«Банкинг будущего»: о главных угрозах и безопасности в финансах

Приняла участие в проекте «Банкинг будущего». Поговорили с журналисткой «Коммерсанта» о финтехе, рисках цифровизации, информационной безопасности в финансовом и банковском секторе и о том, как ИИ меняет подходы к защите финансовых организаций.

Цифровизация привела к волне мошенничества

Финтех в нашей стране — самая развитая отрасль с точки зрения ИТ. Россия сейчас, наверное, первая или вторая в мире по уровню финансовых сервисов. Также банки сумели защитить себя лучше других отраслей: у них многослойная защита, системы контроля доступа, все необходимые протоколы. Но атакуют всегда слабое звено. Слабейшее звено — клиенты и цепочки поставок. Даже при наличии в банках многослойной защиты атаки часто идут не на сам банк, а на клиентов либо на контрагентов и подрядчиков, чья инфраструктура может быть скомпрометирована.

Телефонные мошенники узнают личные данные и уговаривают людей отдавать деньги. За прошлый год у граждан России украдено 300 миллиардов рублей — такого объема воровства история еще не знала. Если бы не было огульной цифровизации без продуманной заранее системы защиты цифровых сервисов, не было бы и такого воровства. При переводе данных в цифру информация становится ликвиднее и ее проще украсть. Это гигантский риск.

Про защиту банков

Банковский сектор — самый защищенный. Но это не значит, что надо успокаиваться. Информационная безопасность — это не состояние, а процесс. Вы не можете наладить ее один раз и считать себя защищенным. Нужно постоянно проводить тесты на фишинг, пентесты, имитации атак. Как только вы сочли себя защищенным — тут вас и атакуют.

Некоторые банки могут пренебрегать информационной безопасностью. Так, на рынке конкуренция всегда первична: бизнес хочет быстрее и лучше обслуживать клиента, быть лучше конкурента, делать все как можно быстрее. А защита важной информации создает сотрудникам некоторые ограничения в повседневной работе. Поэтому компании порой пропускают данный этап.

Однако каждая организация непременно должна выстроить модель угроз — определить, какие угрозы для нее наиболее критичны, и защищать в первую очередь именно эти зоны. Защитить все сразу невозможно, поэтому важно расставлять приоритеты. Я считаю, что в будущем защита чаще будет строиться на автоматизированных решениях, в том числе на использовании ИИ для отражения атак, генерируемых с помощью другого ИИ.

Персональные данные — ключ ко всему

Персональные данные — основная мишень, по нашим данным, это порядка 90-95% утечек. Их защита — это комплексный процесс. Она начинается не с установки софта, а с организационных мер, юридических шагов. Нужно назначить ответственных, понять, где данные хранятся, насколько они важны и для кого, чем грозит пропажа этих данных. И только потом устанавливать программы, включая DLP‑системы и другие ИБ-инструменты. Иначе это профанация.

Про биометрию

Централизованная биометрия — это единая точка атаки. Невзломых систем не существует — это вопрос времени. К тому же для высокоточной биометрии нужно много точек для распознавания, а это дорого. Внедряют упрощенные варианты, а в них появляются риски подмены. Я знаю случаи, когда люди платили чужим «лицом».

Про дипфейки

Сейчас очень сложно распознать дипфейки, настолько они становятся качественными. Злоумышленник может имитировать голос или лицо человека, чтобы провести операцию или дать распоряжение. Есть опасение, что через какое-то время вся биометрия станет бессмысленной. При этом банки экономят, переводят очень многое в дистант и цифровизируют, а защищаться пока неясно как.

Про облака

Хранение банков данных у облачного провайдера создает риски, связанные с возможной компрометацией со стороны сотрудников провайдера. При этом не всегда ясно, кто несет ответственность в случае утечки.

Ответственность банков

Иногда банки пытаются переложить ответственность на клиента. У вас украли — вы и виноваты. Центральный банк России сейчас предпринимает серьезные усилия, чтобы принудить финансовые организации к ответственности перед клиентами в вопросах мошенничества. Но добровольно сами банки эту ответственность брать на себя не хотят.

Про банковские экосистемы

Это скорее вопрос рыночной, а не информационной безопасности, но он влияет на общую устойчивость экономики. Построение экосистем — это попытка собрать максимум денег с рынка. Но у любой компании есть ее ключевое ДНК. Банк — это банк. Когда он выходит в другие сферы, скажем, в ИТ, в разработку каких-то ИТ-сервисов, нет никакой гарантии, что он достигнет такого же успеха, как в своей сфере.

Крупные банки получают неконкурентное преимущество. Платформа, собравшая у себя разные услуги, может повышать цены как монополист. За за этим должна следить Федеральная антимонопольная служба.

ИИ в банках: риски и проблемы

Генеративные модели выдают негарантированный результат и галлюцинируют. В критических вопросах — например, при выдаче кредитов — это опасно. Знакомый подал заявку на кредит для организации, а ему отказали за полторы минуты. Очевидно, отказала система. Кому теперь доказывать, что он не верблюд? Это первая проблема, которая связана с ИИ в банковской сфере.

Вторая проблема — утечка данных через ИИ. Все, что попадает в ИИ-модель, там и остается. Конкурент, зная, что вы загрузили, скажем, конфиденциальные или просто важные для компании документы, может их вытащить их из модели хитрым запросом.

Третья проблема — атаки на сам ИИ. Инъекции в промт, попытки заставить модель сделать то, что она не должна. Если у ИИ-модели есть право решать — это огромная дыра в безопасности.

Правильный подход к информационной безопасности

Учить основам информационной безопасности и цифровой гигиене надо всех. Мы в InfoWatch ввели регулярные семинары, сделали гид по информационной безопасности, обучаем новых сотрудников. Сознание людей меняется — последние четыре года это видно. В школах уже появились соответствующие разделы в ОБЖ. Подрастающее поколение зачастую знает базовые вещи, связанные с цифровой гигиеной и безопасностью в Сети лучше старшего.

Информационная безопасность всегда идет позади технологий и их замедляет. За это нас, безопасников, не любят. Но если не замедлять процесс внедрения новых технологий для того, чтобы осознать их риски и продумать защиту, последствия могут оказаться такими, от которых трудно будет оправиться.

Блог Натальи Касперской

Подпишитесь на рассылку
Получайте новости, дайджесты и анонсы от InfoWatch каждый день
Подписаться на рассылку
l.12-.057c.834-.407 1.663-.812 2.53-1.211a42.414 42.414 0 0 1 3.345-1.374c2.478-.867 5.078-1.427 7.788-1.427 2.715 0 5.318.56 7.786 1.427z" transform="translate(-128 -243)"/>