Як кібершахраї використовують штучний інтелект у банківських аферах: розповідає Євген Балютов, директор з інформаційної безпеки Райффайзен Банку
15 Квітня 2024 15:33 Швидкий розвиток технологій стрімко змінює галузь кібербезпеки та банківський сектор. Банки й фінансові компанії давно використовують штучний інтелект у своїй роботі, переходять на хмарні технології і співпрацюють із cloud-провайдерами, застосовують біометрію у роботі з клієнтами, а також діляться даними у межах концепції open banking. Директор з інформаційної безпеки Райффайзен Банку Євген Балютов в інтерв’ю для UA.NEWS проаналізував ключові тенденції у кіберзахисті та банківській галузі в Україні й світі, пояснив, які існують загрози та ризики навколо новітніх технологій та розповів, чому old school-процеси у банках не гарантують безпеки ваших грошей.
Фото: Директор з інформаційної безпеки Райффайзен Банку Євген Балютов
Які сьогодні існують глобальні тенденції в кіберзахисті у банківській сфері? Які відмінності між регіонами у світі? Чи є зв'язок між регулюванням в конкретному регіоні та кібербезпекою?
Євген Балютов: Регулювання галузі кібербезпеки у різних країнах відповідає різному ступеню зрілості держави та індустрії в цілому.
У цьому контексті можемо виділити три рівня зрілості.
Перший рівень - практично не врегульовано, але є high-level нормативно-правові акти, які розписують погляд на індустрію та ризики, тощо.
Другий рівень зрілості - коли є найкращі світові практики, але у регіоні використовують щось своє, держава виконує певні функції забезпечення кібербезпеки, є shared responsibility model - коли бізнес відповідає за щось одне, громадяни - за інше, а держава - за третє.
Третій рівень зрілості - коли визнаються найкращі світові практики, є конкретний напрям руху та конкретні рекомендації, як цього досягнути. Ролі у системі кібербезпеки чітко прописані: за що відповідає держава, військові, інші правоохоронні органи, за що - бізнес і приватні компанії, а за що - громадяни.
У розрізі регіонів світу (Азія, Європа, Африка, Північна Америка), регулювання кібербезпеки знаходиться на дуже-дуже різних рівнях зрілості, залежно від держави, про яку йдеться. Водночас рівень регулювання не завжди відображає рівень професіоналізму індустрії у тій чи іншій державі.
Чи існують специфічні ризики, які притаманні конкретним регіонам?
Євген Балютов: Звісно! Наприклад, є компанії, які спеціалізується на видобутку чогось і вони працюють у конкретних регіонах. Чим більше у регіоні таких компаній, чим більше вони заробляють, тим частіше вони стають ціллю для кіберзловмисників.
Сьогодні світ вступив у період турбулентності, який може тривати від 30 до 50 років. Цей час характеризується загостренням як глобальних, так і локальних конфліктів. І це обумовлює зміну ландшафту загроз та ризиків; цілі індустрії можуть ставати таргетами для атак залежно від регіону.
Що стосується України, то наша країна сьогодні є полігоном, фронтом, де випробовуються усі можливі види атак у кіберпросторі - як на державні, так і недержавні інституції. Тому дуже важливо, щоб Україна розвивала партнерства, залучала іноземних фахівців, аби вони могли навчатись, і щоб наші фахівці переймали закордонний досвід. Адже нам дійсно є чому повчитись в іноземних спеціалістів - і в плані регулювання, і щодо практичних навичок протистояння атакам, і у розбудові нашої системи кіберзахисту.
Багато українців у Європі дивуються, чому тамтешні банки дозволяють проводити низку операцій лише за умови особистого візиту до відділення. З чим це пов’язано - звичайною консервативністю або ж це роблять з міркувань безпеки?
Євген Балютов: Чому традиційні європейські банки використовують процедури та процеси, відмінні від українських? Ключова причина - інший ризик-апетит. Це означає, що толерантність до ризику у європейського банку менше, ніж толерантність до ризику в українського банку. І це має дуже потужний вплив на розвиток індустрії у державі загалом.
Регуляторка наших західних партнерів не завжди дозволяє їм бути вільними у виборі ризик-апетиту. Банки мають відповідати певному набору вимог. І цей набір вимог заважає банкам почуватись вільно і обирати, хто може бути їх клієнтом. Саме внаслідок зниженого ризик-апетиту й існують усі ті old school-процеси, які наші люди бачать на теренах ЄС.
Як фахівець з інформаційної безпеки, не можу сказати, що особиста зустріч у банку завжди знижує ризик до прийнятного рівня. І я не вважаю, що олдскульні процеси безпечніші, ніж нова школа. Тому що фродстери - звичайні люди, які вміють маніпулювати паперами так само, як і діджитал-документами. Натомість диджиталізація надає багато переваг, як з точки зору безпеки, так і з точки зору зручності і комфорту користувача.
Ми знаходимось на початку ери штучного інтелекту і ці моделі уже давно допомагають спрогнозувати, чи є конкретний клієнт чесним, чи можна йому надати кредит, чи є дана транзакція фродстерською. У нас дуже багато моделей, які допомагають робити достатньо якісні прогнози. Я переконаний, що наші колеги з європейських банків мають подивитись, як функціонує ринок в Україні і прискоритись зі змінами.
Фото: команда Райффайзен Банку з кібербезпеки
Низка українських банків впроваджують різні інноваційні методи ідентифікації клієнта та підтвердження операцій, серед яких оплата обличчям, голосові зліпки та інші біометричні сервіси. Чи дійсно біометрія є найбільш безпечним варіантом сьогодні?
Євген Балютов: Ні, і це можна пояснити двома факторами.
- Однієї біометрії недостатньо, якщо ми говоримо про метод верифікації або ідентифікації клієнта. В Україні навіть є відповідна постанова Нацбанку, у якій докладно описані методи ідентифікації та верифікації клієнта. Ця постанова не нова, але вона випередила свій час. Там вказано, що завжди повинен бути другий фактор. Навіть якщо ми робимо Liveness Detection, якщо ви кліпаєте очима і поміщаєте обличчя в рамку - завжди є ще один фактор. І ви нічого не підпишете без другого фактора, ні у банку, ні у Дії.
- Штучний інтелект використовується не тільки для чогось хорошого, його активно застосовують і зловмисники, наприклад, для діпфейків.
Як ще кібершахраї використовують штучний інтелект для своїх афер? І як інструменти штучного інтелекту використовують кіберзахисники?
Євген Балютов: Сьогодні реалізація технології ШІ стала доступною для широкого загалу і вона є дуже дешевою для користувачів. Тому і кібераферисти, і кіберзахисники тестують її для використання у власних цілях.
Якщо ми говоримо про сторону захисників, то це аналіз великих масивів даних для визначення трендів або аномалій. Це робиться як ретроспективно, так і у режимі реального часу. Це також аналіз транзакцій, аналіз будь-яких масивів даних для погодження внутрішніх процесів у забезпеченні безпеки.
Атакуючій стороні штучний інтелект дозволяє проводити більш швидкий аналіз компаній для виявлення слабких місць. Також є ШІ-асистенти, які дозволять пришвидшити написання коду, що може експлуатувати вразливості. Крім того це вже згаданий нами діпфейк. Загалом штучний інтелект дає можливості прогнозування поведінки людини, щоб представитись цією людиною. Це також вдосконалення механізмів зламу для того, щоб генерувати мінімальну кількість аномалій під час проникнення у мережу.
Те, що ми бачимо зараз - лише початок. У всій потужності ми зможемо споглядати силу технології ШІ у кібербезпеці десь до 2030 року.
Чи допомагає штучний інтелект під час аналізу нетипової поведінки клієнта та блокуванні підозрілих операцій?
Євген Балютов: Ми займаємось аналізом нетипової поведінки уже більше трьох років. І це навіть не потребує залучення штучного інтелекту - це профайлінг клієнта.
Банк бачить, що клієнт живе в певному місті, їздить за певним маршрутом, робить покупки у таких локаціях. Якщо клієнт починає робити щось аномальне для свого типового світу, у нас існують моделі, які допомагають оцінити, чи може цей клієнт зі своїм способом життя робити такі операції, чи це його девайс, чи це його локація - є дуже багато вхідних параметрів, на основі яких здійснюється оцінка поведінки.
А штучний інтелект міг би додати швидкості цьому процесу, а також покращити ймовірність успішного передбачення, чи дійсно це конкретний клієнт.
Однак змінити правила гри у даному аспекті ШІ не здатен. Те саме стосується антифроду і ризик-моделей. Пришвидшитись - так, але замінити людину - неможливо. Тому що є локальні особливості, є ринок і його регуляція. Ми не можемо передати штучному інтелекту усі контексти, адже деякі контексти є суб’єктивними, а деякі потребують розуміння людських відносин. Відтак не завжди можна спокійно делегувати машинному інтелекту прийняття рішень, ми все одно маємо їх переглядати.
Фото: команда Райффайзен Банку з кібербезпеки
Багато років у всьому світі говорять про open banking. Чи не несе ця концепція певних ризиків у контексті публічних API? Як Райффайзен Банк готується до впровадження open banking?
Євген Балютов: Ризики є. Але чи можна управляти цими ризиками? Так. API Security - окрема підгалузь cybersecurity, в якій плюс-мінус зрозуміло, що і як робити та як менеджити ці ризики.
Якщо йдеться про український ринок, то ми готуємось до запуску open banking. І ми розуміємо, як потрібно захищати ці APІ. Це правильно, що Україна пішла шляхом поступових змін і випробування цієї технології, перш ніж робити її публічно доступною у повному масштабі.
Open banking дає можливість створювати застосунки без бренду того чи іншого банку, але із можливістю використовувати дані, які є у цього банку. Утім, обсяг цих даних, їх глибина та актуальність будуть предметом індивідуальних переговорів між компаніями-виробниками застосунків і банками.
Один із ризиків open banking для клієнтів - це ставлення компаній, які розробляють застосунки, до власної кібербезпеки. Тому що зловмисникам не треба буде ламати банк, достатньо буде зламати компанію, яка має доступ до даних банку.
Звісно, банки будуть аналізувати, як у цих компаніях реалізована кібербезпека. Ми перевіряємо кожного постачальника і партнера не лише на папері, а і на практиці. Але слід розуміти, що якщо у компанії будуть якісь кіберінциденти, то банк нічого не зможе вдіяти, окрім обмежити доступ до API максимально швидко. Тому неприпустимо, щоб компанії-постачальники рішень мовчали про кіберінциденти. Вони навпаки повинні кричати про них. Я вважаю, що це питання обов’язково потребує окремого регулювання.
Важливий і ризик-апетит самого клієнта. Адже клієнт зможе визначати, якого провайдера доступу до власних даних використовувати, тож вибір провайдера буде лежати не лише на банку. Я прогнозую, що коли open banking запустять для масового користувача, то з’являться сотні, а то і тисячі фішингових застосунків.
Open banking - потенційно цікава реалізація існуючих технологій, але потрібно розуміти, що не на всіх ринках він показує себе супер класно і супер-usable. Наприклад, на ринку Великої Британії є open banking, а люди й далі користуються послугами банків. І там дуже мало дійсно крутих застосунків, які мають доступ до ваших даних у різних банках. До того ж коли йдеться про гроші, багато клієнтів схильні діяти більш консервативно.
Нацбанк України на початку повномасштабної війни дозволив українським банкам перейти на хмарні рішення. Чи не виникає загроз етапі постачальника цих хмарних сервісів? І чи правда, що у разі проникнення в мережу хмарного провайдера, ані клієнти, ані банк не дізнаються про компрометацію і нічого не зможуть зробити?
Євген Балютов: Це питання насамперед варто задавати собі, коли ви використовуєте будь-які private cloud або public cloud, зроблені невеликими компаніями. Якщо йдеться про компанію Google чи Amazon, то там безпекою займаються тисячі людей. І відпадає питання, де ефективніше побудовано безпекові процеси: в компанії, де на безпеку працюють десятки тисяч людей, або ж у пересічній компанії з ринку України.
У співпраці з хмарним провайдером є shared responsibility model: за щось відповідає клауд-провайдер, за щось банк, а за щось - клієнт. Зазвичай у межах цієї моделі ми можемо мітигувати майже усі ризики до прийнятного рівня. Але треба враховувати, що клієнт може сам оперувати власними даними і безпекою у цій інфраструктурі. І якщо хмарний провайдер зробить свою роботу добре, а клієнт відкриє свої дані та дозволить доступ, то це можуть використати для зламу. Але хмарний провайдер не буде винний, тому що він зробив усе обіцяне, а клієнт сам не піклувався безпекою своїх клауд-середовищ.
З іншого боку - усе може бути. Тому важливо розуміти потенційні наслідки і усвідомлювати, як працювати із цими ризиками. Звісно, залишаються можливості фізичного проникнення у data-центр, підключення до систем, інсайдери... Але ви завжди маєте достатню кількість технічних можливостей з моніторингу власних ресурсів у клаудах. Кейс, коли хтось ламає, наприклад, Amazon і ніхто про це не знає, відбувається витік даних, який торкається всіх компаній, які розміщені у клауді у зоні Франкфурт - це якась драма-драма, вірогідність якої менше, ніж злам української компанії, що розміщена у клауді.
Читайте також:
«Держава має підтримувати і цінувати кожного, хто робить внесок у розвиток кіберграмотності», – Євген Балютов, Райффайзен Банк
Як українські банки захищаються від кібератак в умовах війни: розповідає Євген Балютов, директор з інформаційної безпеки Райффайзен Банку