Тагир Кудашев, «Фаззи Лоджик Лабс»: «Наше решение закрывает большую часть банковского фрода»
Финансовый сектор был и остается привлекательной мишенью для мошенников всех мастей. Сегодня большие риски финансовых организаций связаны с внутренним мошенничеством. О том, как проявляются сегодня эти риски, и какие способы борьбы с этими проблемами предлагают отечественные поставщики ИТ-решений, TAdviser рассказал Тагир Кудашев, начальник отдела внедрения и сопровождения ПО компании «Фаззи Лоджик Лабс»
В последнее время на волне импортозамещения как грибы после дождя появляются новые решения отечественных компаний. Расскажите, пожалуйста, о банковском секторе: в каких направлениях российские ИТ-продукты могут соперничать с западными разработками? А в каких направлениях отставание больше?
Тагир Кудашев: Если говорить о развитии мобильных банковских предложений, услуг через цифровые каналы, то по уровню цифровизации и развития цифрового банкинга Россию можно отнести к странам-лидерам: уровень цифровизации достаточно высок по сравнению с банками Европы и США. Большие данные, машинное обучение, роботизация процессов — все технологии и глобальные ИТ-тренды, включая технологию блокчейн, в России представлены на достойном уровне.
С другой стороны, в области биометрии и безопасности персональных данных ситуация не так оптимистична. В условиях самоизоляции из-за пандемии COVID-19 Банк России временно разрешил банкам открывать счета новым клиентам дистанционно, и проект Единой биометрической системы (ЕБС) так и не заработал в полную силу, реальных кейсов использования биометрии в банках пока было немного.
В этом году мы все стали свидетелями громких утечек персональных данных из российских банков, которые использовались позже для атак социальной инженерии. Проблема внутреннего фрода, когда мошеннические операции совершаются злонамеренно или по незнанию сотрудником банка, касается теперь и России. Киберпреступление - это продуманная операция, где есть заказчик, исполнители и сообщники. Злоумышленники объединяются в группы, и каждая из этих групп работает в своей области. Мошенники находят друг друга в социальных сетях и на специализированных форумах, помогают друг другу, делятся опытом наиболее успешных схем атак.
Доказать факт мошенничества и наказать преступника сложно: в случае поимки сотруднику выносится предупреждение и увольнение при повторном совершении проступка. Только в случае серьезного нарушения, например, по статье 201 УК РФ «Злоупотребление полномочиями» злоумышленнику грозит уголовное наказание. Поэтому борьба с внутренним мошенничеством сейчас для всех нас очень актуальна. Так, например, одним из сложно контролируемых видов внутреннего мошенничества раньше было фотографирование экрана. Сейчас с помощью специальных программ-видеоагентов можно не только детектировать телефон или камеру в кадре, но и регистрировать чтение вслух, работу с физически отсутствующим клиентом или, например, фиксировать поиск по экрану при таргетированном пробиве данных.
Компания «Фаззи Лоджик Лабс» нашла свою нишу на этом интересном рынке. Как это произошло, и какие направления деятельности являются приоритетными для компании сегодня?
Тагир Кудашев: Изначально в основе решения компании «Фаззи Лоджик Лабс» лежит полностью российская разработка. Она задумывалась как импортозамещающий продукт еще 9 лет назад. За это время мы прошли путь от OEM-компонентов в составе продуктов западных вендеров до собственного коробочного решения. Этот опыт позволил нам наработать успешные практики разработки и внедрения, а затем применить их на больших данных отечественных компаний. Мы гордимся отточенными годами алгоритмами и новыми разработками, которые применяем в целях противодействия внешнему, внутреннему мошенничеству и отмыванию денег. В рамках направления внутреннего мошенничества приоритетное направление сейчас - это работа над внутренними угрозами в организациях: кража персональных данных, присвоение денежных средств с чужих счетов клиентов и банка, проведение мошеннических операций со средствами клиентов и банка.
На рынке решений антифрод-менеджемента работает немало компаний самого разного уровня: от нишевых, предлагающих отдельные антифрод-инструменты, до глобальных вендоров. Расскажите, пожалуйста, что позволило вам достичь успеха? В чем уникальность решений вашей компании?
Тагир Кудашев: Наше решение Smart Fraud Detection закрывает большую часть банковского фрода. Оно защищает от внешнего и внутреннего мошенничества, а также помогает противодействовать отмыванию денег. Это высокопроизводительная легко масштабируемая система обнаружения и выявления мошеннических транзакций в режиме реального времени.
В отличие от универсальных систем западных вендоров в системе работает real time движок, апробированный в ходе практического применения на больших данных российских банков.
Производительность движка - более 10 тысяч обработанных транзакций в секунду с детерминированным временем обработки одной транзакции не более 0,1 с. Как вы понимаете, скорость критически важна в операциях по картам крупных банков. На сегодняшний день система Smart Fraud Detection проверяет более 50% всех банковских транзакций в России.
Система Smart Fraud Detection строит профиль оператора и клиента. Насколько широк спектр ситуаций аномального поведения, которые выявляет система? Сколько источников данных для анализа поведения оператора и клиента она использует?
Тагир Кудашев: Система Smart Fraud Detection защищает все возможные каналы, используемые клиентом или оператором. Сейчас канал - это не просто способ связи и общения. Важно полностью отслеживать цепочку платежных операций и неплатежных действий, а не отдельно взятый канал.
Система Smart Fraud Detection является кроссканальной, что позволяет выявлять и предотвращать мошеннические транзакции во всех каналах обслуживания клиентов. Так, например, используя кросс-канальный мониторинг для AML-контроля, система Smart Fraud Detection может выявлять одновременное обналичивание денег с разных платежных карт или вывод денежных средств за рубеж.
Для построения профиля клиента и оператора система использует информацию о действиях и операциях клиентов в системах. Типовая модель поведения оператора и клиента строится на основе, как статических, так и динамических параметров. К числу статических параметров относятся, например, IP-адреса и их география, идентификатор устройства, информационный отпечаток устройства, географическое положение клиента, информации о терминале/мерчанте, информация о получателе денежных средств и др. Динамические параметры – это время начала работы, последовательность просмотра страниц в браузере, а также информация о сессионных и платежных транзакциях.
Полученные данные по всем клиентам аккумулируются в модуле оценки риска. Он реализует динамическую самообучаемую модель оценки риска, которая позволяет дополнять модель при изменении структуры данных и оперативно реагировать на схемы поведения клиента или оператора. Система собирает большое количество информации и оценивает риск для каждого события в диапазоне от 0 до 1000, чтобы снизить коэффициент ложных срабатываний. Чем больше у события признаков, отличных от модели типичного поведения оператора или клиента, тем выше балл его риска.
В системе используется комбинация методов машинного обучения и методов на основе правил. Каждый из этих подходов имеет свои преимущества. Так, метод машинного обучения дает возможность обновлять параметры для создания профилей и параметры транзакций в процессе работы (квази-real time) и детектировать новые типы фрода. А на основе правил создается единая модель для разных категорий клиентов, что позволяет минимизировать «ручные» процессы. Причем, правила можно создавать вручную, используя результаты скоринга из ML-моделей, или генерировать правила автоматически из обученных ML-моделей.
Эту новую функцию для нашей системы - генератор правил - мы реализовали в нынешнем году. Она работает следующим образом: система автоматически формирует правила-гипотезы и последовательно оптимизирует их, улучшая после каждой итерации. Если, например, выполняется оптимизация правил социальной инженерии, то система по результатам работы предложит новые правила для лучшего нахождения таких операций при минимальном параметре ложных срабатываний. Генератор правил использует два типа проверки по правилам: Antifraud и АМL.
Для генератора правила можно задавать типы транзакций, каналы обслуживания и подразделения компании. Правила генерируются и оптимизируются в офлайн-режиме и удобны для дальнейшего анализа. Например, новые запросы можно создавать простым копированием и сохранять набор данных для повторных запусков. Можно расширить список доступных операторов, экспортировать результаты и посмотреть в них общую статистику по транзакциям.
Еще одно важное преимущество системы - это экономия ресурсов: все данные хранятся in memory, то есть в оперативной памяти системы. Обращение к базам данных заказчика нужно только для синхронизации.
Почему это важно?
Тагир Кудашев: Часто бывает так, что систему внедрили, но она должна все время связываться с базами данных организации. Из-за этого она не работает на полную мощность, и рабочие процессы сотрудников существенно замедляются. В нашей системе для распределенного хранения и обработки данных используется распределенный кэш Apache Ignite. Все профили и данные равномерно распределяются по серверам. Каждая часть хранится и обрабатывается определенным образом в процессе распределения на сервере. И каждая часть может иметь один или несколько дополнительных бэкапов на других серверах. Это необходимо для высокой отказоустойчивости всей системы.
Как можно наглядно оценить результаты работы такой системы?
Тагир Кудашев: Известный факт - граждане России далеко не всегда, прямо скажем, редко обращаются в кредитные организации с жалобами или претензиями по случаям хищения денежных средств. Чаще всего клиент просто меняет прежний банк, который он посчитал ненадежным, на другой, который ему кажется более надежным. Точная статистика хищений остается неизвестной. Как следствие такого положения дел, к моменту завершения проекта внедрения антифрод-решения объем выявленных фактических случаев в несколько раз превышает цифры, которыми оперировал банк перед стартом проекта. Только приостановка подозрительных операций или отклонение критичных операций с последующей коммуникацией с клиентами банка позволяет определить фактический объем хищений.
Насколько сложную и трудоемкую работу придется провести заказчику и поставщику при внедрении такого решения для того, чтобы настроить систему на конкретных сотрудников, специфику рабочих процессов и т.д.?
Тагир Кудашев: Одно из существенных отличий Smart Fraud Detection от других решений - это хорошая интеграция с ИТ-архитектурными компонентами банка и преднастроенный функционал «из коробки», базирующийся на практическом опыте использования системы. У нашего ПО есть шлюзы для разных внешних ИТ-систем и настроенный пакет правил для мониторинга любых каналов, поэтому внедрение занимает от 3 до 7 дней по принципу «установи и работай».
В этом году много внимания уделяется удаленной работе сотрудников. У Вашей компании есть актуальные решения для этой задачи?
Тагир Кудашев: Да, конечно. Уже три года мы занимаемся проблемой эффективности сотрудников на рабочем месте. Бездействие на рабочем месте, халатность или мошеннические действия при совершении финансовых операций - это все разные проявления одной и той же проблемы внутреннего фрода, которая приносит убытки и ухудшает имидж компании. В этом году мы представили новую функцию системы Smart Fraud Detection - мониторинг персонала с помощью камер и микрофонов.
В чем отличие вашего продукта от других решений по контролю персонала?
Тагир Кудашев:В нашей системе обрабатываются фото-, видео- и аудиоданные, выявляются аномалии и создаются инциденты для дальнейшего расследования и новой настройки правил.
Система оценивает действия сотрудника, в том числе анализирует его эмоции, взгляд и позы в числовом выражении, и определяет, насколько данные действия отличаются от типовых действий или первоначального профиля сотрудника. Такой вид решения используется для противодействия атакам типа: фотографирование или переписывание с экрана, принуждение третьими лицами, доступ к незаблокированному устройству, использование нелегитимных документов и другие.
Дополнительно мы разработали сложную схему аутентификации лица сотрудника. Система ищет изображение в общей базе, строит «отпечаток» лица на стороне клиента, сравнивает с предыдущими изображениями на стороне сервера и выдает варианты наиболее подходящих по параметрам изображений.
Система самообучаемая, есть возможность дополнять модель при изменении структуры данных, получать онлайн оценку риска и быстро реагировать на изменения поведения сотрудника.
Можете привести интересные примеры контроля персонала из практических проектов?
Тагир Кудашев: Интересные случаи контроля персонала, например, возникают, когда сотрудники работают с чувствительными персональными и финансовыми данными. Например, сотрудники, которые работают с клиентскими данными такого рода, начинали фотографировать экран с подробными персональными данными клиентов с помощью личного телефона. Этот процесс тут же попадал в поле зрения видеоконтроля, вызывал незамедлительную реакцию системы и отклик службы безопасности. Бывали, кстати, необычные случаи. Расскажу о них.
В первом случае сотрудница банка совершала действия, которые для системы мониторинга транзакций выглядели легитимными, но по факту сводились к краже средств с клиентских счетов. Как обнаружили мошенницу? Совершение преступления было эмоциональным действием для этой женщины и вызывало заметные отклонения в типичной линии поведения. Что и было замечено системой.
Второй случай еще интереснее. Сотрудник оформлял клиенту кредит. С точки зрения процесса, все выглядело абсолютно нормально. Вот только в системе срабатывали правила для выявления в кадре третьих лиц и детекции нетипичной динамики позы. В ходе расследования выяснилось, что кредит оформлялся под давлением, а сохраненные фотографии помогли установить личность преступника.
Решения компании наверняка продолжают развиваться, как и планы по развитию бизнеса. В каких направлениях двигаетесь?
Тагир Кудашев: У нас за плечами опыт внедренных проектов по мониторингу персонала не только в России, но и за рубежом. А сегодня мы решили развиваться в области контент-провайдеров. Подготовительная работа уже ведется: мы совершенствуем собственные технологии разметки данных, собираем и анализируем данные. Мы хотим создавать незакрытые и удобные программные решения, которые заказчик может модифицировать и гибко дорабатывать своими силами.