Как в банке «Возрождение» быстро внедрили антифрод-систему для защиты платежей в СБП. Интервью TAdviser
В самом начале работы Системы быстрых платежей (СБП) существовали опасения, что операции по переводу денежных средств без согласия клиента с использованием СБП или операции для получения сведений о клиенте участнике СБП, могут использоваться в дальнейшем для перевода денежных средств без согласия клиента или других преступных практик. Но эти проблемы были решены в рамках двухуровневой системы антифрода: на уровне НСПК и на уровне банков-участников. Согласно текущей редакции стандарта ОПКЦ СБП «Порядок проведения мероприятий по противодействию», с апреля 2021 года все банки — участники СБП должны внедрить описанные в документе организационные и технические мероприятия по защите операций. Банки, оценив риски, активно подключаются к Системе быстрых платежей.
О проекте внедрения антифрод-системы в банке "Возрождение" рассказали участники интервью TAdviser:
- Заместитель начальника Службы информационной безопасности Банка "Возрождение" Окулесский Василий Андреевич
- Технический директор Фаззи Лоджик Лабс Парфёнов Сергей Васильевич
- Начальник отдела внедрения и сопровождения ПО Фаззи Лоджик Лабс Кудашев Тагир Фанилевич
Василий Андреевич, если говорить о взрыве киберпреступности в 2020 году, можно ли считать, что какое-то конкретное событие послужило «спусковым крючком» для столь бурного развития киберандеграунда? Как защититься банкам в столь непростое время?
Василий Окулесский: Нельзя говорить о том, что какое-то конкретное событие последнего времени стало триггером, спровоцировавшим взрыв кибератак. Тренды развития киберпреступлений в итоге сошлись в одной временной точке вне зависимости от воздействия на них пандемии, ставшей катализатором, но не триггером. Тренды определялись развитием экосистем, цифровизацией банков, государственных сервисов и т.д., а вот в основе этих трендов находятся технологии, которые проникли практически во все виды деятельности и стали основополагающими. Новыми технологиями, дистанционной авторизацией и другими возможностями, злоумышленники начинают пользоваться гораздо раньше, чем мы готовы оценивать эти риски. Это я про околоковидную тематику в период пандемии и кибератаки на удаленные компьютеры сотрудников.
А как вы относитесь к новостям об «утечках» персональных данных? Эту проблему можно рассматривать под разными гранями, но как ее видите вы, с точки зрения службы ИБ банка?
Василий Окулесский: Хочется отметить, что не бывает персональных данных вообще, персональные данные нужно рассматривать только в контексте конкретной области их применения. То есть необходимо четко указывать состав данных, цель обработки и сроки. При этом в каждой ИТ-системе этот стандартный набор должен определять свой собственный набор данных. Это позволит четко говорить о том, в какой системе какие данные должны защищаться. В каждой конкретной ИТ-системе — выделить нужный объект защиты. Ведь есть третья, «пострадавшая» сторона — граждане, которые сами раскидывают свои данные по социальным сетям. Так что «утечки» данных есть не только у банков, а у всех, кто эти данные хранит и использует.
Сергей Васильевич, расскажите, пожалуйста, какой экспертизой обладает Фаззи Лоджик Лабс на поле противодействия кибермошенничеству в банках?
Сергей Парфёнов: Наша система Smart Fraud Detection разработана с учетом специфики банковского бизнеса. Её ядром является механизм мониторинга и оценки каждой совершаемой транзакции. Анализируются платежные транзакции и сессионные события. Для анализа используются уточненный профиль клиента и параметры устройства. Мы применяем собственные, разработанные в компании, математические алгоритмы. Система Smart Fraud Detection зарегистрирована в реестре Минкомсвязи России.
В целом работа компании ведется в трех направлениях: противодействие внешнему мошенничеству, противодействие внутреннему мошенничеству и противодействие отмыванию денег.
Василий Андреевич, какие риски существуют со стороны кибербезопасности при проведении платежей через СБП?
Василий Окулесский: Популярность СБП постоянно растет. Например, ЦБ обнародовал цель о переводе четверти межбанковских переводов на данный сервис к 2023 году. Естественно, что система, через которую проходит значительный объем транзакций, интересна злоумышленникам.
Сергей Васильевич, расскажите, пожалуйста, о функционале вашей системы Smart Fraud Detection в контексте защиты платежей в СБП. Какие есть преимущества при заполнении индикаторов подозрительных операций на стороне банка-плательщика и банка-получателя?
Сергей Парфёнов: Все классы и алгоритмы оценки подробно описаны в Стандарте ОПКЦ СБП, за исключением класса «Машинное обучение». Это есть, по существу, набор статических правил, которые по детерминированным алгоритмам вычисляют «уровни подозрительности» для каждого класса индикаторов. А вот класс «Машинное обучение» предполагает использование специализированных решений на стороне банков-участников СБП для выявления аномалий на базе ИИ.
В августе 2020 года мы расширили функционал системы Smart Fraud Detection дополнительной оценкой рисков на стороне клиентов участников СБП — банков-плательщиков и банков-получателей. Теперь наше решение помогает снизить риски, включая риск перевода денег и массовых переводов без согласия клиента, риск раскрытия информации, в том числе персональных данных, а также сведений, составляющих банковскую тайну, и репутационные риски, связанные с ущербом деловой репутации.Как DevOps-сервис помогает «разгрузить» высоконагруженные системы BPMSoft
Для заполнения индикаторов операций в СБП система Smart Fraud Detection использует уточненную информацию о поведении каждого клиента за продолжительный период времени. А модуль по оценке рисков, используя элементы ИИ, эффективно и качественно заполняет класс «Машинное обучение».
При этом, используя полную информацию о «типичном» поведении клиента, модуль оценки рисков позволяет идентифицировать признаки «социальной инженерии» и приостанавливать транзакцию в СБП. Для сотрудников банка — это дополнительная возможность для контроля потенциально мошеннических операций.
Расскажите, пожалуйста, о проекте. Какие типовые решения предлагает Фаззи Лоджик Лабс для защиты платежей в СБП? Есть ли определенный «джентельментский» набор правил антифрода, необходимый для всех финансовых посредников? Могут ли потом сотрудники банка самостоятельно его менять, дорабатывать под себя?
Василий Окулесский: Включение механизмов оценки индикаторов только для СБП в систему ДБО или в любую другую банковскую систему, выполняющую обработку транзакций, — решение неоптимальное хотя бы потому, что технологии, применяемые для расчета индикаторов, можно использовать для противодействия фроду и в других каналах обслуживания клиентов, и для других платежных операций.
В то же время информация, получаемая через другие каналы обслуживания, также может повысить качество вычисления индикаторов для операций в СБП.
С этой точки зрения, использование (или внедрение) многоканальной антифрод системы для расчета индикаторов, согласно требованиям Стандарта, — для нас виделось наиболее подходящим вариантом.
Сергей Парфёнов: В Smart Fraud Detection используются индикаторы подозрительной операции банка в соответствии с моделями оценки риска, установленными Банком России. Процедуры проверки платежей разработаны по нормативному документу «Стандарт ОПКЦ СБП. Порядок проведения мероприятий по противодействию осуществлению переводов денежных средств без согласия клиента».
Для выполнения требований НСПК наша компания предлагает следующий «джентельментский» набор возможностей:
- отслеживание, обнаружение и изучение фактов мошенничества;
- защита от возникающих угроз, таких как «внедренный посредник» (man-in-the-middle), троянские программы типа «посредник в браузере» (man-in-the-browser), несанкционированное снятие денежных средств по утерянной/похищенной банковской карте;
- выявление факта совершения транзакций с «подозрительного» мобильного устройства;
- выявление фактов мошенничества, связанных с социальной инженерией, по аномальному поведению клиента банка;
- обнаружение попыток мошенничества без внесения существенных изменений в привычные для клиентов системы и процедуры;
- быстрая интеграция системы безопасности в виде развернутого локально ПО с применяемой системой дистанционного обслуживания клиентов.
Система Smart Fraud Detection проверяет данные из внешних источников и рабочего места пользователя по разным классам мониторинга. В случае выявления аномалий проводится внутренний анализ в системе и отправляется ответное сообщение с оценкой уровня риска операции.
С чего начинается проект внедрения антифрода в банке? У всех разная специфика, разный ИТ-ландшафт, по-разному устроены бизнес-процессы. Насколько сложно решать интеграционные задачи?
Василий Окулесский: Одним из наших требований к системе антифрода было наличие готового API и компетенций по рекомендованным атрибутамоперациям мониторинга. Здесь мы идем в ногу со временем. Открытые API — это очень удобно: мы отдаем команде ДБО стандарты, и они приходят к нам с уже готовой интеграцией.
Сергей Васильевич, как вы оценивали, необходимые ресурсы проекта, то есть количество ваших «внедренцев»? Расскажите, как это было, вы их специально резервировали под эти задачи?
Сергей Парфёнов: Многолетний опыт работы позволяет нам в рамках «коробочного» решения оценивать необходимый объем внедрения и оперативно выполнять работы, включая:
- Дизайн-решение
- Консультации по интеграции и форматам взаимодействия
- Уточнение перечня операцийдополнительных реквизитов
- Подготовка решения
- Консультации на этапе подготовки инфраструктуры
- Консультации по интеграции и форматам взаимодействия
- Установка и настройка решения
- Обучение специалистов: «аналитики», «операторы», «администраторы»
- Тестирование
- Консультации ИФТ и НТ, локализация и устранение замечаний
- Тренировка решения
- Сопровождение системы на этапе обучения модуля оценки риска «без учителя» и «с учителем»
- Консультации пользователей по настройке правил и расследования инцидентов, а также по контролю работы системы
В результате мы получаем «быстрое» внедрение, что приносит экономию ресурсов как с нашей стороны, так и со стороны заказчика.
Расскажите, пожалуйста, как проходило внедрение, были ли сложности? «Подружились» ли вы с ИТ-командой банка? Может быть расскажите, как выходили из сложных ситуаций?
Василий Окулесский: В таких проектах важно уметь слушать друг друга и не строить барьеры. Для тех, кто работает в банке, важно получить правильно разработанную документацию по проекту, так как многие службы работают по четкому регламенту. Необходимо документированное описание проекта с учетом обязательных для банка вопросов. Также важно быть всегда готовым ответить на «практические» вопросы, например, о кибербезопасности.
Тагир Кудашев: Иногда банковские сотрудники боятся показаться некомпетентными и могут даже саботировать процесс. Команды не могут объединиться по одному только слову, поэтому гораздо эффективнее не давить на сотрудников, а открыто объяснять, что на самом деле после внедрения системы работы в банке только прибавится в связи с появлением новых процессов. Еще важно непосредственное участие «топов» в коммуникации. Нужно изначально понять, какие сервисы отдавать на аутсорсинг, а какие — нет.
Сергей Парфёнов: Есть еще одно наблюдение: в процессе работы обязательно возникают отклонения от первоначального плана, поэтому нужны короткие встречи-спринты для ответов на все возникающие вопросы.
Василий Андреевич, успели ли вы уже оценить преимущества от внедрения? Есть ли планы по развитию проекта?
Василий Окулесский: Мы не ожидали, что проект внедрения окажется настолько быстрым. По сути, Фаззи Лоджик Лабс предоставила банку «коробочное» решение, которое всех полностью устроило.
В плане развития проекта — расширение каналов мониторинга для выявления атак внешнего и внутреннего мошенничества на удаленном рабочем месте.