Как правило, компании полагаются на детерминированные правила для выявления подозрительных транзакций в рамках своих программ по борьбе с отмыванием денег (AML) и финансированием терроризма (ATF). Когда транзакция попадает в «черный» список, инициируется процедура для запуска разработанного алгоритма реагирования. Основное внимание уделяется одному типу поведения, которое может содержать либо же упускать информацию о третьих лицах и заинтересованных сторонах. Неудивительно, что в последнее время многие специалисты говорят о новых методах транзакционного контроля.

Слабость традиций

Традиционный способ мониторинга операций, помимо многочисленных инцидентов, связан с наличием ряда фундаментальных проблем:

  • Отсутствие целостного наблюдения. Определенный тип поведенческого паттерна может оказаться индикатором подозрительной активности, поэтому должен оцениваться в сочетании с другими показателями, а не пребывать в изолированном пространстве. К тому же процесс наблюдения не учитывает активности, которые имели место до и после выявленного риска. Т.е. речь идет о дефиците целостного представления, что делает процедуру мониторинга в некоторой степени неэффективной.
  • Стартовая точка расследования. Специалисты по AML изучают конкретные обстоятельства, связанные с подозрительной транзакцией. Продукты с высоким уровнем риска, направления деятельности компании, а также ключевая информация о клиентах, оказывают влияние на масштабы тестирования транзакций. В процесс расследования включают любые случаи, имеющие отношение к подозрительной деятельности, ориентируясь на данные пользователя и его аккаунт. Хотя данная процедура помогает экспертам получить целостную картину о клиенте, она не учитывает иные подозрительные действия, косвенно связанные с нарушениями. Анализ очевидных случаев нелегальной активности предоставляет дополнительную информацию об исследуемом объекте, но не в состоянии количественно оценить уровень общей угрозы.
  • Профицит информации. Сведения собираются во время тестирования транзакций и при дальнейших расследованиях. Увязка нескольких аналогичных случаев увеличивает объем данных, которые следователи должны учитывать в рамках расследования. Их обработка усложняется ввиду отсутствия надлежащего сетевого представления всех вовлеченных сторон.

Таким образом, традиционный способ обнаружения подозрительных транзакций приводит к накоплению данных, которые требуют скрупулезного анализа другими системами, что чревато увеличением продолжительности расследований и влияет на их эффективность.

Алгоритмы сетевого мониторинга

Целью контроля на основе сети является оптимизация всех индикаторов риска для составления общей оценки транзакции. Сетевой мониторинг включает следующие этапы:

1. Поглощение и расширение

Данный шаг предусматривает сбор и систематизацию всех подозрительных событий из различных источников. Поскольку определенные ситуации могут отличаться дефицитом необходимой информации, следует позаботиться об обогащении данных посредством анализа учетных записей пользователей, сведений о внешних объектах и других ресурсов.

Процесс регистрации событий сопровождается базовыми проверками данных для обеспечения правильности их обработки на стадии оптимизации. В случае, если процедура не соответствует требуемым стандартам защиты информации, она включается в так называемый «перечень исключений».

На этом этапе обращаются к функциональным возможностям компании для выявления дублирующих рисковых событий и предотвращения их повторной обработки. Кроме того, любые повторяющиеся угрозы должны быть идентифицированы и внесены в единый каталог рисков.

2.  Консолидация

После систематизации рисков предполагается их консолидация на основе первичных сведений (клиент, счет, идентификационный номер, адрес) и соответствующих ситуативных элементов (сфера деятельности, география расположения, юрисдикция), связанных с целевым изучением объекта. Правила консолидации могут быть дополнительно разделены с учетом классификации направлений, таких как мониторинг AML, санкции и пр. Оповещения о нежелательном показе мультимедийной рекламы и фильтрации транзакций могут быть помечены тэгом «Проверка имени и транзакции».

3. Оценка и корреляция

Оценка событий в пре-кейсе используется для сравнения с порогом вероятности возникновения риска. Указанный шаг необходим для осознания того, должна ли политика оптимизации процедур учитывать ранжирование событий (в момент их возникновения), предварительную оценку случая, а также репутацию объекта при запуске нового проекта. Если новая транзакция генерирует иные для объекта риски, стоит выстроить новую корреляцию. Не лишним будет введение градуированной шкалы для подсчета баллов. Отрицательная оценка характерна для случаев, попадающих под категорию «иррелевантных к риску».

4. Создание прецедента

Традиционно каждое событие, генерируемое системой мониторинга транзакций, либо создает новую процедуру, либо консолидируется с уже существующей. На последнем шаге выявленные на уровне пре-кейса риски должны быть объединены с соответствующим направлением, как только установленная оценка превысит настраиваемый порог ожидания. Оценка может основываться на методах сценарного моделирования, показателям по стране, компаративным критериям прошлых действий и пр.

Преимущества сетевого подхода

Представленный инновационный метод обладает следующими положительными моментами:

  • Увеличение охвата. Вместо исследования каждого индикатора риска, сетевое обнаружение подозрительных паттернов позволяет определить приоритеты рисковых событий, увеличивая тем самым охват мониторинга.
  • Идентификация скрытых отношений. Наличие контактов между сторонами обнаруживается посредством ссылок и цитирования. Это помогает выявить скрытые отношения на ранней стадии наблюдения, которые могли быть пропущены во время расследования.
  • Оценка и расстановка приоритетов на основе риска. Сетевой процесс многоуровневой корреляции позволяет оценивать угрозы не на уровне случая, а на уровне пользователя или отдельного объекта.
  • Целостное расследование. По мнению Г. Чодхери, взаимосвязь объектов и событий в качестве информационных элементов общей процедуры позволяет проводить исследования с любой точки зрения (Статья «Network-Based Surveillance» для Oracle, 2019).
  • Улучшенная визуализация сети. Когда отношения идентифицированы и дополнены данными из внутренней и внешней среды, продуманная визуализация сети облегчает определение негативных объектов.

В завершении стоит отметить, хотя новый способ мониторинга означает более эффективную программу по борьбе с отмыванием денег и финансированием терроризма, компании должны внимательно следить за уровнем сетевого соединения при проведении корреляции. Дополнительные курсы обучения, разделение и обмен информацией между аналитическими отделами и финансовыми департаментами являются важными условиями при внедрении сетевого подхода. Наконец, последующим логичным этапом будет применение машинного обучения для выявления скрытых взаимосвязей, статистических методов оценки и определения порога продвижения угрозы на основе информационных пулов.

 

Источник:

https://www.oracle.com/us/industries/financial-services/fs-network-based-surveillance-wp-5043830.pdf

Читайте также: