Кибербезопасность в условиях электронного банкинга. Практическое пособие - Коллектив авторов

2017 г. Тогда пользователь с ником Deepfakes выложил в Reddit несколько роликов «для взрослых», в которых заменил порноактрис на таких celebrities, как певица Тейлор Свифт, актрисы Галь Гадот, Скарлетт Йоханссон, Эмма Уотсон и др.[276] Опасность DeepFake-технологий состоит в том, что инструменты, которые позволяют сделать все вышеописанное, стали доступны обычным людям и, постепенно совершенствуясь, становятся все менее требовательными к вычислительным мощностям[277]. То же касается и голосовых данных: уже сегодня существуют коммерческие решения для высококачественной имитации чужого голоса. А при активном внедрении технологий удаленной биоидентификации доказать, что, например, договор с банком или МФО заключил «виртуальный персонаж», будет все труднее[278].

Однако «виртуальные персонажи», совершающие вполне реальные сделки, появляются и без столь продвинутых технологий, как DeepFake. В 2019 г. в России произошла первая в истории страны кража недвижимости при помощи электронной цифровой подписи (ЭЦП) посредством договора дарения, составленного в простой письменной форме и заключенного дистанционно. По сведениям Росреестра, все необходимые для заключения сделки документы были поданы в электронном виде и заверены ЭЦП с обеих сторон. Усиленные квалифицированные электронные подписи (УКЭП) дарителя и одаряемого были выданы аккредитованным Минкомсвязи России ЗАО «Национальный удостоверяющий центр» по доверенности (фальшивой). Правовая экспертиза регистратора подтвердила подлинность УКЭП и действующий статус сертификата. При этом настоящий владелец квартиры вообще не оформлял ЭЦП, не выдавал никому доверенности на совершение сделки и никак не участвовал в процессе передачи квартиры[279].

Фальшивая ЭЦП может лишить граждан не только имущества[280], но и всех сбережений и (или) сделать жертвой кредитного мошенничества: между тем в России растет количество случаев использования ЭЦП при заключении кредитных договоров[281]. Конечно, финансовые учреждения принимают дополнительные меры безопасности, вводя многофакторную идентификацию и отслеживая цифровой профиль клиента (а особенно любые отклонения от него). Но на конференции Security Analyst Summit 2019 «Лаборатория Касперского» поделилась информацией об обнаруженном в DarkNet рынке Genesis[282], на котором продаются цифровые маски, включающие в себя данные о поведении пользователя в сети и его цифровые следы: историю посещения веб-сайтов, данные об операционной системе коммуникационного устройства, установленном на нем браузере, плагинах и т. д., то есть как раз те данные, которые банковские системы фрод-мониторинга используют для проверки клиентов. Если они видят маску, совпадающую с той, которую ранее применял пользователь, то транзакция может быть одобрена даже без отправки кода безопасности в SMS или push-уведомления для подтверждения операции. Возможна и противоположная операция: мошенник может создать новую цифровую личность и настроить вышеуказанные параметры так, чтобы система защиты восприняла его как нового пользователя, в отношении которого у нее не будет оснований для недоверия. В 2018 г. таким образом были скомпрометированы данные около 50 млн пользователей Facebook, 3 млн пользователей Uber и т. д.

А между тем Правительство Российской Федерации уже одобрило концепцию российского электронного паспорта, предложенную НИИ «Вoсхoд» и АО «^знак», согласно которой в России могут появиться две версии паспорта: в виде мобильного приложения и пластиковой карты с чипом. В приложении будет содержаться полная цифровая копия паспортных данных, которые также будут записаны на чип карты, и открыт доступ к цифровому профилю и ЭЦП гражданина. Авторы концепции предполагают, что на карточке с чипом будут содержаться информация с отпечатками пальцев владельца для бюметричестой идентификации, а также ЭЦП. Но такое их совмещение на одном носителе делает вышеописанные угрозы еще более реальными в случае, если гражданин не сообщит своевременно об утрате электронного паспорта.

«День, когда украдут вашу цифровую личность, наступит внезапно. Это может быть следствием утечки данных из глобальной корпорации, атаки на госпортал или интернет-магазин. Большинство людей не знает, сколько информации в открытом доступе о них хранит интернет и как легко ее достать»[283].

Decentralized Identity Foundation (DIF)[284], в число членов которого входят, в частности, Accenture, IBM, Microsoft и RSA, видит выход в использовании системы децентрализованных идентификаторов (DID)[285] и специального идентификационного хаба[286]. Это зашифрованное хранилище идентификационных данных, включающее защищенные коммуникации, собственный механизм удостоверения подлинности и специализированное оборудование, работающее с DID, каждый случай использования которых фиксируется в блокчейне. Примером такого решения может служить Microsoft Authenticator[287].

В любом случае попытки защитить цифровой профиль от кражи будут напоминать известное соревнование снаряда и брони. При этом наибольшей проблемой все-таки являются не технические средства безопасности и криптоалгоритмы, а пресловутый «человек посредине», man in the middle (MITM).

11.6. Утрата понимания, «как это работает», и контроля за нейросетями и AI

Создавая искусственный интеллект, мы призываем демона. Во всех историях, где есть парень с пентаграммой и святой водой, он уверен, что сможет контролировать его. Но обычно у него ничего не получается.

Илон Маск, основатель компаний Tesla Motors и Space X

Рост «квалификации» AI при одновременном удешевлении роботов ведет к размыванию представления о незаменимости человека. В 2014 г. компьютерная программа впервые в истории прошла знаменитый тест Тьюринга[288] на человечность[289]. Мы уже наблюдаем автоматизацию рутинных операций и замену людей ботами в сфере виртуального сервиса в банковском и других бизнесах, связанных с массовым обслуживанием розничных клиентов.

Благодаря deep learning[290] компьютеры уже могут выявлять основополагающие рекомендации, принципы и правила, а в недалеком будущем станут способны их понимать и, возможно, успешно имитировать. И вот тогда настанет время проверки когнитивных способностей человека, уже ослабленных привычкой опираться на различных электронных помощников: смогут ли пользователи оценить, выдает AI правильные рекомендации или нет, поскольку его вычислительные возможности уже значительно превысят человеческие. «Если краткосрочное воздействие искусственного интеллекта зависит от того, кто его контролирует, то долгосрочное – от того, будет ли вообще возможен такой контроль…»[291].

В отличие от предыдущих трех индустриальных революций, в четвертой технологический прогресс более не является катализатором роста зарплат и рабочих мест. Маржинальные и общие прибыли компаний растут, когда машины работают вместо людей, сокращение рабочих мест и рост безработицы становятся новой нормой. Фактически занятость еще будет расти в высокодоходных когнитивных и творческих профессиях и низкодоходном ручном труде, который экономически нецелесообразно роботизировать, но она значительно снизится в среднедоходных профессиях, суть которых составляют рутинные операции.

На какое-то время еще сохранится ориентация компаний на высококвалифицированные кадры[292], но «средний класс» как наиболее желанная целевая аудитория многих финансовых институтов будет подвергнут деструкции.

А это в свою очередь ведет к снижению платежеспособного спроса и заставляет финансовые институты корректировать скоринговые модели (оценивать как перспективность источника дохода в зависимости от позиции заемщика и сферы деятельности его работодателя, так и вообще возможность сохранения источника дохода при долгосрочном, особенно ипотечном, кредитовании). Неизбежен рост популярности идеи «скидывания денег с вертолета» для обеспечения