我的书签
添加书签
移除书签赌桌上的舞弊
这是一个真实的故事,坏人发现了好人的数据——导致一个意外的发现并产生令人惊喜的结果。
在20世纪90年代中期,美国很多新的行政管辖区承认了河船赌博(rverboat gaming)是合法的,路易斯安那州就是其中之一。一个新的游戏管辖区所面临的挑战之一是缺少一批有丰富游戏经验的当地雇员候选人。因此,新的管辖区必须培养一批有广泛的专业工作类别的当地劳工,岗位包括从交易员到监察室业务员。路易斯安那州的Bossier市就是这样的一个社区,它需要从无赌场业务过渡到赌场河船业务。
今天和任何其他赌场的任何其他日子没有什么区别。交易员正在监视着赌场的玩家。该楼层的主管正在监视着交易员和玩家。赌场经理正在监视着楼层主管、交易员和玩家。而监察室正在监视着每个人——甚至是该赌场的执行官。监察室有责任监视游戏的交易情况,不仅仅是为了保护赌场,而且也是为了保护客户。监察室同时聚焦于游戏的交易以及捕获其他犯罪行为的证据。例如,抢钱包的凶徒属于违法行为,因为他干扰了用户体验。
监察是最后一道防线。
在一间非常小的监察室里,安装着数百部摄像机(在拉斯维加斯的大型赌场有数千部)。一面墙上可能安装着20、30甚至40部的监视器,看起来像是在做犯罪现场调查(Cime Scene Investigation,CSI)。因此,就这么几个操作员审查进入房间的权限,怎么可能有意义呢?答案就是:绊网(暗线)和周密的浏览。
绊网(Tipwire)有很多种形式,包括从热线上的一条建议到一个楼层的主管要求监察室评价一个客户的打牌行为,例如,确定她是否在对桌牌计数[1]。这一天,监察业务员在随意查看——即执行所谓的随机审查——从一个表到另一个表,简单看一下,检查是否有不正常的,然后继续查看下一个表。
等一等!那是什么?简直不可能!悉心观察的监察业务员刚刚观察到一个玩家公然在轮盘赌桌(rulette table)上作弊。今天所发现的这个骗局称为“逾期投注”(pst posting)——某个玩家在轮盘已经停止滚动,停留到某个数字后才下赌注。“逾期投注”发生在当玩家注意到滚球已经停止到某个数字(如32),发现这个结果后,马上押注一个逾期的、必赢的赌注。“逾期投注”和桌牌计数不同,后者是合法的但是不鼓励,而前者实际上是舞弊,而且绝对是不合法的。
今天很特别的原因是那张桌子只有一个交易员和一个玩家。通常,“逾期投注”舞弊方式一般会涉及很多玩家——这些玩家一起努力阻止交易员监察到逾期投注的发生。这种团体活动可能会涉及同一张桌子的两个或者更多的“玩家”,他们看起来似乎完全不相关(比如,表现得彼此都不认识对方)。等到骰子滚到某个数字不动了,一个玩家(如一个看起来性情很好的妇人)会沿着整个桌子假装要下赌注。交易员当然会说:“女士,您下的赌注太晚了。”但是,她的这个下注对必输的号已经使该桌的其他成员(如一个看起来像摇滚队的、留着莫霍克发型的花花公子)对必赢的号下了一个迟到的赌注——而且避免了被交易员所发现。
安保人员得到通知,警卫小组也调动起来。该玩家遭受逮捕和拘留。怎么会发生这样的事呢?交易员显然很尴尬。在新的行政管辖中,这名雇员还是一名游戏新手,而且确实只受到过课堂培训。交易员清楚地表示,对于这种类型的诈骗,她只是听说过而已。然后,她说安全报警今天确实做得很不错。她非常尴尬,而且很快保证,在她以后的监察期间,再也不会发生这样的事了。
输入“数据发现数据”。
当骗子被逮捕时,他必须证明自己的身份。今天的骗子和任意某天没有什么区别,介绍了他的名字、地址、电话号码,以及一些其他信息。这种信息收集是通过一个标准的表单,包含一个签名(如果他们能得到),然后,数据进入企业安全逮捕处理系统。
当然,这个骗子和交易员的姓氏不同,否则事情就会变得非常简单。当然,该骗子的地址和这位交易员的地址也不一样。但是,他的电话号码恰巧就是该交易员求职应聘时用的电话号码。正在这个时刻,逮捕信息发送给逮捕处理系统,该系统是实现数据发现数据的次级系统[2],它找到这个至关重要的发现,并生成一条即时报警信息:“5764号员工和44-00321号被逮捕人有相同的电话号码!”
长话短说,交易员受到对质、开始招供,于是该交易员和骗子一起被交给执法机关接受起诉。
需要明确说明的是,用户并没有收集之前作弊诈骗者的身份属性(如名字、地址和电话号码),并尝试搜索大范围的业务系统(称为联合搜索)。求职者、员工、会员俱乐部和逮捕处理系统等,这些系统甚至不能通过地址或电话号码来搜索——它们不是为搜索而设计的。
在“数据发现数据”的环境中,用户不需要主动搜索或者提出相关的问题。安全部门的用户在系统中输入他们学会的东西,然后通过其他企业信息资产来评估这种新的信息。发现新的信息需要和已有的数据相关,而且这种关系满足预定义的兴趣条件:有个“坏人”和某个员工相关。因为坏人和该员工共享一个电话号码(所以这个坏人认识这个员工),这样就满足该兴趣条件,并触发一条报警信息。如果发现这个骗子逮捕相关的数据和三年前某个宾馆的一个顾客相关,这种不满足兴趣条件的发现不会生成报警。
为了说清楚这个观点,我们现在假定这个“逾期投注”者提供的电话号码和这位交易员的电话号码没有任何关系。在这种情况下,就不会生成任何报警信息。交易员可能会受到某些质疑,但是显然没有足够的理由来起诉她。可能公司的安全部门会调查这个交易员,或者雇佣一个私人侦探来调查这两个人是否是朋友?谁知道呢?
但是,如果他们真的有关系呢?要是电话号码不匹配,系统认为他们没有关系,那么发生什么事呢?交易员继续从事交易,时间继续推移。如果六个月以后,交易员在她的人事系统中更改了她的家庭住址,而且她的新信息和那个骗子的地址完全相符,企业组织如何能够知道这件事呢?实际上,没有一个企业组织会发现这一点,除非它能够做到“数据发现数据”。一旦新的信息能够和之前已经结束的案件关联起来,该系统就可以检测到报警条件:坏人和某个员工相关。
顺便说一下,报警并不意味着真的有犯罪活动。但报警确实为企业组织集中有限的调查资源发挥了重大作用——在这种情况下,基于足够的信息条件,给更相关的可能事件报警。
其他例子是:在这个轮渡赌场行业,还发现和一个市场营销人员相关的骗局,这个营销人员提出了一个系统攻击、返还现金比赛的想法,(在营销活动中,你玩得越多,就会获得越多的积分,而且这些积分可以兑换现金),而结果是那些现金都是返回给他的室友。而在另一个案例中,某个人举办“一天一辆车”活动抽奖,系统发现中奖的人“碰巧”是他的妹妹(只是姓氏不同)抽中了该车,这两个家庭成员在现场时演得好像彼此从来都不认识对方。
通过“数据发现数据”的策略,以上三个骗局最后都真相暴露——所有这三个骗局都是在90天之内就被查出个水落石出!
数据发现数据非常重要的原因是因为信息到达的时间顺序是不确定的。想当然地认为事件是有序的系统和处理方案有一个致命的缺陷:无序的事件可能会提供企业组织足够的信息,但从来都没有基于这些信息真正采取措施。这一点在后面会谈及更多。
一个在美国有几千个连锁店的大零售商分析了它的历史数据,很震惊地发现它的每一千名雇员当中,有两名实际上曾经在该店偷窃过,并被逮捕。更糟糕的是,这些员工所被抓到的店和雇佣他的店是同一家店。虽然数据表现方式不同,一旦企业有了这些证据,就一分钟都不能耽搁。该连锁店需要立刻意识到这一点。
解决无序的数据点的传统解决方法十分繁琐。企业安全部门应该如何利用新的数据,使这些数据能够揭露一个员工可能曾经就是偷窃者?何时在人力资源系统中更新一条员工记录会导致企业安全部门重新评估它之前所有的调查呢?这种重新评估该如何结构化,这样当在内部调查数据库中,有新的或者更新的记录和员工相关时,企业才不会错过这些信息?一种策略是周期性地测试调查的数据库和整个员工数据库。另一种策略是企业安全部门定期重新调查每个员工。但是这两种策略都会错过一些重要的发现,因为定时(时间)是至关重要的。
即使是完美的算法,当它在基于完全重新设计的业务系统上运行时(如人力资源系统和内部调查系统),它依然会错过一些可发现的事件。如果为了确定两个人是同一个人或者相关所需要的数据存在于一个完全不相关的系统中,那么又会发生什么事呢?举个例子,想象从一个不相关的系统中得到了第三条记录,比如会员俱乐部登记系统,它反映了家庭地址和家庭电话号码之间先前未知的链接。什么样的企业系统会用于检测这种被我们称之为“非显著关系”(nnobvious relationship)的条件?
数据发现数据,包括非显著关系条件,要求人们首先解决“企业的可发现性”问题。
[1]值得注意的是,赌场监督的作用是提供情报。他们报告自己的观察和发现,但是没有执行力;执行力是安全部门所发挥的作用。
[2]这种被称为“无明显的关系意识”(NnObvious Relationship Awareness,NORA)技术,由Systems Research&Development,即SRD公司(由Jeff Jonas成立)为拉斯维加斯的游戏行业开发。SRD公司从那以后被IBM收购,现在是IBM的实体分析部门的一部分。这里有一些额外的信息——IEEE论文:Threat&Fraud Intelligence-Las Vegas Style(http://jeffjonas.typepad.com/jeff_jonas/2006/11/ieee_paper_thre.html)。
