Skąd pomysł na wdrożenie systemu antyfraudowego?
Ewa Piłat: Kilka lat temu stworzyliśmy dla T-Mobile Polska strategię bezpieczeństwa w oparciu o dwa kluczowe aspekty. Pierwszy, to potrzeby naszych wewnętrznych partnerów biznesowych, w tym obszaru sprzedaży w T-Mobile Polska, w zakresie wsparcia realizacji celów biznesowych. Drugi, to ochrona najważniejszych zasobów naszej firmy, w szczególności danych klientów. System zapobiegania nadużyciom, (Fraud Detection System), jako jeden z systemów bezpieczeństwa, pomaga nam zrealizować powyższe założenia. Dodatkowo, ponieważ jesteśmy częścią globalnej firmy - grupy Deutsche Telekom, z punktu widzenia właściciela, system zapobiegania nadużyciom jak i strategia zarządzania nadużyciami jest częścią całej strategii bezpieczeństwa firmy w tym obszarze. Do czasu wdrożenia strategii przeciwdziałania nadużyciom nie mieliśmy de facto pełnego obrazu skali nadużyć. Ze statystyk, które są dostępne na rynku wynika, iż dla firm telekomunikacyjnych skala nadużyć może osiągnąć do 2 proc. przychodów spółki.
Paweł Surmak: Nadużycia są dość specyficznym obszarem. Dopóki się ich nie wykryje, nie wiadomo jak szeroko występują. Możemy mówić o pewnych obszarach ryzyk, ale wyzwaniem jest to, aby poznać skalę tego zjawiska.
Skąd wiemy ile nadużyć występuje w firmie. Jak to obliczyć?
E. P. : Aby dobrze ocenić skalę, trzeba mieć narzędzia wspomagające. Oczywiście nadużyciami można zarządzać zgodnie ze zgłoszeniami, czyli na bieżąco. Najlepiej jednak działać również prewencyjnie. Dla nas istotne było żebyśmy, zanim przyjdzie zewnętrzne zgłoszenie o nadużyciu, niezależnie czy jest to zgłoszenie od pracownika innego departamentu czy też klienta, wiedzieli już o tym fakcie wcześniej (poprzez wykrycie nadużycia przez system) i w odpowiedni sposób mogli zareagować. Ważne jest, aby fraud nie trwał zbyt długo. Czyli czas pomiędzy zaistnieniem nadużycia a jego wykryciem i wyeliminowaniem był możliwie jak najkrótszy.
P. S. : W firmie telekomunikacyjnej system zarządzania nadużyciami możemy podzielić na dwie części: fraud związany ze świadczonymi usługami czyli tzw. nadużycia telekomunikacyjne oraz ten wewnętrzny (korporacyjny) czyli związany z działalnością pracowników, współpracowników oraz kontrahentów Spółki. Jest to obszar nadużyć, który może dotknąć każdą firmę. I ta właśnie część jest przedmiotem działania systemu Fraud Detection, który wdrożyliśmy.
Z jakim ryzykiem jest związane zjawisko fraudu? I dlaczego właśnie Big Data?
E. P. : Ryzyko wewnętrzne opiera się na działaniu pracowników lub współpracowników, agentów, kontrahentów etc. Zgodnie ze strategią bezpieczeństwa celem jest ochrona zasobów firmy, ale też wsparcie biznesu, co przekłada się na reputację firmy oraz satysfakcję klientów. Ważnym aspektem jest też kwestia prawno-regulacyjna, między innymi pomoc w ochronie danych osobowych i prywatności. Jeśli już wiemy jaka jest skala, to możemy dobrać właściwe narzędzia ochrony. Po pierwszych analizach, które robiliśmy, zastanawialiśmy się nad różnymi rozwiązaniami. To oparte na Big Data i analizę różnego typu źródeł, była tym rozwiązaniem, na które się zdecydowaliśmy.
P. S. : Dlaczego Big Data? Decydującym elementem przy wdrożeniu takiego rozwiązania jest czas reakcji i adaptacji narzędzia do nowych scenariuszy i do nowych źródeł danych. Jeśli mamy jakieś nowe źródło danych, to ważne jest, aby w bardzo szybki i łatwy sposób dodać kolejne czynniki i dostosować narzędzie w celu analizy nowych ryzyk. Na rynku istnieje wiele dobrych narzędzi antyfraudowych, ale jakiekolwiek zmiany i dodawanie nowych źródeł i scenariuszy ryzyka jest już problemem. Wymaga się dodatkowych środków na inwestycje i zaangażowanie nowego dostawcy. Wtedy tracimy przez kilka miesięcy czas, a ryzyka nadużyć nie jesteśmy w stanie zmonitorować. Jednym z celów dla wyboru dostawcy było to, aby móc łatwo dostosować narzędzie, tak, aby T-Mobile mógł to robić sam, bez angażowania nowych środków, dostawcy czy ludzi. Dzięki temu jesteśmy w stanie szybko reagować.
E. P: Z wdrożeniem nowego produktu, może potencjalnie wiązać się nowe zagrożenie. Dlatego tak ważne było, aby system mógł być na tyle elastyczny, aby nowe źródła mogły być dodawane w sposób skuteczny. Chodziło nam o to, aby system nie był oparty na architekturze zamkniętej.
Możecie podać przykład takich fraudów na rynku?
P. S. : Oczywiście, np. fraud sprzedażowy. Przykład – następuje wyciek danych. Pracownik czy współpracownik próbuje sprzedać dane klientów operatora. To jest jeden z obszarów – ryzyk, które monitorujemy. Kolejny przykład: kiedy klient idzie do salonu, podpisuje umowę i okazuje się, że zamiast jednej, ktoś przypisuje mu kilka innych. Dopiero z procesu windykacyjnego klient dowiaduje się, że zamiast jednej faktury, cztery inne zostały niesłusznie dodane do jego konta abonenckiego.
E. P.: Co ważne, bez systemu wykrywania nadużyć, dopóki taka faktura jest płacona przez fraudstera – czyli osobę popełniającą nadużycie, klient nie wie, że jest właścicielem więcej niż jednej umowy. Natomiast w systemie wszelkie odchylania od normy jak np. inny adres, lub inny rachunek do przelewania pieniędzy widać jak na dłoni.
Czyli czekanie na zgłoszenie jest nieskuteczne?
P.S: Większość firm, i nie mówię tutaj tylko o firmach telekomunikacyjnych, kieruje się zasadami opartymi na zgłoszeniach. Pozyskiwanie informacji z zewnątrz o potencjalnych nadużyciach jest oczywiście ważne. Jednak w wielu przypadkach, moim zdaniem, jest już zbyt późno, ponieważ koszt nadużycia staje się bardzo wysoki. Jest to typowe podejście reaktywne. My, decydując się na Fraud Detection, chcieliśmy wiedzieć o wystąpieniu nadużycia wcześniej i jak najszybciej zareagować, zanim trafi do nas zgłoszenie zewnętrzne np. od klienta. Tym samym stawiamy na podejście proaktywne do wykrywania nadużyć.
E. P.: Poza danymi spływającymi do systemu analizowane są też wzorce. Jeśli zachowanie od nich odbiega, system wysyła stosowny alert.
Czym grozi brak takich mechanizmów?
P.S: W firmach najbardziej kosztowne nadużycia są popełniane przy udziale pracowników lub współpracowników. Wiedzą oni bowiem jakie są systemy kontrolne i w jaki sposób mogą je omijać. Mają największą wiedzę o wewnętrznych procesach firmy i przede wszystkim – posiadają do nich dostęp. A trzeba dodać, że wystepują przypadki nadużyć, które w niektórych firmach trwają latami i prowadzą do milionowych strat.
Mogę przytoczyć przykład banku, gdzie branch manager był odpowiedzialny za nadużycie, które trwało ponad cztery lata. Zaciągał kredyty wykorzystując dane osobowe istniejących osób i regularnie te kredyty spłacał, finansując raty z kolejnych fałszywych zaciągniętych pożyczek i tak tworzyła się piramida. Z punktu widzenia procesu windykacji wszystko było w porządku, ponieważ kredyty były spłacane. Nie było żadnych sygnałów, że coś jest nie tak, gdyż nie było żadnego opóźnienia a informacje wysyłane pocztą przez bank szły na adresy korespondencyjne. Kiedy jednak ta piramida finansowa wzrosła do ogromnych rozmiarów – skończyły się środki na spłatę zobowiązań. Straty banku były już wtedy potężne. Dodać należy, że wykorzystane były w tym przypadku dane prawdziwych klientów, tak, że to właśnie oni ponosili konsekwencje opisanego nadużycia. Część osób miała kredyty i nawet o tym nie wiedziała. Nieprawidłowości w rzeczonym banku można było wykryć już po kilku podpisanych umowach, gdyby wcześniej wdrożono odpowiedni system antyfraudowy.
E. P: Należy też zauważyć, że wdrożenie systemu wykrywania nadużyć nie jest zależne od sektora. Dla każdego przedsiębiorcy, czy to telekomunikacyjnego czy bankowego można stworzyć taki system i takie scenariusze, które będą odpowiadały ich wymaganiom.
Jak zadziałał zatem system Fraud Detection w T-Mobile?
E. P.: Możemy tylko powiedzieć, że zwrot z inwestycji nie przekroczył pięciu miesięcy. Dodam, ze wykrywaliśmy fraudy jeszcze przed pełnym wdrożeniem systemu, tj. podczas analizy przypadków i kreowania scenariuszy. Czas życia fraudu od wykrycia do likwidacji także się zmniejszył, co oczywiście przełożyło się na niższe koszty. Warto też dodać, że pojawiły się nowe obszary, w których nie spodziewaliśmy się nadużyć a zostały one od razu wychwycone i zneutralizowane. Pamiętajmy, każdy obszar w firmie może być generować nadużycia. Ważne jest, aby nie ograniczać się do jednego typu ochrony. Ochrona musi być wielowarstwowa – tj. zawierająca aspekty detekcyjne, prewencyjne, monitorujące. To działa wielopłaszczyznowo. Wdrożony system antyfraudowy jest jednym z elementów całości strategii.