Как получать больше, платить меньше и спокойно спать по ночам
Как повысить результативность борьбы с фродом: опыт "Халык Банка"
1. Как повысить результативность
борьбы с фродом в каналах ДБО?
Опыт «Халык Банка» (Казахстан)
5-я ежегодная конференция российского отделения ACFE «Информационная безопасность: взгляд изнутри компании» 09-10.02.2022
2. Кратко обо мне: ненастоящий безопасник
Программист: 1985 - 1996
Сетевой инженер: 1992 - 2004
Руководитель проектов: 1999 - …
Генеральный директор: 2000 – 2017
Архитектор вычислительных комплексов: 2012 - 2018
CIO: 2018 - 2020
CISO (кибербезопасность, противодействие мошенничеству): 2021
www.linkedin.com/in/vshabad - много леденящих душу подробностей
3. Как измерить результативность?
Data Driven Approach – нет измерений, нет и результативности!
Ключевой показатель - сокращение «среднего чека» ущерба
17.июн 24.июн 01.июл 08.июл 15.июл 22.июл 29.июл 05.авг 12.авг 19.авг 26.авг 02.сен
Еженедельная динамика «среднего чека»
ущерба клиентам по фрод-инцидентам
Предотвращенный ущерб Подтвержденный ущерб
4. Из чего складывается «средний чек» ущерба
Частота атак
злоумышленников
Возможности
злоумышленников
Возможности
специалистов SOC
Защищенность
системы ДБО
Лимиты системы ДБО
Осведомленность
клиентов об угрозах
Учебный пример
из FAIR-U Calculator
https://www.fairinstitute.org/fair-u
5. Частота атак злоумышленников
• Частота атак зависит от репутации банка:
• злоумышленники – организованные
профессионалы, у которых есть CRM
и «план продаж»
• чем легче украсть деньги у клиентов,
тем активнее атаки
• чем сложнее украсть деньги у клиентов,
тем быстрее злоумышленники
переключаются на более легкую добычу
– на клиентов другого банка
6. Возможности злоумышленников
• Четыре основных сценария «социальной инженерии» (2021):
• «удаленный доступ» (Team Viewer и т. п.)
• «восстановление доступа»
• «безопасные счета»
• «e-commerce» (фальшивые сайты, объявления на Avito, …)
• Гибкость переключения между сценариями
0
100
200
300
24.июн 01.июл 08.июл 15.июл 22.июл 29.июл 05.авг 12.авг 19.авг 26.авг
Количество обработанных фрод-инцидентов
удаленный доступ восстановление доступа безопасные счета e-commerce
9. Как сделать реагирование более быстрым?
• Разгрузить специалистов SOC от
ненужной работы
• Автоматизировать реагирование
• Разделить обработку инцидентов на:
• реагирование и пресечение
• расследование и предотвращение
• Настроить визуализацию
эффективности работы
• Ограничить WIP
• …
(см. мой недавний доклад про внедрение Kanban и ITIL в работу ИБ)
https://www.slideshare.net/vshabad/itil-scrum-kanban-in-cybersecurity
10. Лимиты системы ДБО
• Снижение масштаба потерь
• Снижение интереса
злоумышленников
• Ускорение решения диспутов
• Лояльность клиентов
• Нагрузка на контакт-центр
12. Баланс потери доходов и инвестиций
Изменения в поведении клиентов, пострадавших от фрода:
• остатки на депозитах снизились на 9%
• транзакционная активность упала на 22%
• доходы Банка снизились на 39%
Потери доходов
из-за фрода
Инвестиции в борьбу
с фродом
13. Что дальше?
• Обучение и тестирование
пользователей
• Внедрение кросс-канальной
антифрод-системы на базе
Machine Learning
• Автоматизация обмена
фрод-индикаторами
с другими банками
и операторами связи
14. Буду рад оказаться полезным!
Всеволод Шабад,
независимый консультант
+7 777 726 47 90
Vsevolod.Shabad@gmail.com
https://linkedin.com/in/vshabad