Сергей Зиборов: «Люди остаются наиболее уязвимым звеном в системе безопасности»

За последние годы арсенал кибермошенников, атакующих банки и их клиентов, пополнился различными инструментами – от масок, копирующих лицо жертвы, до сложных алгоритмов искусственного интеллекта, позволяющих полностью воссоздать «цифровую личность». Директор дирекции контроля и безопасности «ОТП Банка» Сергей Зиборов в интервью приложению «Ведомости. Технологии и инновации» рассказал, как в современных условиях построить эффективную систему защиты в финансовом секторе и можно ли победить беспечность клиентов, которая становится причиной двух из трех успешных атак.

– Количество мошеннических операций в отрасли продолжает расти. По разным оценкам, за последние три года их число увеличилось на 30-40%. Основной вклад в такую динамику внесли атаки методом социальной инженерии (включают обман и психологические манипуляции, направленные на то, чтобы заставить жертву совершить нужные злоумышленнику действия. – «Ведомости. Технологии и инновации»), а также схемы обмана при помощи телефонных звонков, мессенджеров и поддельных сайтов. Несмотря на то, что профессиональное сообщество ведет активную разъяснительную кампанию на эту тему среди населения всех возрастов, учит, как распознать мошенников и как не поддаться на манипуляции, «доверия» к ним существенно меньше все же не становится.

Методы «цифровых атак» становятся все изощреннее. Помимо традиционно активного использования фишинга (копии сайтов для получения доступа к личной информации клиентов, например паролям. – «Ведомости. Технологии и инновации»), в сети компьютеров, зараженных вредоносным программным обеспечением, растет число случаев использования мошенниками искусственного интеллекта и дипфейков ‒ методов синтеза изображения и голоса клиентов. По данным системного интегратора «Информзащита», с января по октябрь 2024 г. число атак с использованием технологии дипфейк в финансовом секторе выросло на 13% год к году ‒ до 5 700 случаев.

При этом улучшилась и эффективность антифрод-систем банков, количество предотвращенных мошеннических операций значительно выросло. По данным ЦБ, антифрод-системы кредитных организаций в 2024 г. отразили 72,17 млн попыток хищения денег клиентов со стороны злоумышленников. Годом ранее ‒ 34,77 млн.

В первом квартале 2025 г. количество предотвращенных «ОТП Банком» операций без добровольного согласия клиентов увеличилось на 17% по сравнению с IV кварталом 2024 г. и составило 631 транзакцию. Это связано в основном с возросшей активностью мошенников. Вследствие этого системой антифрода банка было выявлено и отклонено больше подозрительных операций по сравнению с предыдущим периодом. При этом мы уделяем большое внимание влиянию системы антифрода на наших клиентов: в течение первого квартала 2025 г. доля приостановленных антифродом операций от общего их количества была снижена почти вдвое: с 0,27% до 0,18%.

«Почти любой отдельный метод защиты можно обойти»

– В ИТ любая технология с момента появления рассматривается как инструмент, с помощью которого можно сделать как плохое, так и хорошее. Условно: при помощи блокчейна можно торговать оружием, а можно организовать благотворительный фонд. Соревнование между теми, кто использует технологии для нападения, и теми, кто с их помощью защищает клиентов, идет постоянно.

В последние годы ИТ-индустрия продвинулась в нескольких крайне значимых направлениях защиты. Первое – это технология распознавания живого присутствия (Liveness Detection). Существует эксперимент, который, наверное, проделывали многие: что, если смартфону, который разблокируется по лицу владельца, показать фотографию? С некоторыми старыми моделями телефонов это срабатывало, но ни один современный телефон обмануть таким образом, скорее всего, не получится. Однако можно попытаться сделать маску, повторяющую лицо пользователя, копировать его голос и т. д. Современные технологии Liveness Detection, используя нейросети, способны в большинстве случаев определить, что перед камерой не настоящий человек, а искусно сделанная подделка.

Второе важное направление – это поведенческая биометрия. Традиционно эксперты по безопасности искали уникальные черты человека, которые могли бы использоваться для его идентификации, например отпечатки пальцев, радужка глаза, голос, лицо, форма уха и т. д. Проблема в том, что некоторые из этих признаков можно подделать, а другие требуют для проверки дорогостоящего и не всегда надежного оборудования: специальных камер, сенсоров и проч. В общем, из перечисленных методов все пока несовершенны.

При этом поведение человека ‒ походка, манера говорить, скорость нажатия клавиш на клавиатуре и на мышке в разных ситуациях ‒ тоже уникально. Значит, оно также может служить для подтверждения личности. И эти черты довольно сложно имитировать, в том числе потому, что хакер, скорее всего, не знает, что именно анализирует система защиты: частоту нажатия на правую кнопку мыши или то, как часто человек сохраняет документ.

Но самое важное во всем этом – сочетание различных методов защиты. Почти любой отдельно установленный метод защиты можно обойти. Это может стать дорого, долго, но возможно. Обойти многофакторную аутентификацию в ограниченные сроки и за разумные деньги практически нереально.

– Да, многофакторная аутентификация стала обязательным стандартом защиты учетных записей клиентов. Современные банковские системы требуют подтверждения личности сразу по нескольким независимым параметрам, включая пароли, одноразовые коды, биометрические данные или аппаратные ключи безопасности.

Это позволяет минимизировать вероятность компрометации учетных данных и несанкционированного доступа к финансовым сервисам. В частности, при выявлении подозрительных транзакций системы инициируют дополнительную верификацию клиента с использованием методов поведенческой биометрии, push-уведомлений или видеоподтверждения.

Банки работают с десятками подрядчиков, имеют с ними связанные инфраструктуры. Контрагенты часто защищены значительно хуже финансовых организаций, поэтому финансовым организациям необходимо учитывать риски цепочек поставок. В «ОТП Банке» многофакторная аутентификация позволяет поддержать уровень безопасности даже в случае, если сеть партнера скомпрометирована.

«К процессу сбора биометрических данных подключены свыше 180 банков»

– В последнее время число клиентов, предоставляющих биометрические данные в Единую биометрическую систему (ЕБС), растет. По данным на сентябрь 2024 г., в базе зарегистрировано более 1,7 млн. образцов, что превышает показатели предыдущего года в шесть раз. К процессу сбора биометрических данных подключены свыше 180 банков, предоставляющих возможность регистрации биометрии в отделениях по всей стране.

Технологии, включающие распознавание лиц, отпечатков пальцев, голосовую идентификацию, становятся важным элементом верификации клиентов. Банки активно их используют прежде всего для улучшения клиентского опыта, повышения уровня безопасности операций и предотвращения попыток несанкционированного доступа к конфиденциальной информации.

Широкое внедрение биометрической аутентификации позволяет значительно снизить вероятность мошеннических операций. В частности, технологии liveness detection обеспечивают дополнительный уровень защиты при удаленной идентификации и авторизации операций. Данный подход предотвращает использование поддельных цифровых копий и повышает общую устойчивость банковской инфраструктуры к угрозам почти на 100%. Кстати, до конца второго квартала 2025 г. «ОТП Банк» завершит пилот по тестированию проверок кредитных заявок с использованием технологии liveness detection.

– Одно из важнейших направлений работы любого банка — предотвращение утечек данных и противодействие инсайдерским угрозам, то есть действиям сотрудников. Внедрение DLP-систем (Data Loss Prevention ‒ системы, предназначенные для предотвращения утечек данных. – «Ведомости. Технологии и инновации») позволяет финансовым организациям отслеживать, не передает ли кто-то из сотрудников конфиденциальную информацию клиентов через электронную почту, мессенджеры или внешние накопители.

Важную роль в обеспечении информационной безопасности играют аудиты и тестирования ИТ-системы кредитной организации на проникновение. В соответствии с требованиями Банка России, банки обязаны регулярно проводить независимую оценку уязвимостей своих систем, а также проверять устойчивость своих защитных механизмов к целевым атакам.

Мы применяем комплексный подход к защите наших клиентов: используем передовые антифрод-системы, разрабатываем модели на основе машинного обучения, внедряем строгие правила аутентификации и авторизации, обучаем сотрудников и клиентов особенностям цифровой гигиены и правилам безопасности, постоянно улучшаем защиту данных, в том числе при обмене информацией с контрагентами и регуляторами. В результате за последние два года нам удалось сократить долю успешных мошеннических операций в общем потоке транзакций более чем на 25% ‒ до 2365, а средний ущерб на одного пострадавшего клиента уменьшился на 40% ‒ до 8950 руб.

«Обмануть человека зачастую проще и дешевле, чем взломать сложные банковские системы»

– Социальная инженерия (включая телефонное мошенничество и фишинг) составляет около 70% всех атак, в то время как на чисто технологические приходится порядка 30%. Причина проста: обмануть человека зачастую проще и дешевле, чем взломать сложные банковские системы и обойти многоуровневые средства защиты. Люди остаются наиболее уязвимым звеном в системе безопасности.

– «ОТП Банк» реализует масштабные просветительские программы, направленные на обучение клиентов основам кибергигиены. Мы распространяем информационные материалы, проводим тематические вебинары, рассылаем уведомления с предупреждениями о новых способах мошенничества. Особое внимание уделяем обучению персонала. Регулярные тренинги и имитационные атаки позволяют сотрудникам отрабатывать сценарии выявления угроз, предотвращая возможные утечки данных.

Существуют также разработки на базе нейросетей, которые автоматически мониторят паттерны поведения клиентов и могут подать тревожный сигнал, если подозревают, что человек находится под влиянием третьего лица. То есть просветительская деятельность и технические меры в комплексе могут привести к положительным результатам. Уже сейчас банк проводит несколько пилотных проектов по встраиванию систем искусственного интеллекта в процессы безопасности – управление инцидентами и уязвимостями.

– Сложный вопрос. Если мы усилим аутентификацию, то увеличится защита, но клиентам станет сложнее пользоваться сервисами. Мы решаем этот вопрос с помощью риск-ориентированного подхода. Это можно проиллюстрировать на примере защиты клиентских операций. Характерные клиенту операции в нашей сети проходят моментально. Нестандартные операции, например сто переводов в Зимбабве за полчаса или же несколько переводов подряд на крупные суммы, требуют дополнительного подтверждения. Кроме того, организован процесс выявления подозрительной активности на устройствах клиентов с использованием системы сессионного мониторинга.

Мы определили типовые признаки того, что клиент находится под контролем третьих лиц, и разработали методологию выявления таких инцидентов, а также реагирования на них, сейчас проводим тренинги по обучению сотрудников. Организовали контроль и оперативную блокировку электронных средств платежей клиентов, данные которых находятся в списках Автоматизированной системы обработки инцидентов Центробанка и МВД (система обмена между всеми ведомствами и компаниями, работающими в сфере кибербезопасности. ‒ прим. «Ведомости. Технологии и инновации»). Таким образом, нам удается повышать безопасность, не ухудшая при этом пользовательский опыт. И, конечно, постоянно говорим о том, что ни в коем случае нельзя делать клиентам. Если совсем упростить рекомендацию, она ничем не отличается от установок наших родителей: не общайтесь с незнакомыми людьми. Ведь именно они чаще всего становятся причиной мошеннических неприятностей.

– Дропперы подрывают доверие к банковской системе, разрушая ее изнутри, при этом вселяют уверенность в том, что закон можно обойти безнаказанно. Они на потоке используют чужие счета и карты, создавая благоприятную среду для отмывания криминальных денег. Они быстро размножаются: одна удачная схема привлекает новых участников, их трудно выявить, так как они хорошо маскируются под обычных клиентов, пока не нанесут ущерб, портят их, внушая мысли о безобидности таких деяний: дурной пример заразителен. То, что из-за их действий страдают ни в чем не повинные люди, чьи счета попадают под блокировки, их не особенно волнует.

– Убрал бы доверие к обманщикам в принципе, такая суперсила помогла бы не только в борьбе с мошенниками в финансовой сфере, но и уберегла бы от многих проблем в жизни.