот вид преступления очень серьезное наказание – не год и не два, а существенно больше. И третье: нам точно не хватает киберграмотности, киберкультуры. Всем необходимо научиться безопасно использовать наши девайсы и выработать навыки, которые позволяют не попадаться на уловки мошенников. Всем нам вместе, включая журналистов, надо больше заниматься разъяснительной работой. Если применить и скоординировать эти три подхода, можно переломить тренд за полгода.
– На уровне Сбербанка мы эту проблему решили – вместе с операторами связи в том числе. Но в целом проблема подмены номеров все равно остается, она связана с техническими особенностями организации связи. Мы знаем, в чем она заключается. Но тут вопрос скорее к Министерству цифрового развития.
– Это большая проблема. В нашей стране нет ведомства, которое отвечает за выработку государственной политики в области кибербезопасности. Из-за этого мошенники легко находят и используют дыры в нормативном правоприменении. Но телефонное мошенничество – не только подмена номеров, мошенники используют другие инструменты. Например, есть специальные легальные программы для удаленного управления устройствами. Под разными предлогами мошенники вынуждают клиента установить такую программу на его смартфон и фактически получают полный контроль над чужим девайсом.
– Даже если бы вы его установили и преступники с его помощью начали выводить ваши деньги, мы бы благодаря технологиям искусственного интеллекта поняли, что это мошеннические операции.
Но есть немало случаев, когда люди осознанно переводят деньги преступнику, несмотря на предупреждение банка. Мы звоним клиенту и говорим: «С той стороны мошенник. Мы остановили вашу операцию. Пожалуйста, не надо ее проводить». А нам отвечают: «Я знаю, кто там, я требую провести операцию». Мы говорим: «Не нужно, вы точно деньги потеряете». Но в соответствии с законом мы обязаны исполнять требования клиентов, а через два-три дня они приходят с заявлением, говорят: «У нас украли деньги, извините, мы недооценили ваши возможности» и т. д. Таких случаев все больше. Например, когда люди подходят к банкомату, снимают собственные средства, идут к банкомату другого банка и все их отправляют мошеннику. К сожалению, такого рода мошенничество предотвращать уже крайне сложно, по сути, невозможно.
– У нас высокий уровень сотрудничества. Они за четыре года добились большого прогресса. Мы можем лишь на основе нашего опыта рекомендовать что-то улучшить. Я руковожу комитетом по информационной безопасности Ассоциации банков России; на каждом заседании присутствуют коллеги из ФинЦЕРТа, мы открыто обсуждаем все вопросы, и банковское сообщество имеет возможность доносить свое беспокойство и проблемы. ФинЦЕРТ очень конструктивно реагирует на это, старается учитывать мнение банков и оказывать необходимую поддержку.
– Вряд ли правильно комментировать то, что установлено законом. Мы законопослушная организация.
– У нас конструктивный уровень взаимодействия. Мы направили наши рекомендации месяцев восемь-девять назад, еще во время разработки СБП, их было не так много. Я знаю, что они были серьезно восприняты и использованы для последующей разработки.
– С ними согласились, но я до конца не знаю, учтены ли они в технических разработках. Рекомендации были связаны в основном с едиными для всех банков правилами – подключения, использования СБП, переводов и т. д.
– У нас есть график, и у меня нет оснований полагать, что этот график будет сорван. Там все связано с техническими доработками наших систем, с бизнес-направлением, с тем, чтобы соединить наши системы. По кибербезопасности нет никаких вопросов.
– Защита от перебора номеров в «Сбербанк онлайн» обеспечивается встроенным механизмом. Но если человек просто вводит номер телефона и видит имя, отчество, первую букву фамилии и четыре последние цифры карты, то это разрешенная операция.
– Миллионы.
– В ряде банкоматов уже можно. Эта система работает в части офисов, например на Вавилова, 19 (центральный офис Сбербанка. – «Ведомости»). Если вы сдали биометрию, камера определяет, что вы – это вы, вам не нужно предъявлять паспорт и расписываться в кассовых документах, для подтверждения платежа вместо кассового чека используются ваши биометрические данные.
– Мы начали тестировать оплату по биометрии лица на входе в метро, при проведении кассовых операций. Технология уже известна, обкатана, но есть необходимость тестировать ее защищенность от подделок биометрии – это главный вопрос, сейчас мы его решаем.
– Решение, которое использует эта система, базируется на таком же решении, как у нас. Оно разработано нашей дочерней компанией VisionLabs. Это достаточно точная система.
Для нас использование биометрии в борьбе с кибермошенничеством – ключевая вещь. Сегодня мошенники используют методы «кражи личности», а при внедрении биометрии возможность «кражи личности» сводится практически к нулю.
– Расследование по этому инциденту полностью завершено. Ранее в своей стратегии мы основные усилия сосредотачивали на предотвращении атак извне. И, конечно, сейчас понимаем, что не учли вероятность предательства со стороны своих сотрудников. Этот случай нас многому научил. Защититься от предательства на 100%, наверное, вряд ли можно, но мы очень стараемся добиться высоких результатов. В конце концов, любой предатель может просто запомнить какие-то данные и сообщить мошенникам. Но техническими способами мы такие возможности закрываем. У нас уже разработаны и продолжают развиваться системы контроля, которые не позволяют пересылать служебную информацию вовне, на свою личную почту...
– И это мы тоже контролируем. Записать и вынести на флешке информацию невозможно. Мы доверяем сотрудникам, но считаем, что требования к надежности, соблюдению правил, корпоративной культуре должны быть повышены. Мы требуем соблюдать все правила, установленные в компании и нацеленные на то, чтобы обеспечить надежную защиту персональных данных наших клиентов.
– Сегодня многие компании используют полиграф в качестве дополнительной проверки сотрудников, занимающих «чувствительные» должности. Мы в этом плане не исключение. Такие проверки проводятся только с согласия сотрудников и в полном соответствии с законодательством.
– Абсолютно новых атак, о которых ранее нам было не известно, мы не фиксируем. Скорее, мошенники развивают и совершенствуют свой инструментарий. В прошлом году мы зафиксировали семь новых организованных преступных групп, о которых ранее не было известно, около 113 млн образцов новых вредоносов и техник их применения. Увеличилось число атак на компании нашей экосистемы – так злоумышленники пытались проникнуть в инфраструктуру банка через якобы менее защищенные инфраструктуры. Серьезно выросла мощность DDoS-атак. Не всякая компания может их выдержать. И это большой риск для деятельности бизнеса в нашей стране. Сегодня можно купить DDoS-атаку в теневом интернете, и она может остановить работу компании. В основном это касается малого и среднего бизнеса, но тем не менее.
– Цифры разные, все зависит от того, на какой период, какой мощности. В теневом интернете существуют, к сожалению, целые сервисы по этому поводу. То же касается и фишинговых атак, в результате которых в системы управления компанией устанавливаются зловреды. Количество таких атак, как мне представляется, в этом году вырастет, зловреды будут модифицироваться, обнаружить их будет все сложнее. И отсутствие киберграмотности создает огромный риск для компании при реагировании на фишинговые рассылки, которые уже происходят чуть ли не через день по десяткам тысяч адресов. Мы видим по почте наших сотрудников, что половина сообщений – это спам и фишинг. Мы также зафиксировали ряд новых видов мошенничества с использованием социальной инженерии. Эта зона должна быть зоной внимания всех структур – и государственных, и негосударственных, и бизнес-структур, эту проблему надо решать всем вместе. Зачастую нет никакого реагирования даже по простым случаям. А Сбербанк, который научился многое видеть и документировать, – не субъект оперативно-розыскной деятельности.
– Ситуация в полиции меняется к лучшему, но количество этих фактов слишком велико. В начале ноября прошлого года была коллегия Министерства внутренних дел, где эта тема обсуждалась, было решено усилить подразделения, которые должны заниматься оперативно-розыскной деятельностью в отношении кибермошенников.
Но главное, надо сосредоточить усилия на решении проблемы киберграмотности. Я тесно взаимодействую с ветеранами Сбербанка и вообще с ветеранскими организациями в нашей стране. И мне пожилые люди очень часто высказывают свои проблемы лично, я вижу, как им непросто. У нас в банке, например, есть волонтерское движение. И в дни, когда пожилые люди приходят в банк, например, когда начисляется пенсия, ребята организуют с ними встречи, по 20–30 человек, где рассказывают о мошенничестве, о простых принципах киберграмотности: что можно делать, чего нельзя, приводят примеры, принимают предложения, что надо исправить в банке в плане использования «цифры», чтобы она была ориентирована и на пожилых людей. Нам всем нужно помогать людям разных поколений элементарными знаниями по кибербезопасности.