Особенности внедрения антифрод системы со стороны менеджера.
Информационная безопасность Информационная безопасность

Любой проект сопряжен с рисками, с этим вряд ли кто-то поспорит. И так же мало разногласий возникнет относительно того, что с рисками надо работать для минимизации их влияния на ход и результат проекта.

Главная>Информационная безопасность>Внедрение антифрод-решения – взгляд менеджера проекта
Информационная безопасность Тема номера

Внедрение антифрод-решения – взгляд менеджера проекта

Дата публикации:
06.04.2016
Посетителей:
1064
Просмотров:
975
Время просмотра:
2.3

Авторы

Автор
Василий Терехин В прошлом - менеджер проектов Центра информационной безопасности компании «Инфосистемы Джет»
Любой проект сопряжен с рисками, с этим вряд ли кто-то поспорит. И так же мало разногласий возникнет относительно того, что с рисками надо работать для минимизации их влияния на ход и результат проекта.

 

 

Проблемы с мошенничеством, как с внешним, так и с внутренним, есть у многих компаний самых разных отраслей. Антифрод-решения, которые до недавнего времени встречались в основном в банковской сфере, сейчас интересуют игроков рынка ТЭК, ритейла, пассажирских перевозок и т.д. И так как в данный момент это относительно новая тематика для нашего рынка, при оценке рисков можно упустить специфичные для антифрод-проектов риски. В этой статье мы даем информацию для представителей заказчиков (безопасность, КРО, бизнес и т.д.) о факторах, которые могут помешать успешно внедрить антифрод-систему.

 

Итак, решение о внедрении принято. Начинаем работы по защите бизнеса компании от потерь, связанных с мошенничеством. Возникает вопрос: а с чего, собственно, начать? На рис. 1 перечислены основные этапы проекта по внедрению антифрод-системы, далее мы рассмотрим риски, присущие каждому из них.

Рис. 1. Этапы проекта по внедрению антифрод-решения
Этапы проекта по внедрению антифрод-решения

Обследование и первичный анализ информации

 

Большинство проектов начинаются одинаково: антифрод-аналитики изучают документацию, описывающую бизнес-процессы компании, и на её основе запрашивают выгрузки данных из учётных систем. Обычно глубина выгрузки составляет от 3 до 6 месяцев. Очень важно, чтобы со стороны заказчика была сформирована команда проекта, причем ещё до получения первых результатов анализа. В случае пилота заказчик нередко убеждён, что это исключительно активность исполнителя, направленная на подтверждение предложенной им концепции. Однако без тесной, совместной работы по проверке гипотез аналитиков получить качественный, позволяющий сократить или предотвратить фрод результат чрезвычайно сложно. Один из самых негативных итогов работ – когда непроверенные результаты презентуются руководству, затем передаются на разбор аналитикам или сотрудникам безопасности заказчика, и от них приходит заключение, что выявленные «инциденты» не более чем особенности бизнес-процессов или мелочь, не заслуживающая внимания. Последствия пилота в таком случае – непредотвращённый фрод и разочарование в исполнителе. Если же это работы по контракту, то результатом будет не просто разочарование, а недостигнутые KPI и юридические претензии.

 

На этапе обследования и первичного анализа типичными рисками являются:

 

  • Отсутствие документации, описывающей все бизнес-процессы, изучаемые в ходе проекта. Этот риск реализуется в 90% проектов, и без участия экспертов со стороны заказчика он значительно снижает эффективность работ или вовсе становится фатальным для проекта.

  • Бездействие или даже противодействие со стороны сотрудников компании в предоставлении данных. Антифрод помогает выявить злоупотребления и недоработки, а они могут иметь место со стороны не только фронт-офиса, но и подразделений блока ИТ и ИБ. Нередки случаи предоставления не самих данных, а множества причин относительно невозможности их выгрузить. Этот риск особенно актуален, когда ответственные за предоставление данных знают, что это пилот, а не контракт, и могут «прикрыться» наличием более приоритетных задач. В данном случае хорошо помогает оформление пилота внутренним приказом.

 

Например, на одном из наших проектов в течение полугода данные выгружались не из запрошенных таблиц и не за запрошенный период, с ошибками, отсутствующими кусками и т.д. После переговоров с руководством компании был назначен куратор проекта, и за последующие 2 недели абсолютно все данные были предоставлены в необходимом для работы объёме.

 

Верификация результатов первичного анализа

 

И вот нужная информация получена, и аналитики скрупулёзно её изучают. Можно ли уже говорить о том, что самое сложное позади? Отнюдь. Представьте себе ситуацию, когда аналитик находит следы операции, которая разительно отличается от других, да и в описании бизнес-процессов ничего похожего нет. Можно ли с уверенностью сказать, что это фрод? Не совсем. Это всего лишь высокорисковая операция. Это может быть вполне легитимный, но редкий и неописанный бизнес-процесс. Как упоминалось ранее, это следствие не полностью задокументированных бизнес-процессов.

Для снижения количества ложных срабатываний и правильной оценки высокорисковых операций на легитимность жизненно необходима верификация результатов. Для этого нужно выделить со стороны заказчика специалистов, способных дать экспертное заключение о том, фрод это, или нет. Без этого настоящее мошенничество может оказаться незамеченным среди множества недокументированных и от того высокорисковых операций.

 

Внедрение автоматизированного контроля

 

Отметим, что сами проекты по внедрению автоматизированных систем добавляют новые риски, но они в целом схожи с рисками, которые присутствуют на любом ИТ-проекте. Среди них – сложности при внедрении, связанные с интеграцией смежных систем (как источников, так и, например, BI-систем), разрастанием инфраструктуры для хранения и обработки данных при подключении дополнительных источников. Трудностей добавляет и необходимость разработки и внедрения процессов, связанных как с расследованиями выявленных инцидентов, так и с аудитом и корректировкой бизнес-процессов, которые показали себя наиболее фродоёмкими.

 

При этом одним из наиболее сложных в части управления процессов является управление ожиданиями. Разумеется, все ожидают быстрого результата и постоянной отдачи от системы антифрода. Как показывает практика, система способна окупить все затраты на её создание за 6–12 месяцев работы. Но с течением времени и при эффективной работе заказчика и исполнителя по отработке фактов, выявленных системой, количество инцидентов будет снижаться, то же самое справедливо и по отношению к величине предотвращенных потерь. Но означает ли снижение то, что фрода стало меньше? Скорее всего, нет. Это означает, что «фродить» стали по-другому и, возможно, более аккуратно, так как знают, что за ними наблюдают.

 

Не стоит забывать и о том, что в ситуации, когда сам факт наличия антифрод-системы известен, но нет точной информации о том, как и какие процессы она контролирует, для части сотрудников, склонных к совершению мошенничества, это может стать отрезвляющим фактором. Это приведет к снижению потерь не только в процессах, охваченных антифродом, но и в смежных.

 

Представление результатов руководству компании

 

Важно не забыть о наглядной демонстрации результатов работы по выявлению фрода. Если не удастся заинтересовать в проекте тех, кто непосредственно отвечает за контроль уровня потерь, чрезвычайно велик риск, что создать в ходе проекта эффективную систему антифрода будет сложно.

 

Антифрод – это живая система, «состоящая» из экспертизы исполнителя, используемой платформы автоматизации, процессов управления, предотвращения и актуализации перечня угроз совершения мошеннических операций. Иными словами, передача системы в промышленную эксплуатацию – это лишь её рождение, а жизнь начинается после.

 

В целом успешное внедрение антифрод-системы зависит от корректной постановки задачи, правильно сформированных ожиданий и корректно оценённых рисков, а также от степени вовлеченности в процесс подразделений как безопасности, так и бизнеса.

Уведомления об обновлении тем – в вашей почте

Защита персональных данных

Информация в руках мошенника превращается в орудие преступления, в руках уволенного сотрудника – в средство мщения, в руках инсайдера – товар для продажи конкуренту

Воровство SIM-карт ради мошенничества?

Не так давно эксперты стали отмечать участившиеся случаи мошенничества, основанного на замене злоумышленниками sim-карт реальных абонентов по поддельным документам для получения доступа к интернет-банкингу.

Информационная безопасность 2021 глазами участников Positive Hack Days

Какие отрасли бизнеса сегодня подвергаются атакам чаще всего? Почему злоумышленники предпочитают шантаж, а не классические киберограбления? Чем фреймворк «Аэропорт» эффективнее традиционного подхода к ИБ? Что ждет сферу ИБ в ближайшие годы?

Раскрываем карты: всё о The Standoff и будущем киберполигона

Как появилась идея The Standoff? Что под капотом киберполигона: реальный софт или «синтетика»? На чем основан выбор объектов для инфраструктуры цифрового города?

Не тушите пожар пирогами

За последние 10 лет произошли существенные изменения в технологиях защиты банковских счетов и карт наших сограждан

Личные кабинеты уже не личные? О предотвращении угона данных, баллов и денег

Личные кабинеты клиентов на сайтах компаний содержат множество персональных данных их владельцев. Вместе с информацией о тех же людях, представленной в интернете, они формируют пул сведений, которыми легко могут воспользоваться злоумышленники.

Математика на службе у антифрода

Определить вероятность и момент реализации хищения невозможно без наличия у антифрод-системы методологической основы

InfoSecurity Russia 2016: мнения участников

InfoSecurity Russia 2016 завершилась на днях в Москве, мы попросили поделиться своими впечатлениями ее участников

Компания «Инфосистемы Джет» оценила годовые потери российского бизнеса от мошенничества

Компания «Инфосистемы Джет» подготовила экспертную оценку годовых потерь от мошенничества для трех сфер отечественного бизнеса – телеком-операторов, кредитно-финансовых и ритейловых компаний. Расчеты выполнены в рублях с распределением по ключевым категориям рисков и позволяют сравнить показатели 2014–15 гг.

Спасибо!
Вы подписались на обновления наших статей
Предложить
авторский материал






    Спасибо!
    Вы подписались на обновления наших статей
    Подписаться
    на тему



      Выберите тему





      Спасибо!
      Вы подписались на обновления наших статей
      Оформить
      подписку на журнал








        Спасибо!
        Вы подписались на обновления наших статей
        Оформить
        подписку на новости








          Спасибо!
          Вы подписались на обновления наших статей
          Задать вопрос
          редактору









            Оставить заявку

            Мы всегда рады ответить на любые Ваши вопросы

            * Обязательные поля для заполнения

            Спасибо!

            Благодарим за обращение. Ваша заявка принята

            Наш специалист свяжется с Вами в течение рабочего дня