Информационная безопасность VIP-клиентов от private banking. Часть вторая

Российский private banking начинает активно возвращаться к привычной для себя схеме позиционирования: «универсальный банк» против «клиентского клуба». Эффективность решения основной задачи такого позиционирования с продвижением долгосрочных услуг по реструктуризации капитала будет напрямую зависеть от того, как именно отечественные игроки будут решать проблемы своих VIP-клиентов в области информационной безопасности.

Итак, в предыдущей статье мы остановились на самом интересном: перед пандемией, а также достаточно быстро последовавшим качественным усилением санкций после февраля 2022 года в российском private banking сформировались две долгосрочные объективные тенденции. Первая — это дальнейшее продвижение долгосрочных услуг по реструктуризации капитала, где приоритетной стала их продажа через новую «страшилку» (читаем — через новые технологии управления рисками VIP-клиента, но в кризисные времена, которые закончатся еще не скоро, привычней называть вещи своими именами).

Еще с середины прошлого десятилетия реструктуризация выстраивалась через оптимизацию инфраструктуры управления капиталом клиента и нивелирования рисков, основанных на априори слабом уровне защиты отдельных ее частей (вплоть до полного игнорирования ее основными стейкхолдерами, с их стереотипами излишне самоуверенного восприятия действительности).

Второй момент — четкая диверсификация целевой клиентской базы, опять-таки происходящая с середины прошлого десятилетия, когда после введения первых санкций российские VIP-клиенты были вынуждены выбирать между полной эмиграцией на Запад или постепенной репатриацией своего капитала обратно в Россию, с локализацией своих операций и счетов по собственному бизнесу и личному состоянию внутри страны и через отечественные финансовые институты. Пандемия и начало СВО лишь усилили уже сложившиеся тенденции.

В самом деле, пандемия заставила по-иному относиться к тотальной цифровизации, попутно переосмысливая практическую значимость ранее сложившихся стереотипов. Так, например, уже нельзя игнорировать ту же финансовую грамотность в отношении не только цифровых активов, но и операций в новом цифровом мире. В конце концов, переход к цифре заставляет активизироваться и злоумышленников, которые теперь могут выступать в роли своеобразных «санитаров леса», атакующих не только возникающие уязвимости, но и конкретных пользователей, не успевших перестроиться к быстрым изменениям. Ничего личного, главное — экономика процесса, так что грамотность в области кибербезопасности становится основополагающей составляющей того «техминимума буфетчика», без которого уже нельзя не только вести бизнес, но и вообще жить в новом цифровом мире! И все это относится не к простому клиенту, а именно к VIP-у!

Выгодно «продаем страх»

Общее количество кибератак на российских пользователей с конца февраля 2022 года выросло не только количественно, но и качественно, со стороны как профессиональных команд хакеров, так и только начинающих. Шутка ли — для них появилась политически ангажированная общая цель! В последнем случае это уже массовые атаки, пусть простые и не всегда подготовленные, реализуемые многочисленными злоумышленниками, которые становятся весьма продуктивными именно в силу массированного удара по площадям. При этом их количество быстро может перейти в качество.

Поэтому, получая доступ к не слишком активно защищаемому телефону бухгалтера в лице его бывшей жены и доверенного подписанта по чувствительным для VIP-клиента операциям, неофит-хакер уже может не ограничиться стандартной атакой на типичного «физика» среднего класса, а понять, что он может атаковать и часть организационно-управленческой структуры холдинга. Здесь и возможностей побольше, и прибыль от атаки повыше. Ну, а если неофит вовремя остановится, то он легко сообразит, что полученные данные можно за весьма неплохую комиссию передать более подготовленным профессионалам, которые более быстро, квалифицированно и эффективно вскроют недостижимую для него сейчас защиту засвеченного холдинга. Главное не жадничать, чему уже давно учат в даркнете, и не забывать про разделение труда!

Так что остается все это лишь правильно преподнести своим VIP-клиентам, и у отечественного private banking появится возможность лишний раз доказать им свою незаменимость! А стоит преступникам сделать еще один логичный шаг, и технологии социальной инженерии оказываются вполне доступными для апробации более продвинутого фишинга в отношении тех же VIP-клиентов. Достаточно использовать последние модификации того же ChatGPT для анализа профиля конкретного клиента со всеми его типичными стереотипами. И уже после этого прямо при VIP-е его менеджер от private banking может быстро составить список тем в «письмах радости», на которые конкретный клиент, в полном соответствии с его публичными данными, однозначно отреагирует, открывая зараженное письмо или переходя по внешней ссылке.

Добавим к этому описанную выше атаку неофита, позволяющую вскрыть более конфиденциальную информацию, и получаем неутешительный вывод: продвинутым и опасным видом фишинга по VIP-клиентам — вейлингом (от whaling, охота на китов) могут заниматься и те же неофиты, реализуя ее самостоятельно или передавая дальше по гораздо большей цене!

А главное, весь этот процесс можно проиллюстрировать прямо на глазах VIP-клиента, демонстрируя ему всю опасность и «продавая страх». Причем в точности по открытым и доступным, а отнюдь не по конфиденциальным данным, что весьма быстро и наглядно демонстрирует ему его персональный менеджер. Ну, а рядом с ним стоит усадить профи в сфере киберзащиты — банковского специалиста, который сможет пояснять слишком сложные для восприятия темы простым языком, когда в этом возникает надобность. Все объяснения — в понятной и привычной манере, как он уже привык делать для сотрудников и руководства банка, не слишком продвинутых в этой сфере, как и сам VIP-клиент.

Private banking-у остается лишь правильно позиционировать и монетизировать такой подход, при котором как раз это банковское подразделение совместно с внутренним подразделением информационной безопасности (а в крайнем случае, еще и парой-тройкой его доверенных контрагентов), сможет закрыть потребности VIP-клиентов. При этом подобный частный и субъективный подход будет реализован в рамках дальнейшего усиления общей долгосрочной стратегии на оптимизацию инфраструктуры управления капиталом клиента.

В поисках «своего» банка

И здесь стоит обратить внимание на то, как ужесточение санкций усилило вторую долгосрочную тенденцию, связанную с дальнейшей локализацией собственного бизнеса и личного состояния внутри страны.

Для начала остановимся на том, что VIP-клиенты начинают все серьезнее задумываться об изъятии части своих активов из госбанков и размещать их в средних и мелких банках, где они претендуют на более полный контроль за ними. Дело не столько в санкциях против самих госбанков, сколько в том, что VIP-клиентам уже изрядно поднадоел консервативный подход в отношении таких активов с их стороны. Хотя именно через госбанки эти клиенты и размещали активы, репатриируемые с Запада, где-то с 2015 года с двумя пиками активности, в 2018–2019 гг. и 2022-м, реагируя на усиливающиеся санкции.

Просто за эти годы стало понятно, что пока основная масса VIP-клиентов продолжает держать свои активы в госбанках, последние будут ориентироваться именно на таких целевых клиентов, даже если часть из них разочарована консервативным подходом и будет со временем уходить. Подобный отток последние лет пять лишь нарастает, но все равно в общей массе для госбанков не так уж и значим, чтобы на него стоило ориентироваться всерьез, разрабатывая для них альтернативы, даже в пользующихся спросом венчурных инвестициях.

Сейчас основное усиление оттока идет не столько из-за того, что VIP-клиентам необходимы более эффективные инвестиционные альтернативы (хотя это по-прежнему важно), а потому что они начинают пересматривать свою бизнес-позицию. Кризис кризисом, стагнация стагнацией, санкции Запада — санкциями, но бизнес для тех, кто решил остаться, при всех этих ограничениях предстоит выстраивать как раз в России, больше просто негде!

«Универсальный банк» vs «клиентский клуб»

Поэтому происходит очередной возврат к той самой модели отечественного private banking, где крупные банки позиционируются в модель «универсального банка», а средние и мелкие — в нишевой «клиентский клуб», копирующий технологии швейцарских подразделений private banking, которые давно доказали свою эффективность именно в России, особенно в той кризисной ситуации в экономике, в которой мы почти непрерывно находимся примерно с 2008-го!

Здесь отток клиентов в ближайшее время будет вызван именно поиском банка, где изымающие из госбанков часть своих активов VIP-клиенты смогут получить существенную долю в управлении и контроле как раз благодаря тому, что сразу станут значимыми клиентами, а не одними из множества VIP-ов. Ну, а со временем они смогут перевести сюда и часть своего бизнеса, самостоятельно контролируя операционные риски банка.

Сразу это получаться не будет, «клиентский клуб» на доверии между его членами станет создаваться постепенно, так что и отток из госбанков будет не столь существенным, но постоянным и усиливающимся! Главное, госбанкам такой отток пока непринципиален, а вот средним и мелким он важен, ведь для последних это потенциально привлекательный клиент, за которого можно и нужно побороться, раз уж предоставляется такая возможность.

Тем не менее бизнес VIP-клиенты будет выстраиваться в правильном направлении не сразу. Будут ошибки, кто-то, как это уже бывало в подобной ситуации в российской практике, решит даже полностью отойти от дел. А это уже задача под ту же оптимизацию, под реструктуризацию капитала, который будет передаваться по наследству или просто продаваться (о чем отечественный private banking говорит уже давно, и ради чего он, собственно, и придумал всю нынешнюю реструктуризацию, дожидаясь более «массовой» смены поколений российского бизнеса). И к кому за этим придет такой VIP-клиент? К тому, кто умеет решать задачу на более продвинутом этапе — к тем, кто разобрался с кибербезопасностью, и этой страшилкой напугал, а затем, нивелируя риски выстраиванием эффективной киберзащиты, успокоил других VIP-клиентов, доказав, что с ним можно работать!

Ну, а те, кто начнет выстраивать свой бизнес и подбирать под себя банки, в первую очередь пойдут к тем, кто готов работать с избыточной структурой и ее оптимизировать, сокращая издержки ее содержания, чтобы сохранялась непрерывность процессов. То есть опять пойдут в банки, которые обладают опытом подобной оптимизации и могут доказать свою эффективность, — и это снова знатоки кибербезопасности!

Ну, а реализовать работу со службой кибербезопасности конкретному подразделению private banking уже не слишком сложно и затратно. Выбор очевиден — внутреннее подразделение, которое занимается по отношению к банку сходными задачами, представляющими интерес для VIP-клиентов. И это уже не банковский юрист, который отвечает только за банковскую специфику и вряд ли проконсультирует клиента в рамках специфики его бизнеса, что ранее существенно усложняло выбор контрагента в открытой архитектуре! Все перечисленное может масштабироваться за счет сходных решений от банковских контрагентов уже здесь и сейчас. Более того, банк находится под жестким контролем регуляторов, так что «средняя температура по больнице», если говорить о защищенности банка, сравнивая ее с защищенностью капитала и даже бизнеса VIP-клиента, которую банк может тому предложить, гораздо выше!

Читайте также:

Лицевая биометрия. Тренды и проблемы глазами Русского биометрического общества

Итак, дело за малым — за тем, как быстро и правильно подобную защиту для VIP-клиентов выстроят в качестве отдельного сервиса средние и мелкие банки. Ведь как только крупные игроки почувствуют конкуренцию, они попытаются за счет значительных ресурсов и более четкой проработки вопросов кибербезопасности компенсировать свое отставание. Поэтому остается лишь успеть реализовать представляющиеся возможности, пока не стало слишком поздно!