Статью про информационную безопасность, на удивление, хочется начать с расхожей в стендапе фразы: «а было ли у вас?...».  Поэтому не буду себе отказывать в удовольствии и спрошу: бывало ли такое, что ты пришёл в организацию поднимать процессы противодействия мошенничеству, а бизнес будто бы говорит на другом языке? Ты говоришь: «Успех последнего эксперимента оказался фродом», а бизнес слышит что-то в стиле: «Я. Есть. Грут», в результате чего вы не можете найти точки соприкосновения для решения текущих проблем.

За 6 лет работы в сфере информационной безопасности я проходил этот диалог на всех местах работы и на всех уровнях сложности: от малого бизнеса до крупнейших компаний нашей страны. Поэтому эта статья будет о «наболевшем» и попробует помочь читателям решить проблемы, с которыми лично я постоянно сталкивался при построении «win-win» процессов противодействия мошенничеству в бизнесе.

Для кого пишу?

Для начинающих менеджеров в сфере антифрода, а также для тех, кто решил строить безопасные процессы cамостоятельно (но я, конечно, не рекомендую). Начнем!

Языковой барьер между бизнесом и безопасностью

Почему же вообще возникает разница языков между безопасностью и бизнесом? Дело в том, что рисковики в сфере противодействия мошенничеству — это специалисты, которые буквально «заточены» на поиск и избавление от всех возможных уязвимостей для минимизации рисков денежных потерь. А бизнес говорит на языке цифр, эффектов, процентов, профита — всего того, что приносит деньги. И здесь важно научиться «сидеть на двух стульях», сохраняя баланс между разумными мерами по инфобезопасности и интересами бизнеса. Соответственно, первое, с чего стоит начать выстраивание процессов противодействия мошенничеству – это продуктивный диалог с бизнесом. Ведь фрод есть всегда, а всех денег мира не заработаешь.

Рассказываем бизнесу про проблемы

Интересный факт: в соответствии с уголовным кодексом РФ под статью мошенничества может попасть практически любое хищение информационных активов: от реальных денег до баллов на картах лояльности. Это значит, что рисков и возможностей для фрода в любом бизнесе предостаточно, даже если это не банк или маркетплейс, который напрямую занимается продажей товаров или услуг. Поэтому важно защищать не только реальные денежные средства, но и потенциальную выгоду от получаемых продуктов. Например, в Кошельке есть развитая система лояльности, акции, кэшбэки, оплата долями, а также купоны, которые можно выпустить в приложении.

Итак, чтобы донести бизнесу важность существующих проблем, мы будем действовать в три шага:

1. Выявляем уязвимости 

2. Оцениваем проблемы на языке бизнеса = говорим реальными цифрами и считаем деньги.

3. Предлагаем меры по минимизации существующих рисков мошенничества и ищем компромисс.

Давайте пройдёмся по этим этапам чуть подробнее.

Этап 1. Как найти фрод в компании

Каждый рисковик должен знать... свой продукт. Так что первое, с чего мы начинаем процесс — изучение продукта и ответ на вопрос «на чём зарабатывает наш бизнес». Зачастую, где больше всего денег, там больше всего потерь.

Далее нужно найти лиц, принимающих решения по продуктам. Это поможет вам сэкономить кучу времени и быстро решать возникающие проблемы с сотрудниками, обладающими нужными вам полномочиями. Общаясь с коллегами без права принимать решения, можно потерять очень много времени в попытках объяснить, чего ты хочешь, и не получить от этого никакой пользы.

После этих процедур начинается самое интересное для любого специалиста по противодействию мошенничеству — поиск текущих и потенциальных логических уязвимостей в продуктах.  Я всегда ассоциирую этот процесс с детективными фильмами и называю «думай, как мошенник».

У нас есть два основных инструмента, с помощью которых можно выявить всё, что угодно: само приложение/сайт/продукт, а также система логирования действий клиентов. Для поиска фрода вам нужно понять, как связывать действия в приложении с их отображением в системе логирования, а затем выделить из всех логов всевозможные рисковые события для анализа. Эти события могут быть совершенно разными в зависимости от специфики бизнеса – регистрация, вход в приложение, выпуск карты, создание заявки на продукт, бронирование отеля, совершение покупки, возврат покупки, изменение персональных данных, а в особенности контактных данных, отправка смс-сообщения, получение кэшбэка и т.д.

А что делать, если системы логирования в организации ещё нет? Что ж, тогда надо сразу поставить в разработку задачу построить логирование с приоритетом 0, так как без логов мы не сможем вообще ничего выявить ???? Вот каким критериям должна удовлетворять подобная система:

1. Умеет фиксировать каждое действие клиента в приложении. Идеально, когда логирование осуществляется на основе elasticsearch. На мой взгляд, это самый удобный инструмент для наглядного анализа логов. Чем больше информации – тем больше выводов мы сможем сделать.

2. Из системы логирования можно делать различные выгрузки в excel.

3. Система логирования умеет выделять в логах уникальные сквозные сущности, которые необходимо использовать. Например, идентификатор пользователя, заказа, сессии, карты, устройства и т.д. 

Также поиску фрода в продуктах может помочь наличие полноценной аналитической системы, например, Amplitude/Firebase/MixPanel. Данные системы позволяют строить отчёты, делать различные выгрузки, имеют достаточно простой и интуитивно понятный интерфейс, что отлично подходит для анализа событий с мобильного клиента. В отдельных аналитических системах можно настроить алертинг.

Анализируем события

К этому моменту вся подготовительная работа проведена: у нас есть понимание, что такое рисковые события, и как они выглядят в логах. Следующий шаг — понять, сколько каких событий в единицу времени является нормой, а сколько — аномалией. В аналитической системе с автоматическим построением отчётов вы сразу увидите всплески, на которые всегда стоит обратить внимание и изучить причину их возникновения. Давайте в качестве рискового события разберём регистрацию пользователя в приложении. На этом этапе в теории можно определить:

• Персональные данные зарегистрировавшегося пользователя;

• Параметры устройства, с которого зарегистрировались;

• Параметры сим-карты (если регистрация была с мобильного устройства);

• Куки-файлы (если регистрация была через браузер);

• Геопозицию;

• Любую другую информацию, которую умеет собирать приложение с вашего устройства (историю звонков, контакты, установленные приложения и т.д.).

По всем этим параметрам за исключением персональных данных (меры безопасности из 152-ФЗ), можно строить выгрузки и отчёты, просмотреть логи и попробовать найти подозрительные всплески.

Любое рисковое событие можно разложить на имеющиеся параметры действия, а затем построить статистику по всплескам. Давайте разберём пример с регистрацией пользователей в приложении. Берём сессионную аналитику устройств и смотрим количество регистраций в разрезе месяца.

С одной стороны, на этом красивом графике регистраций нет ничего подозрительного.

Но если посмотреть на него же в разрезе дней, то мы сразу обнаружим, что в июле произошла аномалия по количеству подобных событий в день.

Отличный повод изучить это подробнее. Лично я в подобных случаях сразу обращаю внимание на использование клиентами устройств. Если фрод точечный, то обычно злоумышленников достаточно мало и они используют несколько устройств. Если фрод глобальный, то, скорее всего, схема фрода уже скачет по всему интернету и её активно используют. Далее делаем график регистрации пользователей с одного устройства по месяцам, и тоже видим подозрительный всплеск с одного устройства в июле.

Это означает, что злоумышленник обнаружил какую-то уязвимость и активно использовал её, а потом что-то пошло не так. Вероятно потому, что сама по себе регистрация в приложении сильной выгоды для пользователей не несёт, а вот потом можно получить выгоду с каких-нибудь приветственных акций... но это уже совсем другая история.

Дополнительно можно изучить публичные (+ по возможности закрытые) интернет-ресурсы, на которых обычно могут публиковаться схемы мошенничества, на языке мошенников «темки», «скамы», «мамонтизации» и др. Таких ресурсов и схем действительно очень много. Честно говоря, я каждый раз удивляюсь, как люди вообще их находят. Выгода от таких схем на человека обычно небольшая, но из-за распространения подобных схем в интернете потери для бизнеса могут оцениваться миллионами.

 Вы также можете попробовать выявлять эти схемы самостоятельно. Просто пользуйтесь своим продуктом, обращайте внимание как на свой опыт, так и на похожие случаи фрода в других компаниях. 

 Следующий шаг после обнаружения всех узких мест продукта — оценка и перевод на «язык бизнеса» для совместного поиска решения по минимизации рисков.

Этап 2. Как оценить риски

При оценке вам нужно обращать внимание на всё на свете, где есть хоть какие-то цифры: на затраченное время, зарплаты, человеко-часы, спасённые деньги, потерянные деньги, потенциально спасённые деньги, рассветы и закаты без фрода и так до бесконечности. Если вы это делаете впервые, то рекомендую собрать следующую информацию:

1. Описание текущего фрода в продукте;

2. Сумма текущих денежных потерь от этого фрода для бизнеса;

3. Процент текущих денежных потерь для бизнеса от общего оборота в продукте, где обнаружен фрод;

4. Предложенные мероприятия по минимизации потерь от текущего риска фрода;

5. Выгода от предложенных мероприятий по минимизации потерь от текущего риска фрода;

6. Остаточный риск от предложенных мероприятий;

7. Количество трудозатрат и денежных средств на реализацию антифродовой доработки.

Кроме того, в качестве аргумента можно использовать допустимый уровень потерь, который определил Банк России для всех банков нашей страны – отношение суммы всех денежных потерь к сумме оборота за квартал не должно превышать 0,005 (0,5%). Так что можете смело считать деньги по этой формуле и при разговоре с бизнесом использовать фразу «best practice». Однако если вы работаете не в банке, то таких жёстких требований нет, и часто бизнес готов принимать риск потерь вплоть и до 10% (бывает и выше).

Успех диалога зависит не только от того, насколько чётко вы донесёте до бизнеса риски, но ещё и от того, когда вы приходите с этой задачей. Наиболее благоприятное время — это период планирования работ на следующий квартал (март, июнь, сентябрь, декабрь). Но так получается не всегда, поэтому будьте готовы к тому, что реализация решения может затянуться (работы запланированы, приоритеты поменять не можем, и так далее). Поэтому, чтобы всё же добиться желаемого результата, поговорим про третий пункт и обсудим варианты минимизации рисков в бизнесе.

Этап 3. Как минимизировать риски

 Давайте ещё раз закрепим мысль о том, что цель рисковика — защитить бизнес по максимуму. Но чаще всего мы адаптируемся под реальность и ищем компромиссные варианты. Поэтому я всегда прихожу как минимум с тремя предложениями, и затем мы с бизнесом совместно обсуждаем, что можем реализовать уже сейчас, а что отложим на лучшие времена.

 Вот несколько стандартных мероприятий по минимизации рисков:

• Запрет на рисковые действия пользователям (когда всё совсем плохо);

• Блокировка пользователя/устройства на совершение рисковых действий;

• Всевозможные лимиты;

• Меры, не позволяющие или осложняющие получение выгоды от продукта в моменте;

• Различные чёрные списки;

• Изменение логики получения пользователем выгоды от продукта;

• Автоматические правила антифрода на стороне бэкенда.

 К сожалению, последний пункт про автоматические правила антифрода или, например, владение полноценной антифрод системой — это вариант скорее для крупного бизнеса с хорошим бюджетом (в маленьких компаниях обосновать необходимость автоматизации очень сложно). Но есть и хорошие новости: большинство кейсов в минимально возможном виде можно закрыть двумя путями:

1. Предварительно анализировать безопасность бизнес-логики продукта и иметь  возможность её оперативного изменения;

2. Предусмотреть возможность блокировки пользователей или их устройств.

При наличии всего двух этих пунктов, а также хорошей системы логирования или аналитической системы возможно вручную поддерживать защиту от фрода в различных продуктах. И тогда процесс здорового человека будет выглядеть так: бизнес придумывает новую крутую фичу, направляет её на анализ специалисту по противодействию мошенничеству, тот выдает свое экспертное заключение с описанием всех возможных рисков и предложениями по их минимизации, а бизнес уже решает, что он будет делать с этими рисками — принимать, минимизировать, переносить или вообще отказываться от такой фичи.

Вместо выводов

Пользователь Кошелька в среднем проводит в приложении несколько секунд — достаточно для того, чтобы показать карту на кассе. Я же провёл в Кошельке много часов, чтобы основательно изучить все наши продукты. Как результат, сейчас у нас есть порядка 20 графиков мониторинга аномалий, которые я ежедневно анализирую. Кроме того, я собираю отчётность для руководителей, чтобы каждый владелец продукта знал не только свою выручку, но и свои текущие потери. Это позволяет всем понимать настоящее положение дел и своевременно выделять ресурсы на разработку защитных мер. 

Каждый день продуктовые команды работают над тем, чтобы предоставить пользователям новые услуги, акции или бонусы, а я работаю над тем, чтобы каждые новые фишки проходили через согласование с безопасностью, чтобы не выкатывать в прод потенциально уязвимые сервисы. Мы  реализовали каждый из защитных сценариев из пункта три, и отдельные меры позволили уменьшить потери в 16 раз, что, конечно, не предел. Разве не в этом «win-win» история?

Итого, казалось бы 3 простых шага к успеху — и репутация и деньги вашего бизнеса под защитой! На самом деле нет, всё, конечно, немного сложнее. В этой статье мы посмотрели на процесс «сверху», но если вам хочется углубиться в детали и узнать что-то ещё про противодействие мошенничеству —  напишите нам в комментарии интересующие вас темы или вопросы.