Экономическая оптимизация кибербезопасности в цифровых сервисах на этапе онбординга пользователя

Цифровые сервисы рассматриваются как бизнес-модель, основанная на стратегии сетевой оркестра-ции [1]: производители или продавцы предлагают свои товары и услуги (например, маркетплейс, онлайн-сервис заказа такси, платформа вакансий), а потребители приобретают эти товары (покупатели, клиенты, соискатели работы или фрилансеры, исполнители в гиг или шеринговой экономике). Они встречаются друг с другом напрямую внутри «плоского мира» [2] киберпространства, в интернете. Сетевое взаимодействие является результатом возврата механизмов социальной регуляции к прямым и

ГРНТИ 06.35.51

EDN EHLCDN

Арсений Леонидович Сидоров – аспирант кафедры инновационного менеджмента Санкт-Петербургского государственного электротехнического университета «ЛЭТИ» им. В.И. Ульянова (Ленина). ORCID 0009-0003-39299126

Надежда Николаевна Покровская – доктор социологических наук, кандидат экономических наук, профессор кафедры инновационного менеджмента Санкт-Петербургского государственного электротехнического университета «ЛЭТИ» имени В.И. Ульянова (Ленина). ORCID 0000-0002-0795-8102

тесным отношениям между людьми [3], характерным для традиционного сообщества, согласно концептуальному подходу Ф. Тённиса [4], где преобладали межличностные контакты и диффузная функциональность.

Рациональная современная организация общества основана на дифференцированном обществе, где многие виды функциональных посредников специализированы в рамках общественного разделения труда и закреплены правилами государственного или корпоративного регулирования. Но цифровая трансформация, в свою очередь, исключает посредников и создает монопольное киберпространство онлайн-платформ, где стейкхолдеры (производитель и потребитель) встречаются напрямую, совместно создают ценность и обмениваются знаниями, компетенциями, денежными средствами [5].

Вездесущие цифровые инструменты используются для решения множества задач в современном обществе. Однако их всесилие и проникновение во все сферы повседневной жизни могут вызывать у пользователей тревогу и беспокойство, связанные с переносом ответственности на пользователя – именно он должен принимать решения и подписывать согласие с условиями и правилами. Пользователи обеспокоены необходимостью предоставлять сервисам большое количество персональных данных [6]. Это противоречие – между сложными процедурами кибербезопасности, с одной стороны, и тревогой пользователей о своих данных и идентификации, с другой стороны, – и лежит в основе исследовательского вопроса.

Материалы и методы

Цифровая трансформация помогает пользователям ускорять некоторые процессы и решать проблемы, которые в офлайн-мире потребовали бы много времени и значительных усилий. Тем не менее, кибербезопасность остаётся важнейшей проблемой для обеих сторон: пользователи беспокоятся о своих данных, а компании тратят огромные ресурсы на корректное выявление угроз и рисков.

Сущность фирмы включает критерий снижения транзакционных издержек внутренней и внешней коммуникации [7]; виртуальное пространство – это специфическая доверительная среда для ограниченного круга действий, своего рода «песочница» для некоторых видов активности с меньшими ставками. Цифровая компетентность включает выбор наиболее эффективного способа выполнения задачи из множества цифровых инструментов [8]. С экономической точки зрения, кибербезопасность основывается на соотношении издержек и выгод: издержки включают риски (потенциальные потери, штрафы и т.п.), а выгоды отражают ценность, воспринимаемую пользователями (удобство сайта, поисковой системы и форм для заполнения, скорость и простота каждого шага).

Цифровые сервисы создают добавленную стоимость и приносят прибыль, когда пользователь совершает целевое действие на платформе. Можно подумать, что чем больше пользователей зарегистрируется, тем выше прибыль компании. Однако это не всегда так. Наряду с честными пользователями, приносящими доход, на платформах регистрируются и мошенники, которые этот доход снижают. Как правило, они адаптируются быстрее корпоративных структур и находят уязвимости в новых цифровых сервисах, особенно если у платформ нет актуальных технологий проверки пользователей на этапе регистрации [10].

Регистрируясь с помощью поддельных документов, мошенник может нанести компании значительный финансовый и репутационный ущерб. Например, Федеральная торговая комиссия США (FTC) оценила, что в 2024 году мошенники нанесли цифровым платформам в США ущерб на сумму $12.5 млрд. Уязвимость к мошенничеству различается в зависимости от бизнес-модели. Например, крупное мошенничество в сервисе заказа такси менее вероятно по сравнению с криптообменником, поскольку онлайн такси не предполагает вывод денежных средств клиентов. Но даже в такой модели мошенники могут найти лазейки – например, скупить аккаунты на черном рынке и обмануть честных пользователей [11].

В бизнес-моделях с возможностью ввода и вывода средств поле для действий мошенников гораздо шире. Например, популярная блокчейн-игра Axie Infinity потеряла более $600 млн в результате атаки после снижения уровня безопасности при выпуске обновления [12]. Другой пример – компания Entain Group (азартные игры), оштрафованная на £14 млн за недостаточные меры безопасности и противодействия отмыванию денег [13]. Поэтому для многих цифровых компаний крайне важно внедрять надежные защитные меры на этапе регистрации пользователей.

Простое решение проблемы мошенничества – тщательная проверка каждого пользователя при регистрации [14]. Но у такого подхода есть очевидные минусы: длительный процесс регистрации, требование передачи личных данных – всё это становится барьером для честных пользователей. В эпоху постоянных утечек данных люди скептически относятся к сервисам, которые требуют фото их документов. Иными словами, усложнение проверки снижает число мошенников, но одновременно отталкивает добросовестных клиентов.

Поэтому всё большее значение приобретают скрытые методы мониторинга активности пользователей. Они позволяют балансировать между фильтрацией мошенников и сохранением простоты интерфейса для честных клиентов [15, 16]. Современные методы верификации включают идентификацию личности, биометрическую аутентификацию, многоуровневую авторизацию через SMS или email, и, наконец, процедуру верификации (KYC – Know Your Customer) [17]. Для многих цифровых сервисов это также регуляторное требование [18, 19], которое обязательно включает в себя проверку идентифицирующего документа и этап биометрии [20, 21].

Результаты и их обсуждение

Цифровой сервис должен найти оптимальный баланс между конверсией пользователей при регистрации и тщательностью проверки в зависимости от потенциального ущерба от мошенничества. Ключевая метрика (North Star Metric) в задаче оптимизации – это прибыль компании:

maxπ(δσ) =X(1-δ)LTV -σ-Xλ, где π – суммарная выгода компании от проверки пользователей; X – число пользователей, начавших верификацию; δ – доля отказов от регистрации из-за сложности процедуры; LTV – пожизненная ценность клиента; σ – общие потери от мошенничества; λ —–стоимость проверки одного пользователя.

Параметры δ и σ взаимосвязаны обратно пропорционально: чем сложнее проверка, тем меньше потери от мошенников, но выше отказ честных пользователей. Поэтому вводится функция зависимости:

a = f( 8 ).

Для выбора оптимального уровня конверсии (1–δ) мы рекомендуем строить график изменения потерь в зависимости от тщательности проверки. При этом, нужно учитывать регулирование в разных странах. Например, криптобиржам в Великобритании, Канаде, США и Мексике требуется лицензия [22], а вместе с ней и обязательные процедуры верификации [23]. Многие цифровые сервисы сотрудничают с вендорами верификации, чтобы решить эту задачу.

Заключение

Мошенничество ежегодно развивается – растет и по количеству, и по качеству атак. Особенно важно от происков мошенников защищать цифровые сервисы с возможностью вывода средств. Однако введение дополнительных проверок на этапе регистрации связано с дополнительными затратами и ростом потерь честных пользователей. Поэтому для максимизации прибыли нужно искать баланс между конверсией в платящего пользователя и тщательностью антифрод-мер. Важно также учитывать регуляторные требования.

Ограничения исследования связаны со спецификой корпоративного управления: финальное решение зависит от выбора руководителей и стратегии компании на рынке. Дальнейшие исследования будут посвящены анализу практик, применяемых разными компаниями, и накоплению данных о стратегиях мошенников. Эволюция мошеннического поведения – это важная тема для постоянного научного изучения. Благодарности

Авторы благодарят рецензентов за их важную работу.