Александр Савинов, ВТБ: Ключевая задача банков — обеспечить доверие к дистанционным технологиям

Дистанционные и бесконтактные способы подтверждения операций становятся основой современного банковского сервиса. Они упрощают жизнь пользователей, но одновременно создают и новые вызовы для безопасности.

Александр Савинов, эксперт по биометрическим технологиям и кибербезопасности ВТБ, рассказал порталу Cyber Media, как развиваются технологии бесконтактного подтверждения операций, какие существуют риски и что делают банки для защиты клиентов.

Cyber Media: Значительная часть СМИ и ТГ-каналы часто публикуют новости о том, как кого-то обманули и обокрали мошенники. С чем это связано, и какая сейчас обстановка?

Александр Савинов: На сегодняшний день ситуация действительно вызывает обеспокоенность. За последние семь лет количество операций, совершенных без согласия клиентов, возросло почти в 4 раза, с почти 300 тысяч до более чем 1,165 миллиона в год. Объемы потерь увеличились в 16 раз — с 1 миллиарда рублей до 15,8 миллиардов рублей в год. И это только официальные данные Центрального банка России. Общие же потери, по мнению некоторых специалистов, могут достигать до 250 миллиардов рублей в год.

Основная причина такого роста — это развитие схем мошенничества. Злоумышленники перешли от простых сценариев, таких как «звонок от сотрудника банка», к более сложным и изощренным методам, включая использование фишинговых сайтов и социальную инженерию. Они получают доступ к личной информации, а затем используют ее, чтобы манипулировать жертвой. Например, представляются сотрудниками вашего оператора связи или даже правоохранительных органов, что вызывает доверие и снижает бдительность.

Главные методы мошенников сейчас — это доступ к личной информации, использование навыков коммуникации и нейролингвистическое программирование. Из-за такого «комбинированного» подхода основными сценариями воздействия на клиентов стала социальная инженерия (в 90% случаев). На фишинг и кражу или компрометацию устройства приходится, соответственно, около 9% и 1%.

Как результат, мы сталкиваемся с гибридными схемами, где фишинг, социальная инженерия и манипуляция личными данными переплетаются. Пример тому — фальшивые инвестиционные проекты, когда клиент сам раскрывает свои личные данные мошенникам. Так, на подобном сайте клиент банка заполняет свои данные для обратной связи, а затем мошенники связываются с ним и убеждают перевести деньги на «брокерский счет», параллельно узнавая о том, какими банками он пользуется и какие сбережения имеет. Через какое-то время клиенту может поступить звонок от «оператора связи», который просит перезаключить договор, для чего требуется назвать код из СМС. Вместе со всеми этими данными мошенник может зайти в онлайн-банк или Госуслуги клиента и вывести все сбережения.   

Cyber Media: С учетом роста за последние несколько лет онлайн-банкинга и иных сервисов в России, какие тенденции есть сейчас и как будет развиваться эта сфера в ближайшем будущем? Какие препятствия могут возникнуть с точки зрения безопасности финансов пользователей?

Александр Савинов: Безусловно, мы наблюдаем активный рост дистанционных сервисов, особенно после пандемии, когда удаленные способы обслуживания стали не просто удобством, а необходимостью. Оплата услуг и товаров эволюционировала от использования наличных денег и пластиковых карт до QR-кодов и биометрических данных.

Тенденция такова, что все идет к упрощению и оптимизации клиентского пути. Мы видим постепенное внедрение биометрического эквайринга — теперь для оплаты в некоторых магазинах не нужно носить с собой карту или телефон, достаточно просто взгляда. Это определенно мировой тренд. Но с этой простотой появляется проблема: как отличить настоящего клиента от мошенника?

Внедрение новых методов дополнительного подтверждения личности, в том числе биометрии, становится важным шагом в этой борьбе. Так, биометрия позволяет более точно идентифицировать человека — по его лицу или голосу, где-то используется обработка сетчатки глаз и отпечатков пальцев. В совокупности с обработкой больших данных это позволяет решить проблему мошенничества.

Cyber Media: Как отличить обычного пользователя от владельца учетной записи, почему это важно и какие инструменты для этого используются?

Александр Савинов: Основное правило информационной безопасности — это разграничение доступа. Раньше было достаточно логина и пароля, затем добавили одноразовые коды и смс-подтверждения. Но этого тоже уже недостаточно. Сейчас мы все чаще сталкиваемся с ситуациями, когда даже самые сложные пароли могут быть украдены или раскрыты самими пользователями.

В этом смысле биометрические данные становятся ответом на вызов времени. Если раньше подтверждение личности основывалось на знании секретов, таких как пароль, то теперь — на уникальных характеристиках самого человека. Биометрия позволяет не просто подтвердить личность пользователя, но и установить, что операция проводится именно владельцем учетной записи или счета.

Cyber Media: Чем отличаются дистанционные способы подтверждения операций от классических с точки зрения информационной безопасности?

Александр Савинов: При проведении дистанционных операций организация должна убедиться, что операцию действительно выполняет владелец счета или личного кабинета. В классическом сценарии, как в МФЦ или в банке, для подтверждения личности требуется паспорт, который проверяется на подлинность.

В дистанционном формате задача остается такой же, но здесь используются другие методы. Помимо стандартных паролей, применяются одноразовые коды, отправленные через SMS, или другие средства двухфакторной аутентификации. Это как виртуальный аналог предъявления паспорта клиентом.

Cyber Media: Сейчас банки активно внедряют биометрические системы распознавания лиц и голоса. Как производится анализ этих данных? Биометрия используется только в банках?

Александр Савинов: Биометрические системы внедряются не только в банках. Они активно используются в различных секторах — от государственных услуг до транспортных систем. Анализ биометрических данных осуществляется с помощью сложных алгоритмов и нейросетей, которые сравнивают каждую, даже самую малую часть предъявляемых данных с теми, что хранятся в базе и являются эталонными для конкретного пользователя. Важно отметить, что вся процедура происходит быстро и незаметно для пользователя.

Тем не менее, с учетом измененного законодательства по сбору, хранению и использованию биометрических данных, развитие этих систем стало значительно сложнее. Законодательные барьеры были установлены для защиты конфиденциальности и безопасности данных, но это требует дополнительных усилий со стороны компаний, внедряющих эти технологии.

Cyber Media: Как обеспечивается безопасность баз данных, в которых хранится биометрия пользователей?

Александр Савинов: Защита баз данных с биометрическими данными — это приоритет. Обычно применяются методы шифрования данных как на этапе их обработки, так и при передаче. Помимо этого, базы защищены многоуровневыми системами контроля доступа. Важно понимать, что даже при взломе системы доступа к этим данным их использование будет затруднено без доступа к другим ключевым компонентам, которые отделены друг от друга и находятся в зашифрованном виде.

Cyber Media: Какова вероятность, что злоумышленники смогут подделать биометрию пользователя с целью получить доступ к его финансам?

Александр Савинов: Теоретически, подделка биометрических данных возможна, но на практике это крайне сложный процесс. Биометрические системы не просто идентифицируют лицо или голос, они анализируют множество параметров, которые трудно воспроизвести даже при использовании самых современных технологий. Тем не менее, не стоит полностью исключать этот риск, поэтому важны постоянные улучшения и обновления систем защиты.

Важно понимать, что все биометрические персональные данные россиян и граждан из других стран хранятся в государственной информационной системе, где применяются самые усиленные меры по защите информации. Кроме того, биометрия хранится без привязки к конкретному пользователю, то есть без ФИО, даты рождения или проживания.

Все организации, которые внедряют биометрию в свои процессы, получают от государственной системы только цифровой отпечаток голоса или лица, сформированный по определенным математическим алгоритмам. Это значит, что

украсть или скомпрометировать эти данные невозможно и даже бесполезно — их просто не сопоставить с конкретной личностью.

Cyber Media: На ваш взгляд, как будут развиваться дистанционные сервисы в обозримом будущем? С какими рисками и вызовами кибербезопасности предстоит столкнуться?

Александр Савинов: В нашей стране дистанционные сервисы развиваются давно, но прогресс не стоит на месте. Например, еще в начале 2000-х гг. появились заграничные паспорта с биометрией, а сегодня с помощью биометрических технологий мы можем покупать товары и получать услуги, не выходя из дома. В ближайшем будущем количество бесконтактных сервисов многократно возрастет, но вместе с ростом этих технологий появятся новые угрозы. Основной вызов будет заключаться в защите биометрических данных и в обеспечении доверия к этим системам.

На мой взгляд, ключевая задача банков — обеспечить доверие к дистанционным технологиям, ведь безопасность всегда на первом месте. Банки должны не только развивать новые технологии, но и активно рассказывать людям, зачем они нужны, какую пользу приносят и как могут помочь защититься от мошенников.