01.03.2017
Источник:
Futurebanking
Убытки банков в результате информационных атак за последние несколько лет превысили 1,5 трлн рублей. PR-директор Национального рейтингового агентства Антон Запольский в колонке для FutureBanking рассказывает, как изменился характер этих атак, и почему принцип «деньги любят тишину» больше не работает.
Последние 4 года ознаменовались для банков двумя вроде бы не связанными между собой тенденциями. С одной стороны, ускорился уход банков в цифровые каналы и дистанционные сервисы, с другой – начался болезненный и масштабный процесс очистки рынка от слабых и недобросовестных игроков мегарегулятором. Будучи формально не связанными между собой, вместе они стали причиной появления феномена фатальных информационных атак на банки, с которыми банковский сектор до этого никогда не сталкивался.
Возможность с помощью дистанционных сервисов, не вставая с дивана, переводить деньги со счета на счет вкупе с рекордным числом банкоматов на душу населения сделали банки критично уязвимыми к панике клиентов и оттоку ликвидности. Именно большое число виртуальных каналов вывода средств по клиентским счетам стало одной из причин такого сильного оттока средств клиентов Сбербанка в 2014 году: «Из нас стали выносить деньги через все мыслимые наши устройства, через наши физические отделения и наши банкоматы. Никогда в дурном сне мы не могли себе представить, что это возможно…», – говорил об этой информационной атаке Герман Греф.
С другой стороны, с началом активной фазы зачистки банковского рынка информационный фон заполнился жестким негативом в отношении банков в целом, тревожность клиентов кратно повысилась, а частота негативных событий, таких как отзывы лицензии у крупных банков, вышла на беспрецедентный уровень. Большинству самых крупных информационных атак на банки, как правило, предшествовало другое масштабное негативное событие, потому что именно в ситуации коллапса крупного банка и, соответственно, роста тревожности всех банковских клиентов информационная атака достигает максимального эффекта.
С 2013 года было зафиксировано 17 подтвержденных самими банками крупных информационных атак, в результате которых совокупные оттоки средств клиентов превысили 1,5 трлн рублей. Было зафиксировано две масштабных атаки на региональные финансовые системы (Урал, 2013 г., Татарстан, 2016 г.). По статистике в течение недели после начала подобных атак клиенты буквально выносили от 3% до 25% всех банковских пассивов на десятки миллиардов рублей. В итоге около четверти атакованных банков не пережили данные информационные кризисы и лишились лицензий или начали процедуру санации. Возможно, многие из них и так были обречены, а инфоатака только ускорила их коллапс, но несмотря на это, для всех прочих банков риски потери ликвидности в связи с негативным информационным фоном кратно возросли.
Классическая атака на банк всегда начиналась с публикации в СМИ, но если раньше под СМИ мы понимали конкретное издание или телеканал, имеющие доступ к ограниченным и дорогостоящим каналам дистрибуции новостей, то сегодня средствами массовой информации уже фактически стали отдельные технологические платформы с сервисом обмена сообщениями для любого желающего (мессенджеры), а сам процесс распространения информации стал сетецентричным и перешел из публичного поля в приватную зону личного общения пользователей этого сервиса. Если раньше «вброс» в информационное поле можно было отследить по точкам входа на конкретных медиаресурсах, то теперь эта сфера перешла в зону приватного общения пользователей в мессенджерах и больше не поддается внешнему контролю и воздействию. Раньше можно было «снять» публикацию с клеветой, апеллируя к закону о СМИ или нормам журналистской этики, но сегодня невозможно «снять» сообщение с клеветой в мессенджере, до последнего момента его нельзя будет даже обнаружить.
Кардинально изменился и сам процесс дистрибуции: если раньше это был линейный последовательный путь от журналиста к редактору, от редактора в верстку, от верстки в печать и доставку, то сейчас процесс сжался до двух звеньев – пользователя и поля набора текста. Дистрибуция через новые каналы превратилась в подобие инфицирования вирусом, когда несколько сообщений единичных пользователей начинают по цепочке передаваться другими пользователями, увеличивая аудиторию сообщения в геометрической прогрессии.
Для создания и тиражирования новостей теперь не нужен единый авторитетный источник. Достижение гарантированного и массового «заражения» теперь обеспечивается использованием бот-ферм, баз данных пользователей мессенджеров, с помощью которых делаются вирусные рассылки. С помощью этого инструментария сообщение разлетается по всему региону в течение нескольких часов, охватывая многомиллионную аудиторию. Более того, сообщение перетекает в другие сервисы и соцсети с помощью «лайков» и «репостов», попадает в блоги и аккаунты популярных «лидеров мнений», а оттуда – на страницы классических СМИ, после чего уже второй этап «посева» вирусной информации по второму кругу снова заходит в соцсети и мессенджеры. Таким образом, шанс на то, что человек увидит одно и то же сообщение из трёх и более источников увеличивается в разы. А в этом случае вероятность совершения человеком необдуманных и поспешных действий под влиянием негативного информационного фона также увеличивается. Именно с такой схемой провоцирования массовой паники клиентов столкнулись уральские банки в декабре 2013 года, Сбербанк в 2014 г., Альфа-Банк в 2015 г., в 2016 снова Сбербанк (октябрь-ноябрь) и банки Татарстана (декабрь).
В самой масштабной информационной атаке на Сбербанк в декабре 2014 года участвовало около 1000 фейковых аккаунтов в социальных сетях, которые целенаправленно обрабатывали более 2000 точек вброса информации (группы и страницы банка в социальных сетях, городские сайты, банковские и потребительские онлайн форумы). Посев вирусной информации сопровождался двумя волнами смс-рассылок, которые затронули более 1 миллиона клиентов банка. В данной инфоатаке совершенно не использовались редакции обычных в т.ч. цифровых СМИ, потому что они уже не играют ключевой роли – после достижения первого вирусного эффекта дезинформация самостоятельно проникает на страницы СМИ в виде новостей «о проблемах со снятием наличных в банкоматах» или «о проблемах с наличными в отделениях».
Нередко в последнее время информационная атака через мессенджеры и социальные сети сопровождается кибератаками на сайты и IT-инфраструктуру банков. Чаще всего используются DDoS-атаки на банковские серверы с целью вывода из строя платежной инфраструктуры для подкрепления информационных вбросов про проблемы банка и невозможность проведения операций по счетам. По данным подразделения Банка России по противодействию киберугрозам Fincert, количество кибератак на российские банки в 2016 году выросло именно во второй половине года, когда были также зафиксированы и крупнейшие информационные атаки. «В ноябре прошлого года были атакованы веб-сайты восьми организаций, в том числе Центрального банка. Целью атак было нарушение работы сервисов и, как следствие, подрыв доверия к этим организациям», – сообщил 14 февраля в интервью РБК замначальника главного управления безопасности и защиты информации Банка России Артем Сычев.
Большинство банкиров до сих пор не могут привыкнуть к тому, что банк сегодня – это фактически медийная структура, а деньги больше не любят тишину, потому что клиенты неумолимо выходят в виртуальное пространство, где сразу попадают под влияние огромного числа информационных ресурсов и агентов влияния. Новостной поток современного банка и объем публикуемой им информации в целом делают его полноценным медиаресурсом, а банковские сайты уже генерируют трафик пользователей, как крупные СМИ. Скорость и оборачиваемость денег в розничных банковских структурах сегодня напрямую зависят от активности клиентов в дистанционных сервисах, поэтому всемирный тренд развития банковского сектора нацелен именно на рост комиссионных доходов, а они напрямую зависят от траффика клиентов и объема платежей и переводов.
Однако извлекая прибыль от роста оборотов по клиентским счетам в цифровых каналах, банк должен быть готов к реализации рисков, которые несет с собой диджитализация. Все более ужесточающиеся требования к раскрытию информации вместе с нестабильным и гиперчувствительным медиаполем вокруг банка делают его крайне уязвимым к негативным новостям и информационным атакам. Целый перечень позиций по публичному раскрытию информации сегодня несет для банка серьезные информационные риски: ежемесячная отчетность по 101 и 102 форме, отчетность по МСФО, инсайдерская информация Банка России по ПОД/ФТ, решения Банка России в отношении участников финансового рынка, раскрытие информации биржей в отношении эмитентов (операции РЕПО, обязательства по облигационным выпускам), информация о публичных кредитных рейтингах, информация о действиях по взысканию долга и пр. Каждое из этих сообщений может быть негативно интерпретировано и использовано против банка в ходе информационной атаки. И если раньше последствия применения «черного пиара» для банка выражались в громких штурмах банковских отделений, то сегодня это происходит тихо по всей стране через мобильные и интернет-банки под шелест пальцев по экранам смартфонов и планшетов.
