Upload
positive-hack-days
View
996
Download
0
Embed Size (px)
Citation preview
Применение количественной оценки рисков в противодействии мошенничествуна сети связи
30 мая 2012 года
PwC 2
Некоторые клиенты PwC в отрасли Связь
Аудиторские услуги Консультационные услуги
PwC 3
Проекты, в которых мы рассматриваемриски мошенничества операторов связи
•Аудит;
•Повышение эффективности системы внутреннего контроля;
•Due diligence review;
•Revenue Assurance;
•Forensic– расследование случаев мошенничества;
•Услуги в области информационной безопасности
PwC 4
Разнообразие рисков мошенничествав деятельности оператора связи
Пользование услугами без намерениячестной оплаты
Использование услугдля незаконной деятельности
Умышленная эксплуатация недостатков контроля и системы расчетов
Нарушение лицензий, предельных тарифов и правил оказания
услуг
Манипуляция отчетностьюи показателями эффективности
Искажение данных об абонентахи полученных ими услугах
Внутренние
Злоупотребления агентов, дилеров,партнеров, присоединенных операторов,
подрядчиков
Угрозы безопасности сети, хищение и искажение абонентских данных, нарушение тайны связи
- каковы тенденции?
Внешние
Продажа несуществующих услуг,услуг которые не могут быть
предоставлены
. . .
PwC 5
Тенденции в области мошенничества, отмеченные нашими клиентами
oЗлоумышленники переходят от регулярного извлечения небольших выгод на недостатках контроляк целенаправленному поиску и разовой эксплуатации самых существенных уязвимостей с катастрофическим ущербом;
oВозрастает подготовленность и сложность атак;
oУвеличиваются потери на отдельный случай мошенничества, в т.ч. катастрофический ущерб от взлома IP PBX, платформи узлов доступа к VOIP;
oСистематическое мошенничество переходит в законные формы злоупотреблений.
..есть ли общие эффективные практики?
PwC 6
Общие подходы к управлению рисками– применимы ли для рисков мошенничества?Идентификация рисков
- Понимание бизнеса, экспертная оценка- Техники – Brainstorming, Интервьюопросники, экспертные системы- Отраслевая практика и сравнения
Анализ рисков- Спецификация и классификация- Анализ материальности и вероятности- Приоритезация и назначение веса
Разработка мер контроля и реагирования
- Предупреждение- Выявление- Снижение потерь
Closing the books
Collection Billing the customer
Using the service Connecting the customer
Order entry
Provisioning and activation
Event generation
Customer
Collection
Billing
Mediation
Rating
… в чем специфика рисков мошенничества на сети?
PwC 7
Специфика управлениярисками мошенничества на сети
Особая роль методов количественной оценки рисков
-в множестве информационных систем есть объемная и детальная информация;
– эффективны специальные инструменты количественной оценки
Особая роль контролей информационной безопасности
-адресуют множество критичных внешних и внутренних угроз
-корпоративная сеть – безопасность систем расчетов, управления сетью и систем учета
-технологическая сеть – безопасность сервисов, и сохранность ресурсов, предотвращение мошенничества
PwC 8
Как формализовать алгоритм количественной оценки?
MS Excel
= VLOOKUP([SUBSCRIBERS_SEL.xlsx]NEW_SUBS!$G$142, 1, INDIRECT(ADDRESS((HLOOKUP(3,$E27:$AC$55,ROWS($E27:$AC$55),FALSE)-1)*2+5,32)))
SQLINSERT INTO sds.corr_correlation_rowids
SELECT T1078_rowid,
corr_source_rowids_t(
S10094_rowid
) source_rowids
FROM
(
SELECT T1078_rowid,
S10094_rowid,
ROW_NUMBER()
OVER
(
PARTITION BY T1078_rowid
ORDER BY S10094_rowid
) rn
FROM
(
SELECT /*+ ORDERED USE_HASH(T1078 S10094) */
T1078.rowid T1078_rowid,
S10094.rowid S10094_rowid
FROM testcdr1 T1078
JOIN testcdr2 S10094 ON
S10094.jobtableid BETWEEN AND
AND
S10094.TimeForStartOfCharge
BETWEEN SYSDATE - 1 AND SYSDATE - 0
AND
S10094.ASubscriberNumber = T1078.ASubscriberNumber
WHERE T1078.jobtableid BETWEEN 1 AND 5
AND
T1078.TimeForStartOfCharge
BETWEEN SYSDATE - 1 AND SYSDATE - 0
)
)
WHERE rn = 1
PwC 9
Процесс количественной оценки риска
Challenges:• Variability of data sources and formats• Unknown quality of data and information• Systems complexity - High• Breadth & volume of data - High• Need for transformation - High• Business rule complexity - High• Time to response - Short• Value of good results - Very High
Формат, нормализация, очистка и обогащение
Анализ и поискотклонений
Оценка и Приоритезация результатов
Отчеты
Ручные,и автоматизированные корректирующие действия
Рабочиеданныеиз ИС
Системы и хранилища
Извлечение данных из множества источников
PwC
Количественная оценкаотдельных рисков мошенничества(примеры из практики совместногоанализа с ОАО «Вымпелком»)
10
Кредитный контрольпри подключении абонента
Анализ доходности трафика
PwC
1 мес 2 мес 3 мес 4 мес 5 мес 6 мес 7 мес0
100
200
300
400
500
600
700
800
900
1000
Длительность
Начислено
Оплачено• Повторное подключение
Абонентский фродпри слабом кредитном контроле
11
• Подключение
• Обычное использование и оплата услуг
• Пиковое использование
PRS owner
PwC 12
Кредитный контроль
PwC
«Passing» LD-calls to paycard platforms (2)
13
ВымпелкомВымпелком
PSTN сеть(Латвия)
PSTN сеть(Латвия)
Sloc
SFT
N
Абонент
Система расчетов
~0.5 $/min.
<0.1 $/min.
PRS owner
Требуется анализ доходности
Анализ доходности трафика
PwC 14
Анализ доходности
PwC 15
Анализ доходности
PwC 16
Анализ доходности - результаты
•Из исходных 6 млн. международных соединений выбраны 16.8 тыс. убыточных (стоимость завершения выше тарифа)
•Найденные соединения сгруппированы по направлениям, рассчитана убыточность минуты для убыточных направлений и массив результатов отсортирован по средней убыточности для дальнейшего анализа
PwC 17
Удобство графического моделированиядля количественной оценки рисков
Простота и наглядность;
Прозрачность логики;
Упрощает поиск ошибок в сценариии отладку исключений;
Совместное использование;
Повторное использованиеи технологичность сценариев;
Масштабируемость - можно создавать сценарии любой сложности без потери контроля над логикой;
PwC 18
Внутренние факторы, снижающие эффективность борьбы с мошенничеством•Отсутствие систематического анализа рисков,реагирование на реализованные риски;
•Акцент на выявлении и нейтрализации злоумышленников, недостаток корректирующих действий;
•Недостаточное взаимодействие служб и подразделений на этапах идентификации рисков и планирования корректирующих действий;
•Проблемы доступа и анализа информации из множества систем;
•Пренебрежительное отношение к простым контролям;
•Неоправданная сложность продуктов и гибкость условий обслуживания;
Недостатки контролей информационной безопасности ->
PwC 19
Типичные недостатки контролей ИТ
oНедостаточное внимание к использованию admin accounts, отсутствие мониторинга,
oНедостаточный контроль доступа вендоров и подрядчиков к корпоративным и технологической сетям,
oНедостаточный контроль доступа пользователей в корпоративные сети, системы расчетов, отсутствие мониторинга
oНедостаточное внимание безопасности при миграции унаследованных систем расчетов и опытной эксплуатации новых систем;
oНедостатки управления изменениями и обеспечения качества при модификации систем,
oНедостаточное внимание аутентификации доступа
рассмотрим эти подходы и их ограничения…
PwC
Спасибо!
Вопросы?
Василий ПименовСтарший менеджер
PricewaterhouseCoopers Audit+7 (495) 287 [email protected]