Защита ДБО от мошенничества на уровне бизнес-процессов

Функциональная архитектура систем Fraud-мониторинга

Для выявления мошеннических действий оптимальной является глубокая интеллектуальная оценка банковских транзакций, которая становится возможной, если анализировать весь объем операций с помощью систем класса Fraud Management System – FMS (или систем Fraud-мониторинга, оба этих термина будут нами в дальнейшем использоваться). Эти системы позволяют осуществлять контроль всех банковских транзакций в системах ДБО в режиме online. Анализ того, является ли банковская транзакция мошеннической, проводится по предустановленным правилам, а также путем проверки соответствия логики действий клиента/организации его/ее профилю, который составляется заранее на основе исторических данных. По итогам такой оценки система Fraud-мониторинга позволяет предотвращать мошеннические атаки в соответствии с принятыми в банке процедурами реагирования на инциденты.

Рис. 1. Функциональная архитектура системы Fraud-мониторинга

Задачу по анализу логики осуществляемых клиентом транзакций эффективно способны решить системы, которые имеют трехуровневую функциональную архитектуру, состоящую из:

• уровня интеграции, обеспечивающего сбор, обработку и нормализацию данных из тех источников, которые необходимы для осуществления анализа операций. Обработка данных и возвращение результата в ту или иную прикладную систему должны происходить в режиме online;
• уровня анализа данных, на котором происходят корреляция событий, профилирование клиентов, связывание различных категорий данных и, наконец, самое главное – обнаружение мошеннических действий с применением двух основных методик: на основе правил и с использованием поведенческих моделей;
• уровня представления данных, который автоматизирует управление решением вышеназванных задач, обеспечивает проведение расследований, реагирование на инциденты. Если в компании существует свой Workflow, то, как правило, процесс управления инцидентами мошенничества интегрируется с существующими в банке системами управления рисками.

Далее мы детально опишем каждый функциональный уровень.

Уровень интеграции

Для эффективной борьбы с мошенничеством в ДБО решение по Fraud-мониторингу интегрируется с информационными системами банка, которые прямо или косвенно участвуют в процессе обработки удаленных транзакций клиентов. К ним могут относиться системы ДБО и АБС, а также другие подсистемы, с которыми FMS-решение может взаимодействовать для экспорта/импорта данных, необходимых при проведении анализа транзакций (серверы аутентификации и авторизации, web-серверы, базы данных, файловые хранилища и т.п.). Одна из возможных схем взаимодействия FMS-системы и информационных банковских систем изображена на рис. 2.

Рис. 2. вариант взаимодействия системы Fraud-мониторинга с информационными системами банка

Интеграционная часть FMS-системы состоит из:

• подсистемы интеграции решения по Fraud-мониторингу и ДБО, обеспечивающей передачу данных о действиях и параметрах клиента. Эта информация накапливается в FMS-системе для анализа и построения профиля клиента;
• подсистемы интеграции FMS-решения и АБС, позволяющей системам взаимодействовать в процессе автоматического или ручного (выполняемого специалистом банка) анализа транзакций;
• подсистемы импорта данных справочников внешних систем, необходимых для нормальной работы FMS-решения. Благодаря ей осуществляются консолидация и преобразование форматов представления;
• подсистемы экспорта результатов Fraud-анализа, обеспечивающей их выгрузку, преобразование форматов представления и подготовку к передаче во внешние системы.

FMS-решение может быть внедрено с использованием одного из нескольких поддерживаемых методов интеграции. Каждый метод предназначен для решения конкретных бизнес-задач и учитывает возможные технические и временные ограничения банка. Какие же существуют варианты?

Первый – это интеграция FMS- системы посредством ETL-инструментария (Extract, Transform, Load), обеспечивающего реализацию одного из основных процессов управления хранилищами данных. Этот процесс включает в себя извлечение данных из внешних источников, их нормализацию (для соответствия требованиям модели FMS-системы) и загрузку в хранилище данных (репозиторий).

Второй вариант – использование Web Services SOAP API, позволяющего строить взаимодействие различных систем на уровне приложений, а не на уровне данных, как в первом случае. Благодаря синхронному режиму работы API такой вариант обеспечивает непрерывность процесса обработки операций, поступающих от системы ДБО, и позволяет передавать в бизнес-приложение результаты анализа по каждому вызову. Это наиболее широко применяемый метод интеграции, поскольку он дает возможность использовать преимущества всех функций FMS-системы в режиме реального времени.

Наряду с основными средствами многие разработчики стараются добавить инструменты, которые призваны упростить механизмы интеграции. К таким инструментам относится, например, внедрение изображений размером 1x1 пиксель, которые размещаются на веб-странице сервиса ДБО. При этом информация из банковской online-системы собирается путем вызова изображения с сервера производителя FMS-системы. Этот вариант обеспечивает наиболее быстрое внедрение FMS-решения, поскольку не требуется разворачивание программных или аппаратных средств в Центре обработки данных банка.

FMS-система анализирует платежные документы на соответствие построенной поведенческой модели, учитывающей, как минимум, следующие показатели:

 

• суммы платежей;
• получатели платежа (физические и юридические лица);
• назначение платежей;
• среднее/общее количество операций и их сумма за интервал времени;
• тип канала;
• IP/MAC-адреса и их география;
• идентификационный номер устройства (Device ID);
• используемые ресурсы (например, тип и наименование браузера);
• временной режим работы;
• «черный» список получателей;

 

и т.п.

Отметим, что сбор данных и возвращение результатов анализа в банковские информационные системы при работе решения по Fraud-мониторингу могут осуществляться в режиме как online (для текущих операций), так и offline (например, для загрузки исторических данных или использования полученных результатов сторонними потребителями).

Уровень анализа данных

Система Fraud-мониторинга осуществляет оценку операций на основании заданных правил выявления мошенничества. Анализироваться могут действия клиента, являющиеся как платежными, так и неплатежными операциями (запрос о состоянии счета, изменение своих данных и т.п.). Дополнительно в область действия FMS-системы могут попадать события, связанные со сменой сертификата доступа для дистанционного банковского обслуживания, с добавлением пользователей в ДБО или изменением их реквизитов, т.е напрямую не относящиеся к операциям ДБО.

Критерием оценки при обработке операции в системе Fraud-мониторинга является результирующий скоринговый балл (показатель вероятности мошенничества), который сравнивается с определенными банком порогами значений для подозрительных операций. Каждое правило в процессе работы осуществляет проверку заложенной в него логической последовательности совершаемых транзакций и изменяет оценку скоринга обрабатываемой операции.

В системе Fraud-мониторинга реализуются три класса правил:

• анализирующие выявления типовых признаков мошенничества. Создаются на основании экспертных оценок параметров рассматриваемой операции;
• осуществляющие анализ на основании профиля клиента, под которым понимается совокупность данных о совершенных им операциях, определяющая поведенческую модель. Любая новая транзакция может автоматически категорироваться относительно профиля клиента, что позволяет выявлять отклонения от поведенческой модели;
• выявляющие последовательность операций на основании данных о мошеннических схемах среди всего объема информации.

Рассмотрим общий алгоритм анализа операции системой Fraud-мониторинга. Для каждого клиента ДБО в процессе работы системы Fraud-мониторинга создается профиль пользователя, в который заносятся данные обо всех событиях по заранее определенным правилам. Профиль включает в себя такие данные, как:

• тип клиента (отправитель/получатель платежа, юридическое/физическое лицо, третье лицо/организация и т.п.);
• объемы и характер проводимых транзакций (большие/средние и мелкие платежи, время совершения операций и пр.);
• используемое оборудование/устройство (IP-адрес и т.п.) и территориальные признаки;
• категория клиента (VIP, обычный пользователь и т.д.).

Кроме того, клиента в дальнейшем «связывают» с другими субъектами и объектами (финансовые организации, с которыми он взаимодействует, получатели/отправители платежей, его интернет- и сервис-провайдеры, другая необходимая для анализа информация). Далее FMS-системой формируются «белые» и «черные» списки, куда заносятся данные о параметрах совершаемых операций. Например, если ранее было зафиксировано более 3 транзакций с одного счета на другой и их данные были определены как легальные, информация об отправителе и получателе заносится в «белый» список. В «черные» списки заносятся данные (IP- и MAC-адрес, имя пользователя, название компании, БИК и т.д.) о пользователях, ранее осуществлявших мошеннические операции.

Самообучаемость FMS-системы

FMS-решение поддерживает возможность самообучения на основе поступающих и накапливаемых сведений о клиентах и результатов анализа операций. Под самообучением понимается автоматическая настройка параметров объектов FMS-системы (стратегий, моделей, схем, правил, сценариев и т.д.) с учетом получаемых данных.

 

В FMS-решении предусмотрена возможность настраивания параметров обучения. Система учитывает, что при автоматическом самообучении может возникнуть ситуация, когда к разряду подозрительных или мошеннических будет причислено слишком большое относительное количество (%) платежных транзакций.

 

Соответственно, предусмотрена настройка параметра, который устанавливает ограничение на % таких операций. Также организована настройка порогов срабатывания правил, определяющих принадлежность операции к мошеннической, путем вычисления скоринговой величины.

В системах класса FMS любая транзакция первично проходит проверку на то, является ли она подлинной, инициирована ли она клиентом. Проверка осуществляется на основе анализа его действий, учитывающего отклонения поведения от ожидаемого. Если анализируемая транзакция не характерна для клиента, происходит количественная оценка вероятности (риска) того, что она может быть незаконной. Она осуществляется на основании заданных правил выявления признаков мошенничества или последовательности клиентских операций, эквивалентных существующей схеме мошенничества. Эти процессы осуществляются с помощью предустановленных или настраиваемых ключевых индикаторов, к которым могут относиться дробление, округление (корректировка) счетов, открытие и закрытие счета в течение небольшого промежутка времени, всплеск активности по транзакциям, например, в ранее не фигурировавший банк получателя, перевод денег на счета в другие страны (если это не характерно для клиента), особенно из «черного» списка или в оффшоры, возобновление активности со «спящими» счетами и т.п.

В итоге для каждой входящей транзакции в соответствии с установленными правилами происходит вычисление параметра скоринга, после чего ей присваивается соответствующее скоринговое число. Каждое правило имеет свой вес и коэффициент значимости, которые передаются в механизм подсчета рисков для принятия решения. Чем выше скоринговое число, тем больше вероятность (риск), что транзакция является мошеннической. В дальнейшем данные об операциях сохраняются в FMS-системе и могут быть запрошены при подсчете скорингового значения для других транзакций клиента.

В соответствии с предустановленными пороговыми значениями и на основании скорингового балла осуществляется передача результатов анализа в интерфейс обработки (данные становятся доступны для просмотра или принятия окончательного решения). Кроме этого, происходит формирование либо разрешения на проведение операции, либо события о запрете обработки. Дополнительно по итогам анализа могут быть активированы механизмы отправки уведомления о результатах подразделению банка/клиенту или команд во внешние системы для реализации дополнительного функционала (например, запуск процедуры дополнительной аутентификации).

Уровень представления данных

Автоматизированная обработка происходит за счет поддержки FMS-решением интеграции на уровне API или формирования команд для внешних систем. Критериями для ее осуществления могут служить специфические параметры операции в ДБО, показатель итогового скорингового балла или результат анализа любого правила выявления мошенничества. В свою очередь, командой может быть остановка обработки транзакции, формирование уведомлений по каналу e-mail/SMS или запуск механизмов дополнительной авторизации совершения платежа.

В настройках системы Fraud- мониторинга реализуются следующие механизмы реакции:

• разрешение на выполнение транзакции или ее блокировка;
• задержка операции для осуществления дополнительных действий, например, передачи на анализ эксперту;
• внесение изменений в параметры обработки транзакций в информационных системах (АБС, интернет-банкинг, процессинг и т.п.);
• оповещение уполномоченных лиц (экспертов, службы безопасности и т.п.) или передача принятия решения уполномоченному специалисту банка;
• инициация дополнительной/повторной аутентификации;
• инициация дополнительного анализа данных по транзакции, субъектов и объектов, связанных с ней;

или любая комбинации вышеперечисленных действий:

• блокировка/задержка транзакции и оповещение уполномоченных лиц;
• дополнительная аутентификация пользователей и в случае неудачи – блокировка транзакции и т.п.

Особое внимание необходимо уделить такому действию, как дополнительная аутентификация пользователей, поскольку оно образует еще один уровень обеспечения безопасности осуществления удаленного платежа.

В случае если действие клиента оценивается как подозрительное (например, вход пользователя осуществляется с нестандартного адреса), используется подсистема, которая автоматически предложит ему аутентифицироваться по более сложному алгоритму. Это может быть контрольный вопрос, который задается по телефону или по альтернативным каналам (SMS, e-mail, IVR, call-центр). Подсистема позволяет осуществлять аутентификацию по web-формам (Single Sign-On – SSO), одноразовым паролям, с использованием биометрии, смарт-карт, сертификатов X.509, а также идентификацию в каталогах и СУБД. Решение обеспечивает безопасность аутентификационной информации пользователей и защиту от действий таких вредоносных программ, как перехватчики данных с различных устройств (с клавиатуры – key loggers, с мыши – mouse loggers и т.п.).

ИНФРАСТРУКТУРА СИСТЕМЫ БОРЬБЫ С МОШЕННИЧЕСТВОМ

Если после проведения автоматического Fraud-анализа система характеризует платеж как подозрительный, ответственность за окончательное решение передается на ручную обработку уполномоченному сотруднику. Она реализована на базе web-интерфейса FMS-системы. Оператору доступен полный набор данных об операции, признанной подозрительной (исходная информация о транзакции, профиль клиента). При ручной обработке оператор принимает решение о правомерности совершаемой операции:

• разрешение обработки транзакции в АБС;
• отклонение обработки (документ/транзакция является мошеннической);
• запуск механизма дополнительной авторизации (в случае существования такой технологии).

Передача решения о разрешении/отклонении обработки операции ДБО в АБС банка может осуществляться с помощью API-интерфейсов и выполнения shell-команд (например, организации дополнительных полей в таблицах базы данных, интерпретирующих этап анализа транзакции FMS-системой и конечный результат).

Для этой задачи могут быть разработаны специализированные модули обработки передаваемых из системы ДБО в АБС транзакций, или осуществлена доработка одного из решений (ДБО или АБС).

Система Fraud-мониторинга имеет в своем составе инструменты разделения прав доступа операторов к результатам анализа, что позволяет разграничивать работу с ней между территориальными подразделениями или группами обслуживания.

В то же время для нормального функционирования системы в подразделении достаточно иметь одно рабочее место офицера безопасности на стороне FMS-решения.

Удаленное управление

Совершенствование процессов защиты ключей для формирования ЭЦП привело к совершенствованию механизмов мошенничества. Ключ больше нельзя похитить из устройства хранения, однако осталась возможность его несанкционированного использования. Редкий клиент тут же вынимает токен после подписи документа, да и механизмы кражи паролей доступа к устройству – фишинг, трояны и спам-рассылки от имени банка – поразительно эффективны. Взламывая сетевую инфраструктуру предприятия путем кражи паролей доступов администраторов или все того же внедрения вредоносного ПО, злоумышленник получает доступ к компьютеру или с помощью специальных программ перехватывает управление. Клиенту демонстрируется страница «технических работ» на сервере ДБО, или просто имитируется «зависание» компьютера, а в это время злоумышленник осуществляет формирование мошеннических поручений и отправляет их в банк. Обнаружение этих атак основывается на выявлении отклонений от нормального характера платежных операций клиента, а также на совершении административных действий по смене паролей доступа к сервису ДБО непосредственно после отправки платежных поручений.

Обработанные события канала ДБО могут быть наглядно представлены встроенными средствами визуализации системы Fraud-мониторинга. Среди таких инструментов выделяются:

• отчёты – Reports (компонент, предоставляющий исчерпывающую информацию о соответствии требованиям стандарта);
• активные каналы – Active Channels (компоненты для динамического отображения событий, поступающих в систему);
• мониторы данных – DataMonitors и DashBoards (графические панели для быстрой оценки ситуации);
• дела и расследования – Case Management (используются для организации Workflow-процессов, экспресс-проверок и проведения расследования).

Администрирование системы

Залогом построения эффективной системы Fraud-мониторинга является корректное построение модели выявления мошеннических действий. Для ее формализации в рамках FMS-решения организованы административные интерфейсы настройки, которые позволяют создавать, модифицировать правила выявления мошеннических операций, настраивать алгоритмы формирования профиля клиента, контролировать процессы обработки операций канала ДБО и детализировать результаты анализа. Современные системы позволяют управлять этими процессами через web-интерфейсы, при этом сам процесс настройки больше не сопряжен с необходимостью овладения языком программирования или внутренним метаязыком. Все административные действия осуществляются оконными интерфейсами, понятными пользователям бизнес-приложений.

Заключение

Таким образом, выстраивание рубежа обороны на уровне бизнес-процессов позволяет эффективно бороться с мошенническими операциями на стороне банка в том случае, если добиться соблюдения требований по безопасности на стороне клиента не представляется возможным. Как показывает наш опыт, именно системы Fraud-мониторинга, благодаря своей функциональности, способны обеспечить решение данной задачи. Трехуровневая архитектура таких систем является достаточно гибкой для интеграции в существующую банковскую инфраструктуру, при этом не возрастает нагрузка на ее производительность и не нарушается непрерывность бизнес-процессов.