— Внутреннее мошенничество в банке — это вещь, от которой, пожалуй, невозможно избавиться на 100% в силу самой человеческой природы: жадность и расчет на возможность скрыть мошеннические действия толкают людей на неправедные поступки. По вашим оценкам, что более всего способствует сегодня проявлениям внутреннего фрода в современных передовых банках: расширяющаяся цифровизация и финтех-инструменты мошенников или «ручная» работа на основе хорошего знания внутренних процессов, процедур и регламентов?

Ольга Касаева: Так и есть, влиять на внутреннее мошенничество практически невозможно, так как в его основе лежит человеческая природа, которую с научной точки зрения хорошо объясняет великий и могучий «треугольник мошенника»: возможность, мотив и оправдание. Увы, не мной это было придумано, а американским социологом Дональдом Кресси. Но сегодня, конечно, хочется поговорить не о науке, а о практике, о том, что вообще происходит в мире внутреннего мошенничества.

Как ни странно, ни цифровизация, ни создание новых продуктов, ни разработка дополнительных контрольных процедур не влияют на желание сотрудников совершать мошеннические действия — так же, как и на возможности этих сотрудников. Например, в своей практике я встречала ситуации, когда уровень креативности «зашкаливал» и сотрудники просто «выносили» наличные денежные средства из банка. Но бывали случаи, когда сотрудники не просто придумывали замысловатые схемы, а использовали в качестве их реализации сложные банковские инструменты, в частности «экзотик» деривативы. То есть, по сути, для сотрудника, который хочет совершить какие-то мошеннические действия, может существовать единственный останавливающий фактор — собственная креативность. 

— А может ли креативность сотрудника стать препятствующим фактором для SAS антифрод-платформы?

Ольга Касаева: Нет. Для платформы SAS, в частности, такой фактор не может быть останавливающим. Просто потому, что решение может как анализировать типовые события, так и выявлять аномалии, то есть что-то нетипичное, нестандартное в действиях сотрудника, в транзакциях клиента, в шагах процесса и так далее.

Марина Фадеева: И здесь прежде всего важен грамотный подход в выявлении чего-то нетипичного. Ведь довольно много информации можно извлечь из достаточно «стандартных» источников, например из журнала операций или цифровых следов, которые оставляют сотрудники, клиенты, партнеры и другие участники бизнес-процесса. На основании такого рода данных можно провести аналитику бизнес-процессов с помощью методов процессной аналитики и выявить аномальные действия в работе сотрудников или поведении клиента. Это может быть процесс выдачи кредитной карты клиенту, где можно найти факт мошенничества как со стороны сотрудника, так и со стороны клиента или даже в результате их сговора. Или с помощью процессной аналитики можно выявить факт тайного хищения денежных средств из кассы.

В таких случаях на мошеннические действия может указывать, например, аномальная цепочка событий в выполнении процесса или некоторые значительные отклонения во времени выполнения операции.

Совсем недавно у нас был запрос от одного банка относительно мониторинга действий сотрудников кассы. И в рамках анализа данных мы выявили типовое время для выполнения каждой операции, которую совершает сотрудник кассы каждый день. После этого нами были обнаружены случаи, когда та или иная операция выполнялась в нетипичное для нее время. Например, все кассиры выполняют какую-то операцию в утренние часы, но при этом мы выделили сотрудников, которые выполняли такую операцию и в дневные часы. Детальное расследование таких случаев показало, что сотрудники кассы этими проводками в нетипичное время скрывали хищения наличных.

— По вашему мнению, можно выделить определенные сферы или ситуации банковских процессов, которые чаще всего привлекают внимание нечистых на руку сотрудников, с точки зрения безнаказанного нарушения финансовой дисциплины, например счета, давно «забытые» владельцами и т.д.?

Ольга Касаева: Конечно, есть какие-то типовые истории, которые будут актуальны для большинства российских банков, такие, как хищение денежных средств со «спящих» счетов клиентов или манипуляции с пластиковыми картами. Опять же все зависит от возможностей сотрудника и уровня его изобретательности. Был в моей практике такой случай, когда сотрудник кредитного департамента настолько ловко подделывал подписи псевдоклиентов, что исключительно благодаря прозорливости моей команды нам удалось найти совпадения в документах никак не связанных между собой «клиентов».

— Этому помогло использование IT-решения SAS?

Ольга Касаева: К сожалению, на тот момент я не знала, что существует инструмент, который способен облегчить жизнь тем, кто выявляет мошенничество и затем его расследует. Тогда нашими основными инструментами были Excel и наши глазки с ручками.

— Сегодня антифрод-платформа SAS может справиться с такой задачей?

Ольга Касаева: Да, может. Отмечу, что даже в таких исключительных случаях SAS может предложить вариант решения для выявления подобных инцидентов. Например, через профилирование клиентов с просроченной кредиторской задолженностью и выстраивание взаимосвязей между такими клиентами и сотрудниками, оформившими им кредит. 

— Решение такого уровня может себе позволить не каждая кредитная организация. Есть ли у небольшого банка возможность воспользоваться копилкой опыта и знаний SAS в области фрод-менеджмента?

Ольга Касаева: Да, есть. SAS целенаправленно работает над типовыми кейсами, для которых реализовано коробочное решение.

— Антифрод из «коробки»? Это возможно?

Ольга Касаева: Основная идея подобного коробочного решения состоит в том, чтобы максимально упростить жизнь сотрудникам департаментов безопасности или внутреннего аудита в выявлении инцидентов, которые, на первый взгляд, кажутся неподъемными, так как легко спутать такие действия мошеннического характера с вполне нормальными ежедневными задачами сотрудника. Но мы придумали алгоритм выявления таких инцидентов, разработав правила и логические модели данных.

Банку достаточно просто принять решение, что они хотят найти с помощью нашей «коробки» и каким образом. Например, можно развернуть в периметре банка решение и самостоятельно с ним работать, используя наши алгоритмы, или же предоставить нам анонимизированные данные и получить готовый отчет с выявленными фактами мошенничества в рамках интересующего инцидента.  

— Компания SAS еще несколько лет назад отмечала усиление интереса мошенников к торговым/брокерским системам. Как сегодня выглядит ситуация с фродом на фондовом рынке? 

Ольга Касаева: Могу сказать, что за почти десятилетие работы в форензике (расследование противоправных действий. — Ред.) в рамках компании «большой четверки» я расследовала мошеннические схемы, которые были связаны с ценными бумагами или со сложными финансовыми инструментами. Это всегда были самые непростые проекты, где требовались максимальная концентрация и внимательность. Потому что распутать мошенническую схему, «закрученную» трейдером, у которого с вероятностью 99,9% — математическое образование, и манипуляции тетушки из кассового блока — это, я вам скажу, совсем не одно и то же. К сожалению, деталей раскрывать не могу, потому что все эти расследования носили исключительно конфиденциальный характер. Но одно могу сказать точно: если бы на тот момент у у меня был инструмент, который сегодня есть у SAS, то я и моя команда были бы уверены, что жизнь удалась. Как минимум она точно была бы work-life balance.

— Как может помочь инструмент SAS в решении таких сложных и трудоемких задач?

Ольга Касаева: Расскажу об одном публичном кейсе. Все названия и имена участников умышленно заменяю, так что любые совпадения случайны. 

Предыстория такова. Действующие лица: Банк «АБВ», сотрудник (трейдер) — Миша, клиент — физическое лицо этого банка по имени Алик и компания-эмитент — компания Х. Наступает «день х», когда клиент Алик договаривается с сотрудником Мишей о следующем: в определенное время сотрудник Миша приобретает акции компании Х за счет средств данного клиента, а затем начинает создавать ажиотаж на рынке, заключая множество сделок на покупку акций данного эмитента, но используя при этом денежные средства Банка «АБВ». Рынок, конечно, начинает реагировать — стоимость акции компании Х растет. На пике цены за акцию сотрудник Миша продает пакет акций, который приобретался в пользу клиента Алика, и рынок снова реагирует на сделку, но уже падением цены.

В итоге клиент Алик имеет реализованный доход, сотрудник Миша — дополнительный заработок, а вот Банк «АБВ» на конец дня остается с минусом и нереализованным убытком от падения цены на акцию. Наверное, когда такое случается единожды, это можно заметить. Но если в банке — десятки сотрудников-трейдеров, тысячи клиентов, а на бирже ежедневно заключается миллион сделок, то в таком информационном потоке точно можно потеряться.

Но аналитика любит данные, и чем больше данных, тем точнее будет результат аналитики. 

— Как настроить платформу, чтобы она могла проанализировать все эти данные и отследить таких злоумышленников?

Ольга Касаева: Итак, шаг 1. Автоматизация правил выявления мошеннических действий через использование SAS-инструмента для принятия решения в режиме реального времени. Очевидно, вы хотите знать, откуда берутся правила, которые я предлагаю автоматизировать? Рассказываю.

Во-первых, правила могут быть созданы на основе имеющейся бизнес-экспертизы. Во-вторых, для создания правил можно использовать углубленную аналитику, которая будет опираться на исторические данные. Например, для решения кейса с трейдером, описанного выше, мы использовали рекомендации Национального совета финансового рынка (НСФР) от 4 июня 2018 года. Там предлагаются пороговые значения для правил, с помощью которых антифрод-платформа SAS отслеживает аномальные действия сотрудников, аномальные сделки и формирует сообщение о том, что зафиксированы нестандартное событие или цепочка нестандартных событий.

Шаг 2. Построение визуально-интерактивной отчетности с помощью аналитического инструмента SAS. Данный шаг необходим, чтобы облегчить и сделать наглядным проведение расследования. 

Шаг 3. Построение графовой аналитики в целях выявления связей между участниками потенциально подозрительной сделки при проведении расследования.

Я понимаю, что все описанное выше сложно воспринять, да и перечень шагов не исчерпывающий. Для того чтобы посмотреть примеры визуализации антифрод-платформы SAS, можно посетить нашу страницу, посвященную внутреннему мошенничеству, или оставить запрос на демонстрацию. Мы выйдем на связь и расскажем детально.

— Означает ли это, что победа над внутренним мошенничеством — это буквально «дело техники», то есть задача, решаемая с помощью умной IT-системы?

Ольга Касаева: IT-решение — вовсе не панацея в противодействии внутреннему мошенничеству. За любым аналитическим IT-решением всегда стоят люди. В случае с SAS мы можем похвастаться отличной командой IT-специалистов и аналитиков, так же как и сильным составом бизнес-экспертов, и в помощь такой сильной команде — гибкое и умное IT-решение. Я думаю, в этом залог успеха.

— Можно ли утверждать, что современное решение для противодействия внутреннему фроду гарантирует, что мошенник будет «схвачен за руку»? 

Ольга Касаева: Хороший вопрос! Смотрите. Антифрод-платформа SAS имеет все необходимое для выстраивания причинно-следственных связей между действиями, событиями, транзакциями. А вот решение «ловить сотрудника за руку» должен принять сотрудник службы безопасности банка, причем иногда есть смысл дать свершиться факту мошенничества, чтобы было больше фактов для расследования.

— Качество результатов аналитики во многом зависит от используемых данных. Велик ли спектр данных, которые антифрод-решение извлекает из источников? 

Марина Фадеева: Действительно, качество и объем данных играют важную роль при решении аналитических задач. Особенно это актуально в области борьбы с мошенничеством, когда часто речь идет о сложных и уникальных случаях недобросовестного поведения. Конечно, для анализа и углубленной аналитики нужен весь спектр имеющихся данных. В зависимости от того, какой тип мошенничества мы ищем, потребуются немного разные наборы данных, но «костяк» составят, во-первых, данные внутреннего журнала операций сотрудников, в которых фиксируются дата и время операции, ее тип, исполнитель. Во-вторых, транзакционные данные клиентов с указанием времени совершения операции, ее суммы, типа и места перевода. В-третьих, HR-данные по сотрудникам, социально-демографическая информация по клиентам и другие стандартные источники данных, которые есть в каждом банке.

Кроме того, имеющаяся информация обогащается данными из единого кредитного бюро, сведениями из социальных сетей и от других внешних поставщиков.

Как говорилось ранее, при грамотном подходе и с применением различных методологий в области работы с данными, например упомянутой процессной аналитики, из «стандартных» источников можно извлечь много полезной информации. 

Так, недавно мы реализовывали кейс, где из транзакционных данных об отмененных комиссиях удалось «вычислить» случаи мошеннических действий. Мы проанализировали распределение величины комиссии в разрезе различных операций, выделили аномальные случаи и попробовали их профилировать с помощью легко интерпретируемых алгоритмов машинного обучения. Выяснилось, что все аномальные случаи обладают некоторым схожим профилем, а полученные результаты можно использовать для выявления подозрительных операций. 

— В реальной жизни, наверное, приходится «докручивать» типовую модель с помощью знаний о специ­фике процессов в конкретном банке? Можно ли ожидать, что сами сотрудники банка, например ИБ-офицер, смогут оперативно создавать новые, продвинутые модели, следуя за меняющейся обстановкой на фронте фрод-менеджмента?

Марина Фадеева: Согласна с тем, что применение математического аппарата моделей неотделимо от понимания специфики бизнеса. В арсенале SAS есть инструменты, ориентированные как на продвинутых специалистов по машинному обучению, так и на бизнес-пользователей, у которых нет глубокого знания математики и программирования, — это инструменты с интуитивно понятным интерфейсом. Благодаря такому решению пользователь, например ИБ-офицер, может выявлять случаи аномального поведения сотрудника/клиента, находить те или иные закономерности в данных, которые отличают фродовые случаи от нефродовых, выделять различные профили клиентов, например профили клиентов, склонных к мошенничеству с картами или отмыванию денег.

Система поможет пользователю настроить модель как можно точнее, используя для этого специальные алгоритмы. Отвечаю на ваш вопрос: да, ИБ-офицер сможет оперативно реагировать на изменения, самостоятельно выделять новые правила для выявления мошенничества.

Но если мы говорим о моделях, на основе которых регулярно происходит скрининг всей базы, то тут не обойтись без специалиста, своевременно и корректно вносящего необходимые изменения в модель. Хочу обратить внимание, что таким специалистом не обязательно должен быть сотрудник SAS. Им вполне может стать внутренний сотрудник банка — аналитик или специалист по обработке больших данных (data scientist).

Ольга Касаева: Еще отмечу, что формирование правил для выявления мошеннических действий может производиться не только с помощью математических моделей, но и с помощью имеющейся экспертизы. Эти два подхода не имеет смысла сравнивать, в идеале стоит использовать оба.

— Сегодня в области различных вопросов ИБ становится все более популярной сервисная модель. С вашей точки зрения, какая модель более перспективна для российских банков: развитие аналитических компетенций фрод-менеджмента у персонала или передача их на аутсорсинг специализированным поставщикам, то есть в формате «фрод-менеджмент как услуга»?

Ольга Касаева: Это, я вам скажу, философский вопрос. На одной чаше весов — глубоко знающие специфику сотрудники банка. На другой — внешние консультанты, которые, конечно, не знают всех винтиков внутреннего процесса, но зато имеют взгляд со стороны и обладают глубокой экспертизой в решении подобных проблем в других банках. Однако замечу, что дело не только в глубине знаний и богатстве опыта. Проблема на самом деле заключается в другом. Я бы отметила две причины, по которым банки очень ревниво относятся к внешним консультантам. Первая — банковская тайна и персональные данные. Вторая — информирование людей извне о своих проблемах.

Но хочу обратить внимание, что компания SAS не проводит самостоятельных расследований. SAS фокусирует свои усилия на том, чтобы банки сами, никому ничего не рассказывая, находили мошенников. И для этого они могут использовать антифрод-платформу SAS и методологию SAS, обогащая ее своими знаниями и экспертизой. Наша задача — передать банкам нашу бизнес-экспертизу в сфере фрод-менеджмента, помочь им на основе SAS-решения выявлять факты мошенничества и проводить расследования без привлечения третьих лиц.