34957
Растущий интерес российского private banking к кибербезопасности нуждается в осмыслении
В конце 2023 года, рассуждая о кибергигиене в российском private banking, мы оставили открытым вопрос об эффективности использования наработок этого банковского подразделения при обслуживании других клиентов (не совпадающих с целевыми VIP-ами). С этого момента прошло достаточно времени для осмысления синергии взаимодействия private banking с другими банковскими бизнес-подразделениями. Тем более, с конца прошлого года эти наработки начинают весьма успешно апробироваться в корпоративном блоке российских банков.
Наиболее активно такой подход весной 2023-го внедряли именно те банки, в структуре которых уже до этого уже существовали отдельные подразделение private banking. При этом обмен опытом и оценку текущих достижений и перспективных приоритетных возможностей стало возможным получить не столько на профильных мероприятиях в области private banking (их и до 2020-го было не так уж много, а с ужесточением санкций практически не осталось), сколько на семинарах и конференциях, непосредственно связанных с банковскими технологиями и кибербезопасностью, где расширение повестки за счет новых прорывных решений стало более распространенным. Именно там в начале года и затрагивались данные вопросы (Ifin-2024, ТБ Форум 2024), причем не только в виде кулуарных обсуждений и упоминаний на круглых столах, но и в качестве тем пленарных докладов. Общий вывод обсуждений вполне предсказуем: технологии доступны (за что отдельное спасибо private banking), апробируются, но в конце концов выиграет именно тот, кто сможет их более эффективно внедрить под собственную группу целевых клиентов всего банка. И здесь в плане текущих перспектив необходим более тщательный, избирательный подход – в первую очередь к пониманию основ. Пока же мы часто видим лишь первоначальное «головокружение от успехов» и даже переоценку своих возможностей на фоне технологического хайпа. Итак, попытаемся обозначить проблему.
Как и в 2023 году, технологии продвижения банковских продуктов остаются почти без изменений. Но «почти» – именно тот нюанс, о котором и стоит поговорить отдельно. Со стороны все выглядит по-прежнему весьма впечатляющим: потенциальному VIP-клиенту – собственнику бизнеса непосредственно в режиме реального времени и при его непосредственном участии демонстрируется, каким образом можно провести целенаправленную атаку (начиная с простейшей и по все более усложняющемуся сценарию, на основе того же фишинга) на его сотрудников, топ-менеджеров его бизнеса. Далее происходит выявление уязвимых мест и советы по их защите, как средствами непосредственно киберзащиты, так и более высокоуровневыми средствами корпоративного реинжиниринга организационно-управленческой структуры бизнеса клиента.
Последнее и есть основная цель подобной демонстрации, поскольку именно в этом случае потенциальному клиенту напрямую продвигаются банковские услуги, в первую очередь из продуктового ряда private banking.
Однако вспомним, что сходным образом private banking уже пытался перейти на новое продвижение своего сервиса где-то еще с 2017–2018 гг., фрагментарно тестируя новые средства альтернативного продвижения и пытаясь заменить ими методики демонстрации рисков, недооцениваемых потенциальными и текущими VIP-клиентами.
Продажа таких сервисов, как реинжиниринг структуры бизнеса, непосредственная демонстрация серьезных проблем после неправильного разбиения бизнеса при его разделе между партнерами, передаче по наследству, смене налогового резиденства, оптимизация структуры бизнеса в рамках налоговой оптимизации, в том числе и по обязательному соблюдению новых правил в отношении прозрачности, – все это уже годами активно использовали персональные менеджеры и частные банкиры private banking, и не только в России.
А вот продавать новый вид страха (а что еще так эффективно продается?), а выражаясь политкорректнее, новый вид управления рисками, было в некотором роде даже революционно. Тем более риски кибербезопасности, которые традиционно недооценивались до пандемии, когда о цифровизации стали говорить уже в практической плоскости.
Алексей Гусев
Впрочем, до наступления пандемии по-прежнему полностью доминировали устоявшиеся, привычные технологии продаж, даже с наступлением февраля 2022-го и появлением первых санкций. И только после того как Россия стала основной политической мишенью атак западных хакерских группировок, а следом подключился и более массовый сегмент атакующих со стороны не столь квалифицированных хакеров-неофитов, стремящихся заработать на политическом хайпе первоначальный опыт, такая позиция private banking стала более популярной.
Дело в том, что атаки неофитов стали просто более масштабными, и с высокой вероятностью осуществлялись не просто по всему спектру российского МСБ, потенциально наиболее привлекательного для таких злоумышленников своей меньшей защищенностью, но и попадать на отдельные структуры бизнеса VIP-клиентов private banking, которые российскими собственниками традиционно структурированы, например, как совокупность МСБ в материнской структуре того же холдинга.
В результате атака по площадям оказалась как нельзя кстати, и VIP-клиенты адекватно оценили новое предложение. Ну а сами атаки со стороны тех же неофитов были вполне понятны и просты. Лишь со временем классический фишинг стал усложнятся, и одним их этих усложнений стал вейлинг (от whaling, буквально – охота на китов). Это не менее привычный вид мошенничества, но знакомый ранее исключительно в разрезе private banking. Такие методики используются в качестве базы для более таргетированного, но все же гораздо более привычного фишинга, когда речь идет об атаке наиболее состоятельных и привлекательных объектов для фишинга – наших VIP-клиентов, т. е. тех самых «китов». С этого момента VIP-клиент сам начинает понимать, что такое фишинг, и в каком направлении может пойти усложнение атак на его бизнес. Так что со стороны менеджеров private banking здесь вполне достаточно лишь предложить ему свои услуги, ведь этому подразделению VIP-клиент лоялен больше, чем какому-то вендору, даже с двадцатилетней подтвержденной историей. Тем более что вендоры объективно, в рамках оценки перспектив бизнеса, склонны игнорировать и недооценивать этот вид фишинга, как не соответствующий потребностям их целевых клиентов, в отличие от private banking, для которого единственная цель – именно VIP-клиенты и их риски.
Неудивительно, что как раз наработки private banking сразу стали основными, так что те, кто еще до пандемии задумался о подобных схемах продвижения, сразу после внедрения получили решающее преимущество, создав конкретный задел перед вендорами в области информационной безопасности. Ведь последние могли позволить себе продвигать разработки в этом направлении лишь тогда, когда в этом появилась бы хоть какая-то потребность со стороны потенциальных и платежеспособных клиентов.
При этом эти банки (в основном из числа средних и нишевых, которые все время старались хоть как-то выделиться по отношению к крупным) получили почти решающее конкурентное преимущество как перед «крупняком», так и перед вендорами). Ведь крупные банки в период кризиса не могли не предпочесть более прагматичный подход, защищая своих текущих клиентов проверенными и испытанными способами и не рискуя прорывными, но не до конца отработанными технологиями.
В свою очередь средние и нишевые банки, не располагая значительными средствами, но оперируя не столь дорогостоящими технологиями противодействия фишингу, смогли найти еще один прорывной сегмент, в котором низкий порог входа обеспечил им прекрасные стартовые условия для понимания того, в каком именно направлении фишинг (и более продвинутый вейлинг) будет усложняться и совершенствоваться злоумышленниками далее – речь идет об искусственном интеллекте, машинном обучении и т. п.
До весны 2023 года модели генеративных нейросетей позволяли почти в реальном времени составить фишинговое письмо, наглядно для VIP-а, будь то потенциальный или текущий клиент, на которое после рассылки гарантированно «клевали» его топ-менеджеры. Это происходило не просто наглядно, а почти с участием клиента, с его непосредственным вовлечением в технологии, о которых он что-то уже мельком слышал. Конечно, процесс осуществлялся не совсем в реальном времени – от private banking была нужна предварительная работа, чтобы выбрать наиболее эффективные методики социальной инженерии. Все-таки требовалось заранее проанализировать, например, бизнес VIP-клиента и поведение его топ-менеджеров в тех же социальных сетях, в общем – выполнить домашнюю работу и понять, например, по открытым данным, какому из топ-менеджеров лучше всего стоит отправить конкретное фишинговое письмо с «нулевым шрифтом». И заранее определить непосредственные приоритеты, которые потом в режиме реального времени позволят продемонстрировать не слишком высокую сложность процедуры проникновения.
Прошлая весна отмечена взрывным ростом популярности чат-ботов. Про ChatGPT, которому в ноябре 2023 года исполнился ровно год, услышали все. Но ничего принципиально нового для private banking здесь не появилось: всего лишь замена одной методики другой. Тем более что осенью прошлого года у Сбера и Яндекса начали появляться «импортозамещающие» аналоги.
К концу года научились использовать и более продвинутый дипфэйк, когда от имени VIP-клиента не просто пересылается письмо с его аватаркой из фото (причем достаточно просто и быстро созданной с нашей помощью им же самим в одной из нейросетей для генерации изображений, например, в сберовском «Кандинском»), а с помощью нейросети генерится даже телефонный звонок, в том числе видеозвонок, с похожим изображением и голосом.
Но, как и в случае с «нулевым шрифтом», здесь важен опыт private banking в противодействии фишингу и социальной инженерии. Поэтому, если речь идет не только о private banking, но и о дальнейшей эволюции продаж в МСБ, важен именно специалист из private banking. Ну а вместе с менеджером-продавцом корпоративного блока рядом должен находиться помогающий ему персональный менеджер private banking. На первых порах, пока первый не сможет перенять опыт второго. Безопасник – снова из private banking, к тому же именно он умеет донести свою мысль до клиента правильно, а не в непонятных тому терминах. Ну и что совершенно очевидно – рядом не должны сидеть ни банковский безопасник, ни представитель вендора, ни небанковский специалист по ИИ – этих надо еще учить и учить столь деликатным задачам.
Итак, понимание основ такого подхода на рынке уже есть, а целостное восприятие постепенно складывается. А вот как от этой общности перейти к более частным, практическим вещам, мы поговорим в следующих статьях на страницах журнала «ПЛАС».
