Проблема мошенничества актуальна для всех организаций, в которых изменение штатного функционирования процессов влечет получение материальной выгоды для правонарушителя. Очевидно, что в первую очередь под прицел попадают бизнес-процессы, связанные с финансами. Злоупотребления в этой сфере наиболее быстро дают мошеннику возможность обогатиться.
Хотя история денежных афер началась задолго до века современных ИТ-технологий, именно в нашей эпохе преступникам предоставлен еще один уровень осуществления своих действий. Вместе с автоматизацией, скоростью и упрощением работы, современные технологии предоставляют новые «лазейки» для мошенников. Также изменения коснулись способов, к которым они прибегают. Современные преступления в киберпространстве все чаще отличаются высоким уровнем погружения в процесс и продуманностью деталей.
На современный «меч» злоумышленников ответом послужил «щит» в виде антифрод-систем, решающих задачу выявления хищений на уровне их реализации. Системы противодействия финансовым преступлениям контролируют операции любого происхождения и инициации. Безопасность обеспечивается вне зависимости от защищенности каждого системного компонента, источника и сложности проводимой операции. Другими словами, не важно, что послужило причиной отклонения действий от штатного поведения, в любом случае они будут выявлены.
Аномальное поведение, как правило, определяется антифрод-системой с использованием двух подходов: сценарного и статистического. В первом случае, системе задаются сценарии подозрительных действий, например, доступ в систему в нерабочее время. Сценарии учитывают специфику бизнес-процессов и сложившуюся практику работы, а также ранее выявленные случаи мошенничества. Статистический подход базируется на формировании профиля нормального поведения на основании исторических данных. Отклонение от заданных параметров будет сигналом к проверке подозрительных действий.
Важно понимать, что сама по себе система выявления мошенничества не решает задач противодействия ему. Антифрод-система – это лишь инструмент выявления и противодействия преступлениям. Вне работающего процесса внедрение системы бесполезно, каким бы совершенным ни было выбранное решение.
Рассмотрим подробнее процесс выявления и противодействия мошенничеству. Условно его можно представить в виде нескольких основных шагов:
- анализ инцидентов и управление правилами;
- выявление подозрительных операций;
- обработка сообщений о выявлении мошенничества.
Первый шаг включает формирование и коррекцию правил выявления. Далее производится определение списка подозрительных операций: антифрод-система проверяет совокупность входящей информации по операциям и на основании сформированных правил принимает решение о легитимности тех или иных действий. Решающим шагом является обработка сообщений системы об обнаружении аномальной активности. В рамках данного шага в ручном или автоматическом режиме происходит реагирование на выявленные подозрительные операции. Это может быть блокировка подозрительной активности, запрос дополнительной информации для принятия решения, ручная проверка легитимности действий.
Повышение эффективности процесса антифрода заключается в работе над каждой его составляющей и непосредственно над системой выявления. В рамках данной статьи остановимся на основных направлениях.
Безусловно, сердцем системы являются правила выявления, и работа над ними является ключевой задачей при совершенствовании процесса антифрода. Во-первых, это формирование новых правил, например, их «сужение» до работы с конкретными сущностями (клиентами, пользователями, счетами, процессами), добавление новых сценариев. Во-вторых, постоянная корректировка уже существующих правил: введение дополнительных условий и отработка исключительных ситуаций, добавление условий по анализу дополнительной информации, динамическая модификация правила на основании изменения характера бизнес-процесса.
Хорошо себя зарекомендовала система машинного обучения, позволяющая в автоматическом режиме корректировать доверительные интервалы для статистических правил. Как результат — меньшее количество ложных срабатываний и снижение нагрузки на сотрудников, задействованных в процессе.
Автоматическое срабатывание (например, блокировки пользователя), для высокорисковых операций введенное в правила, позволяет с оперативно предотвратить возможное мошенничество. Однако при внесении данного улучшения, стоит помнить о ложных срабатываниях, и это не позволяет вводить подобные правила слишком часто.
Помимо работы над правилами, важной составляющей успешного процесса противодействия мошенничеству является обработка сообщений о срабатывании. Четкие и понятные инструкции для сотрудников, обрабатывающих сообщения антифрод-системы, экономят время и уменьшают вероятность ошибки. Дополнительным преимуществом инструкций является снижение требований к квалификации персонала.
При принятии решений о легитимности действия пользователей должны учитываться предыдущая активность и срабатывания антифрод-системы в рамках данного кейса.
Хорошей практикой для подтверждения проводимой операции является замена «ручного» обзвона клиента, например, системами IVR. Конечно, речь идет только о типовых операциях, когда от клиента достаточно подтверждения его действий.
Важным шагом является анализ результаты работы антифрода. Для выявленных инцидентов необходимо определить: был ли инцидент выявлен правилами антифрод-системы, сколько времени ушло на реагирование, есть ли связанные (либо аналогичные) мошенническое операции, которые были пропущены. Результаты анализа являются материалом для корректировки правил антифрод-системы и непосредственно самого процесса выявления и противодействия мошенничеству.
Эффективная антифрод-система позволяет определять оптимальное соотношение ошибок первого и второго рода (ложные срабатывания и пропуск мошенничества). Качество обработки сообщений о подозрении на мошенничество не должно зависеть от квалификации конкретного сотрудника, большая часть аналитики может проводиться в автоматическом режиме в рамках правил выявления.
Результативность предотвращения мошенничества в большей мере зависит не от конкретных используемых инструментов, а от способа их применения и общего построения процесса. Качественный процесс анализа и выявления мошенничества требует к себе постоянного внимания и корректировки. При выполнении этих условий, формируется эффективный механизм предотвращения несанкционированной активности как от внутренних, так и от внешних злоумышленников, позволяющий многократно оправдать ресурсы, вложенные в построение антифрод-системы.
Алексей Бабенко,
ведущий менеджер по развитию бизнеса компании «Информзащита»