Заместитель председателя правления Сбербанка Станислав Кузнецов рассказал о новых трендах киберпреступников в текущем году, нарастающей проблеме незащищенности предприятий малого и среднего бизнеса от киберугроз, а также о перспективах борьбы с социальной инженерией. О том, как часто Сбербанк подвергается хакерским атакам, из каких стран, и что банк делает для их предотвращения, он сообщил в интервью ТАСС на полях Восточного экономического форума.
— Ранее Сбербанк сообщал, что в первом полугодии отразил около двух тысяч кибератак. Вы анализировали эти атаки? Какова их структура?
— Мы действительно отразили около двух тысяч кибератак за первое полугодие, и их анализ позволил нам выявить определенные тренды. Общее количество кибератак различного типа на внешние ресурсы осталось на прежнем уровне (более 900 атак в квартал). Сайт Сбербанка остается наиболее атакуемым ресурсом — на него пришлось более половины всех атак. При этом количество DDoS-атак во II квартале 2019 года по сравнению с аналогичным периодом прошлого года снизилось в 1,7 раз. А количество писем, содержащих вредоносные вложения и фишинговые ссылки, наоборот, выросло почти в шесть раз. Из этого мы делаем выводы, что преступники постепенно отказываются от попыток прямого взлома корпоративных IT-систем крупных организаций и все больше действуют обходным путем — взлом систем через рядовых сотрудников.
— Из каких стран осуществлялись эти атаки? Может быть, вы зафиксировали какие-то новые тренды или интересные кейсы?
При этом важно понимать, что злоумышленник может находиться в соседнем здании, но атаку проводить с другого полушария земли. Инфраструктуры для проведения атак, к сожалению, находятся по всему миру.
Мы анализируем не только действия, направленные против банка и наших клиентов, но и ситуацию с киберугрозами в глобальном масштабе. Наша статистика полностью подтверждает мировые тренды киберпреступлений, и сегодня их как минимум два. Первый — кража личных и корпоративных данных, он превалирует над всеми другими видами киберинцидентов. Все эти данные монетизируются как для традиционных целей хищения денежных средств, так и для вымогательства. Персональная информация о людях, корпоративные данные компаний, банковская информация, в том числе данные о картах, так называемые базы ГИБДД сегодня пользуются огромным спросом и в большом количестве продаются в теневом интернете.
Второй тренд этого года: увеличение в разы атак на малый и средний бизнес — сектор, который является наименее защищенным.
Мошенники прибегают к таким традиционным способам, как подделка документов, в том числе платежных, внедрение зловредов для получения доступа к IT-системам компаний, кража данных и похищение денежных средств.
Что касается глобальных кейсов, то наиболее заметные за 2019 год — атаки групп Silence и Cobalt. Эти группы объединяет как мотив — кража денежных средств, так и способы проведения атак. У них одинаковые способы распространения — целевой фишинг, причем зачастую с использованием взломанных доступов через компании партнеров. Цель тоже одинаковая — вывод денежных средств из банкоматов. Основные регионы их действий — Западная и Восточная Европа, Центральная Азия. Стоит отметить, что ни Сбербанк, ни наши клиенты не понесли от этих атак никакого ущерба.
— Вы озвучили новый тренд — атаки на малый и средний бизнес. Как им можно защититься от кибератак? У вас есть какие-нибудь рекомендации?
— Крупный бизнес традиционно лучше защищает себя от киберугроз, чем средний и малый, хотя в то же время более половины представителей крупного бизнеса не обеспечивают даже минимально необходимого уровня своей киберзащиты. У МСП дела обстоят гораздо хуже. В отличие от крупных компаний, малый и средний бизнес не имеет средств для того, чтобы инвестировать в кибербезопасность, да и собственной IT-инфраструктуры у большинства из них нет.
Что может помочь субъектам МСП? Во-первых, страхование киберрисков, которое становится все популярнее. Кстати, об этом свидетельствует и опыт Сбербанка. С начала года было реализовано более 1,6 тыс. наших продуктов в области страхования киберрисков для юридических лиц и свыше 2,5 млн для физических лиц.
Во-вторых, аутсорсинг или аутстаффинг кибербезопасности, которые также находят все больше клиентов. В-третьих, приобретение управляемых сервисов безопасности у соответствующих поставщиков или подписка на эти сервисы. Сегодня спрос на облачные сервисы кибербезопасности растет особенно активно, и мы считаем, что будущее именно за этим направлением. Крупные игроки мирового рынка кибербезопасности уже предоставляют наборы сервисов, к которым можно подключиться и сразу же получить защиту.
Несколько компаний в России сегодня также работают в этой сфере, в том числе компания "Бизон". В нашей культуре появляется новый элемент — бизнес начинает доверять профессионалам в области кибербезопасности свои ресурсы и данные, чтобы они были надежно защищены.
Одним из таких сервисов является платформа по обмену данными о киберугрозах Ассоциации банков России. К ней уже подключено более 70 организаций, используется 17 технологических инструментов для их защиты. Первые итоги работы платформы говорят сами за себя — удалось предотвратить ущерб на сумму около 8 млрд рублей.
— А как обстоит ситуация с мошенничеством с использованием методов социальной инженерии? У вас уже есть данные за первое полугодие? Сколько было пыток хищений?
— Наши прогнозы, к сожалению, оправдываются. Социальная инженерия сейчас составляет более 87% от всего объема реализованного мошенничества. За 2018 год этот показатель вырос на 6%. В 2019 году он в целом находится на том же уровне, однако с мая наблюдается его незначительный рост.
У нас действует основанная на искусственном интеллекте антифрод-система, эффективность которой составляет 96%. Это означает, что из 100 попыток мошенничества мы выявляем 96, что является одним из лучших показателей на рынке. Средние показатели мирового уровня находятся в районе 80–85%.
С января по август 2019 года мы спасли средств клиентов на сумму более 25 млрд руб. Но важно понимать, что успех мошенников зависит от нескольких факторов, среди которых не только эффективность средств мониторинга в банке, но и уровень киберграмотности жертвы.
Поэтому одними техническими средствами с проблемой социальной инженерии не справиться — нужна планомерная системная работа по повышению киберкультуры клиентов. Ведь в большинстве случаев действия мошенников безуспешны по отношению к тем, кто обладает высоким уровнем киберграмотности. Сбербанк, кстати, уделяет повышению уровня киберкультуры клиентов огромное внимание.
— Недавно в Ассоциации банков России предложили блокировать карты до 30 дней в случае поступления на нее подозрительных средств. Что вы думаете об этой инициативе? Сможет ли она решить проблему кибермошенничества?
— Мы поддерживаем инициативу Ассоциации банков России ввести юридические основания для банка, чтобы он мог остановить деньги по мошеннической операции, проведенной без согласия владельца денежных средств, и дать возможность пострадавшему клиенту предпринять необходимые шаги по их возврату. Банки нуждаются в понятных правилах работы с похищенными денежными средствами в случае их зачисления на счет мошенника.
— Допустим, мошенник получил деньги от жертвы и тут же перевел их сначала на одну карту, потом на другую — получилась целая цепочка переводов. Банки смогут оперативно отреагировать на это?
— Это вопрос эффективности системы антифрода. У Сбербанка есть эффективный инструментарий, чтобы выявить подобную цепочку переводов.
— В ЦБ озвучили, что с приходом в отдаленные регионы цифровых технологий появилась проблема социнженерии. Вы проводили исследования в регионах, где самый высокий процент мошенничества?
— Мы, конечно, проводим такие исследования в отношении клиентов Сбербанка и видим, что мошенники действуют в каждом регионе России. По нашим данным, количество пострадавших примерно соответствует клиентской базе в регионе.
Но число жертв мошенников в том или ином регионе — не главное. Наша система фрод-мониторинга показывает, что несмотря на повышенную активность в одном регионе, центр оргпреступной группы может находится в другом конце страны. С помощью построения графов, специальных моделей можно увидеть реальную ситуацию и выявить организованную преступную группу. И у Сбербанка сегодня такие возможности есть.
Примечательно, что буквально несколько дней назад состоялся суд над одной из таких групп. Используя инструменты искусственного интеллекта, мы около года назад выявили ее в Подмосковье, задокументировали все материалы, передали их полиции. Было возбуждено несколько уголовных дел (всего около 15). Суд вынес решение: лишение свободы, с отбыванием наказания в колонии общего режима, от 2,3 до 3,5 лет, по второй и третьей частям статьи 158 УК РФ. Мы считаем, что за многоэпизодные уголовные дела по тяжкой статье наказание недостаточно сурово. Но тем не менее 158-я статья после внесения поправок была применена впервые.
— Недавно прошли сообщения об уязвимости некоторых банкоматов, в частности, производства компании NCR. Банкомат принимал билеты банка приколов. У Сбербанка таких банкоматов порядка 4 тысяч. Вы в этом видите проблему? Планируете ее решать?
— Во-первых, идет замена этой техники. Во-вторых, благодаря системе антифрода мы фиксируем любые попытки использовать эти купюры. Не менее 50 человек за последние полгода были задержаны полицией за подобные действия.
— Когда Сбербанк сделает свой собственный банкомат?
— Пока мы не ведем таких разработок. Мы внимательно следим за действиями всех лидеров в данной области, и если почувствуем, что лидеры рынка в области устройств самообслуживания не будут оперативно реагировать на технологические изменения, то будем вынуждены реализовывать свой план разработки собственного устройства.
— Вы заявили на Международном конгрессе по кибербезопасности, что в России победили скимминг.
— Фактически да.
— Какие еще типы мошенничества, по вашему мнению, возможно искоренить в РФ в ближайшее время?
— Сегодня мы имеем дело с более сложными и комплексными видами мошеннических схем, в том числе с применением методов психологического воздействия на клиентов. О победе над такими схемами заявлять еще очень рано. Необходимо усиление коллаборации между банками, законодателями и правоохранительными органами. Такая работа ведется, и мы рассчитываем переломить ситуацию с главной угрозой для клиентов сегодня — социальной инженерией.
Беседовал Анатолий Пестич