Календарь мероприятий
ноябрь 2024
Пн |
Вт |
Ср |
Чт |
Пт |
Сб |
Вс |
| | | | 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 | 11 | 12 | 13 | 14 | 15 | 16 | 17 | 18 | 19 | 20 | 21 | 22 | 23 | 24 | 25 | 26 | 27 | 28 | 29 | 30 | |
показать все
Новости партнеров
Обновление BI.ZONE Secure DNS: гибкая настройка фильтрации и максимальная скорость
Читать далее
RED Security: в октябре количество DDoS-атак на ТЭК выросло в 3 раза
Читать далее
Falcongaze представила новую версию DLP-системы — SecureTower 7 Helium
Читать далее
ИСП РАН покажет результаты 30-ти лет работы на Открытой конференции в Москве
Читать далее
Юбилейная конференция ЭОС: ЭОС: 30 лет лидерства на рынке автоматизации документооборота и обсуждение актуальных трендов
Читать далее
показать все
Статьи
Тандем технологий – драйвер инноваций.
Читать далее
ИИ: маршрут не построен, но уже проектируется
Читать далее
Глеб Шкрябин: «Надежные и масштабируемые системы — основа стабильной работы бизнеса в условиях больших нагрузок»
Читать далее
Елена Ситдикова: «На разработчиках программного обеспечения для транспорта лежит большая ответственность перед пассажирами»
Читать далее
Технологический ИИ-арсенал
Читать далее
Взгляд в перспективу: что будет двигать отрасль информационной безопасности
Читать далее
5 способов повысить безопасность электронной подписи
Читать далее
Как искусственный интеллект изменит экономику
Читать далее
Неочевидный САПР: выход ПО за рамки конструкторской деятельности
Читать далее
Скоро некому будет делать сайты и заниматься версткой
Читать далее
показать все
|
Как нас обворовывают? Внутренние мошенничества, и как с ними бороться
Главная /
Архив номеров / 2013 / Выпуск №1 (24) / Как нас обворовывают? Внутренние мошенничества, и как с ними бороться
Рубрика:
Тема номера /
Технологии безопасности
Facebook
Мой мир
Вконтакте
Одноклассники
Google+
Андрей Бирюков, специалист по информационной безопасности. Работает в крупном системном интеграторе. Занимается внедрением решений по защите корпоративных ресурсов
Как нас обворовывают? Внутренние мошенничества, и как с ними бороться
Эффективно защищаясь от внешних угроз, многие предприятия часто забывают о внутренних рисках. Поговорим о мошенничестве сотрудников компаний
Если взглянуть на офис среднестатистической компании с точки зрения безопасности, то, как правило, все выглядит не совсем плохо: охрана на входе, камеры наблюдения, карты доступа и многое другое. Все средства защиты, так илииначе, ориентированы на предотвращение противоправных действий внешнего нарушителя. Аналогично, если взглянуть на ИТ-инфраструктуру – межсетевые экраны, антивирусы, антиспам, система предотвращения вторжений также направлены на борьбу с угрозой, пришедшей извне.
Но так ли благонадежны сотрудники, уже работающие в компании? Многие из них в силу своих профессиональных обязанностей имеют доступ к различным материальным ценностям (товары на складе, топливо на АЗС и так далее). И если просто вынести (то есть украсть) их довольно сложно благодаря действенным мерам физической охраны, то получить выгоду с помощью мошенничества вполне возможно.
В этой статье я рассмотрю основные виды мошеннических схем для различных отраслей, используемых работниками компаний. Как можно с помощью организационно-технических средств вести мониторинг и предотвращать злонамеренные действия? Сразу хочу оговориться. В статье приведены именно обманные схемы, с помощью которых осуществляется хищение средств предприятия. Банальный вынос с территории компании каких-либо ценностей не будем рассматривать, так как это задача сотрудников охраны.
Масштаб бедствия
Многие организации крайне мало уделяют внимания борьбе с внутренними мошенничествами. Такое пренебрежительное отношение руководители мотивируют тем, что у них нечего красть. Между тем подавляющая часть предприятий, независимо от организационной формы, несет огромные убытки, напрямую связанные с нечестностью собственного персонала. Становится ли это ясно сразу после совершения противоправных действий или после банкротства фирмычерез пару лет, зависит, как правило, только от «профессионализма» мошенников, примененного к конкретной ситуации.
Расследование внутренних мошенничеств – задача довольно сложная, требующая не только высокой квалификации от специалистов, ведущих расследование, но и определенных юридических полномочий, которые отсутствуют у частных охранных структур и есть только у правоохранительных органов.
Зачастую руководители фирм обращались за содействием тогда, когда по факту огромных денежных либо материальных потерь впору было возбуждать уголовное дело.
Основная задача службы безопасности – предотвращение убытков и умение решить все вопросы внутри фирмы. Мало кто из представителей бизнеса захочет, чтобы такие проблемы стали известны партнерам, конкурентам или прессе. Речь идет не о мошенничестве, характеризующемся строкой из Уголовного кодекса, а о любых действиях сотрудников фирмы, направленных, как правило, на личное обогащение и совершаемых с использованием должностного положения.
Обычно расследование начинается тогда, когда службе безопасности (СБ) или руководству уже стало известно нечто. А что же делать до этого неприятного момента? Как предотвратить мошенничество? Попробуем понять мотивы потенциальных нарушителей.
Основные мотивы
Прежде чем предупреждать явление, надо разобраться в причинах, по которым оно совершается, и в способах его реализации. Конечно, можно совсем избавиться от мошенничества, удалив субъекты (сотрудников) или объекты (ценности),что вряд ли удастся.
Итак, причины совершения мошенничества:
- Личностные:
- финансовые трудности сотрудника, которые могут быть обусловлены жадностью, долгами, воздействием членов семьи, пристрастием к наркотикам, алкоголю, азартным играм;
- проблемы коммуникаций на работе, т.е. сведение счетов с начальством, личностная и профессиональная переоценка, отношения в коллективе.
- Внешние – как результат воздействия со стороны криминальных и конкурентных структур, а также, как это ни странно, и правоохранительных органов с вытекающими отсюда последствиями.
Как видно, при такой мотивации потенциальный мошенник может совершить серьезное преступление, например, хищение. При этом у СБ не так много способов повлиять на такого сотрудника: можно попытаться усилить контроль за нимили просто уволить.
Однако привлечь к ответственности может оказаться совсем не просто, так как это требует сбора доказательств и серьезной работы юристов.
Теперь разберемся с возможностями совершения мошенничества. Предлагаю различать следующие группы:
- Отсутствие контрольных мер (учета, ревизий, инвентаризаций) и/или аудиторских проверок либо построение технологических процессов таким образом, что контроль затрудняется или становится невозможен.
- Управленческие (равнодушие, некомпетентность начальства) или коммуникативные (отношение коллектива к фактам обмана и пр.) проблемы.
Объединив все вышеперечисленные предпосылки совершения мошенничества в две категории и у нас получится:
- Отсутствие или несоответствующий уровень лояльности персонала.
- Отсутствие или несоответствующий уровень контрольных мер.
Конечно, тотальным контролем можно «перебить» лояльность, но тогда вас ожидает перманентная текучесть кадров, что вряд ли кого-нибудь устроит.
Итак, для предотвращения мошенничества служба безопасности должна проводить определенные мероприятия (для небольшой СБ) или внедрять в жизнедеятельность компании программы (для крупной СБ), целями которых является устранение причин и возможностей, перечисленных выше.
Мошеннические схемы
Для каждой отрасли существуют свои способы обмана сотрудниками своего работодателя. Но есть также и общие принципы, которые используются мошенниками.
Прежде всего стоит отметить, что практически всегда имеется сговор между сотрудником компании и посторонним лицом. При этом данный персонаж, как правило, выступает в роли исполнителя, фактически осуществляющего хищение ценностей, в том время как инсайдер лишь предпринимает некоторые малозаметные действия (или бездействие) для его осуществления. Перейдем к практическим примерам.
Контрольные закупки
Начнем с ритейла. Все мы каждый день видим в магазинах охранников, которые следят за тем, чтобы покупатели не пытались выносить неоплаченные товары из торгового зала. Однако в общем объеме хищений в ритейловом секторе доля выноса из торгового зала не превышает десяти процентов. А все остальное – это как раз мошеннические схемы.
Итак, у нас есть кассир или сотрудник торговой компании, обладающий правами на изменение стоимости позиций в базе товаров. И есть его сообщник – сторонний покупатель. Этот сторонний персонаж производит покупку товара, допустим, плазменной панели по цене 50 000 рублей, затем инсайдер меняет стоимость данного товара, к примеру, на 70 000, а пособник производит возврат панели, получая назад уже 70 000. Далее инсайдер меняет стоимость в базе напрежние 50 000. Прибыль преступников: 70 000 - 50 000 = 20 000. При этом недостачи на складе нет, все товары на месте.
Другой пример. Пособник покупает товар со скидкой, допустим, во время акции. А при возврате получает назад полную стоимость товара. Обычно во всех магазинах предупреждают, что товары, купленные со скидками, возврату неподлежат. Но у нас же есть инсайдер, с помощью которого мошенник сможет без труда вернуть товар по полной цене.
И, наконец, третий пример. Все мы видели объявления типа «Быстрокредит за 15 минут без залога и поручителей». Как работает данная схема? Здесь инсайдеру уже не потребуется ничего менять в базе товаров, у него будет другая задача. Заемщик обращается к пособнику инсайдера, и тот помогает своей жертве оформить покупку некоторого дорогого товара в кредит. Затем пособник с помощью инсайдера возвращает дорогой товар обратно в магазин. Что в результате? Если заемщик хотел получить в кредит 200 000 рублей, то ему пришлось «приобрести» более дорогой товар, например, за 300 000, и теперь придется возвращать кредит по «грабительским» процентам.
А все риски по возврату кредита, сам того не зная, возьмет на себя банк, который кредитует покупки в данном магазине. Ну а злоумышленники опять в хорошем плюсе.
Конечно, по идее все эти схемы должны легко вычисляться при проведении аудитов, но, как уже упоминалось, в каждый момент времени соотношение проданных товаров и вырученных средств соответствует друг другу. Поэтому напрактике в крупной торговой сети обнаружить даже такие простые мошенничества не так просто. Что же говорить о более сложных схемах, которые постоянно совершенствуют злоумышленники!
Бензин из воздуха
Наши граждане давно научились зарабатывать деньги на командировках. Например, человек едет в плацкартном вагоне, а по прибытии берет у проводника купейного вагона использованный билет и его предъявляет для отчетности вбухгалтерии. Разницу между стоимостью купейного и плацкартного билетов гражданин берет себе. Для борьбы с этим организации стали покупать билеты за безналичный расчет.
Для представителей профессий, связанных с управлением автомобилем, приобретать топливо за безналичный расчет довольно сложно. Соответственно нечистоплотные сотрудники могут предъявить к оплате чеки на большие суммы, чем те, что они потратили на самом деле. Проверка километража вряд ли будет эффективна, так как всегда можно сказать, что много «нажег» в пробке. Для борьбы с такими мошенничествами придумали топливные карты. По сути, это и есть безналичный расчет при оплате за бензин. Считается, что при их использовании водитель не имеет дел с наличностью и организации легче контролировать его расходы. Но изобретательные злоумышленники и здесь придумали схемы обмана. Хотя существуют различные системы контроля расходов водителей, например, с помощью GPS, но далеко не каждая компания готова тратиться на такие средства ввиду дороговизны их обслуживания.
Итак, имеется сговор сотрудника АЗС и стороннего лица, выступающего в роли покупателя. Покупатель оплачивает по карте 200 литров топлива, а по факту получает 150. Деньги за оставшиеся 50 литров оператор АЗС берет из кассы.
Другой вариант: покупатель получает 200 литров, а по карте оплачивает только 150. Оставшиеся 50 покупает третье лицо. Возможны также манипуляции с текущей стоимостью литра топлива.
По идее у оператора АЗС должна возникнуть разница в размере все тех же 50 литров.
Но злоумышленник может без труда компенсировать ее за счет других покупателей. Если данный оператор провел фальшивую продажу в начале своей смены, то у него есть порядка восьми часов на то, чтобы скрыть недостачу. При большом числе заправляющихся машин сделать это не составит большого труда. Потенциальными жертвами, которым недольют несколько оплаченных литров топлива, будут прежде всего те водители, которые просят залить полный бак.
В конце смены оператор АЗС сдает кассу. К этому времени объем проданного топлива должен соответствовать количеству полученных денег.
Для компаний, в которых используются два-три служебных автомобиля, понесенные убытки не особо критичны. А вот для небольших таксомоторных парков, развозчиков пиццы и других фирм, в которых расходы на обслуживание автотранспорта являются существенной статьей в бюджете, мошенничество с топливом может принести серьезный ущерб. И тот бюджетный вариант мониторинга мошенничеств, который будет рассматриваться дальше, для них вполне приемлем.
Телекоммуникационный фрод
Допустим, некоторая организация приобретает себе пул телефонных номеров, канал Е1 и доступ в Интернет. Ничего предосудительного пока нет. Однако у себя в офисе они разворачивают VoIP-АТС, допустим, на базе Asterisk и начинают предоставлять услуги международной телефонной связи. При этом реальные затраты сводятся к оплате городского номера и трафика Интернета.
Для продвижения своих услуг связи злоумышленники могут прибегнуть к биржам по продаже VoIP-трафика. Подобная дешевая и, как правило, низкокачественная связь (каналы не резиновые и оборудование АТС часто не слишком производительное) пользуется популярностью у граждан из ближнего зарубежья, желающих позвонить на родину.
Конечно, это не совсем хищение, а скорее упущенная выгода для телекоммуникационных компаний, так как услуги международной связи являются отдельной услугой и соответственно отдельной статьей доходов у провайдера. Для борьбы сэтим обычно вписывают необходимые пункты в договор с подключающейся к их услугам организацией.
В компании-провайдере должны быть специальные сотрудники, следящие за тем, чтобы «теневые» услуги связи не предоставлялись. В случае обнаружения контракт немедленно разрывается. Однако, если злоумышленники будут в сговоре ссотрудником оператора, «переговорный пункт» может просуществовать довольно долго.
Защитные меры
О мошеннических схемах в банках уже написано много статей, так как это отдельная тема. Кроме того, у меня уже была статья в БИТ [1], где описывались проблемы безопасности при дистанционном банковском обслуживании. Так чтотемы банков мы касаться не будем. Перейдем к защитным мерам. Их можно разделить на организационные и технические.
Организационные меры
Эффективная борьба с мошенничествами немыслима без реализации ряда организационных мер. Какими бы эффективными ни были технические меры, если любой человек может просто выдернуть сетевой кабель или отключить питание серверам безопасности, технические средства бесполезны.
Прежде всего нужно ограничить физический доступ на территорию предприятия. Посторонние не могут беспрепятственно перемещаться по офису, заходить в служебные помещения и т.д. Также и сотрудники, чьи служебные обязанности несвязаны, к примеру, с обслуживанием сетевого оборудования, не должны иметь доступ в серверную.
Далее в организации надо создать нетерпимое отношение к мошенничеству. До всех сотрудников необходимо довести, что мошенничество недопустимо ни в каком виде, и тот, кто будет в нем участвовать, не только лишится работы, но иможет быть привлечен к уголовной ответственности в соответствии с УК.
Работники должны понимать, что они находятся под постоянным контролем. Все действия сотрудников должны быть персонифицированы, то есть каждый обладает своей картой доступа, учетной записью, электронной подписью и т.д. Тогда он не сможет впоследствии отказаться от своих действий.
В крупных компаниях должна быть группа квалифицированных специалистов, осуществляющих борьбу с мошенничествами на постоянной основе. Недопустимо, когда данные задачи возлагаются на системных администраторов (в части технического мониторинга, о котором речь пойдет далее) или сотрудников службы физической безопасности.
Каждый обнаруженный инцидент должен быть тщательно проанализирован. На основании этих данных необходимо внести дополнительные правки и замечания в корпоративные политики безопасности. Процесс расследования инцидентов нужно четко выстроить. Результаты расследования инцидентов должны быть доведены до всех сотрудников компании.
Технические меры
На рынке имеется ряд специализированных решений по предотвращению мошенничеств (Anti-fraud), но все они довольно дороги, и, как правило, в них заложены западные модели рисков. Для России они не всегда приемлемы как попричине «серости» бухгалтерии, так и по причине различных приоритетов в ведении бизнеса.
Поэтому в качестве средства обнаружения мошенничеств я предлагаю использовать SIEM-решения. SIEM – Security Information and Event Management, система управления событиями информационной безопасности. Обычно SIEM используютдля технического мониторинга событий ИБ, то есть контроля неверного ввода паролей, сетевых атак, сканирования портов и других низкоуровневых задач. Однако они пригодны и для высокоуровневых задач, таких как борьба смошенничествами.
Для практической реализации задач мониторинга SIEM система должна уметь забирать из целевого бизнес-приложения, например, 1С, интересующие нас события.
Я не буду привязываться к какой-либо конкретной системе, общие принципы построения правил корреляции, описываемые далее, можно реализовать практически в любой современной SIEM-системе.
Защита для ритейла
Ранее я рассмотрел несколько мошеннических схем для магазинов. Теперь посмотрим, как можно проводить мониторинг и обнаружение подобных действий. Вся информация о товарах, ценах на них, скидках и других характеристиках находится в базе товаров. Как правило, это программное обеспечение «1С» или аналогичное. Мониторинг соответствия товаров на складе и полученных денежных средств проводится раз в сутки, а то и реже. Таким образом, узлоумышленников есть возможность проводить описанные выше махинации в интервалы между запросами к базе.
Для мониторинга мошенничеств необходимо, чтобы информация о каждом возврате товара передавалась в виде события в SIEM-систему. Также данное событие должно содержать, помимо сведений о возвращаемом товаре, еще и фамилию сотрудника, принимающего возврат.
Пример такой мошеннической операции представлен на рис. 1.
Рисунок 1. Пример информации в базах при мошенничестве
Как видно из рисунка, продавец aivanov производит продажу некоего товара за 15 000 рублей. Однако в тот же день производится его возврат за 29 999 тем же сотрудником. Основным признаком мошеннической схемы в данном примере,по которому должен создаваться инцидент, является разница между исходной ценой и возвратом.
Аналогично все события изменения стоимостей товара должны быть переданы в SIEM.
Очевидно, что для крупной торговой сети таких событий может оказаться слишком много, причем большинство возвратов будет вполне легальным. Расследовать каждый такой инцидент нет возможности. Для автоматизации расследования необходимо создать правила.
- Первое: если при трех возвратах товаров в течение недели товар принимал один и тот же сотрудник, то это инцидент.
- Второе: если происходит возврат товара, то необходимо сделать запрос к базе, изменилась ли цена товара с момента покупки на момент возврата. Если изменилась, то это инцидент.
- Третье: если при трех возвратах товаров в течение недели товар возвращал один и тот же покупатель, то это инцидент.
В процессе мониторинга количество правил станет меняться. Они будут адаптироваться под специфику данной компании.
Мониторинг топливных компаний
Здесь ситуация в общем схожая с ритейлом, но есть некоторые различия. Информация о продаваемом топливе есть в базе «1С». Но есть также информация в системе контроля фактического содержимого топлива в баках АЗС. Обычно выборка делается при закрытии смены оператором. В SIEM должна передаваться информация как из базы «1С», так и из второй системы. Причем обе системы должны сообщать события на регулярной основе, например, каждый час. Вслучае если различие между стоимостью и объемом превышает техническую погрешность (определяется опытным путем), должен создаваться инцидент.
Также необходимо следить за тем, какое топливо приобретается по одной карте. Если по одной именной карте покупают как дизельное топливо, так и АИ-95, то маловероятно, что один и тот же водитель ездит на двух машинах. Обратное должно оговариваться при приобретении топливной карты компанией для своих сотрудников.
Задачу контроля фактически осуществляет топливная компания, которая предоставляет своим клиентам, использующим карты для своих сотрудников, услугу по предотвращению мошенничеств с данным видом платежных средств.
Защита для телекома
Не будем касаться технических средств для определения несанкционированного терминирования VoIP-трафика. Вместо этого попробуем определить, предоставляет ли наш клиент подобные услуги.
Для продажи VoIP-трафика через Интернет существуют специальные биржи наподобие [2]. Необходимо на регулярной основе проводить мониторинг, фигурируют ли в системах продажи VoIP-трафика подсети, отдельные IP-адреса, номера AS ваши или предоставленные клиентам вашей компании. Также необходимо проверять, для каких целей используются пулы телефонных номеров, предоставленные вашим клиентам. Не присутствуют ли они в объявлениях попредоставлению международной связи? В случае обнаружения все это однозначный повод для создания инцидентов.
Подобный мониторинг можно вести с помощью различных скриптов, регулярных выражений и программ, которые ежедневно ведут поиск в Интернете интересующей информации.
Общие рекомендации
В статье я привел лишь несколько типовых примеров мошеннических схем и методов борьбы с ними. Думаю, общий принцип понятен. Во-первых, необходимо, чтобы приложения, в которых хранится и обрабатывается информация отоварах и активах, были как можно более «разговорчивыми». То есть они должны сообщать обо всех действиях с хранимыми в них сущностями. Изменение цен, добавление и удаление товаров, изменение количества – все это и многое другое должно журналироваться.
Для систем, построенных на базе «1С», включить журналирование необходимых событий не составляет особого труда. Компании – франчайзеры «1С» могут внести необходимые правки в исходный текст ПО с тем, чтобы нужные события записывались в журнал событий Windows или в текстовый файл.
Далее современные SIEM-системы позволяют отфильтровывать все лишние события, оставляя только то, что нужно, так что беспокоиться о нагрузке не стоит. На основании получаемой информации уже можно строить собственные корреляции событий и создавать инциденты.
***
В статье рассмотрены несколько простых примеров мошеннических схем и способы борьбы с ними посредством SIEM. Однако хотелось бы напомнить, что обеспечение информационной безопасности, в том числе и борьба смошенничествами, – это непрерывный процесс. Нельзя просто внедрить систему SIEM, написать несколько правил и на этом успокоиться. Нужно постоянно дорабатывать правила для того, чтобы они отвечали текущим угрозам безопасности.
К теме борьбы с мошенничествами мы будем еще неоднократно возвращаться, как на страницах БИТ и «Системного администратора», так и на различных мероприятиях.
В частности, 21 марта 2013 года пройдет Международный деловой форум «Киберпреступления. Предотвращение. Защита. Расследование», в котором я также планирую выступить с докладом, посвященным борьбе с кибермошенничеством. Так что обсуждение этой интереснейшей темы будет продолжено.
- Бирюков А. Безопасность интернет-банкинга. //Спецприложение «БИТ», №4, 2012 г. – С. 14-17 (http://bit.samag.ru/archive/article/1209).
- Биржа по обмену VoIP-трафика – http://www.voipexchange.ru.
- Материалы конференции Antifraud Russia.
- Статьи по внутренним мошенничествам – http://poteri.net/pubs/kadrovaya_bezopasnost/1996/ostorozhno_na_delo_idut_svoi_
ili_vnutrennee_moshennichestvo_na_predpriyatii.
В начало⇑
Facebook
Мой мир
Вконтакте
Одноклассники
Google+
Комментарии отсутствуют
Комментарии могут отставлять только зарегистрированные пользователи
|
Вакансии на сайте Jooble
|