МОСКВА, 9 июн — ПРАЙМ, Анастасия Сапрыкина и Диляра Солнцева. Биометрия становится неотъемлемой частью повседневной жизни — с ее помощью уже можно снять деньги в банкомате и измерить температуру, но люди не спешат сдавать свои данные, опасаясь за их сохранность. Почему биометрию практически невозможно подделать, когда можно будет пройти пограничный контроль по лицу, сколько денег мошенники выводят с карточек россиян, что делать, если вы стали жертвой афериста, и почему без международных усилий не победить киберпреступность, в интервью агентству "Прайм" в кулуарах ПМЭФ-2021 рассказал зампред правления Сбербанка Станислав Кузнецов.
- Готов ли Сбербанк усилить взаимодействие с государством в цифровой сфере?
— У нас есть ряд платформенных решений и технологий, которые могли бы ускорить продвижение всех нас в сторону цифровых услуг и сервисов.
- Например, пару лет назад обсуждалась возможность предоставления отделений Сбербанка для оказания государственных услуг, такие мини-МФЦ-центры. Есть ли подвижки?
— У нас таких прямых установок не было. Мы говорим всегда о том, что у нас есть разветвленная сеть, которая фактически готова для того, чтобы предоставлять услуги бóльшему количеству людей, чем, например, в МФЦ. По всей России МФЦ, насколько я помню, не более 5 тысяч, а у нас отделений банка значительно больше — 14 тысяч плюс еще сельская сеть. Такой подход дает возможность снизить затраты государства. Мы обсуждали это с коллегами из Минцифры. Например, совершенно нет смысла сейчас закупать оборудование и устанавливать его в МФЦ для сбора биометрических данных, когда в Сбербанке это уже все сделано. Нужно лишь уточнить задачи, которые необходимы сегодня для предоставления государственных услуг по планам правительства. Минцифры это поддержало, поскольку очевидна выгода для государства. Мы готовы к такому сотрудничеству. Есть и другие услуги. Но вот выдавать паспорта нового поколения в отделениях Сбербанка — такое никто и никогда не обсуждал, и планов таких пока на сегодняшний день нет.
Мы сейчас обсуждаем, как правильно построить архитектуру с учетом принципов цифрового государства. Было бы правильно предоставить сервис не "быстрее-быстрее", на коленке, а потом его все время ремонтировать, а сначала создать архитектуру, построить надежную инфраструктуру, разработать продукт и уже затем его использовать для людей — так как цена ошибки или некачественного цифрового сервиса очень велика.
- Пока в нашей стране с биометрией как с прививкой от ковида, да? Не очень народ хочет сдавать ее?
— Нами собрано уже около 35 миллионов слепков по всей стране. Мы используем в своих сервисах эту услугу, в том числе банкоматах — там уже есть возможность через биометрию совершать ряд банковских операций: получать деньги, переводить со счета на счет, оплачивать услуги.
- Минфин недавно выразил опасения по поводу сбора биометрии, что, если произойдет утечка, это может привести к непредсказуемым последствиям…
— Я знаю об этой дискуссию и поддерживаю ее, потому что надежность всех систем — это наш приоритет. Опасения, которые высказал заместитель министра Алексей Моисеев, абсолютно правильные, они полностью совпадают с нашим подходом. Вопрос в том, что те компании, которые этим занимаются, а у нас сегодня многие собирают биометрические данные, — должны очень четко понимать, что требования государства и регуляторов (Центробанка, ФСБ России, Минцифры) должны всеми безукоризненно и безусловно выполняться. Если какая-то организация или компания собирает биометрические слепки, она несет полную ответственность за их хранение и использование.
Сейчас как раз завершается формирование нормативной базы, основы регулирования биометрических данных, ведется ее уточнение. Тем самым государство создает фундамент для развития инфраструктуры по созданию биометрических сервисов, в частности, для применения единой биометрической системы. Она планируется для использования регулируемых и нерегулируемых сервисов и коммерческих биометрических систем. При этом все биометрические системы должны иметь определенную аккредитацию, то есть соответствовать всем требованиям надежности и безопасности.
- Были ли удачные или неудачные попытки обмануть именно вашу биометрическую систему?
— Попыток было много, ни одна из них не была успешной. Нами проводилось тестирование, строились модели угроз. Мы никогда бы не стали запускать сервисы, если бы у нас не был показатель 99,9999% надежности. Такой показатель примерно в 100 раз лучше, чем установленные стандарты.
- Как пытались обмануть?
— Разными способами: цветную фотографию подставить, запустить видеоряд с телефона, много различных попыток. Но мы надежно защищаем наши системы. В биометрической системе Сбера используются наиболее зрелые направления биометрии. В их отношении мы абсолютны уверены как в части точности работы алгоритмов, так и дополнительных методах защиты от попыток атак.
Еще в марте-апреле прошлого года фактически во всех административных зданиях Сбербанка были установлены системы контроля и управления доступом с автоматизированным снятием температуры тела человека. То есть у нас нет специальных медицинских работников с термометрами, которые на входе замеряют температуру. Это делается камерами, удаленно определяя риски повышенной температуры у каждого человека. Даже если человек в маске, системе это не мешает. Те разработки, которые у нас есть сегодня, по мнению экспертов отечественных и зарубежных, одни из лучших в мире.
- Вы эту систему в общественных местах с большим количеством людей планируете внедрять?
— Технически это возможно. При некоторых доработках моделей в нашей стране есть все возможности уже к концу года почувствовать, что такое биометрический сервис и, например, реализовать его в аэропортах. Но для этого необходима аккредитация и сертификация по вопросам безопасности со стороны регулятора и определенные доработки в этих системах, связанные с резервированием данных. Например, сбой в каналах, электричество "моргнуло" — такие технические проблемы должны резервироваться системами. Подобные сервисы не могут прерываться даже на пять минут. Если учесть все возможные риски, запуск биометрии будет возможен, но только под эгидой правительства. Зайти в аэропорт — это один уровень требований, и совершенно другой — пройти госграницу. Это очень высокий уровень, и сегодня он пока еще даже не обсуждался детально.
- С кем-то пилотирование идет уже?
— У нас пилотирование уже идет, причем, стоит отметить, очень успешно.
- Это московские аэропорты?
— Нет, это не московские аэропорты. На данный момент проводится пилотирование как раз для отработки технологий и их внедрения.
- Нужно ли человеку давать согласие на обработку данных в такой системе?
— Безусловно, все должно быть организовано в соответствии с законодательством. Например, если студент захотел сдавать экзамен, не предоставляя паспорт, а зарегистрироваться по своему лицу, он должен дать на это согласие.
- Насколько актуальна угроза утечки биометрических данных?
— Данные, которые хранят и используют для распознавания биометрические системы — это не фотографии и не записи голоса, а набор параметров, сформированный при "запоминании" системой клиента. Он бесполезен вне этой системы и не может быть использован для "входа" от лица клиента, из этих параметров невозможно восстановить исходные данные (голос, фото).
При этом нельзя сказать, что биометрия — "серебряная пуля" и нет возможных угроз этой технологии. Попытки "обмануть" биометрию — предъявить фотографию или запись вместо живого человека, использовать высокореалистичные маски или проекторы на сегодня уже сегодня крайне сложны в реализации. Мы считаем, что у биометрических систем большое будущее с точки зрения именно защиты клиентов — обмануть биометрические системы уже сегодня гораздо сложнее чем "украсть" пароль или карту.
- В последнее время все острее встает вопрос кражи данных россиян. Здесь как-то изменилось поведение мошенников? Какие основные источники у мошенников для получения личной информации?
— В России процветает теневой рынок персональных данных, на котором можно приобрести различную информацию о гражданах РФ и использовать ее в мошеннических целях. Нами было проведено исследование теневого рынка. Было найдено 12 торговых площадок, на которых продается информация финансовых организаций, сотовых операторов и платежных систем, на 9 площадках продают данные банковских карт. Стоит отметить, что чаще всего в доступе находится информация скомпрометированных баз данных внешних сервисов — доставки товаров, государственных учреждений, интернет-магазинов и прочее.
- Можете посоветовать нашим читателям, как не попасться на уловки мошенников?
— Мы ежедневно развиваем и обновляем сервисы. В приложении Сбербанк Онлайн можно подключить проверку входящих вызовов, система предупредит вас, если позвонит мошенник. Достаточно зайти в раздел "Безопасность" на главном экране и в настройках активировать кнопку "Проверять входящие звонки". К сервису подключилось уже около миллиона пользователей.
В Сбербанк Онлайн также есть возможность сообщить о мошенничестве и передать нам адреса мошеннических сайтов и номеров телефонов. Эти два сервиса безопасности дополняют друг друга — данные, которые мы получили от клиентов, после так называемой «очистки» используются в сервисе проверки звонков. Также мы передаем мошеннические номера операторам связи для принятия мер по блокировке.
Чтобы быть в курсе последних схем обмана, подпишитесь на канал "Осторожно, мошенники" в Сбербанк Онлайн и посетите раздел "Не дайте себя обмануть". Там можно проверить себя на знание правил кибербезопасности и понимание киберугроз. В приложении доступны и различные настройки безопасности, которые помогут дополнительно защитить ваши средства, если столкнетесь с мошенниками. Это ограничение суточных лимитов, блокировка доступности использования в дистанционных каналах выбранных счетов, ограничения на покупки в интернете и ряд других.
- Что делать, если все же вы стали жертвой?
- Если мошенникам все-таки удалось обмануть вас и украсть деньги, в первую очередь необходимо: обратиться в любое отделение банка или службу помощи по телефону, сотрудники проконсультируют вас, дадут подробные инструкции и помогут. Также необходимо получить выписки по картам или счетам и обратиться с заявлением в любое ближайшее отделение полиции. Фактом, подтверждающим обращение, будет талон-уведомление КУСП (Книга учета заявлений и сообщений о преступлениях), который вам обязаны выдать после принятия заявления.
При обращении в полицию желательно иметь с собой любые документы (предметы, вещи), которые могут являться доказательством по уголовному делу, в частности выписку по картам и счетам.
- Как часто Сбербанк атакуют мошенники и какие новые методы борьбы с ними были разработаны?
— Сбер — самая атакуемая компания в Европе. Ежедневно на периметре мы фиксируем около 100 кибератак направленных на финансовые сервисы банка. Кроме того, в первом квартале мы отмечаем стремительный рост количества DDoS-атак на банк. Так, например, во втором квартале 2020 года на банк было совершено почти столько же DDoS-атак, сколько за весь 2019 год.
Это понятно, потому что увеличивается количество различных устройств, которые связаны с интернетом, — камер, телефонов, компьютеров и всего "умного" — от часов до вебкамер в телевизоре. К примеру, в рабочем кабинете может быть десятка два приборов, которые мы даже не замечаем, но которые связаны с интернетом. Поэтому достаточно легко организовать DDoS-атаку, когда можно "положить" деятельность даже крупной компании на какой-то период времени, прекратить ее работу, создать кризисную ситуацию, остановить предоставление сервисов и услуг и тем самым вызвать недовольство, либо панику клиентов.
В Сбербанке давно выстроена многоэшелонная защита от такого рода атак, и нашим клиентам здесь ничего не угрожает.
Говоря о самых новых методах борьбы с киберугрозами, необходимо подчеркнуть, что Сбер активно внедряет технологии искусственный интеллект при борьбе с мошенничеством. Наши AI-модели эффективно выявляют связи между клиентами, кластеризуют мошеннические группы, выявляют нетипичные геолокационные паттерны перемещений, аномальные скорости передвижений и прочее. То, что еще вчера казалось невозможным и фантастическим — сегодня уже реальность.
Сегодня наша антифрод система научились останавливать уже 99% всего телефонного мошенничества. Эффективность работы этой системы обусловлена тесным сотрудничеством с операторами связи, также отслеживающими подозрительные звонки, что позволяет оперативно реагировать на возникающие угрозы.
- Как обстоят дела с другими видами атак?
— В прошлом году мы зафиксировали резкое увеличение фишинга и телефонного мошенничества. Одновременно было отмечено некоторое снижение вирусных атак, направленных на физических лиц. Атаки на юридических лиц по-прежнему продолжали расти. Однако можно сказать, что общее количество вирусных атак немного уменьшилось.
- С чем связан рост фишинговых атак?
— В 2020 году произошел достаточно большой рост фишинга, почти на 30%. Это объясняется тем, что очень многие организации из-за пандемии ушли на удаленный формат работы, и мошенники использовали возможности сайтов-двойников для того, чтобы завладеть данными. Если говорить об атаках на физлиц, я уже рассказывал, что, когда правительство принимало решение об очередных пособиях, то буквально через секунды возникали фишинговые сайты, которые обещали людям выплаты. Многие попадались в эти ловушки, оставляли данные своих банковских карт, давали доступ к своим счетам, и, естественно, теряли деньги.
- Сколько фишинговых сайтов вы выявляете в настоящее время?
Наша платформа аналитической разведки киберугроз сегодня в режиме онлайн определяет фишинговые сайты. Мы за более чем полтора года выявили 16 тысяч таких сайтов в нашей стране. Это огромная цифра, конечно. Сейчас в апреле-мае мы зафиксировали некоторое уменьшение их числа, но все равно около ста фишинговых сайтов в неделю мы выявляем.
- А что дальше? Вы их блокируете?
Для разных сайтов работают разные принципы реагирования. Если фишинговый ресурс в российской зоне интернета, это один порядок действий, если в иностранных юрисдикциях, другой. Единого подхода на сегодняшний день не существует. Обычно нам удается добиться блокировки фишинговых сайтов в российской зоне интернета за полтора-два дня. С некоторыми так оперативно не получается, требуется больше времени. Но это не наша зона ответственности, не мы непосредственно блокируем сайты. Важно, что государство, наконец, осознало эту угрозу, и в первом чтении принят соответствующий законопроект, который позволяет значительным образом ускорить решение вопроса по разделегированию фишинговых сайтов. Очень надеемся, что в ближайшее время этот закон будет принят и поможет хеджировать такие риски.
- Что происходит с телефонным мошенничеством, уровень не снижается?
— Телефонное мошенничество тоже имело большой рост, и в настоящее время он продолжается. В начале года мы приняли решение о разработке специальной программы по борьбе с телефонным мошенничеством, и сделали это одним из приоритетов. И вот за первые месяцы реализации эта программа уже дала свои результаты. На фоне того, что общие цифры по телефонному мошенничеству в стране не уменьшились, в отношении клиентов Сбербанка они снизились более чем на 30%. Это серьезные изменения, и мы уже можем уверенно говорить, что в отношении наших клиентов маятник телефонного мошенничества качнулся в лучшую сторону. Если мы будем объединять усилия, то сможем либо полностью победить, либо свести к минимуму телефонное мошенничество уже к концу года. Это очень амбициозная цель.
- С кем объединять усилия?
Мы сумели договориться с партнерами, в том числе с телекомами и некоторыми банками о том, чтобы объединить наши антифрод системы. Наша антифрод система — одна из лучших в мире, и она дала возможность выявления мошеннических телефонных номеров на стороне трех операторов связи — Мегафон, Теле-2 и МТС, уже в автоматизированном режиме.
Второе направление — это сервисы, которые мы сегодня предоставляем. Все, у кого установлено наше мобильное приложение, сегодня защищены от кибермошенников значительно лучше. К примеру, в Сбербанк Онлайн можно проверить на утечки свои персональные данные, их наличие в открытом доступе. Буквально за пару месяцев такой услугой воспользовалось около 1,5 миллиона человек.
Всё это позволяет нам сегодня говорить о наличии уже конкретных позитивных результатов.
- Тинькофф вышел с предложением создать базу операторов, которые предоставляют услуги злоумышленникам. Как вы оцениваете такую идею?
— Очень хорошая инициатива, мы ее поддерживаем. Мы обсуждали эту идею с коллегами вместе уже на начальном этапе.
- Подсчитывал ли Сбербанк, сколько мошенникам удается украсть у россиян за один звонок/письмо?
— Телефонные мошенники похищают со счетов россиян 3,5-5 миллиардов рублей ежемесячно. Один так называемый сall-центр осуществляет от 3 до 7 тысяч звонков в сутки. При этом в половине случаев операторы call-центров не дозваниваются, а срабатывает только 1% звонков. "Средний чек" по успешной мошеннической операции находится на уровне 8 тысяч рублей.
- Недавно Сбербанк направлял своим клиентам письмо с предупреждением о всплеске мошенничества со срочными вкладами. Это массовая история?
— Нет, данная схема не имеет серьезных массовых рисков. Сейчас мошенники становятся более терпеливыми. Если раньше они могли быстро поговорить по телефону, тут же убедить перевести деньги, то сейчас вырос уровень киберграмотности людей и применяемых технических средств защиты. Безусловно, мошенникам становится все труднее и труднее добиваться своих целей.
В этой связи в последнее время появился новый вид преступления под видом трудоустройства на работу. Появляется некий "рекрутер", который предлагает трудоустроиться на высокооплачиваемую работу. Он очень долго убеждает соискателя, общается с ним несколько дней, может даже устроить видеоконференцию для собеседования. По результатам которой многие верят, что их взяли на работу в хорошую компанию с высокой зарплатой. Тут наступает эйфория. Человек сам в течение 2-3 недель предоставляет о себе всю информацию — и данные паспорта, и счета, и автобиографию, информацию о своих родственников. Далее их просят предоставить данные банковской карты, куда якобы будут перечислять зарплату. Ну а дальше закономерный итог — похищение денежных средств. Вот такое "терпеливое" мошенничество очень часто в последнее время достигает своих целей. Это большой риск, и наши рекомендации — не стесняться перепроверить кто и откуда вам звонит, зайти на официальный сайт компании, позвонить по указанным телефонам, почитать отзывы в интернете, в общем перепроверить всю информацию, которую вам сообщат.
- И наказания за это серьезного нет…
— Если будет доказано совершение преступления, конечно, наказание будет. Но доказать это очень сложно. Это вызов для нашей правоохранительной системы, необходимо менять процессы и некоторые принципы работы.
- Вы предлагаете это уже несколько лет. Есть отклик с той стороны?
— Я считаю, что есть, медленный, но есть. Если раньше к нам не хотели прислушиваться, то сейчас нас уже слушают и стараются помогать — мы уже объединяем свои усилия. Жалко, что медленно, но точно не бесполезно.
- Как у вас развивается международное сотрудничество по линии Интерпола?
— Кооперация продолжается, в основном, она связана с тем, что идут запросы на предоставление уточнений различной информации. Мы взаимодействуем в цифровом мире, влияние пандемии здесь минимальное. Важно то, что несмотря на некоторое охлаждение отношений на государственном уровне, сотрудничество бизнеса продолжается. Мы можем уверенно сказать, что заметного охлаждения в сотрудничестве с нашими зарубежными партнерами по кибербезопасности нет.
У киберпреступности нет национальных границ, и бессмысленно борьбу с ней регулировать национальными нормативными актами. Надо искать общий формат не просто противодействия киберпреступности, а общий формат правил в этой сфере. Сейчас он отсутствует. По нашему мнению, эти правила могут быть созданы на уровне Организации Объединенных Наций. В Европе была попытка создать подобное — там до сих пор действует Конвенция 2001 года по кибербезопасности, но ее сегодня точно нужно обновлять. Но это только европейский инструмент, а вот на мировом уровне ничего похожего не существует.
- Что мешает ее созданию?
— Россия выступила с такой инициативой, об этом заявило Министерство иностранных дел в прошлом году. Мы предлагали принять соответствующую конвенцию на уровне ООН и, насколько я знаю, наши дипломаты настроены очень позитивно в этом направлении и готовы продвигать идеи по международной коллаборации.
- Китай или США, наверное, против, да?
— Наоборот, за. Мне кажется, нет ни одной страны в мире, которая бы выступила против. Какие это будут правила — это уже другой вопрос, но так или иначе их необходимо создать.
- И последний вопрос: вы будете в этом году Конгресс по кибербезопасности проводить, или пока еще решения нет?
— Мы приняли для себя решение, что все активности по тематике кибербезопасности, включая активности в рамках Конгресса, переводить на площадку Киберполигона. В прошлом году мы такой формат протестировали, он оказался очень удачным, и в этом году нам хотелось не просто повторить, а еще более нарастить усилия в этом направлении. Это будет и онлайн-тренинг, и форум, и конгресс, и технические семинары для экспертов. Предварительно нами уже получена поддержка от председателя правительства Михаила Мишустина по проведению мероприятия. Очень надеемся, что он выступит с приветственным словом к участникам Киберполигона. Также согласие выступить на нашем форуме дал основатель Давосского международного экономического форума Клаус Шваб. Помимо этого, свое участие подтвердили международные эксперты и представители международных организаций, правоохранительных органов. Мы очень надеемся, что сможем создать эффективную коллаборацию для формирования нового рывка по совместному противостоянию киберпреступности.
- Когда планируется провести мероприятие?
— Киберполигон будет проходить 9 июля, целый день. Он будет проводиться непосредственно в самом сердце наших структур кибербезопасности — в Центре киберзащиты. Мы на один день допустим туда всех организаторов и непосредственно из этого центра будет осуществляться управление всем мероприятием. Так, что не забудьте присоединиться.