Внутреннее мошенничество: поиск аномалий

Сергей Терехов
Руководитель направления
по противодействию мошенничеству
ЗАО “АМТ-ГРУП"

Кто под ударом?

С действиями внутренних мошенников можно столкнуться практически в любой отрасли. Наиболее эффективную борьбу мы можем вести в организациях, повсеместно использующих различные автоматизированные системы. В первую очередь к таким относятся: банки, страховые компании, телеком, ритейл, а также предприятия ТЭК и промышленности. Рассмотрим сценарии внутреннего мошенничества в различных отраслях.

Банки
Операции со "спящими счетами". Счет признается "спящим", если за длительный промежуток времени по нему не было ни одной операции. Преступник уводит средства на свой счет с возможностью возврата их в любой момент.

Ритейл
Установка некорректной цены на товар и манипуляция с картами лояльности. Предоставляются скидки как родственникам и знакомым, так и сторонним лицам. Сотрудник получает повышенный официальный бонус от продаж, а также фиктивный бонус в виде разницы между официальной ценой и скидкой.

Нефтяная отрасль
Мошенничество персонала в рамках легитимного технического пролива топлива на АЗС. Например, возврат топлива в ТРК с заданным видом топлива с запозданием, вне норматива времени, либо проведение операции технического пролива без соответствующей авторизации.

Актуально для любой отрасли
Мошенничество со стороны IТ-персонала. Несанкционированное внесение изменений в исходный код, осуществление мошеннических действий и возврат кода в исходное состояние.

Основные задачи и способы борьбы

Каждое действие пользователя оставляет цифровой след. Соответственно необходимо осуществлять сбор и регистрацию всех действий. В одних компаниях требуется выявление мошенничества в режиме реального времени, в других достаточно анализировать данные с определенными временными промежутками.

Объем информации, поступающей со всех бизнес-систем, может быть огромным. Требуется выбрать подходящее техническое решение, способное осуществлять поиск иголки в стоге сена.

Во многих компаниях в качестве технического решения по борьбе с внутренним мошенничеством применяются:

• SIEM-системы;
• встроенные средства журналирования бизнес-систем;
• системы контроля действий привилегированных пользователей.

Для примера, среднесуточное число транзакций в крупном банке может достигать 10 млн. Расследование с использованием перечисленных традиционных средств защиты может длиться недели и более. Таким образом, данные системы не решают поставленных задач и требуются специализированные системы по борьбе с внутренним мошенничеством (далее – система).

Профилирование и выявление аномалий

Ключевым отличием системы является возможность мониторинга не только технических параметров, которые содержатся в логах бизнес-систем, но и отклонений от установленных бизнес-процессов.

Большим преимуществом системы является не только предотвращение мошенничества в момент его появления, но и работа на опережение – предотвращение хищения средств до того, как оно было совершено. Например, можно поставить сотрудника на дополнительный контроль, повысить допустимый уровень риска для некоторых служащих из разных подразделений и, возможно, состоящих в сговоре.

Главной особенностью системы является профилирование. Создаются профили, включающие в себя различные существенные характеристики профессиональной деятельности должностных лиц, в том числе и поведения человека на рабочем месте, и отклонение от этих профилей считается аномальным поведением. Примером аномальной деятельности может являться чрезмерно частый просмотр счетов клиентов за короткий промежуток времени. Возможно, злоумышленник ищет себе жертву. Как правило, ему нужен либо крупный счет, либо он ищет "спящий счет", который можно использовать для собственного обогащения. Такое поведение стандартными системами контроля невозможно отследить.

Заключение

Противодействие внутреннему мошенничеству актуально для любых отраслей. Внедрение системы позволит значительно сократить убытки, связанные с мошенничеством. Более того, известны случаи, когда система окупается уже в рамках пилотного проекта.