Jak cyberprzestępcy wykorzystują sztuczną inteligencję w oszustwach bankowych: Yevhen Balyutov, dyrektor ds. bezpieczeństwa informacji w Raiffeisen Bank, wyjaśnia

Szybki rozwój technologii szybko zmienia branżę cyberbezpieczeństwa i sektor bankowy. Banki i firmy finansowe od dawna wykorzystują sztuczną inteligencję w swoich operacjach, przechodzą na technologie chmurowe i współpracują z dostawcami usług w chmurze, wykorzystują biometrię w relacjach z klientami i udostępniają dane w ramach koncepcji otwartej bankowości. W wywiadzie dla UA.NEWS dyrektor ds. bezpieczeństwa informacji Raiffeisen Bank Yevhen Balyutov przeanalizował kluczowe trendy w cyberbezpieczeństwie i branży bankowej w Ukrainie i na świecie, wyjaśnił zagrożenia i ryzyko związane z najnowszymi technologiami oraz wyjaśnił, dlaczego stare procesy bankowe nie gwarantują bezpieczeństwa Twoich pieniędzy.



Zdjęcie: Dyrektor ds. bezpieczeństwa informacji Raiffeisen Bank Yevhen Balyutov

Jakie są obecne globalne trendy w cyberbezpieczeństwie w sektorze bankowym? Jakie są różnice między regionami świata? Czy istnieje związek między regulacjami w danym regionie a cyberbezpieczeństwem?

Yevhen Balyutov: Regulacja branży cyberbezpieczeństwa w różnych krajach odpowiada różnym stopniom dojrzałości państwa i branży jako całości.

W tym kontekście możemy wyróżnić trzy poziomy dojrzałości.

Pierwszy poziom jest praktycznie nieuregulowany, ale istnieją regulacje wysokiego szczebla, które opisują spojrzenie na branżę, ryzyko itp.

Drugi poziom dojrzałości to sytuacja, w której istnieją najlepsze globalne praktyki, ale region stosuje coś własnego, państwo wykonuje pewne funkcje w zakresie cyberbezpieczeństwa i istnieje model współodpowiedzialności - gdy biznes jest odpowiedzialny za jedną rzecz, obywatele za drugą, a państwo za trzecią.

Trzeci poziom dojrzałości to sytuacja, w której uznawane są najlepsze światowe praktyki, istnieje określony kierunek ruchu i konkretne zalecenia dotyczące tego, jak to osiągnąć. Role w systemie cyberbezpieczeństwa są jasno określone: za co odpowiada państwo, wojsko i inne organy ścigania, za co odpowiada biznes i firmy prywatne, a za co obywatele.

Jeśli chodzi o regiony świata (Azja, Europa, Afryka, Ameryka Północna), regulacje dotyczące cyberbezpieczeństwa znajdują się na bardzo różnych poziomach dojrzałości, w zależności od danego kraju. Jednocześnie poziom regulacji nie zawsze odzwierciedla poziom profesjonalizmu branży w danym kraju.

Czy istnieją jakieś szczególne zagrożenia związane z poszczególnymi regionami?

Yevhen Balyutov: Oczywiście! Na przykład istnieją firmy, które specjalizują się w wydobywaniu czegoś i działają w określonych regionach. Im więcej takich firm jest w danym regionie, tym więcej zarabiają i tym częściej stają się celem cyberprzestępców.

Obecnie świat wkroczył w okres turbulencji, który może trwać od 30 do 50 lat. Czas ten charakteryzuje się eskalacją zarówno globalnych, jak i lokalnych konfliktów. Powoduje to zmiany w krajobrazie zagrożeń i ryzyka; całe branże mogą stać się celem ataków w zależności od regionu.

Jeśli chodzi o Ukrainę, nasz kraj jest dziś poligonem doświadczalnym, linią frontu, na której testowane są wszystkie możliwe rodzaje ataków w cyberprzestrzeni - zarówno na instytucje rządowe, jak i pozarządowe. Dlatego bardzo ważne jest, aby Ukraina rozwijała partnerstwa, przyciągała zagranicznych ekspertów, aby mogli się uczyć, a nasi eksperci przyjmowali zagraniczne doświadczenia. W końcu naprawdę możemy się wiele nauczyć od zagranicznych ekspertów - w zakresie regulacji, praktycznych umiejętności przeciwdziałania atakom i budowania naszego systemu cyberobrony.

Wielu Ukraińców w Europie zastanawia się, dlaczego lokalne banki zezwalają na przeprowadzanie szeregu transakcji tylko w przypadku osobistej wizyty w oddziale. Jaki jest tego powód - czy to tylko konserwatyzm, czy też względy bezpieczeństwa?

Yevhen Balyutov: Dlaczego tradycyjne europejskie banki stosują procedury i procesy, które różnią się od ukraińskich? Kluczowym powodem jest inny apetyt na ryzyko. Oznacza to, że tolerancja ryzyka banku europejskiego jest niższa niż tolerancja ryzyka banku ukraińskiego. Ma to bardzo duży wpływ na rozwój branży w całym kraju.

Ramy regulacyjne naszych zachodnich partnerów nie zawsze pozwalają im na swobodny wybór apetytu na ryzyko. Banki muszą spełniać określony zestaw wymogów. Ten zestaw wymogów uniemożliwia bankom swobodny wybór klientów. To właśnie z powodu ograniczonego apetytu na ryzyko istnieją wszystkie te stare procesy, które nasi pracownicy widzą w UE.

Jako specjalista ds. bezpieczeństwa informacji nie mogę powiedzieć, że spotkanie twarzą w twarz w banku zawsze zmniejsza ryzyko do akceptowalnego poziomu. Nie wierzę też, że stare procesy są bezpieczniejsze od nowych. Ponieważ oszuści to zwykli ludzie, którzy wiedzą, jak manipulować papierem w taki sam sposób, jak dokumentami cyfrowymi. Zamiast tego cyfryzacja oferuje wiele korzyści, zarówno pod względem bezpieczeństwa, jak i wygody i komfortu użytkownika.

Jesteśmy na początku ery sztucznej inteligencji, a modele te od dawna pomagają przewidzieć, czy dany klient jest uczciwy, czy można udzielić mu pożyczki, czy też dana transakcja jest oszukańcza. Mamy wiele modeli, które pomagają nam tworzyć prognozy o dość wysokiej jakości. Jestem przekonany, że nasi koledzy z europejskich banków powinni przyjrzeć się, jak funkcjonuje rynek w Ukrainie i przyspieszyć zmiany.



Zdjęcie: Zespół ds. cyberbezpieczeństwa Raiffeisen Bank

Wiele ukraińskich banków wprowadza różne innowacyjne metody identyfikacji klientów i potwierdzania transakcji, w tym płatności twarzą, wrażenia głosowe i inne usługi biometryczne. Czy biometria jest obecnie najbezpieczniejszą opcją?

Yevhen Balyutov: Nie, i można to wyjaśnić dwoma czynnikami.

1. Sama biometria nie wystarczy, jeśli mówimy o metodzie weryfikacji lub identyfikacji klienta. W Ukrainie istnieje nawet odpowiednia uchwała Narodowego Banku, która szczegółowo opisuje metody identyfikacji i weryfikacji klientów. Uchwała ta nie jest nowa, ale wyprzedzała swoje czasy. Stwierdza ona, że zawsze powinien istnieć drugi czynnik. Nawet jeśli zrobimy Liveness Detection, jeśli mrugniesz oczami i umieścisz swoją twarz w ramce, zawsze jest inny czynnik. I nie podpiszesz niczego bez drugiego czynnika, ani w banku, ani w Diia.


2. Sztuczna inteligencja jest wykorzystywana nie tylko dla dobra, ale jest również aktywnie wykorzystywana przez przestępców, na przykład do deepfake'ów.

Jak jeszcze cyberprzestępcy wykorzystują sztuczną inteligencję do swoich oszustw? I w jaki sposób narzędzia AI są wykorzystywane przez cyberobrońców?

Yevhen Balyutov: Obecnie wdrożenie technologii AI stało się ogólnodostępne i jest bardzo tanie dla użytkowników. Dlatego zarówno cyberprzestępcy, jak i cyberobrońcy testują ją do własnych celów.

Jeśli mówimy o stronie obrońców, jest to analiza dużych ilości danych w celu zidentyfikowania trendów lub anomalii. Odbywa się to zarówno retrospektywnie, jak i w czasie rzeczywistym. Jest to również analiza transakcji, analiza dowolnych zestawów danych w celu koordynacji wewnętrznych procesów bezpieczeństwa.

Po stronie atakującego sztuczna inteligencja pozwala na szybszą analizę firm w celu identyfikacji słabych punktów. Istnieją również asystenci AI, którzy mogą przyspieszyć pisanie kodu wykorzystującego luki w zabezpieczeniach. Do tego dochodzi wspomniany już deepfake. Ogólnie rzecz biorąc, sztuczna inteligencja pozwala przewidywać zachowanie człowieka w celu podszycia się pod niego. Usprawnia również mechanizmy hakerskie w celu generowania minimalnej liczby anomalii podczas penetracji sieci.

To, co widzimy teraz, to dopiero początek. Potęgę technologii AI w cyberbezpieczeństwie będziemy mogli zobaczyć w całej okazałości do 2030 roku.

Czy AI pomaga w analizie nietypowych zachowań klientów i blokowaniu podejrzanych transakcji?

Yevhen Balyutov: Analizujemy nietypowe zachowania od ponad trzech lat. I nie wymaga to nawet użycia sztucznej inteligencji - to po prostu profilowanie klienta.

Bank widzi, że klient mieszka w określonym mieście, podróżuje określoną trasą i dokonuje zakupów w takich miejscach. Jeśli klient zaczyna robić coś nietypowego dla swojego typowego świata, mamy modele, które pomagają nam ocenić, czy ten klient i jego styl życia mogą dokonywać takich transakcji, czy jest to jego urządzenie, czy jest to jego lokalizacja - istnieje wiele parametrów wejściowych, które są wykorzystywane do oceny zachowania.

Sztuczna inteligencja mogłaby przyspieszyć ten proces, a także zwiększyć prawdopodobieństwo pomyślnego przewidzenia, czy jest to rzeczywiście konkretny klient.

Sztuczna inteligencja nie jest jednak w stanie zmienić zasad gry w tym aspekcie. To samo dotyczy modeli zwalczania nadużyć finansowych i ryzyka. Może przyspieszyć ten proces, ale nie zastąpi człowieka. Ponieważ istnieje lokalna specyfika, istnieje rynek i jego regulacja. Nie możemy przenieść wszystkich kontekstów do sztucznej inteligencji, ponieważ niektóre konteksty są subiektywne, a niektóre wymagają zrozumienia relacji międzyludzkich. Dlatego nie zawsze można bezpiecznie przekazać podejmowanie decyzji inteligencji maszynowej, ponieważ nadal musimy je weryfikować.



Zdjęcie: Zespół ds. cyberbezpieczeństwa Raiffeisen Bank

Od wielu lat na świecie mówi się o otwartej bankowości. Czy koncepcja ta nie stwarza pewnych zagrożeń w kontekście publicznych interfejsów API? Jak Raiffeisen Bank przygotowuje się do wdrożenia otwartej bankowości?

Yevhen Balyutov: Istnieje ryzyko. Ale czy można nimi zarządzać? Tak, można. Bezpieczeństwo API to osobny podsektor cyberbezpieczeństwa, w którym jest jasne, co robić i jak zarządzać tym ryzykiem.

Jeśli chodzi o rynek ukraiński, przygotowujemy się do uruchomienia otwartej bankowości. Ukraina słusznie wybrała drogę stopniowych zmian i testowania tej technologii przed udostępnieniem jej publicznie na pełną skalę.

Otwarta bankowość umożliwia tworzenie aplikacji bez marki konkretnego banku, ale z możliwością korzystania z danych, które ten bank posiada. Jednak ilość tych danych, ich głębokość i znaczenie będą przedmiotem indywidualnych negocjacji między twórcami aplikacji a bankami.

Jednym z zagrożeń związanych z otwartą bankowością dla klientów jest podejście firm tworzących aplikacje do własnego cyberbezpieczeństwa. Ponieważ atakujący nie będą musieli hakować banku, wystarczy zhakować firmę, która ma dostęp do danych banku.

Oczywiście banki będą analizować, w jaki sposób firmy te wdrażają cyberbezpieczeństwo. Sprawdzamy każdego dostawcę i partnera nie tylko na papierze, ale także w praktyce. Ale należy zrozumieć, że jeśli firma ma jakiekolwiek incydenty cybernetyczne, bank nie będzie w stanie zrobić nic poza ograniczeniem dostępu do API tak szybko, jak to możliwe. Dlatego niedopuszczalne jest, aby dostawcy rozwiązań milczeli na temat cyberincydentów. Wręcz przeciwnie, powinni o nich krzyczeć. Uważam, że ta kwestia zdecydowanie wymaga odrębnej regulacji.

Ważny jest również apetyt klienta na ryzyko. W końcu to klient będzie mógł określić, z usług którego dostawcy dostępu do własnych danych chce korzystać, więc wybór dostawcy nie będzie należał wyłącznie do banku. Przewiduję, że gdy otwarta bankowość zostanie uruchomiona dla mas, pojawią się setki, a nawet tysiące aplikacji phishingowych.

Otwarta bankowość jest potencjalnie interesującą implementacją istniejących technologii, ale trzeba zrozumieć, że nie jest ona super fajna i super użyteczna na wszystkich rynkach. Na przykład rynek brytyjski ma otwartą bankowość, ale ludzie nadal korzystają z usług bankowych. I jest bardzo niewiele naprawdę fajnych aplikacji, które mają dostęp do danych użytkownika w różnych bankach. Ponadto wielu klientów jest bardziej konserwatywnych, jeśli chodzi o pieniądze.

Na początku wojny na pełną skalę Narodowy Bank Ukrainy zezwolił ukraińskim bankom na przejście na rozwiązania chmurowe. Czy etap dostawcy tych usług w chmurze nie stanowi zagrożenia? I czy to prawda, że jeśli sieć dostawcy chmury zostanie naruszona, ani klienci, ani bank nie dowiedzą się o tym i nie będą w stanie nic zrobić?

Yevhen Balyutov: To pytanie warto sobie zadać przede wszystkim wtedy, gdy korzystamy z jakiejkolwiek chmury prywatnej lub publicznej tworzonej przez małe firmy. Jeśli mówimy o Google lub Amazon, tysiące ludzi jest tam zaangażowanych w bezpieczeństwo. I nie ma wątpliwości, gdzie procesy bezpieczeństwa są budowane bardziej efektywnie: w firmie, w której nad bezpieczeństwem pracują dziesiątki tysięcy osób, czy w przeciętnej firmie z rynku ukraińskiego.

We współpracy z dostawcą chmury mamy model współodpowiedzialności: dostawca chmury jest odpowiedzialny za niektóre rzeczy, bank za inne, a klient za jeszcze inne. Zwykle w ramach tego modelu możemy ograniczyć prawie wszystkie ryzyka do akceptowalnego poziomu. Musimy jednak pamiętać, że klient może zarządzać własnymi danymi i bezpieczeństwem w tej infrastrukturze. A jeśli dostawca chmury dobrze wykonuje swoją pracę, a klient otwiera swoje dane i zezwala na dostęp, może to zostać wykorzystane do włamania. Ale dostawca chmury nie będzie winny, ponieważ zrobił wszystko, co obiecał, a klient nie dbał o bezpieczeństwo swoich środowisk chmurowych.

Z drugiej strony, wszystko może się zdarzyć. Dlatego ważne jest, aby zrozumieć potencjalne konsekwencje i wiedzieć, jak radzić sobie z tym ryzykiem. Oczywiście nadal istnieją możliwości fizycznej penetracji centrum danych, podłączenia się do systemów, insiderów... Ale zawsze masz wystarczające możliwości techniczne, aby monitorować własne zasoby w chmurze. Przypadek, w którym ktoś włamuje się na przykład do Amazona i nikt o tym nie wie, a wyciek danych dotyczy wszystkich firm zlokalizowanych w chmurze w rejonie Frankfurtu, jest rodzajem dramatu, który jest mniej prawdopodobny niż włamanie do ukraińskiej firmy zlokalizowanej w chmurze.