Дмитрий Романов, ВТБ: Банки не ограничиваются только своими формальными обязательствами и на постоянной основе повышают уровень своей защищенности

Дмитрий Романов, начальник отдела качества процессов цифровых каналов департамента цифрового бизнеса банка ВТБ (ПАО), рассказал порталу Cyber Media о том, как банки вовлекают клиентов в процесс противодействия мошенникам, борьбы с социальной инженерией и фродом.

Cyber Media: На ваш взгляд, какие вопросы кибербезопасности в контексте мошенничества банк может «закрывать» самостоятельно, а какие требуют внимания, знаний и навыков от конечного пользователя?

Дмитрий Романов: Для ответа на ваш вопрос сначала важно разобраться в базовых схемах киберпреступлений.

Так, все сценарии кибермошенничества можно разделить на три группы по причинам их возникновения:

• компрометацию допустила компания;
• компрометацию допустил клиент;
• обман клиента под влиянием третьих лиц.

К первой группе относятся случаи, когда злоумышленники получили доступ к секретной информации по зависящим от компании причинам.

К ним относятся:

1. Все случаи разглашения секретных данных пользователей — когда сама компания не смогла обеспечить их конфиденциальность. Например, утечка персональных данных клиентов, которая возникла после атаки против ИТ-инфраструктуры банка.
   
2. Предоставление доступов по поддельным аутентификаторам — когда компания не смогла выполнить условия договора с клиентом в части его аутентификации, начиная от обслуживания по поддельному паспорту и заканчивая подделкой сессионных данных при использовании дистанционного обслуживания. То есть: не отличила своего клиента от другого человека по правилам, которые прописаны в договоре.

Вторая группа — случаи, когда компрометация происходит по зависящим от клиента причинам. Это:

1. Все случаи разглашения конфиденциальных данных — когда клиент самостоятельно предоставляет третьим лицам свои логины, пароли, одноразовые коды и другие данные.
   
2. Случаи ненадлежащего хранения секретных данных. Например, потеря телефона, сим-карты, хранение паролей в открытом виде и другое.

Третья группа самая уязвимая. В этом случае клиент выполняет вполне легитимные действия с точки зрения взаимодействия с банком. Чаще всего, клиент сам переводит деньги злоумышленникам под воздействием методов социальной инженерии, например, когда мошенники звонят под видом полицейских или отправляют фишинговые ссылки в социальных сетях для кражи данных.

Как защитить деньги клиентов? Банк делает все, чтобы предотвратить утечку данных, включая обязательную проверку личности клиентов согласно договору и закону. Если банк этого не сделает, он будет нести полную ответственность.

В свою очередь, подписывая договор с банком, клиент обязуется хранить свои личные данные и пароли в безопасности. Важно не передавать их другим людям и защищать доступ к своим мобильным устройствам. А ещё — быть внимательным и осторожным в общении с кем-либо, например, если его убеждают перевести деньги на чужой счет или назвать данные карты во время разговора по телефону.

Важно отметить, что банки не ограничиваются выполнением только обязательств по договору и закону. Они постоянно разрабатывают меры для уменьшения рисков киберпреступлений. По сути, это непрекращающийся процесс улучшений.

Cyber Media: У широкой аудитории часто возникает вопрос: почему банк (или любая другая компания с большим количеством b2c-клиентов) не может самостоятельно обеспечить «защиту под ключ». Какие основные сложности препятствуют этому?

Дмитрий Романов: Ответ достаточно простой. Обеспечить полную защиту можно только в том случае, если клиент не будет взаимодействовать с банком. То есть: не будет оформлять банковские продукты, переводить деньги, оплачивать услуги онлайн и совершать другие операции. А это невозможно по определению.

К сожалению, при атаке на клиента всегда включается человеческий фактор, которым, собственно, и пользуются мошенники. Компания не может управлять этим фактором — здесь вся ответственность лежит на самих пользователях.

Cyber Media: Каким образом бизнес может вовлекать своих клиентов в обеспечение кибербезопасности? Какие инструменты вы могли бы отнести к лучшим практикам?

Дмитрий Романов: Банк работает сразу в нескольких направлениях. Среди них особо популярны:

1. Адаптированные CJM или карты пути клиента под возможные схемы мошенников. Когда банк сразу добавляет в продуктовый сценарий превентивные меры защиты, например, push-уведомления и СМС с предупреждением о расходных операциях, уведомление об изменении статуса сим-карты и подключенных к личному кабинету устройствах.
2. Непрерывное обучение клиентов по теме кибербезопасности. Просветительские проекты, интерактивные квизы, тест-опросы на знание основ безопасности, регулярные коммуникации с описанием новых схем мошенничества.
3. Разработка инструментов для защиты своих сбережений. Среди них: управление лимитами по картам и счетам, настройка дополнительных паролей, применение сложных систем аутентификации (например, биометрия или специальные программы-генераторы паролей), возможность настроить ограничения на использование банковских продуктов.

Cyber Media: У любого банка даже в b2c-сегменте есть разные категории пользователей. Есть ли разница в требованиях к их уровню цифровой гигиены, пониманию разных аспектов кибербезопасности?

Дмитрий Романов: Если говорить про требования, то они, конечно, едины для всех:

• никому не разглашать свои пароли, логины и одноразовые коды из смс;
• не передавать свою карту, мобильный телефон, личные документы, например, паспорт или договор с банком;
• всегда обращаться в банк самостоятельно, если дело касается личных данных и тем более финансовых операций. Это очень важно — только так клиенты могут защитить себя от социальной инженерии.

Cyber Media: На ваш взгляд, какие тенденции в контексте борьбы с фродом будут преобладать в ближайшие годы? К чему готовиться пользователям?

Дмитрий Романов: По оценкам международного сообщества, все возможные методы мошенничества уже применяются на практике. Это и хорошо, и плохо одновременно. С одной стороны компании знают, какие уловки используют злоумышленники, и заранее разрабатывают все более надежные средства защиты. С другой стороны — даже опытный пользователь не всегда может распознать мошеннические схемы.

Если говорить о тенденциях, то, как и сейчас, основным способом хищения денег будет социальная инженерия. При этом изменится как предлог, так и сам подход к мошенничеству, но суть метода останется та же. Слово «мошенничество» появилось еще в 13 веке и до сих пор эта тема остается актуальной!

Так, помимо новых схем обмана, злоумышленники все чаще совершенствуют технологическую составляющую своих сценариев, чтобы влиять одновременно на большую аудиторию. Например, сейчас на пике популярности — массовая отправка ссылки в Telegram для получения доступа к переписке. Возможно совсем скоро мы столкнемся с мошенническими видеозвонками, сгенерированные нейросетью, и адаптированными фишинговые атаками, где под каждого человека будет разработан уникальный сценарий.

Резюмируя, можно предположить, что в будущем мошенничество будет эволюционировать на базе новых технологий и персонализации под отдельных пользователей. И перед нами, безусловно, встанут новые задачи и вызовы, чтобы помогать нашим клиентам сохранять гармонию и финансовую безопасность на всех уровнях.