Георгий Старостин: «мы придерживаемся политики нулевой толерантности к уязвимостям»
О том, как меняется кибермошенничество, как на него влияет развитие технологий и с какими вызовами сталкивается современная служба безопасности крупной финансовой корпорации рассказал редакции конференции «Цифровая индустрия промышленной России» («ЦИПР») Георгий Старостин, директор по информационной безопасности страховой компании «СОГАЗ».
— Насколько в целом для страховой отрасли актуальны вопросы кибербезопасности и на что вы, как ИБ, обращаете больше внимания?
— Страхование относится к финансовому сектору экономики, соответственно, вопросы сохранности чувствительной информации — персональной и финансовой — здесь очень важны. Возможно, для страхования даже больше, чем для других секторов. Клиенты доверяют нам свою защиту, поэтому они должны быть абсолютно уверены, что их данные в безопасности.
Правда, если в банках основной целью мошенников обычно выступает клиент, то в случае со страховыми компаниями, чаще речь идет о вредоносном воздействии на инфраструктуру и попытках получения информации закрытого типа. В ряде случаев злоумышленники стремятся даже не получить финансовую выгоду, а просто причинить ущерб, парализовать работу компании — временно или полностью.
Поэтому мы придаем большое значение своевременному, на максимально ранней стадии, выявлению и предотвращению любых видов атак. В целом нашу политику в сфере кибербезопасности можно описать как политику нулевой толерантности к инцидентам и уязвимостям. Это совпадает и с тем, что от нас требует регулятор.
— Проблемы мошенничества с использованием социальной инженерии для страхования тоже актуальны?
— Конечно, человеческий фактор всегда был и остается самым слабым звеном в любой системе защиты. Тут речь не только про мошенничество в отношении клиентов, но и про мошенничество в отношении сотрудников компании.
Даже если посмотреть на модель проникновения в разные компании — я говорю о тех случаях, которые известны на рынке, — только в 20% случаев преодоление злоумышленником периметра связано с эксплуатацией технических уязвимостей в онлайн-сервисах. А в 80% — причиной становится невнимательность или оплошность человека: сотрудника, подрядчика и т. д.
Кстати, в первом случае тоже нужно понимать, что, когда злоумышленник взламывает систему, он по сути взламывает образ мышления другого человека, пытается понять, где он допустил ошибки. То есть и тут есть место человеческому фактору.
— Можно ли с этим бороться?
— Бороться обязательно нужно. Не скажу ничего нового, единственный путь — постоянное обучение сотрудников, тренировки, многоэтапный контроль соблюдения процедур. Важно, чтобы такие мероприятия не становились для сотрудников частью рабочей рутины, а были вовлекающими, понятно объясняли, что у нас одна общая цель — защитить компанию, защитить клиентов.
— Какие модели мошенничества сейчас становятся более распространенными, какие, наоборот, теряют актуальность?
— Тренды на протяжении последних нескольких лет сохраняются — это DDOS-атаки и различные сценарии социальной инженерии. Меняются скорее не виды мошенничества, а способы, скорость и интенсивность атак.
Злоумышленники сегодня все активнее используют технологии искусственного интеллекта и машинного обучения, нейросети, в том числе и для социальной инженерии. Не секрет, что мошенники пользуются GPT для анализа открытых профилей в соцсетях, сравнивают их с данными различных утечек, чтобы более точно подбирать уязвимые группы пользователей.
Об этом мы как раз говорили с коллегами во время дискуссии на ЦИПРе в этом году и пришли к выводу, что в будущем компании ждет «битва ИИ против ИИ» — где умные системы защиты компании будут противостоять ИИ-взломщикам.
Соответственно, службам информационной безопасности, особенно, крупных компаний, сегодня очень важно быть более гибкими и быстрее внедрять новые подходы и технологии.
— Вы в компании уже применяете нейросетевые технологии для борьбы с мошенничеством?
— Мы проводим тесты, смотрим, насколько успешно GPT-модели могут выявлять аномалии и обнаруживать проблемы. Я считаю эти эксперименты достаточно успешными, уже сейчас мы видим, что нейросети по количеству ошибок практически не уступают «человеческой» аналитике, а по скорости анализа даже ее превосходят.
Однако на этапе реагирования без подключения специалиста пока работать нельзя. Результаты, полученные нейросетью, нужно в любом случае интерпретировать и перепроверять. То есть мы уже точно можем с помощью GРТ-моделей увеличить объем обрабатываемых данных и точность выявления аномалий, но пока финальное решение все-таки должен принимать человек.
Поэтому говорить о полноценном применении нейросетей в борьбе с кибермошенниками, наверное, пока слишком амбициозно. Скорее, нейросети являются инструментом, который позволяет повышать эффективность, находить проблемы и высвобождать интеллектуальный ресурс аналитика для их качественного решения.
— Вы говорите «пока». Значит ли это, что в будущем нейросетям можно будет делегировать и принятие решений?
— Безусловно, с каждым годом процент человеческого участия в рутинных процессах будет снижаться. Безошибочно отрабатывать типовые процессы и принимать простые решения нейросети уже могут, но им пока не хватает гибкости. Это скорее вопрос времени.
Абсолютно точно могу сказать, что прямо сейчас подразделениям кибербезопасности принципиально важно инвестировать в развитие новых технологий и осваивать новые компетенции. Любое отставание может стать критичным уже в очень близкой перспективе.
— Как такой взрывной рост технологий отразится на рынке труда? Кто сейчас более востребован в сфере кибербезопасности? Кого вы ищете?
— Однозначно, хорошие специалисты будут востребованы. А в сфере информационной безопасности всегда есть дефицит высококвалифицированных кадров, наверное, больше чем в любой другой области ИТ.
Свою модель работы мы строим по примеру других крупных технологических компаний, большое внимание уделяем практическим аспектам безопасности, а также используем гибкие подходы. Современная служба ИБ не сводится к регламентам и контролям, наша задача — помощь бизнесу, поиск решений, которые помогут компании развиваться, будут удобны и при этом обеспечат нужный уровень защиты.
Поэтому правильная мотивация команды — очень важный аспект в нашей работе. При найме мы стараемся мотивировать не только финансово, но и теми задачами, которые предстоит решать, уровнем их сложности и масштабом влияния не только на компанию, но и на всю страну.
В страховании очень много интересных задач и небанальных решений. Поэтому мы любим кросс-функциональных работников, которые умеют смотреть не только вглубь, но и вширь, которым интересно изучать разные области информационной безопасности. Я вообще считаю, что сотрудник может быть эффективен только тогда, когда занят любимым делом, получает удовольствие от результата своей работы. Поэтому при подборе в команду я в первую очередь обращаю внимание на это.