Специальные аналитические технологии в сфере безопасности банка

В.А. Гамза, ОАО «Агрохимбанк»
М.К. Чокпаров, ЗАО «Институт проблем безопасности»
И.Б. Ткачук, ЗАО «Институт проблем безопасности»

Управление системой обеспечения безопасности современного банка связано с необходимостью аналитической обработки в сжатые сроки большого объема разноплановой информации, извлечения из нее определенного вида данных, их правильной оценки и принятия по результатам анализа обоснованных и своевременных решений. Просчеты в указанной деятельности могут повлечь за собой серьезный вред как имущественного, так и нематериального характера.

Вместе с тем, интенсивный рост количества данных, подлежащих поиску, неотложной оценке и осмыслению работниками соответствующих подразделений банка, во многих случаях значительно превышает объективные возможности человека. Это объясняется расширением спектра и объемов банковских услуг, появлением новых банковских технологий и инструментов, а также необходимостью обрабатывать огромные массивы электронных хранилищ информации. Например, одна из зарубежных информационных аналитических систем (Falcon), обслуживающая 16 крупнейших банков мира, контролирует и осуществляет в реальном масштабе времени анализ операций, проводящихся по 250 миллионам платежных карт. Непосредственная задача этой системы - выявлять и блокировать случаи мошенничества. Само собой разумеется, что выполнить эту задачу человеческими силами без применения специальных технологий невозможно.

Отечественные законодательные и иные нормативные правовые предписания государственных органов установили для исполнительных структур российских банков обязанность вести аналитическую обработку соответствующих видов информации с целью выявления опасностей, угрожающих имуществу и порядку функционирования кредитной организации, предупреждения и расследования опасных для банка действий и событий, а также для противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма. Кроме того, практически любой банк выполняет большой объем аналитических работ в сфере обеспечения безопасности по собственной инициативе.

Основными субъектами указанной аналитической деятельности являются служба внутреннего контроля, служба безопасности и подразделение защиты информации банка, функционирующие в тесном взаимодействии между собой1.

Об объеме аналитических процедур, выполняющихся в процессе повседневной деятельности одного из многих направлений службы внутреннего контроля банка, дает представление следующий пример. Один только законодательно определенный перечень банковских операций, подлежащих обязательному контролю в целях противодействия легализации «грязных» денег и финансированию терроризма, включает в себя описание вероятных способов совершения преступления и сопутствующих ему признаков набором из 23-х ситуаций, которые в свою очередь складываются из 70-ти структурных элементов, имеющих самостоятельное значение2. Полной или частичной проверке на соответствие всем этим 1610 признакам подлежит каждая операция, совершающаяся в течение операционного дня.

Не менее трудоемкие и сложные задачи аналитического характера стоят перед службой внутреннего контроля банка на других направлениях ее деятельности. В частности, в сфере выявления и предупреждения должностных правонарушений, защиты установленного порядка доступа к имуществу, к осуществлению операций по счетам и другим элементам функционирования банка.

Для службы безопасности банка характерными задачами являются многоаспектный анализ обширной информации в целях выявления скрытых связей между объектами сыскной деятельности или объектами внутренних расследований, проверка и оценка значимой для расследования информации; выдвижение необходимых версий, составление планов их проверки и решение иных задач.

 Аналитические задачи службы защиты информации банка связаны с контролем использования информационных ресурсов информационно-вычислительной системы банка, с проверками внутренних нарушений порядка использования информационных ресурсов, попыток «взлома» информационно-вычислительной системы извне и вирусных атак и т.д.

Кроме перечисленных выше обязанностей, каждое из названных подразделений должно фиксировать и расследовать выявленные нарушения, разрабатывать рекомендации и указания по их устранению, осуществлять контроль за исполнением этих рекомендаций и указаний, а также за применением мер дисциплинарного и иного воздействия к нарушителям3.

Объективные данные свидетельствуют о том, что сотрудники банков, выполняющие перечисленные выше обязанности, испытывают в ходе переработки больших массивов информации постоянно возрастающие нагрузки интеллектуального и психологического характера, утомление и снижение внимания, чреватые опасными последствиями.

Указанные обстоятельства указывают на объективную необходимость скорейшей автоматизации ряда перечисленных функций и внедрения в сферу обеспечения безопасности российских банков современных аналитических технологий.

Определенный опыт решения аналогичных задач автоматизации поиска знаний, скрытых в большой массе разрозненных данных, их последующего анализа и оценки накоплен Институтом проблем безопасности. Речь идет об информационно-аналитических комплексах, созданных по заказу правоохранительных органов, спецслужб и ряда коммерческих организаций.

Подобного рода комплексы на базе информационных технологий Data Mining4 могут быть разработаны для функционирования в предметной области любой организации, испытывающей потребность в аналитической обработке больших массивов информации, в первую очередь электронных банков данных.

Наряду с поиском скрытой информации такие системы позволяют представлять результаты анализа в виде легко воспринимаемых схем, выполненных в терминах и понятиях анализируемой области, и устанавливать интерактивную связь с анализируемыми массивами информации путем непосредственного обращения к отображаемым на схемах объектам. Большим достоинством комплексов является представляемая ими возможность выполнять аналитические операции без участия программиста.

В коммерческом банке аналитический комплекс, реализующий информационные технологии Data Mining, может использоваться одновременно или автономно всеми подразделениями, участвующими в сфере обеспечения безопасности. Информационными ресурсами для целей анализа могут служить данные внутренних операционных систем банка, собственные массивы информации службы внутреннего контроля, службы безопасности, службы защиты информации, подразделения по работе с персоналом и других структурных подразделений кредитной организации. При этом право доступа к собственным массивам информации подразделений может быть разграничено внутренними документами банка. Кроме того, система может использовать в автоматическом режиме в заданных ей целях данные сети Интернет (например, Интернет-страницы АУВЕР, РБК и др.), а также содержание информационных баз государственных контролирующих, регистрирующих и иных организаций5.

Возможности применения автоматизированного комплекса в целях качественного повышения уровня аналитической работы субъектов обеспечения безопасности банка могут быть реализованы на любом из направлений деятельности соответствующих подразделений.

Так, целям предупреждения злоупотреблений полномочиями и защиты порядка функционирования банка может служить автоматизированный поиск в массиве текущей (и архивной) информации признаков нарушений процедур, функций и полномочий по принятию решений в действиях любого из сотрудников банка и его филиалов.

Для этого в системе создается набор соответствующих шаблонов (заданных параметров), в которых фиксируется верхний предел полномочий каждого сотрудника банка, установленный законодательными и иными нормативными актами, стандартами профессиональной деятельности, внутренними документами, регулирующими деятельность и определяющими политику банка, решениями органов управления кредитной организации и должностными инструкциями.

«Наложение» шаблонов на данные информационных массивов позволяет незамедлительно обнаружить лицо, допустившее отклонения от установленного в банке порядка заключения сделок и выполнения операций. При этом система представляет сведения о содержании и других характеристиках операции, о сути допущенного нарушения, а также о конкретных нормативных предписаниях и обязательствах (инструкции, договоре), которые нарушил виновный.

По команде пользователя комплекс группирует информацию по времени и видам нарушений, по сотрудникам банка, совершившим нарушения, по клиентам, связанных с выделенными операциями, и т.д.

В случае необходимости сфера поиска связей между названными выше объектами (в частности, с данными о клиенте) может быть расширена за пределы внутрибанковских массивов информации. При этом команда пользователя формулируется в текстовом виде, либо в форме графического запроса к хранилищу данных путем совмещения соответствующих объектов на выведенной на монитор схеме.

Образец визуального представления результатов аналитической обработки массива информации по заданным параметрам представлен на схеме № 1 (левая часть схемы - необработанный информационный массив, правая часть схемы представляет данные в структурированном виде).

Схема № 1

В целях расследования нарушения может быть также предпринят автоматизированный поиск и анализ содержания связей между:

-конкретным сотрудником банка и другими совершавшимися нарушениями;

-клиентом банка и другими совершавшимися в банке нарушениями;

-клиентом банка и иными лицами, причастными к имевшимся в банке нарушениям порядка функционирования.

Кроме банковских операций, анализу в целях поиска связей между сотрудником банка и клиентом могут быть подвергнуты данные телефонных переговоров, электронной почты и иных массивов информации. При этом программа позволяет вести поиск связей объектов через любое количество уровней (выявлять цепочки косвенных связей).

Система успешно справляется с задачей установления связей между умышленно раздробленными проводками денежных средств по счетам и наглядной демонстрацией конечного (подлинного) содержания таких операций.

Возможности комплекса могут быть использованы для контроля в автоматическом режиме за адекватным отражением операций банка в учете по установленной форме.

Возможности расширения поиска связей объекта и их отражения в графической форме представлены на схемах №2а (исходные объекты) и №2б (результаты поиска связей).

Схема № 2 «а»

img 2a

Схема № 2 «b»

img 2b

Описанная методика и инструменты поиска признаков нарушений процедур, функций и полномочий субъектов успешно применяются в целях защиты информации банка. Автоматизированный комплекс позволяет преобразовывать в единый формат данные, поступающие из различных контролируемых объектов, вести выявление фактов нарушений порядка доступа к информационным ресурсам и самих нарушителей, четко фиксировать суть и иные обстоятельства нарушений, формировать в визуальной форме запросы на выборку данных, представлять результаты обработки информации в виде отчетных документов с использованием легко воспринимаемых схем и т.д.

Возможности автоматического поиска сведений по заданным параметрам и выявления скрытых связей могут успешно использоваться в целях выявления различного рода банковских рисков и угроз. В частности, кредитного риска, который является основным в процессе банковской деятельности и заключается в неспособности либо нежелании партнера действовать в соответствии с условиями договора.

Кредитная деятельность требует определенных аналитических оценок относительно кредитоспособности заемщика. Практика свидетельствует, что такие оценки не всегда точны и корректны. Известно, что кредитный риск значительно возрастает в случае предоставления крупных кредитов так называемым связанным заемщикам. Между тем, указанные связи могут быть неявными. Использование представленных выше информационных технологий позволяет выявить деловые и иные связи между заемщиками или группами заемщиков путем анализа массивов информации о совершенных и планируемых сделках, об участии в образовании имущества юридического лица и т.д.

Заданные комплексу параметры помогут аналитику в выявлении в исследуемых массивах информации сведений о сотрудниках банка, которые могут быть признаны лицами, заинтересованными в операциях (сделках). Напомним, что набор признаков возможной личной заинтересованности сотрудника включает в себя более 20 элементов, находящихся в прямой либо опосредованной зависимости. В их числе: владение акциями (долями, паями) юридического лица, являющегося стороной операции (сделки) или участвующего в ней в качестве представителя или посредника; участие сотрудника в органах управления юридического лица; участие родственников сотрудника в сделке; нахождение у родственников во владении акций (долей, паев); участие родственников сотрудника в органах управления юридического лица, являющегося стороной сделки и т.д. Разноплановость названных признаков и разрозненность источников сведений, подлежащих изучению для их поиска, делают «ручную» обработку информации весьма непродуктивной, а ее результаты не всегда полными и достоверными. И наоборот, применение в данном случае автоматизированного комплекса аналитической обработки информации качественно повышает эффективность работы аналитика.

Как упоминалось выше, информационные технологии Data Mining могут быть использованы для выявления и блокирования попыток мошеннических операций с платежными картами.

В основе поисковой и аналитической деятельности в указанном случае лежит все то же использование соответствующих шаблонов (моделей, заданных параметров). Система содержит в себе, а затем распознает в реальном режиме времени модели различного типа мошенничества в кредитной сфере. Финансовые операции по выявленным попыткам мошенничества автоматически блокируются. Фактические данные для создания моделей мошенничества собираются специалистами банка и постоянно обновляются с учетом последней информации о случаях мошенничества.

Еще одной особенностью автоматизированного комплекса является его способность самостоятельно выявлять типичные признаки анализируемой (в нашем случае противоправной) деятельности и участвующих в ней лиц (юридических и физических). В этих целях аналитической обработке подвергается информация о достоверно известных фактах правонарушений. Такой прием позволил нам, например, установить типичные характеристики лжекоммерческих организаций (фирм прикрытия), использующихся для совершения мошенничества при заключении банковских договоров и операций для легализации «грязных» денег. Были выявлены также типичные признаки имитации клиентами производственной и коммерческой деятельности (когда деятельность не проводится вовсе), а также коммерческой деятельности в форме оказания интеллектуальных (маркетинговых) услуг и т.д. Указанные выше параметры состоят из нескольких десятков элементов.

Использование этих параметров при аналитической обработке соответствующих массивов информации показало высокую поисковую эффективность и надежность оценки подлинных намерений потенциальных клиентов.

Схема №3

В левой части представлена типовая схема движения денежных средств «по кругу» в целях имитации финансовой деятельности. В правой части представлены конкретные факты таких маскировочных действий, отобранные системой.

Существенным направлением информационно-аналитической поддержки субъектов обеспечения безопасности банка (в частности, службы безопасности) является возможность представления результатов сыскной (проверочной) деятельности предполагаемого клиента или проведенного внутреннего расследования в виде визуальных моделей, отражающих:

Так, например, стандартная проверка потенциального клиента с целью предупреждения мошенничества (и риска невозврата кредита) при заключении кредитного договора (договора займа) предполагает выполнение, фиксацию и анализ службой безопасности банка результатов следующих действий, направленных на проверку подлинности:

- сведений и документов, удостоверяющих право организации заключать договор займа в объеме и на условиях, предусмотренных проектом договора, а также документов, удостоверяющих личность руководителя или представителя организации, наличие у них соответствующих полномочий на получение кредита, правильность оформления доверенности и т.д.;

-сведений, подтверждающих реальное существование организации заемщика, путем изучения уставных документов, сведений из налоговых органов и др., соответствия кредитуемой сделки законодательству и уставным документам заемщика. В частности, получить информацию о наличии у организации-заемщика постоянных производственных и складских помещений, об объемах товаров или продукции, которыми располагает фирма;

-способности заемщика заработать средства для погашения долга и возвратить кредит (анализируются сведения о продолжительности присутствия фирмы на рынке товаров и услуг, наличие положительных экономических показателей, изучаются кредитная история (получал ли заемщик кредиты в других кредитных организациях, не допускал ли нарушений при их получении; как использовались деньги, полученные в качестве кредита; не было ли проблем с возвратом денег банку) и репутация в деловом мире партнеров (контрагентов, кредиторов, банков);

-вложения собственного капитала заемщика в кредитуемое дело (данные балансовых ведомостей, расчетно-кассовые документы и другая документация первичного учета, наличие у него достаточных объемов реального товара или продукции);

- документов о вторичных источниках погашения долга (договора о залоге, гарантии, поручительства, страхового свидетельства). Проверяется их точное соответствие нормам гражданского законодательства, наличие возможных признаков материального и интеллектуального подлога. Выясняется, отражен ли факт выдачи гарантийного письма, страхового свидетельства и пр. в соответствующих документах поручителя;

-целей испрашиваемого кредита, а также сведений, раскрывающих содержание и механизм предполагаемого контракта по всей технологической цепочке от момента производства до доставки к месту реализации; о характере деятельности предполагаемых контрагентов потенциального заемщика; о возможности контрагентов поставить заемщику товар ожидаемой номенклатуры и качества в названные сроки, вид и количество транспортных единиц, которые предполагается использовать, наличие соответствующих договоров на доставку товара (сырья).

После заключения кредитного договора служба безопасности банка обязана контролировать ход его исполнения с целью своевременного выявления обстоятельств, могущих препятствовать возврату кредита. При возникновении таких обстоятельств принимать меры к минимизации ущерба6.

Автоматизированный комплекс предоставляет возможность сотруднику службы безопасности (аналитику) самостоятельно создать графическую схему, представляющую процедуру и результаты проверки, на экране монитора. Схема № 4

Указанная схема формируется в режиме диалога с комплексом. Данные об анализируемых объектах и связях между ними вводятся в компьютер в виде графической схемы, которая выполняется пользователем непосредственно на экране. Для графического обозначения объектов пользователь выбирает значки из предлагаемого программой набора шаблонов и «выводит» их в рабочее поле экрана. Связи между объектами фиксируются путем проведения между ними схематических линий. Одновременно с этим программа позволяет дополнять графическое изображение зафиксированных объектов и их связей текстовой информацией. Это дает пользователю возможность наделить объекты и связи признаками (атрибутами), которые имеют самостоятельное поисковое значение и используются в последующем компьютерном анализе. В обычном режиме работы текстовая информация находится в скрытом состоянии. Она «выводится» на экран в специальном «окне», которое открывается непосредственно на схеме по команде пользователя в привязке к конкретному объекту или связи. Содержание текстовой информации может меняться в диалоговом режиме путем внесения новых сведений непосредственно в поле «окна».

Каждый из объектов содержит в «свернутом» виде информацию, представленную выше в текстовой форме, однако в случае необходимости «разворачивается» по команде пользователя. По мере поступления сведений о результатах проверки он пополняется путем непосредственного внесения информации в базу данных через экран монитора.

Сформированная модель проверочных мероприятий и полученных фактических данных позволяет представить собранную информацию в цельном, удобном для восприятия виде. Удобству восприятия способствует возможность изображения отдельных групп объектов и их связей в различных цветах.

Кроме того, модель указанного вида обладает рядом динамических свойств, которые позволяют группировать собранную информацию в соответствии с целями аналитических процедур. В частности, зафиксированные моделью носители информации могут выделяться по команде пользователя из общего массива данных по признакам вида, источника информации (лицо, документы), места обнаружения, наличия связей и их типа и т.д.

Соответственно с этим, наряду с общей схемой всех зафиксированных объектов, модель представляет частные схемы их отдельных групп (например, признаки, свидетельствующие о фиктивном характере организации-заемщика).

Результаты указанных процедур позволяют аналитику получить, не упустив даже самых незначительных деталей, четкое представление о содержании и целях проверочных действий, об имеющейся фактической информации, которая может быть использована для оценки подлинных намерений организации-заемщика, и т.д.

Не следует упускать из виду, что одновременно с аналитической обработкой имеющейся фактической информации сотрудник службы безопасности может использовать функции комплекса для поиска недостающих данных в других массивах сведений.

Применение специальных аналитических технологий в сфере безопасности банка далеко не исчерпано описанными выше возможностями. Широкое поле для их использования представляет сфера противодействия банка легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма. Однако эта тема ввиду ее объемности выходит за пределы настоящей статьи.