Вячеслав Касимов о видах мошенничества и безопасных покупках в интернете

ЭкспертРепортаж

«Они не верили звонкам из банка»

Директор департамента информационной безопасности Московского кредитного банка Вячеслав Касимов — о различных видах мошенничества, о надежности банковской инфраструктуры для удаленки и о безопасных покупках в интернете. 

Евгений Огородников

Директор департамента информационной безопасности МКБ Вячеслав Касимов. Предоставлено пресс-службой МКБ

Режим самоизоляции заставил весь мир перейти не только на онлайн-работу, но и на онлайн-покупки. Однако рост числа онлайн-трансакций — это не только нагрузка на банковскую инфраструктуру, но и возможности, которыми могут воспользоваться мошенники для кражи данных и средств. Об основных правилах цифровой безопасности, о том, как свести к минимуму риски кражи ваших денег с банковских счетов, а также о том, как выстроена в МКБ защита против фишеров, хакеров и других нечистых на руку деятелей, «Эксперту» рассказал директор департамента информационной безопасности банка Вячеслав Касимов.

— Статистика краж с банковских карт разнится. У Центробанка одни цифры, у МВД — другие, в два раза большие. Кому верить?

— Банк России основывается на отчетности, которую представляют банки, регулятор также самостоятельно оценивает рынок. Статистика МВД основана на заявлениях, которые подают граждане. Источники у ведомств разные, можно даже сказать, что обращения зачастую поступают на разных этапах. Для пользователей передать информацию в ЦБ просто: есть форма на сайте, это удобный способ. Подача заявления в полицию происходит по другому алгоритму.

Регулятора интересуют компьютерные атаки. Поэтому сравнение статистики не вполне корректно, так как в ее основе разные данные и разные механики. Необходимо учитывать и механику реализации потенциального вреда.

Социальная инженерия и фишинговые кражи, которые рассматривает МВД, — атаки иного рода. Они не парализуют весь банк, но этот «сегмент» мошенничества растет, «конкурирует» с компьютерными за счет частоты атак и их количества. Напомню, социальная инженерия — мошенничество, основанное на прямом контакте с клиентом и выманивании у него данных; контакт, например телефонный.

— То есть фишинговых краж средств в разы больше, чем краж с участием хакеров и компьютерных атак?

— Да, перелома тренда, к сожалению, не видно. Если сравнивать с классической преступностью, хакерская атака похожа на искусного карманника где-нибудь в трамвае: бумажник аккуратно достал, и никто ничего не заметил. Фишинг же — это прийти домой к бабушке и продать ей чудо препарат от радикулита, коронавируса и проказы.

Не уменьшая опасности компьютерных атак, необходимо помнить, что половина всего объема мошеннических действий по отношению к клиентам банков на рынке — инциденты социальной инженерии. Остальное делят «физики» и «юрики», когда у них воруют с использованием подложных программ или через доступ к их компьютерам, используемым для работы с системами дистанционного банковского обслуживания.

— Если произошла кража денег со счета, чьи это убытки — клиента или банка?

— Если брать чисто юридическую сторону вопроса, в случае социальной инженерии клиент своими руками что-то сделал и отправил свои деньги куда-то. Бывают случаи, показывающие, насколько «проработаны» мошенниками клиенты: они не верили звонкам из банка, когда мониторинг пытается остановить трансакцию, понимая, что происходит что-то плохое.

Тем не менее основа взаимодействия между клиентом и банком — это договорные отношения. В них всегда определено: для того чтобы появился перевод, клиент сам, своими руками должен заполнить поручение.

— А если взломано устройство у клиента?

— Ответственность за состояние и безопасность устройства, используемого для дистанционного банковского обслуживания, всегда лежит на клиенте. Потому что, как бы банк ни выстраивал свою инфраструктуру, он никогда не сможет гарантировать безопасность клиентского компьютера или смартфона. Допустим, у клиента заражено устройство и там есть вирус. Этот вирус может подменять отправляемые клиентом платежи. Поэтому недооценивать необходимость соблюдения цифровой гигиены нельзя. С точки зрения возврата средств это решение уже отдельно взятой кредитной организации.

Но есть и обратная ситуация: когда происходит атака на банк и хакеры находят уязвимость в системах дистанционного банковского обслуживания, которая позволяет злоумышленникам вообще без всякого участия клиента отправлять платежи, то здесь, конечно, вина банка. И банк должен возвращать денежные средства клиенту. Потому что ошибка на его стороне.

Но если используется массовый взлом, значит, возникает большое количество клиентов, которые жалуются в банк о незаконном списании. Представим себе, что банк оказался нечестным и говорит клиентам: «Это ваша вина». В итоге это выплескивается в интернет, а учитывая количество пострадавших людей, дело получает резонанс. После этого банк под нажимом клиентов или ЦБ не только возвращает деньги, но и теряет репутацию. Альтернатива — признались, «Вина наша, деньги — ваши».

Поэтому совершенствовать банковскую защиту не только правильно и разумно, но и в конечном счете выгодно.

И именно поэтому социальная регуляция выходит на первый план. Маловероятно, что банк будет пытаться скрыть факт взлома за счет клиентов. Мне такие прецеденты неизвестны. Прецеденты, когда ломали банки, — известны. Прецеденты, когда банки пытались перевесить на клиентов свои потери, — нет, не знаю.

Храните данные

— Есть проблема кражи данных банковских карт. Специалисты признают, что, если есть хранилище, из него, естественно, возможна утечка. Как банки хранят эти данные?

— Это двоякая история. Источником утечки может быть как банк, так и сторонняя организация, например интернет-магазин. И утечка данных с куда большей вероятностью происходит из интернет-магазинов. Когда клиент делает покупку через интернет, он вводит данные карты и они вполне легитимным образом попадают в интернет-магазин, чтобы он, в свою очередь, мог отправить трансакцию в банк.

Такие данные могут накапливаться в магазинах. Например, чтобы при очередной покупке не вводить номер карты, потому что так удобно. Если злоумышленник получает доступ к интернет-магазину, он может получить доступ к этим данным и пользоваться ими как угодно.

Отрицать не буду, такая угроза есть, и клиенты могут потерять деньги. Но обычно такие ворованные базы быстро устаревают и теряют актуальность, так как и международные платежные системы, и банки очень быстро замечают аномалии и закрывают возможности для таких мошенников

— Как может клиент предотвратить утечку данных банковской карты?

— Самое правильное для защиты своих средств — завести отдельную карту для покупок в интернет-магазинах и переводить туда нужную сумму, необходимую для покупки. Как правило, банки позволяют выпустить бесплатную виртуальную карту. В итоге риски, что хоть сколько-нибудь украдут, будут минимальны. В крайнем случае украдут какой-нибудь небольшой остаток по этой карте.

— Почему вы считаете, что банки менее подвержены утечкам?

— Во-первых, у всех банков есть жесткие требования международных платежных систем. Выполнение этих требований ежегодно аудируются, а инфраструктура тестируется, когда эмулируется работа, по сути, хакера, который может что-то украсть.

Во-вторых, априори банки тратят больше ресурсов на защиту данных, чем интернет-магазины. Поэтому если утечки случаются, в основном это происходит на стороне мерчантов, а не на стороне банков.

— Что делает банк, чтобы предотвратить утечки?

Мы выстроили внутреннюю систему аудита, которая следит за тем, кто получал доступ, в какой момент и к каким именно данным. Если сотрудник получил доступ и что-то куда-то себе скопировал, то все это автоматически детектируется и предотвращается. Для этого используется DLPсистема (Data Link Prevention — предотвращение утечки данных. — «Эксперт»).

Такая система постоянно развивается. Например, последние дополнения: если доступ к базе происходит в какое-то неожиданное время и или с неожиданной частотой — запрашивается не один клиент, как обычно, а пятнадцать клиентов подряд, — то мы начинаем это расследовать.

Предусмотреть все возможные виды атак нельзя, но ведется постоянная работа, направленная на выявление необычного, аномального или просто несвойственного. Правильный мониторинг должен основываться на подобных статистических вещах.

Спецоперация «Удаленка»

— Не повысилась ли уязвимость инфраструктуры банка с переводом работников на удаленную работу?

— Для любого IT-подразделения перевод работников на удаленку — это настоящая спецоперация. Мы перевели на удаленную работу около 80 процентов сотрудников из числа тех, кого в принципе возможно было перевести. Нагрузка, естественно, сильно выросла. То есть было необходимо за считанные дни масштабировать инфраструктуру для удаленного доступа.

Еще одна проблема, которую учитывают не все, — сервис удаленного доступа работников становится критически важным, от него сильно зависит работоспособность организации в целом. И не нужно забывать, например, про защиту от DDoS-атак.

Самое страшное при организации удаленного доступа — логистика. Всем пользователям при использовании стандартного подхода обычно нужно что-то выдать, например доставить USB-токен. Но мы эту проблему решили уже достаточно давно. И концептуально выбрали для себя путь отказа от логистических проблем. То есть физически мы нашим работникам ничего не доставляли. Для идентификации у нас используются одноразовые пароли, а их генератор стоит на смартфоне.

Когда наступила коронавирусная пора, еще до того, как был объявлен режим самоизоляции, банк заранее смог очень быстро львиную долю своих сотрудников перевести на удаленный режим. Мы действовали на опережение. В нашей концепции пользователю, по сути, выдается экран, и он может делать то же самое, что делает в офисе, но что-то скопировать на свой личный компьютер он не может. Это принципиальный момент, так как часть компьютеров были оперативно закуплены, а часть людей работает на домашних компьютерах, в которых мы не можем быть вполне уверены, и цена ошибки высока. С учетом высокой скорости перевода, даже с учетом того, что мы ее начали до официальных указаний, это оптимальное с точки зрения удобства и безопасности решение.

— Популярным направлением в области IT-инфраструктуры в последнее время становятся открытые API, когда, используя уже имеющееся ПО банка, различные компании могут создавать свои сервисы, встраивая в их в банковский сервис. Насколько безопасны такие решения для банков и их клиентов?

— Людей пугает терминология, сразу возникают ассоциации с тем, что открытые двери менее безопасны, чем закрытые. Открытые API — это просто некоторая терминология, которая подразумевает, что процедуры доступа упрощены. Хотите с нами взаимодействовать? Вот, пожалуйста, примите описание интерфейса, разработайте программное обеспечение у себя для работы с ним, цепляйтесь к нам, и будем работать в рамках договора. Но это вовсе не означает, что банки, реализующие открытые API, ничего не делают для защищенности. Безусловно, проводят и проверку партнеров, и заключенных договоров, и тестируют сами сервисы, предоставляемые партнерам, анализируют их на наличие уязвимостей. В случае, если эти уязвимости есть, то их устраняют перед тем, как запускать сервис или вносить в него изменения.

Хочешь стать одним из более 100 000 пользователей, кто регулярно использует kiozk для получения новых знаний?
Не упусти главного с нашим telegram-каналом: https://kiozk.ru/s/voyrl

Авторизуйтесь, чтобы продолжить чтение. Это быстро и бесплатно.

Регистрируясь, я принимаю условия использования

Рекомендуемые статьи

Новые войны памяти Новые войны памяти

Европа пытается принизить роль СССР во Второй мировой войне

Эксперт
Убийца, который ходит сам по себе: самые опасные породы кошек Убийца, который ходит сам по себе: самые опасные породы кошек

Далеко не все породы кошек могут быть безопасны для своих хозяев

Популярная механика
Валентин Катаев Валентин Катаев

Страшно сказать, с годами я разлюбил Катаева

Дилетант
Одобрено Роговым! Одобрено Роговым!

В этом номере мы поговорили со стилистом Александром Роговым о спортшике

Cosmopolitan
«Золотой» автобан «Золотой» автобан

Дорожное строительство в стране оказалось фактически парализовано

Эксперт
Прикованные к земле: вторая жизнь самолетов и вертолетов Прикованные к земле: вторая жизнь самолетов и вертолетов

Самые интересные самолеты и вертолеты, вышедшие на пенсию

Популярная механика
Красочный кульбит Красочный кульбит

Компания «Пигмент» запустила в Ленинградской области два завода

Эксперт
Антипрививочники преувеличили последствия катастроф и болезней Антипрививочники преувеличили последствия катастроф и болезней

Противники вакцинации склонны преувеличивать последствия негативных событий

N+1
Как купить дешевой нефти: инструкция Как купить дешевой нефти: инструкция

Неочевидные, но доступные каждому способы развлечься

Esquire
Филолог — в жизни, бандит — на экране. Тайны личной жизни Анатолия Журавлева Филолог — в жизни, бандит — на экране. Тайны личной жизни Анатолия Журавлева

Анатолий Журавлев обожает искусство и даже имеет специальность филолога

Cosmopolitan
Писатель Алексей Поляринов — об инженерном подходе к книгам, пользе инстаграма и писательстве как терапии Писатель Алексей Поляринов — об инженерном подходе к книгам, пользе инстаграма и писательстве как терапии

Алексей Поляринов: как литература помогает ему справляться с нервозностью

Esquire
Наука объяснила, почему ты чувствуешь усталость после видеоконференций Наука объяснила, почему ты чувствуешь усталость после видеоконференций

се мы сейчас испытываем стресс от перехода на онлайн-общение

Maxim
Победа в очередной битве с раком мозга осталась за учеными Победа в очередной битве с раком мозга осталась за учеными

Эти препараты побуждают иммунные клетки съедать клетки злокачественных опухолей

Популярная механика
Опытные образцы Опытные образцы

«Огонек» встретился с первыми победителями конкурса молодых специалистов

Огонёк
Рогатина в волчье логово Рогатина в волчье логово

Штурм Кенигсберга стал самой скоротечной за всю войну операцией

Эксперт
«Внебрачный папа»: как строить отношения с отцом ребенка, если вы не вместе «Внебрачный папа»: как строить отношения с отцом ребенка, если вы не вместе

«Ребенку нужен отец» — те, кто так считает, по-своему правы

Psychologies
15 мыслей Александра Филиппенко 15 мыслей Александра Филиппенко

Зачем Александр Филиппенко возит в чемодане секатор и ждет нового XX съезда

GQ
Связь между будущими центрами речи возникла еще у общего предка людей и макак Связь между будущими центрами речи возникла еще у общего предка людей и макак

Пучок волокон, который связывает два центра речи, возник 25 миллионов лет назад

N+1
Правила жизни Мика Джаггера Правила жизни Мика Джаггера

Правила жизни музыканта Мика Джаггера

Esquire
Не только ретроградный: что о тебе может рассказать твой Меркурий? Не только ретроградный: что о тебе может рассказать твой Меркурий?

В каком знаке зодиака твой Меркурий и как это можно использовать во благо

Cosmopolitan
Эректильная дисфункция у мужчин: основные симптомы, причины и лечение Эректильная дисфункция у мужчин: основные симптомы, причины и лечение

Эректильная дисфункция — проблема, которую нельзя игнорировать

Playboy
«Плачу за лишнее время». Как ездить в такси с пропуском «Плачу за лишнее время». Как ездить в такси с пропуском

Водителей такси обязали проверять цифровой пропуск у всех пассажиров

РБК
Когда изоляция – это способ колонизировать планеты Когда изоляция – это способ колонизировать планеты

Человечество смотрит всё дальше в космическое пространство

Популярная механика
Евгений Гришковец: Водка как нечто большее Евгений Гришковец: Водка как нечто большее

Новая книга режиссера и писателя Евгения Гришковца «Водка как нечто большее»

СНОБ
Автосалон на диване Автосалон на диване

Автомобильный салон в Женеве всегда работал с точностью часовых мануфактур

Maxim
Губернатор Орловской области Андрей Клычков: Крупный и средний бизнес не спешат нам на помощь в борьбе с эпидемией Губернатор Орловской области Андрей Клычков: Крупный и средний бизнес не спешат нам на помощь в борьбе с эпидемией

Губернатор Андрей Клычков — о борьбе с эпидемией в Орловской области

СНОБ
«Язык мой — враг мой»: как Тина Канделаки, Ксения Собчак, Александра Митрошина и другие блогеры и звезды отреагировали на скандал с Региной Тодоренко «Язык мой — враг мой»: как Тина Канделаки, Ксения Собчак, Александра Митрошина и другие блогеры и звезды отреагировали на скандал с Региной Тодоренко

Самые яркие мнения о скандале с Региной Тодоренко

Esquire
«Мария-Антуанетта из Tesla»: Илон Маск может получить самую большую зарплату в жизни в разгар кризиса «Мария-Антуанетта из Tesla»: Илон Маск может получить самую большую зарплату в жизни в разгар кризиса

Илон Маск может получить свое самое большое в жизни вознаграждение

Forbes
Как сделать промзону городом Как сделать промзону городом

Григорий Ревзин о городе будущего

Weekend
Дмитрий Ковпак: Какие уроки извлек Китай из пандемии Дмитрий Ковпак: Какие уроки извлек Китай из пандемии

Как Китай смог справиться с кризисной воронкой

СНОБ
Открыть в приложении