Как найти волка в овечьей шкуре
Недавно поймал себя на мысли, что сообщения о мошенничестве в СМИ уже не вызывают у меня профессиональный интерес: такие случаи перестали быть единичными, СМИ то и дело публикует информацию об очередном инциденте. Интересно, что в большинстве случаев мошенниками оказываются собственные сотрудники. Исходя из моего опыта аудита банков, корпоративные меры безопасности чаще всего направлены на внешнего, неизвестного злоумышленника, а в это время инсайдер проворачивает очередную аферу.
В 2016 году компания KPMG опубликовала очередную версию исследования (Global profiles of the fraudster 2016), позволяющую взглянуть на типичный профиль мошенника.
В 79% случаев это мужчина и только в 17% — женщина (в некоторых случаях гендерных данных нет). Возраст 37% мошенников от 36 до 45 лет, в следующий возрастной диапазон от 46 до 55 лет попадают еще 31% злоумышленников. Видно, что львиную долю потенциальных мошенников составляют люди средних лет, при этом в самой молодой возрастной группе от 18 до 25 лет только 1% нарушителей.
65% случаев мошенничества совершается внутренними сотрудниками организаций, еще 21% - бывшими сотрудниками. Таким образом, преступники — это люди, знакомые с внутренним устройством компании. Интересно, что больше половины инсайдеров на момент совершения мошенничества работали в компании более 6 лет. Это еще одно подтверждение того, что зачастую злоумышленники хорошо знакомы со всеми тонкостями рабочего процесса и хорошо знают о возможных слабостях и недостатках защиты.
Принцип разделения обязанностей уже не является панацеей: в 62% случаев инциденты совершаются в результате сговора сотрудников. При этом каждый пятый случай произошел в результате сговора 5 и более сотрудников.
Что же дает возможность совершать злонамеренные действия? Согласно исследованиям, в большинстве случаев (61%) это недостаток внутреннего контроля, а в 44% случаев мошенники имели привилегии для осуществления действий в обход контрольных мер.
Опираясь на аналитику коллег, можно сделать вывод, что «классические» способы предотвращения мошенничества все хуже предотвращают инциденты. Проверенные сотрудники, работающие много лет, принцип разделения ответственности – все это не является надежными защитными мерами. Не стоит забывать и о среде, в рамках которой протекают бизнес-процессы. Сердце любого современного банка состоит из ИТ-систем. Это накладывает дополнительные требования к предотвращению несанкционированных действий.
Иллюстрировать свои доводы я бы хотел случаем, который освещался в СМИ. Операционист банка, используя легитимные полномочия, находил клиентов со значительными суммами на вкладах и передавал их паспортные данные сообщникам. Изготовив поддельные документы, злоумышленники шли в произвольное отделение и получали привязанную к счету клиента платежную карту, а затем снимали деньги через банкоматы.
В данном случае реализованные технические меры не предотвратили мошенничество, а действия сотрудника банка осуществлялись в рамках его служебных полномочий.
Помимо «классических» защитных мер, технических и организационных, можно выделить системы, направленные на противодействие мошенничеству. Если стандартные средства контроля призваны не допустить совершения несанкционированных манипуляций, то антифрод-системы изначально оценивают весь входящий поток операций как потенциально мошеннические. Таким образом, даже используя легитимные меры обхода контрольных мер (например, в результате сговора или с использованием служебных привилегий), мошеннические операции все равно будут выявлены из общего объема.
К основным способам выявления мошенничества относят два вида: сценарные и статистические. При сценарном анализе контролируется заведомо известное поведение нарушителя: перевод денег на подложные счета, выполнение операций от имени клиента, изменение критичных параметров, нарушение хода процесса и обход части контрольных процедур. Плюсами сценарных правил является высокая точность работы, возможность использования скоринговой модели (когда каждое действие по отдельности не кажется подозрительным, но вместе представляет угрозу) и простота реализации. Недостаток такого анализа состоит в необходимости задавать заранее известные сценарии. Понятно, что создать стопроцентное покрытие— задача невыполнимая.
Решить проблему сценарного анализа призваны статистические правила. В них, на основании исторических данных, формируется стандартный профиль для различного вида сущностей (сотрудников, счетов, банковских продуктов, клиентов). Далее каждое действие оценивается с позиции отклонения от значений стандартного профиля, и если отклонения оказываются больше доверительных интервалов, то правило сообщает о выявлении подозрительной операции. Величина доверительного интервала может быть переменной величиной и высчитываться автоматически, исходя из совершаемых действий, результатов срабатывания правил и расследований результатов срабатываний.
Вернемся к примеру к незаконным хищениям денег при содействии сотрудника банка. Система противодействия мошенничества сразу могла бы выявить следующие аномалии: подозрительный поиск сотрудником счетов со значительными суммами, перебор клиентов; нетипичный для клиента запрос на выпуск платежной карты (например, при наличии действующей аналогичной карты); нетипичный способ вывода денег со вклада; использование новой карты для снятия большой суммы. Таким образом, предотвратить мошенничество можно было на каждом из его этапов.
Важно отметить, что простое внедрение антифрод-системы не всегда усложнит мошенникам жизнь. Важно сформировать правильные процессы анализа и расследования выявленных инцидентов. На первых этапах формирования правил система будет генерировать большое количество ложных срабатываний, которые должны быть отработаны, а соответствующие уточнения внесены в правила. Новые и потенциально возможные инциденты должны постоянно анализироваться и служить входной информацией для формирования новых правил.
В случае с внутренним мошенничеством, отдельная задача состоит в том, чтобы сформировать правильные процедуры реагирования. Если вы спросите у потенциального мошенника, он ли совершил злодеяние, то он вряд ли ответит в утвердительной форме. Если в случае с кражей клиентских данных извне подтвердить подлинность операции можно у клиента, то при действиях инсайдеров это не всегда возможно.
При проведении расследования нужно выбрать и придерживаться стратегии, при которой изначально собирается доказательная база и информация об инциденте, а далее производится разбирательство с сотрудником. Конечно, при этом нужно учитывать крайние ситуации, когда расследование проводить уже поздно, да и сам сотрудник больше никогда не попадется вам на глаза. В случае опасности проведения необратимых действий, необходимо оперативное пресечение и инициация расследования постфактум проведенных операций. Для таких ситуаций минимальным реагированием должно стать взятие нерадивого сотрудника «на карандаш» и пристальное внимание к его действиям в рамках выполнения своих рабочих обязанностей. В системе противодействия мошенничеству для таких сотрудников должны быть скорректированы значения коэффицентов критичности срабатывания правил.
Проблема внутреннего фрода — обширная тема, которой можно заниматься в рамках практически каждого из банковских процессов. Разумным в данном случае выглядит подход покрытия наиболее критичных областей: платежных процессов, операций с ценными бумагами, кредитные операции. В дальнейшем, на основе выстроенной системы и процессов противодействия мошенничеству, подключать новые области. Альтернативным вариантом может стать отрицание банком проблемы мошенничества как таковой и учет возможных убытков в операционные расходы. Этот подход имеет право на существование, каждый банк сам определяет для себя допустимые риски и величину возможных издержек, которую он готов заплатить. Однако, случаи, когда результат мошенничества начинает влиять на жизнеспособность всего банка, уже встречаются, и такие риски игнорировать нельзя.