Централизованный и децентрализованный Threat Intelligence: конкуренция или новая архитектура рынка?

Финансовое мошенничество давно перестало быть проблемой отдельного банка. Современные схемы — от социальной инженерии до параллельных кредитных заявок — по своей природе распределены. Мошенник действует сразу в нескольких организациях и рассчитывает на то, что каждый видит только собственный фрагмент картины.

В этих условиях эффективность антифрода определяется уже не только качеством внутренних моделей, правил и расследований. Всё чаще она зависит от способности организации работать в системе коллективной защиты: получать внешний сигнал, передавать собственные события и встраивать этот обмен в реальные процессы принятия решений.

Именно поэтому в финансовом секторе сегодня усиливаются два контура. С одной стороны, развивается централизованный обмен через ФинЦЕРТ и ГИС Антифрод, с другой — сохраняется запрос на более гибкие рыночные механизмы threat intelligence, в которых участники обмениваются антифрод-сигналами без избыточной централизации чувствительных данных.

На первый взгляд эти модели выглядят как конкурирующие. На практике рынок движется не к выбору между ними, а к гибридной архитектуре.

Централизованный контур: доверие через институт

Сильная сторона централизованных систем threat intelligence очевидна. Они задают единые правила взаимодействия, формируют общий стандарт для рынка и создают контур, в котором доверие обеспечивается институтом — регулятором и формализованным порядком обмена.

Именно поэтому развитие ГИС Антифрод — не просто новая интеграция. Для кредитных организаций это обязательный внешний слой, где антифрод становится частью регуляторно значимой архитектуры. Банк должен не только выявлять подозрительные события, но и корректно формировать сигналы, передавать их во внешний контур, использовать поступающую информацию и фиксировать принятые решения.

Централизованная модель решает задачу координации рынка и создаёт базовый уровень коллективной защиты. Но у неё есть естественное ограничение: она почти всегда развивается через регламент. Для compliance это правильно. Для всей антифрод-задачи — не всегда достаточно.

Децентрализованный контур: полезный сигнал без накопления данных

Параллельно с обязательным централизованным слоем рынок сохраняет интерес к другому типу обмена — децентрализованному.

Его логика иная: участники не формируют единое хранилище клиентских массивов, а обмениваются ограниченными антифрод-сигналами, агрегированными признаками или результатами вычислений. При этом контроль над исходными данными остаётся у владельца.

Для финансового сектора это особенно важно, поскольку позволяет совместить полезность обмена с требованиями по защите персональных данных и банковской тайны. Именно поэтому всё большее значение получают механизмы конфиденциальных вычислений, например Private Set Intersection (PSI), позволяющий получить ответ на прикладной запрос без раскрытия исходных данных.

Это не альтернатива государственному контуру. Это другой тип полезности — не единый обязательный обмен, а прикладной механизм повышения качества конкретного решения.

Почему compliance не закрывает всю задачу

Подключение к обязательному государственному контуру само по себе не решает всю антифрод-задачу. Организация может быть полностью корректна с точки зрения взаимодействия с ГИС Антифрод и при этом по-прежнему сталкиваться с потерями там, где для решения нужен более ранний и более прикладной внешний сигнал.

Хороший пример — параллельные заявки на кредит, рассрочку или BNPL-продукт. Мошенник подаёт заявки почти одновременно в несколько организаций. Каждая из них видит только свою заявку и оценивает риск на основе собственного набора данных.

В централизованном контуре хорошо работают формализованные сценарии и нормативно значимые процессы. Но вопрос «что происходит прямо сейчас по этому идентификатору у других участников рынка» может требовать другого типа взаимодействия. Именно здесь децентрализованный обмен способен дать дополнительную ценность: сигнал о параллельной активности и дополнительный индикатор риска до момента выдачи средств.

Где здесь место КРАБ

КБ «ТехноСкор» уже несколько лет последовательно развивает проект КРАБ (криптографическая распределённая база) как рыночный децентрализованный контур обмена антифрод-сигналами между участниками финансового рынка. Его логика строится на том, что полезный обмен данными должен происходить без избыточной централизации клиентских массивов и с возможностью использовать конфиденциальные вычисления там, где это необходимо.

При этом речь не идёт о противопоставлении государственным инициативам. Напротив, зрелая антифрод-архитектура должна сочетать оба уровня. Именно поэтому в антифрод-платформе «ТехноСкор» уже реализована поддержка сценариев работы с ГИС Антифрод как обязательным элементом целевой архитектуры, а проект КРАБ развивается как дополнительный рыночный слой для прикладного обмена сигналами и повышения качества решений.

Вместо вывода

Развитие threat intelligence в финансовой отрасли — это уже не спор между централизацией и децентрализацией. Это переход к новой модели рынка, в которой регулятор задаёт рамки и обязательный слой взаимодействия, рынок развивает дополнительные механизмы обмена данными, а антифрод-платформа становится центром координации нескольких контуров.

Для банков главный вывод предельно практичен: быть compliant — обязательно, но этого уже недостаточно. Если задача состоит не только в выполнении требований, но и в реальном снижении потерь, антифрод должен строиться как гибридная система.

Камагин Дмитрий