Директор по развитию бизнеса АМТ-ГРУП Илья Митричев– Недавно на одной из конференций по информационной безопасности меня поразило отношение банковских «айтишников» к программным решениям по фрод-мониторингу. Вендору, представляющему такие решения, из зала были заданы два вопроса: зачем это нужно, и как обосновать эту необходимость бизнесу? Что бы на это ответили вы?

– Ничего удивительного. Зачастую вопросы борьбы с мошенничеством находятся в сфере компетенции других подразделений. Для нас сейчас фокусными контактами в банках являются, в основном, люди, отвечающие за экономическую безопасность и риск-менеджмент.

Когда речь идет об объединенном или централизованном фрод-мониторинге для различных каналов дистанционного банковского обслуживания, на первое место выходит анализ моделей мошеннических действий. Проблема в том, что у нас в России сейчас специалистов-профессионалов по фрод-мониторингу практически нет. Такие специалисты есть у вендоров – мировых лидеров, но их в мире не так много, и стоят они дорого. Мало того, в Россию эти знания компании передают неохотно, потому что это их бизнес, они на этой компетенции зарабатывают.

Поэтому в ведущих банках предпочитают использовать собственных специалистов в режиме самообучения. Большинство остальных «варятся в собственном соку» в доморощенных решениях. Однако детального анализа мошеннических операций в банках сейчас фактически нет, как и фактического материала, на котором можно было бы строить тактику противодействия.

Также у бизнеса нет реальных оценок потерь, которые несет банк в результате мошеннических действий.

– Никто не любит об этом говорить. Любой инцидент скрывается банком, как нехорошая болезнь.

– Верно. Но мы ведь видим, что творится с безопасностью в системах дистанционного обслуживания. Мошеннические операции идут валом, но их относят не к теме фрод-анализа, а к информационной безопасности. Возьмем, к примеру, перехват ключей. Пусть даже мы будем использовать мощную криптографию, но если найдутся отдельные уязвимости конкретной системы, то деньги у клиента банка непременно украдут. Да, есть факты доведения инцидентов до уголовных дел и даже есть прецеденты выигранных дел, но никакая система априори не может быть абсолютно безопасной.

Когда мы говорим о фрод-мониторинге, мы подразумеваем «вторую линию» обороны, которую необходимо выстраивать, и предлагаемые нами решения могут этому помочь. Мы не пытаемся усилить саму систему ДБО. «Вторая линия» работает, не только когда есть какие-то проблемы с первой. Неважно – технические они или организационные. Аналитическая система контролирует и оценивает на «фродовость» любую операцию, которая уже вышла «чистенькой» из какого-либо канала дистанционного обслуживания. Мы с уверенностью заявляем о том, что помогаем и банку, и его клиенту предотвратить мошеннические операции, не «привязываясь» к технике их исполнения. Нам неважно, взломают ли криптографическое преобразование, перехватят ли ключи, или внутри самой организации завелся вор. Алгоритмы выявления мошеннических действий, используемые в антифродовых системах, позволят заметить любое отклонение от нормы.

– И как работают эти алгоритмы?

– Возьмем типичную схему кражи денег. Как правило, это перевод денег от юридического лица на карту физического лица – «дропера», желательно находящегося вне зоны юрисдикции России, и обналичка. Вторая схема – ворам в помощь часовые пояса России. Украли во Владивостоке вечером, обналичили в Москве днем и замели следы, а хватятся только утром следующего дня. Задача фрод-мониторинга – предвосхитить эти действия и предупредить об обнаружении подозрительных операций. Критерии, по которым отбираются мошеннические операции, можно настраивать по степеням риска. Условно говоря, если банковские «айтишники» и «безопасники» работают в цветовой гамме «черное или белое», то система различает множество «оттенков серого».

К примеру, денежный перевод подписан корректной электронно-цифровой подписью, отправлен с обычного для него IP-адреса, являющегося рабочим местом клиента. Казалось бы, все, как надо, и нет объективных причин считать эту транзакцию подозрительной. А если все происходит в нерабочее время, к примеру, ночью?

– Это вы говорите о противостоянии мошенникам на основе поведенческой модели клиента?

– Совершенно верно.

– Но есть ведь и другая проблема, и банкиры о ней не могут забывать. К примеру, я – VIP-клиент, лежу на пляже на Лазурном берегу, у меня в руках мобильное устройство, мне надо срочно отправить платеж, задержка которого для моего бизнеса смерти подобна. А мой банк берет и стопорит мой платеж только на том основании, что он выполняется во внеурочное время и из другой страны. Да я банковского клерка, который принял это решение, в прибрежный песок закопаю! Ну, увольнения точно добьюсь – VIP я или нет?

– Есть такая проблема. И опять-таки настаиваю на том, что нельзя работать по «черно-белой» схеме и останавливать платеж по первому подозрению. Здесь как раз вводится понятие адаптивной аутентификации. Название заумное, но, по сути, оно означает дополнительную проверку для спорных операций. Можно ведь переспросить, уточнить.

– А если система «наловит» столько подозрительного, что замучаешься переспрашивать?

– Здесь можно настроить систему на уровни рисков. Для VIP-клиентов должно быть реализовано подключение операторов call-центра, чтобы позвонили и спросили лично. Поверьте, VIP-клиент оценит это, даже лежа на пляже, и скажет спасибо, что о нем побеспокоились, и в следующий раз будет уверен, что в его отсутствие ничего страшного с деньгами не случится. Для массового клиента можно и не привлекать человеческие операторские ресурсы. Это задача автоматизированных систем: уточнение у клиента можно произвести автоматизированным способом, средств много.

Эти схемы могут постепенно изменяться. Если мошенничества мало, можно детально рассматривать отдельные операции, а если очевидна массированная атака по одной уязвимости, можно не обращать внимания на мелочные единичные случаи и заниматься серьезными вопросами. Это и есть адаптивность системы.

Неоднократно замечено, что график воздействий мошенничества на систему имеет форму пилы. Сначала очевиден всплеск мошенничества, затем система адаптируется и начинает реагировать, и происходит спад. Система фрод-мониторинга интересна тем, что можно на формальных правилах отсекать «малышню» типа студентов-школьников, которые бравируют тем, что пытаются чего-нибудь взломать, и сфокусироваться на более важных вопросах. Этим мы и стараемся помочь банкам – избавить от вала «пустышек», бесполезной работы по перемалыванию очевидных вещей.

– Вы упомянули о массированных атаках. Есть распространенное мнение, что мошенники предпочитают атаковать не серверную сторону банков, а клиентов, как более слабое звено. Такую «лень» хакеров понять можно: это требует меньше интеллекта и трудозатрат. Но ведь хакерские мастер-классы на профильных конференциях наглядно показывают, что и серверная сторона банков «дырявая», и вендоры годами не латают эти уязвимости. Что банки будут делать, если хакеры приложат чуть больше сил и ума для того, чтобы сорвать большой куш именно на серверной стороне?

– А я не зря говорил, что антифродовые системы – это вторая линия обороны. Мы не пытаемся бряцать щитами на первой, про которую вы сейчас упомянули. Системе не так важно, кого именно взломали. Она обрабатывает тот поток информации, который уже прошел первичный фильтр-контроль самой системы дистанционного банковского обслуживания.

– А если «плотину» прорвало совсем? Ваше решение выдержит?

– Если говорить о нагрузочной способности – не вопрос. Мировая практика показывает, что выдерживает. Такие системы имеют, например, CitiBank, Barclays, а это банки с большими потоками транзакций. Массированная атака – это однотипность мошеннических операций, и это выявляется легко. Модель одна, запросов много – это и есть атака. Аналитическая система быстро адаптируется под новую модель, которую придумал враг-супостат, и временно прекращает работать в «серой» гамме. Операция по этой модели становится априори черной. И таким образом перекрывается поток массированной атаки.

– А если в банке завелся «жук-древоточец», который подтачивает организацию изнутри? Порой страшно читать банковские новости – каждый день сообщения о скандальных разоблачениях. Каким образом предлагаемые вами решения способствуют выявлению нехороших инсайдеров?

– Здесь мы говорим о поведенческой модели уже не клиента, а сотрудника банка. Укладывается ли совершаемое им действие в его полномочия? Если сотрудник вдруг начинает делать то, чего не делал раньше – это повод для сигнала системы. К примеру, раньше он просто принимал платежки к исполнению и вдруг сам создал новую платежку. Не исключено, что он в данный момент замещает другого сотрудника, и ему эти действия сейчас разрешены. Но на основе этих отклонений можно привлечь внимание службы безопасности для проверки действий сотрудника.

Точно так же можно предотвратить и вынос информации из банка. Допустим, что сотрудник имеет легальный доступ к базам банка в рамках своих должностных обязанностей. В день он обрабатывает, условно говоря, сто клиентских счетов. И вдруг «производительность труда» у него резко увеличивается, и он обрабатывает уже 1000 счетов. Это наводит на подозрения, что собирается локальная база «на вынос». Выявленные аномалии в поведении пользователя могут предотвратить мошеннические действия, в том числе и совершаемые по сговору между сотрудниками.

– Это решение популярно среди банков? Я вот почему спрашиваю: у нас на портале вышло интервью с компьютерным криминалистом, в котором он заявил, что абсолютно уверен, что в хакерских группировках есть действующие сотрудники банков. Так некоторые банкиры потом звонили в редакцию и возмущались: этого не может быть, потому что не может быть никогда!

– Мы для своих заказчиков специально делаем референс-визиты в Европу и Америку. Лучше один раз поговорить с коллегой-банкиром, который уже внедрил решение у себя, чем слушать гимны вендоров по этому поводу. За рубежом есть многолетняя практика внедрения таких решений. Там предотвращение утечек и противодействие инсайдерам – норма. Для наших банков, как вы правильно заметили, это равносильно признанию в нехорошей болезни. Каждый сидит в своей ракушке и пытается решить проблемы самостоятельно, а некоторые сознательно прячут голову в песок. Особенно этим грешат малые и средние банки, сокращая свои расходы. И даже риск того, что на одного человека в банке стягивается несколько важнейших ролей, их не останавливает.

– А, так называемые «ключевые» сотрудники, без которых и Земля не вертится…

– Да. И то, что этот человек становится всемогущим – это норма для малых банков. Ему никто не сможет противодействовать.

– В последнее время очень много говорится о защите мобильных устройств. Удаленная работа банковских сотрудников приобретает все большую популярность. Но на практике часто происходит так, что целая свита вынуждена следить за тем, чтобы топ-менеджер нечаянно не потерял свой планшет. Какие есть решения для избавления от этой головной боли?

– Мобильные устройства для работы сейчас действительно очень популярны, причем не только для топ-менеджмента, но и разъездных сотрудников. Мобильное устройство специфично тем, что в нем сосредоточились несколько каналов взаимодействия с пользователем. Это и голос, и смс-сообщения, и полноценный Интернет, а также и другие, в том числе, экзотические каналы. Если раньше злоумышленнику было труднее действовать, потому что человек пользовался несколькими каналами, то теперь ему достаточно взять под контроль одно мобильное устройство.

К сожалению, большинство пользователей очень беззаботно и не воспринимает телефон как инструмент, нуждающийся в защите. К примеру, люди все же научились ставить антивирус на стационарный компьютер. А тут я очень часто вижу, что человек со своего мобильного устройства лазает по Сети где попало и начинает инсталлировать что попало. Не могу понять, как можно быть таким неразборчивым. В результате захватить мобильное устройство под свое управление для злоумышленника – пара пустяков. По крайней мере, гораздо проще, чем взять под контроль чужой компьютер.

– Особенно если учесть, что у Apple антивирусов на мобильные устройства не существует в принципе, а приложения на Android Market порой выкладываются уже с «начинкой»?

– Поэтому и появились классы защитных систем, которые позволяют это безобразие прекратить. Я бы выделил MDM-системы, создающие доверенную среду на мобильном устройстве, невозможность устанавливать что-то «левое», создание среды обновлений данных, программ, конфигураций со стороны корпоративной сети. С помощью этих же систем решается и вопрос контроля потери устройства, и в случае ошибочного ввода пароля информация будет уничтожена.

– Практика показывает, что многие ходят с двумя устройствами – одно для работы, другое для развлечений.

– И это правильно. Все, что работает для бизнеса, должно подчиняться корпоративным правилам и политике безопасности. Уже давно в корпорациях запрещается самостоятельно устанавливать различное программное обеспечение. Это нормально и для мобильных устройств.

Второе направление, которое мы поддерживаем – защита каналов передачи данных, конкретных приложений. Здесь учитываются и требования регулятора, и корпоративные риски.

– А что можно сказать о контроле действий администраторов и партнеров?

– Тоже очень серьезная тема. Весь мир сейчас приходит к тому, что IT-сервисы выносятся на аутсорсинг. К примеру, сторонняя компания установила в банке свою систему. Банк предпочитает не обучать своих специалистов, а запрашивать готовый сервис, для этого внешней компании предоставляется удаленный доступ к системе. И в систему начинает входить множество администраторов, каждый из которых работает в своей части. И служба безопасности должна понимать, что они там делают. Мы предлагаем решения, позволяющие жестко сегментировать права на общем сервере для каждого из таких аутсорсеров.

К примеру, работает сотрудник, а тут внешнему администратору пришло в голову обновить у него антивирус. Действие, безусловно, важное, и право такое есть, но ведь администратор, имея доступ к локальному пользователю, может увидеть информацию, с которой этот конкретный сотрудник работает, а она может быть конфиденциальной. И потом, процесс обновления может замедлить или вообще остановить работу конкретного пользователя или привести к утере данных, что тоже неприемлемо. Поэтому есть необходимость контролировать работу и собственных администраторов. И мы предлагаем программно-аппаратные решения, которые устраняют подобные проблемы для наших заказчиков.

Наша задача – обеспечить заказчику комфортное ведение бизнеса, что напрямую пересекается с его непрерывностью. И в целом, мы помогаем контролировать риски прерывания бизнес-процессов, а это очень важно для любой финансовой компании.