1 Общая характеристика работы

На правах рукописи
Пугачев Кирилл Борисович
Разработка механизмов повышения безопасности и качества
оказания услуг с использованием банковских карт
Специальность 08.00.13 - Математические и инструментальные методы
экономики
АВТОРЕФЕРАТ
Диссертации на соискание ученой степени
кандидата экономических наук
Москва 2008
2
Диссертация выполнена на кафедре Управления знаниями и прикладной
информатики в менеджменте Московского государственного университета
экономики, статистики и информатики.
Научный руководитель
доктор экономических наук, профессор
Уринцов Аркадий Ильич
Официальные оппоненты:
доктор экономических наук, профессор
Дик Владимир Владимирович
кандидат экономических наук, доцент
Рудакова Ольга Степановна
Ведущая организация:
Финансовая академия при
Правительстве Российской Федерации
Защита диссертации состоится _25 июня 2008 г. в ____ часов на
заседании
диссертационного
совета
Д
212.151.01
в
Московском
государственном университете экономики, статистики и информатики по
адресу: 119501, г. Москва, ул. Нежинская, 7.
С диссертацией можно ознакомиться в библиотеке Московского
государственного университета экономики, статистики и информатики.
Автореферат разослан «___» ___мая_____ 2008 г.
Ученый секретарь
диссертационного совета
кандидат технических наук, доцент
Мастяева И.Н.
3
Общая характеристика работы
Актуальность темы диссертационного исследования. Нарастающие
темпы научно-технического прогресса и ускоряющиеся технологические
процессы, характеризующие современную изменчивость любой экономической
системы, требуют от субъектов экономики оперативно реагировать и
адаптироваться к этим изменениям. Неотъемлемыми чертами банковской
деятельности в современных условиях являются усиливающаяся конкуренция
на рынке банковских продуктов и услуг, динамичное развитие банковских
информационных технологий.
Внимание банков к проблеме безопасности операций использования и
обслуживания таких платежных инструментов, как банковские карты, связано с
тем, что увеличение количества действующих карт, развитие инфраструктуры
рынка услуг на основе банковских карт и значительный рост объема операций
сопровождаются увеличением потерь от действий мошенников. Помимо
прямых финансовых потерь банки несут также и косвенные потери, связанные
со снижением уровня доверия, снижением качества обслуживания, потерей
существующих и потенциальных клиентов. Наличие прямых потерь от
мошеннических операций и значительные косвенные потери вызывают
необходимость принятия эффективных мер по обеспечению безопасности
операций с банковскими картами и качеству обслуживания держателей карт.
Недостатки большинства используемых программных приложений,
обеспечивающих безопасность операций с банковскими картами в режиме
реального времени, связаны, в первую очередь, с глобальностью оцениваемых
ими параметров. Большая часть поступающих данных обрабатывается
сотрудниками подразделений по противодействию мошенничеству постфактум,
что приводит к снижению оперативности реагирования на появление новых
точек или схем мошенничества. Глобальность параметров систем реального
времени не позволяет совмещать требования безопасности с индивидуальными
потребностями того или иного клиента, и банки вынуждены искать компромисс
между уровнем безопасности и созданием комфортных условий для держателей
карт.
Рынок услуг на основе банковских карт в России за последние годы
увеличился в несколько раз, общее количество выпущенных в России
банковских карт, по данным Центрального Банка Российской Федерации, на
начало 2008 года превысило 100 миллионов штук. Принимая во внимание
растущий спрос на безналичные операции с использованием банковских карт,
4
решение вопроса повышения безопасности операций в экономической системе
безналичных расчетов с использованием банковских карт1 является ключевым
фактором повышения качества оказания услуг. Вышесказанное определило
выбор темы и актуальность направления исследования.
Цель и задачи исследования. Целью исследования является разработка
механизмов обеспечения безопасности операций с банковскими картами и
повышения качества услуг, предоставляемых банками держателям банковских
карт.
Для достижения обозначенной цели были поставлены и решены
следующие задачи:
1. Провести анализ рынка банковских услуг с использованием банковских
карт в России и тенденций его развития.
2. Исследовать влияние рисков, возникающих при эмиссии и обслуживании
банковских карт, на деятельность банков.
3. Выполнить анализ существующей технологии проведения транзакции с
помощью банковских карт и обосновать необходимость ее
усовершенствования.
4. Определить группы авторизационных лимитов по географии, целям,
оборотам, интенсивности использования карт.
5. Разработать автоматизированную систему управления лимитами для
повышения качества обслуживания держателей банковских карт с учетом
их потребностей и требований безопасности.
6. Разработать методику и принципы преобразования признаков видов
мошенничества в простые правила экспертной системы, позволяющей
выявлять и предотвращать мошеннические операции на стадии их
совершения.
7. Разработать модель экспертной системы, позволяющей повысить
качество обслуживания держателей банковских карт за счет оценки
безопасности производимой операции.
Экономическая система безналичных расчетов с использованием банковских карт действующая совокупность принципов, правил, законодательно закрепленных норм,
определяющих форму и содержание основных экономических отношений, возникающих в
процессе производства, распределения, обмена и потребления банковских услуг.
Участниками отношений экономической системы безналичных расчетов с использованием
банковских карт выступают банки-участники платежных систем, торговые предприятия,
держатели карт и сами платежные системы как регулирующий орган экономических
отношений.
1
5
8. Обосновать необходимость перехода на технологии использования
микропроцессорных карт.
9. Апробировать систему управления лимитами и проанализировать
эффективность использования системы с точки зрения снижения
количества мошеннических операций и прямых финансовых потерь
банка.
Объект и предмет исследования. Объектом исследования является
экономическая система безналичных расчетов с использованием банковских
карт. Предметом исследования выступает процесс оказания услуг безналичных
расчетов держателям банковских карт.
Теоретическая и методологическая основы исследования.
Теоретической основой исследования послужили работы отечественных
и зарубежных экономистов, специалистов в области банковского дела,
управления рисками, информационных систем.
Методологической основой проведения исследования явились методы
теории вероятности и математической статистики, структурного анализа
сложных процессов, системного анализа и экспертных оценок. За основу
созданной продукционной модели базы знаний экспертной системы
предоставления авторизации взяты концептуальные положения подхода Байеса.
На результаты исследования повлияли труды таких авторов, как Л.Г.
Батракова, С.Ю. Буевич, И.М., Голдовский, В.В. Дик, В.М. Жеребин, И.А.
Киселева, П.В. Конюховский, И.А. Корнилов, А.Е. Кулакова, О.И. Лаврушин,
Д.А. Лаптырев, И.В. Ларионова, Б.Е. Одинцов, М.А. Рогов, С.А. Середа, Ю.Ф.
Тельнов, В.В. Тен, Г.А. Черней.
В качестве источников, составляющих информационную базу
исследования, использованы законодательные и нормативные акты,
регулирующие банковскую деятельность, официально опубликованные данные
международных платежных систем, Центрального Банка Российской
Федерации, статистические данные нескольких крупных российских и
зарубежных банков по мошенничеству и разработанные ими стратегические
меры противодействия, различные аналитические материалы, отражающие
реальное развитие технологий противодействия мошенничеству, принципы
проведения операций по картам с микропроцессорами.
Научная новизна исследования состоит в разработке методики
построения и использования системы управления лимитами и экспертной
системы предоставления авторизации с целью повышения качества
6
обслуживания держателей банковских карт и предотвращения возможных
случаев существующего и выявления появляющегося мошенничества.
Предмет защиты составляют следующие положения и результаты,
полученные лично соискателем и содержащие элементы научной новизны:
1. Доказана недостаточная эффективность существующей информационной
системы предоставления авторизации по банковским картам с точки
зрения
противодействия
мошенничеству
и
качества
услуг,
предоставляемых держателям банковских карт.
2. Обоснована необходимость использования автоматизированной системы
управления лимитами, экспертной системы предоставления авторизации,
перехода на технологии эмиссии и обслуживания карт с
микропроцессорами, позволяющих повысить качество обслуживания
держателей банковских карт с учетом их потребностей и обеспечения
безопасности операций.
3. Предложен механизм разделения карточных операций в отдельные
группы лимитов по типам операций, регионам и местам использования.
4. Разработана автоматизированная система управления авторизационными
лимитами
с целью повышения качества услуг, предоставляемых
держателям банковских карт, и увеличения уровня безопасности
операций по банковским картам.
5. Разработана методика распознавания признаков различных видов
мошенничеств и использования этих признаков для преобразования в
простые правила экспертной системы. Проведена идентификация
проблемной области, определены архитектура данной экспертной
системы и способ формализации базы знаний.
6. Проведена оценка влияния перехода на технологии использования
микропроцессорных карт и доказана экономическая эффективность
данного перехода за счет снижения уровня мошенничества.
Отмеченные результаты соответствуют пунктам 2.5 «Разработка
концептуальных положений использования новых информационных и
коммуникационных технологий с целью повышения эффективности
управления в экономических системах» и 2.6 «Развитие теоретических основ
методологии и инструментария проектирования, разработки и сопровождения
информационных систем субъектов экономической деятельности: методы
формализованного представления предметной области, программные
7
средства, базы данных, корпоративные хранилища данных, базы знаний,
коммуникационные технологии» паспорта специальности 08.00.13.
Теоретическая и практическая значимость диссертационного
исследования заключается в том, что его основные положения ориентированы
на широкое использование и вносят определенный вклад в теорию
безопасности банковских операций и информационного менеджмента.
Самостоятельное практическое значение имеют:
 определение комплекса мер для повышения качества обслуживания
держателей банковских карт и снижения уровня мошеннических операций
по банковским картам, состоящего из системы управления лимитами по
картам и экспертной системы предоставления авторизации, а также
обоснование необходимости перехода на использование технологий
микропроцессорных карт;
 разработанная
экспертная
система
предоставления
авторизации,
позволяющая снизить прямые и косвенные потери от мошенничества, и
удовлетворять различные потребности держателей банковских карт; система
может быть использована повсеместно в любой процессинговой компании;
 методика распознавания признаков различных видов мошенничества для
преобразования их в простые правила экспертной системы; использование
механизмов извлечения признаков видов мошенничества из экспертной
системы для анализа авторизационных запросов, приходящих из платежных
систем;
 определение принципов управления и ведения базы знаний экспертной
системы предоставления авторизации по банковским картам;
 предлагаемая автоматизированная система управления лимитами,
предназначенная для повышения качества обслуживания держателей карт с
учетом их потребностей и требований безопасности; система может быть
использована как самостоятельно в любой процессинговой компании, так и
в банке и процессинговой компании одновременно;
 определение механизма разделения операций, проводимых по банковским
картам, в отдельные группы лимитов по типам операций, совершаемых
владельцами карт, регионам и местам использования.
Внедрение и апробация результатов исследования. Основные
положения работы докладывались и получили одобрительную оценку на
следующих конференциях: 3-я Международная выставка и конференция
«Интеллектуальные карты и системы безопасности информационных
8
технологий» (Москва, 2006 г.); студенческая научно-практическая конференция
«Управление конкурентоспособностью в условиях Российского рынка»
(Москва, 2007 г.); научно-практическая конференция «Научное исследование в
области экономических информационных технологий и юриспруденции с
использованием технологий E-Learning» (Москва, 2007 г.).
Разработанные в диссертации положения и рекомендации были
применены в проектах по разработке и внедрению системы управления
лимитами, экспертной системы предоставления авторизации, а также в проекте
по переходу на выпуск и обслуживание микропроцессорных карт в ЗАО «Банк
Сосьете Женераль Восток» КАБ. Имеется соответствующая справка о
внедрении.
Публикации. Основные положения диссертации, выводы и предложения
опубликованы в 9 работах общим объемом 3 п.л., из которых лично автору
принадлежат 2,7 п.л.
Структура диссертационной работы. Диссертация изложена на 174 стр.
машинописного текста и состоит из введения, трёх глав, заключения, списка
литературы, списка использованных терминов и сокращений и семи
приложений. Список литературы включает 143 наименования.
Основные положения диссертации
Во введении обоснована актуальность темы диссертационной работы,
определены объект и предмет исследования, сформулированы цель и задачи.
Обоснована значимость работы и дана характеристика научной новизны,
основных научных результатов, полученных лично автором.
В первой главе «Исследование факторов, влияющих на безопасность и
качество услуг, предоставляемых держателям банковских карт»
анализируется российский рынок банковских карт, его темпы роста, приводятся
статистические показатели количества выпущенных карт, мест их приема,
влияние на экономическую систему проведения безналичных расчетов;
выполнен анализ рисков, возникающих при эмиссии и использовании
банковских карт; проведена оценка существующих видов мошенничества, с
которыми может столкнуться банк-эквайер или банк-эмитент, отдельно
уделяется внимание мошенничеству в банкоматах; исследуется существующая
проблема безопасности операций с банковскими картами и качество услуг,
предоставляемых держателям банковских карт.
Анализ рынка услуг на основе банковских карт в России,
демонстрирующего высокие темпы роста, показал, что доля безналичной
9
оплаты товаров и услуг на протяжении последних трех лет составляет не более
7% от общего оборота по банковским картам. Основной причиной этого
является недостаточное развитие инфраструктуры обслуживания, и в первую
очередь развитие торгово-сервисных точек.
Одна из фундаментальных проблем банковской деятельности состоит в
том, что инновации, с одной стороны, необходимы банкам, а с другой – могут
привести к концентрации риска и неустойчивости банковской системы в целом.
Неоправданная экономия на минимизации рисков может привести, в лучшем
случае, к невосполнимым репутационным потерям. Проведенный анализ
показал, что ряд рисков можно избежать на стадии принятия решения о
выпуске или отказе в выпуске карты путем выявления «недобросовестных»
клиентов, мошенников, неплатежеспособных клиентов и лиц, заподозренных в
отмывании доходов и/или в финансировании терроризма. Для эффективного
контроля рисков необходимо подробное изучение и исследование природы их
возникновения, корреляции и способов воздействия на них, а также
применение
интегрированного
подхода
к
управлению
активами,
обязательствами и рисками.
Самым сложно оцениваемым видом риска при работе с банковскими
картами является риск возникновения мошенничества. В результате
проведенного анализа видов мошенничества было выделено две основные
группы мошенничества с банковскими картами:
- мошенничества с точки зрения эмиссии карт (несанкционированное
использование карт эмитента: украденная карта, поддельная карта, кража
идентификаторов держателя карты);
- мошенничества с точки зрения обслуживания карт (инициатором
мошенничества в подобных случаях выступает торговое предприятие:
поддельные/искаженные слипы, повторный ввод операций).
Подобная классификация позволяет оценить с минимальной
погрешностью и предупредить вероятность возникновения мошенничества
благодаря исследованию причины и места возникновения мошенничества.
Стремительное развитие рынка услуг на основе банковских карт и
значительный рост объема операций по банковским картам, сопровождаемые
увеличением потерь банков от действий мошенников, требуют разработки
механизмов, способных снизить уровень мошенничества по банковским
картам, а также повысить качество услуг, предоставляемых держателям
банковских карт.
10
Во второй главе «Разработка механизмов повышения безопасности и
качества услуг, предоставляемых держателям карт» выполнен анализ
существующих методов управления рисками, как при эмиссии, так и при
обслуживании банковских карт, определены недостатки существующей
системы анализа запросов и предоставления авторизации в режиме реального
времени. Проанализированы с точки зрения качества предоставление
держателям банковских карт дополнительных услуг и дистанционное
обслуживание, тарифы банка, предложена система управления лимитами по
картам, позволяющая повысить качество обслуживания клиентов банка и
снизить
уровень
мошенничества.
Исследованы
причины
низкой
обоснованности решений существующей онлайн системы. Проводится
моделирование экспертной системы предоставления авторизации, основанной
на методике распознавания признаков различных видов мошенничества и
использования их для преобразования в простые правила экспертной системы с
целью повышения безопасности электронных расчетов в рамках экономической
системы осуществления безналичных расчетов и способной управлять
качеством обслуживания держателей банковских карт.
Доходы банка при работе с банковскими картами в основном состоят из
комиссий, уплаченных самими держателями, и комиссионного вознаграждения
за совершенные безналичные операции от платежных систем, а также из
использования положительных остатков средств, размещенных на «карточных»
счетах. Управление тарифами за выпуск и обслуживание банковских карт
является одной из ключевых проблем управления качеством обслуживания
клиентов в современных условиях конкуренции на рынке банковских карт.
Увеличение тарифов может привести к уменьшению количества привлеченных
клиентов, их сомнению в качестве оказываемых услуг, а занижение тарифов - к
недополучению дохода банком. В условиях конкуренции банки стремятся
привлекать и удерживать клиентов максимально возможными способами,
предлагая различные дополнительные услуги и качественно новые условия
использования уже существующих. Проведенный анализ позволил сделать
вывод, что многие банки добиваются повышения качества предоставляемых
услуг на рынке банковских карт за счет наличия у них систем дистанционного
обслуживания, которые позволяют производить различные действия с картой,
управлять счетами и остатками на них, получать уведомления обо всех
производимых операциях.
11
Изучение существующей системы анализа запросов и предоставления
авторизации в режиме реального времени показало недостаточный уровень
безопасности осуществления операций по банковским картам. Каждая
операция по карте обрабатывается авторизационной системой, которая выносит
решение об авторизации после проверки четырех основных факторов:
- корректность реквизитов карты, предоставленных в запросе;
- соответствие параметров транзакции установленным лимитам по карте;
- соответствие параметров транзакции политике безопасности банка,
платежных систем и законодательства (с учетом заявленных потребностей
держателя карты);
- достаточность доступного баланса по карте для совершения транзакции.
Для положительного ответа на авторизационный запрос необходимо
одновременное выполнение всех четырех требований, как показано на рис.1.
Одобрение запроса с
выдачей
авторизационного кода
Отказ с выдачей кода, объясняющего причину отказа
Свяжитесь с
эмитентом
I
II
Проверка
корректности
реквизитов карты,
фигурирующих в
запросе
Проверка
соответствия
суммы запроса
лимитам,
установленным
клиентом
III
IV
Проверка весовых
показателей
мошенничества и
авторизационных
лимитов
Проверка
достаточности
доступного баланса
по карте для
выполнения
операции
Рис.1 Этапы принятия решения об авторизации у банка-эмитента
Оценка безопасности транзакции
сводится к проверке строгого
соответствия параметров операции всем установленным лимитам и
ограничениям. Эти ограничения устанавливаются без учета потребностей
конкретного держателя карты, что снижает обоснованность решения.
Проверяемые параметры носят глобальный характер и не позволяют системе
12
формулировать конкретные правила для отклонения операций с высоким
подозрением на мошенничество при возможной авторизации остальных
запросов того же типа.
Анализ видов и объемов мошеннических операций по банковским картам
показал, что необходимой мерой борьбы с мошенничеством в экономической
системе проведения безналичных расчетов с использованием банковских карт
является установка лимитов по совершаемым операциям.
В настоящее время процессинговые компании не имеют технической
возможности изменять лимиты в индивидуальном порядке в соответствии с
пожеланиями отдельно взятого клиента, а устанавливают их в общем порядке
одинаковыми для всех карт. Соответственно, при необходимости
предоставления клиенту возможности совершить операцию на сумму,
превышающую соответствующий лимит, его приходится увеличивать для всех
карт банка, что противоречит политике безопасности в целом. В таких
ситуациях банки вынуждены выбирать между безопасностью проводимых
операций и качеством обслуживания своих клиентов.
Разработанная автоматизированная система управления лимитами
позволяет осуществлять обновление лимитов по картам по мере необходимости
с помощью обмена файлами с процессинговой компанией и может быть
интегрирована в существующую банковскую информационную систему или
использоваться как отдельное самостоятельное программное приложение. Для
каждого типа лимита в зависимости от продукта существует значение, по
умолчанию проставляемое системой автоматически при выпуске карты.
Значение лимита может быть изменено для любой отдельно взятой карты в
соответствии с просьбой держателя карты (для определенных типов лимитов),
решением службы безопасности банка, а также другими уполномоченными
сотрудниками банка. Для управления лимитами по банковским картам в рамках
диссертационного исследования разработана спецификация, позволяющая в
режиме реального времени в случае изменения каких-либо значений
авторизационных параметров карты отправлять в процессинговый центр
автоматически сформированный файл.
Предлагаемая экспертная система предоставления авторизации по
банковским картам позволит управлять рисками возникновения мошенничества
посредством мониторинга активности карт с помощью анализа запросов из
различных регионов, претензий клиентов, активности и миграции клиентов,
отказов в авторизации, а также возможного подбора сумм. Экспертная система
13
осуществляет контроль операций с использованием банковских карт путем
установления правил мониторинга, лимитов и ограничений, отслеживания
различных схем мошенничества, блокировки подозрительных операций,
оповещения риск-менеджеров и клиентов по различным каналам.
Преимуществами использования экспертной системы предоставления
авторизации, разрабатываемой для интеграции в банковскую информационную
систему Delta являются гибкость, простота использования и самое важное в
исследуемой проблемной области - комплексный подход к проблеме
мошенничества по банковским картам. Гибкость системы позволяет оперативно
реагировать на появление новых схем и форм мошенничества, внедрять все
модели мониторинга, как по отдельности, так и в рамках интегрированного
решения. Система обладает удобным web-интерфейсом и позволяет легко
создавать и изменять правила,
описывать случаи мошенничества.
Комплексный подход к проблеме мошенничества по банковским картам
заключается в снижении финансовых и имиджевых потерь банка, а также
позволяет решать сопутствующие задачи, такие как оптимизация работы
службы безопасности за счет автоматизированного мониторинга.
На рис. 2 приведена архитектура экспертной системы предоставления
авторизации по банковским картам, которая включает в себя базу знаний,
программный инструмент доступа и обработки знаний, состоящий из
механизмов вывода решений, приобретения знаний, объяснения получаемых
результатов и из интеллектуального интерфейса.
Функциональная модель экспертной системы предоставления авторизации
основана на последовательной декомпозиции целей. В качестве исходных
фактов графа дерева целей могут выступать непростые параметры, хранящиеся
в базе, в ряде случаев эти параметры посредством отдельных условий могут
быть изменены как самой системой, так и оператором call-центра или
сотрудником службы безопасности с целью осуществления запроса или,
наоборот, его запрета. В дереве целей каждой цели (подцели) соответствует
задача (подзадача), которая не может быть решена до тех пор, пока не будут
достигнуты ее нижестоящие подцели (решены подзадачи). Функциональная
модель отображает решение задачи ответа на запрос получения авторизации в
общем виде для всех авторизационных запросов. Дерево целей решения задачи
получения авторизации представлено графически на рис.3.
14
Сотрудник службы
безопасности
Специалист callцентра
Эксперт по безопасности операций
с картами
Извлечение знаний
Инженер знаний (IT специалист)
Экспертная система
On-line запрос
Интеллектуальный интерфейс
Механизм
объяснения
Механизм приобретения знаний
Механизм вывода
База знаний
Рис. 2 Архитектура экспертной системы предоставления авторизации
по банковским картам
На этапе формализации базы знаний в качестве метода представления
знаний была выбрана продукционная модель, благодаря тому, что позволяет
осуществлять эвристические методы вывода на правилах, может обрабатывать
неопределенности в виде условных вероятностей или коэффициентов
уверенности и позволяет настраивать механизмы вывода на специфику тех или
иных запросов. В рамках диссертационного исследования для обработки
неопределенностей знаний продукционной моделью экспертной системы
предоставления авторизации было принято решение использовать метод
обработки условных вероятностей Байеса.
Подход
Байеса
предполагает
начальное
априорное
задание
предполагаемых
гипотез
(значений
достигаемых
целей),
которые
последовательно уточняются с учетом вероятностей свидетельств в пользу или
против гипотез, в результате чего формируются апостериорные вероятности:
P( H | E ) 
P( H | E ) 
где
P( E | H )  P( H )
P( E )
P( E | H )  P( H )
P( E )
(1)
(2)
P(H ) – априорная вероятность гипотезы Н,
P( H )  1  P( H ) - априорная вероятность отрицания гипотезы Н,
P (E ) – априорная вероятность свидетельства Е,
15
Ответ эмитента
Анализ с точки зрения
безопасности
Проверка
Fraud Weight
TRXN
FrW
Сумма запроса
Анализ
Вероятность Карта принята
активности компрометации
номера карты
Card Частота Диапазон
FrW запросов из сумм из
МСС
МСС
данной
данной
группы
группы
Страна
запроса
Номер
карты
в БД
ПЦ
Проверка
авторизационных и
добровольных лимитов
Разрешенные
страны
Сумма МСС Ceiling Проверка
запроса
лимитов
Разовые
лимиты
Проверка статуса
Номер
карты
Проверка ограничений
регионов действия
Специальные
правила
Country MCC Amount
y FrW FrW t FrW
Номер карты
подтвержден
Доступный
баланс
Статус
карты
Карта действительна
Срок действия
подтвержден
Лимит на
количество
операций
Суточный/
Проверка
Проверка кодов
недельный/
допустимости безопасности
месячный
операции
лимит
Текущая
дата
Срок
Срок
действия действия
карты в карты в
запросе БД ПЦ
Способ
ввода
данных
Разрешен- Регион Страна
ные способы действия запроса
карты
ввода
ПИН в
запросе
Валюта
запроса
ПИН в
БД ПЦ
CVC2/CVV2
в запросе
Рис.3. Дерево целей решения задачи получения авторизации
CVC2/CVV2
в БД ПЦ
16
P ( H | E ) –условная вероятность гипотезы Н при условии, что имеет место
свидетельство Е,
P ( H | E ) – условная вероятность отрицания гипотезы Н при условии, что
имеет место свидетельство Е,
P ( E | H ) – вероятность свидетельства Е при подтверждении гипотезы Н,
P ( E | H ) – вероятность свидетельства гипотезы Е при отрицании гипотезы
Н.
Найдем апостериорные шансы гипотезы Н при условии наличия свидетельства Е,
для этого найдем отношения левых и правых частей уравнения (1) и (2):
P( H | E ) P( E | H ) P( H )


P( H | E ) P( E | H ) P( H )
O( H | E )  Ls  O( H ) ,
где
или
(3)
O(H ) – априорные шансы гипотезы Н, которые отражают отношение числа
позитивных проявлений гипотезы к числу негативных,
O ( H | E ) – апостериорные шансы гипотезы Н при условии наличия
свидетельства Е,
Ls – фактор достаточности, который отражает степень воздействия на
шансы гипотезы при наличии свидетельства Е и устанавливается экспертом по
безопасности.
Также можно вывести зависимость апостериорных шансов гипотезы Н при
условии отсутствия свидетельства Е
O( H | E )  Ln  O( H ) ,
где
O ( H | E ) – апостериорные шансы гипотезы Н при условии отсутствия
свидетельства Е,
Ln – фактор необходимости, который отражает степень воздействия на
шансы гипотезы при отсутствии свидетельства Е и устанавливается экспертом по
безопасности.
Шансы и вероятности связаны следующими уравнениями:
O
и
P
1 P
P
O
O 1
(4).
Апостериорная вероятность гипотезы рассчитывается через апостериорные
шансы, которые в свою очередь получаются перемножением априорных шансов
на факторы достаточности или необходимости всех относящихся к гипотезе
свидетельств в зависимости от их подтверждения или отрицания со стороны
17
пользователя. Свидетельства рассматриваются как независимые аргументы на
дереве целей.
Сети Байеса представляют собой прямой ациклический граф, в котором
каждый узел соответствует переменной, изменяющейся случайным образом.
Связи отражают причинно-следственные отношения, а весомость результата
оценивается его вероятностью. Для каждого узла необходимо определить вес
всех возможных комбинаций состояний для всех возможных причин.
Ациклический граф для решения каждой конкретной задачи легко построить,
основываясь на дереве целей решения задачи. Рассмотрим использование
байесовского подхода на примере совершения клиентом операции по карте в
сети Интернет. Фрагмент подмножества правил решения этой задачи
представляется следующим образом:
Если CardFrW (весовой коэффициент мошенничества для карты) превышен =
«да»,
То операция совершена клиентом = «да» Ls = 0,5, Ln = 90
Если клиент разрешил операции через Интернет = «да»,
То операция совершена клиентом = «да» Ls = 90, Ln = 0,001.
Пусть показатель CardFrW превышен, и клиент разрешил проведение
операции через Интернет. Априорная вероятность того, что операция
совершается самим клиентом, а не мошенником, составляет 0,95. Рассчитаем
апостериорные шансы и вероятность того, что операцию осуществляет сам клиент
по формулам (3) и (4):
O( H | E1, E2 )  0,5  90  0,95  42,75 ,
P( H | E1 , E2 ) 
42,75
 0,98 .
43,75
Данный подход к построению продукционной базы знаний требует
трудоемкой статистической оценки априорных шансов и факторов
достаточности и необходимости для различных комбинаций событий,
оцениваемых при принятии решения. Экспертам базы знаний необходимо на
стадии проектирования базы знаний иметь достаточный объем предварительно
обработанной статистической информации по всем случаям за конкретные
промежутки времени для максимально корректной оценки будущих событий.
Рассмотрим расчет средней величины снятия наличных по группам карт,
для определения которого экспертная система предоставления авторизации
18
рассчитывает среднее арифметическое, моду и медиану по интервальным рядам
на основании следующих формул:
n
x  x  ...  xn
X  1 2

n
где
x
i 1
i
n
(5)
xi
- i-ый вариант осредняемого признака ( i  1, n );
n
- количество признаков;
M o  xo  i 
где xo
i
fMo
( f M o  f M o 1 )
( f M o  f M o 1 )  ( f M o  f M o 1 )
(6)
- нижняя граница модального интервала;
- величина модального интервала;
- частота модального интервала;
частота интервала, предшествующего модальному;
f M o 1 -
f M o 1 - частота интервала, следующего за модальным;
1 n
 f i  S Me1
2 i 1
M e  xo  i 
f Me
где xo
(7)
- нижняя граница медианного интервала;
S Me  1
- величина медианного интервала;
- накопленная частота интервала, предшествующего медианному;
f Me
-
частота медианного интервала;
fi
-
частота интервала i.
i
Рассчитаем среднюю сумму снятия наличных за период, равный одному
месяцу, по картам типа Master Card Standard, для чего воспользуемся
следующими данными из таблицы 1 (количество карт данного типа на момент
расчета будем считать равным 10000 штук, а суммарное снятие наличных равно
437308,75 тысяч рублей).
Таблица 1
Распределение суммарных снятий наличных по картам Master Card Standard за
сентябрь 2007 года
Средняя сумма снятия наличных за
Удельный вес суммарных снятий по
месяц, тыс. руб.
картам, %
10 и менее
12,32
10-20
20,94
20-30
24,51
19
Средняя сумма снятия наличных за
месяц, тыс. руб.
30-40
40-50
50-60
60-70
70-80
80-90
90-100
100 и более
Всего
Удельный вес суммарных снятий по
картам, %
17,44
10,18
4,27
4,06
2,19
0,82
1,69
1,58
100,0
Для определения медианного интервала определим в таблице 2 накопленную
частоту каждого последующего интервала до тех пор, пока она не превысит ½
суммы накопленных частот (в нашем случае - 50%).
Таблица 2
Накопленная частота для интервалов суммарных снятий наличных по картам
Master Card Standard за сентябрь 2007 года
Интервал для сумм снятия наличных,
Накопленная частота, %
тыс. руб.
10 и менее
12,32
10-20
33,26
20-30
57,77
По формуле (5), (6) и (7) произведем расчет средней арифметической, моды и
медианы:
X 
437308750
 43730,88 ,
10000
M o  20000  10000 
24,51  20,94
 23355,26 ,
(24,51  20,94)  (24,51  17,44)
M e  30000  10000 
50  33,26
 36829,87 .
24,51
Соотношение моды, медианы и средней арифметической указывает на характер
распределения признака в совокупности и позволяет оценить его асимметрию.
В нашем случае M o  M e  X , следовательно, имеет место правосторонняя
асимметрия.
20
Для расчета отклонений значений признака от их средней величины экспертная
система предоставления авторизации рассчитывает среднее квадратическое
отклонение:
n
 
 (x
i 1
i
 x) 2 f i
f
i 1
где
(8)
n
i
xi
- i-ое значение признака ( i  1, n );
x
- средневзвешенное значение признака;
- значение исследуемой функции f (x) , при x  xi .
fi
В данном примере рассчитаем среднее квадратическое отклонение для
авторизационного запроса на снятие наличных по карте MasterCard Standard.
Для этого на основании статистических данных, которые сгруппированы по
интервалам в таблице 1, взяв средние значения для каждого интервала в тыс.
рублей, по формуле (8), получим:

(43,73  5,00) 2  12,32  (43,73  15,00) 2  20,94  ...  (43,73  105,00) 2  1,58
 24,90 .
100
Для операции снятия наличных по карте типа MasterCard Standard мы
рассчитали среднее значение суммы снятия, равное 43730 рублей, а также
среднее квадратическое отклонение, равное 24900 рублей. В случае последнего
интервала при наличии суммарного снятия наличных на сумму более 110 тысяч
рублей, последнее значение рассчитывается, как средняя величина и тогда
размер среднего квадратического отклонения может быть намного выше.
За счет использования продукционной модели экспертная система
предоставления авторизации по банковским картам осуществляет выбор правил
из множества возможных на текущий момент времени (из конфликтного набора
правил) в зависимости от определенных критериев, что в системе
предоставления авторизации является одним из ключевых моментов. В правила
экспертной системы могут быть преобразованы различные потребности
держателей банковских карт, с детализацией мест приема карты, сумм
платежей и периодичности использования карты, что позволит существенно
повысить качество услуг в экономической системе безналичных расчетов с
использованием банковских карт.
21
Использование предлагаемой методики преобразования признаков
различных видов мошенничеств в простые правила экспертной системы
позволит оперативно реагировать на появляющиеся схемы мошенничества и
предупреждать потенциальные случаи его совершения и пропажу денежных
средств со счетов клиентов.
В третьей главе «Реализация концептуальных положений использования
новых информационных технологий с целью повышения безопасности и
качества обслуживания держателей банковских карт» обосновывается
необходимость перехода на микропроцессорные карты с целью снижения
уровня мошенничества по банковским картам на примере ЗАО «Банк Сосьете
Женераль Восток» КАБ. Проводится экономический анализ снижения потерь
от мошеннических операций в результате внедрения системы управления
лимитами по картам, а также прогнозируется уменьшение количества
мошеннических операций по банковским картам при использовании всего
предлагаемого комплекса мер - системы управления лимитами, экспертной
системы предоставления авторизации по банковским картам, осуществления
перехода на выпуск и обслуживание микропроцессорных карт.
В результате внедрения системы управления лимитами по картам,
эмитированным ЗАО «Банк Сосьете Женераль Восток» КАБ, количество
мошеннических операций снизилось приблизительно на 30% за полгода
использования системы по сравнению с предыдущим периодом: с 311 (июльдекабрь 2006 г.) до 207 (январь-июнь 2007 г.), а потери банка уменьшились
вдвое и составили за первое полугодие 2007 г. по сравнению со вторым
полугодием 2006 г. соответственно 6151 EUR и 11574 EUR.
Проведенный анализ показал, что многие виды мошенничества, которые
имеют место при использовании банковских карт с магнитной полосой,
перестают существовать при работе с микропроцессорными картами стандарта
EMV
(Europay-MasterCard-Visa),
разработанного
международными
платежными системами. Это обусловливается новыми технологиями в
производстве микропроцессорных карт, защите хранимых на чипе карты
данных, новыми принципами обслуживания данных карт, многоступенчатой
защите и кодировании передаваемых данных между картой, терминалом и
процессинговым центром. Была рассчитана и обоснована целесообразность
внедрения технологий выпуска и обслуживания микропроцессорных карт
совместного стандарта международных платежных систем (EMV стандарт)
вместе с эффективностью использования системы управления лимитами.
22
Для оценки уровня мошенничества по
эмитированным банком картам
(как с магнитной полосой, так и с микропроцессорами), используем
следующую формулу:
(9),
F  ( f1a  f 2b  f3c(1  B))(1  A)
где a, b, c – доли операций по картам рассматриваемого банка, которые
выполнены через терминалы, расположенные внутри страны банка (a),
внутри региона банка (b) и операции из других регионов, к которым не
относится рассматриваемый банк (c): a+b+c=1;
A – доля EMV-карт рассматриваемого банка;
B – доля терминалов, которые принимают к оплате EMV-карты и
находятся в регионах отличных от региона рассматриваемого банка;
ƒ1, ƒ2, ƒ3 – внутристрановые, внутрирегиональные и межрегиональные
уровни мошенничества в bp1 соответственно.
Предположим, что банк находится в регионе, в рамках которого уже действует
перенос ответственности, и банк эмитирует микропроцессорные карты с
оффлайновой проверкой PIN-кода. Из формулы (9) видно, что на уровень
количества мошеннических операций по картам, выпадающих на долю банкаэмитента, влияет не только доля микропроцессорных карт в общем объеме
эмиссии банка, но и уровень распространенности терминалов, принимающих к
оплате микропроцессорные карты, как в домашнем регионе, так и в других
странах и регионах.
Рассчитаем уровень мошенничества по банковским картам на конец 2008
года, когда уже будет использоваться система управления лимитами,
экспертная система предоставления авторизации и доля эмиссии
микропроцессорных карт, выпущенных ЗАО «Банк Сосьете Женераль Восток»
КАБ составит 40% от общего объема эмиссии. Установим следующие значения
показателей: a=0,86, b=0,11, c=0,03, ƒ1 =1,5 bp, ƒ2=8 bp, ƒ3=18 bp, A=0,4, B=0,1,
и по формуле (9) вычислим величину мошенничества по картам,
эмитированным ЗАО «Банк Сосьете Женераль Восток» КАБ. Проведенные
расчеты показали, что после перехода на микропроцессорные карты уровень
мошенничества снизится с 2,62 bp до 1,57 bp, а в дальнейшем при 80% карт с
микропроцессорами до 0,52 bp. На рис.4 изображен прогноз снижения уровня
мошенничества поэтапно по картам, эмитированным ЗАО «Банк Сосьете
bp - (от англ. basic point - базисная точка), 1 bp - потеря 1 цента на каждые 100 долларов
торгового оборота по банковским картам
1
23
Женераль Восток» КАБ, после внедрения системы управления лимитами,
внедрения экспертной системы предоставления авторизации и перехода на
микропроцессорные карты стандарта EMV.
Использование предлагаемых механизмов и резервов повышения
качества - системы управления лимитами, экспертной системы предоставления
авторизации, переход на выпуск и обслуживание микропроцессорных карт,
позволит существенно повысить качество обслуживания держателей
банковских карт, максимально снизить потери от мошенничества в
экономической системе безналичных расчетов и увеличит доверие к
проведению безналичных расчетов с использованием банковских карт.
12 10,3
10
8
6
4
2
Уровень
мошенничества,
bp
4,4
2,62
2,62
1,57
0,52
м
ян
в.
07
ар
.
м 07
ай
.
и ю 07
л.
0
се 7
н.
0
но 7
я.
0
ян 7
в.
0
м 8
ар
.
м 08
ай
.
и ю 08
л.
0
се 8
н.
0
но 8
я.
0
ян 8
в.
0
м 9
ар
.
м 09
ай
.
и ю 09
л.
09
0
Рис. 4 Прогноз снижения уровня мошенничества по картам, эмитированных
ЗАО «Банк Сосьете Женераль Восток»
В заключении диссертации содержатся выводы и предложения по
результатам проведенного исследования.
Список опубликованных работ.
Публикации ВАК:
1. Пугачев К.Б. Риск потребителя при пользовании банкоматом //
Стандарты и Качество. 2007. №11. с. 91 (0,5 п.л.)
Прочие публикации:
2. Нелюбина T., Пугачев К.Б. Как вернуть украденные с карты деньги //
Аргументы
и
факты/
04
марта
2008
№9
http://aif.ru/article/article/article_id/16412 (0,1 п.л.)
3. Пугачев К.Б. Мошенничество по банковским картам // Д-штрих. 2007. №
21(35). с. 55-59.(0,8 п.л.)
24
4. Пугачев К.Б. Операции по пластиковым картам в сети Интернет //
Современные проблемы управления. Сборник научных трудов научнопрактической конференции - М.: МЭСИ, 2007 (0,3 п.л.)
5. Потапов А., Пугачев К.Б. Карта под прицелом // Д-штрих. 2007. № 23(38).
(0,1 п.л.)
6. Пугачев К.Б. Физическая безопасность микропроцессорных карт и
передача данных между картой и банком // Современные проблемы
управления. Сборник научных трудов научно-практической конференции
- М.: МЭСИ, 2007 (0,2 п.л.)
7. Пугачев К.Б. Осторожно, банкомат! Как не стать жертвой мошенников //
banki.ru
Тема
дня
21.09.2007
http://www.banki.ru/news/daytheme/?id=389859 (0,3 п.л.)
8. Пугачев К.Б. Мошенничество в банкоматах // Современные проблемы
управления. Сборник научных трудов научно-практической конференции
- М.: МЭСИ, 2007 (0,2 п.л.)
9. Пугачев К.Б. Электронная коммерция и банковские карты // Современные
проблемы управления. Сборник научных трудов научно-практической
конференции - М.: МЭСИ, 2007 (0,2 п.л.)