Уральский форум «Кибербезопасность в финансах». В Екатеринбурге обсудили новые тренды современной российской ИБ
Каждый четвертый рубль, украденный мошенниками у населения, относится к заемным средствам
В ходе панельной дискуссии «Стратегия развития информационной безопасности финансовой сферы» участники этого знакового мероприятия назвали первостепенные задачи ИБ.
Председатель Банка России Эльвира Набиуллина, открывая панельную дискуссию, подчеркнула, что «нам нужно решать одновременно несколько задач», включая учет событий с ИБ, импортозамещение, кадровый голод, повышение информированности и уровня финансовой грамотности.
При этом глава ЦБ РФ отметила отсутствие каких-либо принципиальных успехов в направлении борьбы с киберпреступностью. Так, по ее словам, незначительно увеличилась доля возмещения банками потерь лицам, пострадавшим от кибермошенничества, – с 4,4% до 8,7% от общего объема потерь. А за 2023 год зафиксировано проведение 1,2 млн операций без согласия клиентов.
По ее мнению, ключевой задачей сегодня является противодействие кредитному мошенничеству, в рамках которого пока нет такого количества барьеров, как в сегменте денежных переводов. При этом каждый четвертый рубль, украденный мошенниками у населения, относится к заемным средствам.
По словам спикера, серьезным подспорьем здесь может выступить самоограничение физлиц на пользование кредитами, но совершенствование антифрода, а также борьба с дропперами играют здесь не меньшую роль. С 25 июля 2024 года лицам, признанным дропперами, в РФ будет отказываться в дистанционном банковском обслуживании.
Модератором выступил Анатолий Аксаков, председатель Комитета Государственной думы РФ по финансовому рынку, который задал участникам вопрос, в чем каждый из них видит ключевую задачу борьбы с киберпреступностью.
Станислав Кузнецов, председатель правления, Сбербанк, подчеркнул улучшение нормативной базы в части противодействия мошенничеству, а также появление стандартов в сфере кибербезопасности. Особое внимание он уделил созданию антифрод-платформы, на базе которой крупнейшие мобильные операторы фактически лишают преступников возможности пользоваться подменными номерами, пресекая до 15 млн таких попыток ежедневно. При этом создать единую платформу обмена информацией по рисковым событиям в сфере кибербезопасности пока не удалось. Остаются также лазейки в плане преступного использования SIМ-карт и SIМ-боксов.
В свою очередь Вадим Кулик, заместитель председателя правления Банка ВТБ, отметил, что ключевой задачей он видит совершенствование инструментов борьбы с фродом и в первую очередь – средств обмена данными между юрлицами. При этом на руках у мошенников тоже появляются новые инструменты, включая атаки на биометрические системы, и противостоять им участники рынка, по большому счету, не готовы. Для этого им потребуются новые технологии и решения, а также стратегии обеспечения ИБ.
Константин Басманов, вице-президент, Промсвязьбанк, отметил появление в России стандарта «Открытый кабель», обеспечивающего своевременную блокировку сервисов ДБО при подозрении на мошенничество.
Дропперы – от административной до уголовной ответственности!
Особое внимание участники пленарной дискуссии уделили проблеме дропперов, без участия которых невозможна реализация подавляющего большинства преступных схем. «Нужно создавать атмосферу неприятия деятельности дропперов», – заявила глава Банка России Эльвира Набиуллина.
По ее словам, с 25 июля 2024 года лицам, признанным дропперами, в РФ будет отказываться в дистанционном банковском обслуживании.
При этом отдельного внимания требует задача создания платформ обмена данными о дропперах между участниками рынка.
Станислав Кузнецов, председатель правления Сбербанка, координирующий работу управления внутрибанковской безопасности, отметил, что в свое время банк единовременно заблокировал несколько тысяч карт, держатели которых были признаны дропперами, и не получил ни одной жалобы от законопослушных клиентов. На этом фоне он призвал ввести уголовную ответственность за дропперство по примеру Белоруссии, где этот вид преступной деятельности достаточно ограничен в силу опасения желающих им заняться лишиться свободы.
В свою очередь ряд участников панельной дискуссии предложили на первом этапе ограничиться вариантом введения административной ответственности для дропперов.
Сергей Велигодский, старший управляющий директор Управления противодействия кибермошенничеству, Сбербанк, отметил значительное вовлечение молодежи в этот вид преступной деятельности. Так, самому юному выявленному дропперу, по словам эксперта, едва исполнилось 14 лет – возраст, с которого подростки уже могут обзаводиться первой банковской картой с согласия родителей.
Число киберпреступлений кратно растет на фоне снижения традиционных правонарушений
Эту проблему обсудили в числе прочих участники сессии «Бизнес-модель организаций кредитно-финансовой сферы vs Информационная безопасность».
Модератором выступил Дмитрий Миклухо, старший вице-президент – директор департамента информационной безопасности Промсвязьбанка. Он предложил участникам дискуссии следующие вопросы для обсуждения:
1. Баланс ИБ и бизнеса как фактор успешного развития.
2. Влияние ИБ на бизнес-модель.
3. Клиентоцентричность: простота и удобство или безопасность.
4. Как сделать избыточную безопасность неизбыточной?
Как отметил Дмитрий Саранцев, начальник управления по обеспечению информационной безопасности, вице-президент ВТБ, отвечая на вопрос о балансе между безопасностью и интересами бизнеса, бизнес изначально должен закладывать задачи обеспечения безопасности в свои стратегии развития, в противном случае в скором времени их придется пересматривать.
Александр Чернощекин, старший вице-президент – руководитель блока цифрового бизнеса банка ПСБ, в качестве примера процесса, где «безопасность побеждает рациональность», напомнил аудитории про долгое заполнение бумажных форм согласия на использование персональных данных, создавшее длинные очереди среди участников Уральского форума при регистрации. По словам спикера, в масштабах крупного банка такой подход к обеспечению ИБ мог бы обернуться крупными потерями. Глобальная цена защиты не должна превосходить стоимость максимально возможных потерь – и это одно из ключевых условий упомянутого баланса.
Наталья Касперская, генеральный директор компании InfoWatch, отметила, что решения в сегменте защиты данных от утечек сложны во внедрении и подразумевают тесное сотрудничество поставщика и заказчика, который лучше кого-либо знает, какие моменты ему необходимо защитить в первую очередь. Таким образом, такие проекты отчасти осложняют бизнес, однако они необходимы для его существования, в случае, разумеется, если цена защищаемых данных превышает цену защиты.
Эксперт обратила внимание на парадоксальность текущей ситуации, когда количество киберпреступлений растет кратно, в то время как число традиционных преступлений неуклонно снижается.
Дмитрий Гусев, заместитель генерального директора компании «ИнфоТекС», считает, что противопоставление бизнеса и безопасности выглядит несколько надуманно на фоне отсутствия четко распределенной ответственности за события ИБ среди руководства и сотрудников компании. На этом фоне ситуацию необходимо урегулировать, а информационная безопасность должна стать «своего рода сопроматом, изначально накрепко вбиваемым в голову разработчикам».
Владимир Трояновский, заместитель генерального директора АО «НСПК», отвечая на вопрос «Как сделать избыточную безопасность неизбыточной?», отметил, что ИБ необходимо закладывать в новый продукт еще на стадии разработки, и в НСПК традиционно практикуют именно такой подход. В противном случае даже очень продвинутые технологии противодействия сами по себе в полной мере помочь не смогут.
Барьером на пути к технологическому суверенитету является перераспределение активов, включая системы информационной безопасности
В ходе сессии «Технологический суверенитет» Дмитрий Миклухо, старший вице-президент – директор департамента информационной безопасности ПСБ, рассказал о тенденциях в развитии решений в области информационной безопасности и барьерах на пути к технологическому суверенитету в этом направлении. «Рыночные решения в области защиты информации должны развиваться, учитывая комплексный подход. Они должны гарантировать конфиденциальность, целостность и доступность информации. Тем не менее наблюдается тенденция, при которой усиление одного свойства происходит за счет другого. Например, разработка отечественного Межсетевого экрана следующего поколения (NGFW) сталкивается с проблемами пропускной способности. Достичь приемлемого уровня для модуля межсетевого экранирования возможно, но модуль предотвращения вторжений (IPS) вызывает больше сложностей. Это заставляет заказчика отказываться от некоторых функций безопасности, рискуя конфиденциальностью и целостностью информации», – отметил Дмитрий Миклухо.
Он также обозначил барьеры на пути к технологическому суверенитету. Одним из таких барьеров является перераспределение активов, включая системы информационной безопасности. Многие отечественные вендоры ИБ стремятся к созданию «экосистемных» решений. Это вынуждает заказчиков либо использовать только их продукцию, что неприемлемо из-за незрелости некоторых продуктов, либо тратить ресурсы на интеграцию разнородных решений.
В ходе дискуссии участники обсудили способы преодоления этих препятствий. Поиску решений будет способствовать взаимодействие с производителями и обсуждение проблем в консорциумах, технических комитетах и на площадках открытого диалога. Заказчики могут разрабатывать унифицированные решения, опираясь на опыт коллег и адаптируя не только технические требования, но и внутренние процессы. Производители в свою очередь должны стремиться к созданию открытых продуктов с поддержкой стандартных интерфейсов.
Ольга Скоробогатова: Опыт России позволяет нам не повторять чужих ошибок при внедрении Открытых финансов
С этим мнением регулятора согласились участники сессии «Безопасность данных. API и платформа согласий».
Выступая в роли модератора, Ольга Скоробогатова, первый заместитель председателя Банка России, напомнила, что «мы идем не в Открытый банкинг, а в Открытые финансы», призналась, что в 2024 году готовится к реализации ряд конкретных кейсов, и предложила участникам поделиться своим мнением по следующим вопросам:
1. Экосистема данных: клиент, поставщик данных, потребитель данных, платформа согласий.
2. Безопасность данных: как это сделать при внедрении API.
3. Искусственный интеллект на страже информационной безопасности.
Как отметил Максим Григорьев, генеральный директор Ассоциации ФинТех, рассказывая о результатах недавнего отчета АФТ по внедрению открытых API в разных странах мира, многое зависит от того, удалось ли найти действительно востребованные кейсы для реализации данной концепции. Немаловажную роль играют и возможности для управления согласием на использование персональных данных – в частности, это направление удачно решено в Индии. При этом вопросы безопасности также являются ключевыми при использовании открытых API.
Отвечая на вопрос первого заместителя председателя ЦБ РФ, глава АФТ подтвердил готовность Ассоциации ФинТех создать коробочное решение для перехода на концепцию Открытых финансов компаний самых различных масштабов бизнеса и секторов.
По словам эксперта, за последние годы в России пройден серьезный путь для успешной реализации всех этих задач.
Как добавила Ольга Скоробогатова, благодаря этому мы также можем себе сегодня позволить не повторять чужих ошибок. Так, например, в РФ не планируется создавать специальных операторов данных, хотя, как подчеркнула эксперт, «при появлении запросов со стороны участников рынка мы можем пересмотреть свою позицию по данному вопросу».
В свою очередь Константин Басманов, старший вице-президент Промсвязьбанка, заявил, что разработанный АФТ стандарт по присоединению к Открытым API на практике показал себя очень хорошо и должен повсеместно соблюдаться в дальнейшем.
Ольга Сорокина, член совета директоров, заместитель генерального директора Страхового Дома ВСК, рассказала о преимуществах использования концепции Открытых финансов в медицине.
Дмитрий Дубынин, директор Департамента развития технологий цифровой идентификации, Минцифры России, отметил, что в настоящий момент в РФ проектируется Платформа коммерческих согласий, функционал которой может быть расширен по результатам пилотных проектов и с учетом рекомендательного использования Открытых API. Спикер поделился планами по поводу времени появления рабочей версии, назвав 2025 год.
Вадим Кулик, заместитель президента — председателя правления, Банк
ВТБ, напомнил, что Открытые API являются частью платежной инфраструктуры банка, на которую распространяются соответствующие требования. При этом обращающиеся в этот банк за платежными сервисами клиенты, включая ритейлеров, такой ответственности не несут, и этот дисбаланс должен быть устранен.
В 2023 году количество случаев финансового мошенничества выросло на треть – ЦБ РФ
Второй день Уральского форума «Кибербезопасность в финансах» его участники начали с обсуждения мер предотвращения мошенничества в сегменте денежных переводов.
Модератором сессии «Противодействие мошенничеству при переводах денежных средств» выступил Вадим Уваров, глава департамента информационной безопасности Банка России. Он привел следующую тревожную статистику – за 2023 год мошенникам удалось похитить 15 млрд рублей, количество мошеннических операций выросло на 33% и достигло одного миллиона событий.
При этом треть пострадавших никуда не обращались с заявлением о том, что стали жертвами мошенничества, а 48% обращались только в одну структуру – в банк либо в МВД.
Вадим Уваров предложил участникам сессии подискутировать на следующие актуальные темы:
1. Противодействие совершению операций без добровольного согласия клиентов.
2. Информационный обмен кредитно-финансовой сферы с правоохранительными органами.
3. Противодействие вовлечению в дропперство.
Сергей Велигодский, старший управляющий директор, директор департамента противодействия мошенничеству Сбербанка, отметил, что объемы телефонного мошенничества в разы превосходят сегодня другие виды фрода. Преступниками активно используются мессенджеры, на которые приходится 80% мошеннических сценариев, виртуальные АТС и SIM-боксы.
Особое внимание он уделил адресному воздействию на людей с помощью приемов социальной инженерии, результатом которой порой становится настоящее «зомбирование» жертвы и стимуляция ее на самые безумные поступки.
При этом, по данным эксперта, 80% жертв приходят в себя и осознают, что их обманули, примерно через 24 часа после происшествия, поэтому именно на этот период охлаждения стоит ориентироваться законодателям.
Артем Гутник, руководитель направления кибербезопасности НСПК, отметил, что в рамках Системы быстрых платежей (СБП) фрод за 2023 год составил 0,4 базисного пункта, что ниже, чем показатель по ПС «Мир», и значительно лучше, чем средний показатель по миру.
При этом, по мнению Сергея Велигодского (Сбер), заложенные сегодня в СБП индикаторы фрода нуждаются в совершенствовании, поскольку позволяют произвольно как занижать, так и завышать показатели.
Данил Филиппов, заместитель начальника следственного департамента, МВД РФ, отметил, что в 2023 году было раскрыто на 21% больше преступлений в сфере кибермошенничества, чем в предыдущем, в частности, пресечена деятельность 19 преступных кол-центров, потерпевшим удалось вернуть свыше 150 млн похищенных рублей. Также недавно была успешно проведена совместная операция с силовиками Белоруссии по ликвидации мошеннического кол-центра, жертвами которого становились исключительно россияне.
Как отметил Филипп Немов, начальник Управления по организации борьбы с противоправным использованием информационно-коммуникационных технологий МВД России, если раньше мошенники покушались лишь на средства, которые находились в распоряжении жертвы, то сегодня речь идет по большей части о заемных средствах. Людей под воздействием агрессивной социальной инженерии заставляют брать кредиты и отдавать полученные деньги преступникам. При этом для банков данные займы становятся по определению безвозвратными.
Кроме того, «зомбированные» потерпевшие в срочном порядке распродают недвижимость и иные ценности, чтобы обеспечить передачу требуемой суммы преступникам.
На этом фоне банк «Тинькофф» протестировал и запустил специальные мобильные команды из сотрудников «Тинькофф Защиты» для спасения жертв мошенников в тот момент, когда они планируют перевести злоумышленникам деньги. Их сотрудники оперативно выезжают к людям, находящимся под сильным психологическим воздействием мошенников, и разубеждают их совершать фатальные для них операции (если ранее сотрудникам Тинькофф Защиты не удалось это сделать по телефону или в чате). Об этом рассказал Олег Замиралов, заместитель руководителя Центра экосистемной безопасности Тинькофф.
Алексей Войлуков, глава Ассоциации банков России, поднял вопрос о том, как поступать с точки зрения законопроекта, устанавливающего «период охлаждения», в случаях, когда клиент при личном визите в банк отдает «бумажное» поручение о переводе средств на счет, находящийся в черном списке. Кроме того, по мнению спикера, законопроект не учитывает ситуации, когда счета добропорядочных граждан используются преступниками без ведома владельцев как транзитные для увода похищенных средств.
Одной из важнейших задач эксперт назвал организацию эффективного обмена данными с МВД, включая разработку и принятие единых стандартов запросов и т. д.
Ответ социальной инженерии – в синергии финансовой грамотности и технологий
Такое мнение высказал Александр Шойтов, заместитель министра цифрового развития, связи и коммуникаций РФ, в ходе сессии «Обеспечение безопасности значимых объектов критической информационной инфраструктуры».
Замминистра отметил, что государство с 2022 года предприняло целый ряд мер, позволивших значительно повысить уровень ИБ контролируемых им объектов КИИ.
В то же время социальная инженерия и фишинг остаются серьезной проблемой, требующей не только значительного повышения финансовой грамотности, но и технологических мер, минимизирующих влияние человеческого фактора, включая многофакторную идентификацию, разграничение доступа и т. п.
Отдельное внимание замминистра уделил технологической независимости КИИ, приведя в пример платформу «ГосТех», в которой в 2024 году должен появиться единый конвейер доверительной разработки программного обеспечения.
Требования к информационной безопасности банка должны быть написаны «на одном языке» – заявил Сергей Лебедь, вице-президент Сбербанка по кибербезопасности.
Как напомнил эксперт, «все мы живем в системе двух измерений – рискоориентированность и комплаенс». При этом очень важным свойством экспертов в сфере ИБ является способность оперативно и грамотно увязывать то или иное конкретное требование регулятора или законодательства к имеющейся ИТ-инфраструктуре и системам банка. А с учетом того, что общее число таких требований превышает сегодня 3000, критично важно, чтобы они были понятны и написаны «на одном языке». Это значительно облегчит их правильное исполнение банками, что, как известно, и является залогом безопасности, считает эксперт.
В 2023 году банк «Тинькофф» не дал мошенникам похитить 21 млрд рублей – сообщил Олег Замиралов, заместитель руководителя Центра экосистемной безопасности, Тинькофф.
Он рассмотрел ключевые риски мошенничества, отметив, что наиболее опасными по-прежнему являются звонки социальных инженеров, включая кредитное мошенничество. При этом, по словам спикера, благодаря сотрудничеству Тинькофф с мобильными операторами банку удается эффективно предотвращать такого рода преступления в отношении своих клиентов, в том числе – в рамках специальных сервисов, гарантирующих возврат похищенных средств в случае, если банк не смог предотвратить фрод. Как отметил Олег Замиралов, за 2023 год его банк предотвратил попытки проведения мошеннических операций в общей сложности 21 млрд рублей.
Выступая на сессии «Мониторинг цифровой среды. Обеспечение безопасности криптовалютных транзакций», Ольга Полякова, заместитель председателя ЦБ РФ, назвала криптовалюты рискованными инвестициями.
Анализируя рост использования криптовалюты для инвестирования, трансграничных и внешнеэкономических расчетов по сравнению с прошлыми годами, эксперт отметила, что доля таких операций во всем легальном российском финансовом рынке пока еще невысока. По ее словам, конечно, инвестирование в крипту возможно, но нельзя обходить вниманием проблему способности адекватной оценки инвестором соответствующих рисков.
В ходе второго дня мероприятия Михаил Смирнов, руководитель ЭАЦ InfoWatch, представил аудитории Уральского форума отчет по результатам исследования, посвященного утечкам информации конфиденциального характера в организациях финансового сектора в России и в мире за 2021–2023 годы. В документе обозначено распределение количества утечек информации и количества скомпрометированных записей персональных данных в финансовом сегменте. Также дано распределение утечек информации по отраслевым подкатегориям (банки, страховые компании, биржи, небанковские кредитные организации и т.д.), по типам инцидентов, нарушителям и др.
Уральский форум «Кибербезопасность в финансах» является крупнейшей в России специализированной площадкой для обсуждения тенденций и вызовов в сфере обеспечения информационной безопасности, приоритетов и перспектив развития киберустойчивости финансовых организаций. Мероприятие — преемник знаменитой Магнитки — переехало из своей традиционной локации — Магнитогорска — в Екатеринбург. Справедливости ради отметим, что в этом году речь идет скорее даже не о переезде, а о раздвоении форума. Дело в том, что в Магнитогорске с 27 февраля по 29 февраля 2024 года будет проводиться еще одно ИБ-мероприятие — «Цифровая устойчивость и информационная безопасность России», нацеленное преимущественно на небанковские структуры.