Е.П. Шадрин, операционный директор Cybertonica, дал интервью журналу "Банковское обозрение"
Мы адаптируем антифрод под клиентский опыт
Технологии позволяют сейчас бороться с мошенничеством более гранулярно. О новинках антифрод-систем «Б.О» рассказал Евгений Шадрин, операционный директор компании Cybertonica
— Евгений, могут ли затраты на антифрод трансформироваться в инвестиции в развитие бизнеса? Или ИБ — это всегда «кнут» от регуляторов?
— Внедрение антифрода — это, безусловно, положительная финансовая история. Во-первых, у вас и ваших клиентов станут меньше воровать денежных средств. Я не скажу: «Совсем не будут красть», потому что не существует системы, которая защищает на 100%. Но потери будут ощутимо меньше. Во-вторых, чем меньше мошеннических транзакций, тем меньше издержек на проведение чарджбэков. Чем меньше мошеннических инцидентов, тем выше индекс потребительской лояльности (net promoter score, NPS) и ниже уровень оттока (churn rate). Несмотря на то что ИБ — это «принудиловка» со стороны регуляторов, я бы не назвал ее «кнутом». Это не наказание, а скорее, одно из правил хорошего тона, которые вместе играют всем на руку.
— Поможет ли риск-ориентированный надзор со стороны ЦБ повернуть финансистов лицом к вендорам? Как добиться партнерства между менеджерами и службами ИБ?
— Банк России так или иначе всегда был ориентирован на управление рисками. Поэтому сложно говорить, что изменения в регулировании как-то кардинально изменят рынок. Но, конечно, более высокие требования мотивируют компании искать вендоров с более качественными решениями. Что касается бизнес-партнерства между менеджерами-банкирами и службами ИБ финансовых организаций, то оно сегодня просто необходимо. Важно понимать: задача ИБ — не только предотвратить риски, но и помочь бизнесу заработать. Да, «безопасник» может настроить выполнение политик безопасности в режиме «по-максимуму», но при этом будут затронуты «хорошие» пользователи, для которых взаимодействие с банковскими продуктами от этого усложнится. Необходимо искать баланс.
— Какие международные и отечественные стандарты ИБ поддерживают ваши решения?
— Выделю основные документы, касающиеся безопасности в платежной индустрии. Во-первых, Закон № 161-ФЗ от 27.06.2011 «О национальной платежной системе». Во-вторых, Закон № 167-ФЗ от 27.06.2018 «О внесении изменений в отдельные законодательные акты Российской Федерации в части противодействия хищению денежных средств». В-третьих, Положение Банка России № 382-П от 09.06.2012. Действие этих документов и соответствие им позволяет унифицировать процессы и подходы, что повышает общую эффективность ИБ. Кроме того, очень важно сейчас соответствовать требованиям НСПК по проверке денежных переводов в СБП. Например, существует ряд векторов риска, которые требуется оценивать при проведении платежей. Система нашей компании уже осуществляет мониторинг каждого из них, например, факт запроса двух одноразовых паролей за короткое время, если не было неуспешного ввода первого из них, или начало новой сессии, если старая еще не завершена. Поскольку мы работаем с платежными данными, все наши продукты и инфраструктура сертифицированы по стандарту PCI DSS (level 1). В марте этого года мы прошли очередной ежегодный аудит: независимые эксперты проверили наши оборудование и софт, после чего продлили срок действия сертификата соответствия.
— Представители компании не раз заявляли, что наступает век адаптивных приложений не только по антифроду, но и по взаимодействию с клиентом. Что это значит?
— Антифрод — это не просто замкнутая на себя система, это часть общего контура взаимодействия с клиентом и механизма приобретения им соответствующего клиентского опыта. Здесь важно не только предотвратить и минимизировать риски киберугроз, но и сделать так, чтобы пользователям было легко и удобно пользоваться платежными продуктами. Антифрод должен помогать повышать лояльность пользователей, а не вызывать их упреки! Именно эта гибкость, обеспечиваемая настройками политик безопасности и интерфейсов пользовательского взаимодействия с продуктом, и формирует понятие «адаптивность». Мы адаптируем антифрод под клиентский опыт каждого пользователя в целях выработки максимально выгодного соотношения между риском и требованиями бизнеса, например достижение заданного уровня конверсии или монетизации.
— Какие технологии лежат «под капотом» ваших решений?
— Наше решение базируется на JVM (виртуальная машина Java) для разработки серверной части платформы, на библиотеке ReactJs для построения UI рабочего места фрод-офицера, на SQL и python для аналитики. «Движок» правил оперирует Lua-синтаксисом для описания бизнес-правил и проведения скоринга. Модели обучаются на данных входящих событий, обновлений чарджбэков от клиента, на событиях обновления статуса события, а также на событиях, размеченных вручную. Обогащение данных может происходить в разные моменты времени — как до скоринга, так и после него в случае необходимости дальнейшего анализа. Если говорить о самих моделях, то мы их делим на две части: первая состоит из моделей на основе бизнес-правил и может быть скорректирована в режиме реального времени, а вторая — из ML-моделей. Способность моделей к изменениям зависит от количества данных, их сложности и специфики модели. Поэтому переобучение обычно занимает какое-то время, обычно не более одного дня. Как проверить систему на наличие ошибок первого и второго рода? Можно, например, запустить исторический АБ-тест на выявления таких ошибок и провести корреляцию правил. После переобучения модели можно сравнить показатели исторической выборки. Кроме того, существуют аналитические метрики, по которым можно понять, как ведет себя система после каких-либо изменений. Эту оценку может дать как специалист, визуально отсмотрев поведение графиков на требуемом интервале времени, так и сама система, используя предварительно настроенные алерты.
— Могут ли системы антифрода стать в итоге персональными?
— Уже сейчас антифрод является чем-то большим, нежели просто набор универсальных правил, применимых ко всему трафику. Конечно, базовые условия проверки при этом никуда не исчезают. Выяснив однажды, что перевод всей суммы денег при входе в личный кабинет ДБО с нового устройства чаще всего является попыткой мошенничества, мы этого не забудем. Однако технологии не стоят на месте и позволяют нам бороться с мошенничеством более гранулярно, отслеживая подозрительное поведение на уровне индивидуальных аккаунтов. Сейчас мы уже можем выявить и остановить мошенника, который завладел не только вашим логином/паролем, но и самим мобильным устройством. Об этом будет свидетельствовать множество признаков: то, как он вводит данные для входа, как держит девайс, какие вредоносные программы использует для своих преступных целей и многое другое. Иногда для подобного выявления достаточно только данных смартфона. Но, конечно, наиболее эффективной защита будет в том случае, если информация поступает из разных источников: это и поведение на разных девайсах пользователя, и платежная информация, передаваемая в систему банком, и, например, клиентские данные из CRM.
— Для чего нужен модуль Threat Intelligence? Поможет он противостоять фишингу?
— Threat Intelligence — это скорее реализация соответствующего аналитического подхода. Технология позволяет агрегировать и анализировать разные данные на предмет кибер-, сетевых и прочих угроз. Например, с каких IP-адресов и откуда географически приходят пользователи, попали ли их данные в IP-списки неблагонадежных, можно ли выявить различные сети мошенников? Сопоставляя данную аналитику с информацией о пользователях и их устройствах, можно качественно повысить работу антифрода в целом. Ну и, конечно, если на клиента банка будет произведена фишинговая атака, Threat Intelligence поможет отразить ее.
— Как подобная система способна снижать ущерб от социальной инженерии?
— Сегодня социальная инженерия — одна из основных и самых «прогрессивных» форм массового мошенничеств. Бороться с ней чрезвычайно трудно. Антифрод-системы в своей работе используют тысячи различных факторов, аналитику пользовательского поведения, машинное обучение и т.д. Однако этого всего еще недостаточно для того, чтобы справиться с социальными инженерами. Наверное, наиболее успешным методом отражения подобных атак продолжает оставаться информирование пользователя с подозрительным поведением прямо при использовании им системы ДБО. Наша система «понимает», что паттерны поведения данного пользователя отличаются от обычных, и отправляет ему уведомление с предупреждением о социальной инженерии. Уведомление может быть проведено в самых разных формах. Иногда оно сопровождается запросом какого-нибудь дополнительного фактора аутентификации, чтобы дать пользователю время еще раз задуматься над операцией, которую он совершает. Такое точечное уведомление позволяет добиться снижения случаев социальной инженерии на 10–15%. Но все равно «обнулить проценты» можно, только проводя постоянное информирование населения и повышая его финансовую грамотность в этой сфере на уровне государства. Считаем, что активная работа в этом направлении обязательно принесет свои плоды.
— Не станет ли в итоге оператор антифрод-системы сам объектом атаки злоумышленников, охотящихся за персональным данными?
— Безусловно, такие риски есть. Но объект интереса злоумышленников в первую очередь — клиентские данные, а только потом — конкретная ИБ-система. Почему? Очень часто множество практических кейсов ею отрабатываются без применения персональных данных, так как используются токенизированные или анонимизированные данные. Поэтому антифрод-решение — одно из самых безопасных мест инфраструктурного IT-контура платежной организации.
— На сайте компании заявлено: «Умеем обрабатывать не только платежные транзакции». Поясните, пожалуйста!
— Фрод-мониторинг принято связывать с платежами, однако его возможности гораздо шире. Мы можем защищать не только платежи, но и доступ к чувствительной информации и персональным данным. Для этого достаточно установить наши модули безопасности на страницу логина и пароля — и тогда в личные кабинеты пользователей не зайдет никто посторонний.
— Насколько сложно подключить ваши решения к SOC/SIEM финансовых организаций?
— У нас есть Open API, к которому можно подключить любое клиентское IT-решение и произвести интеграцию с ним. Поскольку спецификация API стандартизирована, это позволяет минимизировать сложность подключения. Также у нас есть интеграции с внешними источниками данных как для скоринга и обогащения данных, так и для CRM и ей подобных систем.
— Какой инструментарий доступен банковским специалистам для подключения: SDK, API, JavaScript? Как происходит обучение специалистов заказчиков? Насколько сложно развернуть in-house-версию?
— Наша компания готова предоставить пример реализованного проекта, а также SDK (набор средств разработки) для встраивания решения, отдельный JavaScript и, конечно же, документацию API. Это все позволяет минимизировать время интеграции и оперативно решать любые вопросы. Что касается обучения специалистов заказчика, то разработаны различные варианты: вебинары, консультации и тренинги как удаленно, так и очно. Клиент снабжается инструкциями и документацией, проводится его обучение в выбранной форме, а в финале по желанию можно провести анкетирование на проверку усвоения материала. В итоге развернуть как сервис, так и in-house-версию нашего антифрод-решения достаточно просто. В зависимости от потребности и готовности инфраструктуры клиента составляется план внедрения, а также разрабатывается архитектура решения: от коробочного до кастомизированного.