Диляра Солнцева, Екатерина Верейкина. Финансовый рынок сегодня является целью номер один для киберпреступников, но если корпорации и государственные институты все больше осознают такие риски и принимают меры, то физические лица, как правило, остаются беззащитными, убежден зампред правления Сбербанка Станислав Кузнецов. В интервью агентству «Прайм» в рамках Петербургского международного экономического форума он рассказал о главных трендах хакеров и фальшивомонетничестве, как Сбербанк защищает смартфон клиента от кибермошенников, и объяснил, почему традиционные банкоматы скоро уйдут в прошлое, а наказание за подмену телефонных номеров должно быть суровым.
— Сбербанк в начале года направил в Роскомнадзор письмо с просьбой провести проверку и запретить сайты, распространяющие программы, которые могут подменять номер телефона, совершать звонки и отправлять смс. Есть ли подвижки в этом вопросе?
— Мы еще раз провели соответствующие тесты во всех системах Сбербанка и можем гарантированно утверждать, что риск подмены номера Сбербанка со стороны злоумышленников для всех систем банка сегодня отсутствует.
Более того, мы провели переговоры со всеми крупными операторами связи, и надо признать, что все они отреагировали на наши просьбы достаточно оперативно. Мы считаем, что был продемонстрирован очень хороший уровень взаимодействия для решения этого вопроса.
Стоит отметить, что данная схема не была широко распространена. Примерно с декабря таких случаев было всего несколько десятков, с точки зрения масштабов страны — микроскопическая цифра. Наша оценка, что этому вопросу было искусственно уделено повышенное внимание, подтверждается.
Проблема была изучена в Центробанке, Минкомсвязи, и в настоящее время проводится работа по нивелированию этого риска. Тем не менее, определенное беспокойство есть. Дело тут не в банках, а во всей стране, потому что именно таким инструментом сегодня пользуются так называемые телефонные террористы. К сожалению, такой сервис сегодня до сих пор можно приобрести в интернете достаточно легко.
Еще раз повторю: на уровне нашего банка эта проблема решена полностью, но в целом проблема подмены номеров существует. Например, если знать телефон какого-то губернатора, можно позвонить в Министерство финансов и одобрить фальшивое поручение, связанное с финансированием, используя сервис по подмене номеров, который сегодня легален.
Эту проблему надо решать на уровне страны — государство должно запретить подмену номеров. Сегодня меры ответственности за это крайне низки. По закону операторы связи обязаны передавать номер абонента в неизменном виде. Но ведь не все они это делают, а ответственность в законе не предусмотрена. На уровне физических лиц, граждан нашей страны, которые покупают сервис и пользуются им, никакой ответственности не существует вообще.
Сейчас идет обсуждение, какая ответственность должна быть за использование программ по подмене номеров, включая штрафы для физлиц и для телекомов. Дискуссия ведется на уровне наших депутатов, и рассматриваются разные подходы — штраф от нескольких сотен тысяч рублей или более низкие суммы. Я сторонник более жестких мер, включая уголовную ответственность.
— Уголовная ответственность для граждан или компаний?
— В том числе и для граждан. Это недопустимо, так как это мошенничество. Например, в Эфиопии за такие действия предусмотрено до 15 лет лишения свободы. Если человек позвонил и угрожает взорвать какое-то учреждение, это должно быть наказуемо. Хорошо, что все согласны с тем, что это недопустимо и надо принимать какие-то меры. Удовлетворяет ли нас подход, который обсуждается? Да, удовлетворяет. Но мы хотели бы видеть более серьезные наказания за подобные нарушения.
Что касается Роскомнадзора, он смотрит за подобными действиями и действует в рамках закона. Поэтому Роскомнадзор сейчас вынужден искать варианты, чтобы иметь возможность получить какое-то правовое решение для подобного рода действий. На это требуется время. Надо понимать, что данные преступления сложно доказуемы, поэтому самое простое законное решение — запретить продажу таких сервисов или программных продуктов.
— Как вы в целом сегодня оцениваете ситуацию на финансовом рынке с точки зрения хакеров? Какие угрозы активизировались в последнее время?
— Мы с начала этого года зафиксировали три тренда. Первый — это усиление DDoS-атак и по качеству, в плохом смысле слова, и по продолжительности.
— Речь идет про финансовый рынок или в целом?
— И про финансовый рынок, и в целом. Финансовый рынок сегодня — мишень номер один.
Второй тренд — это рост утечки персональных данных, по разным причинам. Мошенники сегодня используют персональные данные для того, чтобы заниматься хищением денег.
Третье направление — это мошенничество с использованием методов социальной инженерии. Именно для нашей страны — это направление имеет устойчивый тренд на продолжение и развитие. Очень тяжело это изменить, заморозить и уж тем более снизить. Но нам известен способ, которой позволит хеджировать эти риски.
Необходимо серьезно думать о киберграмотности, о киберкультуре и проводить большую работу по разъяснению правил работы с гаджетами. Мы считаем, что в 2019 году произойдёт перелом тренда — киберкультура будет становиться нормой.
Мы видим, что в главном фокусе киберпреступников будут находиться физические лица, являясь для них мишенью номер один. Не компании, не государственные институты, а именно физические лица.
Это происходит в том числе потому, что у нас в стране улучшается ситуация по борьбе с киберпреступностью. Все больше и больше корпораций осознают киберриски и принимают соответствующие меры. Люди, работающие в крупных компаниях, занимаются защитой своей компании и своих клиентов. Государственные институты, внедряя электронные госуслуги, занимаются киберзащитой. Все это приводит к росту уровня киберзащиты в целом.
Физические же лица остаются, как правило, беззащитными. В перспективе двух-трех лет мы видим такие риски, как использование мошенниками различных инструментов для утечки персональных данных, данных по банковским инструментам, любой информации о банковских счетах, карточках, паролях. Мы сейчас переживаем изменение тренда, это следует признать.
— Сбербанк уже готовится к встрече с этим трендом?
— Мы этот тренд понимаем очень хорошо и заблаговременно к нему готовимся. Наши клиенты уже имеют дополнительную защиту. Те, кто установил на свой мобильный телефон Сбербанк Онлайн, имеют серьезную дополнительную защиту от кибермошенничества — встроенный антивирус.
Мы постоянно ведем работу по защите, постоянно ее усиливая, обновляем антивирусы, обновляем специальное программное обеспечение по защите данных клиентов, по защите их платежных инструментов как на операционной системе IOS, так и на операционной системе Android.
— Вы раньше говорили, что на Android много дыр…
— И готов это повторить. Но те клиенты, у которых установлено приложение Сбербанк Онлайн, в десятки раз лучше защищены, чем клиенты, не имеющие его.
— То есть Сбербанк, грубо говоря, через свое приложение защищает весь телефон клиента?
— Да, так и есть. Мы не только видим атаки, но и отражаем их незаметно для клиента, защищаем его от попыток мошеннических действий, даже несмотря на то, что платформа Android открыта и имеет больше «дыр», чем другие операционные системы.
Это хорошая новость, потому что раньше мы видели, что у Android большие проблемы, а мошенники целенаправленно атаковывали ее. Но сейчас этот тренд переломлен.
— Ранее вы говорили, что Сбербанк будет разрабатывать собственный банкомат в том случае, если поставщики банкоматов не будут справляться с современными угрозами безопасности. Как бы вы оценили текущее состояние дел с безопасностью банкоматов? Требует ли нынешняя ситуация разработки банкомата?
— Мы такое решение пока не приняли. У нас действительно продолжают существовать проблемы с одним из крупнейших разработчиков. Мы находимся в непростой дискуссии с ним, потому что не удовлетворены качеством замены программного обеспечения для устаревших типов банкоматов.
Некоторые старые типы банкоматов у этого разработчика не соответствуют современным требованиям, в том числе требованиям ЦБ. У разработчика есть обязательства привести банкоматы в соответствие с требованиями. Но такая работа по каким-то причинам была проведена не до конца.
Особенно остро такая проблема стояла год назад. В течение осени ситуация изменилась, мы увидели конструктивные действия этого производителя банкоматов. Именно поэтому пока мы не приняли решения о собственном производстве.
Но технологии развиваются, сегодня мы говорим о том, что в нашей стране самым популярным становятся уже ресайклеры, которые и выдают деньги, и принимают. Их нужно меньше перезаряжать, меньше обновлять деньгами. Они более надёжны, хотя «мозги» в них значительно сложнее.
Поэтому мы давно приняли решение, что будем постепенно выводить банкоматы и постепенно перегружать нашу сеть самообслуживания в рамках планового обновления на ресайклеры.
— Сколько по времени это займет?
— Продолжительное время. Мы будем делать это в плановом режиме. Ничего специального делать не планируем.
— Часто ли Сбербанк в настоящее время сталкивается с фальшивыми купюрами?
— Нет. Если говорить о «банке приколов», то периодически в некоторых регионах случается всплеск. По этой проблеме мы в постоянном взаимодействии с МВД, также у нас есть собственные системы выявления мошенников.
Как правило, системы банкоматов отбрасывают такие купюры, но даже если этого не произошло, то мы достаточно быстро обнаруживаем мошенничество. Сегодня мы приняли дополнительные меры на уровне фрод-мониторинга — с помощью технологии искусственного интеллекта мы останавливаем транзакции подобного рода. Этот вопрос на уровне Сбербанка решен, но принятие закона о запрете купюр «банка приколов» я поддерживаю.
— Купюры какого номинала чаще всего подделываются? По-прежнему пятитысячные?
— Да, но это из «банка приколов». По классическим фальшивым деньгам у нас тренд на резкое снижение.
— В этом году?
Да, мы в этом году фиксируем редкие-редкие случаи подделывания купюр. Это говорит о результатах борьбы с фальшивомонетчиками.
— А поддельные купюры мошенники стараются чаще через банкоматы вносить или через оператора?
— Как правило, банкоматы имеют сегодня четыре уровня защиты. Какой-то из уровней обязательно срабатывает, и фальшивка выбрасывается обратно либо отправляется в специальную кассету. Этот риск мы научились сегодня хеджировать.
— Сбербанк купил офисный комплекс рядом с «Москва-Сити». Сохраняете ли вы планы переехать в новую штаб-квартиру к концу 2021 года?
— Мы не меняем планы, работы идут, создан объединенный штаб, рабочая группа, в нее входят представители мэрии Москвы, РЖД, Сбербанка. Нам сильно помогает заместитель мэра Москвы по вопросам градостроительной политики и строительства Марат Хуснуллин, и мы не видим серьезных проблем.
Там же будет строиться еще одно здание, по его концепции мы как раз ведем дискуссию, решаем, каким оно будет.
— В прошлом году вы представляли две интересные разработки: беспилотный вертолет и виртуальные турникеты. Продвинулись за год в их применении?
— По дронам работа продолжается. Пока не буду раскрывать деталей нашей работы, но мы достаточно далеко продвинулись, у нас много партнеров, ведется работа с крупнейшими компаниями. Сейчас мы уже вышли на уровень испытаний, но не готовы пока это комментировать. По поводу не виртуальных, а «умных» турникетов — мы уже реализовали эту технологию в зданиях, где размещаются подразделения центрального аппарата в Москве. Будем постепенно устанавливать «умные» турникеты и на других объектах банка.