О том, с какими проблемами приходится сегодня сталкиваться банкам на пути обеспечения кибербезопасности, как смещаются векторы атак злоумышленников, почему ведущую роль начинает играть социальная инженерия и как ей противостоять, журнал «ПЛАС» беседует с Сергеем Лебедем, вице-президентом-директором Департамента кибербезопасности ПАО «Сбербанк».
ПЛАС: Каковы сегодня, на ваш взгляд, наиболее актуальные проблемы обеспечения безопасности и противодействия мошенничеству? Что изменилось за более полутора лет, прошедших со времени нашей прошлой беседы?
С. Лебедь: Говоря о безопасности банковской инфраструктуры, ограничусь тремя ключевыми проблемами, хотя в целом их, конечно же, больше.
Первое – отсутствие фокуса в ландшафте угроз. Мы выделили топ-10 угроз и в течение года наблюдали за динамикой. Результаты довольно интересные: не оказалось угроз, которые долгое время держатся на одной и той же позиции рейтинга. Это подтверждает, что злоумышленники постоянно наращивают активность, а степень их изобретательности порой просто поражает. Они обрабатывают результаты атак, анализируют их успешность и корректируют способы нападения. Таким образом, сложно сфокусироваться на чем-то определенном. Ландшафт угроз находится в очень сильной динамике, и надо быть готовыми к большому количеству разнообразных атак.
Впрочем, на основе нашей аналитики за 2018 год мы можем сказать, что глобально фокус сместился от вирусов-шифровальщиков в сторону утечек данных. Для банковской инфраструктуры мы можем отметить смещение в сторону банковских троянов и фишинга. Злоумышленники объединяют свои усилия в виде совместного использования общей технической инфраструктуры, вычислительных мощностей и вирусных программ (вирусного программного обеспечения, ВПО). На протяжении года мы фиксировали проведение атак разных троянов с одной и той же физической инфраструктуры. В топ-5 можем включить Trickbot (38 атак), Cobalt (35 атак), RTM (30 атак), Emotet (21 атака) и Dimnie (17 атак). В 2019 году присутствие этих угроз сохраняется.
Есть такой термин KYC – know your customer («знай своего клиента»). Сегодня мы можем трансформировать его в KYE – know your enemie, т. е. знай своего врага. Для этого мы используем Threat Intelligence Platform собственной разработки – собираем и анализируем данные по различным атакам и угрозам, разрабатываем средства мониторинга и противодействия, формируем собственный ландшафт угроз.
Еще один момент – огромное количество уязвимостей. Их тысячи, и все приходится анализировать, выбирать применимые, строить векторы достижимости внутри инфраструктуры, проверять наличие эксплойтов, искать их, проверять работоспособность. А по итогам этой работы необходимо делать вывод о критичности этих уязвимостей для инфраструктуры и организовывать приоритизированную установку обновлений.
Но и провести установку обновлений не всегда бывает легко или даже возможно. В этом случае необходимо очень оперативно разработать временные, но эффективные компенсирующие меры для защиты от атак, которые могут быть реализованы через незакрытые уязвимости. Эта работа требует наличия актуальной CMDB (Configuration management database), которую нужно вести для любых инфраструктур. Процесс управления уязвимостями содержит много проблемных зон, и мы рекомендовали бы уделять этому большое внимание.
На сегодня у нас есть информация о более чем 113 тыс. уязвимостей для различных продуктов. Почти для 20 тыс. из них существуют эксплойты. По усредненной оценке, для банковской инфраструктуры применимы около 5 тыс. уязвимостей.
Наконец, третья проблема – проблема неполного использования средств защиты банковской инфраструктуры. Здесь применяются самые актуальные инструменты – отставание в этой области эквивалентно пропущенным атакам. Все это понимают, но периодически хакеры все же добиваются успеха. По нашей оценке, одна из основных причин заключается в том, что очень часто потенциал средств защиты используется на 10–30%. Остальной ресурс оказывается невостребованным в силу отсутствия необходимых компетенций. После внедрения средств защиты их администраторы должны на экспертном уровне погружаться в конфигурирование и настройку, но очень часто этого не происходит: как вендор внедрил, так все и эксплуатируется, и очень часто – в базовой конфигурации. У себя в Сбербанке мы уделяем большое внимание этой проблеме и исключаем такой подход еще на этапе внедрения.
Теперь несколько слов о проблемах противодействия мошенничеству. Здесь в первую очередь нужно говорить о социальной инженерии: по итогам первого квартала 2019 года доля этого вида в общем объеме кибермошенничества достигла 88%. По данным Сбербанка, за год этот показатель вырос на 6%.
Еще пару лет назад «социальные инженеры» ограничивались SMS-рассылками, но с тех пор значительно продвинулись в используемых методах: в частности, научились использовать уязвимости в IP-телефонии, которые позволяют подменить номер звонящего. Таким образом, они могут позвонить якобы с номера банка и тем самым ввести в заблуждение клиента.
Наша антифрод-команда решила эту проблему на уровне операторов связи. Кроме того, мы научились выявлять похожие кейсы, когда злоумышленники звонят в call-центр банка, подменяя номера телефонов на телефоны клиентов, чтобы узнать банковскую информацию по этим клиентам. Благодаря принятым мерам мы смогли предотвратить ущерб на сумму более 100 млн рублей.
Еще одна актуальная схема социальной инженерии – маскировка мошенников под брокеров. Псевдоброкеры сулят высокие проценты, и клиенты нередко поддаются искушению и переводят им деньги. Естественно, в результате они теряют свои сбережения. У нас есть способы выявления подобных аферистов. В таких случаях мы проводим с клиентами разъяснительные беседы. Надо признать, что эти разъяснения не всегда заканчиваются успехом: желание «заработать» легкие деньги порой оказывается сильнее здравого смысла.
Здесь стоит коснуться основной причины распространения социальной инженерии. Она заключается в развитии систем защиты банков: совершить успешную атаку на них все сложнее. А чтобы обмануть человека, достаточно владеть методами психологического внушения. Основную часть таких преступлений составляют так называемые «самопереводы», когда клиент самостоятельно совершает и подтверждает операцию под воздействием мошенника (например, перевод аванса за покупку с сайтов объявлений или из соцсетей), а в дальнейшем обращается в банк с претензией на то, что его обманули.
Вывод достаточно прост: социальную инженерию невозможно победить только техническими мерами, потому что за безопасность средств клиентов отвечает не только банк, но и сам клиент. Поэтому все упирается в проблему киберграмотности потребителей, которой нужно продолжать активно заниматься.
ПЛАС: Разрыв между технологическим развитием и технологиями безопасности в банкинге и розничной финансовой индустрии – каковы его причины и как его сократить? Соответствует ли, на ваш взгляд, в целом ИТ-инфраструктура российских банков требуемому уровню киберустойчивости?
С. Лебедь: Безусловно, существенный разрыв между технологическим развитием компаний финансовой индустрии и технологиями обеспечения кибербезопасности связан с объективной реальностью, в которой победитель конкурентной гонки получает все. А финансовый рынок – один из наиболее технологически насыщенных и конкурентных на сегодняшний день. Идет серьезная борьба за клиента, и в этой борьбе инновационные решения, которые позволяют завоевать его лояльность, являются приоритетными для бизнеса и руководства организаций.
Этим же посылом руководствуется и рынок разработки, где инновации превалируют в бизнес-решениях, которые выступают драйверами развития таких инноваций. К сожалению, кибербезопасность пока остается на вторых ролях, пытаясь лишь успевать за изменениями технологического ландшафта.
Достаточно посмотреть на тренды развития, например, платформ контейнеризации. Если с базовыми функциями, обеспечивающими быструю разработку и вывод на рынок новых сервисов, эксплуатацию и мониторинг платформы, все обстоит довольно неплохо, то о технологиях обеспечения безопасности контейнеров такого сказать уже нельзя. Им начали уделять серьезное внимание совсем недавно, и это внешние по отношению к технологии решения – Container Security Platform. Разработчики самой платформы вкладываются в безопасность в меньшей степени.
Однако не стоит забывать о том, что безопасность является далеко не последним фактором, которым руководствуется клиент, делая выбор между поставщиками услуг. И клиентский опыт состоит в том числе из функций и возможностей, которые дают клиенту уверенность в том, что его финансовые средства будут в сохранности, а сервис, которым он пользуется, будет доступен 24х7х365.
Как сократить этот разрыв в технологиях? В первую очередь, обеспечивая вовлеченность руководства в вопросы кибербезопасности. Без его «спонсорства» никаких кардинальных изменений в отношении к кибербезопасности не произойдет. Второй важный фактор – участие сотрудников, отвечающих за кибербезопасность, в проектировании и реализации создаваемых сервисов на базе новых технологий и реализация функций безопасности с архитектурного уровня. И, наконец, третий фактор – создание базовых, гигиенических технологий защиты, которые с инфраструктурного уровня уже создавали бы «обороноспособность» организации вне зависимости от того, какие инновации привносятся в организацию: учет активов, контроль конфигураций и настроек, управление уязвимостями и патч-менеджмент, контроль сетевого периметра и информационных потоков внутри периметров, управление доступом, в том числе привилегированным.
Нельзя также забывать про такую важную проблему, как нехватка квалифицированных кадров в сфере ИБ. С течением времени она не становится менее острой, что говорит о качестве подготовки кадров в вузах.
ПЛАС: Почему на смену термину «кибербезопасность» приходит термин «кибериммунитет»?
С. Лебедь: Киберустойчивость объединяет в себе такие направления, как кибербезопасность, непрерывность бизнеса и управление качеством ИТ. Для достижения необходимого уровня киберустойчивости необходимо обеспечить взаимодействие между данными подразделениями организации – это основная задача для своевременного реагирования на кросс-блочные инциденты. Кроме того, важными направлениями по-прежнему являются мониторинг, обнаружение угроз, реагирование, восстановление при их реализации, а также управление рисками.
Относительно термина «кибериммунитет» – в последнее время становится важна не только устойчивость как свойство быстрого восстановления, а именно невосприимчивость, то есть способность противостоять поражению на самом раннем этапе, включая все защитные механизмы для подавления «киберинфекции» в самом зародыше, не давая ей распространяться по инфраструктуре.
ПЛАС: Что можно сказать относительно смещения вектора атак злоумышленников с банковских клиентов на сами банки изнутри? Какие тренды здесь можно выделить сегодня, какие меры противодействия предпринимаются и насколько они успешны?
С. Лебедь: Примерно с 2013–2014 года (со времени появления червя Carbanak и позднее, с возникновением группировок Anunak, Corkow, Andromeda, Buhtrap, Lurk, Cobalt, MoneyTaker, активно использующих принципы APT-атак) инфраструктуры финансовых организаций стали мишенями для мошенников. Подготовленная целевая атака с успешным выводом средств из финансовой организации позволяет преступникам сорвать большой куш, в то время как атаки на клиентов таким доходом похвастаться не могут.
Атаки на инфраструктуру и на процессинговые центры, такие как SWIFT, АРМ КБР и др., сложны в реализации, и финансовые организации уже имеют компетенции по противодействию им. Защитить организацию позволит только комплекс мер, направленных на выявление вторжений в инфраструктуру, вкупе с повышением осведомленности рядовых сотрудников в вопросах кибербезопасности. При должном уровне настройки средств защиты и реагирования на инциденты можно детектировать сложные логические атаки уже в первой их фазе. Из эффективных мер для выявления новых или слабо изученных угроз рекомендуется использовать Sandbox (песочницы), а также подписки Threat Intelligence. Нельзя давать время киберпреступникам на закрепление в инфраструктуре и удаление следов своей активности!
Во всех крупных финансовых организациях следят за трендами по части киберпреступлений, в большинстве существуют собственные или аутсорсинговые Security Operation Center (SOC), которые в режиме 24/7 осуществляют мониторинг и реагирование на киберугрозы. Конечно же, такой центр – кстати, крупнейший банковский SOC в Европе – действует и в Сбербанке. Он состоит из различных подсистем безопасности: это и классические средства защиты (файерволлы, системы обнаружения вторжений, антивирусное ПО и т. д), и платформа Threat Intelligence, и реагирование на инциденты. Набор современных решений и проактивный подход к противодействию киберугрозам позволяют успешно отражать подобные атаки. Без обхода средств защиты и взлома систем безопасности провести успешную атаку на современную финансовую организацию, учитывающую текущие риски кибербезопасности, практически невозможно.
ПЛАС: Расскажите о практических аспектах экспертного сопровождения раскрытия и расследования преступлений в сфере дистанционного банковского обслуживания в РФ.
С. Лебедь: За последние годы мы наладили взаимодействие с рядом подразделений правоохранительных органов (ПХО) в части экспертного сопровождения раскрытия и расследования преступлений в сфере ДБО. Система фрод-мониторинга Сбербанка фиксирует подозрительные операции клиентов, после чего сотрудники службы кибербезопасности осуществляют проверку, выявляют устройства, с которых совершаются преступления, и передают аналитическую информацию сотрудникам полиции. Только за последний год совместными усилиями ликвидировано около десятка преступных групп по всей России, совершавших хищения у клиентов банка при помощи методов социальной инженерии.
Практика показывает, что основная часть дистанционных хищений носит серийный характер и совершается хорошо организованными преступными группами и сообществами, как правило, создающими своего рода «call-центры». Главари таких групп находятся за пределами РФ, что негативно отражается на раскрытии и расследовании таких преступлений.
При экспертном сопровождении мы сталкиваемся с двумя основными проблемами.
Во-первых, расследование преступлений в каналах ДБО требует углубленного анализа поступающей в ПХО информации, а возможность его проведения в ряде подразделений ПХО отсутствует. Например, для выявления признаков серийности необходим анализ сведений о совпадениях номерных идентификаторов, фигурирующих в уголовных делах. Банк такой анализ делает и передает в ПХО, но он ведь касается только наших клиентов. А мы знаем, что мошенники с тех же устройств атакуют клиентов и других банков, но каких – по понятным причинам – не видим. ПХО должны же собирать такую информацию по всем преступлениям, совершенным в отношении клиентов любых банков. И такого анализа очень не хватает.
Во-вторых, при раскрытии серийных дистанционных преступлений возникает вопрос о месте их расследования. Как правило, по таким преступлениям уголовные дела возбуждаются в различных субъектах РФ. При этом руководство субъектов МВД РФ не заинтересовано в расследовании дополнительных эпизодов, которые совершены не на обслуживаемой территории, – они не попадают в их статистику. Кроме того, не заинтересованы в расследовании многоэпизодных уголовных дел и следственные подразделения – в показателях их служебной деятельности направление таких дел в суд никак не отражается.
В результате складывается такая ситуация: злоумышленник совершил, к примеру, 100 преступных действий, а судят его только по десяти эпизодам. Разумеется, в этом случае он получает гораздо меньшее наказание, чем того заслуживает. Отсюда и ощущение безнаказанности у преступников, которые быстро возвращаются на свободу и снова берутся за старое.
У нас с ПХО общая задача – защитить граждан, клиентов от противоправных посягательств. Очевидно, что в одиночку, без участия правоохранительной системы, Сбербанк бороться с преступным сообществом не может. Мы уверены, что развитие технологий в области кибербезопасности, обучение и подготовка грамотных специалистов в правоохранительных органах, сотрудничество в совокупности с совершенствованием и реформированием российского законодательства и правоохранительной системы в целом – основа успеха в борьбе с киберпреступностью и, как следствие, гарантия безопасности наших клиентов, что для нас является приоритетным направлением.
ПЛАС: Какие факторы, на ваш взгляд, в наибольшей степени заставляют преступников переходить исключительно на цифровые каналы? Идет ли речь о качественном росте физической защищенности банковских карт как платежного средства, о переходе на чиповые технологии, об антискимминговой защите банкоматов и других устройств самообслуживания, а также о распространении бесконтактных платежей? Можно ли утверждать, что на этом фоне именно клиенты становятся самым слабым звеном защищенных цифровых каналов?
С. Лебедь: В начале 2000-х Сбербанк терпел огромные убытки, связанные со скиммингом. В 2013 году была разработана дорогостоящая программа, включающая перевод всех карт на чип, оснащение наиболее уязвимых устройств самообслуживания активными антискимминговыми накладками и многое другое. Таким образом, уже в 2016 году проблема скимминга была сведена практически к нулю. Не последнюю роль в этой борьбе сыграла простая заставка на экране банкомата, призывающая клиентов прикрывать рукой ввод ПИН-кода – для защиты от камеры видеонаблюдения, которая могла быть скрытно установлена злоумышленниками.
Похожие примеры можно найти практически во всех каналах обслуживания. В их числе – мобильное приложение Сбербанк Онлайн для Android со встроенной автоматически обновляемой и бесплатной антивирусной защитой. И в таких условиях самым слабым звеном действительно становятся клиенты: атаки на них не требуют ни специальных знаний, ни значительных финансовых затрат.
Тенденцией последних лет является вытеснение расчетов с помощью наличных денег платежами по банковским картам. Близится момент, когда все карты в России станут обладать возможностью бесконтактной оплаты. Оплата в онлайн-магазинах все чаще происходит с использованием технологии 3D-Secure.
В результате для мошенников ситуация складывается таким образом, что подобраться к данным платежных карт все сложнее, и они выбирают клиента – владельца карты в качестве точки атаки. Удаленно работая в цифровых каналах, проще сохранять анонимность, и мошенники этим пользуются. Социальная инженерия и фишинг продолжают оставаться актуальными – клиенты не всегда способны отличить подлинный интернет-ресурс от фишингового или звонок мошенника от звонка сотрудника банка. В большинстве случаев клиент сам сообщает злоумышленнику всю критичную информацию, что порождает проблемы с возвратом средств со стороны банков.
ПЛАС: Как вы оцениваете проблему кросс-канального мошенничества, неотъемлемой частью которого является социальная инженерия? Справедливо ли в целом утверждать, что кросс-канальный мониторинг сегодня становится таким же must have, каким ранее уже стал моноканальный онлайн-мониторинг? Практические шаги банков в этом направлении. Какие подводные камни здесь необходимо иметь в виду?
С. Лебедь: Мошенничество действительно стало кросс-канальным: мы видим, как фрод перетекает из одного канала в другой по мере подключения каждого канала к системе фрод-мониторинга. Также мы наблюдаем широкое использование схемотехник, когда мошенничество начинается в одном канале, а затем злоумышленники пытаются осуществить операции в других каналах, стараясь обойти наши системы защиты.
Когда в 2015 году мы создавали свою систему фрод-мониторинга, то предвидели подобный поворот событий и изначально строили систему кросс-канальной, причем в нее заведен даже call-центр. Это не просто транзакционная система, к которой подключены все каналы обслуживания, но и дополнительный аналитический контур BigSecurityData, в котором мы проводим свою аналитику и обогащаем ее результатами транзакционный контур. Сегодня уже многие вендоры промышленных систем фрод-мониторинга предлагают функционал кросс-канального анализа, поэтому для рынка такой подход не является чем-то уникальным.
По поводу внедрения систем – у каждого банка свой путь, а из подводных камней я бы отметил необходимость качественной ИТ- и бизнес-аналитики на этапах проектирования, а также хорошей фрод-экспертизы в самих банках.
Как противостоять мошенникам? Конечным пользователям нужно повышать уровень финансовой и киберграмотности, следовать рекомендациям банковских работников при совершении операций. Банкам необходимо уделять должное внимание внутреннему контролю, направленному на поддержание не только стабильности самого банка, но и атмосферы доверия внутри финансовой системы в целом, что в конечном счете должно обеспечивать минимизацию риска финансовых потерь. Государству же необходимо усилить противодействие банковской преступности.
Сейчас правоохранительные и судебные органы, использующие механизмы уголовной политики, работают вполне эффективно. Однако недостаточно решать вопросы финансовой безопасности государства только уголовно-правовыми методами – нужно расширить комплекс защитных мер в рамках проводимой правительством РФ единой финансовой, кредитной и денежной политики государства.
ПЛАС: Ваш взгляд на наиболее эффективные меры повышения уровня финансовой грамотности и информированности населения для минимизации рисков социальной инженерии. Возможен ли результат без подключения государственных ресурсов – социальной рекламы в федеральных СМИ, включая телевидение, образовательных программ в обучающих учреждениях, центрах социальной защиты и т. п.? Что уже делается в этом плане?
С. Лебедь: Для нас повышение уровня киберграмотности клиентов – одно из важнейших направлений. Мы проводим публичные мероприятия для различных целевых групп, обучаем клиентов правилам безопасности в цифровом пространстве с помощью рекомендаций в мобильном приложении Сбербанк Онлайн. Кроме того, Сбербанк готовит материалы для СМИ, публикует посты в социальных сетях, размещает видеоролики с правилами кибербезопасности в отделениях банка и в соцсетях. Однако, как я уже говорил, одних только наших усилий для решения такой масштабной задачи недостаточно. Конечно, России необходима программа повышения киберграмотности населения на национальном уровне, и Сбербанк готов помогать в разработке и реализации такой программы.
ПЛАС: Насколько перспективным вы видите использование в системах фрод-мониторинга искусственного интеллекта и алгоритмов машинного обучения?
С. Лебедь: Машинное обучение (МО) и искусственный интеллект (ИИ) уже доказали свою эффективность во множестве сфер. Кибербезопасность, включая антифрод, не является исключением. Например, наша система фрод-мониторинга основана на искусственном интеллекте: она строит динамические правила на основе анализа больших данных и на основе этих правил отслеживает в автоматическом режиме подозрительные операции и оповещает клиентов. Если мы говорим о крупных организациях, а тем более о Сбербанке с его клиентской базой и сложнейшей внутренней ИТ-инфраструктурой, то выбора просто нет. Без применения МО/ИИ мы не будем успевать за развитием бизнеса и эволюцией угроз
У нас гигантский объем операций, рисковые транзакции возникают ежесекундно, и если бы мы каждое такое событие выдавали оператору для анализа, то понадобился бы огромный штат, и все равно мы бы не смогли проводить операции в режиме реального времени. Сегодня наша система сама проводит анализ более чем 300 различных параметров операции и принимает решение в соответствии с вычисленным уровнем риска. При среднем уровне операция направляется на дополнительное подтверждение клиентом, а при критическом – блокируется, и банк связывается с клиентом.
ПЛАС: Поговорим о новых горизонтах обеспечения безопасности, включая защиту не только от текущих, но и от будущих угроз.
С. Лебедь: Мир кибербезопасности стремительно меняется в каждой из областей: будь то системы обнаружения вторжений или анализ поведения пользователей (User and Entity Behavioral Analytics, UEBA), уже есть решения, в основе которых лежит ИИ. Но и мошенники используют новые технологии в своих целях. Например, распознавание программой изображений для обхода CAPTHCA (Completely Automated Public Turing Tests to Tell Computers and Humans Apart) уже никого не удивляет. Более того, используются инструменты, которые позволяют озвучить произвольный текст голосом человека, по которому есть всего лишь небольшой объем звукового материала. А теперь представьте себе, что по телефону слышите голос руководителя, который просит что-то сделать. Кредит доверия в этом случае будет крайне высок. Другой пример – состязательные нейронные сети, которые учатся на слитых парольных базах генерировать пароли пользователей. Такие инструменты существенно повышают успешность brute force-атак. И подобных примеров множество. Таким образом, в перспективе будут постоянно происходить столкновения ИИ-систем, защищающейся и атакующей сторон.
ПЛАС: Стоит ли рынку ждать новых масштабных атак троянов-шифровальщиков? WannaCry и ExPetr пока остаются самыми громкими и масштабными атаками такого рода. В 2018 году наблюдалось снижение популярности программ-шифровальщиков. Но ведь вымогатели никуда не исчезли и остаются очень эффективным методом монетизации заражения. Что делается сегодня банками и иными структурами для предотвращения такого рода угроз?
С. Лебедь: На первую часть вопроса очень хотелось бы ответить отрицательно, но уязвимость BlueKeep может очень серьезно изменить этот прогноз. Это уязвимость выполнения удаленного кода служб удаленных рабочих столов, опубликованная 14 мая 2019 года. При успешной эксплуатации она позволяет злоумышленнику, не прошедшему проверку подлинности, осуществить удаленное выполнение произвольного кода на атакуемой системе. Таким образом, BlueKeep снова создала предпосылки для распространения шифровальщиков.
Мы исследуем возможности данной уязвимости: проверили уже более 15 PoC и пока не нашли рабочего. Могу порекомендовать в срочном порядке заняться установкой обновлений безопасности, которые были выпущены Microsoft.
Что касается вымогательства и монетизации, то монетизация – это не только вымогательство, но также мошенничество и кража банковской информации. Со стороны Сбербанка предпринимаются активные действия для защиты не только бренда банка, но и средств клиентов. В системе Threat Intelligence Platform банка имеется модуль собственной разработки по выявлению фишинговых и мошеннических ресурсов в интернете, который позволяет оперативно выявлять такие ресурсы и блокировать их.
В целом вирусы-вымогатели – это лишь один из типов ВПО. Для банковской инфраструктуры любое ВПО является опасным. Мы постоянно ведем мониторинг открытых и закрытых информационных источников, исследование и анализ работы систем безопасности и ИТ, разрабатываем проактивные Use Case. Особое внимание уделяем контролю внешнего периметра, ведем учет портов и сервисов, оцениваем риски. Такая комплексная работа позволяет нам повышать кибериммунитет и успешно противостоять киберугрозам.
ПЛАС: Недавно в СМИ активно обсуждалось появление якобы принципиально нового вида мошенничества с использованием платежного терминала, когда деньги списывались с карты невнимательного клиента, которому не посчастливилось стоять в очереди к терминалу сразу за мошенником, инициирующим, например, пополнение абонентского счета на десятки тыс. рублей и выбирающим платеж по карте, но уступающим место добропорядочному клиенту после запроса карты. Как вы оцениваете данные сообщения? Если проблема имеет место, что предпринимает Сбербанк?
С. Лебедь: Все системы самообслуживания нашего банка надежно защищены. В целях безопасности мы рекомендуем нашим клиентам внимательно ознакомиться с информацией на экране банкомата, а также обратить внимание на наличие поблизости подозрительных лиц. Чтобы подстраховаться, можно перед началом операции нажать на красную кнопку: то есть отменить предыдущую операцию, если она не была завершена. В случае сомнений лучше отказаться от проведения операции и проинформировать банк по телефону 900.
ПЛАС: Как вы оцениваете перспективы успешной борьбы с киберпреступностью на глобальном уровне? Что необходимо для этого успеха?
С. Лебедь: Проблема в том, что победить киберпреступность как раз и можно только на глобальном уровне и никак иначе. Наш опыт свидетельствует о том, что в одиночку это не по силам даже крупнейшей компании, которая прилагает максимум усилий в сфере кибербезопасности. Успех возможен только при одном условии – эффективное международное сотрудничество, объединение усилий бизнеса, государств и экспертов. Осознание этого привело нас к мысли провести в 2018 году первый Международный конгресс по кибербезопасности, а в этом году организовать Global Cyber Week, включающую различные площадки, форматы и темы обсуждения.
ПЛАС: И каковы результаты?
С. Лебедь: Каждое из мероприятий в составе Global Cyber Week стало очень полезным для участников и получило множество положительных откликов. Конференция OFFZONE собрала лучших практиков, которые выступили с познавательными докладами и провели полезные технические мастер-классы. Онлайн-тренинг по управлению рисками кибербезопасности Cyber Polygon позволил проверить на прочность тренировочные инфраструктуры ряда глобальных компаний. Что же касается Международного конгресса по кибербезопасности, то он превзошел результаты прошлого года: объединил еще более представительный состав участников и предложил им насыщенную программу, которая охватила все актуальные проблемы отрасли.