Третий путь. Как превратить издержки от антифрод-системы в прибыль
Хотелось бы затронуть две темы:
во-первых, поделиться, как можно для малых и средних банков организовать актуальный конкурентоспособный антифрод, какие факторы на это влияют и,
во-вторых, как можно превратить подразделение, которое отвечает за антифрод (это может быть информационная безопасность, риски или ИТ), в подразделение, приносящее бизнесу явную выгоду и помогает увеличить выручку.
ПОЧЕМУ НУЖНО РЕШАТЬ ПРОБЛЕМУ С АНТИФРОДОМ Первый фактор. Если лет пять назад можно было довольно эффективно защищаться, т.к. мошенники использовали простые вещи, например, подбирали коды для карточных транзакций, то сейчас угрозы серьёзно усложнились и простыми методами с ними бороться не получается. Второй фактор. У платежных сервисов очень сильная конкуренция и, как следствие, снижается маржинальность для транзакционного бизнеса. Это приводит к тому, что бизнесы берут на себя дополнительные риски и идут в более рискованные сегменты рынка, чем создают еще больше проблем для подразделений, занимающихся антифродом. Также, поскольку маржинальность падает, а следовательнои денег в бизнесе меньше, то и денег на решение проблемы – тоже меньше. Кроме того, между игроками на рынке существует очень большое неравенство. Представим, что есть 10 банков и вдруг в одном из них что-то меняется. В результате этот банк довольно быстро оказывается под атакой. Мошенники концентрируют свои усилия только на нём. Ужас этой ситуации в том, что банк не сделал ничего плохого. Просто он немного «отстал» от остальных, стал временно самым слабым звеном, вот атаки и переключились на него. К сожалению, такая картинка встречается достаточно часто, потому что банки, которые активно сотрудничают с платежными шлюзами-агрегаторами, подвергаются недобросовестной конкуренции, вернее встречаются с регуляторными рисками. Тот самый случай, когда платежные шлюзы, занимающиеся рискованным бизнесом, сообщают о том, что у такого-то банка есть проблемы либо регулятору (и регулятор начинает действовать по своему усмотрению), либо сообществу, в котором в том числе присутствуют недобросовестные элементы и которые занимаются противоправными действиями… и банк становится объектом атаки. Нам кажется, что никто не хочет оказаться таким слабым звеном. Отдельно важно отметить, что нужно нанимать людей, которые способны реагировать на сложные угрозы. И тут мы сталкиваемся с тем, что:
во-первых, такие специалисты очень дорого стоят, т.к. рынок ИТ серьезно перегрет;
во-вторых, найти таких людей очень сложно в принципе;
есть и другие факторы: импортозамещение, сложности с интеграцией и т.д.
Таким образом бизнес оказывается между молотом и наковальней: с одной стороны, более сложные угрозы, уменьшение финансирования, развитие внутренней компетенции, с другой - решать эти проблемы как-то надо, потому что регулятор требует выполнения регламентирующих обязательств. И если крупные банки могут себе позволить разрабатывать собственные решения или покупать чужие, то что делать множеству малых и средних банков? Еще одно соображение. Наверное, это грубо – оценивать возможности организации сделать хороший антифрод по объему активов, но,как ни крути,деньги помогают решать проблемы.
ЧТО ДЕЛАТЬ? Чтобы понять стратегию решения проблемы, нужно определиться с отношением к тому, что такое антифрод для организации, где собираются решать эту проблему. Существуют два разных подхода:
для кого-то антифрод – это просто издержки для бизнеса, и тут цели две: первая – выполнить минимум требований регулятора, и вторая – не оказаться тем самым слабым звеном;
другой подход, когда банк считает, что антифрод – это важно, что он может нести дополнительные возможности для бизнеса. Например, где-то банк участвует в цифровой трансформации и система фрода становится источником информации для скоринга, для каких-то новых таргетированных предложений для клиента.
В соответствии с отношением банка к антифроду есть несколько путей решения проблемы. Первый путь. Если организация не занимается активно транзакционным бизнесом или его уровень риска низкий, то вполне можно обойтись часто встроенными модулями антифрод-системы в ДБО или процессинге. Это нормально –такой вариант работает. Второй путь. Крупные организации могут:
делать in-house разработку;
частично использовать опенсорсинг решения, которых сейчас стало гораздо больше.
Между этими двумя путями лежит третий – использование платформы или сервиса. При этом платформа может внедряться либо внутри банка, либо в облаке. С нашей точки зрения, платформа – самое оптимальное решение.
САМОПИСНЫЙ АНТИФРОД – ПЛОХОЕ РЕШЕНИЕ Из практики. В 40% случаев у банков возникает желание (особенно у цифровых банков, электронных кошельков, платежных систем) создать собственную антифрод-систему. Существует заблуждение, что сделать это достаточно просто. Ситуация усугубляется, когда внутри есть «талантливые» разработчики, которые убеждают, что за четыре месяца напишут фрод-систему. Мы видим такое часто: в половине случаев компании выбирают этот путь, и всегда это выливается в следующую историю.
Первый этап – «изобретение велосипеда» – занимает, как правило, полтора года, т.к. выясняется, что для написания этой системы нужны дополнительные компетенции.
Второй этап. Написанная система – «сырая», а пользователи (фрод-офицеры) хотят иметь понятный интерфейс и не хотят настраивать систему. Также выясняется, что объем данных возрастает и требуется создать модуль отчетности, а далее еще сложнее.
Заключительный этап. В какой-то момент менеджмент сталкивается с тем, что развития системы нет, т.к. антифрод-разработчики уходят, то есть носители знаний покидают компанию,и поддерживать систему становится некому.
После этого заказчик приходит к провайдеру услуг и начинает выбирать решения.
ВЫБОР: СЕРВИС ИЛИ ПЛАТФОРМА? Важный момент: в случае с антифродом нужно отличать сервис от платформы, потому что антифрод как сервис для банков сложно сделать универсальным – у банка всегда есть масса своей специфики, свой взгляд на процессы и на то, как должен работать антифрод. Как правило банки не ищут сервис с антифродом, то есть готовое решение стандартной проблемы. Банки ищут конструктор, который могут настроить с помощью поставщика или без него. Они могут собрать решение, которые идеально подходят именно для них. Важно подчеркнуть, что для банков нужно обеспечить не только защиту какого-то платежного канала или канала ДБО, а комплексную защиту кросс-канального мониторинга. Как правило сервисы этого сделать не могут.
О ПРЕИМУЩЕСТВАХ И НЕДОСТАТКАХ ОБЛАЧНЫХ ПЛАТФОРМ Важное преимущество облачной платформы для антифрода, как минимум на начальном этапе: данные можно обновлять каждый месяц, что очень важно для антифрода. Мошенники активно подстраиваются и обновлять антифрод два раза в год нельзя, это – не эффективно, это не работает! Из недостатков облака:
Первое – проблема доверия. Игроки на рынке не доверяют друг другу, не доверяют поставщикам данных. Трудно представить, что конкурирующие между собой банки или банки, принадлежащие разным группам, давали бы друг другу антифрод (возможно, для других сервисов ИБ – это и не такая проблема);
Вторая проблема – обработка персональных данных и банковской тайны. Решается она путем анонимизации данных. Возможно, есть и какие-то другие варианты решения.
Важное преимущество платформы – уметь работать с данными, которые поставляют игроки рынка. Поясним, в цепочке платежа может участвовать много игроков,и каждый из них может иметь антифрод. В каждом случае могут быть внутренние нарушители и, в идеале, платформа в рамках рынка должна уметь работать со всеми участниками и обеспечивать обмен данными между участниками – как поведенческими профилями, включая транзакционные профили в обезличенном виде (с их согласия), так и данными с поставщиками внешних данных (провайдеры или регулятор). Платформа должна обеспечивать две вещи с точки зрения интеграции:
первое – сбор цифровых отпечатков устройств и поведенческих профилей,что важно для того, чтобы обнаруживать ботов, автоматизацию мошеннических платежей, а также пользователей, которые активно меняют устройства, используют виртуальные машины, что актуально в большей степени для рисков IML комплаенс;
второе – транзакционный мониторинг.
АНТИФРОД КАК ИСТОЧНИК ВЫГОДЫ Практические кейсы. Первый – банк-эмитент. Была внедрена платформа антифрода для кросс-канального фрод-мониторинга. Оказалось, что антифрод в банке – уникальное место: в нем в режиме реального времени есть: 1) платежные данные, 2) поведенческие данные, 3) данные от поставщиков данных (это может быть что-то от intelligence, а может – что-то связанное с интересами пользователя, маркетинговые данные). И тут же в режиме реального времени можно применять, как минимум, бизнес-правила, а как максимум – статистические модели машинного обучения. Как результат – антифрод стал источником данных для решения задач не только кибербезопасности – подразделение, занимающееся антифродом, вышло с инициативой и получило поддержку у бизнес-подразделения. Были написаны новые бизнес-правила – стали предлагать адресные предложения клиентам в режиме реального времени. Более того, теперь бюджет антифрода финансируется другими бизнес-подразделениями банка. Второй кейс. Банк-эквайер с достаточно большим портфелем мерчантов. И у мерчантов и у эквайеров проблема в том, что маржинальность бизнеса падает, конкуренция очень большая, т.к. эквайринг совершенно стандартная услуга. С внедрением системы фрода были достигнуты следующие результаты: банк был выведен из программы рисков Визы и Мастер-кард, конверсия повысилась на 4%, а количество чарджбэков снизилось в два раза – за счёт более грамотного управления: в политиках безопасности банка были сделаны изменения. Первое – по рекомендациям фрод-системы определенные транзакции были направлены не через 3D-secure, и второе – карточки иностранных эмитентов тоже принимаются. Третий кейс – Яндекс-такси во время Чемионата мира по футболу. Существовали риски – приедет много иностранцев, а истории платежей по их карточкам нет. Внедрение фрод-системы (за два месяца) на стороне платежного шлюза позволило оперативно отслеживать платежи, даже с учетом того, что иностранцы переезжали из города в город.
Подводя итоги, хотелось бы отметить три момента. 1. Антифродом заниматься нужно, чтобы не оказаться самым слабым звеном. 2. Малым и средним банкам для выполнения фрода нужно выбирать не сервис, а облачную платформу с инструментарием, который позволяет настроить платформу под свои правила и нюансы. 3. Антифрод может превратить издержки в прибыль за счет создания дополнительного дохода на базе исходных данных, которые получают от фрод-системы.