Банки, интернет-магазины, страховые компании и госучреждения, заботясь о безопасности клиентов, приходят к выбору антифрод-систем, которые помогают предотвращать мошеннические транзакции. Чтобы определиться с итоговым вариантом защиты, нужно ответить на массу вопросов. Мы собрали десять самых распространённых вопросов заказчиков, которые возникали при выборе антифрод-платформы, и подготовили ответы.
- Введение
- Какой класс антифрод-системы выбрать?
- Какой тип поставки выбрать?
- Важно ли, чтобы была технология ретроспективности параметров?
- Какие есть возможности при работе со внешними источниками данных?
- Насколько важна модель машинного обучения?
- Как сделать так, чтобы в компании всегда была актуальная информация о видах атак и способах противодействия?
- Нужен ли высокотехнологичный конструктор для создания правил в системе?
- Насколько важна оперативная поддержка вендора?
- Как работает ролевая модель доступа в системе?
- Важна ли возможность тестирования на исторических данных?
- Выводы
Введение
В прошлом году злоумышленники украли у россиян 13,5 млрд рублей. Банки смогли вернуть пострадавшим лишь 6,8 % от этой суммы. В то же время число и объём незаконных переводов выросли более чем на 40 %.
Такая статистика заставляет банки, интернет-магазины, страховые компании и госучреждения всё больше задумываться о безопасности клиентов. Компании приходят к выбору антифрод-решений, которые помогают предотвращать мошеннические транзакции. Чтобы определиться с итоговым вариантом защиты, нужно ответить на массу вопросов. При этом сложно понять, что критически важно, а что не имеет значения.
Мы собрали десять самых популярных вопросов наших заказчиков, которые возникали у них при выборе антифрод-платформы, и предлагаем ответы на них.
Какой класс антифрод-системы выбрать?
Есть два класса наиболее востребованных антифрод-систем: транзакционные и сессионные.
- Транзакционные позволяют автоматически оценивать платёжные риски и защищать финансовые системы от мошенничества. Например, пользователь хочет узнать баланс карты, оплатить покупку или перевести деньги другому человеку. Транзакционная антифрод-система проверяет нужные в этой ситуации параметры и может разрешить это действие, а может заблокировать или отправить как подозрительное на рассмотрение аналитику.
- Сессионные следят за действиями пользователя на основе параметров, которые собираются во время активности его устройства. Система различает стандартное поведение и аномальное. Например, пользователь не запрашивает баланс, не переводит деньги, но на его устройстве происходят нехарактерные действия: используется другой способ заполнения формы, изменилась скорость набора текста или траектория движения курсора мыши. Всё это антифрод расценивает как отклонения. С большой вероятностью это значит, что профилем управляет мошенник.
Для всесторонней защиты можно установить и транзакционную, и сессионную системы. Чаще всего вендоры предлагают подключить лишь одну из них. Однако на рынке есть платформы, где сочетаются оба типа антифрода в рамках предложений одного вендора. Такие разработки помогают сэкономить время и деньги, затрачиваемые на интеграцию, и получить единое окно поддержки. Если же подключить оба класса антифрода, но у разных поставщиков, интеграция будет сложной и длительной: не всегда системы от двух вендоров способны качественно обмениваться данными, а это важно для максимальной эффективности защиты в целом.
Какой тип поставки выбрать?
Антифрод-система может полноценно функционировать как в облаке, так и в инфраструктуре заказчика (on-premise).
- Облачное решение — самый короткий путь, у его поставщиков заранее всё готово к тому, чтобы подключить антифрод для компании. Запуск занимает менее месяца. При этом облачный вариант не нарушает законы по обработке персональных данных. Информация передается в хешированном виде с солью, а организация точно идентифицирует клиента на своей стороне через таблицу хешей; это гарантирует безопасную передачу данных. Если говорить о затратах, облачные решения — это операционные расходы. Компания платит за сервис регулярными траншами, как за интернет, при этом не нужно тратить ресурсы на закупку железа и наём команды сопровождения и фрод-аналитиков. Чаще такой вариант выбирают те, кто остановил капитальные инвестиции.
- Локальная система разворачивается на территории заказчика. Со стороны компании нужны полноценная инфраструктура, время на настройку и специалисты для поддержки; всё это подразумевает большие капитальные и дополнительные операционные расходы. Преимущества такого пути — в том, что заказчик самостоятельно контролирует информацию, она не покидает пределы его периметра.
Важно ли, чтобы была технология ретроспективности параметров?
Каждое правило в антифрод-системе составляется на основе параметров разных категорий. Это могут быть совершённые операции, информация из базы данных и т. д. Чем сложнее правило, тем больше параметров. Следовательно, повышается нагрузка на систему и падает производительность.
Для того чтобы увеличить скорость работы антифрод-системы, используют ретроспективность параметров. Эта технология делает предварительные расчёты параметров в правилах. Иначе говоря, платформа заранее анализирует прошедшие транзакции пользователя, на основе этого формирует параметры и применяет их при следующем запросе, а не делает это на ходу.
Какие есть возможности при работе со внешними источниками данных?
Если говорить о банковской сфере, то любая антифрод-система в ней должна уметь взаимодействовать со внешними источниками данных для накопления информации о транзакциях и проверки по чёрным спискам ФинЦЕРТ Банка России. Эта функция важна не только для эффективности работы системы, но и для соблюдения требований Центробанка.
ФинЦЕРТ агрегирует данные о произошедших случаях мошенничества, связанных с банками. Например, благодаря такому взаимодействию не допускаются переводы на счета мошенников. Антифрод-система регулярно обновляет чёрные списки и в обязательном порядке проверяет по ним реквизиты операции.
Помимо чёрных списков структуры Центробанка есть ещё частные системы киберразведки — например, BI.ZONE ThreatVision. Они подходят всем компаниям (включая банки) и повышают эффективность антифрод-решений. Это происходит за счёт подключения дополнительных фидов для более широкого охвата мошеннических действий. Базы таких платформ пополняются из закрытых источников собственными силами вендоров.
Насколько важна модель машинного обучения?
Современный антифрод основан не только на правилах, но и на активном использовании моделей машинного обучения (Machine Learning, ML) для профилирования пользователей. Как это происходит: в антифрод-системе создаётся профиль клиента организации и на основе статистических данных составляется образ его типичных действий. Если система видит, что совершаемые действия нехарактерны для пользователя, то маркирует транзакцию как рискованную.
Машинное обучение снижает риск ложноположительного срабатывания для многих правил. Например, пользователь совершает действия (вход в приложение, транзакции, поведение в целом), которые похожи на мошеннические. Но если для конкретного профиля это — характерная и регулярная ситуация, то антифрод-система благодаря данным ML не сработает зря.
Также машинное обучение помогает в обратном случае: когда правило не подошло, но по аномальным и нехарактерным для пользователя действиям понятно, что это злоумышленник. В этом случае антифрод обычно приостанавливает операцию для детального выяснения обстоятельств.
Стоит отметить, что машинное обучение — это полезное дополнение к полноценной антифрод-системе, но не панацея.
Как сделать так, чтобы в компании всегда была актуальная информация о видах атак и способах противодействия?
Чтобы правила соответствовали актуальным видам угроз, важно использовать свежие данные о мошенничестве. С этим как раз помогают такие источники, как ФинЦЕРТ.
Кроме того, если у заказчика нет погружённых в тему аналитиков, поставщики антифрод-решений берут на себя обновление правил для системы. Такие специалисты участвуют в разборах кейсов крупных компаний России и СНГ и берут правила под контроль.
Нужен ли высокотехнологичный конструктор для создания правил в системе?
Если он есть, то пользоваться платформой смогут даже те сотрудники, кто незнаком с языками программирования, то есть им не придётся писать код. Это особенно удобно компаниям, в которых невелик штат аналитиков. В такой ситуации эксперты не всегда могут оперативно реагировать, так что важно, чтобы коллеги могли прийти им на помощь без длительного погружения в особенности платформы. Для этого нужен понятный и удобный интерфейс, в который входит конструктор правил.
Насколько важна оперативная поддержка вендора?
Если вендор оказывает оперативную поддержку, это позволяет быстро исправлять обнаруженные проблемы, добавлять новые типы платежей и функций, а также проверять корректность настроек предикторов. В то же время важно, чтобы вендор дал заказчику возможность самостоятельно настраивать антифрод-систему.
Самый популярный кейс — срочное создание и редактирование правил. От момента мошеннического инцидента до попадания правила в работу должно пройти как можно меньше времени.
Как работает ролевая модель доступа в системе?
С помощью ролей в антифрод-системах определяются функциональные возможности и права доступа пользователей системы. Обычно выделяются такие роли:
- офицер безопасности — отвечает за мониторинг и анализ событий;
- оператор — работает с инцидентами;
- аналитик — настраивает правила и предикторы;
- аудитор — просматривает и контролирует определённую информацию в системе без права редактирования.
Это важно и нужно, чтобы разграничить доступ к разным категориям информации.
Важна ли возможность тестирования на исторических данных?
Каждый аналитик, который создаёт правило для антифрод-системы, должен его протестировать. Стандартный подход — на основе произошедшего случая мошенничества составить правило и проверить его на текущих транзакциях. Однако у такого подхода есть большой минус: пока кейс не повторится, нельзя понять, работает ли правило.
Помогает механизм тестирования на исторических данных (не путать с ретроспективностью параметров). Аналитик создаёт правило и «прогоняет» его по совершённым транзакциям: например, за интервал времени, когда был нужный мошеннический кейс. Такой прогон помогает понять, сработает ли правило при повторении кейса.
Выводы
Если компания вовремя не озаботится мерами защиты от киберпреступлений, она может столкнуться с существенными потерями. При этом неизвестно, что больше пострадает: репутация компании или её финансовое положение. Рынок антифрод-решений сейчас настолько разнообразен, что можно выбрать вариант под любую комбинацию запросов, а также получить детальную консультацию у специалистов. В любом случае это снизит риски и высвободит ресурсы для развития по другим направлениям.
Anti-Malware.ru в статье «Как не ошибиться в выборе антифрода» рассуждал о разных типах таких продуктов и разбирался в том, для каких ситуаций необходимо использовать тот или иной вариант антифрода. Эту же тему поднимали на одном из эфиров AM Live, где ведущие эксперты объясняли, как выбрать и внедрить антифрод-систему.