Аферы в банковской сфере: невидимая война

1253
Александр Дмитриев Бизнес-консультант по индустриальным решениям, ведущий системный архитектор, Клиентский центр IBM в России и СНГ
Гаяне Арутюнян архитектор Клиентского центра, IBM Россия и СНГ

…Надо взять раствор обыкновенной поваренной соли и винного камня, получаемого из осадка в бочках с выдержанным много лет вином. Медные монеты с небольшим содержанием серебра надо выдержать в этом растворе до тех пор, пока состав не выест медь на поверхности и не высвободит тонкий слой серебра. Медная монета будет казаться серебряной…

Рецепт фальшивомонетчиков Древнего Рима

Противостояние мошенников, проворачивающих аферы с деньгами, уходит корнями во времена до нашей эры. Мы слабо представляем себе размах индустриального развития того времени. Французский археолог Анри Лот обнаружил в Тассили-н-Анджер, что в Северной Африке, промышленную фабрику по выплавке металла: более шести тысяч плавильных печей на компактной территории. Золото добывалось сотнями тонн, причем современных археологов поражала чистота выработки руды. Исследования показали, что римляне, обнаружив золотоносную породу, с помощью рабов испещряли целую гору туннелями, укрепляя проходы деревянными столбами. Потом столбы поджигались, и гора обрушивалась под своим весом, превращаясь в рыхлую массу. В это время уже был заготовлен канал для отвода ближайшей реки, на дно которого сваливались горы сосен. Поток реки перекрывался и направлялся на гору, затем в канал. Хвоя деревьев задерживала золото, а пустая порода промывалась целой рекой. Затем воду снова перекрывали, лес обсыхал на палящем солнце Африки, и все это поджигалось. Из золы и пепла выбирались готовые слитки золота. Не все современные предприятия добиваются такой полноты выработки… Сотни тонн золота в год.

Несмотря на то что только на рудниках Нового Карфагена (это современный город Картахена в Испании) во втором веке до новой эры около 40 тысяч рабов добывали золото и серебро для Римской империи, денег всем не хватало. И сегодня, сталкиваясь с мошенничествами в финансовой сфере, мы видим уже борьбу противников с опытом двух тысячелетий.

Вот размах бедствия:

По данным Financial Fraud Action UK2 – (FFA_UK )1, финансовые потери при использовании кредитных карт, удаленного управления счетами и чеками в 2015 году оценивались в 755 млн фунтов стерлингов, что на 26% больше по сравнению с 2014 годом. Причем три четверти «фрода» (от английского fraud, «мошенничество») происходит с банковскими картами. Мошенников не пугают серьезные наказания, да и когда они их пугали? С 1285 года в средневековой Германии фальшивомонетчиков и аферистов варили заживо в кипятке, но не помогло… Нужны другие инструменты, другие методы.

И они есть. В том же 2015 году было предотвращено преступлений на 1,76 млрд (!) фунтов стерлингов, то есть спасены каждые 7 из 10 фунтов, на которые покушались мошенники. Это неплохой результат, как нам кажется.

Чем же оснащена своеобразная армия, противодействующая мошенничеству? Кто поставляет инструмент для обнаружения обмана?

Для того чтобы выявить аферистов, например, используется мощное программное обеспечение, которое выпускает компания IBM. Модульные и пакетные программы (i2, SPSS, Watson Content Analytics, Big Insight, Case Manager и другие) используются в связке для выявления подозрительных действий и операций на невидимом фронте финансовой активности.

Как это делается?

Во-первых, в алгоритмы и методы обнаружения «фрода» уже заложен огромный опыт успешных операций по обезвреживанию мошенников. Схемы, которые когда-либо использовались, описываются в виде модели (для этого, например, используется мощный пакет SPSS Modeller), и данные от финансовых операций прогоняются через анализатор SPSS Analytics Server. Для примера возьмем один из самых простых методов отмывания денег. Крупные суммы, чтобы не привлекать внимания контролирующих органов и служб финансовой безопасности банков, делятся на небольшие и переправляются по разным каналам, так сказать, «мелкими пташечками». Система слежения за финансовыми транзакциями, созданная компанией IBM, может не только отследить все эти транзакции, но и привязать их к источнику и цели финансовых операций. Также можно отследить зависимости по времени, выявить через анализ другой информации (e-mail, телефонные звонки и т.д.) всю сеть участников аферы, установить IP-адреса устройств, с которых проводились операции или поступала информация. В результате будет детально представлена вся схема мошенничества и все участники.

Какие известны наиболее распространенные виды мошенничества в банках? Есть разные виды мошенничества, например, связанные с процессингом:

•   незаконные операции с кредитными картами

•   ATM Skimming( подделка банковских карт)

•   подделка банковских чеков

•   незаконные операции с кредитами

•   подделка отчетности

•   незаконное использование инсайдерской информации и т.д.

Но также есть и наиболее опасные варианты, это так называемый внутренний фрод, когда сотрудник банка или финансовой организации пользуется своим служебным положением и опытом для аферы.

Наша команда выявила ряд актуальных сценариев злоупотреблений сотрудниками для конкретного российского банка.

Это:

•   кража наличных средств путем подключения к системе дистанционного банковского обслуживания (ДБО) клиента без его ведома

•   несанкционированные операции с банковскими картами

•   мошеннические действия при приеме или снятии наличных средств со вкладов

•   мошеннические действия с кредитными картами, выпущенными банком, но не активированными клиентами

•   злоупотребления служебным положением с использованием логинов и паролей других сотрудников и т.д.

Казалось бы, схемы известны, методы понятны. Какие же сложности испытывает банк, финансовая компания, сталкиваясь с мошенничеством?

Во-первых, постоянно возникают новые схемы. Преступники не дремлют. Особенно важно, что наиболее часто преступления совершают люди, которые давно работают в банке и пользуются авторитетом и доверием.

Правда, портрет потенциального преступника тоже известен, и это помогает в борьбе с подобными «оборотнями». В 90% случаях, согласно статистике, это мужчины с высшим образованием и стажем работы не менее 7–10 лет внутри организации, занимающие достаточно высокие должности, т.е. менеджеры верхнего звена. Около половины финансовых потерь причиняют люди с высшим образованием. Потери от мужчин-мошенников примерно в четыре раза выше, чем от женщин.

Психологический тип мошенника включает такие черты, как неуравновешенность, вспыльчивость, безответственность, алчность. Также важна жизненная ситуация: долги, мечты о крупной покупке делают человека склонным к авантюрам и сомнительным поступкам… Как ни странно, мягкие, робкие люди тоже входят в группу риска – они могут под нажимом согласиться на аферу.

Но при всем опыте и понимании существующих схем борьба с мошенничеством осложняется целым рядом факторов, в первую очередь нехваткой ресурсов. Ведь атаки идут по множественным каналам, возникает необходимость обрабатывать структурированные и неструктурированные данные, зачастую не хватает времени для оценки риска мошенничетва, так называемого административного ресурса. Также существенно важным является правильная организация взаимодействия между различными департаментами, каждый из которых может заниматься своими типами расследований.

Таким образом, комплексное решение IBM превращает сложные невзаимосвязанные данные в аналитику, то есть собирает разные массивы данных из многих источников, визуализирует их разными способами с целью логического обоснования преступления и предоставления отчета регулирующим органам.

Важно, что система противодействия мошенничеству от IBM может «впитывать» в себя в автоматическом режиме данные от уже установленных систем борьбы с фродом, объединять эти данные, делать анализ более глубокого уровня и обнаруживать новую полезную информацию. Это существенно повышает полезную отдачу от системы, процент раскрываемости попыток мошенничества.

Это единое мультиканальное решение покрывает весь бизнес-процесс, включая:

•   сбор информации

•   автоматизированный анализ

•   скоринг и обработку подозрительных инцидентов

•   расследование

•   формирование отчета

Для сбора, нормализации
и консолидации всех данных, значимых для анализа мошенничества, используется специализированное хранилище – Data Warehouse –
Fact Store. Оно позволяет провести расследование инцидентов и автоматизированное создание отчетов. При этом происходит двухканальный анализ данных: логический и статистический, в том числе с возможностью ветвления логики.

Открытый интерфейс с возможностью легкого изменения правил позволяет пользователям легко работать с системой без специализированных навыков программирования, при этом обработка инцидентов поддерживает существующий в компании документооборот.

Ниже показано окно интерфейса аналитика по разработке новых правил при создании схем противодействия мошенничеству: аналитик оперирует целыми блоками, каждый из которых выполняет свою функцию (рис. 1).

Рис. 1. Интерфейс работы аналитика по разработке новых правил

Также важнейшей частью анализа является так называемый скоринг (подсчет баллов), от английского слова score. Идея скоринга достаточно проста: за те факторы, которые связаны с меньшими рисками, начисляются больше баллов для того, кто проходит проверку или оценку (скажем, на кредитоспособность). Простой пример: согласно статистике, женщины во всем мире гораздо аккуратнее выплачивают кредиты, поэтому при получении факта о том, что кредит просит женщина, ей выставляются за этот параметр (половой признак) больше баллов, чем мужчине. По сумме параметров (возраст, образование, пол, наличие работы и т.д.) общий счет баллов должен превысить определенное значение для того, чтобы кредит был одобрен. Так же можно подсчитывать баллы и при оценке риска для какой-либо компании.

Ниже дается пример окна интерфейса для скоринговой системы, являющейся частью решения IBM. В зависимости от изменяющейся ситуации, накопления опыта и данных, системой легко управлять, изменяя ее параметры.

Скоринг очень важен, но если говорить о его значимости как элемента процесса принятия решений при оценке рисков, то его вес как в капиталовложениях, так и в самой процедуре составляет не более 10% от других связанных вопросов.

Одним из важнейших факторов в процессе принятия решений является качество данных. Если вопросам качества данных изначально не уделялось должного внимания (это незаполненные анкетные данные, текстовые строки, манипуляции данными как самими заемщиками, так и сотрудниками банка), это сводит на нет все последующие вопросы разработки качественных скоринговых моделей.

Системы аналитики IBM помогают существенно облегчить процесс очистки данных и превращение их в такие данные, которым можно доверять.

После того как анализ данных показал, что произошли подозрительные события (инциденты), система позволяет их обработать и принять автоматически решение:

•   о немедленной блокировке транзакции

•   о необходимости ручного расследования

•   о признании события малозначимым

Дело в том, что существующие системы противодействия мошенничеству зачастую выдают большое количество «красных флажков», то есть сигналов о возможном мошенничестве. Но до реального расследования доводятся единицы процентов из этих сигналов. Реагировать на все попросту не хватает ресурсов.

Система аналитики IBM позволяет существенно повысить уровень достоверности сигнала и снизить шум. Таким образом, отдел расследований концентрирует свои усилия на действительно опасных и подозрительных случаях, что существенно повышает качество его работы.

Руководитель же видит все ведущиеся работы в едином окне и может ими легко управлять (рис. 2).

Рис. 2. Пример окна интерфейса для руководителя

 Мощный аналитический инструментарий i2, входящий в решение, позволяет проводить детальное расследование инцидентов с возможностью обогащения информации, создавать полную доказательную базу и формировать на основании этого опыта новые правила для борьбы с мошенничеством.

Вот как выглядит визуально картина выявленных связей между субъектами и объектами, участвующими в расследовании.

Более того, система позволяет выявлять аффилированность (то есть скрытые связи, чаще всего незаконные или неафишируемые) юридических лиц вплоть до глубоких уровней, и вот как это выглядит (рис. 3):

Рис. 3.

Таким образом, практически все необходимые этапы при процессе борьбы с мошенничеством охватываются мощной аналитикой решения IBM. Если суммировать, то это решение обладает следующими важными преимуществами:

•  полнота покрытия бизнес-задачи борьбы с мошенничеством силами единой системы с единым порталом доступа

•  гибкость внедрения – возможность учета локальных особенностей бизнес-процессов и автоматизация их в системе

•  открытая архитектура – возможность включения в логику системы существующих решений и бизнес-процессов

•  однократное подключение к источникам данных, наличие хранилища фактов

•  возможность немедленной реакции на события, например, блокировка транзакции

•  возможность глубокой модификации логики работы системы, создания своих правил и модификации существующих баз программирования

•  возможность созданий правил анализа с логическим ветвлением типа «если, то»

•  ролевая модель доступа к системе и организация бизнес-процесса обработки мошенничества

•  предиктивный статистический анализ

•  передовая технология проведения расследований на базе i2

В этой статье мы хотим показать, что проект состоит из ряда важных этапов, каждый из которых предполагает применение определенного модульного похода и продуктов из линейки IBM.

Во-первых, всегда выясняются функциональные требования к системе. Их должен сформулировать клиент на основании его конкретных бизнес-задач. Клиент может сформулировать бизнес-задачи на самом верхнем уровне, так сказать, в общем виде. Например, «мы хотим использовать машинное обучение системы» или «нам нужно использовать большие данные и онлайн-аналитику». Специалисты Клиентского центра IBM помогут на основании своего опыта и знания решений и продуктов компании перевести эти общие требования в расширенный ряд конкретных функциональных требований для построения системы.

Вторым важнейшим моментом является работа с данными клиента. Как в кулинарии, мало хотеть испечь торт, надо еще иметь все составные компоненты – яйца, муку, сахар и т.д. – а также знать рецепт. В качестве рецепта у нас выступает методология и опыт экспертов. А данные являются теми компонентами, которые дадут крепкую основу для решения. Если у нас недостаточно данных (компонент) или мы не знаем методику (рецепт), результата (торта) не получится.

Наиболее частые проблемы с данными – это их целостность. Например, в карте сотрудника есть имя и фамилия, но нет привязки к его логинам и паролям или отсутствует инфомрация о системах, с которыми он может работать.

Также важна непротиворечивость данных: например, у одного и того же сотрудника не может быть нескольких табельных номеров. Хотя по факту такое случается сплошь и рядом в реальных базах данных. Исправление этих ошибок является отдельной серьезной работой в проекте.

Наконец, избыточность или неполнота данных также может существенно повлиять на качество анализа. Но наши сотрудники имеют большой опыт по решению задач этого этапа. Более того, на основании опыта компании IBM создана модель, которая позволяет провести работу с данными клиента, выбрать нужные данные, дополнить недостающие и получить высокое качество результата.

Далее следует создание архитектуры решения (в реальности ее создание начинается уже параллельно с этапом работы с данными). Архитекторы выбирают из всего спектра аналитического инструментария IBM те функциональные модули, которые позволят решить определенные на описанных выше этапах функциональные требования. Архитектура охватывает сразу несколько уровней – от инфраструктуры через промежуточное ПО до уровня бизнес-приложений и интерфейсов работы клиентов.

И теперь уже наступает очередь анализа. В зависимости от полноты и объема данных подбирается методика самого анализа. Например, в некоторых случаях при нехватке данных можно их «размножить», если существует повторяемость циклов по времени. Скажем, если у нас есть данные о погоде за много лет, отсутствие данных за какой-то один месяц может быть апроксимировано на основании данных о том же месяце в другие годы. В других же случаях мы можем определить так называемое дерево решений, когда события определяются рядом параметров, и все они между собой связаны с определенной вероятностью. Тогда можно на основании этого дерева решений с определенной степенью достоверности также предсказывать будущие события. Есть методика поиска аномалий, методика кластеризации, нейронные сети и т.д.

Очень важен и собственный опыт работы с решением на конкретных данных. В Клиентском центре IBM в Москве наша команда создает прототип решения достаточно быстро за счет модульности входящих в состав решения продуктов. Построение профиля сотрудника, который склонен к противоправным действиям, дерева решений по обработке алертов (тревожных сигналов), применение байесовской сети для увеличения качества результатов при большой неопределенности, применение нейронной сети для повышения уровня прогнозной модели, поиски аномалий в действиях сотрудников и систем – все эти практические задачи решаются для реального банка с учетом его специфики.

Невидимая война на финансовых фронтах не закончится в ближайшей и даже в отдаленной перспективе. Всегда будут появляться те, кто пожелает незаконно обогатиться за наш с вами счет. Именно поэтому использование самых современных технологий для противодействия этим попыткам сохраняет и будет сохранять актуальность.

ПОДЕЛИСЬ С ДРУЗЬЯМИ: