Кіберфахівці Райфа зберегли клієнтам 90 млн грн. Як працює кіберпідрозділ банку, який захищає кошти клієнтів від крадіжок

Євген Балютов і його команда

Сам Євген називає себе наполовину фахівцем з IT-безпеки, наполовину ― фахівцем з інформаційної безпеки. У його робочій біографії є такі сторінки, як захист інформації на держслужбі, робота в банківській, фармацевтичній, гемблінговій, IT сферах і телекомунікаціях. 

Нині ж у Райфі Євген відповідає за захист інформації та даних у банку, займається безпекою клієнтських сервісів і керує командою з кіберфахівців, які покривають напрями власне ІТ-безпеки інфраструктури та робочих станцій, безперервності бізнесу, приватності даних, протидії електронному шахрайству та безпечної розробки продуктів банку. 

У департаменті кібербезпеки нині працюють 55 спеців і відкрито ще 13 вакансій. «Команда дуже велика, вона займається всім. Якщо треба щось створити, ми швидко сіли, написали код», ― директор з інформаційної безпеки Райффайзен Банку.

А ось неповний перелік завдань, які стоять перед кіберсамураями Райфу: 

• управління ІТ-ризиками;
• опис вимог щодо безпеки в продуктах і системах, що розробляються;
• аналітика безпеки під час розгортання інфраструктури під продукт;
• перевірка коду;
• забезпечення безпеки інфраструктури в хмарі;
• пен-тести банківських продуктів;
• автоматизація функції безпеки;
• навчання працівників;
• забезпечення безперервності бізнес-процесів;
• перевірка транзакцій користувачів за допомогою моделей machine learning, щоби оцінити ймовірність шахрайства та попередити його.

Кіберсамураї на сторожі безпеки

Система інформаційної безпеки банку наразі функціонує у двох напрямах. По-перше, фахівці повинні вміти запобігати кіберзагрозам. По-друге ― реагувати на можливі загрози або ж інциденти, що мали місце. Саме тому робота кіберфахівця присутня на кожному етапі розробки нового продукту ― від старту до етапу доставлення готового продукту до користувача. 

Кіберфахівці у фінустанові розділені на три команди, що працюють за окремими напрямами. Серед них:

1. Security Management — вимірювання ефективності функцій безпеки, відповідність комплаєнсу, звітування за показниками, навчання працівників і клієнтів, моніторинг інформаційної безпеки та протидія електронному шахрайству, а також реалізація безперервності бізнесу та приватності даних. 
2. IT Security Engineering ― безпека хмарної та наземної IT-інфраструктури банку, захист робочих станцій, серверів, корпоративної мережі, керування доступами, адмініструють усі інструменти безпеки, починаючи від EDR-системи (захист кінцевих точок) до систем протидії DDoS-атакам і захисту додатків.
3. Product Security. Це команда, яка проводить тести на проникнення для банківських додатків та ІТ-інфраструктури, встановлює вимоги щодо безпеки до додатків, що розробляються всередині банку або закуповуються. Крім цього, команда відповідає за реалізацію DevSecOps-функцій — автоматизує процес перевірки вимог безпеки для нових IT-продуктів.

Ще до початку повномасштабного вторгнення райфівські спеціалісти фіксували підвищену активність щодо спроб атакувати ресурси банку. Зокрема, збільшилися кількість DDos-атак, а також атак із різними векторами через відправлення електронних листів працівникам банку. Усі такі спроби були попереджені, ні клієнти, ні працівники не відчули жодних ознак щодо атак на банк.

Крім того, з початком повномасштабного вторгнення кількість випадків електронного шахрайства значно зросла. Зазвичай шахраї використовують методи, які фахівці називають соціальною інженерією, а по-простому вводять в оману окремих клієнтів через їхній невисокий рівень фінансової грамотності для отримання необхідних даних автентифікації та наступного здійснення операцій від імені клієнта. Шахраї швидко адаптувались і знайшли нові теми, які дуже болючі для всіх українців: війна, зміна місця проживання, фінансова допомога.

Фрод і боротьба з ним

Наразі в банку кажуть, що шахрайські дії з рахунками клієнтів відбуваються в основному з приватними особами. «Рівень шахрайства з юридичними особами є на мінімальному рівні», ― каже Балютов. Визначають імовірність шахрайських дій із рахунками клієнтів за допомогою моделей статистичного аналізу та прогнозу, а також нейромереж. 

Є кілька моделей виявлення ознак шахрайства в онлайн-банкінгу. Наприклад, починаючи з етапу доступу клієнта до власного кабінету проводиться аналіз багатьох метрик та індикаторів, що характеризують поведінку клієнта під час роботи в онлайн-банкінгу.

Також антифрод-моделі аналізують усі операції клієнта, наприклад, зміну фінансового номера, зміну лімітів на карті та, безумовно, кожну транзакцію клієнтів. 

Фактично це модель машинного навчання, що створює певний профайл клієнта, аналізує набір індикаторів на відповідність цього профайлу й помічає ті операції, які є непритаманні для певного клієнта.

Так для кожної операції визначається ризик-рейтинг, на підставі якого ухвалюється рішення зупиняти транзакції або пропустити. Далі модель ініціює комунікацію оператора інформаційного центру з клієнтом, щоби перевірити щодо дійсності ініційованої операції та в певних випадках попередити його про можливу загрозу. 

«Ми прагнемо, щоби співвідношення попередження й реакції становило 80% на 20%», ― каже Євген. Він згадує, як у травні команді вдалося зберегти клієнтам 35 млн грн, водночас ефективність роботи склала 94%. Це, до речі, дуже високий показник за ринком. «У решті 6% випадків клієнти дуже наполегливо хотіли віддати свої кошти шахраям, коли свідомо ігнорували неодноразові попередження від банку, топорну роботу шахраїв і явно підозрілу активність», ― жартує Балютов. 

«Проблема в тому, що люди не звертають уваги на очевидні речі. Кожна SMS або PUSH-повідомлення від банку формуються під певну операцію, і потрібно звертати увагу, що написано в повідомленні. Саме в цьому кейсі клієнт начебто вводив код-підтвердження, щоб зайти в Raiffeisen Online на фейковому сайті, а насправді підтверджував шахраям операції на переказ коштів», ― каже Євген.

Для досягнення ефективності протидії шахрайству на понад 90% у банку застосовують три складники. 

1. Винятково технічне рішення ― це система, яка вміє досі реалізовувати роботу з моделями, правилами.
2. Розуміння того, хто тут твій клієнт, як він живе, яка в нього звичайна денна активність, і створення під нього такого собі профайла. 
3. Експертиза команди та розуміння команди. Коли шахраї, які займаються фродом, знаходять можливість обдурити людей через гепи у технічній реалізації, кіберфахівці починають грати з ними в гру «Хто розумніший?» «Зазвичай їх вистачає на тиждень. Було один раз, їх вистачило на місяць, а потім ми все розкрили», ― каже Балютов. 

Найпоширеніші схеми банківського шахрайства та методи боротьби з ними

Кожен другий українець хоча б раз ставав жертвою інтернет-шахрайства. Водночас жертвою може стати будь-хто. За нашою статистикою, найбільш вразлива аудиторія електронного шахрайства, як не дивно, — люди 30–40 років. 

Раніше досить розповсюдженим методом було шахрайство через телефон, коли шахраї дзвонять на випадкові номери й від імені «служби безпеки банку» або «фінансового моніторингу банку» та під приводом блокування карт, рахунків, допомоги тощо отримують необхідні дані для отримання доступу до онлайн-банку клієнта та здійснення операції. У 2023 році різко зросло шахрайства через фішингові сайти. Для порівняння, за 9 місяців цього року ми вже заблокували понад 350 фішингових сайтів, у 2022 році — близько 200, у 2021 цифра була набагато меншою — 15 сайтів.

Зараз в основному шахраї спекулюють на темах війни, біженців та отримання фінансової допомоги від різних організацій. В останній рік у соціальних мережах масово ширились повідомлення з можливістю отримати додаткові кошти від ООН або уряду — і багато українців на це «велись».

Кіберграмотність і безпека для своїх

Окрім запобігання зовнішнім загрозам і передбачення дій шахраїв у банку, особливу увагу приділяють тому, щоб самі 5300 працівників банку не стали жертвами шахрайських схем. Тому в Райфі діє багаторівнева програма для працівників щодо обізнаності з питань інформаційної безпеки — Raiffeisen Awareness Security Program (RASP).

Євген пояснює: RASP містить у собі елементи гейміфікації з ачівками, грейдами, призами, навчальний відеоконтент, тренінги, а також систему оцінки рівня знань.

Найближчими місяцями RASP планують зробити доступним для українців на різних платформах й в усіх можливих форматах ― від YouTube до TikTok і Reels. «Це один із продуктів, які ми розробляємо всередині, за допомогою якого ми хочемо підвищити рівень знань українців, щоби вони були більш захищеними від кібератак і фроду. Ми будемо намагатися стати точкою експертизи в інфополі України на тему security», ― розповідає Євген.

Експертність кіберкоманди Райфу беззаперечна: ще з весни 2021 року фахівці банку опрацювали 75% всіх можливих кризових сценаріїв, які б могли вплинути на сервіси для клієнтів. Ще 25% доопрацьовували з осені до 24 лютого 2022 року. У банку заздалегідь підготувалися до блекаутів, втрати офісних приміщень, кіберзагроз, зокрема, зламу інфраструктури, недоступності ІТ-сервісів, пошкодження або недоступності дата центрів унаслідок кібератак або браку енергопостачання тощо. 

Напередодні повномасштабного вторгнення й після кібератак на сайти держорганів та установ кіберкоманда під керівництвом Євгена цілодобово працювала над Cybersecurity Emergency Roadmap. Завдяки великій попередній роботі, навіть під час найжорсткіших моментів повномасштабного вторгнення, 3 мільйони клієнтів Райфу мали доступ до своїх коштів і сервісів банку в режимі 24/7.

Безпека 24/7

За словами Балютова, моніторинг безпеки в Райфі працює 24/7 і тепер ― фахівці нерідко спостерігають зовнішні спроби зробити сервіси банку недоступними або проникнути в інфраструктуру фінустанови.

Райф є обʼєктом критичної інфраструктури України, кібератаки на банки такого рівня можуть мати досить болючі наслідки для економіки. Саме тому безпека є стратегічною цінністю Райфу. «Ми створюємо кіберімунітет нашої інфраструктури з багаторівневим захистом так, щоб атака на неї вимагала залучення неспіврозмірних ресурсів. А запровадженням інструментів SSDLC, автоматизованого security-тестування в межах CI/CD, ми фактично вбудовуємо безпеку в ДНК будь-якого продукту чи послуги», — поділився Євген Балютов. 

Щоб і надалі відповідати викликам часу, важливо наділити Інформаційну безпеку інжиніринговою функцією. Тому Райф продовжує інвестувати в людей і планує збільшити частку інженерів у команді безпеки до 75%.

Приєднатися до кіберкоманди мрії можна тут. 

Як перевести бізнес у хмару за $0 та всього за три місяці: досвід Райфу під час війни

По темi

Як перевести бізнес у хмару за $0 та всього за три місяці: досвід Райфу під час війни

«FinOps-фахівці в Україні або дуже зайняті, або їх немає». Як заощадити 1,5 млн євро завдяки оптимізації витрат

По темi

«FinOps-фахівці в Україні або дуже зайняті, або їх немає». Як заощадити 1,5 млн євро завдяки оптимізації витрат

Читайте головні IT-новини країни в нашому Telegram

По темi

Читайте головні IT-новини країни в нашому Telegram