О компьютерных преступлениях, проблеме, угрожающей каждой стране и каждому человеку в мире, и методах ее предотвращения мы беседуем с Константином Сергеевым, руководителем Ассоциации экспертов безопасности ритейла (АЭБР), чье выступление на Международном ПЛАС-Форуме «Digital Kyrgyzstan» в столице Кыргызстана Бишкеке вызвало широкий резонанс среди аудитории.

ПЛАС: Сегодня на первый план среди компьютерных преступлений выходит кредитное мошенничество, зачастую под воздействием социальной инженерии. Каковы, на ваш взгляд, основные методы противодействия данному виду преступлений?

К. Сергеев: Здесь можно выделить три основных направления.

Направление первое. По принципу «Спасение утопающих – дело рук самих утопающих». Личная разумная бдительность, осознанность и понимание рисков часто защищают от необдуманных действий. Осведомленность населения, осведомленность специалистов по безопасности, просто специалистов, которые работают в финансовой сфере, должна строиться таким образом, чтобы они не просто имели инструмент защиты от конкретной мошеннической схемы. Схемы меняются, и нужно быть готовым к их модификации. Понимать, что простые мошеннические схемы заменяются более сложными, многоходовыми комбинациями и новыми технологиями. Но, несмотря на весь антураж, задача злоумышленников – манипулировать на чувствах и эмоциях, склонить жертву к определенным действиям. Вводя жертву в состояние страха, тревоги и бесконтрольной управляемости, злоумышленники могут вынудить жертву принять быстрые и необдуманные решения, игнорируя логику и разум.

В ходе проходившего в Бишкеке Международного ПЛАС-Форума «Digital Kyrgyzstan» на сессии, посвященной вопросам безопасности, приводился пример старой схемы: «Я попал в аварию, мне срочно необходимо помочь, переведи деньги и т. д.» Раньше схема работала с направлением жертве SMS-сообщения. Осведомленность, личный опыт сформировали у населения иммунитет, и сейчас мало кто попадется на такой SMS-призыв. Но в дело вступают новые технологии, и с помощью искусственного интеллекта уже появляется дублирование голоса, так называемые дипфейки. Голосовые и видеосообщения от знакомых лиц с призывами о помощи, просьбами и поручениями от руководителей – это новый формат старой мошеннической схемы. К таким вызовам нужно быть готовым. Стоит заранее договориться с родными и близкими, коллегами по работе о мерах безопасности личных сообщений, кодовых и проверочных словах, порядке действий при получении подобных сообщений. Понимать, что телефон, аккаунт в соцсетях, почта могут быть подменены и даже взломаны. Сострадание, любопытство, жадность тоже могут стать крючком в комбинациях преступников. Подвергайте сомнению любые неожиданные и нестандартные запросы. Не спешите, проверяйте по официальным каналам связи.

Теперь о втором направлении. Здесь я бы отметил важный момент – форму взаимодействия корпоративной службы безопасности с персоналом. К сожалению, информирование – это «в одно ухо влетело, в другое вылетело». Текстовые инструкции хороши для проверяющих органов: чем больше букв, тем лучше. Все мы летаем на самолетах и в фоновом режиме слышим, как нам рассказывают о системах безопасности, но в случае чрезвычайного события не каждый сможет воспользоваться этой информацией и грамотно выстроить свои действия, к примеру, быстро и правильно открыть аварийный выход.

В безопасности важно не только формировать знания, а сформировать именно навык. А навык формируется через некую последовательность действий: сначала знания, после – умение и только потом – навык. Поможет в этом обучение сотрудников в виде игр, обучение в формате пентестов, совместных мероприятий и разбора кейсов. Вот это позволит сформировать необходимую осознанную позицию и необходимые навыки. Нужно помнить, что в критической ситуации вы не подниметесь до уровня своих ожиданий, а упадете до уровня своей подготовки.

Обмен профессиональным опытом руководителей и специалистов в сфере безопасности, выстраивание единого контура безопасности – важный момент в профилактике преступлений. Благодаря работе Ассоциации экспертов безопасности ритейла происходит взаимодействие корпоративных служб безопасности. Так, с участием ассоциации в 2024 году при ТПП РФ организована рабочая группа «Экономическая безопасность в ритейле», это позволит более эффективно продвигать инициативы, близкие бизнесу и современным вызовам.

Направление третье. Государство, правоохранительные органы, банковская сфера, мобильные операторы, интернет-провайдеры способны применить должные процедуры антифрода и значительно снизить риски. Можно только приветствовать законодательные и организационные шаги, которые делаются в этом направлении. К сожалению, делаются часто с запозданием, недостаточно проактивной позицией и слабой комплексной работой, направленной на должную профилактику и защиту интересов граждан и бизнеса. При этом стоит отметить, что это действительно непростые шаги, часто требующие изменения законодательной базы и внедрения технологий.

ПЛАС: Не так давно мне встречалось исследование, согласно которому, как только прекращается информационная накачка обычного человека на тему всевозможных мошенничеств с помощью социальной (криминальной) инженерии, выработанный навык бдительности у него слабеет. Поэтому следующий вопрос: насколько агрессивным должно быть такое информирование? Про методы вы рассказали, но если говорить, допустим, не про специалистов, а про обычных людей? 

К. Сергеев: Я являюсь членом общественного совета при ГУВД МВД России по Свердловской области. При нашем общественном совете выходило несколько роликов для населения по противодействию социальной инженерии. И именно кейсы, которые информируют о конкретных историях, – пример той же соседки по дому, коллеги по работе, попадающихся на действия злоумышленников и совершающих необдуманные поступки, позволяют примерить на себя эту ситуацию и более качественно выстроить форму донесения информации. А использование листовок, уведомлений, инструкций – это, к сожалению, не работает, переходя в так называемый белый шум, когда информация вроде бы и поступила, а в голове не отложилась. Только кейсы, которые близки к человеку, к его социальным ролям, позволяют эффективно противодействовать мошенникам.

ПЛАС: Законы о самозапрете кредитов в ряде стран Центральной Азии и в России – насколько эффективно они работают, на ваш взгляд? 

К. Сергеев: Это необходимая мера, которую важно применять, потому что ситуация такова, что цифровое согласие на взятие кредита, к сожалению, может быть скомпрометировано, и здесь важна первоначальная точка запрета. То есть со временем можно себе вновь разрешить брать кредиты, совершать какие-либо иные юридически значимые действия. Но на первоначальном этапе, мне кажется, разумно выстраивание системы, в которой человек изначально запрещает практически все дистанционные действия от своего лица, а при необходимости может их разрешить.

С 1 марта 2025 года россияне смогут устанавливать себе такой запрет, и в этом вопросе виден прогресс. Согласно документу, граждане смогут установить в своей кредитной истории запрет на выдачу кредитов банками и займов микрофинансовыми организациями (МФО). Для установления или снятия запрета физическое лицо вправе бесплатно любое количество раз подать заявление во все квалифицированные бюро кредитных историй через МФЦ или портал госуслуг.

Как специалисту в сфере безопасности мне непонятно, почему изначально базово всем не устанавливается запрет, а уже при желании гражданина – одобрение на возможность получения кредитов. При этом стоит отметить, что даже такая форма – возможность установки запрета – уже положительный момент, который стоит приветствовать.

ПЛАС: С 25 июля 2024 года в России планируется ввести практику отключения подозреваемых в дропперстве от дистанционного банковского обслуживания (ДБО). Насколько эта мера может быть эффективна, и что нужно для этого сделать? 

К. Сергеев: Эффективность будет непосредственно связана с наличием обоснованных и достаточных фактов и доказательства подозрительной активности потенциальных дропперов (мониторинг их транзакций, анализ поведения пользователей и другие методы выявления подозрительных действий); а также ясных нормативных рамок и процессов, чтобы избежать незаконного отключения доступа к ДБО. Плюс надо не забыть обеспечить соблюдение законодательства, а кроме этого, учитывать, что статус дроппера не является постоянным. Важна правильно выстроенная работа с правоохранительными органами, это может повысить эффективность мер по борьбе с дропперством, включая своевременную передачу информации и координацию действий, что поможет финансовым организациям принимать более обоснованные решения и избегать ошибочных решений.

ПЛАС: Искусственный интеллект сегодня используют и преступники, и те, кто на стороне закона. Как эта гонка вооружений будет развиваться дальше, на ваш взгляд? 

К. Сергеев: Думаю, тут ничего не поменяется. Пистолет имеется и в руках преступника, и в кобуре полицейского. Один является предметом нападения, другой – предметом сдерживания и защиты. Автомобиль есть как у инкассатора, так и у грабителя. Есть интернет, которым пользуются и полицейские, и преступники. Искусственный интеллект будет таким же инструментом, которым будут пользоваться по обе стороны.

Кто будет использовать его более эффективно? Вероятнее всего, мошенники, потому что они в этом более заинтересованы. Как будет использовать искусственный интеллект система безопасности, служба безопасности, полиция, насколько эффективно он будет внедрен в систему, – это зависит в том числе от развития квалифицированных кадров, которые понимают необходимость этого. Даже сейчас в бизнесе те, кто действительно использует искусственный интеллект для обеспечения безопасности, получают конкурентное преимущество: они снижают значимые риски, они используют ИT-технологии, которые дают реальный отрыв от конкурентов. В том числе, те задачи, которые требовали дополнительных физических затрат, времени, ресурсов, сил, в настоящий момент могут решаться с помощью ИИ и давать значимый результат. Это аналитика в сфере безопасности, аудит больших данных, информации, предоставления этих ресурсов. Остается ждать новых прорывных технологий, которые позволят эффективно выстраивать работу. Например, сегодня я прочитал новость, что благодаря искусственному интеллекту, по прогнозам ученых, в течение года-двух мы сможем понимать животных… Мне кажется, мы еще пока даже не осознаем тех возможностей, которые нам принесет искусственный интеллект, и тех рисков, которые могут при этом возникнуть. Поэтому будем наблюдать за его развитием и стремиться использовать все его возможности во благо.

ПЛАС: С запуском цифрового рубля от ЦБ потребуется новая система антифрода – сами банки отслеживать финансовые потоки в ЦВЦБ смогут только до Банка России. А почему эту обязанность не возложить на Банк России? Если они сами для себя прописывают право и обязанность заниматься не только эмиссией цифрового рубля, но и ведением счетов граждан, то вполне логично продолжить эту траекторию.

К. Сергеев: Вполне логично, но лучше ответственность распределить на каждого, а идеальная картинка ведения — это большая антифрод-система ЦБ с рулем управления, к которой в виде коннекторов подключены антифрод-системы каждого отдельного банка с возмездным обменом информацией. Но как все будет реализовано в реальности, покажет время.