Вадим Уваров: «Борьба с социальной инженерией — дело общее!»

ПЛАС: Как вы оцениваете последние тренды в противодействии мошенникам в банковском секторе и платежной индустрии? Удается ли найти возможности для хотя бы частичного нивелирования суперактивности преступников и в той или иной степени купировать ущерб, наносимый их деятельностью? Если да, то каким образом?

В. Уваров: Как известно, мошенники действуют как против финансовых организаций, так и против их клиентов — ​физических и юридических лиц. По нашим данным, финансовые организации, в частности банки, в целом смогли успешно выстроить системы защиты. В 2020 году непосредственно у банков похитили всего 32 млн руб­лей. Таким образом, пандемия показала — ​переход на удаленный режим работы и обслуживание клиентов не привел к всплеску потерь банков от мошенничества.

Несколько иная картина открывается, когда мы говорим о потерях от мошенничества со стороны банковских клиентов. В 2020 году общая сумма денег, похищенных мошенниками у клиентов банков — ​физических лиц, составила примерно 8,75 млрд руб­лей, что значительно превышает аналогичный показатель «допандемийного» 2019 года — ​5,7 млрд руб­лей.

С одной стороны, мы видим полуторный рост потерь. С другой — ​нельзя забывать, что люди в 2020 году, находясь в режиме самоизоляции, гораздо чаще совершали покупки, используя ДБО, соответственно, объем платежных транзакций, совершаемых дистанционно, тоже возрос практически на четверть. Иными словами, нельзя говорить о ­каком-либо существенном росте доли похищенных финансовых средств, поскольку объемы операций физлиц в прошлом году на фоне пандемии также резко и значительно возросли.

Однако если рассматривать такое явление, как социальная инженерия, нельзя обойти стороной следующий момент. Несмотря на резкое увеличение потерь населения от действий мошенников в абсолютных величинах, доля возмещенных физлицам денег за 2020 год составила всего 11,3% от хищений, что никак нельзя назвать высоким показателем.

В чем здесь проблема? В первую очередь в том, что основная доля операций без согласия клиента (как официально именуются мошеннические транзакции в наших отчетах), а именно 62%, была совершена именно с использованием методов социальной инженерии.

Следовательно, под их воздействием клиент самостоятельно либо выдал преступникам критичную информацию (одноразовый пароль, ПИН-код, CVC/CVV и т. п.), либо совершил перевод своих средств на сторонний счет (например, пытаясь их «спасти» по совету преступника, представившегося банковским работником). В результате клиент фактически нарушил соответствующие положения договора с банком (пусть и не отдавая себе в этом отчет) и лишился права на компенсацию потерянных средств согласно ФЗ‑161. В этом и состоит опасность социальной инженерии, направленной именно на кошельки клиентов, причем зачастую из малообеспеченных и социально незащищенных групп.

Следует отметить, что в 2019 году доля социальной инженерии в общем количестве операций без согласия клиента была несколько больше и составляла 68,6%. Банк России, в том числе мои коллеги из департамента по связям с общественностью, университет Банка России и другие подразделения регулятора проделали масштабную просветительскую работу с банками в плане подготовки кадров, контента и доведения информации до клиентов кредитных организаций.

В частности, совместно с коллегами из департамента по связям с общественностью мы подготовили видеоролики, которые размещались в общественном транспорте, включая Московский метрополитен. В доступной форме пассажирам разъяснялось, как не стать жертвой мошенников.

Важно понимать, что проблема социальной инженерии — ​это не проблема технической безопасности того или иного цифрового сервиса. Здесь все упирается в психологию и, конечно же, в осведомленность клиента. Поэтому, разрабатывая информационный контент, большое внимание мы уделили адаптации содержания и каналам его донесения до различных групп населения. Как известно, люди старшего поколения больше нацелены на телевидение и читают газеты. Среднее поколение живет в мире цифровых гаджетов, молодежь черпает информацию из социальных сетей, мессенджеров и т. п. Мы внимательно изучаем те социальные группы, которые часто попадаются на уловки мошенников, и пытаемся для каждой из них разработать свой контент, наиболее простой и понятный для восприятия.

Очень важно, чтобы такого рода информация была доступна клиенту «здесь и сейчас». Именно поэтому, например, мы обращаем внимание банков на необходимость размещения соответствующих материалов с инструкциями противодействия мошенникам на банкоматах. Именно банкомат за последний год все чаще выступает инструментом хищения денег у жертв социальной инженерии. Находясь под психологическим воздействием, клиент снимает свои средства со счета наличными и переводит их на сторонний якобы «совершенно безопасный» счет, используя банкомат другого банка и реквизиты, которые указал ему преступник. В этом случае разрывается цепочка срабатывания антифрод-­систем кредитных организаций, и наличные деньги без проблем зачисляются на счет преступников через другой банкомат, откуда моментально снимаются дропперами. В результате обманутый клиент, составляя заявление о преступлении в полицию, зачастую не может вспомнить даже реквизиты счета, которые он вводил при переводе. Это ноу-хау мошенников, которое в настоящее время они активно используют.

Также для противодействия так называемому телефонному мошенничеству Банк России вместе с операторами мобильной связи, Роскомнадзором и другими ведомствами ведет работу в сфере нормативного регулирования. Это и борьба с подменными номерами, и создание системы обмена информацией между банками и операторами мобильной связи. Также Банк России инициирует блокировку мошеннических телефонных номеров.

ПЛАС: Как выглядит на конец 2020 года — ​середину 2021‑го ситуация с использованием преступниками социальной инженерии? Когда ожидаются реальные успехи на этом фронте, которые могли бы свидетельствовать о реальном переломе ситуации в противодействии криминалу?

В. Уваров: Статистику за 2021 год мы дадим в следующем году. В скором времени опубликуем данные за первый квартал 2021 года. Для реального успеха нужна максимально плотная координация усилий многих организаций и государственных структур, в том числе правоохранительных органов. Также важна просветительская работа, которую, как я уже отметил, активно ведет Банк России. Сейчас, пожалуй, нет ни одного человека, который бы не знал о телефонных мошенниках, однако мало кто задумывается над тем, что именно он может стать очередной жертвой. По этой причине многие даже неплохо информированные об этой угрозе люди, сталкиваясь с мошенниками, теряются и совершают критичные ошибки.

Чтобы не стать жертвой мошенника, необходимо помнить, что никогда и ни в коем случае нельзя сообщать незнакомым людям, кем бы они ни представлялись, либо вводить на сомнительных ресурсах данные банковской карты, коды из SMS, секретные слова т. п. Также нельзя переводить деньги куда бы то ни было по указанию лично не знакомых вам людей, даже если они представляются сотрудниками банка, правоохранительных органов или компаний с известными брендами. В целом же любой звонок «из банка», целью которого является побуждение клиента к ­каким-либо действиям, следует немедленно прервать, сразу же перезвонив в банк по ранее известному вам номеру.

Сразу оговорюсь — ​мы прекрасно понимаем, что снижение доли социальной инженерии в общем количестве транзакций без согласия клиента на 7% за год — ​это далеко не самый лучший показатель, равно как и упомянутое 11%-процентное возмещение денежных средств жертвам мошенников. Растущая активность телефонных мошенников, которые используют текущую ситуацию в кредитно-­финансовой сфере, дала нам повод детально задуматься над этим вопросом. И сегодня Банк России принимает ряд конкретных мер по минимизации этой проблемы, которые позволят нам радикально изменить состояние дел по борьбе с социальной инженерией.

ПЛАС: Стоит ли, на ваш взгляд, ожидать расцвета социальной инженерии в странах ближнего зарубежья?

В. Уваров: Согласно нашим наблюдениям, есть основания прогнозировать перемещение таких тенденций на территорию постсоветского пространства, где сегодня используются близкие технологии, стандарты и т. п.

ПЛАС: Журнал «ПЛАС» и портал Retail and Loyalty в самом начале июня проводят в столице Узбекистана Международный ПЛАС-Форум «Банки и ритейл. Цифровая трансформация и взаимодействие» для ведущих представителей банкинга и торгового ритейла стран Центральной Азии [интервью прошло в преддверии Ташкентского ПЛАС-Форума]. На что вы считаете необходимым обратить внимание ваших коллег из ближнего зарубежья и чего бы вы хотели пожелать им?

В. Уваров: Тенденция к переходу финансового рынка в «цифру» характерна для многих стран СНГ. Вместе с тем будут активизироваться и кибермошенники. Полагаю, что, к сожалению, эта участь не обойдет стороной и наших коллег из ближнего зарубежья. Со своей стороны, мы готовы делиться имеющимися опытом и наработками, чтобы помогать им решать вопросы в сфере обеспечения информационной безопасности финансовой системы. С некоторыми центральными и национальными банками мы уже осуществляем обмен информацией через систему Банка России по обработке инцидентов АСОИ ФинЦЕРТ и сегодня готовы расширять круг участников информационного обмена.

ПЛАС: Ваша оценка опасности таких моделей популяризации и масштабирования преступной деятельности, продвигаемых криминалитетом, как «Crime as a service» и другие подвиды противоправных действий «… as а service»? Можно ли говорить о необходимости ужесточать уголовную ответственность именно за оборот различного рода преступных методик, одновременно повышая раскрываемость таких дел в части выявления «продавцов», чаще всего уходящих сегодня от ответственности?

В. Уваров: Это вопрос скорее к правоохранительным органам. Однако лично я считаю очевидным, что в этом случае, как и при совершении любых других преступлений, ответственность должны нести и заказчик, и исполнитель. Причем именно уголовную ответственность.

Не секрет, что сегодня хищения денежных средств банковских клиентов из числа физлиц становятся возможны во многом благодаря незаконному обороту персональных данных. Поэтому мы выступаем за изменение структуры статьи 183 Уголовного кодекса («Незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну») в части ужесточения наказания по ней. В этой статье речь идет не о персональных данных как таковых, а о банковской тайне. Ведь, по сути, из банка утекают не только сведения о конкретном человеке, но и информация о его счете, а это уже не просто персональные данные, а данные, составляющие банковскую тайну. Более того, мы также считаем нужным ввести запрет на работу на финансовом рынке для лиц, занимающихся работой со сведениями, являющимися банковской тайной, и с персональными данными граждан, по вине которых утекла информация, составляющая банковскую тайну. Необходимо, чтобы эти люди отдавали себе отчет о масштабе тех потерь, которые могут произойти по их вине. Для этого требуется, чтобы за каждым конкретным вопросом был конкретный ответственный человек — ​заместитель руководителя организации по ИБ либо ­кто-то еще в руководстве кредитной организации. И если по вине этого лица произошел инцидент, в будущем оно не сможет занимать определенные должности на рынке, даже перейдя в другую организацию. По нашему мнению, это была бы весьма действенная мера.

Справедливости ради подчеркну, что далеко не все попадающие в руки мошенников персональные данные уходят именно из банков. Скажу больше — ​доля банков лишь капля в море скомпрометированных данных. Основные утечки идут через фишинговые сайты, интернет-­магазины и другие ресурсы, которые собирают данные клиентов-­физлиц.

ПЛАС: Хотелось бы услышать вашу оценку целей и задач, которые ставятся перед киберучениями. Какова их результативность? Перспективы дальнейшего развития этой инициативы? Какую роль здесь играет такое понятие, как риск-профиль?

В. Уваров: Риск-профиль — ​новый важный формат для оценки уровня обеспечения информационной безопасности финансовых организаций. Введение риск-профиля обусловлено возросшей необходимостью для Банка России понимать, насколько конкретная финансовая организация готова противостоять инцидентам в сфере ИБ, а также учитывать, в какой степени у нее хватает ресурсов для покрытия возможного ущерба. Это путь постепенного отхода от сосредоточения на чисто технических вопросах обеспечения информационной безопасности поднадзорными организациями. Чрезмерно погружаясь в технические детали, можно не заметить принципиальных проблем, которые действительно могут возникнуть у финансовой организации, но находятся не в зоне технических специалистов, а на уровне руководства. Проблемы могут быть разными: хищение денежных средств, нарушение устойчивости работы информационной инфраструктуры, непредоставление важного и нужного сервиса клиентам. Предметом оценки является способность финансовой организации обеспечить непрерывность, бесперебойность и операционную надежность своего функционирования.

С введением риск-профиля надзорный процесс со стороны Банка России перестанет быть привязан к оценке чисто технических составляющих. В центре внимания оказывается готовность финансовой организации противостоять угрозам, ее реальная защищенность. Поэтому с 2020 года мы начали проводить так называемые киберучения.

Первая задача киберучений — ​оценить защитные возможности, моделируя стрессовую ситуацию. Понять, насколько тестируемая финансовая организация готова к отражению такой атаки.

Вторая задача — ​проверить, в какой степени она готова локализовать проблему, т. е. предотвратить дальнейшее развитие инцидента.

И наконец, третья задача — ​выявить реальные ресурсы этой финансовой организации для предотвращения либо устранения последствий инцидента.

Киберучения проводятся в формате моделирования атак определенного типа и отслеживания последовательности действий служб информационной безопасности. Например, в случае распространения злоумышленниками вредоносного программного обеспечения — ​вируса-­шифровальщика. Важно проверить, насколько и на каком этапе проверяемая организация сумела его выявить. Начал ли вирус-­шифровальщик распространяться по корпоративной сети, какую работу успел проделать, какие действия, в какой последовательности и кем были предприняты, чтобы локализовать инцидент и устранить последствия. Будет проводиться оценка ущерба и сроков восстановления полноценной работы организации.

Все три перечисленных момента складываются в единую общую задачу. Понять, как конкретная атака, инцидент может повлиять на устойчивость функционирования финансовой организации. По итогам проверочной деятельности при выявлении серьезных проблем будут приниматься меры реагирования.

Проверки будут проводиться не по единой для всех схеме, но с учетом особенностей бизнес-­процессов и технологий конкретных финансовых организаций. В 2021 году мы продолжаем практику киберучений.

ПЛАС: В заключение нашей беседы — ​ваша оценка недавней инициативы Госдумы о законодательном закреплении за гражданами возможности официального отказа от получения любых кредитов? В какой мере она может оказаться эффективной на практике?

В. Уваров: Банк России получил предложения по внесению соответствующих изменений и после их изучения ответит их авторам. Вместе с тем инициатива обязать банки по желанию клиента ограничивать ему ряд операций уже находится в проработке. Представляется, что такая мера должна распространяться на всех клиентов банков и других организаций. Технологически такой функционал уже реализован у ряда банков. Мера действенна в случаях, когда клиента финансовой организации провоцируют дистанционно совершить действия с его счетами в пользу злоумышленников, а также в случае оформления злоумышленниками онлайн-­займов с использованием персональных данных клиента.​​

Сегодня вопрос стоит даже несколько шире — ​в рамках поручения президента РФ перед нами была поставлена задача проработать возможность добровольного ограничения доступа определенных категорий населения к каналам ДБО. Мы считаем, что эта норма должна быть закреплена в федеральном законодательстве. В результате клиент самостоятельно сможет определять формат своего общения с кредитной организацией. Например, он может дать волеизъявление на отключение себя от всех дистанционных каналов банковского обслуживания либо запретить совершать определенные операции от своего лица — ​например, перевод с карты и т. п. Благодаря появлению такой нормативной возможности определенные слои населения, люди, которые не достигли уровня цифровой зрелости (или просто по каким-от причинам не до конца понимают, что делают), могли бы своевременно и адекватно реагировать на угрозы мошенничества.

Лично я уверен, что люди старшего возраста, которые уже успели хотя бы однажды испытать на себе результаты использования жуликами социальной инженерии, в большинстве случаев предпочтут хотя бы частично отказаться от использования дистанционных каналов.