Елена Козлова — о влиянии новых технологий на кибербезопасность финсектора

Директор по развитию бизнеса в финансовой отрасли Positive Technologies Елена Козлова в интервью «Ъ-Финополис» рассказала о том, как новые технологии влияют на защищенность финансовых организаций от кибератак, а также выполнение каких задач возьмет на себя в будущем искусственный интеллект (ИИ).

— Как вы оцениваете киберустойчивость финансового сектора в целом? Какие проблемы остаются нерешенными?

— Киберустойчивость финансового сектора, по сути, складывается из киберустойчивости его элементов: исторически самые технологичные в России — это банки, они же и самые защищенные сегодня по сравнению с компаниями из других отраслей. Исторически это связано с тем, что финансовая отрасль привлекала повышенное внимание киберпреступников, нацеленных на прямые хищения денег, с одной стороны, а с другой — в этой отрасли быстрее всего стартовали передовые инициативы уровня стандартизации требований к защите или старта отраслевого CERT, к примеру. Тем не менее финансовая отрасль все еще привлекает повышенное по понятным причинам внимание киберпреступников, которые активно развивают свои техники и применяют все новые технологии. Особенно это заметно в связи с геополитической ситуацией.

Если приводить топ кибератак на финансовые организации, то я бы назвала атаки через цепочки поставок (когда атакуется не банк, а подрядчик и уже через него злоумышленники атакуют целевую организацию), использование уязвимостей в сервисах и ПО, DDoS-атаки. Отдельно отмечу атаки через уязвимости в новых банкоматах. Этот вид набирает популярность, ведь в связи с санкционными ограничениями сеть банкоматов уже третий год поэтапно обновляется. При этом по-прежнему самым уязвимым местом любой финансовой организации остается человек: наш опыт показывает, что именно на социальную инженерию за последние годы приходится более четверти всех успешных атак, а в прошлом году и вовсе около половины.

Количество успешных кибератак в финансовом секторе год от года увеличивается, и 2024-й не стал исключением — большинство из них заканчиваются утечками: в прошлом году утечки становились последствием четырех из пяти успешных атак в среднем. Эта тенденция в ряде случаев объяснима, ведь сложные атаки с целью кражи денег совершаются все реже из-за трудности их реализации. На этом фоне все чаще можно встретить более простые с точки зрения реализации мотивы, например вымогательство или утечки данных клиентов. Согласно нашему исследованию утечек за первое полугодие 2024 года, основным видом украденных данных, конечно, остаются персональные данные — около 37%. Кроме этого, утечки приводят к краже конфиденциальной информации. В первом полугодии 2024 года в целом отмечается всплеск утечек учетных данных у организаций, и финансовая отрасль здесь не является исключением.

Если говорить о рисках, то можно обратиться к данным, которые мы получаем по итогам большого количества проектов по анализу защищенности финансовых организаций. Во всех проектах по тестированию на проникновение за последние два года заданные цели (реализация недопустимого события — получение полного управления над контроллером домена) были достигнуты. Это не говорит о том, что банки плохо защищены — просто всегда нужно помнить, что технологии и навыки взлома развиваются стремительно и компаниям надо изначально понимать те сценарии, по которым развивалась бы кибератака, и вовремя устранять слабые места.

По итогу всех аудитов безопасности банков прошлого года нашими специалистами были обнаружены сотни уязвимостей критического и высокого уровня риска. Если говорить о том, как киберпреступники могли бы проникнуть в инфраструктуру банков, используя выявленные уязвимости, то основные направления здесь — это недостатки парольной политики, использование устаревшего ПО, небезопасные приложения и конфигурации компонентов информационных систем, а также небезопасный код веб-приложений.

— Можно ли связать рост числа успешных кибератак с массовым переходом на отечественное ПО?

— Я бы сказала, что это больше связано с ростом банковского бизнеса, с увеличением используемых технологий, количеством их систем и точек соприкосновения с клиентами именно с помощью технологий. Сегодня банки все больше начинают применять ИИ, а значит, и усложняются инфраструктура, способы и методы применения технологий. Эти сложности растут как снежный ком. Человеческий фактор также сказывается: может возникать много ошибок, не оказаться достаточного количества специалистов экспертного уровня для того, чтобы все эти системы обслуживать. И все это вместе открывает для злоумышленников новые точки входа в компанию.

Дело не в том, что осуществляется переход на отечественное ПО или железо, а скорее в трансформации и замене привычных решений на новые. Раньше банки функционировали и на зарубежных решениях, и на отечественных. У каждого из них была выстроена стратегия развития, были отлаженные механизмы перехода и постепенного добавления все новых технологий. А тут одномоментно проявляются и рост бизнеса, и внедрение новых технологий, и срочное (хотя и плановое — про 2025 год все знали заранее) импортозамещение, когда банки должны перейти на отечественное ПО. Но при этом резкий стимул, по сути, появился только в связи с уходом иностранных вендоров с российского рынка.

— Как новые технологии влияют на защищенность финансовых организаций? Что помогает, а что мешает в этом процессе?

— Новых технологий в банковской отрасли используется много, и большое место здесь отводится ИИ. Но замечу, что он приносит как пользу, так и дополнительные проблемы. Помимо этого, активно используются блокчейн, криптовалюты, машинное обучение, биометрия. Сегодня мы слышим, что внедряются все новые и новые технологии. Например, с одной стороны, использование ИИ и машинного обучения упрощает развитие бизнеса, забирает на себя операционку, повышает качество бизнес-продуктов, может предотвращать мошенничество. А блокчейн обеспечит высокую степень безопасности, прозрачность трансакций. Плюс анализ и обработка больших данных осуществляется опять же с помощью ИИ.

Но медаль имеет две стороны: современные технологии приносят бизнесу много пользы, но в то же время их применение усложняет ИТ-инфраструктуру, увеличивается необходимость в квалифицированных кадрах, появляются новые стыки для интеграции систем. Все это увеличивает поверхность атаки, то есть открывает большее число возможностей для потенциальных злоумышленников.

— Для вас ИИ скорее источник проблем или технология также используется для усиления защиты?

— Надо понимать, что технологии всегда работают в руках человека и под его контролем. То есть в нашем случае мы применяем ИИ, закладываем его внутрь технологий и продуктов, потому что он помогает автоматизировать рутинные операции по обработке большого количества данных, выявлению аномалий, подозрительного поведения в сети. И именно поэтому свою более чем 20-летнюю экспертизу мы вложили в метапродукты MaxPatrol O2 и MaxPatrol Carbon, которые за счет технологии ИИ автоматизируют деятельность по предотвращению кибератак.

— Российский рынок характеризуется сильным дефицитом кадров, вместе с тем идет активная автоматизация процессов. Какой тренд будет основным? Нехватка кадров будет возрастать или новые технологии все-таки позволят охладить перегрев на рынке?

— Я бы сказала, и то и другое. У нас много инициатив по развитию кадрового потенциала, технологий ИИ и автоматизации. Есть департамент по развитию образовательных программ, который инициирует всевозможные образовательные коллаборации. Мы создаем корпоративные программы для B2B-сегмента, которые нацелены на повышение киберграмотности сотрудников компаний. Это трехуровневое взаимодействие: топ-менеджменту мы объясняем, как тема кибербезопасности связана с успешностью бизнеса. На следующем уровне программа имеет разделение по направлению работы: бухгалтерия, HR, логистика, финансы и так далее. Но мы также работаем и с сотрудниками, для которых запускаем программы повышения осведомленности о рисках и угрозах ИБ. Это позволяет нам в целом повышать компетенции персонала различных компаний на выходе из этой программы, часть процессов начинает лучше работать.

Также сотрудничаем с большим количеством вузов, запускаем отдельные программы, предоставляем студентам свои продукты на безвозмездной основе. Сейчас 3 тыс. студентов пользуются этими продуктами в тестовом режиме, учатся с ними работать. Это повышает их интерес: когда они прикасаются к реальному продукту, растет вероятность, что на выходе из вуза они не проигнорируют выбранную специальность, а пойдут работать по профессии, на которую учатся. То есть на выходе они уже имеют и теоретическое образование, и практический опыт.

Что касается автоматизации, я уже упомянула, что у нас есть метапродукты. Но это история не про то, что мы хотим отказаться от людей. Речь о том, чтобы бОльшую часть базовой рутинной работы типа анализа данных поручить ИИ. Если опять же поделить сотрудников на три уровня (C-level, мидл и джуны), то ИИ может заменить как раз-таки средний уровень. Эксперты и управленцы будут нужны всегда, ведь высокоинтеллектуальную деятельность ИИ заменить не может. Джуны нужны для того, чтобы из них растить сначала средний, а потом и экспертный уровни. Посередине же как раз находятся те группы, функции которых можно автоматизировать с помощью ряда продуктов, а деятельность сотрудников перенаправить на решение более стратегических и творческих задач.

Любая компания, в том числе финансовая, может подходить к построению кибербезопасности таким путем: нанять большое количество людей в подразделение ИБ, выстроить процессы, разработать регламенты, купить различные средства защиты. При этом в какой-то момент, особенно если речь идет про крупные компании, появляется вопрос нехватки кадров. И становится понятно, что только наймом все большего количества специалистов по ИТ и ИБ, которых на рынке еще и нет в принципе, повышения киберустойчивости не добиться. И вот тут встает вопрос, что из того, что может делать человек, можно отдать автопилоту в области ИБ.

Например, ИИ, который лежит под капотом наших метапродуктов, может анализировать аномалии в инфраструктуре компании и в автоматическом режиме делать выводы. Он строит вероятные сценарии развития атаки, накладывает их на модель действий злоумышленников и выдает уже готовый результат в виде решения эксперту, который обслуживает эту систему.

Интервью взяла Ксения Ильина