Кибербезопасность как источник убедительных аргументов для целевых VIP-клиентов в 2023 году

Тезис № 1. VIP-клиент готов нести издержки неоптимальной организационно-управленческой структуры.

Для нынешнего российского бизнеса, особенно крупного, характерна искусственно усложненная иерархическая, реже сетевая структура бизнеса в виде совокупности функционально связанных российских и иностранных юридических лиц. При этом собственник централизованно замыкает решение не только стратегических, но и оперативных вопросов на самого себя, в лучшем случае — на ограниченный круг лиц, которые не обязательно являются профессионалами, но которым он доверяет. Обычно это друзья-знакомые-родственники, реже — проверенные временем сотрудники или партнеры по прошлому бизнесу, и лишь в крайнем случае — собственные сотрудники, наемные работники-профессионалы.

Несмотря на высокие внутренние издержки на поддержание такой избыточной и не совсем оптимальной организационно-управленческой структуры, в определенных случаях она вполне успешно обеспечивает устойчивость бизнеса. И прежде всего — при попытках враждебных поглощений (особенно со стороны государства и государственных корпораций), а также в кризисной ситуации.

О необходимости такой реструктуризации постоянно упоминалось в течение последних 10–15 лет, особенно при обеспечении прав наследования от первого и второго поколения российских собственников к следующим. К подобной постановке задачи постепенно привыкли (особенно в рамках программ обслуживания в духе «корпоративной лояльности», предлагаемой отечественным private banking, для которого такие собственники были целевыми VIP-клиентами, в рамках одновременного сопровождения их капитала: и бизнеса, и личного состояния одновременно). Причем находились собственники бизнеса, которые даже решали ее, хотя и с переменным успехом.

Тезис № 2. VIP-клиент не готов оптимизировать свою организационно-управленческую структуру

Однако после кризиса 2009 года и первых антироссийских санкций 2014-го на социально-демографические характеристики, связанные с возрастом собственника, уже готового отказаться от тотального контроля за оперативным управлением, стали накладываться дополнительные макроэкономические факторы. Последние были обусловлены возникновением качественно новой, негативной, кризисной бизнес-среды, в которой собственнику предстояло теперь работать. И то, что мы наблюдаем сейчас, это осознанный выбор собственника по сохранению подобной структуры, когда рассматривается ее минимальная оптимизация.

Еще к концу прошлого десятилетия началось плавное и непрерывное вытеснение активов российских VIP-клиентов из Европы обратно в Россию, которое было связано не только с самими санкциями, но и с ужесточением антиофшорного законодательства.

В 2021 году стало очевидно, что пандемия COVID-19 стихает, и пора подумать, как далее существовать в новых условиях постковидной экономики. Стало понятно, что мы столкнемся с долгой рецессией, усиленной санкциями Запада. Как показала практика конца 2022 года, сейчас стоит забыть об оптимизации вообще и максимально усложнить саму структуру, переводя ее под полный контроль собственника.

Тезис № 3. Private banking и ИБ 

Однако для отечественного private-а отказ от подобной оптимизации, которая стала одной из приоритетных услуг, может оказаться весьма существенной, особенно в нынешние непростые времена, когда ее заменить просто нечем. Высокая степень доверия со стороны целевого VIP-клиента обеспечила данному направлению наилучшие возможности эффективного выявления избыточных и неоптимальных элементов в организации и управлении, от которых можно было безболезненно избавиться.

Это было апробировано в различных кейсах раздела имущества между супругами при разводе, не менее жесткого раздела бизнеса между собственниками, а также в ходе попыток вернуть капитал наследниками, когда «патриарх» неожиданно умирал, не оставляя четкого завещания, а главное, различных кампаний по деофшоризации и повышению прозрачности бизнеса как вне, так и внутри страны.

Собственно, услуги российского private-а здесь продавал страх лишиться всего состояния или его заметной части, что было весьма важно для именно состоятельного клиента, собственника и целевого VIP-а. Подобное управление рисками (это более политкорректное описание технологий продавцов страха из private-а), прекрасно продолжалось и тогда, когда предыдущие аргументы уже вроде бы устарели, а задачи их продвижения все равно сохранялись. Не беда! Те же решения по организации эффективной комплексной киберзащиты внешнего и внутреннего периметра для всего капитала собственника оказываются вполне удачным способом наглядно продемонстрировать и все возможности эффективного перехода от разработки и внедрения готовых решений по информационной безопасности к решениям оптимизации корпоративной структуры в давно предлагаемых и успевших набить оскомину задачах обеспечения прав наследования. Например, дополнительная защита планшета сестры бывшей жены собственника, которая к тому же до сих пор является главным бухгалтером одного из его предприятий в структуре холдинга, является не просто необходимым шагом в плане обеспечения эффективной защиты внешнего периметра, но и одним из факторов, позволяющих провести последующую оптимизацию, вплоть до ликвидации предприятия, если организовать оптимальную защиту от киберугроз так, чтобы через этот планшет нельзя было получить доступ к информации от других предприятий холдинга. В конце концов, собственник склонен недооценивать уровень киберугроз, что открывает неплохие возможности для соответствующего пентестинга внешнего периметра его бизнеса, с последующим переосмыслением его составных частей.

Тезис №4. Фишинг

С началом спецоперации на Украине резко увеличилось количество массовых и легко тиражируемых кибератак на российский бизнес извне. Со временем вполне закономерно вырос интерес и к более сложным типам и разновидностям атак. И здесь стоит отметить несколько необычный рост интереса к вейлингу, методики которого используются в качестве базы для более сложного и таргетированого фишинга. При этом сам вейлинг (whaling, от китобойного промысла: whale — кит) относится к нишевому, узкоспециализированному и не столь распространенному варианту фишинга, ориентированному на атаки исключительно VIP-клиентов.

Но для проведения эффективной атаки, как и построения не менее эффективной защиты надо понимать специфику бизнеса, по сути, структуру капитала нашего VIP-клиента. И здесь соответствующими наработками защиты сейчас располагают не столько российские ИБ-специалисты, сколько частные банкиры, представляющие как раз отечественный private. Ведь помимо решения востребованных собственником задач все это представляет собой вполне приемлемый маркетинговый ход, позволяющий усилить доверие и в дальнейшем предложить собственнику решение более интересных для private-а задач по той же оптимизации, на которую если не сейчас, то в ближайшем будущем собственник обязан пойти из-за растущих издержек! И нынешний интерес к вейлингу здесь как нельзя кстати, остается лишь правильно организовать взаимодействие с вендорами и VIP-клиентами.

На последнем стоит остановиться подробнее, поскольку собственник не просто продолжает, но уже жестко отстаивает необходимость сохранения организационно-управленческой структуры, изначально доступной именно для вейлинга. И что же теперь здесь private может сделать, наконец-то реализуя тот заложенный предыдущими годами потенциал, когда реальные атаки начинаются и в следующем году могут реально затронуть, если уже не затронули, большинство его VIP-клиентов, пока просто отмахивающихся от любых объяснений? Остались ли хоть какие-то аргументы? Попробуем разобраться о том, что активно обсуждалось на IX Международном форуме «Вся Банковская Автоматизация 2022» и в кулуарах премии WEALTH Navigator Awards 2022, в том числе и при активном участии автора настоящей статьи!

Найдутся ли аргументы у отечественного private banking? Несомненно!

Аргумент № 1. Регуляторы

Контроль регуляторов в области ИБ за предприятиями КИИ, представителями госсектора и сферы финансов, изначально весьма жесткий, обычно приводит к тому, что общий уровень защиты (та самая пресловутая «средняя температура по больнице») становится все выше, вслед за соответствующим решением того же регулятора, соответствовать которому поневоле приходится. Тем более что после первых февральских и мартовских атак регуляторы (в лице Банка России, Минцифры, ФСТЭКа, Роскомнадзора и т. д.) активизировались достаточно быстро, что автоматически привело к необходимости не менее быстро реагировать на эти действия российскому бизнесу. В самом деле, уже 1 мая президент подписал Указ № 250 «О дополнительных мерах по обеспечению кибербезопасности РФ», который распространяется на предприятия с госучастием (от ведомств до госфондов), стратегические и системообразующие предприятия и субъекты критической информационной инфраструктуры (КИИ, банки, операторы связи, ТЭК и др.).

И уже с осени 2022 года, как следствие, пошел просто шквал нормативных документов и проектов в сфере ИБ: законопроекты, внесенные в Госдуму, подписанные приказы и опубликованные методические документы, которые затронули КИИ, идентификацию пользователей, персональные данные и другие ИТ-аспекты — в целом более 60 документов в октябре–ноябре минувшего года.

Как обычно, многие документы дублируют и даже противоречат друг другу, что совсем неудивительно ввиду отсутствия единого координационного органа, отвечающего за ИБ, когда ответственными за исполнение указа являются сразу шесть ведомств. Но это мы уже проходили и раньше, главное, что подобный поток законотворчества (пока в большей степени бумажного, нежели практического) приводит к ответной реакции бизнеса, понимающего, что началась очередная кампания со стороны государства, которая если не сейчас, то в самое ближайшее время коснется и его.

Поэтому просто ничего не делать отечественному бизнесу сейчас уже нельзя, необходимо начинать предпринимать какие-то дополнительные меры в области ИБ, если и не в практической плоскости правильного встраивания защиты от того же текущего фишинга и DDoS-атак, то хотя бы плане подстраховки от санкций со стороны регуляторов. Последние найдут к чему придраться, и тактика «ничего не делай — не ошибешься, не накажут», как показывает опыт прошлых лет, может и не пройти. Причем VIP-клиентам можно даже не напоминать о том, что может последовать за всплеском интереса регуляторов и наказаниями за невыполнение противоречащих инструкций. Их опыта работы с различными легальными схемами налоговой оптимизации здесь вполне хватает. Ну, а если клиенты это недооценивают, им наглядно напомнит private, причем на конкретных примерах из их прошлой практики. А такой разговор об ИБ здесь можно легко перевести в разговор «об ИБ и не только», где аргументов, чтобы предложить напуганному VIP-клиенту что-то еще, параллельно теме ИБ, у private-а появляется вполне достаточно.

Аргумент2. Изменения по рынку ИБ в целом

С начала лета 2022 года целенаправленные атаки хакерских группировок и наиболее подготовленных хакеров стали понемногу смещаться в сторону среднего и малого бизнеса. Пусть атакам подвергалось гораздо больше компаний, но здесь хакерам требовалось больше избирательности, и стандартной практики «обеспечь защиту на уровне выше, чем у соседа, чтобы атаковали его, а не тебя» оказалось достаточно. Тем более что первыми хакеры атаковали тех, кто был наиболее известен и важен для экономики. Не будем забывать, это в первую очередь КИИ, госструктуры и финсектор, у которых за счет требований по безопасности от регуляторов защита была неплохо отработана. Пусть и недостаточно, чтобы полностью отразить весенние и затем летние атаки, но все-таки выше, чем «средняя температура по больнице».

Остальные по большей части также успели подготовиться, а вот до большинства компаний среднего и малого бизнеса у профессионалов просто не дошли руки: таких компаний оказалось слишком много для хакеров и их группировок. Впрочем, атакующим было где разгуляться, и общее число атак на российскую ИТ-инфраструктуру к концу 2022 года существенно выросло, что видно даже из открытых данных, которые в обязательном порядке предоставляются тем же регуляторам. Так, по третьему кварталу 2022-го компания Positive Technologies оценила подобный прирост в 10% по отношению ко второму кварталу (плюс 33% к аналогичному показателю 2021 года), а «РТК Солар» зафиксировал в третьем квартале 214 тыс. кибератак, тогда как в первом — всего 184 тыс. По четвертому же кварталу «Лаборатории Касперского» даже дали прогноз о том, что доля пользователей в России, столкнувшихся с вредоносным ПО, может превысить 30% (по сравнению с 21% пользователей в первом квартале). При этом непосредственные потери (в том числе и финансовые), по данным того же «РТК Солар», по отдельным отраслям из данной выборки стали весьма существенными (плюс 54% к четвертому кварталу по сравнению с первым), а средний ущерб от одного инцидента вырос почти в два раза, достигнув 5 млн руб.

На этом фоне вопрос об очевидном следующем объекте атак со стороны не просто квалифицированных, но только что отработавших свои атаки по наиболее защищенным российским компаниям хакеров становится риторическим для VIP-клиентов с организационно-управленческими структурами именно на основе среднего и малого бизнеса.

Нельзя забывать и о менее квалифицированных хакерах второго эшелона, в основном тех, кто еще только учится «ремеслу». Эта традиционная группа обычно использует для атак менее сложные технологии и специализируется на менее приоритетных целях. То есть в нашем случае — на российских компаниях среднего и малого бизнеса. И пускай они менее избирательны и «бьют по площадям» в надежде, что хотя бы одна из десяти их атак удастся, вреда они могут принести немало. Случайно попадая на компанию VIP-клиента, такие преступники могут быстро понять, что имеют дело с одной из структур холдинга, и просто передать (вернее продать) полученные результаты более квалифицированным и уже набившим руку на атаках на российские компании «коллегам». 

Аргумент № 3. Хайп хактивистов

В даркнете сейчас можно достаточно быстро пройти курс «молодого бойца» и стать начинающим, наименее квалифицированным хакером, но способным понять, какие технологии и против кого можно применять, а главное, где их взять и куда дальше расти как профессионалу. Все уже отработано и поставлено на широкую ногу, было бы время, деньги и желание! И такие начинающие псевдохакеры-хактивисты, стремящиеся выразить свою политическую позицию, стартовали весной-2022 вполне ожидаемо — с простых вещей, типа размещения баннеров с антироссийскими лозунгами и изображениями. Причем работали они по наиболее известным российским компаниям без осознанного выбора — по тем же «площадям» (без особой разницы, главное результат!), не добиваясь заметного ущерба, но обеспечивая общий всплеск активности фишинговых и DDoS-атак. Необходимо четко выделять эту активность хактивистов, поскольку уже с осени, а особенно ближе к зиме их вроде бы не слишком опасная активность стала спадать, отражаясь именно на общей статистике. Так, например, компания StormWall зарегистрировала плавное уменьшение числа DDoS-атак на бизнес и государственный сектор в ноябре и резкое — в первой половине декабря 2022 года (в ноябре — минус 30% от показателей октября, а в первой половине декабря — еще минус 30%, но уже только от двух последних недель ноября). Причем наибольшее снижение наблюдалось в финансово-кредитной сфере, производственном секторе, а также в отношении телеком-компаний и развлекательных организаций.

Однако не стоит переоценивать такое падение активности уставших и разочаровавшихся непрофессионалов. Часть фанатиков все же остается «в профессии» и сразу же переходит на следующий уровень — в хакерские группировки, где важен именно их опыт атак в условиях российской специфики бизнеса вообще (тут и пригодится более широкий охват атак «по площадям»), отчасти нивелирующий их пока низкую квалификацию при огромном желании остаться в рядах атакующих. И здесь VIP-клиенту вполне достаточно задать риторический вопрос о том, где эти неофиты могли набраться успешного опыта и продолжат его совершенствовать, чтобы разговор «об ИБ и не только» стал более предметным!

Аргумент № 4. Россия как киберполигон

Недостатки в киберзащите наименее защищенных организационно-управленческих структур российских VIP-ов предоставляют наиболее квалифицированным хакерам почти идеальную возможность без особых издержек и проблем отработать на них какие-то новые технологии проникновения, а уже потом применить эти апробированные технологии уже вне России. О таком подходе в наработке опыта как раз и упомянул недавно тот же StormWall, что представляет весьма убедительный аргумент для продолжения разговора по душам «об ИБ и не только» с теми же VIP-клиентами со стороны отечественного private-а.

Аргумент № 5. Релокация хакеров

С началом спецоперации атаки на инфраструктуру быстро привели к необходимости сменить место дислокации различных украинских преступных контор, напрямую занимавшихся различными видами телефонного и интернет-мошенничества, а также хакерских группировок, базировавшихся на этой территории, с их дальнейшей релокацией в том числе в сопредельные страны.

А ведь к осени минувшего года подобная релокация затронула и организационно-управленческие структуры того же собственника, который помимо бизнес-структур в России открыл еще и легальные филиалы, и дочерние предприятия своего бизнеса в ближайшем зарубежье. Это не столько поддержка на месте тех незаменимых сотрудников, которым потребовалось выехать из России и которые могли работать удаленно, сколько необходимость выстраивания новых логистических цепочек, особенно по «легализуемому нелегальному импорту». Что как раз и требует физического присутствия в тех же странах ближайшего зарубежья, куда релоцироваласть часть атакующих преступников. И риторика для продолжения разговора «об ИБ и не только» здесь заключается в том, что если пока их не атакуют как своих, в том числе опасаясь чужого законодательства, то что- будет потом, когда атаковать можно будет, просто предоставляя полученные данные своим соседям из соседней страны?!

Аргумент № 6. Искусственный интеллект

Немного не в тему и вызывает улыбку, но тоже срабатывает: финские исследователи из WithSecure, агентства транспорта и связи Финляндии, а также Федерального агентства по управлению в чрезвычайных ситуациях заявили, что в ближайшие пять лет атаки с использованием ИИ станут гораздо более опасными, чем сейчас. Причем ИИ будет уже самостоятельно обнаруживать уязвимости, планировать и проводить вредоносные кампании, обходить защитные системы для проникновения и собирать информацию со взломанных устройств.

Пять лет, конечно, большой срок, тем более что первыми подобные алгоритмы начнут применять, скорее всего, государственные структуры и близкие к ним хакерские группировки, и только затем все остальные, так что времени у собственника на подготовку вроде бы остается немало. Однако не стоит игнорировать два момента.

Во-первых, согласно докладу, кибератаки с использованием ИИ будут особенно эффективны в области имперсонации (когда преступник выдает себя за кого-то другого) — весьма эффективной тактики, которая чаще всего используется в ходе персонализированных фишинговых атак, напрямую применяемых в том же вейлинге. Так что целевым объектом атак уже самых первых, пилотных наработок могут стать именно отечественные VIP-ы, чего им и стоит опасаться!

Во-вторых, использование технологий ИИ для обучения начинающих хакеров становится все более распространенным. Так что новых, еще не отработанных до конца пилотных попыток атак по площадям с помощью адаптирующихся алгоритмов атак на основе тех же обучаемых нейросетей стоит ждать именно от них, причем в самое ближайшее время.

Ну, а убеждать отечественного VIP-клиента в том, что на основе этих технологий можно достичь неплохого результата, и довольно быстро, увы, не приходится. Практика найма студентов-стажеров вместо покупки дорогостоящих коробочных решений вендоров, которые на основе обучаемых алгоритмов весьма быстро и эффективно решают текущие задачи, связанные с тем же распознаванием, особенно в ритейле (заполняемость полок магазина, выявление случаев воровства и т. д.), отнюдь не нова. Так что убеждать VIP-клиента в том, что грядет компьютерный апокалипсис, на подобных примерах достаточно просто!

Читайте также:

«Digital Kyrgyzstan» 2024. Видеоролики с места события, которых вы еще не видели!

Вместо послесловия

Итак, подведем итог. «Рациональный непотизм» в управлении своими активами со стороны VIP-клиентов по-прежнему сохраняется, что создает определенные трудности при его защите от более продвинутого вейлинга. Тем не менее у собственников бизнеса появляется определенное понимание: защита должна стать более эффективной, причем в конкретных направлениях, на которых в первую очередь необходимо предвосхищать возможные атаки в ближайшем будущем. Более того, и специалисты ИБ, и специалисты private-а уже располагают убедительными аргументами, чтобы повлиять на позицию такого собственника, если он по-прежнему склонен недооценивать опасность проблемы. Благо что для отечественного private banking еще одна демонстрация подобных рисков для клиента остается весьма привлекательной в маркетинговом плане. Именно она позволяет сохранять более активную по отношению к VIP-клиенту позицию. И не только в плане предложения ему каких-то новых продуктов и услуг, если он находится на текущем обслуживании. Зачастую такая практика позволяет перераспределить в свою пользу активы этого клиента, которые он привык диверсифицировать по разным банкам. А это не только увеличивает общий объем активов под управлением private-а (что сейчас принципиально для банков в целом), но и постепенно переводит такого клиента на полное обслуживание в конкретный банк. Кроме того, это непосредственно позволяет привлечь и абсолютно новых VIP-клиентов, что особенно важно для бизнеса private-а. Остается посмотреть, как этот потенциал будет реализован банкирами нынешней зимой.