Станислав Кузнецов: люди крайне беспечны с персональными данными
Развитие технологий ставит новые вызовы перед российскими банками, но и прежние способы воровства денег со счетов граждан в ходу у мошенников. Какой ущерб кибератаки нанесли отечественной экономике в 2019 году, как противостоять хакерам, что поможет искоренить преступную социальную инженерию, может ли DDOS-атака с помощью веб-камер нанести урон крупнейшим компаниям и о главном правиле кибербезопасности, в интервью РИА Новости в кулуарах Всемирного экономического форума в Давосе рассказал зампред правления Сбербанка Станислав Кузнецов.
- Можете подвести итоги 2019 года: с какими киберугрозами столкнулся Сбербанк и другие российские компании, что удалось предотвратить, а что нет?
- Киберриски для экономики России очень высокие, и тренд на их снижение отсутствует, к сожалению. Еще в начале прошлого года мы говорили, что убытки от киберпреступлений могут быть более 2,5 триллионов рублей. В целом наш прогноз оправдался.
- Много ли компаний в России смогут выдержать такие атаки?
- Наша оценка такова, что подобного рода атаки в нашей стране могут выдержать компании, число которых можно пересчитать по пальцам обеих рук. Любая компания, которая столкнется с подобной атакой в России, испытает огромные проблемы. Я не исключаю, что если бы эта атака была осуществлена на какую-либо другую организацию, ее работа была бы парализована на несколько дней. Можно смело утверждать, что в 2020 году DDOS-атаки будут большой проблемой для компаний не только в России, но и по всему миру.
- А сколько Сбербанк зафиксировал хакерских атак в 2019 году?
- Количество атак на системы Сбербанка в 2019 году увеличилось примерно на 15-20%. Мы фиксируем около 280-300 попыток в сутки атаковать наши системы так называемыми боевыми вирусами, которые заточены на то, чтобы получить контроль над нашими операционными системами. Мы их все выявляем и блокируем. Помимо этого, стоит отметить, что массовые вредоносные рассылки все еще популярны - около 50% писем, которые получают наши сотрудники, это спам, в том числе попытки фишинга.
- В целом число фишинговых атак в России снижается?
- Мы ожидали, что их число увеличится, и к сожалению, этот тренд тоже полностью оправдался. В прошлом году активизировались несколько организованных преступных групп, работающих в этом направлении. Одна из них сделала большой шаг вперед в расширении своей преступной деятельности - это группировка RTM. Она русскоязычная, действует в странах Восточной Европы, в том числе на территории России.
Используя самое современное программное обеспечение, эта группировка 10-15 раз в месяц рассылает фишинговые письма десяткам тысяч компаний в нашей стране. Многие компании на это ведутся, открывают письма и сразу же заражаются вирусом. Таким образом преступники получают доступ к бухгалтерским документам компании - с помощью вируса они пересылают средства компании на свои счета в банках и постепенно выводят.
Правоохранительные органы много знают о преступлениях такого рода - мы уже передали им материалы об около 20 преступниках из данной группировки. Таких группировок существует еще не менее пяти, но эта самая наглая и масштабная. Очень надеюсь, что в обозримой перспективе удастся ее ликвидировать.
Это не новый вид преступления, но во второй половине прошлого года Россия столкнулась с ним впервые в таком масштабе. В результате пострадали и некоторые учреждения финансовой системы, а также малые и средние компании в различных отраслях.
- Как можно победить киберпреступность в России?
- Есть два пути - либо продолжать устранять последствия кибератак и тратить на это колоссальные средства, либо научиться их предотвращать, как мы делаем это в Сбербанке. Этому будет посвящена наша дискуссия в Русском доме в Давосе.
Наша система кибербезопасности позволяет анализировать чуть менее семи миллиардов киберрисков в сутки. Примерно около 150-200 этих случаев в сутки мы признаем потенциальными атаками, и наши эксперты расследуют их в ручном режиме, а 2-3 случая в неделю мы передаем в правоохранительные органы для оперативно-розыскной деятельности.
Сегодня российская финансовая система является одной из самых защищенных отраслей экономики в нашей стране. Но, к сожалению, мы не можем сказать того же о компаниях из отраслей, не относящимся к критической инфраструктуре.
Чтобы противостоять этим рискам, в нашей стране нужно создать единые стандарты реагирования на инциденты, а также развивать обмен информацией между частными компаниями и органами власти, особенно в случае массовых кибератак. Отсутствие обязательных правил сегодня позволяет преступникам достигать своих целей и регулярно похищать достаточно крупные суммы из разных организаций.
- Кто должен создать эти правила?
- Это хороший вопрос, но я не знаю ответа. Не знает его и министр цифрового развития и связи. У себя в Сбербанке мы такие правила внедрили, но мы не можем сделать их обязательными для всех. Это один из самых срочных вопросов, который необходимо решить, - кто будет устанавливать эти правила. Подобных полномочий нет сейчас ни у одного ведомства в России.
- Может быть с приходом нового премьер-министра ситуация изменится?
- Я возлагаю очень большие надежды, что новый премьер-министр будет по-другому относиться к управлению киберрисками. Он очень хорошо их понимает и разбирается в них. Он инженер, технократ, смог построить одну из сложнейших автоматизированных систем в нашей стране и очень хорошо понимает, как и почему эти системы нужно защищать. Мы всегда будем готовы помочь, поддержать и предложить свой опыт и наработки, в том числе в подготовке специалистов.
- В прошлом году Сбербанк столкнулся с масштабной утечкой данных клиентов, какие выводы вы сделали из этой ситуации?
- Ситуация с утечкой данных, которая произошла осенью прошлого года, серьезно ударила по нам. Мы недооценили уровень риска, строили защиту по внешнему контуру, но не предполагали масштаба бедствия, к которому могло привести предательство изнутри. После этой ситуации все соответствующие направления обеспечения безопасности были пересмотрены. Мы сейчас создаем автоматизированную систему мониторинга всех действий сотрудников, будем контролировать все нестандартные действия - например, уже сегодня пересылка служебной информации любым сотрудником на личную почту невозможна. За этим следят роботы.
Это не значит, что мы никому не доверяем, но мы вынуждены установить достаточно жесткие правила, чтобы больше не допустить подобных ситуаций в будущем. Инцидент с утечкой поставил репутацию банка под огромный риск, но на клиентах это никак не отразилось, никакого оттока клиентов не было.
- От киберпреступлений в прошлом году для клиентов Сбербанка какой был ущерб?
- Непосредственно от киберпреступности ущерб - ноль. Это важный результат, которым мы гордимся уже несколько лет.
Но есть и другая угроза - угроза атак с использованием социальной инженерии, фишинга. Наши клиенты действительно иногда теряют средства, как правило, из-за своей неграмотности, доверчивости. Такие случаи есть. На 100% эту проблему решить невозможно, но сегодня мы научились на 97% определять все случаи попыток мошенничества с использованием социальной инженерии. Замечу, что в мире высоким считается показатель в 80-83%. Но клиенты нашего банка все еще получают очень большое количество мошеннических звонков, примерно 12 тысяч в неделю, а еще в начале 2019 года их было 7-8 тысяч в неделю - это очень большая разница.
- Ранее вы называли социальную инженерию главной схемой мошенничества для вывода денег со счетов граждан. Ситуация изменилась?
- К сожалению, в прошлом году эта битва была проиграна, хотя во второй половине года мы увидели небольшие изменения к лучшему со стороны правоохранительных органов. Также мы видим, что все больше внимания стало уделяться киберграмотности граждан. Это точно дало свой результат, но масштабы бедствия таковы, что, по нашей оценке, количество попыток атак на людей с использованием методов социальной инженерии в России увеличилось примерно на 40% по итогам 2019 года - это очень много.
В Сбербанке мы в режиме реального времени видим, откуда идут эти звонки нашим клиентам, есть случаи, что мы их фиксируем из конкретных мест лишения свободы. Сегодня этой проблемой обеспокоены и руководство ФСИН, и руководство правоохранительных органов, и ФСБ. Очень надеюсь, что вместе мы сможем этот тренд постепенно переломить.
- Откуда преступники берут информацию о ваших клиентах?
- Как правило, мошенники имеют минимальный набор данных о предполагаемых клиентах - для совершения атаки им нужна лишь фамилия, имя, отчество и номер телефон жертвы. Эту информацию сегодня легко достать, а преступнику ее достаточно, чтобы начать разговор. И это большая проблема. Пин-коды и CVC-коды в интернете найти сложно, но в случае с номерами пластиковых карт, это не так - их легко можно достать в теневом интернете и не только. Это происходит по той причине, что часто люди крайне беспечно относятся ко своим персональным данным. Даже если вы сфотографируете свою карту и отправите ее кому-либо - это в принципе уже утечка. С таким же успехом вы можете выбросить кошелек со своей заработной платой в урну.
- Как можно решить проблему мошенничества с использованием социальной инженерии?
- Наказание за такие преступления должно быть более жестким. Очень хорошим можно назвать пример США, где киберпреступников наказывают сроками на 20 лет - это правильно. Например, ужесточение в России мер наказания до 6 лет за скимминг фактически решило эту проблему. И если за социальную инженерию давать до 20 лет лишения свободы, я думаю, что мы забудем об этом виде преступления буквально через несколько месяцев. Сейчас же такие дела практически не доходят до суда.
- Возвращает ли Сбербанк деньги клиентам, которые стали жертвами таких преступников?
- Только в том случае, если вывод средств произошел по нашей вине - например, оператор колл-центра реагировал на просьбу клиента о блокировке транзакции дольше установленного корпоративными правилами времени. По каждому случаю мы проводим тщательную проверку.
- А если деньги утекли по вине самого человека?
- В таком случае мы не восстанавливаем средства, это наша корпоративная политика.
- И напоследок посоветуйте, пожалуйста, три основные правила кибербезопасности для обычного человека.
- Никому и никогда не передавать свои данные - реквизиты карточек и счетов, паспортные данные. Никаких персональных данных. Это первое правило. Никак и никогда. И я бы сказал, что правило номер и два, и три - это тоже правило номер один. Ни по телефону, ни устно, ни при каких обстоятельствах никому не показывать и не сообщать никакие личные данные.
Это не касается интернет-торговли и онлайн-банкинга, там есть свои стандарты, и они работают.
Источник: РИА Новости https://ria.ru/20200121/1563657634.html
21.01.2020