Внедрение комплекса превентивного мониторинга для обнаружения финансового мошенничества

Заказчик
ПАО Банк «ФК Открытие»
Руководитель проекта со стороны заказчика
ИТ-поставщик
DIS Group
Год завершения проекта
2020
Сроки выполнения проекта
Июль, 2019 - Июнь, 2020
Масштаб проекта
12672 человеко-часов
Цели

Руководство Банка «ФК Открытие» приняло решение внедрить единое зонтичное решение для централизованного мониторинга с целью противодействия финансовому мошенничеству и быстрого реагирования на изменения мошеннических схем путем быстрой адаптации алгоритмов. Решение было призвано выявлять фрод в системах дистанционного банковского обслуживания, фрод с платежными картами, а также обеспечивать соответствие требованиям регулятора.

Кроме того, благодаря проекту Банк «ФК Открытие» смогли снизить стоимость сопровождения и развития своей антифрод-системы и оперативно вносить в неё изменения.

Уникальность проекта

Банк внедрил уникальный комплекс превентивного мониторинга потоков платежных событий по розничному, малому, среднему и корпоративному бизнесу для высокоточного обнаружения мошенничества. Комплекс стал зонтичным решением, которое объединило под собой более 15 систем банка, что позволило создавать комплексные критерии выявления мошеннических транзакций.

Впервые в России подобный зонтичный антифрод-комплекс внедрялся параллельно с масштабной интеграцией ИТ-ландшафтов при объединении банков. Интеграция ИТ-систем Банка «ФК Открытие» с системами Бинбанка, РБР, Новосибирского муниципального банка, Петровского банка, банка «Новая Москва», банка «Номос», банка «Щит», банка «Петрокоммерц»,  банка «Траст» стала оной из крупнейших в России, что внесло свои корректировки во внедрение комплекса, но не повлияло на плановые сроки ввода комплекса в промышленную эксплуатацию и вывод предыдущего антифрод-решения.
Использованное ПО
Nice Actimize используется как зонтичное решение, которое объединяет в единый комплекс программное обеспечение для приема платежей, системы дистанционного банковского обслуживания юридических и физических лиц, автоматизированные банковские системы, систему управления мастер данными, системы обогащения информации по клиентам банка и устройствам, которые используются для совершения финансовых операций, хранилища корпоративных данных банка, почтовую систему, смс-шлюз и т.д.  Выполнена интеграция  с решением для информационного обмена с Центральным Банком Российской Федерации.
Сложность реализации

При интеграции с Бинбанком в Банке «ФК Открытие» проходила масштабная трансформация бизнеса. По сути, 10 систем ДБО стали одной, 10 ИТ-ландшафтов стали одним. Внедрение антифрод-комплекса проходило по ходу этой интеграции.

В рамках реализации данного проекта проведена глубокая проработка бизнес и системной аналитики. Масштабность проекта потребовала стыковки как бизнес-требований заказчиков системы, так и стыковку системных требований и верификации технического задания по интеграции с системами источниками.
Описание проекта

В качестве основы комплекса превентивного мониторинга была использована платформа Nice Actimize. Обработка потоков событий (данных) позволяет обнаружить значимые шаблоны мошенничества, используя такие методы, как поиск взаимосвязей между событиями, корреляция событий, иерархии событий, и аспекты, такие, как причинность, анализ составных событий и временных рядов.

Настроена интеграция с платежными системами банка, в реальном времени идет проверка всех транзакций на наличие мошенничества. Кроме того, настроена интеграция с большим количеством систем банка, которые обеспечивают обогащение транзакционной информации, информации по клиентам, продуктам и своевременную нотификацию событий. 

Теперь работа с антифрод-решением для бизнес-пользователей стала еще более гибкой. В частности, появились настраиваемая логика обработки данных, а также настраиваемые политики и правила выявления подозрительной активности/транзакций и принятия решений в т.ч. с использованием пользовательского редактора правил без привлечения IT-персонала и внешнего подрядчика.

Кроме того, в распоряжении бизнес-пользователей теперь есть единая среда расследования и база кейсов. В этой единой среде доступна работа с оповещениями, ведение дел, поддержка проведения расследований, конфигурирование и настройка оповещений, дел, процессов ведения расследований, отчетности. Также в этой среде реализуется маршрутизация оповещений, привязка оповещений к соответствующим бизнес-подразделениям, сотрудникам или группам, передача между пользователями, группами и подразделениями в ходе расследования. Доступны и получение оповещений из внешних систем, и незамедлительное оповещение клиента о подозрительной транзакции.

Также у бизнес-пользователей появились новые технологические возможности. В частности, стала возможной организация очередей обработки, фильтрация, глобальный поиск по объектам системы с возможностями нечеткой логики. Ещё бизнес-пользователи могут воспользоваться рабочими процессами обработки оповещений и ведения расследований. Доступен и анализ данных пользователей (в т.ч. с использованием пользовательских конструкторов запросов) и возможности для получения разнообразной отчетности.

В ходе проекта реализована масштабируемая архитектура КПМ и отказоустойчивая схема всех компонентов комплекса. Кроме того, выстроена релизная политика на четырех средах (среда разработки, пользовательского и функционального тестирования, нагрузочного тестирования, продуктивная среда).

Работа с системой ведется круглосуточно командой аналитиков банка для противодействия мошенничеству. Процессы детектирования не останавливаются ни на секунду. Для обеспечения отказоустойчивости и возможности установки релизов работают резервные серверы с балансировкой нагрузки, восстановлением работоспособности в горячем режиме. Эффективная работа команды ведется по методологии Agile и полностью удаленно.
География проекта
Проект покрывает все регионы присутствия банка (73 региона). Реализовывался проект территориально распределённой командой: принимали участие специалисты от Дальнего Востока до Москвы. 
Коментарии: 14
  • Андрей Галкин
    Рейтинг: 35
    ООО МУНРЕЙКЕР
    CMO
    02.12.2020 19:21

    Прекрасный проект! Судя по датам реализация данного проекта пришлась на время пандемии, подскажите, пожалуйста, повлияло ли это как-то? Начала ли какая-то часть команды работать удалённо? Сказалось ли это негативно на проекте?

  • Илья Сулоев
    Рейтинг: 236
    Банк «ФК Открытие»
    Вице-Президент, Директор департамента информационной безопасности
    17.12.2020 13:22

    Добрый день!
    Повлияло, в первую очередь, на перевод практически всех коммуникаций по проекту в дистанционные каналы, до этого в проекте такой подход всегда применялся преимущественно для географически распределенных команд и в рамках оперативных совещаний. Команда практически в полном объеме в отдельные периоды времени работала удаленно. Существенных проблем в связи с переходом на коммуникации в дистанционном формате не было, из минусов скорее это эмоциональная составляющая демонстрации, коммуникации по ключевым вопросам все-таки в очном формате более предпочтительны, позволяют избежать избыточности дополнительных встреч. Из плюсов - "цифровых следов" по итогам "цифровых встреч" стало больше, как следствие, эта информация так или иначе интерпретировалась и использовалась, например, для погружения вновь прибывших участников команды, агрегации принятых решений по отдельным вопросам для принятия решений более высокого уровня и, наоборот, декомпозиции задач, контроля утилизации ресурсов и приоритетов.
    Data Driven подход сработал:).

  • Иван Новосёлов
    Рейтинг: 25
    МФТИ
    Старший исследователь
    21.12.2020 13:47

    Доброго времени суток, Илья! Интересно, какой SLA у обнаружения мошенничеств у данного комплекса. Комплекс в реальном времени фиксирует потенциально мошеннические транзакции? Или всё-таки есть какая-то задержка?

    • Илья Сулоев Иван
      Рейтинг: 236
      Банк «ФК Открытие»
      Вице-Президент, Директор департамента информационной безопасности
      29.12.2020 13:30

      Иван, добрый день!
      Для процессов предотвращения SLA устанавливается исходя из общего времени на транзакционный процесс, т.е. стремящаяся к нулю задержка на предоставление рекомендованного действия от антифрод-системы.
      Для обеспечения такого режима работы еще до инициации платежного процесса осуществляется фрод-анализ аутентификационных и иных событий клиента, ассоциированных с клиентом пользователей.
      Такой подход позволяет:
      - выбрать сценарий обработки целевых операций, например, платежных
      - сократить время, затрачиваемое на обработку платежной операции
      - использовать сведения о попытках операций – по сути атрибуции злоумышленника – для обогащения модели принятия решения по будущим операциям др. пользователей и клиентов

  • Аллан Пиренов
    Рейтинг: 32
    AllanKo
    Директор по ИТ
    23.12.2020 14:35

    Добрый день! Правильно ли я понимаю, что в процессе внедрения были решены задачи интеграции данных множества разнородных систем от различных поставщиков? Каким образом получилось обеспечить совместную организацию работы множества различных команд

    • Илья Сулоев Аллан
      Рейтинг: 236
      Банк «ФК Открытие»
      Вице-Президент, Директор департамента информационной безопасности
      29.12.2020 13:32

      Аллан, добрый день!
      Сложившаяся практика реализации масштабных проектов в Банке предполагает создание так называемой группы управления проектом с назначением ролей для каждого участника– основной костяк которой желательно чтобы не менялся, участники же смежных проектных команд и команд развития включаются по мере необходимости в группу управления проектом. Ресурс смежных проектных команд/команд развития соответственно запрашивается у владельца ресурсов и только после синхронизации требований/сроков накладывается на планы реализации в двух проектах с обозначением ключевых вех/контрольных точек.

  • Андрей Ерохин
    Рейтинг: 30
    Спредл, ООО
    СIO
    29.12.2020 11:17

    Илья, здравствуйте. Подскажите, пожалуйста, почему в качестве основы для проекта была выбрана платформа Nice Actimize? На что вы ориентировались, когда делали выбор? На технологию, её доступность или ещё на что-то?

  • Илья Сулоев
    Рейтинг: 236
    Банк «ФК Открытие»
    Вице-Президент, Директор департамента информационной безопасности
    29.12.2020 13:36

    Андрей, здравствуйте!
    Выбор платформы ключевая веха всего проекта. Рассматривали как лидирующие международные решения, так и локальные. После нескольких этапов тщательного отбора, ключевые вехи: long list (сбор сведений по доступному программному обеспечению), short list (ранжирование по совокупности параметров), референс-визиты, пилотный проект. Далее собственно конкурентная процедура закупки. Таким образом, решение Nice Actimize с прикладной областью противодействие электронному мошенничеству стало претендентом для включения в целевой ИТ-ландшафт и ИТ-инфраструктуру Банка и одним из значительных элементов процесса противодействия электронному мошенничеству, только на этом этапе собственно предстоял этап внедрения.

  • Андрей Ерохин
    Рейтинг: 30
    Спредл, ООО
    СIO
    29.12.2020 17:42

    Также хотелось бы узнать, как Вы оцениваете результаты проекта в целом? Понимаю, что любой проект можно бесконечно улучшать и дорабатывать. Но всё-таки удалось ли добиться того, что изначально планировалось?

  • Илья Сулоев
    Рейтинг: 236
    Банк «ФК Открытие»
    Вице-Президент, Директор департамента информационной безопасности
    30.12.2020 08:55

    Андрей, здравствуйте!
    Наибольшие амбиции на старте проекта стояли по срокам и ограниченности ресурсной емкости ИТ Банка по необходимым изменениям для интеграции с ИТ-системами источниках операций. При этом параллельно менялся ИТ-ландшафт Банка и практически непрерывных изменений в продуктовых системах. В этом смысле неопределенности требовали высоких требований к самоорганизации команды и управления рисками на каждом из уровней принятия решений вплоть до конкретной задачи.
    Сейчас можно сказать, что эти амбиции в основной своей части удовлетворены, цели проекта выполнены, но сформирован значительный перечень задач развития как зависящих от изменений на внешних ИТ-системах, так и адаптации функциональности платформы под процессы.
    Таким образом, в целом результаты положительные, при этом уже в рамках текущего проекта удалось посмотреть вперед и сформировать экспертизу по так называемым задачам развития.

  • Аллан Пиренов
    Рейтинг: 32
    AllanKo
    Директор по ИТ
    30.12.2020 16:35

    Илья, приветствую! Могли бы Вы прокомментировать преимущества применения промышленных решений относительно собственных банковских разработок? Это пока не очень очевидно, хотелось бы лучше понять этот аспект.

  • Илья Сулоев
    Рейтинг: 236
    Банк «ФК Открытие»
    Вице-Президент, Директор департамента информационной безопасности
    02.01.2021 09:09

    Аллан, здравствуйте!
    Для процессов противодействия электронному мошенничеству с учетом объема постоянных изменений в продуктовых системах/каналах взаимодействия с клиентами необходима платформа. Собственная разработка платформы для специфических процессов поддержки низкомаржинального транзакционного бизнеса более высокая конечная стоимость, ограниченная скорость изменений.
    Платформенное решение для вспомогательного процесса позволяет:
    - сохранить баланс между объемом базовых требований безопасности к продуктовым настройкам, реализуемым на ИТ-системах источниках операций и платформы на которой реализован собственно процесс сопровождения.
    - использовать результаты собственных банковских разработок на продуктовых системах со всеми их преимуществами и спецификой в процессе противодействия электронному мошенничеству интегрируя данные
    - обеспечить возможность органического наращивания собственной экспертизы ИТ и внутренних ресурсов разработки сервисов на базе платформы в дополнение к ресурсам интегратора основываясь на объективных показателях - конечном экономическом эффекте.

  • Максим Часовиков
    Рейтинг: 1020
    МГУ имени М.В.Ломоносова, Центр цифровой экономики
    Заместитель руководителя службы управления проектами
    06.01.2021 03:58

    По результатам проекта будет ли совершенствоваться модель нарушителя/мошенника? На основании каких моделей и данных сейчас принимается решение о классификации данных активностей пользователей как мошенничество?

  • Илья Сулоев
    Рейтинг: 236
    Банк «ФК Открытие»
    Вице-Президент, Директор департамента информационной безопасности
    29.01.2021 20:47

    Максим, доброго!
    1. Модель злоумышленника корректируется/совершенствуется непрерывно, что стандартно скорее с точки зрения основной задачи - получить инструмент с помощью которого можно управлять моделью динамически.
    2. На основании сведений об операциях/действиях от имени клиента и профилей (клиента, получателя, окружения, устройства), в т.ч. результатах их исполнения или отказов в исполнении (по самым разным причинам, в т.ч. несвязанным с фродом), что позволяет значительно повысить эффективность транзакционного и не только бизнеса (с учетом активного развития digital-каналов), а также коммуникаций с клиентами.

Год
Предметная область
Отрасль
Управление