Мошенничество - как много в этом слове?

Дмитрий
Михеев

Эксперт центра информационной безопасности компании "Инфосистемы Джет"

Алексей
Сизов

Руководитель группы FM&КА-решении компании "Инфосистемы Джет"

Мы привыкли доверять

Жертвами мошенников сегодня часто становятся целые организации, само же мошенничество может быть внутренним, внешним и клиентским. Таким образом, мошенниками могут оказаться сотрудники организации-жертвы, лица, не имеющие явных с ней связей, и ее собственные клиенты или контрагенты. А вот объект мошенничества все тот же - деньги (их всегда не хватает) и информация (иногда она дороже денег). Такой нематериальный ресурс, как репутация, для большинства организаций имеет особое значение, так как прямо влияет на стоимость и доходы компании. В условиях жесткой конкуренции она становится предметом купли-продажи, обладающим осязаемой стоимостью (особенно ее изменения в ту или иную сторону). Так чем это не цель для мстительного сотрудника, которого обидели, не оценили или два года подряд оставляли на дежурство в новогоднюю ночь?

Мы привыкли доверять своему окружению. Но средствами для причинения максимального ущерба часто обладает именно "ближний круг". Значит, благополучие компании зависит от исхода противостояния между лояльностью ее сотрудников и их мотивацией к совершению мошеннических действий. Таких историй множество. Например, у многих на слуху история Жерома Кервьеля, трейдера банка Societe Generale, который с 2005 г. стал торговать без ведома своего начальства. По словам Кервьеля, начиная незаконную торговлю, он стремился добиться лучших результатов и затем представить их руководству, намереваясь получить причитающиеся ему бонусы. Однако, по версии банка, трейдер за период несанкционированной торговли нанес банку ущерб в размере $8 млрд. В итоге ему было предъявлено обвинение по четырем пунктам, среди которых злоупотребление доверием и мошенничество.

Закону доверяй, а о контроле помни

Закон предусматривает уголовную ответственность за мошенничество. Для контроля внутренних сотрудников большинство организаций предпринимают самостоятельные шаги - организационные, заградительные, технические, информационные или комбинирующие различные системы и подходы. У всех на слуху понятия "двойной контроль" и "разделение знания". В случае с Жеромом Кервьелем оба этих принципа были нарушены.

Он был одновременно трейдером и администратором системы учета торгов. Это позволило ему получить доступ к фондам и длительное время скрывать убытки в тестовых учетных записях торговой системы. При правильно организованных процессах такая ситуация не возникает.

Телекоммуникационная сфера предоставляет столь же широкие возможности для мошенничества. Например, ощутимым риском для оператора является сговор его топ-менеджера с руководящим составом или владельцем другого оператора связи либо компанией, обеспечивающей подключение новых клиентов. Суть его может заключаться в предоставлении более выгодных условий работы партнера с оператором с целью получения завышенного вознаграждения за подключение новых клиентов. Такие манипуляции могут оформляться в дополнительном соглашении между сторонами или в виде отдельной маркетинговой акции. В итоге оператор выплачивает чрезмерно завышенное вознаграждение отдельному партнеру, который, в свою очередь, "не обижает" и дружественного ему топ-менеджера оператора. Эта схема, реализованная на практике, привела к потере прибыли одним из западноевропейских операторов более чем на $1 млн. Ее разоблачение стало возможным благодаря внедрению DLP-решения с установленными алгоритмами обнаружения фактов распространения конфиденциальной информации, сговора, а также антифрод-модуля, выявляющего экономическую аффилированность сотрудников оператора с партнерами и злоумышленниками.

Что учесть, чтобы не взорваться?

Отслеживание мошеннических схем требует контроля многих показателей: перемещение денег, товаров, временные задержки, активность внутренних сотрудников и др. Главная проблема такого контроля - лавинообразное увеличение объема данных для анализа. Наибольшую сложность представляет поиск среди них тех событий, которые идентифицируют мошенническую активность. Например, в компании 40 продавцов в одной смене, каждый обслуживает 300 клиентов в день. При этом только кассовых транзакций будет около 84 тыс. в неделю, не считая отказов и возвратов. Эффективно проанализировать эти данные вручную практически невозможно. Если же анализировать не только кассовые события, но и склад, счета и другие активности, то возникает ситуация, которую в математике называют "комбинаторным взрывом": с увеличением числа отслеживаемых фактов разного типа стоимость их совместного анализа увеличивается в геометрической прогрессии.

Перешагнув стадию индивидуального предпринимательства, бизнес обзаводится наемными работниками и управляющими - привилегированными пользователями, ежедневно решающими важнейшие задачи, обеспечивая доходность компании. Их сложно поймать за руку, если им придет в голову организовать собственный "микробизнес" прямо на рабочем месте, используя рабочее время или другие ресурсы компании для личного обогащения. Пресечение этой деятельности требует проведения дополнительных проверок, применения различных технических средств.

Необходимость контроля безопасности редко просчитывается заранее. В процессе роста или других изменений в компании могут образовываться не самые оптимальные с точки зрения прозрачности работы места. И разобраться в действующей системе, понять, все ли в ней работает, как задумано, - одна из самых сложных задач. Как правило, провоцирует проблемы нарушение принципов разделения знаний и полномочий. Их же претворяют в жизнь для увеличения безопасности процессов. На практике приходится сталкиваться со стандартными проблемами, требующими внимания и сил: сговорами сотрудников, объединением ключевых ответственностей разных ролей в одном сотруднике. Даже если конкретный сотрудник в такой ситуации ничего плохого не делает сейчас, кто знает, что будет завтра?

Клиенты часто ошибаются сами или становятся жертвами, а иногда осуществляют действия, нацеленные на получение дополнительной прибыли. Например, когда клиент использует формальные причины для отказа в оплате, воспользовавшись тем или иным пунктом договора. Не менее распространены и сценарии, связанные со сговорами сотрудника и клиента.

Источником проблемы может стать привлечение сторонних специалистов. Особенно если ими руководит нечистый на руку сотрудник компании. Есть примеры, когда при обслуживании финансовых систем специалисты вендора по заданию сотрудников компании открывали дополнительные привилегии или когда сервисные инженеры получали доступ к закрытой информации бесконтрольно, например при выполнении операций резервного копирования или разбора отказов систем. Это может привести к совершенно конкретным финансовым и репутационным потерям.

Привилегированные пользователи - под контролем, финансы - на учете

Объемы анализируемых данных, бесспорно, велики. Для их анализа существуют автоматизированные средства (коробочные или настраиваемые). Аналогичные средства существуют и для дополнительного контроля бизнес-процессов (за счет разделения полномочий и т.д.). Решения для контроля финансовых событий и привилегированных пользователей могут быть самыми разными. С точки зрения как специализации на какой-то одной или нескольких задачах, так и стоимости.

Для обеспечения сохранности денег, репутации или иного объекта мошенничества необходимы анализ существующих и перспективных рисков, подробный аудит текущей ситуации на должном уровне, чтобы честно представлять масштаб проблем. Для этого необходимо найти вариант контроля, средства аудита и автоматизировать реакции на проблемы, воспользоваться каким-то готовым решением или заказать доводку мощного комплекса под индивидуальные потребности организации. Удачным решением может стать комплекс для увеличения удобства, скорости работы, глубины анализа и т.п., состоящий из нескольких продуктов.

Для контроля администраторов, в свою очередь, можно использовать встроенные системные средства аудита и управления правами. Они в той или иной мере применяются всеми, но требуют значительного уровня подготовки собственной команды и времени на разработку и доводку. Для предотвращения несанкционированного доступа к системам и данным существуют системы-надстройки, обеспечивающие дополнительный ролевой доступ и безопасное хранение данных.

Часто достаточно только отслеживания активности и изменения в части ключевых информационных систем. Для их обслуживания обычно приходится привлекать внешних специалистов из компаний-партнеров или системных интеграторов, в том числе удаленно. Для обеспечения комфортного уровня безопасности в таких сценариях встроенных средств недостаточно и необходимо освоение систем класса "шлюзы доступа администраторов". Они обычно коробочные, легко внедряются и обеспечивают дополнительные средства контроля, ориентированные именно на сценарии работы администраторов и доступа к ключевым системам.

Регулярный контроль привилегий требует использования средств, описывающих их в терминах бизнес-процессов и ролей. Характерными примерами являются системы ЮМ, обеспечивающие контроль существующих привилегий пользователей, позволяющих соотнести привилегии в информационных системах и должностные обязанности, а также поддерживающие уровень доступа в соответствии с бизнес-процессами в фоновом режиме.

Но решить все проблемы одним средством не получится. Задачи отдельно взятого предприятия могут выходить за рамки фантазии любого разработчика средств защиты. Сложность современных бизнес-отношений приводит к тому, что для обеспечения целостной защиты требуется применение комплексных решений, связывающих несколько разных средств, каждое из которых закрывает только часть рисков. Примером таких решений может стать интеграция средств DLP и средств удаленной работы, интеграция шлюзов доступа администраторов и средств защиты баз данных. В зависимости от актуального профиля рисков набор необходимых решений может изменяться, и придется осилить технические сложности в их совместном использовании.