[Исследование] Почти 50% ИБ-систем в российских компаниях – отечественные
Современная система телекоммуникаций основана на взаимодействии большого количества операторов. Построение сетей связи требует от операторов значительных затрат, поэтому они ожидают полного возврата своих инвестиций через выручку – плату за услуги, оказанные конечным абонентам и другим операторам. При этом изменение уровня и структуры выручки зависит от многих параметров.
Факторы, влияющие на объем выручки операторов, от услуг по передаче голоса:
1. Изменение технологий и переток трафика в OTT и VoIP сети. Перераспределение трафика – одна из основных причин появления большого количества голосового трафика и спроса на дешевый пропуск трафика на ТФОП.
2. Фрод (мошенничество). По статистике телеком оператор теряет до 5% выручки из-за мошеннических действий третьих лиц.
В статье рассмотрен один из наиболее значимых видов мошенничества – фрод, связанный с нарушениями пропуска трафика.
Что такое фрод?
Мошенничество в операторской деятельности — это особенно распространенное явление, которое получило название фрод (от англ. fraud мошенничество).
Фрод – несанкционированное использование ресурсов и сервисов оператора, предполагающее извлечение прибыли третьими лицами. При этом такая деятельность далеко не всегда уголовно и даже административно наказуема.
Фрод можно классифицировать по типу, цели, используемым технологиям и другим параметрам. TMForum выделяет следующие типы фрода, направленного на операторов (список не исчерпывающий):
1. Дилерский фрод – сознательный обман оператора дилером с целью извлечения дополнительной прибыли. Типичным примером такого фрода являются продажи фальшивых SIM-карт на поддельные паспортные данные. Этот вид фрода часто активирует другие типы мошенничества. Например, массовая продажа SIM-карт одному лицу с поддельными идентификационными данными может привести к использованию этих SIM-карт в GSM-шлюзах и незаконной терминации МН-трафика.
2. Взломы – получение контроля над станцией или возможности пропускать трафик через станцию без оплаты. Взломы различного рода осуществлялись десятилетиями, но с развитием VoIP-технологий они получили особое распространение. В большинстве случаев взлом является активатором других типов фрода, например, накачки трафиком.
3. Накачка трафиком или проливы – генерация или пропуск трафика на PR (premium rate — дорогие направления) или IRS (International Revenue Sharing, премиальный номер с разделением прибыли за входящие) направления за счет оператора или абонента оператора.
4. Незаконная терминация МН-трафика — частный случай нарушений порядка пропуска трафика. Представляет собой приземление международного трафика через шлюзы или другие технические средства в обход действующей регуляции.
5. Нарушение порядка пропуска трафика – обход действующих правил маршрутизации трафика с целью извлечения дополнительной прибыли.
6. Нарушение тарификации, включая FAS, Late Disconnect и т.д. – у этого типа фрода много различных подтипов, но все они связаны с тарификацией большего количества услуг, чем было в реальности потреблено.
Регуляция пропуска трафика
В большинстве стран, и Российская Федерация не исключение, услуги телефонии строго регулируются законодательными требованиями, лицензированием услуг и договорными отношениями.
Регуляция определяется рядом нормативно-правовых актов, описывающих требования по построению сетей связи и правилам пропуска трафика. Основополагающим документом является федеральный закон «О связи» и пакет подзаконных документов. Стоит отметить основные постановления Правительства - № 97 и №98, регулирующие архитектуру построения сетей связи и вопросы пропуска трафика. Кроме этого, существует набор специализированных требований тарификации межоператорского интерконнекта и требований на обеспечение средств проведения оперативно-разыскных мероприятий (СОРМ).
Операторская деятельность лицензируется. Например, если мы говорим о телефонии, то это мобильная связь, местная связь, зоновая связь, МГМН-связь и передача голосовой информации по сетям передачи данных (ПГИ СПД). Операторы могут осуществлять деятельность только по лицензированному спектру услуг. Тройка крупнейших мобильных операторов (МТС, МегаФон, Вымпелком) и Ростелеком обладают всем спектром лицензий. ТЕЛЕ2 обладает лицензиями на мобильную связь в субъектах федерации, большинство альтернативных и независимых операторов имеют лицензии только на местную связь и ПГИ СПД.
Межоператорские отношения определяются договором, где прописывается вид подключения, тип трафика и условия оплаты. Также в документ могут быть внесены явные ограничения на качественные характеристики пропускаемого трафика.
Абонентские договоры регламентируют тип услуги и условия её использования абонентом. В договор могут быть внесены явные ограничения использования абонентской линии.
Регуляция достаточно точно и полно определяет телекоммуникационный ландшафт, однако существование технических средств и экономических мотивов вносят свои коррективы в реальную работу телефонных сетей.
Экономика пропуска трафика
При перемещении трафика по цепочке операторов идет параллельное движение денежных средств. Оператор получает вознаграждение от абонента, инициировавшего использование услуги, а далее каждый из операторов в цепочке получает вознаграждение за пропуск трафика от предыдущего оператора. Если упростить схему международного пропуска трафика, то она будет выглядеть следующим образом:
1. Абонент инициировал вызов и оплачивает его по абонентскому тарифу.
2. Оператор маршрутизирует данный вызов на одного из МГМН-операторов РФ. Так, средний тариф на завершение международного трафика на мобильные сети РФ составляет около 10 рублей.
3. МГМН-оператор маршрутизирует трафик до субъекта федерации и завершает его на сеть мобильного оператора. Средний тариф на местное завершение составляет около 1 рубля.
Рис 1. Схема арбитража
При различных способах завершения трафика, легальном и нелегальном, образуется разница в цене на завершение вызова до 9 рублей, или до 90% от полного международного тарифа. Эта разница и служит основой арбитража (то есть сделок, направленных на извлечение прибыли из разницы в ценах в одно и то же время на разных рынках).
То есть, в легальной схеме появляется третий игрок, фродер, имеющий подключение к оператору, завершающему вызов, и предлагающий услугу завершения вызова по более низкой цене на международном рынке. В большинстве случаев фродер не может продать услугу пропуска трафика по полному международному тарифу, так как не способен обеспечить передачу номера идентификатора абонента. Конкурентная цена такого рода пропуска трафика (так называемая терминация) составляет от полутора до пяти рублей на мобильные сети РФ.
Таким образом, экономическая цепочка, изложенная выше, преобразуется в следующую форму:
1. Абонент инициировал вызов и оплачивает его по некоему тарифу. При этом возможны варианты: абонент мог заплатить полный тариф и, по сути, можно говорить об обмане абонента или, наоборот, абонент (пользователь VoIP/OTT услуг) заплатил более низкий тариф, соответствующий качеству предоставляемого сервиса.
2. Оператор маршрутизирует данный вызов на транзитного VoIP-оператора (в редких случаях, прямого терминатора).
3. Фродер завершает вызов на сеть мобильного оператора по тарифу 1 рубль или менее при использовании пакетных абонентских тарифов.
В итоге:
1. МГМН-оператор полностью теряет этот трафик и связанную с ним выручку.
2. Фродер извлекает часть денег за счет пропуска трафика в свою пользу.
3. Весомая часть МГМН-тарифа полностью теряется или остается в руках оператора, предоставляющего услугу инициирующему абоненту за границами РФ.
Объемы таких потерь значительны. По экспертной оценке «Гарда Технологии», ежегодные объемы потерь мобильных операторов РФ от незаконной терминации международного трафика составляют от 300 до 500 миллионов минут, или в пересчете, порядка 3 миллиардов рублей. Дополнительные потери МГМН-операторов при завершении международного трафика на фиксированных сетях составляют еще от 200 до 300 миллионов минут или порядка 200 миллионов рублей.
Основная причина таких объёмов потерь, несмотря на предпринимаемые операторами усилия, кроется в изменении технологий.
Рис. 2 Структура голосового трафика
Голосовая связь, особенно международные голосовые вызовы, стремительно утекают в VoIP и ОТТ-сети, такие как Viber, Skype, WhatsApp. Эти же клиенты являются драйверами роста спроса на дешевое завершение международного трафика на национальные ТФОП-сети.
Как результат технологических изменений, уровень падения объемов международного трафика у крупнейших МГМН и национальных операторов региона России и СНГ составляет 10% и даже более.
Следует выделить существование аналогично работающей схемы при пропуске трафика внутри Российской Федерации.
Рис 3 Схема МГ вызовов
При совершении МГ-вызова, в соответствии с правилами, вызов должен подняться на зоновый узел, оттуда на МГМН-оператора и спуститься на зоновый узел в регионе завершения вызова. Однако значимая часть абонентского тарифа при этом остается в руках зоновых и МГМН- операторов, что может показаться «несправедливым» для местного оператора.
В качестве способа увеличения своей прибыли, местный оператор технически может отдать такой трафик на VoIP-оператора, предоставляющего значительно более дешевый тариф пропуска МГ-трафика. В большинстве случаев такой трафик проходит с нарушениями порядка пропуска, включая подмену номера.
Эта схема в большей степени применима для альтернативных фиксированных операторов и операторов, предоставляющих разнообразные ПГИ СПД услуги, например, услуги виртуального офиса и VoIP-телефонии для корпоративных клиентов.
В настоящее время до половины объема услуг условно фиксированного голосового трафика предоставляется именно этой категорией операторов. Вследствие этого операторы зоновых сетей и МГМН-операторов теряют до 30% выручки, связанной с пропуском международного и междугороднего трафика. Эта часть выручки незаконно делится между VoIP-операторами, оказывающими, по сути, услуги пропуска МГМН-трафика без наличия соответствующих лицензий.
Несмотря на то, что ценовая разница тарифов в такой схеме значительно меньше, чем в случае пропуска МН-трафика, объемы связанных потерь превышают потери от МН-терминации на фиксированные сети. Это связано с тем, что, в среднем, объемы МГ-трафика на порядок превышают объемы МН-трафика. По оценке специалистов «Гарда Технологии», ежегодные объемы потерь МГМН и зоновых операторов РФ от нарушений порядка пропуска междугороднего трафика составляют до 2 миллиардов минут или от 2 до 3 миллиардов рублей.
Говоря о потерях операторов, стоит упомянуть связанные с этим косвенные проблемы:
1. Влияние на сеть оператора. Высокая интенсивность фродового трафика может негативно влиять на оборудование оператора и качество оказываемых им услуг. К примеру, использование GSM-шлюзов высокой емкости может привести к повышенной нагрузке отдельных базовых станций.
2. Влияние на СОРМ. В случаях использования нелегальной терминации через шлюзы и подмену номера, работа спецслужб по установлению сквозной цепочки телефонного вызова от подозреваемых затрудняется. Так, поиск истинного источника звонка, например, о заложенной бомбе, растягивается во времени, а в ряде случаев становится невозможным.
3. Репутационные риски, связанные с ухудшением качества предоставляемого сервиса для абонентов.
Образ действия фродера
Общий объем выручки серого рынка можно оценить примерно 30-40% от общих объемов потерь операторов по МГ и МН фроду, то есть в сумму порядка 2 миллиардов рублей в год. Часть этой выручки тратится на оборудование, покупку SIM-карт, оплату операторских тарифов и операционную деятельность.
Основные схемы работы фродеров представлены ниже:
Рис. 4 Схема работы фродеров
Если незаконная терминация осуществляется абонентом:
1. Фродер покупает оборудование. В большинстве случаев это GSM-шлюзы. Стоимость шлюзового оборудования китайских производителей активно снижалась на протяжении пяти лет и сейчас составляет от 15-20 USD в пересчете на канал. При этом стоит упомянуть, что лишь малая доля такого оборудования прошла необходимую сертификацию в рамках Сертификации средств связи и, говоря формально, не разрешена для использования в телефонных сетях РФ.
2. Фродер находит канал получения SIM-карт. Часто основным источником получения SIM-карт становятся сотрудники дилеров, нарушающие как договорные обязательства перед оператором, так и регуляцию, касающуюся продажи SIM-карт.
3. Фродер продает емкость терминации на «сером» рынке.
В случае с незаконной терминацией операторами, схема упрощается. Оператор-фродер заключает договор на пропуск местного или ПГИ СПД трафика и терминирует международный или междугородний трафик по данному интерконнект-каналу под видом местного.
Борьба с фродом
Пока существует значительный экономический арбитраж, полностью искоренить фрод не представляется возможным. Поэтому задача оператора поддерживать потери, связанные с нарушением пропуска трафика, на низком, измеряемом и контролируемом уровне.
Противодействие мошенничеству и гарантирования доходов (FM&RA) - достаточно зрелое направлением в функциональной структуре оператора. У крупнейших российских операторов такая функция обычно находится в структуре коммерческого или ИБ-департаментов. Тесная связь между департаментами обусловлена естественными причинами: часто проблемы, связанные с фродом, – это вопросы информационной безопасности и, в большинстве случаев, финансовые потери.
Обычно деятельность FM&RA департамента (это условное обозначение функции, у различных операторов данная функция может идентифицироваться различными способами) состоит из:
1. оценки рисков;
2. построения системы контроля рисков;
3. контроля рисков — выявление и фиксация фактов фрода;
4. мероприятий по предотвращению и фиксации потерь.
Все это подразумевает построение организационно-технической системы выявления и фиксации фактов фрода в сети оператора.
Для борьбы с нарушениями порядка пропуска трафика, операторы применяют две основные методологии:
Аналитический метод – профилирование трафика на предмет анализа аномалий, объемов трафика и поведения абонентов. Существует большое количество инструментов, преимущественно западных производителей, для анализа больших объемов CDR, которые, при правильной настройке, показывают хорошую результативность. Однако практическое использование результатов работы таких средств в России имеет ряд особенностей:
1. Недостаточная очевидность и сила доказательной базы для использования в судах и надзорных органах.
2. Примеры вынесения судебных решений исключительно на доказательной базе, формируемой такими средствами, в арбитражных судах неизвестны.
3. Возможно использование таких средств совместно со средствами прозвона для оценки общей картины.
Тестовый прозвон – тестовые вызовы, инициированные из различных источников на нумерацию оператора. Выявление фрода может быть выполнено различными способами с различной степенью достоверности. Практическое применение результатов тестовых вызов более результативное, однако, и здесь есть свои особенности:
Желательна сертификация таких средств в рамках ССС РФ.
Тестовые вызовы должны быть достоверны, с установлением соединения для фиксации их в других информационных системах оператора.
Методы борьбы с фродом в Российской Федерации
Можно выделить две категории мер, проводимых операторами для защиты от фрода:
1. Превентивные – мероприятия, направленные на уменьшение количества фрода и закладывающие юридическую базу фиксации и устранения таких нарушений.
2. Меры, фиксирующие и останавливающие факты фрода.
К превентивным можно отнести следующие методы:
1. Формирование юридических ограничений в договорной базе. Можно разделить договорную базу на две категории – абонентские и межоператорские договоры.
1.1 Большинство абонентских договоров крупнейших операторов включают в себя явные ограничения на использование абонентского подключения (или SIM-карты) для терминации трафика. Типичный текст такого ограничения выглядит так: «Услуги оператора не могут быть использованы Абонентом без дополнительного письменного согласования с Оператором для установки шлюзов для доступа к сети электросвязи и Интернет-телефонии и массовой генерации трафика». Именно этот пункт договора используется для прекращения предоставления услуг абонентам, осуществляющим незаконную терминацию трафика. Многие межоператорские договоры крупных операторов описывают явные ограничения на пропускаемый трафик. Например, такие ограничения могут включать:
тип трафика (абонентский, транзитный и т.д.);
множество А номеров, с которых принимается трафик;
явный запрет на подмену номера присоединенным оператором.
Кроме этого, часто в договоре прописаны штрафные санкции за нарушения порядка пропуска трафика и процедура ограничения такого трафика.
2. Формирование технических ограничений на пропуск трафика. К таким ограничениям можно отнести использование черных и белых списков номеров на межоператорских соединениях.
3. Регулятивные методы. В Российской Федерации вопросы пропуска трафика относятся к компетенции Роскомнадзора. Известны факты проведения проверок и вынесения предписаний операторам связи об устранении фактов нарушений пропуска трафика. Однако, несмотря на серьезность и повторяемость нарушений, еще не известно ни одного прецедента лишения или приостановки лицензии за нарушения порядка пропуска трафика.
Правоприменительная практика
Правоприменительная практика против абонентов-фродеров очень ограничена. Известны несколько случаев изъятия оборудования, однако, данных об успешно завершенных делах о привлечении абонентов к ответственности судебными органами нет. Теоретически, при осуществлении фрода, абоненту можно инкриминировать следующие нарушения:
1. Нарушение абонентского договора. Это гражданские отношения между оператором и абонентом и практический максимум ответственности абонента заключается в прекращении оператором действия абонентского договора.
2. Незаконная предпринимательская деятельность. Ввиду того, что пропуск трафика – это лицензируемая деятельность, деяния фродеров, несомненно, подпадают под статьи о незаконной предпринимательской деятельности. Однако, сложность доказательства не только самой деятельности, но и её возмездности, приводит к неприменимости такого варианта на практике.
Существующая арбитражная судебная практика в России также достаточно скудна. Однако, за последние 2 года наметился большой прорыв благодаря опыту ПАО «Ростелеком» по судебным делам с контрагентами – присоединенными операторами, осуществлявшими незаконную терминацию международного и междугороднего трафика.
Известно уже четыре завершенных дела, которые были выиграны оператором в арбитражном суде. При этом решения по двум делам были подтверждены судами вышестоящей инстанции. Все иски строились на схожей основе:
1. Суть претензии состояла в нарушении договорных обязательств присоединенным оператором.
2. Присоединенный оператор «приземлял» МГ и МН-трафик с подменой оригинальных номеров вызывающих абонентов через точки присоединения, для этого не предназначенные, согласно заключенным договорам.
3. Факт нарушения доказывался с помощью тестового прозвона сертифицированным антифрод-решением.
Объединение операторов в борьбе с фродом
В последнее время наметилась тенденция объединения усилий крупнейших операторов в борьбе с фродом. Эти меры включают в себя как процедуры обмена информацией о фактах нарушений, так и ряд технических средств, автоматизирующих такие процедуры. Такого рода взаимодействие позволяет не только ускорить поиск и ограничение реальных источников фрод-трафика, но и сократить общие потери операторов.
Эволюция фрода
Переход операторов на новые технологии (VoIP, VoLTE, Triple-Play) ведет к появлению новых рисков использования данных технологий фродерами. Повышение технической квалификации и удешевление технических средств позволяет мошенникам применять все более изощренные технические средства и алгоритмы для терминации трафика:
• Использование схемы с переадресацией вызова, которая позволяет технически и формально обойти ограничения на передачу произвольных идентификаторов номера на местных стыках, даже при использовании оператором функциональности белых и черных списков.
• Автоматизированное перемещение SIM-карт и формирование «нормальных» профилей абонента.
• Применение мошенниками анти-антифрод решений и статистического анализа трафика усложняет тестовые прозвоны и другие антифрод-мероприятия.
Алгоритмы и методы работы фродеров постоянно эволюционируют. Поэтому ключевой фактор успеха операторской антифрод-деятельности – это непрерывное развитие с учетом динамики фрод-рынка и выбор надежного технологического партнера, обладающего необходимой экспертизой для пресечения постоянно меняющихся схем работы и новых способов обхода установленных ограничений.
Автор: Дмитрий Чебан, заместитель директора «Гарда Технологии».
Направление противодействие мошенничеству и гарантирование доходов.
Статья опубликована в "Вестнике связи" № 2 за февраль 2017.