Вячеслав Касимов о видах мошенничества и безопасных покупках в интернете

ЭкспертРепортаж

«Они не верили звонкам из банка»

Директор департамента информационной безопасности Московского кредитного банка Вячеслав Касимов — о различных видах мошенничества, о надежности банковской инфраструктуры для удаленки и о безопасных покупках в интернете. 

Евгений Огородников

Директор департамента информационной безопасности МКБ Вячеслав Касимов. Предоставлено пресс-службой МКБ

Режим самоизоляции заставил весь мир перейти не только на онлайн-работу, но и на онлайн-покупки. Однако рост числа онлайн-трансакций — это не только нагрузка на банковскую инфраструктуру, но и возможности, которыми могут воспользоваться мошенники для кражи данных и средств. Об основных правилах цифровой безопасности, о том, как свести к минимуму риски кражи ваших денег с банковских счетов, а также о том, как выстроена в МКБ защита против фишеров, хакеров и других нечистых на руку деятелей, «Эксперту» рассказал директор департамента информационной безопасности банка Вячеслав Касимов.

— Статистика краж с банковских карт разнится. У Центробанка одни цифры, у МВД — другие, в два раза большие. Кому верить?

— Банк России основывается на отчетности, которую представляют банки, регулятор также самостоятельно оценивает рынок. Статистика МВД основана на заявлениях, которые подают граждане. Источники у ведомств разные, можно даже сказать, что обращения зачастую поступают на разных этапах. Для пользователей передать информацию в ЦБ просто: есть форма на сайте, это удобный способ. Подача заявления в полицию происходит по другому алгоритму.

Регулятора интересуют компьютерные атаки. Поэтому сравнение статистики не вполне корректно, так как в ее основе разные данные и разные механики. Необходимо учитывать и механику реализации потенциального вреда.

Социальная инженерия и фишинговые кражи, которые рассматривает МВД, — атаки иного рода. Они не парализуют весь банк, но этот «сегмент» мошенничества растет, «конкурирует» с компьютерными за счет частоты атак и их количества. Напомню, социальная инженерия — мошенничество, основанное на прямом контакте с клиентом и выманивании у него данных; контакт, например телефонный.

— То есть фишинговых краж средств в разы больше, чем краж с участием хакеров и компьютерных атак?

— Да, перелома тренда, к сожалению, не видно. Если сравнивать с классической преступностью, хакерская атака похожа на искусного карманника где-нибудь в трамвае: бумажник аккуратно достал, и никто ничего не заметил. Фишинг же — это прийти домой к бабушке и продать ей чудо препарат от радикулита, коронавируса и проказы.

Не уменьшая опасности компьютерных атак, необходимо помнить, что половина всего объема мошеннических действий по отношению к клиентам банков на рынке — инциденты социальной инженерии. Остальное делят «физики» и «юрики», когда у них воруют с использованием подложных программ или через доступ к их компьютерам, используемым для работы с системами дистанционного банковского обслуживания.

— Если произошла кража денег со счета, чьи это убытки — клиента или банка?

— Если брать чисто юридическую сторону вопроса, в случае социальной инженерии клиент своими руками что-то сделал и отправил свои деньги куда-то. Бывают случаи, показывающие, насколько «проработаны» мошенниками клиенты: они не верили звонкам из банка, когда мониторинг пытается остановить трансакцию, понимая, что происходит что-то плохое.

Тем не менее основа взаимодействия между клиентом и банком — это договорные отношения. В них всегда определено: для того чтобы появился перевод, клиент сам, своими руками должен заполнить поручение.

— А если взломано устройство у клиента?

— Ответственность за состояние и безопасность устройства, используемого для дистанционного банковского обслуживания, всегда лежит на клиенте. Потому что, как бы банк ни выстраивал свою инфраструктуру, он никогда не сможет гарантировать безопасность клиентского компьютера или смартфона. Допустим, у клиента заражено устройство и там есть вирус. Этот вирус может подменять отправляемые клиентом платежи. Поэтому недооценивать необходимость соблюдения цифровой гигиены нельзя. С точки зрения возврата средств это решение уже отдельно взятой кредитной организации.

Но есть и обратная ситуация: когда происходит атака на банк и хакеры находят уязвимость в системах дистанционного банковского обслуживания, которая позволяет злоумышленникам вообще без всякого участия клиента отправлять платежи, то здесь, конечно, вина банка. И банк должен возвращать денежные средства клиенту. Потому что ошибка на его стороне.

Но если используется массовый взлом, значит, возникает большое количество клиентов, которые жалуются в банк о незаконном списании. Представим себе, что банк оказался нечестным и говорит клиентам: «Это ваша вина». В итоге это выплескивается в интернет, а учитывая количество пострадавших людей, дело получает резонанс. После этого банк под нажимом клиентов или ЦБ не только возвращает деньги, но и теряет репутацию. Альтернатива — признались, «Вина наша, деньги — ваши».

Поэтому совершенствовать банковскую защиту не только правильно и разумно, но и в конечном счете выгодно.

И именно поэтому социальная регуляция выходит на первый план. Маловероятно, что банк будет пытаться скрыть факт взлома за счет клиентов. Мне такие прецеденты неизвестны. Прецеденты, когда ломали банки, — известны. Прецеденты, когда банки пытались перевесить на клиентов свои потери, — нет, не знаю.

Храните данные

— Есть проблема кражи данных банковских карт. Специалисты признают, что, если есть хранилище, из него, естественно, возможна утечка. Как банки хранят эти данные?

— Это двоякая история. Источником утечки может быть как банк, так и сторонняя организация, например интернет-магазин. И утечка данных с куда большей вероятностью происходит из интернет-магазинов. Когда клиент делает покупку через интернет, он вводит данные карты и они вполне легитимным образом попадают в интернет-магазин, чтобы он, в свою очередь, мог отправить трансакцию в банк.

Такие данные могут накапливаться в магазинах. Например, чтобы при очередной покупке не вводить номер карты, потому что так удобно. Если злоумышленник получает доступ к интернет-магазину, он может получить доступ к этим данным и пользоваться ими как угодно.

Отрицать не буду, такая угроза есть, и клиенты могут потерять деньги. Но обычно такие ворованные базы быстро устаревают и теряют актуальность, так как и международные платежные системы, и банки очень быстро замечают аномалии и закрывают возможности для таких мошенников

— Как может клиент предотвратить утечку данных банковской карты?

— Самое правильное для защиты своих средств — завести отдельную карту для покупок в интернет-магазинах и переводить туда нужную сумму, необходимую для покупки. Как правило, банки позволяют выпустить бесплатную виртуальную карту. В итоге риски, что хоть сколько-нибудь украдут, будут минимальны. В крайнем случае украдут какой-нибудь небольшой остаток по этой карте.

— Почему вы считаете, что банки менее подвержены утечкам?

— Во-первых, у всех банков есть жесткие требования международных платежных систем. Выполнение этих требований ежегодно аудируются, а инфраструктура тестируется, когда эмулируется работа, по сути, хакера, который может что-то украсть.

Во-вторых, априори банки тратят больше ресурсов на защиту данных, чем интернет-магазины. Поэтому если утечки случаются, в основном это происходит на стороне мерчантов, а не на стороне банков.

— Что делает банк, чтобы предотвратить утечки?

Мы выстроили внутреннюю систему аудита, которая следит за тем, кто получал доступ, в какой момент и к каким именно данным. Если сотрудник получил доступ и что-то куда-то себе скопировал, то все это автоматически детектируется и предотвращается. Для этого используется DLPсистема (Data Link Prevention — предотвращение утечки данных. — «Эксперт»).

Такая система постоянно развивается. Например, последние дополнения: если доступ к базе происходит в какое-то неожиданное время и или с неожиданной частотой — запрашивается не один клиент, как обычно, а пятнадцать клиентов подряд, — то мы начинаем это расследовать.

Предусмотреть все возможные виды атак нельзя, но ведется постоянная работа, направленная на выявление необычного, аномального или просто несвойственного. Правильный мониторинг должен основываться на подобных статистических вещах.

Спецоперация «Удаленка»

— Не повысилась ли уязвимость инфраструктуры банка с переводом работников на удаленную работу?

— Для любого IT-подразделения перевод работников на удаленку — это настоящая спецоперация. Мы перевели на удаленную работу около 80 процентов сотрудников из числа тех, кого в принципе возможно было перевести. Нагрузка, естественно, сильно выросла. То есть было необходимо за считанные дни масштабировать инфраструктуру для удаленного доступа.

Еще одна проблема, которую учитывают не все, — сервис удаленного доступа работников становится критически важным, от него сильно зависит работоспособность организации в целом. И не нужно забывать, например, про защиту от DDoS-атак.

Самое страшное при организации удаленного доступа — логистика. Всем пользователям при использовании стандартного подхода обычно нужно что-то выдать, например доставить USB-токен. Но мы эту проблему решили уже достаточно давно. И концептуально выбрали для себя путь отказа от логистических проблем. То есть физически мы нашим работникам ничего не доставляли. Для идентификации у нас используются одноразовые пароли, а их генератор стоит на смартфоне.

Когда наступила коронавирусная пора, еще до того, как был объявлен режим самоизоляции, банк заранее смог очень быстро львиную долю своих сотрудников перевести на удаленный режим. Мы действовали на опережение. В нашей концепции пользователю, по сути, выдается экран, и он может делать то же самое, что делает в офисе, но что-то скопировать на свой личный компьютер он не может. Это принципиальный момент, так как часть компьютеров были оперативно закуплены, а часть людей работает на домашних компьютерах, в которых мы не можем быть вполне уверены, и цена ошибки высока. С учетом высокой скорости перевода, даже с учетом того, что мы ее начали до официальных указаний, это оптимальное с точки зрения удобства и безопасности решение.

— Популярным направлением в области IT-инфраструктуры в последнее время становятся открытые API, когда, используя уже имеющееся ПО банка, различные компании могут создавать свои сервисы, встраивая в их в банковский сервис. Насколько безопасны такие решения для банков и их клиентов?

— Людей пугает терминология, сразу возникают ассоциации с тем, что открытые двери менее безопасны, чем закрытые. Открытые API — это просто некоторая терминология, которая подразумевает, что процедуры доступа упрощены. Хотите с нами взаимодействовать? Вот, пожалуйста, примите описание интерфейса, разработайте программное обеспечение у себя для работы с ним, цепляйтесь к нам, и будем работать в рамках договора. Но это вовсе не означает, что банки, реализующие открытые API, ничего не делают для защищенности. Безусловно, проводят и проверку партнеров, и заключенных договоров, и тестируют сами сервисы, предоставляемые партнерам, анализируют их на наличие уязвимостей. В случае, если эти уязвимости есть, то их устраняют перед тем, как запускать сервис или вносить в него изменения.

Хочешь стать одним из более 100 000 пользователей, кто регулярно использует kiozk для получения новых знаний?
Не упусти главного с нашим telegram-каналом: https://kiozk.ru/s/voyrl

Авторизуйтесь, чтобы продолжить чтение. Это быстро и бесплатно.

Регистрируясь, я принимаю условия использования

Рекомендуемые статьи

Где Авель, брат твой? Где Авель, брат твой?

Мы в России чувствуем огромную опасность ревизии истории Второй мировой войны

Эксперт
11 литературных героев, которые находились в изоляции 11 литературных героев, которые находились в изоляции

Почему эти персонажи оказались взаперти, чем занимали мозг и тело в изоляции

GQ
Экскаваторы нарасхват Экскаваторы нарасхват

На российском рынке дорожно-строительной и прочей спецтехники ажиотаж

Эксперт
Как правильно ходить в магазин во время эпидемии Как правильно ходить в магазин во время эпидемии

Поход в магазин в условиях пандемии становится уже не таким простым занятием

Популярная механика
Фалафель для здорового питания Фалафель для здорового питания

Компания Fit o’clock решила сосредоточиться на развитии собственного бренда

Эксперт
Как поддерживать здоровье и контролировать вес на карантине Как поддерживать здоровье и контролировать вес на карантине

Что делать, чтобы поддерживать хорошее самочувствие

РБК
С тележкой — за деньгами в Лондон С тележкой — за деньгами в Лондон

Розничная сеть Fix Price выходит на Лондонскую фондовую биржу

Эксперт
Откуда берется ядерное топливо и почему люди не облучаются Откуда берется ядерное топливо и почему люди не облучаются

Атомная энергетика для большинства из нас нечто таинственное и чертовски опасное

Популярная механика
Удобрения заставили озера накопить больше углерода Удобрения заставили озера накопить больше углерода

Поступающий в озера фосфор приводит к усиленному накоплению углерода

N+1
Альтернативный гид по югу Италии Альтернативный гид по югу Италии

Карантин не повод перестать мечтать о жаркой Апулии

GQ
«50 оттенков серого» эпохи VHS: почему «9 ½ недель» — все еще актуальное кино про страсть и расставания «50 оттенков серого» эпохи VHS: почему «9 ½ недель» — все еще актуальное кино про страсть и расставания

«9 ½ недель» — страшная психологическая драма про два одиночества

Esquire
5 фантастических историй о конфликтах за ресурсы Солнечной системы 5 фантастических историй о конфликтах за ресурсы Солнечной системы

Книги, в которых разворачиваются конфликты из-за космических ресурсов

Популярная механика
Выжить в консервной банке Выжить в консервной банке

Франчайзинговая сеть «Хороший выбор» дает ритейлерам шанс преодолеть кризис

Эксперт
Как появились онлайн-концерты Как появились онлайн-концерты

И при чем здесь Мартин Скорсезе.

GQ
Рианна, Опра Уинфри и еще 8 актрис — участниц конкурсов красоты Рианна, Опра Уинфри и еще 8 актрис — участниц конкурсов красоты

Известные актрисы, которые побеждали на конкурсах красоты до начала карьеры

РБК
Косметику нужно хранить в холодильнике? Отвечаем на важный бьюти-вопрос Косметику нужно хранить в холодильнике? Отвечаем на важный бьюти-вопрос

Бьюти-холодильник все чаще и чаще встречается в нашей ленте Instagram

Cosmopolitan
Кризис, похожий на девальвацию 2014 года: через что прошли банки в марте 2020 года Кризис, похожий на девальвацию 2014 года: через что прошли банки в марте 2020 года

Похожи ли два валютных кризиса — декабря 2014-го и марта 2020-го?

Forbes
«В 90-е я бы носил малиновый пиджак». Правила потребления сооснователя Skillbox Дмитрия Крутова «В 90-е я бы носил малиновый пиджак». Правила потребления сооснователя Skillbox Дмитрия Крутова

Дмитрий Крутов рассказывает, как человека могут раздавить большие деньги

Forbes
Не жизнь, а Долина. Что мы узнали из последнего фильма Юрия Дудя Не жизнь, а Долина. Что мы узнали из последнего фильма Юрия Дудя

Аудитории Дудя остро нужен рассказ о существовании где-то почти волшебной страны

СНОБ
«Миру придется рискнуть еще раз» «Миру придется рискнуть еще раз»

Экономист Николай Диденко — о причине, регулярно запускающей кризисный механизм

Огонёк
Почему Победа? Почему Победа?

В празднике Победы многие россияне нашли моральные основы своего существования

Эксперт
Страстная неделя Страстная неделя

Половина гостей Недель моды взбунтовалась против самого факта их существования

Vogue
Летучие мыши ни при чем: в Китае нашли нулевую пациентку, с которой началась эпидемия Летучие мыши ни при чем: в Китае нашли нулевую пациентку, с которой началась эпидемия

Расследование пути передачи инфекции в Китае привело к женщине

Домашний Очаг
Все мировые запасы нефти по странам в одной картинке Все мировые запасы нефти по странам в одной картинке

Самые громадные запасы нефти находятся в Венесуэле

Maxim
Гордо реет Гордо реет

В интерьере этого дома задействованы реечные панели, имитирующие фактуру фасада

AD
Правила жизни Эдриена Броуди Правила жизни Эдриена Броуди

Актер, 47 лет

Esquire
Чудеса и аномалии великой войны Чудеса и аномалии великой войны

В 1941–1945 годах события пошли по наименее вероятному из возможных вариантов

Эксперт
Таламус поучаствовал в принятии вероятностных решений Таламус поучаствовал в принятии вероятностных решений

Ученые выяснили, как определяется принятие вероятностных решений

N+1
Комета Борисова оказалась богата замороженной окисью углерода Комета Борисова оказалась богата замороженной окисью углерода

Это говорит о составе протопланетного диска, где она образовалась

N+1
«Для вас карантин — это шок, а для нас это обычная жизнь». Эксперты об изоляции семей с аутичными детьми «Для вас карантин — это шок, а для нас это обычная жизнь». Эксперты об изоляции семей с аутичными детьми

Почему опыт особых семей сегодня актуален для всех

СНОБ
Открыть в приложении