Математическое моделирование в борьбе с мошенничеством

Алексей Сизов, руководитель направления противодействия мошенничеству Центра ИБ компании "Инфосистемы Джет"

Как показывает опыт последних форумов и бизнес-активности в области противодействия мошенничеству, одним из актуальных и перспективных направлений стало использование математических моделей. Более 50% компаний указывают либо на заинтересованность в использовании этого направления, либо на уже проводимые работы.

Применение моделей машинного обучения показало свою актуальность в самых разных областях, например в в медицине (система оценки онкологических заболеваний IBM Watson) и  промышленности (Yandex DataFactory на Магнитогорском металлургическом комбинате). Неоспоримым фактом, который следует из обнародованных кейсов, является то, что математическая модель, формально не подразумевающая человеческой экспертизы, дает лучшие результаты анализа и прогнозирования, чем работа человека. Благодаря применению математической модели, стоимость одного прогноза значительно снижается, а необходимые результаты удается получать быстрее. Но само машинное обучение и методы с применением элементов искусственного интеллекта – это не только математика, но еще и технологии, обеспечивающие работу столь сложных моделей.

В первую очередь, это методология BigData вкупе с соответствующим ПО и оборудованием. Современные антифрод-системы в компаниях – воплощение концепции BigData в явном виде. Если рассматривать противодействие мошенничеству гораздо шире, чем задачу защиты каналов ДБО или выявления отдельных рисков внутреннего мошенничества, то обнаружение мошенничества с высокими KPI по инцидентам и малым количеством ложных срабатываний подразумевает анализ очень большого объема имеющихся данных.

Проблемы логической модели

Современные риски и использование предиктивного анализа обуславливают необходимость не только в быстром анализе платежных событий, но и в консолидации множества событий и данных – сессионных действий клиента, операций оператора с продуктами и услугами клиента, информации по работе и настройке бизнес-систем. Сегодня, когда таргетированные атаки на внутренние ресурсы и элементы бизнес-процессов являются столь же вероятными, как и «классические» атаки извне, зоной внимания антифрод-систем становится почти любое событие, так или иначе ассоциируемое с платежной операцией.

Следуя концепции равновероятности внешней и внутренней атаки, анализу подвергают объемы операций, в десятки, а порой и сотни раз большие, чем объемы платежных операций в канале обслуживания. При этом реальность построения банковских систем такова, что необходимые сведения об операциях или действиях, не отражающихся на состоянии счета или услуги, имеют низкую степень формализации и качество их представления в информационных системах. Это – зачастую неструктурированные данные, обработка которых требует существенных усилий специалистов банков.

Отметим, что хранение таких объемов данных не решает задачу выявления, предупреждения и прогнозирования фактов мошенничества с помощью «классических» схем анализа, основанных на фиксированных правилах и политиках, даже при расчете статистических показателей. Связано это не только с большим объемом сведений, которые крайне сложно привести к структурированной схеме обработки, но и с отсутствием возможности построения прямых логических связей между разными событиями, инициированными клиентами или сотрудниками, которые однозначно отражают риски противоправных действий. Кроссканальное мошенничество характеризуется операциями клиентов в дистанционных каналах и действиями сотрудников в ИТ-системах. При этом логическая модель либо дает невысокие показатели качества выявления фрода (такие схемы ориентированы лишь на формализованные и четко определенные схемы хищений), либо показывает очень высокий процент ложных срабатываний. А строить схемы детектирования именно аномального поведения сотрудников в целях превентивного анализа и прогнозирования – еще более сложная задача.

Задачи математического моделирования

Практическая потребность в решении указанных задач дает импульс к ускорению развития сложных аналитических методов, обеспечивающих анализ операций и событий в информационных системах. Сегодня математическое моделирование направлено на решение следующих основных задач.

  1. Качественное выявление известных и ранее зафиксированных схем мошенничества. Под качеством подразумеваются большее число случаев предотвращения, меньший объем ложных срабатываний и высокая скорость адаптации имеющихся моделей под вновь совершаемые противоправные действия. За решение данных задач «классически» отвечают модели «с учителем». Подобные модели (байес, нейронные сети и многие другие) позволяют проводить постоянную адаптацию методов оценки совершаемых операций на наличие мошенничества за счет дополнения обучающих выборок фактами фрода. Но применение таких моделей имеет естественные ограничения по показателям эффективности:
  •  необходимость достаточного размера обучающей выборки. Математическая модель не будет давать ожидаемых результатов, если сами факты мошенничества имеют соотношение с общим объемом операций 1:10 000 или 1:100 000. Такие соотношения свидетельствуют об одном-двух ежемесячных случаях мошенничества в среднем банке, что является крайне малым для завершения процесса обучения;
  •  возможность детектирования новых мошеннических схем. Проблема состоит в том, что модели «с учителем» естественным образом обеспечивают детектирование схем, которые были использованы в процессе обучения, т.е. эффективны в случаях повторного использования злоумышленниками определенных подходов к хищению или схожих схем атак/проведения нелегитимных операций. Такие модели не гарантируют выявления мошеннических операций, не встречавшихся ранее, что приводит к необходимости построения второго контура анализа.
  1. Выявление аномалий в поведении клиента или другого объекта платежной инфраструктуры, которое является «классической» схемой и в общем виде описывается как построение профиля (например, клиента или карты) с последующим расчетом отклонения от стандартного поведения. Математические методы обеспечивают более широкие возможности построения этих моделей. Спектр алгоритмов, используемых в современных системах, весьма велик (решающие деревья, Xgboost и многие другие). При этом ключевым фактором успешности построения таких моделей является экспертное выделение параметров или групп параметров, которые необходимо анализировать.

Формально это – решение задачи построения информационных векторов для последующего расчета отклонений по различным контекстам анализируемых информационных объектов. При решении данной задачи даже с высоким уровнем формализации информационных векторов обнаруживаются некоторые подводные камни. Наиболее значимым из них является неинтерпретируемость таких математических моделей. Результатом работы модели является либо бинарная классификация фрод/нефрод, либо вероятность потенциального мошенничества с информационным объектом. При этом однозначного определения причин высокой вероятности фрода добиться очень сложно. Анализ аномалий на высоком уровне (не на уровне среднестатистических или медианных показателей количества и сумм совершаемых операций) выдает отклонения на большой группе операций (например, всех операций сотрудника за сутки в определенной банковской системе).

Очевидно, что если модели «с учителем» часто показывают вероятность фрода по конкретному событию, то при анализе аномалий выделить среди всех совершенных сотрудником операций потенциально совершенную с целью мошенничества (настоящего или готовящегося) на порядок сложнее. А значит, верификация этих операций – более трудоемкий процесс для соответствующих структурных подразделений.

Что дальше?

Итак, математические методы обеспечивают повышение качества процессов фрод-мониторинга и контроля рисков. Однако в ряде случаев для достижения оптимальных результатов их необходимо использовать совместно с «классическими» практиками rule-based. Другой немаловажной задачей применения таких моделей и подходов является минимизация человеческого фактора во время эксплуатации антифрод-систем.

Подзадач может быть несколько, а степень их актуальности зависит от структуры процесса фрод-мониторинга в компании. Например:

  •  обеспечение оперативного реагирования на новую угрозу или схему мошенничества. Проблема «классических» систем заключается в необходимости оперативной корректировки правил и политик, которые, в свою очередь, требуют человеческого ресурса. Большинству компаний обеспечить работу высококвалифицированного персонала в режиме 24х7 довольно сложно – как из-за финансовых затрат, так из-за отсутствия требуемых сотрудников на рынке;
  •  построение риск-ориентированного подхода на более высоком уровне, чем контроль над событиями и операциями. Задача предиктивного анализа может быть сформулирована не только как приостановка текущих мошеннических попыток совершения расходных операций, но и как выявление объектов банковских процессов, подверженных высокому риску в будущем или созданных с целью совершения мошеннических операций. Среди таких объектов – клиенты, чьи операции и действия свидетельствуют о компрометации платежных инструментов, счета и карты, открываемые как будущие дроппы или предназначенные для обналичивания средств. Уже существуют подходы и модели, позволяющие оценивать риск нового карточного счета как будущего дропа еще в момент получения информации о клиенте, до первых финансовых транзакций пополнения или списания средств.

Активно развивающееся математическое моделирование, на наш взгляд, в обозримом будущем станет более целостным инструментом компании в целом. Оно не только позволит решать достаточно узкие задачи бизнеса и противодействия мошенничеству, на которых сегодня осуществляются первые «пробы пера», но и превратится в глобальный инструмент ИБ, ИТ и бизнеса. Другими словами, предприятиям удастся не разделять модели на отдельные сегменты SIEM, DLP или антифрода, а решать общую задачу выявления рисков, предотвращения хищений и утечек. 

Тэги: 
Оцените материал:
Total votes: 18

Другие статьи
Поделиться:
 
 
Комментарии в Facebook
 

Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.