Журнал "Information Security/ Информационная безопасность" #2, 2024

в 2014 г., привела к постоянному сниже- нию маржинальности бизнеса и появле- нию устойчивого спроса на оптимизацию издержек на содержание организацион- но-управленческой структуры. Решения по организации эффективной комплекс- ной киберзащиты внешнего и внутрен- него периметра для всего капитала собственника оказывается вполне удач- ным способом наглядно продемонстри- ровать все возможности эффективного перехода к решениям оптимизации кор- поративной структуры. Наиболее уязви- мые места ИБ-периметра бизнеса как раз напрямую связаны с избыточностью и неоптимальностью его организацион- но-управленческой структуры, по сути формализуя векторы атак вэйлинга на российского VIP-клиента. В конце концов, собственник склонен недооценивать уровень киберугроз, что открывает неплохие возможности для пентестинга внешнего периметра биз- неса с последующим переосмыслением его составных частей. И первый шаг для банкира здесь очевиден: необходимо найти в лице собственника партнера, который будет заинтересован в прове- дении оптимизации корпоративной структуры для выстраивания системы эффективной кибербезопасности. При- влечь для этого более специализиро- ванных внешних контрагентов из сферы ИБ Private Banking вполне способен, что он уже неоднократно демонстрировал ранее на примере не менее сложных задач по оптимизации, требующих высо- кой степени доверия со стороны собст- венника. Заметим, что этот вполне приемлемый маркетинговый ход позволяет усилить доверие, чтобы в дальнейшем предло- жить собственнику решение потенци- ально более интересных и перспектив- ных задач обеспечения тех же прав наследования, проведения правильной подготовки бизнеса к продаже и т.п. В конце концов, на частной и узкой задаче клиенту удалось продемонстри- ровать не столько возможности банка в построении для него системы ИБ, сколько то, что Private Banking может в дальнейшем так же успешно зани- маться и оптимизацией корпоративной структуры бизнеса клиента. Поэтому напрашивается второй шаг со стороны банкира, который вполне обоснованно претендует на роль основ- ного провайдера долгосрочных услуг по такой оптимизации, которая и под- разумевается в рамках этих насущных задач. Тем самым качественно усили- вается лояльность текущих VIP-клиен- тов к их нынешнему подразделению Private Banking, причем последнее полу- чает неплохой шанс привлечь на после- дующее полное обслуживание и новых VIP-клиентов, продемонстрировав, что на этих-то задачах уже кто-то вполне может эффективно заменить их основ- ной банк. Российский Private Banking – драйвер защиты от вэйлинга, спасибо ИИ! Неудивительно, что наработки Private Banking сразу стали востребован- ными. При этом конкурент- ное преимущество полу- чили в основном средние и нишевые российские банки. Они все время ста- рались хоть как-то выде- литься на фоне крупных, получив почти решающее преимущество на ИБ-про- дуктах. Ведь крупные банки часто предпочитали более традиционный кон- сервативный подход в обслуживании и привлече- нии клиентов, не рискуя связываться хотя и с прорывными, но не до конца отработанными клиентскими технологиями! Более того, именно сред- ние и нишевые банки, не располагая значительными средствами на внедрение новых технологий, смогли найти еще один прорывной сегмент, в котором низ- кий порог входа обеспечил им прекрас- ные стартовые условия, в том числе и для понимания того, в каком именно направлении фишинг (и более продвину- тый вэйлинг) будет усложняться и совер- шенствоваться хакерами – искусственный интеллект, машинное обучение. Весна 2023 г. ознаменовалась взрыв- ным ростом популярности чат-ботов, которые уже к осени того же года стали использоваться практически повсемест- но. Про ChatGPT тогда услышали все. В Private Banking наглядность и вовлече- ние оказались еще выше, тем более что кто-то из VIP-клиентов это уже успел попробовать сам или ему что-то подоб- ное продемонстрировали в других пред- метных областях. Ничего нового для Private Banking, впрочем, не появилось: всего лишь заме- на одной методики другой. К осени про- шлого года, когда у Сбера и Яндекса появились отечественные аналоги GPT- чатов, злоумышленники научились использовать продвинутые дипфейки. При этом не просто пересылается письмо от имени VIP-клиента с его аватаркой, а генерируется аудио- или даже видео- звонок с похожим изображением и голо- сом с подмененного номера телефона. Теперь риски такой атаки для клиента стали более существенны. Ведь она может быть осуществлена простыми и доступными способами. И все это наглядно можно продемонстрировать на вполне понятных для клиента действиях, не слишком сильно залезая в дебри терминологии и ИБ-технологии, как тре- бовалось раньше! Опыт Private Banking, накопленный за годы противодействий фишингу и соци- альной инженерии, оказался как нельзя кстати: нужно лишь правильно подгото- виться и заранее выявить потенциальные уязвимости, типичные для конкретного VIP-клиента, чтобы затем продемонстри- ровать их как очевидные и легко выявляемые! И в результате VIP-клиенту становится уже не так просто игнорировать риски ИБ, непосредственно связанные с его корпоративной структурой, – эффектив- но минимизировать их может лишь под- разделение Private Banking! Причем бан- киры готовы сделать и следующий шаг – постараться тиражировать этот опыт на малый и средний бизнес (МСБ), на кото- ром выстроена корпоративная структура VIP-клиента. И в дальнейшей эволюции таких про- даж на МСБ снова востребован опыт Private Banking. Надо только на первых порах вместе с менеджером-продавцом корпоративного блока посадить персо- нального менеджера Private Banking, пока не сможет перенять опыт. Или без- опасника, но снова из Private Banking, который к тому же умеет донести свою мысль до клиента правильно, в понятных терминах. Ну и точно рядом не должен сидеть банковский безопасник или пред- ставитель вендора – их еще надо учить таким тонким приемам. Тем более не годятся небанковский специалист по ИИ, небанковский аналитик или ИТ- джун, которые в хайповых технологиях разбираются лучше всех! И тогда остается всего один шаг до предложения апробированных техноло- гий Private Banking в области ИБ другим целевым банковским клиентам – МСБ и менее состоятельной рознице. Именно это сейчас начинают реализовывать отдельные средние и нишевые россий- ские банки, просто обязанные в нынеш- них условиях быть адаптивными к новым перспективным технологиям. l • 67 УПРАВЛЕНИЕ www.itsec.ru Ваше мнение и вопросы присылайте по адресу is@groteck.ru