Киберспециалисты Райфа сохранили клиентам 90 млн грн. Как работает киберподразделение банка, защищающее средства клиентов от краж

Евгений Балютов и его команда

Сам Евгений называет себя наполовину специалистом по IT-безопасности, наполовину — специалистом по информационной безопасности. В его рабочей биографии есть такие страницы, как защита информации на госслужбе, работа в банковской, фармацевтической, гемблинговой, IT сферах и телекоммуникациях.

Сейчас в Райфе Евгений отвечает за защиту информации и данных в банке, занимается безопасностью клиентских сервисов и руководит командой из киберспециалистов, покрывающих направления собственно ИТ безопасности инфраструктуры и рабочих станций, непрерывности бизнеса, конфиденциальности данных, противодействия электронному мошенничеству и безопасной разработке продуктов банка.

В департаменте кибербезопасности сейчас работают 55 специалистов и открыто еще 13 вакансий. «Команда очень большая, и она занимается всем. Если нужно что-то создать, мы быстро сели, написали код», — директор по информационной безопасности Райффайзен Банка.

А вот неполный перечень задач, стоящих перед киберсамураями Райфа:

• управление ИТ рисками;
• описание требований безопасности в продуктах и ​​системах разрабатываемых;
• аналитика безопасности при развертывании инфраструктуры под продукт;
• проверка кода;
• обеспечение безопасности инфраструктуры в облаке;
• пен-тесты банковских продуктов;
• автоматизация функции сохранности;
• обучение работников;
• обеспечение непрерывности бизнес-процессов;
• проверка транзакций пользователей с помощью моделей machine learning, чтобы оценить вероятность мошенничества и предупредить его.

Киберсамураи на страже безопасности

Система информационной безопасности банка функционирует в двух направлениях. Во-первых, специалисты должны уметь предотвращать киберугрозы. Во-вторых ― реагировать на возможные угрозы или инциденты, которые имели место. Именно поэтому работа киберспециалиста присутствует на каждом этапе разработки нового продукта от старта до этапа доставки готового продукта к пользователю.

Киберспециалисты в финучреждении разделены на три команды, работающие по отдельным направлениям. Среди них:

1. Security Management — ​​измерение эффективности функций безопасности, соответствие комплаенса, отчетность по показателям, обучение работников и клиентов, мониторинг информационной безопасности и противодействие электронному мошенничеству, а также реализация непрерывности бизнеса и конфиденциальности данных.
2. IT Security Engineering ― безопасность облачной и наземной IT-инфраструктуры банка, защита рабочих станций, серверов, корпоративной сети, управление доступами, администрируют все инструменты безопасности, начиная от EDR-системы (защита конечных точек) до систем противодействия DDoS-атакам и защиты приложений.
3. Product Security. Это команда, которая проводит тесты на проникновение для банковских приложений и ИТ-инфраструктуры, устанавливает требования по безопасности к приложениям, разрабатываемым внутри банка или закупаемым. Кроме того, команда отвечает за реализацию DevSecOps-функций — автоматизирует процесс проверки требований безопасности для новых IT-продуктов.

Еще до начала полномасштабного вторжения райфовские специалисты фиксировали повышенную активность по попыткам атаковать ресурсы банка. В частности, увеличилось количество DDos-атак, а также атак с разными векторами из-за отправки электронных писем работникам банка. Все такие попытки были предотвращены, ни клиенты, ни работники не почувствовали никаких признаков атак на банк.

Кроме того, с началом полномасштабного вторжения количество случаев электронного мошенничества значительно выросло. Обычно мошенники используют методы, которые специалисты называют социальной инженерией, а попросту вводят в заблуждение отдельных клиентов из-за их невысокого уровня финансовой грамотности для получения необходимых данных аутентификации и последующего осуществления операций от имени клиента. Мошенники быстро адаптировались и нашли новые темы, очень болезненные для всех украинцев: война, смена места жительства, финансовая помощь.

Фрод и борьба с ним

Пока в банке говорят, что мошеннические действия со счетами клиентов происходят в основном с частными лицами. «Уровень мошенничества с юридическими лицами находится на минимальном уровне», — говорит Балютов. Определяют вероятность мошеннических действий со счетами клиентов с помощью моделей статистического анализа и прогноза, а также нейросетей.

Есть несколько моделей обнаружения признаков мошенничества в онлайн-банкинге. К примеру, начиная с этапа доступа клиента к собственному кабинету проводится анализ многих метрик и индикаторов, характеризующих поведение клиента при работе в онлайн-банкинге.

Также антифрод-модели анализируют все операции клиента, например, изменение финансового номера, изменение лимитов по карте и, безусловно, каждую транзакцию клиентов.

По сути, это модель машинного обучения, которая создает определенный профайл клиента, анализирует набор индикаторов на соответствие профайлу и замечает те операции, которые не присущи определенному клиенту.

Таким образом, для каждой операции определяется риск-рейтинг, на основании которого принимается решение останавливать транзакции или упустить. Далее модель инициирует коммуникацию оператора информационного центра с клиентом, чтобы проверить действительность инициированной операции и в определенных случаях предупредить его о возможной угрозе.

«Мы стремимся к тому, чтобы соотношение предупреждения и реакции составляло 80% на 20%», ― говорит Евгений. Он вспоминает, как в мае команде удалось сохранить клиентам 35 млн гривен, при этом эффективность работы составила 94%. Это, кстати, очень высокий показатель по рынку. «В остальных 6% случаев клиенты очень настойчиво хотели отдать свои средства мошенникам, когда сознательно игнорировали неоднократные предупреждения от банка, топорную работу мошенников и явно подозрительную активность», — шутит Балютов.

«Проблема в том, что люди не обращают внимания на очевидные вещи. Каждое SMS или PUSH-сообщение от банка формируется под определенную операцию, и нужно обращать внимание, что написано в сообщении. Именно в этом кейсе клиент вроде бы вводил код-подтверждение, чтобы зайти в Raiffeisen Online на фейковом сайте, а на самом деле подтверждал мошенникам операции на перевод средств», ― говорит Евгений.

Для достижения эффективности противодействия мошенничеству более 90% в банке применяют три составляющие.

1. Исключительно техническое решение — это система, которая умеет до сих пор реализовывать работу с моделями, правилами.
2. Понимание того, кто здесь твой клиент, как он живет, какая у него обычная дневная активность, и создание под него некоего профайла.
3. Экспертиза команды и понимание команды. Когда мошенники, занимающиеся фродом, находят возможность обмануть людей через геппы в технической реализации, киберспециалисты начинают играть с ними в игру «Кто умнее?» «Обычно их хватает в неделю. Было раз, их хватило на месяц, а потом мы все раскрыли», ― говорит Балютов.

Наиболее распространенные схемы банковского мошенничества и методы борьбы с ними

Каждый второй украинец хотя бы раз становился жертвой интернет-мошенничества. При этом жертвой может стать кто угодно. По нашей статистике, наиболее уязвимая аудитория электронного мошенничества, как ни странно, люди 30–40 лет.

Ранее достаточно распространенным методом было мошенничество по телефону, когда мошенники звонят на случайные номера и от имени «службы безопасности банка» или «финансового мониторинга банка» под предлогом блокирования карт, счетов, помощи и т. п. получают необходимые данные для получения доступа к онлайн-банку клиента и совершение операции. В 2023 году резко выросло мошенничества из-за фишинговых сайтов. Для сравнения, за 9 месяцев этого года мы уже заблокировали более 350 фишинговых сайтов, в 2022 году — около 200, в 2021 году цифра была гораздо меньше — 15 сайтов.

Сейчас в основном мошенники спекулируют на теме войны, беженцев и получения финансовой помощи от разных организаций. За последний год в социальных сетях массово распространялись сообщения с возможностью получить дополнительные средства от ООН или правительства — и многие украинцы на это «велись».

Киберграмотность и безопасность для своих

Кроме предотвращения внешних угроз и предвидения действий мошенников в банке, особое внимание уделяют тому, чтобы сами 5300 работников банка не стали жертвами мошеннических схем. Поэтому в Райфе действует многоуровневая программа для работников по осведомленности в вопросах информационной безопасности — Raiffeisen Awareness Security Program (RASP).

Евгений объясняет: RASP включает в себя элементы геймификации с ачивками, грейдами, призами, обучающим видеоконтентом, тренингами, а также системой оценки уровня знаний.

В ближайшие несколько месяцев RASP планируют сделать доступным для украинцев на разных платформах во всех возможных форматах — от YouTube до TikTok и Reels. Это один из продуктов, которые мы разрабатываем внутри, с помощью которого мы хотим повысить уровень знаний украинцев, чтобы они были более защищены от кибератак и фрода. Мы будем пытаться стать точкой экспертизы в инфополе Украины по теме security», ― рассказывает Евгений.

Экспертность киберкоманды Райфа есспорна: еще с весны 2021 года специалисты банка обработали 75% всех возможных кризисных сценариев, которые могли бы повлиять на сервисы для клиентов. Еще 25% дорабатывалось с осени до 24 февраля 2022 года. В банке заранее подготовились к блекаутам, потере офисных помещений, киберугрозам, в частности, взлому инфраструктуры, недоступности ИТ-сервисов, повреждению или недоступности дата центров в результате кибератак или отсутствия энергоснабжения и т. д.

Накануне полномасштабного вторжения после кибератак на сайты госорганов и учреждений киберкоманда под руководством Евгения круглосуточно работала над Cybersecurity Emergency Roadmap. Благодаря большой предыдущей работе, даже во время самых жестких моментов полномасштабного вторжения, 3 миллиона клиентов Райфа имели доступ к своим средствам и сервисам банка в режиме 24/7.

Безопасность 24/7

По словам Балютова, мониторинг безопасности в Райфе работает 24/7, и теперь специалисты нередко наблюдают внешние попытки сделать сервисы банка недоступными или проникнуть в инфраструктуру финучреждения.

Райф является объектом критической инфраструктуры Украины, кибератаки на банки такого уровня могут иметь достаточно болезненные последствия для экономики. Именно поэтому безопасность представляет собой стратегическую ценность Райфа. «Мы создаем кибериммунитет нашей инфраструктуры с многоуровневой защитой таким образом, чтобы атака на нее требовала задействования несоразмерных ресурсов. А внедрением инструментов SSDLC, автоматизированного security-тестирования в рамках CI/CD, мы фактически встраиваем безопасность в ДНК любого продукта или услуги», — поделился Евгений Балютов.

Чтобы и дальше отвечать вызовам времени, важно наделить Информационную безопасность инжиниринговой функцией. Поэтому Райф продолжает инвестировать в людей и планирует увеличить долю инженеров в команде безопасности до 75%.

Присоединиться к киберкоманде мечты можно здесь.

Как перевести бизнес в облако за $0 и всего за три месяца: опыт Райфа во время войны

По теме

Как перевести бизнес в облако за $0 и всего за три месяца: опыт Райфа во время войны

«FinOps-специалисты в Украине либо очень заняты, либо их нет». Как сэкономить 1,5 млн евро благодаря оптимизации расходов

По теме

«FinOps-специалисты в Украине либо очень заняты, либо их нет». Как сэкономить 1,5 млн евро благодаря оптимизации расходов

Читайте главные IT-новости страны в нашем Telegram

По теме

Читайте главные IT-новости страны в нашем Telegram