Крупнейшему банку России приходится решать больше всех проблем с безопасностью и защитой данных. По информации на конец III квартала 2019 года у Сбербанка было выпущено 126,4 млн дебетовых карт и 18,2 млн кредитных, что в обоих случаях немногим менее половины от всех выпущенных в России карт.
Значительную часть возникающих проблем Станислав Кузнецов, который курирует в Сбербанке работу блока «Сервисы» и управления внутрибанковской безопасности, объясняет отсутствием у многих людей элементарных представлений о нормах безопасности. Поэтому повышение финансовой грамотности он считает одним из главных способов противостояния мошенникам.
По словам Кузнецова, банку удается защищать своих клиентов от атак мошенников в 97% случаев. Но, сосредоточившись на внешней угрозе, Сбербанк не заметил ее внутри. Прошлой осенью стало известно об утечке данных около 5000 клиентов, которую организовал один из сотрудников.
Как после этого Сбербанк перестроил работу по защите информации, почему клиенты расстаются с деньгами, даже понимая, что их обманывают, и чем биометрические данные, которых у банка уже миллионы образцов, могут помочь в борьбе с кибермошенниками и облегчить жизнь клиентам, Кузнецов рассказал «Ведомостям».
– Выросло ли в прошлом году количество атак на клиентов Сбербанка с использованием метода социальной инженерии?
– Да, примерно на 10%, и это весьма существенный рост в абсолютных цифрах. Мы зафиксировали почти 2,5 миллиона жалоб клиентов на попытки телефонного мошенничества, это почти в 15 раз превышает показатели 2017 года. Нельзя не сказать, что работа правоохранительных органов против этого вида мошенничества улучшилась, но ее явно недостаточно.
– На какую сумму мошенники покушались, сколько им удалось вывести?
– Такой цифры по стране у нас нет. По Сбербанку нам удалось предотвратить хищения средств клиентов на сумму чуть меньше 40 млрд руб. Это означает, что мошенники уже выводили деньги, а мы их остановили. Мы разработали собственную систему фрод-мониторинга. По сути, мы сегодня защищаем наших клиентов от подобных атак в 97% случаев. Это очень высокий показатель.
– Вы боретесь с этим только техническими способами или как-то еще?
– Проблема мошенничества методом социальной инженерии наиболее ярко проявила себя в России. В других странах у нее значительно меньший масштаб. У нас старшее поколение относится с доверием к любому телефонному звонку, не допуская, что может звонить мошенник. В 2019 г. тренд на увеличение числа мошенничеств переломить не удалось. Мы прогнозировали этот рост, и наш прогноз, к сожалению, оправдался. Возникает вопрос, как с этим бороться. В моем понимании, нужно сосредоточить усилия на трех направлениях. Первое: правоохранительная система должна гораздо решительнее реагировать на эти случаи. Второе: надо ужесточить законодательство, назначить за этот вид преступления очень серьезное наказание: не год и не два, а существенно больше. И третье: нам точно не хватает киберграмотности, киберкультуры. Всем необходимо научиться безопасно использовать наши девайсы и выработать навыки, которые позволяют не попадаться на уловки мошенников. Всем нам вместе, включая журналистов, надо больше занимается разъяснительной работой. Если применить и скоординировать эти три подхода, можно переломить тренд за полгода.
– Какие меры обсуждают банки, ЦБ, телекоммуникационные операторы, чтобы предотвратить подмену мобильных номеров?
– На уровне Сбербанка мы эту проблему решили – вместе с операторами связи в том числе. Но в целом проблема подмены номеров все равно остается, она связана с техническими особенностями организации связи. Мы знаем, в чем она заключается. Но тут вопрос скорее к Министерству цифрового развития.
– А какого-то общего подхода не выработали?
–Это большая проблема. В нашей стране нет ведомства, которое отвечает за выработку государственной политики в области кибербезопасности Из-за этого мошенники легко находят и используют дыры в нормативном правоприменении. Но телефонное мошенничество – не только подмена номеров, мошенники используют другие инструменты. Например, есть специальные легальные программы для удаленного управления устройствами. Под разными предлогами они вынуждают клиента установить такую программу на его смартфон, и фактически получают полный контроль над чужим девайсом.
– Мне как-то звонили с предложением установить такое программное обеспечение якобы для повышения безопасности.
– Даже если бы вы его установили, и преступники с его помощью начали выводить ваши деньги, мы бы благодаря технологиям искусственного интеллекта поняли, что это мошеннические операции. Но есть немало случаев, когда люди осознанно переводят деньги преступнику, несмотря на предупреждение банка. Мы звоним клиенту и говорим: «С той стороны мошенник. Мы остановили вашу операцию. Пожалуйста, не надо ее проводить». А нам отвечают: «Я знаю, кто там, я требую провести операцию». Мы говорим: «Не нужно, вы точно деньги потеряете». Но в соответствии с законом мы обязаны исполнять требования клиентов, а через два-три дня они приходят с заявлением, говорят: «У нас украли деньги, извините, мы недооценили ваши возможности» и т. д. Таких случаев все больше. Например, когда люди подходят к банкомату, снимают собственные средства, идут к банкомату другого банка и все их отправляют мошеннику. К сожалению, такого рода мошенничество предотвращать уже крайне сложно, по сути, невозможно.
– Как Сбербанк оценивает работу системы ФинЦЕРТ Банка России (Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере, подразделение департамента информационной безопасности ЦБ. – «Ведомости»)?
–У нас высокий уровень сотрудничества. Они за четыре года добились большого прогресса. Мы можем лишь на основе нашего опыта рекомендовать что-то улучшить. Я руковожу комитетом по информационной безопасности Ассоциации банков России; на каждом заседании присутствуют коллеги из ФинЦЕРТа, мы открыто обсуждаем все вопросы, и банковское сообщество имеет возможность доносить свое беспокойство и проблемы. ФинЦЕРТ очень конструктивно реагирует на это, старается учитывать мнение банков и оказывать необходимую поддержку.
– У ЦБ и Сбербанка разные мнения о Системе быстрых платежей (СБП). Как вам кажется, насколько она безопасна? И будет ли все-таки Сбербанк к ней подключаться?
– Вряд ли правильно комментировать то, что установлено законом. Мы законопослушная организация.
– Вы бы предложили что-то улучшить в СБП? Допустим, если вы подключаетесь, то говорите, что можно было бы сделать то-то и то-то.
– У нас конструктивный уровень взаимодействия. Мы направили наши рекомендации месяцев восемь-девять назад, еще во время разработки СБП, их было не так много. Я знаю, что они были серьезно восприняты и использованы для последующей разработки.
– То есть они учтены?
–С ними согласились, но я до конца не знаю, учтены ли они в технических разработках. Рекомендации были связаны в основном с едиными для всех банков правилами: подключения, использования СБП, переводов и т. д.
– Сбербанк по этим единым правилам намерен подключаться?
– У нас есть график и у меня нет оснований полагать, что этот график будет сорван. Там все связано с техническими доработками наших систем, с бизнес-направлением, с тем, чтобы соединить наши системы. По кибербезопасности нет никаких вопросов.
– В «Сбербанк Онлайн» при переводе по номеру мобильного телефона как обеспечивается безопасность от подбора, когда человек вводит мобильные номера и может увидеть имя и первую букву фамилии?
– Защита от перебора номеров в Сбербанк Онлайн обеспечивается встроенным механизмом. Но если человек просто вводит номер телефона и видит имя, отчество, первую букву фамилии и четыре последние цифры карты, то это разрешенная операция.
– Еще одно направление — это сбор биометрических образцов. Сколько их сейчас у Сбербанка?
– Миллионы.
– Как вы будете их использовать? На банкоматах висят объявления, что скоро можно будет платить лицом.
– В ряде банкоматов уже можно. Эта система работает в части офисов, например, на Вавилова, 19 (центральный офис Сбербанка – «Ведомости»). Если вы сдали биометрию, камера определяет, что вы – это вы, вам не нужно предъявлять паспорт и расписываться в кассовых документах, для подтверждения платежа вместо кассового чека используются ваши биометрические данные.
– В Китае уже и в магазинах лицом расплачиваются. Есть идеи двигаться в этом направлении?
–Мы начали тестировать оплату по биометрии лица на входе в метро, при проведении кассовых операций. Технология уже известна, обкатана, но есть необходимость тестирования ее защищенности от подделок биометрии – это главный вопрос, сейчас мы его решаем.
– Вы видите какие-то проблемы с Единой биометрической системой, оператором которой является «Ростелеком»?
– Решение, которое использует эта система, базируется на таком же решении, как у нас. Решение разработано нашей дочерней компанией VisionLabs. Это достаточно точная система. Для нас использование биометрии в борьбе с кибермошенничеством – ключевая вещь. Сегодня мошенники используют методы «кражи личности», а при внедрении биометрии возможность «кражи личности» сводится практически к нулю.
– В прошлом году Сбербанк подтвердил утечку данных примерно 5000 клиентов. Завершено ли расследование? Как вы перестроили работу после этой утечки?
– Расследование по этому инциденту полностью завершено. Ранее в своей стратегии мы основные усилия сосредотачивали на предотвращении атак извне. И, конечно, сейчас понимаем, что не учли вероятность предательства со стороны своих сотрудников. Этот случай нас многому научил. Защититься от предательства на 100%, наверное, вряд ли можно, но мы очень стараемся добиться высоких результатов. В конце концов, любой предатель может просто запомнить какие-то данные и сообщить мошенникам. Но техническими способами мы такие возможности закрываем. У нас уже разработаны и продолжают развиваться системы контроля, которые не позволяют пересылать служебную информацию вовне, на свою личную почту...
– А вынести на флешке?
– И это мы тоже контролируем. Записать и вынести на флешке информацию невозможно. Мы доверяем сотрудникам, но считаем, что требования к надежности, соблюдению правил, корпоративной культуре должны быть повышены. Мы требуем соблюдать все правила, установленные в компании и нацеленные на то, чтобы обеспечить надежную защиту персональных данных наших клиентов.
– Проверяли ли сотрудников на полиграфе?
– Сегодня многие компании используют полиграф в качестве дополнительной проверки сотрудников, занимающих «чувствительные» должности. Мы в этом плане не исключение. Такие проверки проводятся только с согласия сотрудников и в полном соответствии с законодательством РФ.
– Появились ли новые виды атак на клиентов банков или на сами банки?
– Абсолютно новых атак, о которых ранее нам было не известно, мы не фиксируем. Скорее, мошенники развивают и совершенствуют свой инструментарий. В прошлом году мы зафиксировали 7 новых организованных преступных групп, о которых ранее не было известно, около 113 миллионов образцов новых вредоносов и техник их применения. Увеличилось число атак на компании нашей экосистемы – так злоумышленники пытались проникнуть в инфраструктуру банка через якобы менее защищённые инфраструктуры. Серьезно выросла мощность DDoS-атак. Не всякая компания может их выдержать. И это большой риск для деятельности бизнеса в нашей стране. Сегодня можно купить DDoS-атаку в теневом интернете, и она может остановить работу компании. В основном это касается малого и среднего бизнеса, но тем не менее.
– За сколько можно ее купить?
– Цифры разные, все зависит от того, на какой период, какой мощности. В теневом интернете существуют, к сожалению, целые сервисы по этому поводу. То же касается и фишинговых атак, в результате которых в системы управления компанией устанавливаются зловреды. Количество таких атак, как мне представляется, в этом году вырастет, зловреды будут модифицироваться, обнаружить их будет все сложнее. И отсутствие киберграмотности создает огромный риск для компании при реагировании на фишинговые рассылки, которые уже происходят чуть ли не через день по десяткам тысяч адресов. Мы видим по почте наших сотрудников, что половина сообщений — это спам и фишинг. Мы также зафиксировали ряд новых видов мошенничества с использованием социальной инженерии. Эта зона должна быть зоной внимания всех структур – и государственных, и негосударственных, и бизнес-структур, эту проблему надо решать всем вместе. Зачастую нет никакого реагирования даже по простым случаям. А Сбербанк, который научился многое видеть и документировать, – не субъект оперативно-розыскной деятельности.
– Полиция, наверно, не обеспечена средствами для преследования таких мошенников.
– Ситуация в полиции меняется к лучшему, но количество этих фактов слишком велико. В начале ноября прошлого года была коллегия министерства внутренних дел, где эта тема обсуждалась, было решено усилить подразделения, которые должны заниматься оперативно-розыскной деятельностью в отношении кибермошенников.
Но главное, надо сосредоточить усилия на проблеме киберграмотности. Я тесно взаимодействую с ветеранами Сбербанка и вообще с ветеранскими организациями в нашей стране. И мне пожилые люди очень часто высказывают свои проблемы лично, я вижу, как им непросто. У нас в банке, например, есть волонтерское движение. И в дни, когда пожилые люди приходят в банк, например, когда начисляется пенсия, ребята организуют с ними встречи, по 20-30 человек, где рассказывают о мошенничестве, о простых принципах киберграмотности: что можно делать, чего нельзя, приводят примеры, принимают предложения, что надо исправить в банке в плане использования «цифры», чтобы она была ориентирована и на пожилых людей. Нам всем нужно помогать людям разных поколений элементарными знаниями кибербезопасности.