Как защититься от корпоративного мошенничества в банке?

Как показывает опыт, от посягательств на свои средства на счету в банке не застрахован никто из клиентов, особенно если речь идет о посягательствах «изнутри». И какую бы систему защиты от внешних угроз ни выстроил банк, основным источником угроз продолжает оставаться человеческий фактор. О рисках корпоративного мошенничества в банковском секторе и защите от них рассказывает Сергей Парфёнов, технический директор компании «Фаззи Лоджик Лабс».
Цифры и факты

В 2018 году сотрудники МВД раскрыли организованную группу из девяти человек, похищавшую деньги с банковских счетов VIP-клиентов Сбербанка [Мошенничество с очень важным лицом// РБК, ГАЗЕТА № 118 (2842) (0407) ОБЩЕСТВО, 03 июль 2018]. Следствие установило, что организатором криминальной схемы была сотрудница Сбербанка, которая вовлекла в преступную деятельность еще четырех сотрудников. Те, в свою очередь, задействовали еще несколько человек, не работающих в банке.

Персональную информацию по банковскому счету клиента для дальнейшего хищения средств с него группе предоставил за денежное вознаграждение менеджер банка по обслуживанию VIP-клиентов. После получения необходимой для кражи средств информации одна из участниц созданной ОПГ, представившись VIP-клиентом – владелицей вклада, обратилась в отделение Сбербанка для оформления сберегательных сертификатов на 40 млн руб. Через пять дней злоумышленники предъявили для обналичивания сберегательные сертификаты на сумму в 20 млн руб. в двух отделениях банка – деньги им выдавала менеджер отделения, также участвовавшая в преступной схеме.

По результатам расследования указанные сотрудники были незамедлительно уволены, деньги возвращены клиенту в полном объеме.

В годовом отчете Сбербанка за 2017 год отмечается, что «было выявлено и предотвращено 529 случаев использования похищенных (утерянных) или поддельных паспортов, выявлено 22 попытки мошенничества с применением поддельных платежных документов и предотвращено хищение денежных средств со вкладов клиентов Сбербанка по 71 поддельной доверенности на общую сумму 600 млн руб.
Технологии контроля персонала и морально-этический аспект

Что заставляет сотрудников соблюдать правила компании: этические нормы или ограничительные меры? И где находится черта между необходимым контролем и покушением на свободу?

Служба информационной безопасности защищает порядок в интересах организации. Если принимаемые меры по контролю персонала направлены на всеобщее благо — они допустимы, а если на достижение корыстных целей, — нет. Необходимо, чтобы наказание за нарушение установленных правил было одинаково неизбежно для всех сотрудников, а за их соблюдение премировали бонусами.

Несомненно, на действия многих сотрудников влияют экономические факторы: чем благополучнее человек финансово, тем сложнее его «подкупить». Такие факты, как наличие кредита у сотрудника, неурядицы в семье, харассмент на работе, также могут спровоцировать на мошенничество. И люди не решаются на противозаконные действия неожиданно, на это есть причины. Вот неполный список: простая безнаказанность, желание достичь KPI, давление вышестоящих лиц, чувство недооцененности на работе, наличие технической возможности, слабый контроль со стороны проверяющих подразделений.

До пандемии для выявления внутреннего мошенничества применялись часто психологические методы: профайлинг при приеме на работу, общение и личные встречи с сотрудниками как мониторинг психологического и эмоционального состояния, проводилось обучение и тестирование, направленное на то, чтобы вовремя распознать мошенника. Технические решения, такие как видеонаблюдение в офисе и полный контроль над устройствами — рабочими станциями, сетью и стационарными телефонами, — тоже были нормой.

Пандемия коронавируса, переход на удаленную работу привели к размыванию периметров организаций, и гибридная форма работы является теперь для большинства компаний нормой. Стираются границы между личным и профессиональным — при работе из дома сложно разделить рабочие и личные активности. Опыт показывает, что значительная доля утечек происходит по неосторожности. Один из выходов: разъяснять сотрудникам, что основная цель системы контроля персонала — это предупреждение инцидентов, и что определенные действия могут нанести вред. Например, отправка конфиденциальных документов через мессенджеры и соцсети.

Как бороться с мошенничеством и нелегитимными действиями? Сейчас уже наработан достаточный объем технологического опыта в этой сфере. Финансовые организации активно расширяют функционал информационной безопасности коммерческими решениями и ведут собственные разработки в области контроля персонала. Все больше становятся популярными такие решения, как DLP — защита от утечек данных (перехват трафика и его анализ), поведенческий анализ UEBA, концепция Zero Trust (так как мошеннических операций случалось бы меньше, если бы было меньше технических возможностей для мошенничества, а люди были бы менее доверчивы). Однако не все из этих технологий легко переносятся на полностью удаленную форму работы.
Возможности кросс-канальной системы Smart Fraud Detection

Развивая свою кросс-канальную систему Smart Fraud Detection для противодействия мошенничеству в компании «Фаззи Лоджик Лабс», мы используем в числе прочего канал «мониторинг сотрудников» для выявления внутреннего мошенничества в финансовых организациях. В режиме реального времени система распознает и контролирует поведение сотрудников с помощью камер (фото, видеоданные) и микрофонов (аудиоданные).

Основные задачи, которые ставятся для решения по мониторингу персонала:

  • Аутентификация пользователя
  • Анализ поведения сотрудника
  • Противодействие мошенническим транзакциям на основе оценки рисков антифрод-системой Smart Fraud Detection

Михаил Дудалев, начальник отдела анализа данных «Фаззи Лоджик Лабс», отмечает:
«Наше решение по мониторингу персонала с помощью камер и микрофонов можно сравнивать с другими технологиями, и мы несколько ближе к UEBA-решениям, хотя параллели с DLP тоже есть…»

Отличительные характеристики решения по контролю персонала с помощью камер и микрофонов следующие:

  • Аудиовизуальная модальность.
    Как правило, UEBA/DLP системы работают только с данными от программных агентов на рабочих станциях, серверах и сетевых маршрутизаторах/файерволлах.
  • Локальная обработка данных.
    После сбора данные отправляются на сервер, где они обрабатываются локально на рабочей станции пользователя, чтобы снизить нагрузку на сервер и сеть, а также не передавать биометрические данные пользователей на сервер или хотя бы уменьшить объем таких чувствительных данных и их концентрацию на одном устройстве.
  • Возможность запуска части функционала в достаточно современном браузере с использованием обычных веб-камер, в том числе и в сторонних web-приложениях.
    Это значит, что агент мониторинга может работать как SDK для стороннего приложения и на большинстве современных ноутбуков без какого-либо дополнительного специализированного оборудования.
  • Тесная интеграция с антифрод-решением:
    • возможность прозрачно использовать существующие компоненты системы, например, движок правил;
    • при работе системы в банковском контексте можно использовать кроссканальную аналитику поведения пользователей, а значит, строить наиболее полную модель поведения пользователей, улучшая выявление аномалий и нелегитимных действий пользователей.

По результатам контроля и распознавания поведения сотрудников в системе выполняются:
  • профилирование и выявление атипичных действий;
  • учет атипичных действий при выполнении финансовых операций.
Схема обработки данных для мониторинга персонала с помощью камер и микрофонов
В системе есть преднастроенные списки, используемые при срабатывании правил, и при необходимости пользователь может самостоятельно настроить собственные списки или отредактировать существующие.

Для создания инцидентов по аномальным действиям сотрудников в системе
используются преднастроенные правила, такие как:


  • закрытие видеокамеры — правило срабатывает при параметрах изображения, похожих на физически закрытую камеру;
  • обнаружение фотографирования экрана — правило срабатывает при попытке
  • сотрудником сфотографировать экран монитора фотоаппаратом или камерой
  • телефона;
  • обнаружение третьего лица в кадре — правило срабатывает, если в кадре более одного человека;
  • более одного говорящего — правило срабатывает, когда в аудиоданных обнаруживаются голоса более чем одного человека;
  • подозрительный шум — правило срабатывает, когда в аудиоданных содержатся нетипично громкие звуки;
  • нетипичные эмоции сотрудника — правило срабатывает, когда эмоции, выраженные мимикой сотрудника, слишком сильно отличаются от обычных;
  • очистка локального хранилища данных — правило срабатывает, если сотрудник выполняет на рабочей станции действия по очистке локального хранилища данных;
  • сотрудник не аутентифицирован по фото — правило срабатывает в том случае, если под логином/паролем сотрудника аутентифицировался посторонний человек.
Все транзакции по действиям сотрудника отображаются в режиме «Анализ транзакций», с помощью параметров фильтра можно найти все необходимые транзакции по определенному сотруднику за период.
Таким образом, решение по мониторингу персонала с помощью камер и микрофонов подходит для работы с чувствительными персональными и финансовыми данными и
позволяет выявить сложные сценарии мошенничества, внешне похожие на легитимные действия. Оно также тесно интегрируется с анализом потока банковских событий.

В современном мире люди являются основой успеха любой компании. Однако человеческий фактор может стать и источником угрозы. Это значит, что спрос на решения по контролю персонала в ближайшем будущем будет продолжать расти.

В условиях пандемии и работы удаленного доступа, повышая киберграмотность сотрудников, внедряя технологии контроля персонала, в том числе с помощью камер и микрофонов, можно существенно снизить риски внутреннего мошенничества в организациях. И, несмотря на всю серьезность морально-этических аспектов использования таких систем, они остаются почти единственным инструментом, способным бороться с внутренними ИБ-угрозами.
Контакты
+7 985 201 8539

s.parfenov@fzlabs.ru
Задать вопрос компании