Загальні проблеми під час вибору рішення для виявлення шахрайства
У грудні 2022 року звіт Нільсона прогнозував, що збитки від шахрайства з банківськими картками в Сполучених Штатах зростуть до 165,1 мільярда доларів протягом наступних десяти років. Ці приголомшливі цифри спонукають банки, інтернет-магазини, страхові компанії, телекомунікаційні компанії та державні установи надавати пріоритет безпеці своїх клієнтів. Для боротьби з шахрайськими транзакціями компанії звертаються до рішень для виявлення шахрайства. Однак вибір найбільш підходящого інструменту безпеки вимагає відповіді на багато важливих питань. Нижче я перерахував типові проблеми, з якими стикаються клієнти, обираючи платформу для виявлення шахрайства.
Який тип системи запобігання шахрайству вибрати?
Існує два типи систем виявлення шахрайства: транзакційні та сесійні.
Транзакційні системи дозволяють автоматично оцінювати платіжні ризики та захищати фінансові системи від шахрайства. Наприклад, користувач хоче дізнатися баланс картки, щось купити або переказати гроші іншій особі. Система виявлення транзакційного шахрайства перевіряє параметри, необхідні в цій ситуації, і може дозволити або заблокувати цю дію або переслати інформацію аналітику для подальшої оцінки. Сеансові системи контролюють дії користувача на основі параметрів, зібраних під час активності його пристрою. Система розрізняє стандартну поведінку та ненормальну поведінку. Наприклад, використовується інший спосіб заповнення форми, змінена швидкість набору тексту або траєкторія руху курсора миші. Будь-які відхилення від норми вважаються потенційно шахрайською діяльністю.
Для комплексного захисту можна використовувати як транзакційну, так і сесійну системи. Найчастіше продавці пропонують лише один вид. Однак існують платформи, які об’єднують можливості виявлення транзакційного та сесійного шахрайства. Інтеграція рішень від різних постачальників для обох типів виявлення шахрайства може бути складним і трудомістким процесом. Системи різних виробників не завжди можуть ефективно обмінюватися даними, і цей фактор є вирішальним для досягнення оптимальної ефективності захисту.
Хмарне розгортання проти локального
Система виявлення шахрайства може повноцінно функціонувати як у хмарі, так і в інфраструктурі клієнта (локально).
Хмарні рішення потребують менше часу для запуску. У продавців все готове заздалегідь. Розгортання зазвичай займає менше місяця. Використання хмарного розгортання забезпечує дотримання правил конфіденційності та безпеки. Дані передаються в зашифрованому вигляді, при цьому організація використовує хеш-таблицю для ідентифікації клієнта, що гарантує безпечну передачу даних. Компанії стягується оплата на основі обраного нею плану передплати, що позбавляє потреби витрачати ресурси на придбання апаратного забезпечення чи наймання команди підтримки та багатьох аналітиків шахрайства.
Локальна система встановлюється на місці замовника, що вимагає розвиненої інфраструктури з боку компанії, а також часу для налаштування інструменту та підготовки персоналу підтримки. Це тягне за собою значні капітальні витрати та додаткові експлуатаційні витрати. Однак перевага цього підходу полягає в тому, що клієнт зберігає повний контроль над своєю інформацією, яка завжди залишається в його периметрі.
Робота із зовнішніми джерелами даних
Наявність здатності спілкуватися із зовнішніми джерелами даних є критично важливою для ефективної системи боротьби з шахрайством. Це дозволяє системі збирати дані транзакцій і порівнювати їх із різними чорними списками. Ця функція є не тільки важливою для ефективності системи, але й необхідною для дотримання вимог центрального банку в більшості країн. Крім чорних списків, які підтримують центральні банки, існують також приватні канали розвідки про загрози, які можуть використовуватися компаніями для підвищення ефективності їх зусиль з виявлення шахрайства. Включення додаткових каналів даних призводить до більш повного охоплення шахрайських дій.
Як машинне навчання допомагає?
Сучасні рішення для виявлення шахрайства спираються не лише на заздалегідь визначені правила, але й на використання моделей машинного навчання (ML) для профілювання користувачів. Цей процес передбачає створення профілю користувача та складання картини його типової поведінки на основі статистичних даних. Якщо система виявляє, що дії, які виконуються, нетипові для користувача, вона позначає транзакцію як потенційно ризиковану.
Машинне навчання також зменшує ризик помилкових спрацьовувань для багатьох правил. Якщо користувач виконує такі дії, як вхід у програму або здійснення транзакцій, які можуть здатися шахрайськими для широкої громадськості, але є типовими та звичними для цього конкретного користувача, система виявлення шахрайства використовуватиме ML і не припускатиметься помилки.
Крім того, машинне навчання допомагає в протилежних сценаріях, коли правило не застосовується, але присутність зловмисника очевидна з його дивних і нехарактерних дій. У таких випадках система виявлення шахрайства призупиняє роботу, щоб запобігти потенційно шахрайській діяльності.
Створення правил виявлення
Своєчасна підтримка від постачальника дозволяє швидко вирішувати виявлені проблеми. Однак для постачальника також важливо надати клієнтам гнучкість для самостійного налаштування своєї системи виявлення шахрайства. Одним із найпоширеніших сценаріїв є термінове створення та модифікація правил, коли час між інцидентом шахрайства та впровадженням нового правила має бути мінімізовано.
Вибір зручного рішення для виявлення шахрайства, яке включає інтуїтивно зрозумілий конструктор правил, є критичним, особливо для компаній з невеликою командою аналітиків. Багато постачальників пропонують простий інтерфейс, який дозволяє непрограмістам легко керувати платформою без необхідності писати код.
Український експерт з питань боротьби з шахрайством Дмитро Момот, засновник ТОВ «Вектор Т13 Технології», компанії, що спеціалізується на рішеннях для боротьби з шахрайством і Antidetect, каже, що кожне правило, створене аналітиком, потребує тестування. «Традиційний метод полягає у створенні правила на основі минулого випадку шахрайства та тестуванні його на поточних транзакціях. Однак цей підхід має суттєвий недолік: неможливо визначити, чи працює правило, доки той самий випадок не повториться. Щоб подолати це, , тестування на історичних даних є корисним. Аналітик запускає правило, використовуючи завершені транзакції, щоб оцінити, чи добре воно працює та чи може бути застосоване для майбутніх випадків. Крім того, для проведення тестування функціональності та ефективності систем боротьби з шахрайством рекомендується використовуйте програмне забезпечення Antidetect, яке допоможе розробникам імітувати реального користувача та створювати необхідні сценарії тестування». — зазначає пан Момот.
Постачальники рішень для боротьби з шахрайством можуть створювати й оновлювати правила для клієнтів, не маючи власних аналітиків із аналізу загроз.
Як налаштовуються права доступу до системи?
Вкрай важливо розділяти доступ до різних категорій інформації. Оптимальним варіантом є використання рольового контролю доступу. RBAC — це метод контролю доступу до комп’ютерних систем і ресурсів на основі ролей і обов’язків окремих користувачів в організації. Часто використовуються такі ролі:
Офіцер служби безпеки – відповідає за моніторинг та аналіз подій. Оператор – працює з інцидентами. Аналітик – встановлює правила та прогнози. Аудитор – переглядає та контролює інформацію в системі без права редагування.
Висновок
Невчасне вжиття заходів у разі шахрайської операції може призвести до значних збитків для компанії, негативно вплинути на репутацію та фінансову стабільність. Завдяки широкому асортименту рішень для боротьби з шахрайством, доступним на ринку, підприємства можуть знайти варіант, який відповідає їхнім конкретним вимогам.
