Борьба с инсайдом в страховании. Реальные кейсы – не догма, а руководство к действию

BIS Journal №2(37)/2020

21 мая, 2020

Борьба с инсайдом в страховании. Реальные кейсы – не догма, а руководство к действию

"У самого выхода Полыхаев схватил Остапа за рукав и пролепетал:

— Я ничего не утаил. Честное слово. Я могу быть спокоен. Правда?

— Полное спокойствие может дать человеку только страховой полис, — ответил Остап, не замедляя хода. — Так вам скажет любой агент по страхованию жизни. Лично мне вы больше не нужны. Вот государство, оно, вероятно, скоро вами заинтересуется."

«Золотой телёнок» Ильф и Петров

 

Страховой бизнес в мире и России даёт хлеб сотням тысяч, а может быть, и миллионам людей. Некоторым из них, вовсе не топ-менеджерам, он даёт не только возможность заработать на жизнь, но и завершить карьеру вполне обеспеченным человеком, уволиться и уехать в светлое будущее на новеньком Бэнтли.

Отдав работе в страховании в сфере ИБ годы, могу с убеждением сказать, что основная угроза в страховании — это не мифические хакеры, а собственные сотрудники, иными словами инсайд.

 

СПЕЦИФИКА РЫНКА

Страховой бизнес имеет собственную неповторимую структуру: тысячи сотрудников, 80 процентов которых имеют прямое или косвенное отношение к продажам, к "живым деньгам". Армия агентов, быстрорастущее слабоконтролируемое ИТ, массивные базы данных, легко конвертируемые в деньги. Всё вышеперечисленное осложняется подходом "ты здесь хозяин, а не гость, тащи с работы каждый гвоздь", т.е. менталитетом.

Схемы обмана страховой компании возникли ещё в ранние годы становления рыночной экономики и с тех пор активно растут и развиваются.

Я расскажу об основных схемах внутренних мошенничеств, с которыми довелось столкнуться на практике, а также о методиках их выявления и предотвращения. Описанные далее кейсы не претендуют на полноту, однако, по моему мнению, отражают наиболее критичные проблемы инсайда в страховой компании. Конкретные технические решения находятся за рамками данной статьи и потребуют отдельного описания. Некоторые из схем на текущий момент могут потерять актуальность в деталях, хотя и остаются рабочими в целом.

Но прежде чем перейти к практическим кейсам, хотелось бы привести основные тезисы, фундамент, который, по моему мнению, поможет коллегам из ИБ по счастью работающим в страховании (безумный вал проблем даёт не только головную боль, связанную с их решением, но и возможности профессионального роста).

DLP-система ваш главный друг — полноценно внедрённая, правильно настроенная DLP-система даёт возможность выявлять нездоровые схемы на самом раннем этапе их появления.

Видимость бизнес-процессов — для чёткого понимания бизнес-процессов и их странностей исключительно важно видеть происходящее в деталях, иметь возможность оценивать данные системно.

DAM-система — дополнит DLP, даст возможность привязать частное к общему.

PAM-система — заранее отпугнёт нечистых на руку партнёров, создаст базу для расследования в будущем.

И наконец, информационную базу для расследования происходящего в мельчайших деталях даст грамотно настроенное логирование всех ИТ-систем.

 

ТИПИЧНЫЕ КЕЙСЫ

Утечка пролонгаций

Информация об утечках персональных данных постоянно появляется в СМИ. Так, например, согласно данным МФИ софт [1], в 2017 году на открытых пиратских форумах в интернете для приобретения были доступны 5,7 млн записей данных россиян, клиентов страховых компаний.

Наиболее распространённым товаром на чёрном рынке в страховании являются так называемые базы пролонгации — помесячные нарезки данных клиентов, которым по окончании месяца необходимо продлевать договора страхования, обычно моторного страхования – КАСКО, ОСАГО (рисунок 1).

Рисунок 1. Фрагмент продаваемой базы (все данные вымышленные)

 

Приведённая база разбивается на сегменты с "уникальными" клиентами в каждой.

Каждый сегмент, на какой-то процент, в зависимости от честности продавца, разбавляется неуникальными данными или мусором, обычно на 10 - 20% повышая прибыль продавца. Стоимость одного сегмента базы начинается обычно от 20 000 рублей. Процесс разбавления информации аналогичен разбавлению наркотиков, хорошо известному нам по кинематографу.

Каждое появление подобной базы больно бьёт по бизнесу, так как наиболее вкусные, высокомаржинальные клиенты уходят из компании, казалось бы, без причины.

Разумеется, утечки информации затрагивают репутацию компании, имеют серьёзные последствия со стороны закона.

 

Решение

Проблему решает тесное взаимодействие с оперативными сотрудниками безопасности и компетентными органами, подкреплённое информационной поддержкой ИБ.

Выставленные на продажу базы выкупаются и анализируются на признаки, позволяющие понять источник информации. По опыту, большинство продаваемых на рынке баз получены не через "слив", а лишь являются агрегированными, переформированными (насыщенными из других источников) данными партнёров —  автосалонов, агентов, брокеров. Система даёт сбой там, где защита наиболее слаба.

В том случае, когда в данных имеются признаки целевого слива, информация анализируется на предмет поиска потенциального источника — сотрудника, департамента, партнёра.

Тот факт, что базы должны быть актуальны и привязаны к конкретному периоду пролонгации не только делает базы востребованным товаром, но и оставляет чёткий след, ведущий к инсайдеру.

Продуманный стек политик DLP-системы, при условии её комплексного внедрения, даст достаточно информации для восстановления схемы слива в деталях, а чёткое понимание инцидента позволит скорректировать политики компании либо устранить техническое несовершенство информационных систем.

 

Занижение мощности в моторном страховании

Случаются ситуации, когда, например, люксовый внедорожник согласно данным страхового полиса оснащён двигателем в 60 л.с или, например, грузовой Камаз имеет грузоподъёмность 2 тонны. Нередко владелец авто оказывается зарегистрирован в регионе, имеющем заниженные коэффициенты ОСАГО.

Во внутренних информационных системах при этом, явно некорректные данные полиса будут подтверждены скан-копиями документов. Стоимость полиса для клиента значительно снижается, а разница либо делится с клиентом, либо присваивается без его ведома.

Клиент часто выявляет несоответствие страхового полиса реальности уже после попадания в ДТП. И несмотря на то что верховный суд признал подобные полисы действительными [2], головной боли клиенту не избежать.

 

Решение

Тот факт, что введённые в информационные системы полисы проходят внутренний контроль, заставляет агента или штатного продавца изменять скан-копии документов транспортного средства, подгоняя их под полис.

Как показывает практика 90% подделок скан-копий выполняется штатными сотрудниками непосредственно на рабочем месте незамысловатыми средствами — графическим редактором Microsoft Paint, либо через сайты конвертирования JPG-PDF. Наиболее искушённые "специалисты" используют практику пересканирования, изменяя документы в процессе.

Системный анализ баз данных позволяет массово выявлять автомобили, имеющие странности, отличающие их от заводских показателей.

DLP-система, при правильной настройке, даёт возможность выявить подделку скан-копий документов авто ещё до загрузки в информационные системы компании.

 

Автоюризм

Проблема ставшая актуальной для страховых компаний в последние годы. Приводит к значительным убыткам компании, и, что более важно, разрушает доверие клиентов.

Юридические конторы, опирающиеся на аффилированных экспертов, зачастую с поддержкой в судах, специализируются на судебных процессах против страховых компаний, обычно в моторном страховании. Так, по данным портала asn-news со ссылкой на РСА, общая сумма взысканий по решению суда в 2017 году достигла 37,4 млрд руб., что составило 18,2 процента от общего объёма страхового возмещения [3].

Наиболее типичный пример — истребование УТС (Утрата Технической Стоимости) по формальным признакам по ранее урегулированным убыткам. Для претензий выбираются убытки, находящиеся на крайнем сроке закрытия производства. Задача автоюриста заключается в поиске ранее урегулированного убытка, с высокими шансами победы в суде при наличии "своей" экспертизы, выход на контакт с клиентом и заключение цессии. Разумеется, для выполнения экспертизы необходим максимально полный комплект документов по убытку, фото материалы.

Основная прибыль автоюриста генерируется затребованием УТС транспортного средства, которая увеличивается с течением времени. Расчёт обычно строится следующим образом: 5-6 тыс. руб. - договор цессии, 2-3 тыс. руб. получает сотрудник «в полях», обзванивающий клиентов и заключающий цессию, 10 тыс. уходит эксперту. Прибыль же может составлять до 300 000 тыс. руб. в самых успешных случаях.

В передаче информации по клиентам часто оказываются замешаны партнёры компании, которым делегируется процесс урегулирования убытков. Нередко и внутренние сотрудники юридического департамента не против заработать на афере.

 

Решение

Тщательный контроль использования УЗ внутренних систем позволяет выявить сотрудников, интересующихся делами, к которым не имеют служебного отношения.

PAM-система с поддержкой нормативной базы заранее отпугивает нерадивых партнёров, даёт основу для расследования инцидентов в будущем.

В последнее время прибыльность схемы уравновешивается строгостью наказания, уже появились механизмы привлечения аферистов к уголовной ответственности.

 

Закладки

Наличие во внешних веб-сервисах так называемых закладок довольно редкая проблема, которая, тем не менее стала появляться всё чаще во многих сферах бизнеса.

Закладка — это заложенная в информационных системах компании недокументированная функция, через которую уже уволенный сотрудник или партнёр может сливать информацию по клиентской базе "на лету", со всеми удобствами присущими интернету.

Так, например, на внешнем b2b может быть размещён скрипт поиска произвольной информации по клиентам. Закладка, попав в релиз сервиса, становится его частью на годы вперёд, даёт возможность построить бизнес-паразит на базах компании.

 

Решение

Продуманный, документированный процесс SDLC (жизненный цикл разработки программного обеспечения) сдержит нечестных сотрудников разработки, предотвратит добавление вредоносного кода.

Анализ работы информационных систем, их обращений к базам данных выявит нелогичные или необоснованные обращения.

 

В ЗАВЕРШЕНИЕ

Подводя итог, повторю основные моменты и фундамент, опираясь на который, можно успешно противостоять инсайду в страховании:

полная видимость технических аспектов работы бизнес-процессов;
контроль действий сотрудников и партнёров на рабочих местах и в информационных системах;
пошаговое изучение инцидентов, применение опыта (тех самых LessonsLearned) для выявления цельной картины и предотвращения инцидентов в будущем.

 

[1] https://www.vedomosti.ru/technology/articles/2017/09/27/735622-poyavilis-dannie-strahovih-kompanii

[2] https://rg.ru/2017/12/21/vs-raziasnil-chto-neverne-dannye-ne-delaiut-polis-osago-nedejstvitelnym.html

[3] http://www.asn-news.ru/news/65933

Смотрите также