12.03.2015

Какие ИТ-меры нужно принимать банкам для борьбы с фродом?

DSC_03173

Автор: Рустам Бедрединов

Должность: директор департамента управления рисками компании «Информзащита»

Объемы банковского фрода растут из года в год. Автор книги «Управление операционными рисками банка: Практические рекомендации» и директор по управлению рисками “Информзащиты” Рустам Бедрединов рассказал в блиц-интервью о том, какие виды фрода существуют и как с ним бороться.

Какова динамика и объемы банковского фрода на сегодняшний день?

Во-первых, банковский фрод состоит из подвидов: кредитного фрода, транзакционного, ДБО, внутреннего фрода, РКО фрода.  Во-вторых, нет единого подхода к подсчёту фрода в рамках подвидов. Например, по кредитному фроду у самого банка часто нет однозначного мнения, что признавать таковым, а что не признавать – у кого-то это fpd (first payment default – отказ клиента от платежей с первого месяца), у кого-то spd (со второго), у кого-то tpd (с третьего). Кто-то, напротив, считает фродом только те случаи, по которым были возбуждены уголовные дела. Аналогичная ситуация и по иным подвидам фрода.

В-третьих, банки обычно «не выносят сор из избы», т.к. это критично влияет на лояльность клиентов и может вызывать их отток (что прежде всего влияет на ликвидность и комиссионные доходы). Банки обычно не предоставляют достоверные данные не только регулятору, но даже привлекаемым внешним аудиторам.

В-четвёртых, значительная часть фрода находится в латентном состоянии и её не детектируют сами банки. О размере фрода и его динамике можно судить только по косвенным признакам: например, по тому, что говорят на конференциях менеджеры, курирующие кредитные, фрод- или операционные риски. Согласно этому критерию совокупный размер фрода (кредитного, транзакционного, ДБО, внутреннего, РКО-фрода) растёт. Пик роста приходился на прошлый год, когда применяемые банками меры не имели должной эффективности (например, не использовались антифрод-системы, SMS пароли отправлялись без проверки IMSI кода, снятие средств клиентом со счёта проводилось без акцепта в системе и т.д.). Думаю, ситуация сохранится в ближайшие два-три года, после чего пойдёт на спад. Закономерному спаду будет способствовать повышение эффективности риск-систем и наработки методологии организационных антифрод-мер и процедур. Также набирает обороты визуальная идентификация и верификация пользователей и злоумышленников, скоринговые карты, автоматический анализ соц.сетей, интернета и так далее.

Какие ИТ-меры нужно принимать банкам для борьбы с фродом?

Это комплексная задача, которая не может быть решена только внедрением систем класса анти-фрод, SIEM, GRC, двухфакторной аутентификации. О высоком уровне защищенности можно говорить только в том случае, если банк комплексно решает задачу – использует весь спектр вышеперечисленных систем и применяет актуальные организационные механизмы (распределения прав, назначения лимитов на операции и т.д.), поддерживает высококвалифицированную риск-команду (по операционным рискам, рискам ИБ, фрод рискам), методологию, отчетность, индикаторы.

Какие существуют тенденции на Западе в этом направлении?

Можно отметить наличие на Западе таких специфичных схем мошенничеств как:

  • «bust out» – когда злоумышленник постепенно создаёт себе хорошую кредитную историю, набирает как можно больше кредитов, после чего скрывается;
  • фрод типа «похищение личности», когда злоумышленник, используя различные способы, идентифицирует себя перед банком как другой реально существующий человек, получает от его имени кредит и скрывается (похоже на то, когда у нас получают кредит по утерянному паспорту).

Также всё большее распространение получают различные схемы ДБО-фрода с использованием высоких технологий, программных вкладок, вирусов.

Механизмы противодействия фроду также имеют тенденции к изменениям. Например, некоторая часть антифрод-сервисов уходит в «облака», на аутсорсинг или аутстаффинг.

Хватает ли законодательной поддержки в области защиты от мошенничества?

Да, хватает. Государство прямо и косвенно принуждает банки к эффективному управлению своими фрод-рисками. Во-первых, согласно недавним нормативным изменениям, клиенты имеют больше шансов получить от банка возмещение средств, похищенных с их счетов, нежели чем это было два года назад. Большая отдача для предотвращения кредитного фрода сейчас исходит от бюро кредитных историй.

Во-вторых, государственные банки также «давят» на коммерческие – они постоянно улучшают свои сервисы и снижают тарифы, чем вызывают заметный отток клиентов из других банков и заставляют их задумываться о снижении издержек, прежде всего от фрода.

В-третьих, можно надеяться, что предпринимаемые государством инициативы, касающиеся сферы безопасности, существенно снизят уровень фрода в будущем. К таким инициативам можно отнести:

  • внедрение электронного паспорта (если в доп. офисах поставят считыватели паспортов, а идентификация граждан будет проходить через единый государственный центр идентификации -  значительная часть кредитного  и РКО фрода уйдет);
  • внедрение налога на интернет. Подразумевает под собой аутентификацию каждого пользователя единым государственным центром идентификации (заплатил он налог или нет для доступа в интернет). Данный метод также может быть использован банками как дополнительный фактор идентификации или верификации, что послужит снижению кредитного и ДБО-фрода при дистанционном кредитовании.