Система отношений общества, государства и бизнеса «закачалась» под ударами пандемии. Новый мир и безопасность. Или безопасность в новом мире? Что теперь первично в борьбе с мошенничеством?
На декабрьском
Однако Игорь Ляпунов , соведущий дискуссии и генеральный директор компании «Ростелеком-Солар», призвал взглянуть на проблему шире: «Изменения в мире происходят не только по причине ударов пандемии. Да, на фасаде — COVID-19, а за ним происходят гораздо более сложные и глубокие процессы. Где-то это экономическая турбулентность, где-то — политические вызовы, а в ряде случае это следствие углубления цифровизации. Уникальность текущего момента очень серьезная, сравнимая с последствиями мощного тектонического сдвига. Поэтому важно понимать, куда двигаться дальше. Без этого все остальное — слова, не более».
ТАКОГО РАЗГУЛА ЕЩЕ НЕ БЫЛО
Станислав Кузнецов, заместитель председателя правления Сбербанка, дополнил мысль представителя Ростелекома и заострил в повестке дискуссии тематику управления киберрисками как ключевой компетенции современного банка.
Данные по «Сберу» показывают, что 2020 год продемонстрировал значительный рост уровня киберпреступности во всем мире, в частности в России . Вследствие пандемии в России окончательно сформировалась новая преступная отрасль — компьютерное мошенничество и социальная инженерия как ее доминанта. Каждый 11-12-й телефонный звонок любому гражданину страны — это либо спам, либо звонок мошенника. Таких звонков в день производится примерно 100 тыс. Сбербанк по итогам трех кварталов получил уже 3 млн жалоб со стороны клиентов по этому поводу. Цель мошеннических звонков понятна — попытка украсть деньги со счетов граждан. Этот показатель относительно 2017 года вырос в 30 раз, а в сравнении с 2018 годом —в 2 раза.
«Такого разгула преступности не было никогда, — печально констатировал. Станислав Кузнецов. — Нам представляется, что все “признаки национального бедствия” говорят о том, что нам всем вместе необходимо предпринять беспрецедентные меры защиты».
В «Сбере» полагают, что необходимо научиться адекватно анализировать ситуацию, для того чтобы грамотно управлять рисками. Далее вместе с государственными институтами следует выработать меры по резкому снижению мошенничества и киберпреступности в целом. Для этого необходимо укрепить законодательство, ужесточить меры противодействия, включая наказания за те преступления, за которые сегодня просто штрафуют.
ПРЕДУПРЕЖДЕН — ЗНАЧИТ ВООРУЖЕН
Но поскольку главные пострадавшие во всем этом безобразии — простые граждане, вполне резонно встал вопрос о том, насколько осведомленность об угрозах способствует формированию киберкультуры в современном обществе.
И вновь Игорь Ляпунов расставил все по местам: «Кто может отвечать за кибербезопасность физического лица? Оно само, и это — аксиома! А достаточная информированность об угрозах влечет два последствия. Во-первых, если ты достаточно трепетно относишься к безопасности у себя дома на своем личном уровне, то этот паттерн поведения ты несешь в компанию, где работаешь. В этом смысле компания становится более защищенной. Во-вторых, эта самая осведомленность станет настоящим драйвером и катализатором повышения защищенности тех финансовых услуг, которые предоставляются физическим лицам. И если само население выступит справедливым требователем именно защищенных услуг, то это станет определенным дифференциатором между поставщиками этих услуг, т.е. банками. У кого, к примеру, более защищенное от мошенничества приложение мобильного банка, тот и выиграет в конкурентной борьбе. Поэтому вложение усилий и средств в повышение осведомленности населения станет правильным усилием в оздоровлении ситуации в киберпространстве».
Виталию Задорожному, руководителю департамента кибербезопасности Альфа-Банка, осталось только дополнить коллегу: «В техническом плане обеспечения ИБ современные банки все “прекрасны”. Но ведь атакуют в первую очередь самое слабое звено — человека. Можно быть сколь угодно продвинутыми в области машинного обучения, скоринговых моделей и выявления аномалий, но “бить” начнут оттуда».
МОШЕННИЧЕСТВО В ЦИФРАХ
Насколько во всей этой истории виновата пандемия? Не сгущают ли краски эксперты? Ответы на эти вопросы было решено дать, сравнивая результаты 2019 года, а также данные по обоим полугодиям 2020-го. Как выяснилось, Банк России скрупулезно собирал все эти сведения, и нам есть что сравнить.
В июне 2020 года глава Банка России Эльвира Набиуллина , выступая в Госдуме с отчетом ЦБ РФ за 2019 год,
И опять Игорь Ляпунов обратился к Артему Сычеву , первому заместителю директора департамента ИБ Банка России, с просьбой прокомментировать данные в целом за 2020 год и спрогнозировать дальнейшие события.
По словам представителя регулятора, с начала 2020 года число звонков от имени службы безопасности какого-либо крупного банка увеличилось почти в 200 раз . Причем более 90% всех звонков совершалось с поддельных номеров, т.е. с использованием подмены реального номера. Поэтому классические меры по блокировке этих номеров ни к чему не привели, да и привести не могли. Эффект в денежном выражении оказался минимальным, зато были продемонстрированы намерения Банка России. И вот даже этот минимальный успех привел к смене тренда: мошенники стали гораздо пристальнее изучать ИБ-проблемы банкиров в области взаимодействия клиента с финансовой организацией. Бить стали отсюда. Хотя подпольные колл-центры не исчезли полностью.
Все это происходило на фоне самонадеянности некоторых финансистов, увлекшихся повышением скорости выхода на рынок новинок любой ценой. Но, как известно, у всего на свете есть своя цена, которая в данном случае выражается, как показал опыт, в пренебрежении разработчиками ПО и сервисов элементарными мерами информационной безопасности. Эти «дыры» в безопасности сейчас очень быстро находят хакеры. Ну а далее…
УРОКИ ПАНДЕМИИ ОТ БАНКА РОССИИ
Проблема, по мнению представителя Банка России, состоит в том, что крайним оказывается чаще всего не банк, а потребитель его услуг. При этом, несмотря ни на что, все это является не более чем «пробой пера» мошенников нынешних. А тех, кто будет «работать» года через два, не остановят действующие сегодня базовые правила безопасности, установленные ЦБ. Ведь в них мало написано о грядущей «эре Open API и финансовых экосистем». Регулятор все это видит и активно готовится к будущей битве. Это стало первым уроком пандемии для служб ИБ.
Второй урок заключается в том, что быстрый переход на удаленную работу сотрудников банков иногда сопровождался недостаточной заботой о сохранности персональных данных клиентов, которые стали обрабатываться удаленно.
Наконец, третий урок — необходимость повышения внимания к тем вопросам, которыми регулятор управляет с точки зрения ИБ. Например, за последние месяцы 2020 года опробованы такие новинки, как киберучения ЦБ с крупными банками. На них отрабатывались не только варианты взаимодействия отделов внутри банков в случае реализации инцидентов, но и варианты взаимодействия со всеми элементами обеспечения ИБ финансового сектора страны. Как оказалось, работать есть над чем, причем всем, включая обновленный ФинЦЕРТ Банка России.
Финальная часть дискуссии финансистов о борьбе с мошенничеством была посвящена проблеме подмены телефонных номеров . По мнению Станислава Кузнецова, в случае отсутствия такой функции у мошенников ландшафт киберпреступности изменился бы радикально и быстро, а у правоохранителей появились бы новые возможности. И хотя упрек был адресован ведомствам, которые за это отвечают напрямую, он рикошетом попал в представителя ЦБ.
Артем Сычев от ответа не стал уходить, сославшись на то, что ЦБ РФ со «Сбером» в этом вопросе находятся в одной лодке. По его словам, основная причина медленного решения проблемы лежит «в сфере бизнеса» телеком-операторов. Поэтому разговор с бизнесом не получается, а усилия необходимо направить на убеждение представителей соответствующего федерального министерства в том, что проблему надо решать не только переговорами, но и конкретными изменениями в законодательстве, а банкирам есть что предложить в этом плане!
К сожалению, эти меры не решают проблемы граждан, которым звонят мошенники. Страсти накалились, но на этой сессии углубиться в проблему далее не удалось из-за ограниченного времени. Но от продолжения разговора никто из банкиров не отказался. Ждем новостей.
Источник: