Аналитика и комментарии

29 ноября 2023

Сергей ВЕЛЬЦ, ТехноСкор: Как организуется безопасность и удобство BNPL сервисов

Национальный банковский журнал (NBJ) публикует ключевые фрагменты интервью с техническим директором и соучредителем  ООО «КБ ТехноСкор» Сергеем ВЕЛЬЦЕМ, которое он дал главному редактору Cyber Media Валерию ИВАНОВУ. Сергей рассказал нашим коллегам о российском финтехе, что, на его взгляд, актуально и интересно как для специалистов банка, так и для пользователей финансовых услуг.

В. ИВАНОВ: Сергей, первый вопрос о финтехе как в целом о чем-то жизненном, повседневном. Чем отличаются российские практики от зарубежных? Есть ли какая-то специфика?

С. ВЕЛЬЦ: Конечно, есть много сходства. Например, сейчас на всех рынках активно появляются цифровые банки. Развиваются так называемые встроенные финансы, Embedded Finance. Активно выходят на рынок такие новые продукты, как рассрочки BNPL и разные программы, связанные с начислением баллов, лояльностью.

С продуктовой точки зрения, везде все похоже – и если смотреть на макротренды – тоже много общего: это развитие систем быстрых платежей – СБП, и открытых API обмена данными. Конечно, разные рынки находятся в разных стадиях, в чем-то один опережает, в чем-то другой.

Есть технологии, где Россия сильно впереди. Например, СБП у нас работает гораздо лучше, нежели европейские Faster Payment. И вообще российский рынок финтеха – большой и достаточно продвинутый технологически.

Еще совсем недавно это было хорошо для российских технологических компаний. Потому что в России можно было стартовать. И, используя эту базу с точки зрения бизнес-продукта и технологии, выходить на другие рынки. Например, в Европу. Так, мы активно работали в Великобритании. Это помогало нам развиваться. Сейчас, конечно, многое меняется, но общий принцип, надеюсь, останется прежним.

А если говорить про отличия, их тоже хватает. И, наверное, прежде всего с точки зрения информационной безопасности. Потому что в России довольно много нашей отечественной специфики. Как регуляторной, так и с точки зрения технологии, криптографии. Но это уже отдельный вопрос.

В. ИВАНОВ: Многие эксперты, говоря об отличиях в эксплуатации со стороны условного банка, отмечают одно из преимуществ – отсутствие или меньшее количество Legacy. Наследие меньшей кодовой базы у российских решений, чем у британских банков.

С. ВЕЛЬЦ: Да, это правда. У нас всё активно начало развиваться с начала 2000-х годов. И мы смогли сразу использовать хорошие практики и хорошие технологии. Это и есть одна из причин, почему российские банки, российский финтех очень классные. И с точки зрения продуктов тоже.

Если вы попробуете воспользоваться европейским или ближневосточным мобильным или интернет-банком, то вы ощутите огромную разницу с тем, что предлагают клиентам наши банки.

Отдельно отмечу: у нас мало Legacy, но в то же время есть чем воспользоваться. Если посмотреть на регуляцию, то она на разных рынках во многом похожа. Если говорить про общие принципы защиты информации и противодействия мошенничеству, здесь тоже очень много схожего. Вот поэтому да – это важная причина.

Вторая причина в том, что у нас в стране очень хороший человеческий капитал. Талантливые специалисты, хорошие инженеры. А мы часто как-то себя недооцениваем и стесняемся.

В качестве примера расскажу одну историю. В далеком 2015 году мы приехали в акселератор стартапов Boot Сamp Fintech  в Лондон. Там из 400 стартапов отбирали всего 10.

Из полсотни стартапов, которые приехали в научный отбор, российских было, наверное, четыре-пять. И мы одни из них. Удивило то, что уровень стартапов, который мы увидели, был ну точно не лучше тех, что мы наблюдаем у себя.

То есть многие российские стартапы при желании, тоже могли бы поехать, войти в акселератор, и сразу начать делать бизнес в Великобритании. Но, может быть, они постеснялись тогда, может себя недооценивали. А, может быть, у них есть хрустальный шар, они видели, что будет спустя восемь лет, и уже тогда решили: нет, мы лучше дома будем работать.

В. ИВАНОВ: Лучше идти в большой мир или остаться дома? Это всегда выбор с неочевидными последствиями. С точки зрения кибербезопасности в российских и зарубежных практиках, вы сказали, много общего в части регуляторики, например. Можно говорить, что проблемы у финтеха России, в Европе или где угодно примерно одни и те же. И в чем тогда особенности?

С. ВЕЛЬЦ: Эти особенности можно разделить на несколько частей.

Во-первых, это разные угрозы, разные приоритеты. Для России актуальны достаточно сложные целевые атаки. Это связано с моделью нарушителя и теми, кто нам противостоит.

Для европейского банка мощная DDoS-атака или какая-то целенаправленная история – это вещь более экзотическая.

Во-вторых, если говорить про мошенничество – это социальная инженерия и телефонное мошенничество. В Европе это тоже есть, и в последние два года операции без согласия клиентов фиксируются все чаще.

Мы же с переменным успехом боремся с этим злом уже много лет. И могли бы какими-то наработками поделиться с коллегами из Европы, если бы они, конечно, захотели. Это, наверное, второе большое отличие.

На социальную инженерию переключаются, когда другие векторы атак уже закрыты, и когда человек становится самым слабым звеном. Если есть уязвимости в мобильном банке, то кому-то проще использовать именно их. А кому-то без технических навыков проще атаковать людей.

В целом в России технических уязвимостей стало меньше. Но есть причины организационного характера, почему у нас сложнее бороться с телефонным мошенничеством. Надо учитывать и культурные особенности.

Ближний Восток и Европа – это лоскутное одеяло с точки зрения языков, культур, наречий. Из-за разнообразия родных языков, акцентов, диалектов мошеннику сложнее втереться в доверие к клиенту.

А у нас, несмотря на то, что страна большая и людей много, все говорят на одном языке. И это – социальная причина.

Еще есть своя специфика с регуляцией работы в сфере информационной безопасности, работы с персональными данными, с криптографией. Наша отечественная криптография имеет яркое отличие, которое бросается в глаза, когда начинаешь копать глубже: начинаешь работать уже с конфиденциальной информацией, с персональными данными, с банковской тайной. И не работать с теми данными, которые ты защищаешь – это сложно.

В. ИВАНОВ: Вы затронули социальный аспект. А как вышло, что у нас «скамить» людей начали уже давно, а в Европе об этом заговорили, по Вашим словам, пару лет назад? Мне с трудом верится, что уровень осведомленности, технической грамотности условной бабушки из Италии ниже грамотности бабушки из условного Тамбова.

С. ВЕЛЬЦ: Во-первых, это связано с развитием удаленных банковских каналов обслуживания. В России это гораздо более развито, а значит и есть что или кого атаковать.

К примеру, в России можно взять кредит онлайн, следовательно, можно заставить человека взять кредит, и тут же эти деньги украсть. В Европе – попробуй возьми такой кредит.

Второе – там же мобильные приложения, интернет-банки проще, у них меньше функций. Простота – это достоинство. Чем проще, тем в общем-то безопаснее и надежней.

Третье – насчет социальных аспектов сложно сказать. Потому что люди везде похожи. Европейские СМИ также пишут о том, что какого-нибудь немецкого пенсионера или шахтера обворовали.

При этом там вектор атаки будет довольно простой, который в России уже и не встретишь. Например, пока карточку доставляли, кто-то подсмотрел пин-код и, используя его, украл деньги с пенсионного счета.

В России такое уже редко встретишь, потому что все более надежно защищено.

Динамику этого процесса сравнивать сложно. Наверное, в Европе стали активнее развиваться удаленные каналы обслуживания, поэтому и атаковать стали чаще.

С точки зрения защищенности банков полезно посмотреть на структуру банковского рынка в России. У нас он устроен довольно специфически. Есть несколько крупных банков, которые хорошо защищены и способны отражать даже массированные атаки без ущерба для клиентов. И есть много кредитных организаций поменьше, которые защищены, скажем так, по-разному.

В Европе все более равномерно. Там нельзя сказать, что есть 3-4 доминирующих игрока. Достаточно крупных банков в Европе довольно много – пара десятков. Есть и региональные середнячки. У них с одной стороны и клиентов достаточно, но, с другой стороны не сказать, что это сильно продвинутые банки. И уж точно их сложно назвать цифровыми. Это, наверное, тоже одна из причин. Хотя, если говорить про крупные, глобальные банки, там с точки зрения информационной безопасности все весьма неплохо. И нам у них есть чему поучиться.

В. ИВАНОВ: Вы упомянули о простоте и насыщенности российского финтеха услугами, которые подходят той или иной категории населения, ориентированными на определенную клиентскую базу. А какие новые услуги актуальны сейчас, что востребовано, какие направления развиваются?

С. ВЕЛЬЦ: Тут я могу говорить с точки зрения информационной безопасности и предотвращения мошенничества – кибербезопасности.

Из того, что активно развивается, и приходится защищать, это, во-первых, СБП – система быстрых платежей. Тут есть и регуляторные причины, и то, что сервисы активно развиваются. Это и переводы по QR-кодам, и переводы по телефонам, и оплаты. Такие сервисы нужны рынку, и к нам приходят банки с просьбой помочь с этим. Действительно это удобно. Ну и защищать это тоже нужно.

Наши коллеги из Национальной системы платежных карт (НСПК) многое делают, чтобы обеспечить безопасность экосистемы, запускают полезные информационные сервисы. Ну а наша задача – помочь работать с данными внутри банка, использовать данные НСПК. Плюс мы дополняем эту историю с точки зрения сессионного мониторинга. Мы позволяем лучше мониторить интернет-банки, мобильные банки.

Несмотря на то, что СБП активно развивается, система защиты и система антифрода должны быть кросс-канальными. Какой бы ни была защита в рамках СБП и НСПК, все равно нужно связывать это воедино с другими каналами. Это та часть задачи, которой мы и занимаемся.

Второй продукт или набор продуктов, который развивается последние пару лет, особенно активно последний год – это все, что связанно с рассрочкой платежей. Кроме того, что существующие игроки быстро растут, на рынок выходят и новые.

Здесь тоже хватает своей специфики. Потому что в отличие от так называемого традиционного онлайн-кредитования, рассрочки онлайн требуют гораздо меньше данных для принятия решений. Часто кроме номера телефона человека, который хочет что-то купить, ничего не надо. Нет паспортных данных, клиента не проверить в бюро кредитных историй или по каким-то другим базам. При этом решение нужно принимать оперативно, здесь и сейчас, пока человек хочет совершить покупку. Этот блок продуктов активно развивается. И это нужно тоже защищать.

Чуть раньше активно развивались два других продукта, электронные кошельки и программы лояльности. Сейчас этот рынок стабилизировался, но проблемы в сфере информационной безопасности по-прежнему есть. Это всякие накрутки баллов лояльности, кешбэков, профессиональные покупатели, перекупщики.

Если у физлиц есть проблемы с платежеспособностью, они начинают искать разные возможности как сэкономить, что не является преступлением. Но иногда в отчаянии  люди переходят границы дозволенного, и ситуация становится более напряженная. Ее обязательно надо отслеживать.

Это то, что касается развития финтеховских продуктов.

В. ИВАНОВ: С некоторой периодичностью и сейчас появляются истории о том, что у кого-то на карте обнаружился миллион баллов от какой-нибудь сети супермаркетов.

С. ВЕЛЬЦ: Я могу рассказать байку про миллион баллов лояльности.

В 2016 или 17-ом году мы поехали в Малайзию, в Куала-Лумпур продавать антифрод. Это была одна из авиакомпаний, и у нас был трехдневный воркшоп, где мы описывали, как при анализе данных можно обнаружить всякие любопытные факты. В пилотном проекте мы успели проанализировать и найти, как нам показалось, очень интересные аномалии. Мы их озвучили в рамках воркшопа, но продажи не случилось. Потому что после воркшопа выяснилось, что эти баллы были накручены топ-менеджментом заказчика. У заказчика прошли крупные кадровые изменения, и им уже было не до подписания договора. Вот такая забавная история про то, как можно неудачно провести пилот, при этом хорошо сделав свою работу.

В. ИВАНОВ: Жванецкий как-то сказал «что охраняем, то и имеем». Случаются иногда очень забавные истории. Хотелось бы услышать, как организуется защита BNPL-сервисов. Вы упомянули, что решение нужно принять быстро и в условиях дефицита информации. Складываются как будто бы идеальные условия для злоумышленников, чтобы придумывать бесконечные схемы, как оформить рассрочку на ничего не подозревающего человека.

С. ВЕЛЬЦ: Благо, количество схем злоумышленников конечно. И злоумышленники в своей массе особой фантазией и технической компетенцией не отличаются. Не очень продвинутые злодеи доставляют не так много проблем после того, как предпринимаются определенные меры безопасности. В таком случае борьба с ними сходит на нет. Но остается очень увлекательная борьба с профессиональными организованными группами.

В защите рассрочки имеют значение два важных компонента. Вообще, любой скоринг и защита – про данные и умение принимать решения. Чем больше данных, чем они лучше и быстрее, тем лучшие решения можно принимать.

Затем уже можно заниматься машинным обучением, скорингом и т. п. Сначала же нужно решить проблему с данными. Ее мы помогаем решить комплексно. Во-первых, мы даем коллегам возможность делать сессионный мониторинг. С его помощью собираются цифровые отпечатки устройств и поведения человека в этих условиях. Как человек делает заказы, как он касается экрана, как он двигает мышкой. Определяется, это живой человек или какой-то бот. Если это живой человек, насколько его поведение ассоциируется с поведением  нормального покупателя.

Потому что нормальный человек, он либо хочет совершить покупку и к ней стремится, либо наоборот. Он как-то сомневается брать ему онлайн-кредит или не брать. А у мошенников глаз наметан и рука уже тренированная, и они четко, не задумываясь, выполняют все действия. А потом начинают автоматизировать и переходят из категории живого нехорошего человека в нехорошего бота.

Первый компонент – это сессионный мониторинг. Это позволяет взять под контроль массовые выдачи и автоматизацию  и уже во многом решить проблему. У нас своя отечественная технология в реестре (ПО  ИРИС- интернет риск скоринг), мы ее всем предоставляем  и  быстро интегрируем. Но это позволяет защититься в рамках одной организации.

Мошенники понимают, что после совершения ряда операций, у них появляется какая-то история, и их начинают анализировать. Они не дураки и поэтому идут атаковать следующую организацию. То есть они по очереди идут к разным провайдерам финтех-услуг и всех пытаются атаковать. Поэтому так важно наладить информационный обмен между разными организациями.

Например, вы впервые видите человека, который пришел брать рассрочку или кредит. Но, может быть, кто-то его видел три месяца назад и знает, что он деньги взял или не вернул. А может быть кто-то его видел пять минут назад и уже деньги дал. И довольно странно, если человеку пять минут назад дали деньги, а он уже хочет еще и у вас взять. Это нездоровая ситуация. Но чтобы о ней узнать, нужно наладить информационный обмен на рынке рассрочек.

С этим есть нерешенные вопросы, потому что ни одно бюро кредитных историй пока такой возможности не предоставляет. Поэтому мы сделали свою технологию – распределенный инфообмен на основе криптопротоколов (ПО КРаБ в Реестре отечественного ПО). И он как раз решает проблему как финтехам, банкам быстро подключиться и начать обмениваться информацией об угрозах, о поведении людей, при этом не нарушая конфиденциальности субьектов. Но при этом защищаться.

Наш лозунг – «Защищаться вместе, конкурируя». Конкурировать – это тоже важно. На этом часто спотыкаются инициативы, связанные с инфообменом. Потому что подразделения противодействия мошенничеству и кибербезопасности хотят обмениваться данными и вместе противостоять злоумышленникам, а организации – не хотят, потому что инфообмен противоречит конкуренции.

В. ИВАНОВ: Это традиционная для кибербезопасности проблема. Бизнес хочет конкурировать, а безопасность хочет обмениваться данными, и возникает недопонимание. Это даже конфликтом интересов не назовешь, а просто недопонимание. По-хорошему, нужно сесть вместе и договориться. Вы упомянули о замечательных российских криптопротоколах финтеха. Чем они так примечательны? В чем специфика?

С. ВЕЛЬЦ: Мне кажется, этот вопрос надо разделить на два. Во-первых, это наша отечественная криптография. И она хороша, спору нет. Но работать с ней традиционно не так легко, потому что это лицензируемый вид деятельности. В целом не могу сказать, что это популярно среди разработчиков. Я имею в виду образовательный аспект.

Если говорить про криптографию в целом, про защиту информации есть масса материалов на английском языке. И когда разработчик или студент начинает свою карьеру, он все это видит и привыкает к использованию зарубежной криптографии. Потому что это удобно, это популярно, это доступно настолько, насколько криптография может быть доступной с тоски зрения понимания.

У отечественной криптографии есть репутация сложной и не очень дружелюбной. Частично заслуженно, частично не заслуженно. А сейчас отношение потихоньку меняется.

Коллеги из Минцифры стараются в этом помочь. Стоит подчеркнуть: если есть желание, то сейчас проще решать вопросы, связанные с честной криптографией. Желание должно быть, потому что по законодательству по-другому быть не может. Даже если желания нет, его нужно в себе найти. Это то, что касается отечественной криптографии.

А вот с криптопротоколами ситуация интересней. Потому что тут мы переходим в другую область. С одной стороны это блокчейны и всякие децентрализованные финансы. Потому что большое количество криптопротоколов рождается и развивается там. Связанно это со смарт-контрактами, с разными типами фондирования...

С другой стороны – это всякие технологии обеспечения приватности. Их можно выделить отдельно. Это забавный английский термин Privacy Tech – privacy technology – технологии, улучшающие приватность человека. Там тоже очень много всего интересного с точки зрения криптографии и криптографических протоколов.

Почему криптопротоколы стоят отдельно от отечественной криптографии? Потому что отечественная криптография – регулируемая область. Поэтому она инертная и не всегда успевает за этим бурлящим множеством криптопротоколов и децентрализованных финансов.  Да и нет в принципе задачи успевать, потому что пройдет лет 10, какие-то из протоколов докажут свою состоятельность, востребованность и будут достаточно исследованы. И только потом они будут перенесены в сертифицированную отечественную область.

Тут можно привести пример, как блокчейны делали на нашем ГОСТе. При этом взяли готовые блокчейны либо Quorum либо Hyperledger и просто туда встроили ГОСТ. Это пример нечестной работы, потому что взяли готовое решение и поменяли криптопримитив на отечественный ГОСТ.

Более интересные кейсы, когда сам протокол является по сути средством криптографической защиты и обеспечивает какие-то свойства безопасности. Тут уже нельзя просто поменять криптопримитив на ГОСТ, это уже не сработает.

Мне кажется, это очень интересная область для академических исследований. Во всяком случае, сегодня на эту тему можно найти много публикаций.

 

Поделиться:
 

Возврат к списку