Топ-менеджер оператора платежной системы: ИИ вскоре станет драйвером развития социнженерии

В рамках уральского форума "Кибербезопасность в финансах", прошедшего в Екатеринбурге, директор департамента безопасности НСПК Артем Гутник в интервью ТАСС рассказал о предпринимаемых для защиты от мошенников действиях и безопасности платежных систем.
— Какие основные угрозы вы видите для безопасности платежных систем сегодня?
— Если мы говорим о безопасности платежных систем, я хотел бы выделить два ключевых аспекта. Первый — это обеспечение безопасности инфраструктуры. То есть гарантии бесперебойной работы самой платежной инфраструктуры в принципе. В 2022–2023 годах мы стали свидетелями беспрецедентного уровня хакерских атак, они были проведены профессионально. Однако, несмотря на это, платежная инфраструктура продолжила работать. И даже потрясения, вызванные уходом международных платежных систем, также не повлияли на качество обслуживания граждан и сервиса — платежи в стране продолжили успешно обрабатываться.
Второй аспект — это то, насколько платежная инфраструктура безопасна для пользователя. Если сравнивать с другими странами, у нас уровень мошенничества на порядок ниже. Чтобы платежная система оставалась безопасной, мы активно сотрудничаем с банками и разрабатываем современные инновационные сервисы, которые помогают им обеспечивать защиту для своих клиентов.
В этом ключе одним из наиболее эффективных подходов, который используют банки, является изучение финансового поведения клиентов. У каждого человека есть некие привычки, например, совершать платежи и денежные переводы только в дневное время, не по ночам. Используя эти паттерны, антифрод-системы банков могут выявлять и отсекать какие-то заведомо мошеннические действия. Мошенники это понимают, поэтому пытаются мимикрировать. Однако на текущий момент банки пока выигрывают в этой борьбе, и в данном случае защита пользователей опережает атаки мошенников. Это обнадеживает. 
— А как за последние 10 лет изменились подходы к обеспечению безопасности платежных систем?
— За последние 10 лет подходы к обеспечению безопасности платежных систем претерпели значительные изменения. Платежные системы постоянно развиваются и адаптируются к новым видам угроз.
Из трендов — сегодня финансовые отрасли переходят на более строгие стандарты аутентификации. В настоящее время двухфакторная аутентификация уже практически повсеместно внедрена — одного пароля, который можно случайно отдать кому-то, недостаточно. Поэтому практически везде используется второй фактор, например SMS и другие методы.
Кроме того, мы движемся в сторону более безопасного средства аутентификации. На данный момент таким средством является биометрическая аутентификация (например, отпечатки пальцев, распознавание лица и т.д.). Причем ее можно использовать и как третий фактор аутентификации, что позволяет комбинировать пароль, второй фактор и биометрию для повышения уровня безопасности. Еще одним важным трендом является повсеместное внедрение шифрования данных. Мы отходим от передачи платежных данных в чистом виде. Раньше мошенники всегда пытались украсть номер карты и код с обратной стороны. Прямая передача данных несет за собой определенные риски, данные можно похитить. Поэтому мы стремимся к более безопасным решениям и используем токенизацию. То есть когда платежные данные не передаются в открытом виде, вместо этого передается некий токен, он имеет ограниченный срок жизни. В случае его хищения злоумышленник просто не успевает его использовать, так как он одноразовый. Мы, как оператор платежной системы, идем по этому направлению.
Другой правильный тренд — объединение всех участников процесса. Для того чтобы эффективно бороться с мошенниками, нужно, чтобы были вовлечены и правоохранительные органы, и оператор платежной системы, и банки, и операторы сотовой связи. Только совместными усилиями мы сможем поднять уровень безопасности наших платежных сервисов на новый уровень. Все идет к тому, что в ближайшее время это произойдет. 
— Когда-то в России был популярен вид мошенничества, связанный с кражей данных банковской карты через банкоматы. Можно ли сказать, что этот вид мошенничества в России побежден?
— Да, скимминг (один из видов мошенничества, связанных с банковскими картами. Злоумышленники используют специальные устройства или программы, чтобы незаметно считать информацию с карты — прим. ТАСС) в России мы победили. Это стало возможным благодаря постоянному внедрению инноваций на платежный рынок. Мы практически полностью отказались от магнитной полосы на картах в пользу карт с чипами. А скимминг был характерен как раз для магнитной полосы. Такой переход потребовал значительных усилий для обновления инфраструктуры, включая банкоматы.
Со своей стороны банки также провели большую работу для борьбы с этим видом мошенничества. Здесь опять же можно вернуться к разговору о том, что антифрод-системы банков определяют паттерны платежного поведения клиентов и совершенствуют их. Еще много лет назад банки начали использовать правило на основе "геоскачка". Это когда мошенники похищали данные с магнитной полосы владельца карты в России, передавали их своим подельникам в другие страны, где после этого они пытались "снять" деньги. При это буквально час назад сам владелец карты оплачивал картой продукты в магазине в своем городе. Такие "геоскачки" служат сигналом для банков о возможном мошенничестве и позволяют оперативно реагировать на угрозы.
— Грубо говоря, банки могут заблокировать операцию прямо во время снятия средств?
— Да, все верно. Это банки делают, и в том числе это позволило, в отличие от других стран, скимминг полностью побороть.
На самом деле, мошенники тоже не стоят на месте. И сейчас основной тренд — NFCGate. Поскольку данные с карты скопировать невозможно, мошенники вводят жертву в заблуждение, просят установить на телефон жертвы специализированное программное обеспечение. Человек ставит это программное обеспечение у себя на телефоне, а в этот момент злоумышленник уже со своим смартфоном стоит возле банкомата. Аферисты просят человека прислонить карту к своему телефону и запустить это приложение. Оно выступает в роли моста. По сути, данные с карты передаются через интернет на телефон мошенника, и он снимает деньги. На данный момент такая проблема действительно существует, и она появилась относительно недавно — в течение последнего полугода или года. Мы активно сотрудничаем с банками и правоохранительными органами. Уже есть ряд способов, методик, которые позволят защитить граждан от этого нового вида мошенничества.
—​​​​​​​ А какие угрозы вы считаете наиболее вероятными в течение ближайших двух-трех лет?
— На самом деле, я не считаю, что появится что-то принципиальное новое. Даже если поговорить про NFCGate — это та же самая социальная инженерия, просто в новом формате. Если говорить в целом про тренды, то социальная инженерия будет развиваться, она будет становиться профессиональнее, техничнее. В целом основной драйвер для ее развития —​​​​​​​ это искусственный интеллект. Мы уже сейчас видим это чуть чаще —​​​​​​​ дипфейки, подделка голоса. Это, безусловно, способствует увеличению случаев мошенничества.
С другой стороны, важно понимать, что искусственный интеллект не является злом. В борьбе с мошенничеством, где используются технологии ИИ, именно искусственный интеллект может стать нашим союзником. На текущий момент нет ни одного более действенного способа, например, выявлять дипфейки, чем использовать искусственный интеллект, который обучен распознаванию подобных подделок.
Также, к сожалению, драйвером для развития социальной инженерии является огромное количество утечек данных, которое произошло за последние несколько лет. Это позволяет злоумышленникам более эффективно вводить жертв и заблуждение. Тем не менее стоит отметить, что законодательство в сфере защиты персональных данных становится все более строгим.