В то же время есть несколько общих черт, присущих практически всем подобным ИБ-инструментам. Такие решения (за исключением систем физической безопасности):
- используют информацию из других учетных систем, в рамках которых осуществляется бизнес-процесс, подверженный рискам мошенничества;
- обладают совокупностью сведений, определяющих профиль мошенничества;
- обладают механизмами сравнения текущей учетной информации с фиксированными схемами мошенничества и представления результата.
Другие функциональные возможности опциональны.
Основными критериями достаточности технологии для контроля мошеннических действий являются особенности защищаемого бизнес-процесса и характеристики злоумышленников. Наиболее важны такие свойства системы, как:
- скорость функционирования;
- развитые функции контроля, определяющие саму возможность выявления мошенничества;
- оптимальные технологии сбора/получения данных из систем-источников, автоматизирующих бизнес-процесс;
- оперативный сбор разнообразных данных, необходимых для формирования профиля мошенника (он будет использоваться для дальнейшего анализа);
- наличие элементов обратной связи для системы мониторинга, позволяющих контролировать ее эффективность в оперативном режиме.
Для наглядности мы подробно рассмотрим основные характеристики антифрод-решений, применяемых в банках и у ритейлеров.
Антифрод для банков
В подавляющем большинстве случаев это система online-анализа, интегрированная с front-офисными системами (ДБО, процессинг). Они могут кооперироваться двумя способами.
Рис. 1. Диалоговая и шлюзовая схема
Диалоговая схема подразумевает, что антифрод-решение взаимодействует с внешними приложениями в режиме запрос/ответ. То есть система функционирует в пассивном режиме до момента получения запроса от front-системы о необходимости анализа сведений об операции. Антифрод-решение возвращает результат анализа – это либо команда к дальнейшему действию (разрешение операции, ее запрещение, приостановка и др.), либо скоринговое значение, определяющее уровень риска или вероятность реализации мошенничества.
Шлюзовая схема подразумевает, что система работает как шлюз для пропуска и анализа всего трафика, формируемого между конечным пользователем и сервером приложения front-системы/между web-сервером и сервером приложения. При необходимости шлюз позволяет отклонять непосредственно запросы пользователей или дополнять реквизиты первичного запроса информацией, которая будет анализироваться сервером приложения front-системы наряду с параметрами пользовательской операции.
В чем преимущества и недостатки этих схем: первый вариант подразумевает отсутствие прямого влияния антифрод-решения на основной бизнес-процесс, в то же время компании грозит длительный и сложный процесс его интеграции с front-системами. Второй способ как раз предполагает более простую интеграцию, не требующую доработок бизнес-приложений. Минусы здесь – более дорогостоящая схема обеспечения отказоустойчивости и зависимость от смены формата передачи данных между клиентами и сервером приложений.
Методология анализа операций антифрод-системой подразумевает несколько уровней:
- Анализ реквизитов операции клиента и сопоставление текущей активности с сохраненной историей его операций.
- Поведенческий анализ операции с применением схем профилирования активности (как платежной, так и сессионной), а также математических моделей анализа.
- Контроль параметров операции, в том числе с помощью внешних глобальных источников: сервисов геолокации, баз Drop Zone, баз скомпрометированных реквизитов платежных инструментов и др.
Очевидно, что описанные уровни тяготеют к ограниченному набору правил, а также к логике профилирования и статистическим метрикам. Это связано с естественными ограничениями на скорость обработки операции (время ожидания клиента, требования платежных систем и пр.), что, в свою очередь, приводит к негласным ограничениям на размеры черных/белых списков, обработку сложной логикой и пр.
При этом результаты работы механизмов контроля должны обладать базовыми характеристиками: достоверностью, непротиворечивостью, полнотой и открытостью. Первый критерий отвечает за качество действий (автоматизированных или организационных), которые предпринимаются по факту формирования результата системой контроля. Второй позволяет формировать объективное заключение об эффективности функций контроля и возможности их более точной настройки.
Антифрод-системы позволяют решать вполне прикладные бизнес-задачи – выявлять и предотвращать совершение мошеннических операций, По этой причине их крайне сложно классифицировать без привязки к той области бизнеса, элементы которой необходимо защищать
Подчеркнем, что функциональность современных систем контроля мошенничества становится все более бизнес-ориентированной, «заточенной» под конкретный сегмент. 5–7 лет назад любое антифрод-решение можно было определить как иерархичную модель, состоящую из 3 базовых уровней – интеграции, анализа и представления результата. Сегодня такая каноническая структура претерпела множество изменений: добавляются функции, необходимые представителям того или иного вертикального рынка. Например, для банков это механизмы контроля среды совершения дистанционных операций. Поскольку 100% операций ДБО совершаются с удаленных и недоверенных устройств, характеристики среды их выполнения оказывают большое влияние на анализ, выявление наличия удаленного управления и вредоносного ПО.
Ритейлеры
Выявление мошенничества в подобных компаниях является более трудоемкой задачей. Фактическое хищение определяется спустя длительный промежуток времени, а мошенничество в рамках снижения прибыльности (непрямые хищения) может быть не выявлено вовсе. Действия злоумышленников крайне сложно отличить от рядовых операций, свой отпечаток накладывает и более высокий уровень внутреннего мошенничества.
Контрольные функции зачастую не требуют online-анализа ввиду специфики процессов продаж (например, существует множество различных, эквивалентных друг другу и легитимных способов оформления продажи) и логистики.
В то же время источников информации для системы контроля кассовых операций, например, в большинстве случаев в разы больше, чем для антифрод-решения в банке. Причина кроется в том, что кассовая система не является независимым процессом обслуживания клиента, она представляет собой бизнес-образующую операцию. Все эти факторы говорят о том, что нужен более сложный и глубокий анализ.
Схему интеграции антифрод-системы в ИТ-ландшафт ритейлера можно назвать более классической. Она представляет собой набор модулей подключения к различным источникам данных: к Data Warehouse, СУБД бизнес-приложений и др. Кроме того, нужны специализированные интерфейсы работы с такими системами, как SAP, 1C, и их модулями.
Ключевая особенность решения – схема хранения и преобразования данных, обеспечивающая единое пространство для всей критичной информации компании, построение взаимосвязей и восстановление последовательности действий сотрудников, сложный статистический анализ за периоды, учитывающие сезонность продаж, показатели регионов и т.д.
Рис.2. Целевые источники данных
Любая система контроля мошенничества должна предоставлять интегрированную среду проведения проверок и административных расследований. Это позволяет автоматизировать формирование инцидентов мошенничества, регламентировать правила их обработки, ограничивать ролевую структуру, осуществлять контроль над процессами анализа инцидентов и предпринимаемыми мерами по минимизации потерь. Такой подход дает возможность реализовать функцию «одного окна» – предоставлять все сведения для проведения работ конечному исполнителю. Кроме того, он позволяет упорядочить и систематизировать деятельность аналитиков, специалистов по безопасности в регионах и удаленных офисах, внедрить метрики оценки эффективности работы сотрудников и мер по защите от мошенничества.
При этом антифрод-система должна масштабироваться и охватывать большинство разрозненных процессов, процедур, а иногда и структурных подразделений компании. Сегодня это независимый инструмент контроля не только правомерности отдельной операции клиента, но и жизненного цикла товара с момента его закупки и до реализации. Функции детектирования мошенничества можно разделить на несколько основных блоков:
- Контроль базовых схем мошенничества, его логика направлена на выявление частных злоупотреблений и схем хищений (например, поиск перекрестных возвратов, комбинирования скидок, возвратов ранее непроданной продукции).
- Контроль статистических показателей и метрик направлений бизнеса, что позволяет осуществлять поиск закономерностей и предпосылок появления еще не известных способов хищения.
- Контроль полного цикла движения товарной продукции сквозь различные структурные подразделения и учетные
системы.
Ну, что же, осталось выбрать конкретную систему. Здесь главное – понимать, что предложение того или иного производителя – это своеобразный полуфабрикат, эффективное функционирование решения зависит от факторов, которые достигаются только на этапе внедрения. Это и построение адресных моделей обнаружения мошенничества, выявляющих максимум противозаконных действий при минимальном количестве ложных срабатываний, и создание архитектуры, обеспечивающей надежность и масштабирование решения при эксплуатации, и правильное построение самого бизнес-процесса эксплуатации, от которого в конечном счете зависят фактические объемы возвращенных средств. Без этих элементов антифрод-решение окажется лишь системой отчетности, а не полноценным инструментом предотвращения мошенничества.