ИТ-портал компании «Инфосистемы Джет»

Что необходимо учитывать при выборе Fraud Management System

Что необходимо учитывать при выборе Fraud Management System

Выбор решения по борьбе с мошенничеством зависит от множества факторов, каждый из которых имеет определенный вес. Выделим наиболее существенные из них.

Начнем с деления источников совершения мошенничества на внутренние и внешние. Почему это деление так важно при выборе решения? Потому что оно сказывается на том, какой набор данных нам необходимо собирать для детектирования фактов мошенничества, т.е где искать следы совершения преступления. К примеру, если речь идет о внешнем мошенничестве, главным объектом контроля являются транзакции, в том числе и нефинансовые, а «точкой входа» для мошенника, в первую очередь, является стандартный интерфейс бизнес-приложения (контроль удаленных каналов администрирования банковского ПО в этой статье мы не затрагиваем). Для установления факта хищения, совершаемого сотрудником, объектами контроля должны являться внутренние интерфейсы банковского ПО, позволяющие осуществлять несанкционированные изменения или манипуляции с денежными средствами или их источниками. При этом сотрудник может действовать через различные служебные системы и сервисы, что, в свою очередь, отражается на конечном объеме источников данных. Тем самым происходит дифференцирование систем противодействия мошенничеству: на системы защиты клиентских операций и на системы противодействия внутреннему мошенничеству.

Теперь поговорим о каналах, через которые осуществляются незаконные действия (в первую очередь, каналы обслуживания клиентов). К наиболее распространенным относятся каналы ДБО (как юридических, так и физических лиц), процессинговые решения (обслуживание эмиссии банка или эквайринга торгово-сервисных предприятий), обслуживание клиентов в кассовых узлах банка. Сегодня мошеннические схемы перестают ограничиваться отдельно взятым каналом обслуживания. Например, мошенник может воспользоваться технологиями интернет-банкинга для совершения операций между счетами одного клиента, а вывод средств осуществить с помощью карты через банкомат в торговом центре. При этом его действия для процессингового центра будут абсолютно легитимными, если не сопоставлять их с аномальными переводами между счетами в канале интернет-банкинга. Это, в свою очередь, требует от FMS-системы возможности интеграции с различными бизнес-приложениями, а также корреляции событий из разных сервисов в единое приложение контроля рисков.

Одним из факторов при выборе FMS-решения являются конечные банковские технологии, используемые при обслуживании клиентов в рамках определенного канала обслуживания. Применение той или иной технологии влияет на реализуемые схемы мошенничества. Например, эмиссия банковских карт с микропроцессором повышает устойчивость к компрометации, а осуществление интернет-эквайринга с поддержкой 3D-Secure значительно снижает риски отнесения ответственности по оспариваемым операциям на счет торгово-сервисных предприятий и банка-эквайера. Таким образом, каждый канал характеризуется платежными и операционными рисками, которые напрямую зависят от механизмов обеспечения защищенности совершаемых операций. Наличие любой технологии должно учитываться при настройке системы мониторинга, кроме того, FMS-система должна обладать потенциальными возможностями настройки под технологии, которые банк только планирует внедрять.

Основной задачей FMS-системы является выявление и предотвращение мошенничества. При этом ее потенциальные возможности по идентификации незаконных операций основаны на функциональности, т.е. на методах формирования политик и правил, способных детектировать хищение. Чем более развиты и гибки инструменты настройки и моделирования в FMS-системе, тем потенциально большие возможности по выявлению мошенничества предоставляются конечному потребителю. Кроме того, FMS-системы должны обеспечивать превентивный характер анализа, что позволяет выявлять не только реализуемые атаки, но и предотвращать готовящиеся хищения за счет исследования процессов на стороне клиента. Таким образом, целями подобных систем будут являться создание механизмов выявления мошенничества еще на этапах его подготовки и минимизация ущерба от атак на начальных стадиях.

Очевидно, что любая FMS-система рассчитывает вероятность совершения мошеннических действий на основе данных, полученных для анализа. А поскольку такая система основана на вероятностной модели, так или иначе будут возникать ошибки некорректного выявления мошенничества или его невыявления вовсе.

Наступление любого из этих двух событий должно оперативно корректироваться специалистами банка или самой системой. Немаловажными принципами эффективного функционирования FMS-решения являются прозрачность этапов анализа клиентских операций, открытость настройки политик и правил выявления мошеннических действий. Эти характеристики позволяют осуществлять оперативную настройку решения в случае выявления ошибок в его функционировании и тем самым поддерживать необходимый уровень защиты банковских операций.

Факторы влияющие на выбор Fraud Management System

Следующим фактором, оказывающим влияние на выбор решения, является требование к оперативности реагирования на факт выявления подозрительной операции и составу процедур минимизации ущерба. Если банк осуществляет обработку всех клиентских операций в режиме online или переход к такой модели обслуживания внесен в стратегию развития бизнес-процессов, тогда система мониторинга должна обладать возможностями реакции на события в режиме реального времени и обеспечивать функционал по приостановке подозрительного действия, блокировке платежного инструмента или счета клиента. Если процесс обслуживания заранее подразумевает временной интервал, на протяжении которого операция «выдерживается» на промежуточном счете, требования по производительности к системе FMS могут быть не столь строгими. Следует отметить, что работа системы предотвращения мошенничества в реальном времени практически всегда требует существования подразделения, функционирующего в режиме 24/7, способного оперативно реагировать на результаты fraud-мониторинга и осуществлять связь с клиентом в случае подозрения на совершение мошеннических операций. Уровень подготовки таких специалистов на самом деле зависит от глубины настроенной математической модели выявления незаконных действий.

А если сама модель настроена и поддерживается в актуальном состоянии и результаты анализа прозрачны, то при существовании механизмов снятия блокировок операций и счетов с задачей контроля работы системы могут справляться рядовые сотрудники call-центра.

Подмена реквизитов платежного поручения, или атака Man-In-The-Browser

Как ни совершенствуются механизмы защиты ПК, как ни развиваются средства выявления вредоносного ПО, основной точкой контроля состояния защищенности ПК являлся и будет являться конечный пользователь. Даже самое совершенное антивирусное ПО не способно полностью запретить установку или внедрение вируса, оно может лишь уведомить о потенциальной угрозе. Таким образом, постоянное совершенствование компьютерных вирусов и троянов, идущее в ногу с развитием методов перехвата управления персональными компьютерами, стало причиной появления отдельного направления в атаках на сервисы ДБО. Такие программы, попадая на компьютер, располагаются между интерфейсом пользователя и бизнес-приложением ДБО. Они способны абсолютно незаметно для клиента осуществлять несанкционированные операции, изменяя отдельные реквизиты в формируемом платежном поручении или внедряясь в процессы подписи документа, а также подменять один документ на другой. Клиент не видит произведенных изменений и сам отправляет мошенническую платежку в банк. Идентификация такого рода атак основывается на выявлении отклонений от истории платежных операций клиента, экспресс-анализе недавно совершенных операций по банку в целом, а также на специфических особенностях формирования платежей такими вирусами.

FMS-cистема должна позволять реализовывать задачи в интересах как отдельных подразделений, так и организации в целом. Решение можно рассматривать как надстройку над информационной системой банка, способную решать в том числе аналитические задачи расчета показателей платежных и операционных рисков, выявления тенденций в действиях клиентов и пр. Опыт показывает, что именно процедуры мониторинга платежной активности первыми идентифицируют изменения в характере платежных операций всего банка. Кроме того, интеграция решения с системами аналитической обработки или едиными CRM-системами позволяет решать задачи контроля качества обслуживания, развития бизнеса или задачи маркетинга.

Критичным фактором защищенности операций является показатель безопасности среды выполнения платежных транзакций: вероятность влияния третьих лиц на процесс формирования и передачи операции ДБО

Список значимых факторов не ограничивается вышеназванными критериями, поскольку он должен учитывать всю совокупность задач, стоящих перед кредитно-финансовой организацией. Поэтому при выборе системы специалисты банка должны четко представлять себе, во-первых, общие стратегические цели развития организации, во-вторых, как будет выстроена ИТ-инфраструктура в соответствии с этими целями и, в-третьих, как будет обеспечена в итоге безопасность бизнеса.

Вернуться к списку статей

Комментарии:

Оставить комментарий »

  • Владимир

    1. какое коммерческое решение/подход посоветуете для мониторинга внутреннего мошенничества?
    2. как быть банкам с 5 млн. транзакций в день - какая система справится с этими объемами? возможно ли обучить нейронную сеть или логит по выборке из нескольких миллиардов строк с всего то 100 случаями известных фактов мошенничества.
    3. посоветуйте критерии/правила выявления внутреннего мошенничества.

    если ответ будет, прошу продублировать его в личку.

    Владимир,
    Крупный банк, рассматривающий возможность покупки системы Fraud monitoring.

    • 1. Вопросы детектирования внутреннего мошенничества решаются в зависимости от множества факторов. Мошенничество при операционной деятельности контролируется аналогичными решениями fraud-мониторинга, где источниками данных выступают события в АБС, CRM и иных back-офисных систем. С другой стороны, внутреннее мошенничество реализуется не только с помощью бизнес-интерфейсов существующих АС, но и административными действиями с правами эксплуатирующих подразделений. Для этих целей источниками для мониторинга должны выступать такие системы как: SIEM, мониторинга баз данных, DLP. Консолидируя прикладные события и действия административного характера можно выявляться множество схем мошенничества, реализуемых на сегодняшний день.

      2. Объем 5 000 000 транзакций в сутки (около 100-150 событий в секунду) – это естественная нагрузка на современные системы fraud-мониторинга. В ходе реализуемых сегодня проектов обеспечивается обработка до 250 операций в секунду на трехзвенных архитектурах: сервер приложений, сервер базы данных, и сервер администрирования и управления. Зачастую такие оценки производительности – это первые этапы внедрений: группы клиентов, один из каналов обслуживания и пр. Дальше количество анализируемых событий только растет.

      3. Критерии внутреннего мошенничества различны от направления деятельности каждой кредитной-организации. Приведем пример (CNP-фрод силами операторов call-центра).

      По реквизитам карт клиентов, осуществляется регистрация на интернет-ресурсе. Сегодня, большое количество из них проводит дополнительную верификацию через блокировку суммы в пределах 10.00 рублей. Оператор CRM стандартным функционалом может запрашивать баланс карты, где разница и будет информацией о «секретной» сумме верификации. Способы получить полные реквизиты карты так же делятся от простых к сложным: иногда подсматриваются при операциях в ПВН (пункт выдачи наличных в офисе), иногда клиенты сами диктуют реквизиты операторам, могут переписываться на этапе эмиссии.

      4. Что касается нейронной сети, то как показывает практика, обучение таковой занимает довольно продолжительное время. Сегодня существуют более эффективные аналоги, например байесовы сети а также ряд других алгоритмов, обеспечивающих более короткий промежуток начального обучения и как минимум ежесуточную корректировку модели по новым событиям.

Оставьте комментарий
Мы не публикуем комментарии: не содержащие полезной информации или слишком краткие; написанные ПРОПИСНЫМИ буквами; содержащие ненормативную лексику или оскорбления.
О журнале

Журнал Jet Info регулярно издается с 1995 года.

Узнать больше »
Подписаться на Jet Info

Хотите узнавать о новых номерах.

Заполните форму »
Контакты

Тел: +7 (495) 411-76-01
Email: journal@jet.su