Полиграф, биометрия и ликбез: топ-менеджер Сбербанка рассказал о способах защиты клиентов

17 февраля зампред правления Сбербанка Станислав Кузнецов дал большое интервью о проблемах кибербезопасности

В беседе с редактором «Ведомостей» Станислав Кузнецов рассказал о контроле сотрудников, кражах посредством социальной инженерии и ликбезе в кибербезопасности. Юга.ру публикует выдержки из интервью.

В 2019 году число атак на клиентов Сбербанка с использованием социальной инженерии выросло примерно на 10%. Сотрудники банка зафиксировали около 2,5 млн жалоб на телефонное мошенничество, и это почти в 15 раз превысило показатели 2017 года. Станислав Кузнецов отметил, что работа правоохранительных органов против этого вида мошенничества улучшилась, однако ее недостаточно.

При этом Сбербанк не знает, сколько денег мошенникам удалось вывести. Вместо этого Кузнецов сообщил, что банку удалось предотвратить хищения на сумму около 40 млрд рублей — это те деньги, которые мошенники уже начали выводить, но их остановил банк.

«Мы разработали свою систему фрод-мониторинга. По сути, мы сегодня защищаем наших клиентов от подобных атак в 97% случаев. Это очень высокий показатель», — отметил Кузнецов.

При этом Кузнецов считает, что мошенничества с помощью социальной инженерии наиболее распространены в РФ, чем в других странах. В 2019-м прогнозируемый Сбербанком рост мошенничеств остановить не удалось. Кузнецов убежден, что прежде всего нужны более решительные реакции правоохранительной системы. Во-вторых, эти преступления заслуживают наказания большего, чем год или два, считает топ-менеджер банка.

«Старшее поколение доверчиво и не допускает, что может звонить мошенник. Нам точно не хватает киберграмотности. Всем нужно учиться безопасно использовать девайсы и выработать навыки против уловок», — посоветовал Кузнецов.

Также Кузнецов заметил, что в РФ нет ведомства, отвечающего за кибербезопасность. Однако дело не только в подмене номеров, которую возможно остановить технически, но в тех практиках, когда мошенники под разными предлогами вынуждают человека установить программу для удаленного управления устройством и получают над ним контроль.

«Но даже если клиент эту программу установит и преступники начнут выводить деньги, Сбербанк поймет это благодаря искусственному интеллекту и предупредит клиента. Иногда требуют все же провести операцию. Мы предупреждаем повторно, но по закону мы обязаны исполнять требования клиентов. Через 2-3 дня они приносят заявление о краже. Увы, такое мошенничество остановить, по сути, невозможно», — сказал Кузнецов.

Топ-менеджер рассказал о другой сфере кибербезопасности — сборе биометрических образцов, и заявил, что сейчас их у Сбербанка миллионы. Кузнецов сообщил, что банк начал тестировать оплату по биометрии лица на входе в метро и при кассовых операциях. Технология уже обкатана, но нужно тестировать защищенность от подделок.

В 2019 году Сбербанк подтвердил утечку данных примерно 5 тыс. клиентов и завершил расследование этого инцидента. Кузнецов признал, что ранее банк не учитывал вероятность мошенничества от своих сотрудников.

«Защититься от предательства на 100% вряд ли можно, но мы очень стараемся добиться высоких результатов. Да, можно просто запомнить какие-то данные и сообщить их мошенникам. Но техническими способами мы такие возможности закрываем. Уже разработаны и продолжают развиваться системы контроля, которые не позволяют пересылать служебную информацию вовне, на личную почту или вынести на флешке», — сообщил Кузнецов.

«Сегодня многие компании используют полиграф в качестве дополнительной проверки сотрудников, занимающих "чувствительные" должности. Мы в этом плане не исключение. Такие проверки проводятся только с согласия сотрудников и в соответствии с законодательством РФ», — отметил Кузнецов.

Кузнецов заметил, что банк не фиксирует абсолютно новые, ранее не известные атаки — мошенники совершенствуют имеющийся арсенал.

«В 2019 году банк зафиксировал 7 новых ОПГ и около 113 млн образцов новых вредоносов и техник их применения. Увеличилось число атак на компании нашей экосистемы — так мошенники пытались попасть в инфраструктуру банка якобы менее защищенными способами. Выросла мощность DDoS-атак. То же касается и фишинговых атак, которые устанавливают зловреды в системы управления компаниями малого и среднего бизнеса», — сказал Кузнецов.

Кузнецов сообщил, что банк зафиксировал новые виды мошенничества через социальную инженерию, и отметил, что в ноябре 2019-го МВД решило усилить противодействие кибермошенникам.

«Эту проблему надо решать всем вместе. Сбербанк научился многое видеть и документировать, но он не ведет оперативно-розыскную работу. Вместо этого у нас, например, есть волонтерское движение по киберграмотности. В дни, когда люди приходят в банк за пенсиями, ребята встречаются с ними по 20-30 человек и рассказывают о простых принципах киберграмотности: что можно делать, чего нельзя, приводят примеры. И, конечно же, принимают предложения, что надо исправить в цифровом банке, чтобы он был удобен и пожилым. Нам всем нужно помогать элементарной кибербезопасностью», — заключил Кузнецов.