Кибербезопасность в финансовой сфере в условиях пандемии становится все более актуальной темой. По данным Банка России, объем операций без согласия клиентов во втором квартале 2021 года превысил три миллиарда рублей. Это на 38% выше показателя второго квартала 2020 года. При этом доля возвращенных средств сократилась с 12,8 до 7,4%. Что касается социальной инженерии, главного способа хищения денег с банковских счетов, то ее доля сократилась с 68,6 до 47%.
Однако радоваться рано: это связано с сокращением доли социальной инженерии в сфере оплаты товаров и услуг в интернете. В наиболее же проблемной по этому показателю сфере дистанционного банковского обслуживания (ДБО) ситуация практически не изменилась. Там доля социальной инженерии по сравнению с аналогичным периодом предыдущего года снизилась только на 5% — с 86,8 до 81,8%, а общая сумма операций без согласия клиентов выросла на 70% и достигла 1,24 млрд рублей. Иными словами, мошенникам проще атаковать клиентов банков напрямую, чем пытаться выманить деньги, используя схемы с использованием онлайн-магазинов.
Почему именно этот сегмент наиболее уязвим для действий мошенников? Что делают банки для защиты своих клиентов в этой сфере? Попробуем разобраться.
Для начала придется признать, что никаких глобальных прорывов за последние года два не произошло. Все так же слабым звеном в системах защиты остается человек — чаще всего это сами клиенты банков, но и сотрудники банков могут слить чувствительную информацию или базу данных на сторону.
Слежка за сотрудником
Для начала отметим, что технологические способы защиты информации о наших счетах постоянно совершенствуются и злоумышленникам становится все сложнее их преодолевать. По данным того же ЦБ, использование ошибок при разработке программного обеспечения для получения доступа к деньгам клиентов снизилась во втором квартале 2021 года по сравнению с аналогичным периодом 2020-го) на 70%. Значительно снизился и уровень фрода (англ. fraud — мошенничество) при установке финансовых приложений. По данным отчета AppsFlyer, в период со второго квартала 2020 года по первый квартал 2021-го уровень этого вида мошенничества снизился в России на 62%. Приложения, ворующие данные, сдают позиции везде: во Франции уровень фрода при установке приложения упал на 52%, в Африке — на 50%, в Германии и Великобритании — на 50 и 30% соответственно, на Ближнем Востоке на 20%.
К сожалению, даже самые совершенные технологические решения не могут обеспечить стопроцентной защиты данных, во многом из-за человеческого фактора. «Полностью исключить возможность утечки персональных данных из банков — практически неразрешимая задача, — поясняет директор компании “Антифишинг” Сергей Волдохин. — Причина в том, что организация и сопровождение процесса хранения данных требует администратора — человека, который будет управлять работой системы и поддерживать ее в рабочем состоянии. А если есть человек, значит, можно найти способ воспользоваться его слабостями: запугать, предложить денег или помощь в решении каких-то проблем в обмен на данные из хранилища».
Финансовые организации, реально обеспокоенные вопросом защиты клиентских данных в своих системах, в последнее время занимаются оптимизацией доступа своих сотрудников к данным клиентов. Цель — сделать так, чтобы сотрудники получали доступ только к той информации о клиенте, которая нужна прямо сейчас. Например, чтобы они не видели телефонный номер клиента (звонок идет через систему банка), чтобы у сотрудников не было возможности получить доступ к полной клиентской базе.
«Используются различные системы анализа активности сотрудников — ролевой доступ (ограничение/предоставление доступа к данным в зависимости от того, какую роль в данный момент выполняет пользователь системы. — “Эксперт”), анализ использования данных и анализ утечек, — рассказывает банкир, основатель финтех платформы TalkBank Михаил Попов. — Они позволяют по первым выверенным утечкам определять возможные источники и проводить внутреннее расследование относительно конкретных сотрудников. Используется также технология разделения данных между сотрудниками, с тем чтобы у одного сотрудника одновременно не формировалась вся картина по клиенту. Используется ограничение по количеству данных, которые могут быть запрошены единоразово. Контролируется то, как сотрудник может сохранять эти данные. Используются различные системы слежения, чтобы никто не фотографировал, не сканировал или не копировал клиентские данные, и так далее».
Пандемия внесла в этот процесс еще один фактор неопределенности — необходимость перевода части сотрудников на удаленку. Банкам, впрочем как и другим компаниям, пришлось обеспечивать безопасность при удаленном доступе к внутренним системам банков и данным клиентов. В этом случае внимание к вопросам безопасности должно быть еще выше, чем при работе из офиса. В дома и квартиры камеры скрытого наблюдения не поставишь.
Слежка за клиентом
С клиентами вопрос значительно сложнее. За ними такую плотную слежку, к счастью, установить невозможно. Впрочем, пользователи банковского приложения Сбера жалуются, что для работы оно требует большое количество разрешений, например к фотографиям и звонкам. С одной стороны, это нарушение права на личную жизнь, особенно если приложение отказывается работать без этих разрешений, с другой — позволяет банкам, не только Сберу, анализировать больше параметров поведения своих клиентов и находить подозрительные, выходящие за рамки привычек клиента, действия. В качестве примеров можно назвать крупную покупку в другой стране, когда клиент еще час назад что-то купил в супермаркете рядом со своим домом, или перевод крупной суммы на номер карты или телефон, при том что этого номера нет в его книге контактов и раньше он делал только небольшие переводы.
Такого рода антифрод-решения применяются банками уже некоторое время. Но сравнительно недавно за счет все большего внедрения технологий искусственного интеллекта и анализа больших данных появилась возможность анализировать поведение каждого клиента в отдельности. Раньше же приходилось ограничиваться общими настройками антифрода, в лучшем случае для групп клиентов.
«Активно идет анализ поведенческих характеристик транзакционной активности клиента. Это необходимо, чтобы антифрод-система срабатывала именно на нехарактерных для клиента активностях, работая более персонализировано и гибко, — поясняет Михаил Попов. — Раньше были единые правила для всех клиентов, что часто сопровождалось дискомфортом. Сейчас задача антифрод-системы — подходить более персонализированно к каждому конкретному клиенту, понимать привычные для него задачи, типичный размер операций и их типы. При этом используются различные системы анализа цифрового следа: как в приложении, так и на сайтах и других устройствах».
«В целом можно выявлять и пресекать бóльшую часть аномальных для клиента действий, — рассуждает Алексей Коняев, руководитель департамента решений по безопасности “SAS Россия/СНГ”. — Однако следует помнить, что в таком случае система будет реагировать и на другие похожие аномалии. Не нужно думать, что современная умная антифрод-система обладает какой-то магией — нет, она так же ошибается, ведь ее настраивал человек, который сам совершает ошибки. И чаще всего она ошибается, когда очень мало знает про клиента: сколько и где он платит, какими средствами платежа пользуется, как часто совершает операции, в какое время, откуда. Согласитесь, это очень похоже на наше поведение. Например, когда вы впервые приходите в кофейню, бармен тщательно вас расспрашивает относительно ваших вкусов, однако уже на третий раз, уже завидя вас издалека, скажет: “Вам, как обычно, латте на кокосовом молоке с ванильным сиропом?” При этом в первый ваш визит он, вероятно, ошибется, если попытается предугадать ваш заказ. Так и с антифрод-системой: чем дольше вы обслуживаетесь в банке, чем чаще совершаете операции и чем они разнообразнее, тем больше она знает про вас, тем меньше вероятность ошибки даже в случае анализа нестандартной операции. Проводя ту же аналогию с кофейней: вы приходите к вашему любимому бариста и узнаете, что кокосовое молоко сегодня уже закончилось. Бариста спокойно отреагирует, если вы скажете “тогда давайте на обычном молоке”, но сильно удивится, если услышит “тогда я буду чай”, который вы никогда не заказывали, и, скорее всего, переспросит, что именно вы хотите заказать. Вот и антифрод-система должна уметь понимать, когда без сомнения “принять заказ”, а когда нужно “переспросить” еще раз, не вызвав раздражения у клиента».
Кто звонит?
Идет и активное внедрение биометрии. Главное преимущество биометрической авторизации в том, что обычно она не требует сложных действий от клиента, и по сравнению с традиционными методами авторизации это улучшает его клиентский опыт. Мошенники еще не освоили в полной мере технологии обхода биометрии, пока это, скорее, сцены из фантастических фильмов. Впрочем, для большей надежности авторизация уже сейчас должна быть многофакторной, например по лицу и голосу или лицу и отпечатку пальца. Кстати, стоит отметить, что отпечаток пальца — это наиболее уязвимый способ биометрической идентификации. Его можно снять с любой гладкой поверхности, например с самого утерянного смартфона или даже с высококачественной фотографии, на которой видна ладонь.
Возвращаясь к теме защиты от мошенников, стоит упомянуть популярную дополнительную услугу, которую стали предлагать банки. Речь идет о сервисе проверки входящих вызовов, который предупредит о том, что звонит мошенник. Конечно, придется предоставить приложениям банков доступ к отслеживанию входящих звонков, но многие пользователи банковских приложений это и так уже разрешили. Кстати, достаточно большое количество мошеннических звонков отсекает и обычная функция запрета спам-вызовов от мобильного оператора. Чаще всего мошенники занимаются массовым прозвоном и их телефоны попадают в списки спамеров.
В начале сентября Общероссийский народный фронт на круглом столе по борьбе с телефонным мошенничеством предложил целый ряд мер. В том числе обязать сотовых операторов бесплатно информировать клиентов о том, что поступивший звонок имеет признаки незаконной рекламы или мошенничества. Особого энтузиазма это предложения не вызвало ни у представителей операторов, ни даже у Банка России и Минцифры. Впрочем, по оценке директора департамента обеспечения кибербезопасности Минцифры Владимира Бенгина, такая мера снизит число пострадавших на 20–30%, но не на 90‒100%. Он считает, что помимо информирования нужно бороться с самой проблемой. Владимир Бенгин также напомнил, что его ведомство полностью поддерживает законопроект по обмену данными между банками и телекомами. Цель этого законопроекта как раз помощь в борьбе с мошенничествами.
В подавляющем большинстве случаев надежность защиты сопровождается неудобствами в использовании финансовых приложений. Мы не готовы жертвовать своим удобством ради безопасности
Страховать или штрафовать?
Следующий метод борьбы банков с мошенничествами, скорее, борется с их последствиями. Речь идет о страховании вкладов/счетов от мошенничества и хищения. Это выглядит как поиск простого решения, замена реальных вложений в кибербезопасность плюс способ заработать на страховках. Тем более что доказать факт хищения часто не удается.
«Анализ рисков и иная аналитика, проводимая банковскими организациями, показывает, что гораздо выгоднее покрывать за счет страхования случаи мошенничества, — констатирует руководитель группы ИБ Лиги цифровой экономики Владимир Асташов. — Более того, у застрахованных лиц не всегда получается доказать, что случай действительно является страховым и по нему положена компенсация. Зачастую пользователи сами передают мошенникам чувствительную информацию, соответственно, у банка нет оснований считать транзакцию нелегитимной, а случай — страховым».
«Если смотреть на ситуацию со стороны потребителя банковских продуктов, то важнее, чтобы банки умели различать, кто совершил действия: реальный пользователь или злоумышленник, — отмечает руководитель направления по развитию ИБ-решений облачного бизнеса МТС Александр Карпузиков. — При этом важно, чтобы возврат средств на пользовательский счет осуществлялся как можно скорее, не вынуждая пользователей доказывать свою невиновность». Эксперт уверен, что представители банковской сферы вполне способны еще повысить надежность сервисов, развивая свою внутреннюю ИБ-экспертизу, привлекая внешних специалистов и пользуясь технологичными решениями по защите.
Можно, конечно, стимулировать банки вкладывать в информационную безопасность через увеличение штрафов, которые теоретически существуют и сейчас (ведь банки обязаны хранить наши деньги). Но вопрос, скорее, не в размере штрафов, а в том, как происходит процесс расследования инцидентов, насколько сложно клиентам получить компенсацию от банков и как именно применяются уже действующие законы.
«Это вопрос правоприменительной практики, потому что утечки, которые связаны с действием или бездействием банков, уже в текущей законодательной базе подлежат ответственности, — разъясняет Михаил Попов. — На банке лежит ответственность за сохранность средств и данных клиента. Но значительная доля атак происходит без использования непосредственно банковских данных. Мошенники во многом ориентируются на социальный инжиниринг, когда клиенты популярных банков получают звонки от мошеннических организаций. Это происходит не потому, что конкретные мошенники знают, что они обслуживаются в этой финансовой организации, а потому, что таких клиентов много. В целом здесь вопрос не в большей ответственности, а в применении ответственности к банкам с тем, чтобы шло удовлетворение исков со стороны обворованных банковских клиентов. Важно, чтобы суммы соответствовали реальному ущербу, а не были просто штрафами, связанными с административной ответственностью. Но, скорее, нужно выстраивать процесс правоприменения, нежели создавать новые законы».
На самом деле сложность борьбы с мошенничеством в финансовой сфере связана не только с самими мошенниками. В этом вопросе тесно переплелись интересы самих банков и их клиентов. В подавляющем большинстве случаев надежность защиты сопровождается неудобствами в использовании финансовых приложений. Мы не готовы жертвовать своим удобством ради безопасности. Многие клиенты предпочтут уйти из безопасного банка, если им для совершения платежа или перевода придется каждый раз проходить сложную и длительную процедуру авторизации и подтверждения платежа.
«Все те средства защиты, которые незаметны для пользователя и при этом обеспечивают сохранность его данных и средств, уже внедрены всеми банками и используются. Практика показывает, что этого недостаточно. Но внедрение дополнительных проверок снижает удобство, замедляет обслуживание и в итоге делает сервисы банка менее привлекательными, чем у конкурентов. Поэтому для финансовых организаций представляется разумным компромиссный подход, когда те риски, которые не удается исключить, какими-либо средствами страхуются», — заключает технический директор Trend Micro в России и СНГ Михаил Кондрашин.