Первая причина в том, что банк, защищая конечного клиента от стабильно используемой схемы атаки, получает новую или хорошо забытую старую схему. Тенденция защиты ДБО подтверждает этот тезис: кражи ключей предотвращены вводом неизвлекаемых носителей ключевой информации; атаки вредоносного ПО детально контролируются решениями по «невидимой» для клиента технологии анализа среды совершения операций, собственно, как и попытки удаленного управления рабочими станциями клиентов. Тем не менее такие случаи продолжают происходить. Злоумышленники адаптируются под практически любые защитные компоненты или находят (заметим, без труда!) новую жертву.

Инвестиционная привлекательность атаки — это десятки тысяч процентов по сравнению с затратами

И вот, собственно, вторая причина — сегодняшние технологии защиты и контроля отстают от атакующей стороны. Здесь можно высказать в некоторой степени спорный тезис, но имеющий право на жизнь. Создание схемы атаки — сравнительно дешевое занятие: выявление уязвимости в ряде случаев является случайной и безвозмездной инициативой продвинутого ИT-специалиста или программиста, а хакеры уже этим пользуются. Другими словами, инвестиционная привлекательность атаки — это десятки тысяч процентов по сравнению с затратами. А с точки зрения безопасности это бюджеты, окупаемость которых не всегда прозрачна: создание защиты от условно произвольного риска атаки на банковский канал (пусть и ДБО) требует создания сложного и дорогого продукта и его последующей продажи в заинтересованную структуру. То есть это инвестиция значительно более опасная как со стороны разработки продукта, так и со стороны конечного потребителя — в нашем случае банка.

До настоящего времени еще не придумано эффективных инструментов защиты от социальной инженерии

Кроме того, если в цепочке атаки присутствует всего несколько человек, получающих прямой доход, то в цепочке защиты их в сотни раз больше, связанных договорными и финансовыми взаимоотношениями, временным интервалом на разработку и принятия решений, оценивающих необходимость антифрода не с точки зрения объема похищенных средств, а с точки зрения того, сколько пришлось вернуть клиентам.

Помимо всего прочего, до настоящего времени еще не придумано эффективных инструментов защиты от социальной инженерии. Кроме, пожалуй, тотального контроля событий, что, собственно, является не мерой защиты от определенного типа атаки, а лишь единственно стабильным механизмом выявления последствий зафиксированной атаки. Возможно, взаимодействие по альтернативным каналам между банком и клиентом со временем и станет обладать технологиями аутентификации звонящего по некоему критерию, сравнимому с PKI-инфраструктурой. Возможно, подмена SIM и будет нейтрализована более широкомасштабным применением средств проверки SIM. Но изменит ли это положение глобально? Боюсь, если удастся спрятать от волка овцу, хищник не станет вегетарианцем, а найдет менее защищенную добычу.

Ко второй причине также можно отнести еще и то, что внедряемые и используемые в банках технологии не часто проходят серьезную экспертизу на возможность реализации атаки. Классический и еще незавершенный спор в вопросе «кто виноват» о доставке SMS-кодов через сотовую связь и возможность перерегистрации номера телефона является хорошим примером того, что оценка риска на такую атаку была недостаточно верна, и на самом деле критичные банковские сведения стали рассылаться абонентам без изменения технологии или процессов доставки.

Большинство банков пытаются только защищаться, но не бороться с мошенниками

Отсюда вытекает третья причина, пожалуй, самая важная из всех вышеперечисленных: большинство банков пытаются сегодня только защищаться, но не бороться с мошенниками. Но сколь высоки ни были бы защитные элементы, подобные меры могут лишь снизить последствия атак, но не избавить от их наличия вовсе.

Сталкиваясь с адекватным отпором, злоумышленники никуда не исчезают. Просто атака на банк отнимает у них чуть больше времени. И что совсем плохо, так это то, что число желающих присвоить чужое растет с каждым днем. Стать хакером сегодня не сложно и не требует колоссальных познаний в ИT. Отсутствие весомых рисков на законодательном уровне (сроки за такие преступления условные во всех случаях правоприменительной практики) и низкие требования к «старту» приманивает в этот бизнес немало новых лиц и обеспечивает неплохим заработком настоящих хакеров. Последние теперь могут не проворачивать схему целиком, рискуя быть пойманными на последнем этапе кражи или при обналичивании средств. А могут относительно безопасно зарабатывать на разработке вредоностного софта. Если есть спрос, то обязательно появиться и предложение. Таким образом, данная причина лежит не только на стороне банка, но и в плоскости расследований и наказания за противоправные действия.

Оставаться на плаву и сохранять высокие шансы на успешную реализацию атаки злоумышленникам также помогает отсутствие со стороны банковского сообщества консолидированных усилий по борьбе со злоумышленниками.

И это четвертая потенциальная причина успеха атак. Каждый банк старается защитить лишь себя, тем самым побуждая атакующего проверить силы на соседе по рынку. Как показывает практика, атака почти наверняка будет успешна, но кто потеряет в этот раз, решает уже чуть ли не жребий. Все это напоминает ситуацию игры в стулья — помните, когда все бегают вокруг, намереваясь сесть на один из стульев по сигналу, но стульев всегда на один меньше, и на каждом раунде количество участников сокращается…

Русская ментальность показывает, что защиту от мошенничества начинают обеспечивать или наращивать только тогда, когда произошел инцидент

Наконец, пятая причина, не позволяющая изменить ситуацию столь долгого противостояния, косвенно связана с четвертой. И заключается в отсутствии риск-ориентированности внутри рынка. Русская ментальность, в том числе и в коммерческих организациях, показывает, что защиту от мошенничества начинают обеспечивать или наращивать только тогда, когда произошел инцидент. Я бы сказал, что лишь в 20%, максимум 30% компаний оценивают риски, и уже исходя из них принимают решения о внедрении. В остальных случаях побуждающим фактором становится один или серия крупных инцидентов.

Но можно ли сформировать «качественную» оценку риска для среднего или небольшого игрока? Можно ли понять долю атак на 1000 операций любого канала обслуживания клиентов, когда практически любая подобная статистика скрывается пострадавшей стороной? Тем более еще сильнее скрываются векторы атаки на клиента, на технологию, на бизнес-процесс обслуживания клиента или совершение операции. Это весьма сложно. А ведь открытость подобных сведений повысила бы прозрачность объема рисков в отрасли в целом, дало бы возможность оценить их в разрезе технологий, банковских продуктов и прочего, что позволило бы увидеть и понять по настоящему колоссальный риск для отрасли и обосновывать внедрение технологий и процессов борьбы с мошенниками.