Как кибермошенники используют искусственный интеллект в банковских аферах: рассказывает Евгений Балютов, директор по информационной безопасности Райффайзен Банка

Быстрое развитие технологий стремительно меняет отрасль кибербезопасности и банковский сектор. Банки и финансовые компании давно используют искусственный интеллект в своей работе, переходят на облачные технологии и сотрудничают с cloud-провайдерами, применяют биометрию в работе с клиентами, а также делятся данными в рамках концепции Open Banking. Директор по информационной безопасности Райффайзен Банка Евгений Балютов в интервью UA.NEWS проанализировал ключевые тенденции в киберзащите и банковской отрасли в Украине и мире, пояснил, какие существуют угрозы и риски вокруг новейших технологий и рассказал, почему old school-процессы в банках не гарантируют безопасность ваших денег.

 

Фото: Директор по информационной безопасности Райффайзен Банка Евгений Балютов

 

Какие сегодня существуют глобальные тенденции в киберзащите в банковской сфере? Какие отличия между регионами в мире? Есть ли связь между регулированием в конкретном регионе и кибербезопасностью?

Евгений Балютов: Регулирование отрасли кибербезопасности в разных странах соответствует разной степени зрелости государства и индустрии в целом.

В этом контексте мы можем выделить три уровня зрелости.

Первый уровень - практически не урегулировано, но есть high-level нормативно-правовые акты, расписывающие взгляд на индустрию и риски и т.д.

Второй уровень зрелости - когда есть лучшие мировые практики, но в регионе используют что-то свое, государство выполняет определенные функции обеспечения кибербезопасности, есть shared responsibility model - когда бизнес отвечает за что-то одно, граждане - за другое, а государство - за третье.

Третий уровень зрелости - когда признаются лучшие мировые практики, есть конкретное направление движения и конкретные рекомендации, как этого достичь. Роли в системе кибербезопасности четко прописаны: за что отвечает государство, военные, другие правоохранительные органы, за что – бизнес и частные компании, а за что – граждане.

В разрезе регионов мира (Азия, Европа, Африка, Северная Америка), регулирование кибербезопасности находится на очень разных уровнях зрелости, в зависимости от государства, о котором идет речь. В то же время, уровень регулирования не всегда отражает уровень профессионализма индустрии в том или ином государстве.

Существуют ли специфические риски, характерные для конкретных регионов?

Евгений Балютов: Конечно! Например, есть компании, специализирующиеся на добыче чего-то и работающие в конкретных регионах. Чем больше в регионе таких компаний, чем больше они зарабатывают, тем чаще они становятся целью киберзлоумышленников.

Сегодня мир вступил в период турбулентности, который может длиться от 30 до 50 лет. Это время характеризуется обострением как глобальных, так и локальных конфликтов. И это обуславливает изменение ландшафта угроз и рисков; целые индустрии могут становиться таргетами для атак в зависимости от региона.

Что касается Украины, то наша страна сегодня является полигоном, фронтом, где испытываются все возможные виды атак в киберпространстве - как на государственные, так и негосударственные институции. Поэтому очень важно, чтобы Украина развивала партнерства, привлекала иностранных специалистов, чтобы они могли учиться и чтобы наши специалисты перенимали зарубежный опыт. Ведь нам действительно есть чему поучиться у иностранных специалистов - и в плане регулирования, и в отношении практических навыков противостояния атакам, и в развитии нашей системы киберзащиты.

Многие украинцы в Европе удивляются, почему местные банки позволяют проводить ряд операций только при личном визите в отделение. С чем это связано - обычной консервативностью или это делают из соображений безопасности?

Евгений Балютов: Почему традиционные европейские банки используют процедуры и процессы, отличные от украинских? Ключевая причина – другой риск-аппетит. Это означает, что толерантность к риску у европейского банка меньше, чем толерантность к риску у украинского банка. И это оказывает очень мощное влияние на развитие индустрии в государстве в целом.

Регулятор наших западных партнеров не всегда позволяет им быть свободными в выборе риск-аппетита. Банки должны соответствовать определенному набору требований. И этот набор требований мешает банкам чувствовать себя свободно и выбирать, кто может быть их клиентом. Именно вследствие пониженного риск-аппетита и существуют все те old school-процессы, которые наши люди видят в ЕС.

Как специалист по информационной безопасности, не могу сказать, что личная встреча в банке всегда снижает риск до приемлемого уровня. И я не считаю, что олдскульные процессы безопаснее новой школы. Потому что фродстеры – обычные люди, умеющие манипулировать бумагами так же, как и диджитал-документами. Диджитализация предоставляет много преимуществ, как с точки зрения безопасности, так и с точки зрения удобства и комфорта пользователя.

Мы находимся в начале эры искусственного интеллекта и эти модели уже давно помогают спрогнозировать, является ли конкретный клиент честным, можно ли ему предоставить кредит, является ли данная транзакция не фродстерской. У нас очень много моделей, помогающих делать достаточно качественные прогнозы. Я уверен, что наши коллеги из европейских банков должны посмотреть, как функционирует рынок в Украине и ускориться с изменениями.



Фото: команда Райффайзен Банка по кибербезопасности

Многие украинские банки внедряют различные инновационные методы идентификации клиента и подтверждение операций, среди которых оплата лицом, голосовые слепки и другие биометрические сервисы. Действительно ли биометрия является наиболее безопасным вариантом сегодня?

Евгений Балютов: Нет, и это можно объяснить двумя факторами.

1. Одной биометрии недостаточно, если мы говорим о методе верификации или идентификации клиента. В Украине даже есть соответствующее постановление Нацбанка, где подробно описаны методы идентификации и верификации клиента. Это постановление не новое, но оно опередило свое время. Там сказано, что всегда должен быть второй фактор. Даже если мы делаем Liveness Detection, если вы клипаете глазами и помещаете лицо в рамку – всегда есть еще один фактор. И вы ничего не подпишете без второго фактора, ни в банке, ни в Дія.


2. Искусственный интеллект используется не только для чего-нибудь хорошего, его активно применяют и злоумышленники, например, для дипфейков.

Как еще кибермошенники используют искусственный интеллект для своих афер? И как инструменты искусственного интеллекта используют киберзащитники?

Евгений Балютов: Сегодня реализация технологии ИИ стала доступной для широкой общественности и очень дешевой для пользователей. Потому и кибераферисты, и киберзащитники тестируют ее для применения в собственных целях.

Если мы говорим о стороне защитников, то это анализ больших массивов данных для определения трендов или аномалий. Это делается как ретроспективно, так и в режиме настоящего времени. Это анализ транзакций, анализ любых массивов данных для согласования внутренних процессов в обеспечении безопасности.

Атакующей стороне искусственный интеллект позволяет проводить более быстрый анализ компаний для обнаружения слабых мест. Также есть ИИ-ассистенты, которые позволят ускорить написание кода, который может эксплойтить уязвимость. Кроме того, это уже упомянутый нами дипфейк. В целом искусственный интеллект дает возможности прогнозирования поведения человека, чтобы представиться этим человеком. Это также усовершенствование механизмов взлома для того, чтобы генерировать минимальное количество аномалий при проникновении в сеть.

То, что мы видим сейчас – только начало. Во всей мощности мы сможем созерцать силу технологии ИИ в кибербезопасности где-то к 2030 году.

Помогает ли искусственный интеллект при анализе нетипичного поведения клиента и блокировании подозрительных операций?

Евгений Балютов: Мы занимаемся анализом нетипичного поведения уже более трех лет. И это даже не требует привлечения искусственного интеллекта – это профайлинг клиента.

Банк видит, что клиент живет в определенном городе, ездит по определенному маршруту, совершает покупки в таких-то локациях. Если клиент начинает делать что-то аномальное для своего типичного мира, у нас существуют модели, которые помогают оценить, может ли этот клиент со своим образом жизни делать такие операции, его ли это девайс или локация - есть очень много входных параметров, на основе которых осуществляется оценка поведения.

А искусственный интеллект мог бы прибавить скорости этому процессу, а также улучшить вероятность успешного предвидения, действительно ли это конкретный клиент.

Однако изменить правила игры в данном аспекте ИИ не способен. То же касается антифрода и риск-моделей. Ускориться – да, но заменить человека – невозможно. Потому что есть локальные особенности, есть рынок и его регуляция. Мы не можем передать искусственному интеллекту все контексты, ведь некоторые контексты субъективны, а некоторые нуждаются в понимании человеческих отношений. Следовательно, не всегда можно спокойно делегировать машинному интеллекту принятие решений, мы все равно должны их пересматривать.



Фото: команда Райффайзен Банка по кибербезопасности

Многие годы во всем мире говорят об Open Banking. Не несет ли эта концепция определенных рисков в контексте публичных API? Как готовится Райффайзен Банк к внедрению open banking?

Евгений Балютов: Риски есть. Но можно ли управлять этими рисками? Да. API Security – отдельная подотрасль cybersecurity, в которой плюс-минус понятно, что и как делать и как менять эти риски.

Если речь идет об украинском рынке, мы готовимся к запуску open banking. И мы понимаем, как нужно защищать эти API. Это правильно, что Украина пошла по пути постепенных изменений и испытания этой технологии, прежде чем делать ее публично доступной в полном масштабе.

Open banking дает возможность создавать приложения без бренда того или иного банка, но с возможностью использовать данные, которые есть у этого банка. Впрочем, объем данных, их глубина и актуальность будут предметом индивидуальных переговоров между компаниями-производителями приложений и банками.

Один из рисков open banking для клиентов – это отношение компаний, разрабатывающих приложения, к собственной кибербезопасности. Так как злоумышленникам не нужно будет ломать банк, достаточно будет взломать компанию, имеющую доступ к данным банка.

Конечно, банки будут анализировать, как в этих компаниях реализована кибербезопасность. Мы проверяем каждого поставщика и партнера не только на бумаге, но и на практике. Но следует понимать, что если у компании будут какие-то киберинциденты, то банк ничего не сможет сделать, кроме как ограничить доступ к API максимально быстро. Поэтому недопустимо, чтобы компании-поставщики решений молчали о киберинцидентах. Они напротив должны кричать о них. Я считаю, что этот вопрос обязательно требует отдельного регулирования.

Важен и риск-аппетит самого клиента. Ведь клиент сможет сам определять, какого провайдера доступа к собственным данным использовать, поэтому выбор провайдера будет лежать не только на банке. Я прогнозирую, что когда open banking запустят для массового пользователя, появятся сотни, а то и тысячи фишинговых приложений.

Open banking – потенциально интересная реализация существующих технологий, но нужно понимать, что не на всех рынках он показывает себя супер классно и супер-usable. Например, на рынке Великобритании есть open banking, но люди и дальше пользуются услугами банков. И там очень мало действительно крутых приложений, которые имеют доступ к вашим данным в разных банках. К тому же, когда речь идет о деньгах, многие клиенты склонны действовать более консервативно.

Нацбанк Украины в начале полномасштабной войны разрешил украинским банкам перейти на облачные решения. Не возникает ли угроз на этапе поставщика этих облачных сервисов? И правда ли, что в случае проникновения в сеть облачного провайдера, ни клиенты, ни банк не узнают о компрометации и ничего не смогут сделать?

Евгений Балютов: Этот вопрос, прежде всего, стоит задавать себе, когда вы используете любые private cloud или public cloud, сделанные небольшими компаниями. Если речь идет о компании Google или Amazon, то там безопасностью занимаются тысячи людей. И отпадает вопрос, где эффективнее построены процессы безопасности: в компании, где на безопасность работают десятки тысяч человек, или же в рядовой компании с рынка Украины.

В сотрудничестве с облачным провайдером есть shared responsibility model: за что-то отвечает клауд-провайдер, за что-то банк, а за что-то клиент. Обычно в рамках этой модели мы можем митигировать почти все риски до приемлемого уровня. Но следует учитывать, что клиент может сам оперировать собственными данными и безопасностью в этой инфраструктуре. И если облачный провайдер сделает свою работу хорошо, а клиент откроет свои данные и разрешит доступ, то это может использоваться для взлома. Но облачный провайдер не будет виноват, потому что он сделал все обещанное, а клиент сам не позаботился о безопасности своей клауд-среды.

С другой стороны – все может быть. Поэтому важно понимать потенциальные последствия и осознавать, как работать с этими рисками. Конечно, остаются возможности физического проникновения в data-центр, подключение к системам, инсайдеры... Но у вас всегда есть достаточное количество технических возможностей по мониторингу собственных ресурсов в клаудах. Кейс, когда кто-то ломает, например, Amazon и никто об этом не знает, происходит утечка данных, затрагивающая все компании, размещенные в клауде в зоне Франкфурт - это какая-то драма-драма, вероятность которой меньше, чем взлом украинской компании, которая размещена в клауде.

 

Читайте также:

«Государство должно поддерживать и ценить каждого, кто делает вклад в развитие киберграмотности», – Евгений Балютов, Райффайзен Банк

Как украинские банки защищаются от кибератак в условиях войны: рассказывает Евгений Балютов, директор по информационной безопасности Райффайзен Банка