Embed Size (px)
Citation preview
Проект «Антифрод» для электронных платежей в канале ДБО юридических лиц
Обоснование и внедрение
Мария Воронова, заместитель начальника Управления
информационной безопасности, Пробизнесбанк, ФГ Лайф
ДБО в ФГ Лайф. Состав и характеристики
ФГ Лайф – единая инфраструктура для 6 банковЕдиные каналы ДБО для всех банков группы
КаналКол-во
операций в сутки
ДБО ЮЛ 100 000
ДБО ФЛ 50 000Банковские карты 20 000
С чего все начиналось? Предпосылки проекта
Сообщения об участившихся случаях хищения средств
Интуитивное ощущение опасности: активное развитие электронных каналов и увеличение объемов операций
Активный рост операций по банковским картам и развитие электронных каналов
Трудности при попытке обоснования проекта
1. Проблемы возникают в различных
каналах, единой статистики по
всем инцидентам не
велось
2. Выделение средств на все
проблемы сразу – утопия
т.к. требует больших
финансовых и ресурсных
затрат
Что делать?
Как обосновать
проект?
Начать с этапа исследования
Цели этапа исследования
Позиционирование исследования – предпроектный этап или фаза «0»
Цели:Определение текущего
состояния защиты электронных каналов
Оценка актуальности и опасности мошенничества. Определение TOP существующих угроз
Подготовка рекомендаций по снижению уровня наиболее критичных угроз
Предложение стратегии построения защиты
Скоуп проекта исследования
ДБО для «юриков
»
• ДБО: Интернет Банк, Мобильный Банк, LifePad
ДБО для
«физиков
»
• ДБО: Интернет Банк, Мобильный Банк, СМС Банк, LifePad• Банковские карты: операции в ATM \ терминалы, операции в
«чужой» сети, операции в торговых точках (POS), eCommerce
Этап исследования
Проведение интервью
Информационная схема
автоматизации
Статистические показатели
бизнеса в разрезе ДКБ, ДМСБ, ДРБ; Бизнес стратегия
Статистика мошеннических
атак
Процессы и инструменты
предотвращения мошенничества
«как есть»
Мониторинг устойчивости
к атакамВнешней сети Внутрисетевого
трафика
Итоговая качественная и количественная оценка рисков с учетов прогнозов на 2015-2016 гг.
Результат
По факту ранжирования рисков наиболее критичной областью
был признан канал ДБО ЮЛ
Нарушитель Угроза Метод атаки Требуемая
реакция Приоритет
угрозы
Мошенник
Несанкционированные операции в ДБО с рабочих станций клиентов
Троян-заражение в инфраструктуре Клиента
Подмена реквизитов платежного документа Защищаем
Удаленное управление компьютером Клиента Защищаем
Автоматизированный процесс формирования и отправки незаконных платежей
Защищаем
Кража учетных данных пользователей ДБОФишинг (поддельный сайт) и
пересылка параметров поддельного сайта через
СПАМ («Социальная инженерия»)
Хищение учетных данных клиентов: логинов / паролейПерехват одноразовых паролей
Профилируем
Атака на инфраструктуру ДБО
Троян-заражение в инфраструктуре Банка
Хищение учетных данных клиентов: логинов / паролей … Профилируем
Точка распространения вредоносного кода - Заражение рабочих станций клиентов
Профилируем
Формирование и отправка незаконного платежного документа Защищаем
Недобросовестный сотрудник Клиента
Злоупотребление полномочиями
Формирование и отправка незаконного платежного документа Защищаем
Недобросовестный сотрудник Банка
Злоупотребление полномочиями
Формирование и отправка незаконного платежного документа Защищаем
Анализ угроз
Разработка процесса
Технологическая составляющаяВнедрение специализированного антифрод-решения для защиты канала ДБО ЮЛ от мошеннических действий
Организационная составляющаяСоздание антифрод-службыРазработка необходимых регламентов (работа службы, взаимодействие, реагирование на инциденты и т.п.)
Согласование со стейкхолдерами
Уменьшение финансовых потерь Клиента \ Банка
Увеличение лояльности Клиента
Уменьшение операционных расходов сопровождения сервиса ‘Предотвращение мошенничества в электронных каналах’
Преимущества
Расходы на создание и финансирование Службы Противодействия мошенничеству ИБ
Расходы на приобретение и внедрение технологического решения
Недостатки
Вариант 1.Использование
специализированного решения
Отсутствие расходов на приобретение и внедрение технологического решения
Отсутствие расходов на создание и финансирование Службы Противодействия мошенничеству ИБ
Увеличение финансовых потерь Клиента \ Банка в связи с ростом объемов операций
Увеличение операционных расходов в связи с ростом объемов операций в электронных каналах
Снижение лояльности клиента
Отсутствие инструментов расследования инцидентов
Вариант 2.Текущие
инструменты защиты
Уменьшение финансовых потерь Клиента \ Банка
Увеличение лояльности Клиента
Отсутствие расходов на приобретение и внедрение технологического решения
Отсутствие расходов на создание и финансирование Службы Противодействия мошенничеству ИБ
Многократное увеличение операционных расходов на организацию сервиса ‘Предотвращение мошенничества в электронных каналах’
Многократное увеличение операционных расходов в связи с ростом объемов операций в электронных каналах
Вариант 3.Текущие
инструменты: увеличение
эффективности за счет увеличения
«ложных» срабатываний
Итоговый процесс
Выбор технического решения
Конкурс «запрос-предложение»Срок 2 месяцаЗакрытый конкурс: приглашены основные
игроки рынка антифрод-системОценка по требованиям и критериямAssessment center как составляющая конкурса
Запуск проекта
Особенность – рекордное количество PM’ов в проекте – целых 4!
Интеграция в инфраструктуре
Клиент
Мошенник
Шина ESBДБО
RSBankV6
Кража,Удаленное управление,
Подмена платежного поручения
Intellinx
Оператор
Легитимные платежи и входы
Мошеннические платежи и входы
Только легитимныеплатежи
На ручную проверку подозрительных платежейпо результатам скоринга
Подозрительные платежи по результатам скоринга
Блокировка компрометированных пользователе(на основании мошеннических входов)
Результат автоматической проверки
Легитимность подтвержденаМошенничество
Дополнительные параметры
Фронт ЮЛ
Запрос доп. атрибутов
Запрос доп. атрибутов
Разработка «антифрод» правил
o Разработаны правила для ФГ (с учетом индивидуальных особенностей бизнес-процессов)
o Всего около 20 правил («исключающие», подозрительные)
o Состав правил согласован с «бизнесом». Конечные параметры будут определены после опытной эксплуатации
Тестирование на «боевых» данных
На этапе первичного тестирования правил в «антифрод» были загружены данные из системы ДБО за 4 месяца.Результат: были отловлены реально произошедшие инциденты
Текущий статус
Подготовлена антифрод-платформа
Разработаны правила работы антифрод-системы
Доработано ДБО
Доработана внутренняя инфраструктура в части интеграции
Проведено интеграционное ТЗ
Что дальше?
Перенос доработок на «бой»
Обучение системы
Обучение персонала
Опытная эксплуатация
Перевод в промышленную эксплуатацию
Если сейчас начинать сначала – что бы мы сделали по-другому?
1. Бизнес-процесс в самом начале требовалось изучить более глубоко чем это было сделано2. Ряд сложностей с интеграцией (более сложная чем предполагалась в начале проекта в части доработок ДБО). Это привело к удорожанию проекта3. «Уползание» сроков за счет отставания в параллельном проекте Банка, связанным с ДБО (переход на шину)4. Резерв свободных «мощностей» не только для работы антифрод-системы, но и для проведения нагрузочных тестов
