Киберпреступность — пандемия XXI века. Как лечиться?

Зампред правления Сбербанка Станислав Кузнецов о том, как защититься от киберугроз

17–21 июня в Москве пройдет Global Cyber Week — международная неделя по кибербезопасности, которую проводят Сбербанк и Фонд «Росконгресс». Главным ее мероприятием станет II Международный конгресс по кибербезопасности. В преддверии этого события заместитель председателя правления Сбербанка Станислав Кузнецов, курирующий данное направление, рассказал «Газете.Ru», как банк борется с киберугрозами и что нужно сделать, чтобы переломить ситуацию в России и мире в целом.

— Какова динамика кибератак на инфраструктуру Сбербанка за прошедший период этого года и прошлого? Изменился ли характер этих атак и как на них реагирует банк?

— Количество кибератак продолжает увеличиваться — и на российские банки в целом, и на Сбербанк как самый «лакомый кусочек» рынка, ведь именно у нас больше всего клиентов и данных, представляющих интерес для злоумышленников. Это подтверждает статистика: в I квартале 2019 года Центр киберзащиты Сбербанка обработал более 12,5 тысячи подозрений на инцидент кибербезопасности, почти четверть из них представляла для нас угрозу. Это в 1,8 раза выше, чем в аналогичном периоде прошлого года.

Что касается характера атак, то 2019 год я бы назвал годом утечек, которых происходит все больше и в России, и в мире в целом. В первом квартале 2019 года в мире зафиксировано на 19% больше утечек данных по сравнению с аналогичным периодом прошлого года. Всего в мире было скомпрометировано 6,5 млрд записей пользовательских данных, что в четыре раза больше, чем в первом квартале 2018 года.

Стабильно высоким остается количество DDoS-атак (distributed denial of service), когда систему намеренно перегружают огромным количеством запросов с разных адресов.

С начала 2019 года системы Центра киберзащиты отразили 52 DDos-атаки — значительно больше, чем за аналогичный период прошлого года. Причём в этом году атаки стали мощнее и продолжительнее.

Вместе с тем кибератаки становятся все более разнообразными и все чаще направлены на новые технологии. Дополнительные риски создают различные облачные сервисы, а также популярный сегодня тренд BYOD (bring your own device), когда сотрудникам компании разрешается работать с личного компьютера или ноутбука, подключаемого к внутренней сети компании.

Отдельно хочу сказать об интернете вещей (IoT) и 5G. С одной стороны, замечательно, когда ваш холодильник сам заказывает продукты, а чайник можно дистанционно попросить подогреть воду. Но надо понимать, что в таком случае и холодильник, и чайник, и любое другое устройство, имеющее доступ в интернет, могут быть использованы для DDoS-атак. Причем вы как пользователь об этом даже не узнаете да и вряд ли будете сильно задумываться о кибербезопасности таких устройств, ведь в них не хранятся ваши деньги. В мире уже 8 млрд IoT-устройств, с каждым годом их количество будет расти, и, соответственно, мощность DDoS-атак также будет только нарастать.

И еще два тренда назову. Первое — преступные группировки все чаще используют сложные сценарии атак, составленные под конкретную отрасль или даже компанию. Второе — киберпреступники все активнее ищут непрямые пути доступа в инфраструктуру организации. Для этого они атакуют «цепочку поставок»: вместо того, чтобы подбираться к хорошо защищенной компании, находят ее уязвимых партнеров и подрядчиков, заражают их сети, а через них — и основную цель. Число таких атак в мире в 2018 году выросло на 78%.

К сожалению, чтобы проникнуть в инфраструктуру компании, не всегда нужно взламывать софт. Гораздо проще «взломать» сотрудника, который, сам того не зная, приведет преступника к нужным данным. Я говорю, например, о фишинге, на который сегодня приходится более 60% атак на банковский сектор России и ряда европейских стран. Фишинг — это массовые рассылки от имени популярных брендов о том, что вы, например, выиграли приз или можете пройти опрос и получить за это деньги. В таких письмах содержится ссылка на вредоносный сайт, внешне неотличимый от сайта известного бренда. Перейдя по ссылке и вводя свои данные, пользователь заражает свое устройство вирусом.

Ежегодно Центр киберзащиты предотвращает более полумиллиона попыток отправить сотрудникам банка письма, содержащие вредоносные вложения или фишинговые ссылки. С начала 2019 года специалисты Службы кибербезопасности Сбербанка выявили и отправили на блокировку более 2000 фишинговых ресурсов, схожих с сайтом Сбербанка.

— Другая сторона проблемы — хищение данных и денег у граждан, в том числе клиентов Сбербанка. Как с этим боретесь?

— Защиту наших клиентов от неё обеспечивает система фрод-мониторинга, основанная на искусственном интеллекте. Она выявляет подавляющее большинство всех попыток мошенничества. Благодаря этой системе с января по май этого года мы предотвратили хищения средств клиентов на сумму свыше 13,5 млрд руб.

По итогам первого квартала 2019 года свыше 80% от общего объема мошенничества в отношении наших клиентов составила так называемая «социальная инженерия». Это опять-таки про то, что проще «взломать» человека, чем систему. Существуют десятки мошеннических схем, которые чаще всего сводятся к тому, чтобы под благовидным предлогом (разблокировки карты, компенсации за санаторно-курортное лечение и прочее) узнать у человека конфиденциальную информацию: данные его банковской карты, логин и пароль для входа, например, в «Сбербанк Онлайн».

Мы постоянно ведем разъяснительную работу, рассказываем клиентам о том, что никому, даже сотруднику банка, ни при каких обстоятельствах нельзя сообщать любые данные карты, кроме ее номера. Говорим о том, что пин-код от банкомата и пароль от «Сбербанк Онлайн» нельзя хранить на бумажке.

Но все равно в стрессовых ситуациях люди часто теряются и сами, своими руками дают преступникам доступ к своим деньгам.

В большинстве случаев система антифрода способна остановить киберпреступника — она анализирует все транзакции клиента и в режиме реального времени выявляет подозрительные операции, которые не соответствуют финансовым привычкам клиента. Например, когда пенсионерка Марья Ивановна, которая живет в Саратове и никогда никуда не выезжала, вдруг совершает финансовую операцию во Владивостоке, банк делает ей контрольный звонок, и выясняется, что это мошенники пытаются снять деньги с ее счета.

Но, к сожалению, основную часть мошенничества с использованием социальной инженерии составляют так называемые «самопереводы», когда клиент самостоятельно совершает и подтверждает операцию под воздействием мошенника (например, перевод аванса за покупку с сайтов объявлений или из соцсетей), а в дальнейшем обращается в банк с претензией на то, что его обманули.

Вывод очевиден: только технические средства, даже самые современные и эффективные, полностью защитить клиентов от «социальных инженеров» не могут. Поэтому нужно продолжать работу по повышению киберграмотности клиентов, усиливать это направление на уровне государства.

— Работаете ли вы на опережение — например, видите атаки на другие компании/пользователей и подстраиваете свою инфраструктуру?

— Суть кибербезопасности как раз и заключается в том, что это постоянная, ежесекундная работа на опережение, непрерывная «гонка вооружений», которая происходит по обе стороны закона. И одна из ключевых составляющих этой работы — обмен информацией. С этим всегда непросто: кому захочется рассказать, даже узкому кругу экспертов, о том, что его хакнули, да еще во всех подробностях описать процесс? Это тяжело, но если молчать — всем будет только хуже. Как говорится, все компании делятся на тех, кого взломали, и тех, кто еще не знают о том, что их взломали. Мы за то, чтобы экспертное сообщество узнавало о таких взломах как можно раньше, чтобы в будущем их предотвращать.

Конечно, мы внимательно следим за всем, что происходит в мире кибербезопасности, обмениваемся информацией с российскими и международными партнёрами, совершенствуем средства мониторинга, развиваем свои защитные технологии. В частности, мы разработали и используем собственную Threat Intelligence Platform, которая позволяет собирать и анализировать информацию по различным киберугрозам.

Мы боремся за то, чтобы информационное сотрудничество стало отлаженным, как часы, механизмом для всех участников процесса: бизнеса, правоохранительных органов, государства. И это сотрудничество должно быть международным, должно быть выше любой геополитики и любой бюрократии. Иначе в нем не будет никакого смысла, потому что киберпреступники, в отличие от нас с вами, не привязаны к национальным границам: из любой точки мира они могут атаковать любую компанию и гражданина любой страны.

Ведущие преступные кибергруппировки именно транснациональны, и без международной кооперации их не вывести на чистую воду.

В России нам уже удалось сформировать основные контуры такого сотрудничества в финансовой сфере. К примеру, платформа обмена данными о киберугрозах, реализованная под эгидой Ассоциации банков России, сегодня объединяет более 40 банков, включая крупнейшие финансовые институты страны. Всего за полгода работы благодаря обмену данными получилось предотвратить убытки более чем на 3 млрд рублей.

В мировом масштабе тоже есть серьезные успехи. Ведет работу Центр по кибербезопасности ВЭФ (Centre for Cybersecurity, С4С), официальное открытие которого состоялось во время ежегодной сессии в Давосе в 2018 году. Это уникальная площадка для сотрудничества представителей крупнейших глобальных корпораций, ведущих игроков международного рынка кибербезопасности, представителей правоохранительных органов с целью выработки совместной стратегии по противодействию глобальной киберпреступности. Сбербанк является одним из партнеров-основателей C4C и обладает постоянным местом в Наблюдательном совете центра.

— Какие решения в области защиты информации вы можете предложить внешнему рынку?

— Услуги кибербезопасности для внешних клиентов оказывает наша дочерняя компания BI.ZONE, один из признанных во всем мире лидеров в сфере обеспечения кибербезопасности. Это исследование и анализ вредоносного программного обеспечения, расследование инцидентов кибербезопасности и быстрое реагирование на эти инциденты, сбор информации о потенциальных угрозах, различные виды тестирований: на защищенность от методов социальной инженерии, на проникновение, на защищенность мобильных и веб-приложений.

Хочу подчеркнуть, что иногда наши коллеги помогают и безвозмездно — это можно сравнить с тушением пожара, когда реагировать нужно быстро, не дожидаясь формальностей, иначе пострадают сотни и тысячи людей.

У нас был случай, когда сотрудники BI.ZONE выезжали в одну из больниц, в которой работа медицинского оборудования была парализована из-за хакеров, под угрозой были здоровье и жизни пациентов.

Мы активно развиваем российский рынок страхования киберрисков. Наша «дочка» «Сбербанк страхование» первой в России предложила массовые продукты по страхованию киберрисков. Так, в 2017 году компания включила в пакет страхования для малых предприятий риск перерыва в производстве в результате кибератак. За первый год действия программы такие полисы оформили около 3,5 тыс. клиентов, а за первый квартал 2019 года – уже около 3 тыс. В конце 2018 года компания предложила этот вид страхования физлицам, включив риск киберугроз в продукт по страхованию банковских карт. За полгода действия такие полисы оформили уже около 2 млн клиентов.

И еще один пример приведу: наше мобильное приложений «Сбербанк Онлайн» для платформы Android содержит встроенный антивирус. Он защищает не только само приложение и деньги клиента, но и весь смартфон. Надежно и совершенно бесплатно не только для клиентов - для всех, кто установил наше приложение из официального магазина. Учитывая, что «Сбербанк Онлайн» входит в пятерку приложений с самой большой активной аудиторией в России — у нас свыше 40 млн активных пользователей, — можно говорить о том, что это наш весомый вклад в кибербезопасность значительной части населения страны.

— Какие технологии на основе искусственного интеллекта повышают устойчивость к киберугрозам?

— Внедрение искусственного интеллекта (ИИ) кардинально упрощает многие рутинные задачи, стоящие перед подразделениями кибербезопасности. Количество данных экспоненциально растет, и справиться с этим может только ИИ, который берет на себя наиболее трудозатратные операции, включая круглосуточный мониторинг и отражение ежесекундных кибератак. Сегодня и то и другое осуществляются в автоматическом режиме — человек подключается только тогда, когда ситуация выходит за типовые рамки.

И вместе с тем преступники тоже в курсе всех его возможностей искусственного интеллекта. И они не только атакуют ИИ жертвы, чтобы проникнуть в системы компании, но и сами используют его для поиска уязвимостей, проведения фишинговых атак, обхода биометрической аутентификации и защиты, создания вредоносного программного обеспечения, подбора паролей.

— Одна из сессий Международного конгресса по кибербезопасности называется «Безопасный цифровой мир — будущее или утопия?» По вашему мнению, это будущее или утопия?

— Я бы сказал так: цифровой мир — это, безусловно, наше будущее, ведь прогресс необратим. Насколько этот мир будет безопасным — зависит от всех нас. И от государства и бизнеса, которые должны выработать адекватное существующим киберугрозам законодательство. И от правоохранительных органов, которые будут контролировать его соблюдение. И от граждан, которые, я уверен, постепенно научатся реагировать на киберугрозы так же чутко, как и на угрозы физического мира.

Ведь мы, условно говоря, не носим свои деньги в открытом кошельке посреди ночи в самом криминальном районе, не выходим из дома, оставив дверь нараспашку. Но почему-то до сих пор придумываем пароли вроде 123456.

И здесь я вижу два направления, каждое из которых одинаково важно: с одной стороны, борьба с киберпреступностью, а с другой стороны — развитие цифровой грамотности и киберкультуры, я бы даже сказал — кибергигиены. Да, мы хотим сделать цифровой мир безопасным, уверены, что сможем, и готовы вкладывать в это деньги. Но при этом уже сейчас, соблюдая несложные меры безопасности, каждый из нас может существенно снизить вероятность стать жертвой хакерской атаки или социальной инженерии. Это касается и компаний, и частных лиц.

И, повторюсь, залог успеха я вижу в сотрудничестве и взаимодействии, в единстве всех тех, кто, так же сильно как и мы, хочет сделать цифровой мир безопасным. Именно для этого мы второй год подряд проводим Международный конгресс по кибербезопасности с участием бизнеса, государства, экспертов, IT-специалистов со всей планеты. Поэтому «утопия» — это как раз считать, что все само «устаканится». Если ничего не делать, то, по прогнозам Всемирного экономического форума, ущерб от киберпреступности в мировом масштабе, который в 2018 году уже составил 1,5 трлн долларов, к 2022 году достигнет 8 трлн долларов. Так что будем вместе ломать этот опасный тренд и искать противоядие от чумы XXI века — пандемии киберпреступности.