Российские хакеры прорубили окно в Европу

Форум открылся выступлением артистов. Пока они исполняли на сцене энергичный танец, на экране появлялись абстрактные изображения вперемешку со словосочетаниями: business intelligence, machine learning, cloud analytics и т.п. Затем артистов на сцене сменил вице-президент, генеральный директор компании SAS Россия/СНГ Валерий Панкратов.

- Мы видим очень серьезный рост интереса к продуктам аналитики. Растут не только продажи продуктов, но и консалтинговая практика, - отметил Панкратов. – Банковский сектор – наиболее продвинутый в аналитике. Тем не менее, банкиры должны понимать, как живет реальная экономика – ритейл, телеком, аграрии…

По словам Валерия Панкратова, усиливается тренд по обмену опытом в сфере аналитических решений между индустриями. И такое взаимопроникновение полезно для всех.

Полюбовный треугольник

После перерыва, во время которого можно было ознакомиться с различными технологическими решениями в демо-зоне, работа форума разделилась по секциям: «Клиентская аналитика», «Управление рисками», «Борьба с мошенничеством», «Новые технологии и инновации в аналитике», «Риски в госсекторе», «Аналитика в здравоохранении», «Аналитика в ритейле», «Аналитика в сельском хозяйстве», «Аналитика для страховых компаний». После долгих раздумий обозреватель портала Finversia.ru отдал предпочтение секции по борьбе с мошенничеством.

Слушателей поприветствовал Дмитрий Коновалов, руководитель направления по противодействию мошенничеству SAS Россия/СНГ. Его коллега Алексей Коняев, ведущий консультант по противодействию мошенничеству, модерировал дискуссию под названием «Треугольник безопасности: Банк-Клиент-Регулятор».

«Банки на данный момент испытывают большую конкуренцию и стремятся предоставить клиентам передовые продукты, иногда забывая о безопасности», - начал Коняев. Справедливости ради, он добавил, что часто неосторожными бывают и сами клиенты. За всей этой ситуацией следит регулятор, периодически выпуская требования, которые призваны снизить мошенническую активность. «Получается некий треугольник», - поделился ассоциацией Коняев, и затем предоставил слово участникам дискуссии.

Банки не торопятся

- Количество группировок и количество вредоносного кода, который работает на Android, с каждым годом растет, - предупредил руководитель направления противодействия мошенничеству Group-IB Павел Крылов. По его словам, до сих пор орудует группировка Cobalt, которая атакует банкоматы и опустошает их. «Не физически, а логически», - уточнил Крылов.

Менеджер по бизнес-решениям отдела по противодействию мошенничеству и финансовым преступлениям SAS Сандип Тенгур сообщил, что набирает обороты социальный инжиниринг. - Банки улучшают свой уровень защиты, но мошенники всегда могут выйти на отдельного сотрудника, - отметил он также. – У банков статические системы, они не очень быстро реагируют на угрозы.

Дмитрий Гадарь, вице-президент, директор департамента информационной безопасности банка «ФК Открытие» выразил недоверие тому факту, что уровень защищенности у банков сильно вырос: «Многие банки не стремятся повысить реальную защищенность, а формально выполняют требования регулятора». Некоторые банки инвестируют в ИБ только после того, как потеряют 300 млн рублей или больше, заверил Гадарь. Он также отметил, что через несколько лет сегодняшние банковские системы антифрода потеряют свою эффективность или значительно снизят ее.

- Банк «Открытие» одним из первых озаботился защитой от так называемых коротких заражений, когда троянская программа попадает только в оперативную память рабочей станции, при этом не оставляет никаких следов на жестком диске компьютера. Эффективных решений мы пока не нашли, но стремимся выработать меры по защите, - поделился подробностями Гадарь.

Санкции пошли на пользу

Участники дискуссии констатировали снижение активности мошенников в России.

- Существующие в стране группировки переориентировались на Запад. Там выгоднее воровать, - объяснил Павел Крылов. – По данным главы Европола, 85% кейсов связаны с русскоговорящими мошенниками. Нам дали временную передышку. Но надо понимать, что через какое-то время там тоже народ подтянется, поймет, как против этих векторов атак работать, и очевидно, что все это вернется к нам обратно.

- Другими словами, санкции пошли нам на пользу. Из-за повышения курса доллара мошенники переориентировались на Запад, - пошутил модератор.

- Да, нет худа без добра, - вмешался Гадарь.

Запрет на запреты

Речь зашла о скорости реагирования на атаки. «Один из KPI в Банке «Открытие» – это снижение времени реагирования», - рассказал Гадарь.

- Если бы речь шла о пяти транзакциях в день, то можно было бы позвонить каждому клиенту и убедиться, что он сам совершает операцию, - решил помечтать Алексей Ипатов, руководитель управления анализа и мониторинга операций ВТБ24. – Но когда речь идет о миллионах транзакций, решение надо принимать очень быстро, онлайн. Мы двигаемся в сторону автоматизации процессов аналитики. Вопрос борьбы с мошенничеством сейчас – это гонка.

По словам Ипатова, невозможно «зайти к каждому клиенту и убедиться, что у него антивирус хороший, что ему не подменили данные». Приходится анализировать его трафик онлайн. «Меры должны быть незаметными для клиента, но при этом достаточно эффективными», - добавил спикер.

- Бизнес нас понимает. Понимает, на что мы тратимся, - уверял Ипатов. – У банков, которые не уделяли должное внимание ИБ, за выходные уводили сотни миллионов рублей.

- А вам часто приходится дискутировать с бизнесом? – поинтересовался Алексей Коняев у представителя Банка «Открытие».

SAS Forum Russia 2017
Фото: Альберт Тахавиев, Finversia.ru

Дмитрий Гадарь назвал вопрос «некорректно сформулированным» и ответил, что не нужно противопоставлять бизнес и департамент информационной безопасности. «ИБ участвует во всех проектах банка, в том числе рискованных. У меня на уровне департамента запрещено запрещать. Задача «безопасников» – оценить возможные риски и потери и в синергии с бизнесом доработать продукты банка, - описал ситуацию Гадарь. – ИБ должна быть интегрирована в те команды, которые занимаются разработкой. В Банке «Открытие» так и сделано».

Как заставить мошенников перевести тебе деньги

- Мошенники стараются быстро получить деньги. Но первое, что они делают – пытаются получить данные. Собрать всю информацию со счета: сколько лет, какая зарплата. Пытаются создать новые счета, аккаунты, используя их в долгосрочной перспективе. Очень важно для банков – защитить данные, - сделал акцент Сандип Тенгур.

- Клиент не может сам отвечать за все то мошенничество, которое произошло. Если у клиента увели деньги, мы всегда встаем на его сторону, пытаемся найти виновника, покарать, - заверил Ипатов.

- А насколько легко вернуть деньги в Европе? – поинтересовался модератор, обращаясь к зарубежному коллеге.

- Когда клиенты сами передали пин или другие данные – в таком случае ответственность на них, - ответил Сандип Тенгур. – Но на европейском уровне мы все-таки движемся больше в сторону клиентов. Если банки делают недостаточно для защиты клиентов – они должны платить штрафы, полагает наш регулятор. В Великобритании ты сначала возвращаешь деньги клиенту, потом проводишь расследование. Если выясняется, что клиент виновен, то банк пытается взять с клиента деньги обратно.

В завершение дискуссии Дмитрий Гадарь рассказал историю о том, как однажды мошенники взломали скайп его мамы и пытались заставить его (Дмитрия) перевести «маме» деньги. Гадарь сделал вид, что поверил, и решил сам обмануть мошенников, чтобы те перевели деньги на его счет. «Они уже отправили мне номер своей карты и даже CVV, но затем обо всем догадались, и сорвалось…» - с улыбкой поведал представитель Банка «Открытие».

Позволить клиентам все

Делая свой доклад, Алексей Ипатов заявил:

- Мы стараемся своим клиентам позволить все, что они хотят, и избежать топорного ограничения в погоне за информационной безопасностью.

В то же время, банку приходится держать ухо востро. Мошенники стали уделять внимание не только физическим лицам, но и юридическим лицам, остатки на счетах у которых обычно в десятки раз выше. В идеале нужно анализировать всю инфраструктуру, где могут быть представлены клиентские платежи – эквайринг, эмиссию, ДБО, РКО.

- Если стоять на месте и ничего не делать, то мошенники быстрее научатся применять искусственный интеллект и все-таки победят, - нарисовал ужасную картину Ипатов. - Взломать, конечно, можно всех и, в случае сильного желания, провести любые операции. Но идут туда, где легко это сделать.

- Исследовали ли вы сферу внутреннего фрода? – задали представителю ВТБ24 вопрос из зала.

- Сразу скажу, что это непаханое поле. Мы понимаем, что это делать надо. Мы смотрим в эту сторону, но, к сожалению, все нельзя объять за короткий промежуток времени, - ответил докладчик.

Иногда добро побеждает

Павел Крылов просветил присутствующих по теме развития киберпреступности в 2017 году. Первым делом он напомнил, как в мае вирус WannaCry атаковал 200 тысяч компьютеров и привел к хищению 80 тысяч долларов. «Вроде бы немного. Менее известные атаки приводили к утечке миллионов долларов. Так почему же так много разговоров об этом? Особенность в том, что еще в апреле мы предупреждали банки, что такая атака состоится. Но меры предосторожности не были приняты, - рассказал Крылов. - Хорошо, что ЦБ обращает внимание на эту проблему. Обсуждается документ об аутсорсинге в сфере ИБ».

По словам Крылова, количество киберпреступников растет. В Россию приходят зарубежные группировки с сильным арсеналом. Например, северокорейская Lazarus.

Недавно удалось пресечь деятельность российской группировки Cron. Она занималась кражей через смс-банкинг, созданием подложных мобильных приложений, которые мимикрировали под реальные. Преступникам удалось заразить порядка миллиона смартфонов и украсть 50 млн рублей. В результате оперативных действий в шести регионах задержаны более двадцати человек.

- Но самый сложный кейс – это когда человек сам поверил мошенникам и сам совершает операцию. Здесь мы пока не нашли, за что зацепиться в поведении. Но остальные кейсы ловятся, - обнадежил слушателей представитель Group-IB.

Стать маяком, о который разбиваются волны…

Сандип Тенгур своим выступлением завершил дообеденную работу секции по безопасности. Первым в его презентации был слайд с изображением серфингиста на гребне огромной волны, которая в любую секунду может на него обрушиться.

- Огромная волна… Это очень точно отражает ситуацию с количеством кибер-угроз, - сказал Тенгур.

- Обнаружение мошенничества не является конечной целью. Надо предотвратить мошенничество сегодня, завтра и послезавтра. И для этого надо обучать свою систему, - подчеркнул Сандип Тенгур.

Завершилась его презентация коротким видео. Огромные волны разбиваются о маяк, стоящий на скале.

- Мы хотим быть таким маяком! – пояснил представитель SAS.

Москва.