20 мая, 2014, BIS Journal №2(13)/2014

Кроссканальное решение по противодействию мошенничеству


Терехов Сергей

CISA, руководитель направления по противодействию мошенничеству (АМТ-ГРУП)

Решения различных производителей могут быть объединены в единую систему управления, мониторинга, анализа и расследования инцидентов ИБ

В последние годы, во многом благодаря статье 9 ФЗ-161 «О НПС», банки озаботились вопросом противодействия мошенничеству. При этом, в части применения специализированных Antifraud-решений основной акцент, как правило, делается на борьбу с мошенничеством в каналах ДБО как для физических, так и для юридических лиц. Данный факт является вполне логичным, так как уровень защищённости банка определяется на основе наиболее уязвимых звеньев, коими являются клиенты банка.

 

Однако, при этом немалый ущерб банку наносится в результате внутреннего мошенничества, а также реализации сложных мошеннических схем, которые невозможно выявить Antifraud-системами канального уровня. В связи с этим, следующим шагом в борьбе с мошенничеством должно стать создание кроссканальной системы противодействия мошенничеству.

ПОВЫШЕНИЕ УРОВНЯ ЗРЕЛОСТИ В СФЕРЕ БОРЬБЫ С МОШЕННИЧЕСТВОМ

Согласно исследованиям, Gartner выделяют 5 уровней предотвращения мошенничества, которые имеют свои приоритеты реализации, в зависимости от уровней риска, простоты внедрения, уровня зрелости банка и процессов противодействия мошенничеству. В рамках данной статьи мы будем говорить о создании системы с функционалом уровня 4–5 (Таблица 1).

Наименование уровня Базовый функционал
Уровень 1.
Защита конечных устройств
Программная / аппаратная защита при взаимодействии с ДБО, ЭЦП, применение криптоалгоритмов, многофакторная аутентификация и верификация транзакций, идентификация клиентских устройств и т.д. Простота внедрения. Реализовано практически во всех банках. Первоочередной приоритет реализации.
Уровень 2.
Защита в рамках сессии
Мониторинг и поведенческий анализ в рамках отдельно взятой web-сессии на основе шаблонов поведения, характерных для web-сайта банка. Реализация также существенно проще уровней 3-5. Может являться одной из составляющих защиты в канале ДБО.
Уровень 3.
Мониторинг действий клиента или работника в рамках отдельного канала
Мониторинг действий клиента или работника в рамках отдельного канала, связанных с этими действиями транзакций, и выявление аномального поведения. Анализ фрода на основе правил или статистических моделей. Может включать в себя периодическое обновление профилей пользователей, сопоставление транзакций между группами лиц. Наиболее широко обсуждаемый в последние годы вопрос (защита ДБО и внутреннее мошенничество).
Уровень 4.
Комплексный мониторинг действий клиента или работника в различных каналах (кроссканальный)
Идентично уровню 3. Дополнительно: кроссканальный анализ, корреляция алертов и активностей каждого пользователя, аккаунта или сущности.
Требует существенного уровня зрелости банка в сфере Antifraud.
Уровень 5.
Анализ взаимосвязей между различными сущностями
Анализ взаимосвязей между внутренними и внешними сущностями, а также их различными параметрами (пользователи, аккаунты, параметры аккаунтов, различные устройства и их параметры) для выявления организованной группы мошенников.
Обладает наивысшим уровнем зрелости и сложностью реализации.

 
ТАБЛИЦА 1. Уровни предотвращения мошенничества

Итак, кроссканальная система противодействия мошенничеству – это совокупность решений различных производителей, объединённых в единую систему управления, мониторинга и анализа подозрительных транзакций и проведения расследования произошедших случаев мошенничества. При этом внедрение системы позволит:

  • выявлять сложные кроссканальные мошеннические схемы (в том числе, с возможным сговором группы лиц);
  • повысить результативность и эффективность анализа и мониторинга подозрительных операций, а также проведения расследования и возврата похищенных денежных средств.

В качестве примера кроссканального мошеничества можно привести следующий.

Шаг 1. В рамках процесса эмиссии банковских карт работник похищает корпоративную (или кредитную) карту, выпущенную в рамках зарплатного проекта или в рамках обслуживания клиентов – физических лиц. Или каким-либо образом осуществляет выпуск карты по реквизитам клиента, к которым у него или у его приятеля-коллеги имеется легитимный доступ.

Шаг 2. Активация карты и списание денежных средств в ATM под самый предел лимита.

В приведённом примере мы видим кроссканальную схему мошенничества: внутреннее мошенничество и мошенничество в канале ATM. При этом существующая в банке система противодействия внутреннему мошенничеству, направленная на мониторинг и профилирование действий работников банка, не сможет установить взаимосвязь со снятием наличности в банкомате. Эту работу придётся выполнять самостоятельно оператору фрод-мониторинга, что усложняет выявление и предотвращение мошенничества.

Безусловно, главными задачами при создании системы являются разработка архитектуры решения, адаптация бизнес-процессов банка и формирование методологии выявления мошенничества в различных каналах.

ОСОБЕННОСТИ АРХИТЕКТУРЫ СИСТЕМЫ

Учитывая специфику мошеннических действий, а также практику внедрения Antifraud-систем в банковской отрасли, в основу кроссканальной системы положен принцип «кроссканальности внутри кроссканальности». В качестве одного канала (в рамках которого применяется или будет применяться отдельная фрод-система) должны рассматриваться следующие сущности:

  • ДБО клиентов – юридических лиц;
  • ДБО клиентов – физических лиц;
  • внутреннее мошенничество;
  • процессинг.

В рамках ДБО клиентов – юридических лиц могут рассматриваться каналы «тонкого» и «толстого» клиента клиент-банка, а также мобильный банкинг. Для ДБО клиентов – физических лиц актуальными являются каналы интернет-банка, sms-банка, мобильных приложений и контакт-центра (если имеется возможность осу-ществлять операции по счёту). Для внутреннего мошенничества под типами каналов понимаются различные бизнес-направления:

  • обслуживание физических лиц: кредиты, депозиты, РКО и др.;
  • обслуживание юридических лиц: РКО, кредиты, депозиты, ценные бумаги и др.

В рамках сущности «Процессинг» выделяются процессы эмиссии/эквайринга банковских карт, e-commerce и ATM/POS.
Такое деление объясняется необходимостью построения различных моделей статистического поведения для каждой из сущностей: отдельных моделей поведения для клиентов – юридических лиц, для клиентов – физических лиц и операторов АБС.

Формирование отдельной сущности в виде процессинга необходимо из-за особенностей мошеннических схем, осуществляемых в данных каналах (возможно мошенничество только в этих каналах, например, в рамках процессов эмиссии банковских карт).

ОСНОВНОЙ ФУНКЦИОНАЛ СИСТЕМЫ

Одной из первоочередных задач является формирование единых списков («чёрных», «белых», «серых») из всех канальных фрод-систем. При этом, с целью избежания коллизий при добавлении элемента в единый список, необходимо определить среди всех канальных Antifraud-систем такую систему, которая будет выполнять роль центрального узла-агрегатора (мастер-систему). Единые списки должны обладать следующими параметрами:

  • общий для всех;
  • индивидуальный для конкретной канальной «фрод-системы»;
  • индивидуальные значения общих списков.

Второй важной компонентой функционала мастер-системы является формирование единой поведенческой модели. Необходимо реализовать синхронизацию моделей канальных фрод-систем и наполнение модели кроссканальными данными. Обмен данными (скоринг и дополнительная информация профиля) между канальными фрод-системами должен быть построен с учетом поведения и параметров всех систем. Полноценное использование математической модели упрощается в случае, когда большинство каналов (сущностей) контролируется единой платформой и имеет общий подход к оценке.

Третьей важной задачей является насыщение системы дополнительными сведениями из различных аналитических систем, а также реализация обмена сведениями о не мошеннических операциях между канальными фрод-системами. Данный функционал позволит упростить операторам Antifraud-систем анализ и расследование подозрительных транзакций.

Создание системы является важнейшим шагом к минимизации ущерба банку в результате мошеннических действий. Особенности архитектуры и функционал системы, представленные в статье, являются уникальными для каждого банка и требуют серьезной проработки. На наш взгляд, построение кроссканальной системы противодействия мошенничеству будет являться основным трендом для банковского сообщества на ближайшие несколько лет.

 

Смотрите также

Подпишись на новости!
Подписаться