Статья "Частные вопросы кибергигиены VIP-клиентов в private banking"

19 октября 2023, 11:06

2369

Положительный опыт собственных подразделений private banking в области кибергигиены не мог не заинтересовать банкиров, считает Алексей Гусев, старший советник председателя правления Банка «Центрокредит», преподаватель ИМЭБ РУДН и НИЯУ МИФИ.

Частные вопросы кибергигиены VIP-клиентов в private banking — Фото: предоставлено автором / ПЛАС

За полтора года, прошедших с начала известных событий 2022 года, российский private banking все-таки научился относиться с должным уважением к вопросам не только собственной информационной безопасности, но и к практике контроля за ее соблюдением у своих VIP-клиентов, даже если сами они об этом пока и не задумываются всерьез. Речь идет прежде всего об обязательном и порой даже весьма жестком контроле за соблюдением последними внутренней кибергигиены.

Ничего удивительного здесь нет, поскольку в последние год-полтора рост целенаправленных кибератак на российский бизнес вполне закономерно привел к адекватному предложению средств противодействия со стороны российских вендоров, активно продвигающих новые решения в области импортозамещения. К практике непрерывного обеспечения кибергигиены начали обращаться и российские банки, которые были вынуждены первыми внедрять и апробировать подобные решения вендоров, рекомендуемые регуляторами. Наступило самое время поделиться с клиентами своим опытом, если не превратив это в отдельный окупаемый консалтинг, то как минимум внедряя соответствующие практики в систему поддержки лояльности текущих клиентов как отдельную бизнес-модель.

Тем более что банкиры прекрасно помнили: еще в середине 2022 года сходную активность начали проявлять собственные структурные подразделения направления private banking. Последние стремились помочь нивелировать риски киберугроз своим целевым VIP-клиентам, причем зачастую весьма успешно, поскольку ими были задействованы давние, еще допандемийные наработки.

Однако сейчас имеет смысл говорить о более представительном проецировании этой банковской модели на другие клиентские подразделения, а также на наиболее широкий спектр самих клиентов, прежде всего на корпоративный сектор, где просматривающийся клиентский спрос можно и нужно дополнительно простимулировать, чтобы затем в полной мере удовлетворить.

Но одно дело — выстраивать такую бизнес-модель с нуля, тем более когда ресурсов не так много, а другое — воспользоваться уже готовыми и постоянно совершенствующимися наработками private banking, вынужденными сегодня защищать своих VIP-клиентов уже как объект целевых атак.

Итак речь сегодня идет даже не о том, стоит ли заботиться о кибергигиене не только VIP-клиентов, но и клиентов вообще. Основной вопрос заключается в следующем: насколько эффективно банкирам удастся тиражировать вполне прагматичный подход, инициированный и до сих пор весьма эффективно развиваемый как раз банковскими подразделениями private banking. Попробуем в этом разобраться.

Private banking заинтересовался вопросами кибергигиены еще до пандемии. Но не сделал их приоритетными

Еще до пандемии кибергигиена стала рассматриваться в private banking как дальнейшее продвижение долгосрочных услуг по реструктуризации капитала для целевого VIP-клиента. Причем продвижение через абсолютно новый и ранее почти не использованный подход в рамках технологии управления рисками VIP-клиента. Между тем фактически презентовалась весьма действенно новая, еще не заезженная «страшилка» (будем называть вещи своими именами), которая в действительности могла оказаться для клиента весьма опасной, поскольку несла реальные риски для его бизнеса.

Сразу напомним, что целевой VIP-клиент — это не столько вершина пирамиды состоятельности — миллиардеры, миллионеры, представители первой сотни российского Forbes, сколько более многочисленная ее середина — собственники и топ-менеджмент российского бизнеса ближе к среднему, за которых еще можно хоть как-то побороться и привлечь на обслуживание из других банков. Для такого собственника характерна искусственно усложненная иерархическая (реже сетевая) структура бизнеса в виде совокупности функционально связанных российских и иностранных юридических лиц, по отдельности представляющих малый и средний бизнес.

Такой собственник централизованно замыкает решение не только стратегических, но и оперативных вопросов на самого себя, в лучшем случае — на ограниченный круг лиц, которые не обязательно являются профессионалами, но которым он доверяет по тем или иным причинам.

Несмотря на высокие внутренние издержки на поддержание такой избыточной и далекой от оптимальной организационно-управленческой структуры, в условиях суровой российской действительности она вполне успешно обеспечивает устойчивость и непрерывность бизнеса, а подчас и его выживание. Прежде всего — при попытках враждебных поглощений (в том числе со стороны более крупного бизнеса и государственных компаний), а также в кризисной ситуации. Например, когда собственник бизнеса берет кредит не для всего бизнеса, а для его части, далее списывает кредит и так же поступает с убытками, списываемыми на принудительно банкротящуюся часть структуры бизнеса. Ну, а поскольку ни для кого не секрет, что в подобных условиях российский бизнес существует и вынужден развиваться начиная с 2009 года и до сегодняшнего момента, можно констатировать, что его собственник вполне определился с тем, за что и почему он готов платить, расплачиваясь весьма существенными издержками избыточности и усложненности при сохранении подобной организационно-управленческой структуры.

В том случае, если ему все-таки потребуется сократить подобные издержки, практика показывает, что будет достаточно ограничиться лишь незначительными, косметическими изменениями. Так, например, когда постоянное снижение маржи бизнеса и нарастание внутренней конкуренции вынуждают собственника все-таки заняться ее оптимизацией, он не отказывается от нее полностью, а просто аккуратно переходит к менее избыточной и сложной организационно-управленческой структуре.

Одновременно такой собственник традиционно рассматривает свои капиталы (личное состояние и свой бизнес) совместно, с точки зрения наиболее эффективного для себя управления рисками. А это сразу же позиционирует российский private banking как обслуживание состоятельных клиентов не только как физических лиц, но и как собственников бизнеса, в том числе клиентов того же корпоративного блока банка. Поэтому основой продуктового ряда российского private banking со временем стали именно услуги по такой оптимизации, обеспечивающей долгосрочные отношения с клиентом и гарантирующие эффективное сопровождение текущих и привлечение новых VIP-клиентов.

Однако допуск к операциям по оптимизации потребовал высокой степени доверия к private banking со стороны VIP-клиента. Последний должен был убедиться в том, что, помимо знаний по реструктуризации, банкиры и их контрагенты обладают еще и навыками решения возникающих проблем весьма конфиденциального характера. Хорошим примером, демонстрирующим умение ставить и находить эти нужные решения, послужил имеющийся у private banking опыт минимизации рисков по разделу бизнеса между партнерами и распределению совокупного капитала между супругами при разводе.

Позже, в середине 2010-х, когда в условиях стагнации послекризисной российской экономики постепенно стареющий собственник задумался о постепенном отходе от дел, сформировался устойчивый спрос на продажу бизнеса и его передачу по наследству. Для этого часто требовалось провести его реструктуризацию, ориентированную на повышение прозрачности текущей организационно-управленческой структуры, и ее оптимизацию уже для нового собственника. Последний уже должен был четко представлять, что именно он покупает или получает наследство. И даже если собственники бизнеса еще не планировали отходить от дел, в этот момент они были просто были вынуждены озаботиться сходным повышением прозрачности по собственным операциям и счетам своего бизнеса в полном соответствии с требованиями по деофшоризации со стороны зарубежных и российских регуляторов.

В любом случае, в распоряжении отечественного private banking, быстро нарабатывающего опыт в адаптации различных схем оптимизации, оказался и весьма представительный набор аргументов, на сходных задачах демонстрирующих появление серьезных рисков, неизбежных, если клиент немедленно не озаботится соответствующим риск-менеджментом. Особенно ярко это проявилось с введением первых антироссийских санкций, когда клиенту требовалось продвинуть услуги оптимизации, требующей соблюдения высокого уровня конфиденциальности, например, при той же репатриации активов обратно в Россию.

А непосредственно перед пандемией у российского private banking появился новый, еще не задействованный ранее аргумент для проведения реструктуризации капитала клиента через оптимизацию организационно-управленческой структуры, связанный уже с обеспечением информационной безопасности VIP-клиентов. И этот аргумент прекрасно вписался в привычные схемы тотальной «продажи страха» VIP-клиентам (политкорректнее, безусловно, говорить «управления рисками», но будем называть вещи своими именами). И дело даже не в том, что общее количество и качество атак на российский бизнес существенно увеличилось, вызвав ответный интерес в поиске средств защиты с его стороны. Главное в другом — воспользовавшись всплеском интереса к данной проблеме, private banking весьма умело сделал акцент на определенном, крайне чувствительном для VIP-клиента типе уязвимостей.

Дело даже не в целенаправленной, многовекторной и сложной атаке, за которой обычно стоят весьма квалифицированные злоумышленники. Достаточно использовать не самый сложный фишинг. Тогда даже не слишком подготовленный и квалифицированный неофит-хакер легко получает доступ, например, к не особо активно защищаемому смартфону бухгалтера в лице бывшей жены и доверенного подписанта по чувствительным для VIP-клиента операциям. Такой начинающий преступник уже может не ограничиться стандартной атакой на типичного для фишинга «физика» среднего класса, а догадаться, что через доступ к смартфону бывшей жены он может атаковать и часть организационно-управленческой структуры всего холдинга. Здесь и возможностей больше, и прибыль от атаки существенно выше. Ну, а если неофит вовремя остановится и подумает еще, то он легко сообразит: полученные данные можно за весьма неплохую комиссию передать подготовленным профессионалам, которые более быстро, квалифицированно и эффективно вскроют недостижимую для него защиту засвеченного холдинга, и с гораздо лучшим результатом.

Решение проблемы по защите от подобных киберугроз — все та же привычная оптимизация организационно-управленческой структуры, с почти автоматической ликвидацией соответствующих уязвимостей. И, конечно же, под руководством сотрудников подразделения private banking, а через них — и банковских специалистов по информационной безопасности или привлеченных контрагентов.

Что мы получаем в итоге? Описанные риски VIP-клиент не может игнорировать. Умений и знаний для их минимизации у банкиров и их контрагентов предостаточно. Не будем здесь забывать о достаточно высоком уровне квалификации противодействия киберугрозам у банков благодаря отдельному дополнительному контролю со стороны регуляторов.

Так что на фоне успешного решения поставленных задач по частной оптимизации предварительно напуганного потенциальными рисками киберугроз клиента напрашивается и вполне обоснованный следующий прагматичный шаг со стороны private banking по продвижению более общих задач, обеспечивающих его долгосрочное сопровождение (в случае текущего VIP-клиента) или его привлечение на обслуживание в банк (если это потенциальный VIP-клиент).

В 2018–2019 гг. такая аргументация со стороны российского private banking сыграла свою роль и была весьма популярной, однако не получила более широкого распространения с наступлением пандемии и введением новых санкций. Более востребованными в этот турбулентный период оказались старые, привычные аргументы, но необходимость мониторинга состояния кибергигиены VIP-клиентов уже нельзя было просто игнорировать. А для отдельных VIP-клиентов эти риски оказывались порой настолько значимыми, что для private banking появлялась реальная работа в этом направлении!

Уровень зрелости решений по кибергигиене для VIP-клиента делает их интересными для серьезного масштабирования

Начиная с весны 2023 года отечественный private banking снова вернулся к приоритетному использованию аргументов, связанных с кибергигиеной. И дело даже не в том, что общее количество и качество атак на российский бизнес снова увеличилось. Большие деньги по-прежнему «любят тишину», особенно когда риски по ним так стремительно растут. Практика показывает, что признаваться в потерях, даже если затем удается пропиариться на последующем выстраивании удовлетворительной защиты, отнюдь не выход: для частных банкиров и их VIP-клиентов репутация куда важнее! И вот здесь для персонального менеджера VIP-клиента достаточно лишь изменить акценты в изложении кейса. Стоит обратить внимание VIP-клиента, что именно сейчас количество атак начинает постепенно переходить в качество, особенно со стороны тех же начинающих хакеров. Число последних с февраля 2022-го заметно выросло, поскольку для них появилась общая, политически ангажированная цель. Несмотря на то что их квалификация по-прежнему не слишком высока и они пользуются стандартными, простейшими технологиями проникновения в виде того же очевидного фишинга, для российского private banking и отечественных VIP-клиентов это особенно опасно, поскольку именно эти атаки быстро переориентируются на типичные уязвимости. Более того, эти «простейшие» атаки оказываются весьма продуктивными именно из-за массового удара по площадям. Количество начинающих хакеров все возрастает, и они просто вынуждены искать новые объекты, чтобы не слишком сильно конкурировать друг с другом. И при таком росте числа атакуемых компаний малого и среднего бизнеса растет вероятность, что под атакой может оказаться соответствующее юридическое лицо холдинговой структуры VIP-клиента. И тут же, по аналогии, последует что-то вроде уже упоминавшейся атаки на бухгалтера — бывшую жену с соответствующими последствиями. Так что отечественному private banking уже пора говорить о более высокой вероятности таких киберугроз, специально акцентируя внимание VIP-клиента исключительно на них.

Да и продвигать такие услуги по кибергигиене персональному менеджеру VIP-клиента гораздо проще, чем, например, перед пандемией. У него появляется неплохой помощник — внутреннее подразделение по информационной безопасности, которое занимается по отношению к банку сходными задачами, и его внешние контрагенты из числа текущих вендоров решений в области информационной безопасности. А консультант из такого подразделения сейчас как раз тот специалист, который занимается не просто сходными для VIP-клиента задачами, но может так же просто и понятно изложить самую сложную проблему непрофессиональному пользователю в лице того же VIP-клиента. Как это уже не раз бывало с ним в родном банке, когда он убеждал топ-менеджеров в необходимости внедрения тех или иных средств защиты от вендоров!

Особо отметим, что и сами топ-менеджеры стали весьма компетентны в вопросах информационной безопасности. А ведь они традиционно выступают кураторами наиболее значимых для банка VIP-клиентов и наряду с персональными менеджерами могут успешно продвигать продуктовый ряд своего банка, в данном случае — как раз услугу кибергигиены тем же VIP-клиентам!

К тому же все это может масштабироваться путем простой адаптации этого решения и на другие бизнесы банка, а также за счет сходных решений от банковских контрагентов уже здесь и сейчас. Не будем забывать и то, что российский банк изначально находится под жестким контролем регуляторов, так что «средняя температура по больнице», если говорить о защищенности банка, сравнивая ее с защищенностью капитала и даже бизнеса VIP-клиента, которую он может предложить, гораздо выше! Именно поэтому к советам подразделения private banking VIP-клиент склонен прислушиваться.

Не будем забывать и о наглядности представления для VIP-клиента таких вроде бы внешне простых в разработке, но весьма эффективных при использовании типичных уязвимостей фишинговых атак. Теми же технологиями генеративных нейросетей иногда в качестве развлечения пользуется и сам VIP-клиент, и это не вызывает у него никакого отторжения! Для поиска уязвимостей достаточно использовать последние модификации того же ChatGPT при анализе профиля объекта атаки. Например, имея перед глазами список обновленных в последние полгода нормативных актов, которые необходимо знать тому же бухгалтеру, персональный менеджер, даже не прибегая к услугам банковского безопасника, может быстро составить список тем в «письмах радости», на которые этот конкретный бухгалтер, в полном соответствии с его публичными данными, однозначно отреагирует, открывая зараженное письмо или переходя по внешней ссылке. И все это в режиме реального времени презентуется последние месяцы VIP-клиентам — в доказательство необходимости обратить пристальное внимание на кибергигиену!

Настоящий бум интеллектуальных чат-ботов начался еще весной 2023-го, так что за лето их использование уже не воспринимается банкирами как хайп и отработано на массе банковских продуктов. Те же банковские аналитики апробировали соответствующие решения, понимая, где, как и почему подобные простейшие средства искусственного интеллекта могут быть эффективны. При этом они сумели не просто накопить определенный опыт, но и аргументированно объяснить целесообразность подобных внедрений не только бизнесу, но и банковскому руководству. А вопросов у последнего был много. В самом деле, стоит ли так же безудержно, как весной, продолжать внедрять новые версии чат-ботов, если их дальнейшее развитие идет немного в другую сторону и не обеспечивает более быстрого решения прежних задач и выхода на новые задачи? Не деградируют ли последние коммерческие версии того же ChatGPT по сравнению с весенними и не стоит ли пока повременить с их внедрением?

Но все это в рамках нашего кейса с VIP-клиентами мы чуть раньше проходили на уровне банковских безопасников. Теперь и банковский аналитик может прекрасно разговаривать с VIP-клиентами, поскольку только что он убеждал не менее консервативное банковское руководство, в чем состоит конкретная выгода от чат-ботов. Помимо персонального менеджера с VIP-клиентом уже может спокойно и аргументированно общаться и аналитик! Да и тот же куратор VIP-клиента в лице топ-менеджера уже гораздо больше знает не только о простейших киберугрозах, но и о технологиях искусственного интеллекта!

Так что давление на VIP-клиента только усиливается, и в private banking можно вполне обоснованно говорить о приоритетном использовании аргументов, связанных с кибергигиеной, но уже на новом этапе, при сохранении последующего продвижения услуг по оптимизации организационно-управленческой структуры VIP-клиента.

А перспективы?

Но зачем банкам останавливаться только на этом? Можно попробовать развернуть более серьезную киберзащиту для тех же VIP-клиентов, но уже привлекая проверенных вендоров в области информационной безопасности и постепенно превращая это в отдельную консультационную услугу подразделения private banking.