|
|
Обзор подготовлен
При поддержке
Как ни печально, но случаи несанкционированного доступа к конфиденциальной информации происходят сегодня с завидной регулярностью во многих финансовых организациях. Как показывает практика, существует три основных способа обнаружить инсайдера в банке: случайно, благодаря внутреннему аудиту, либо с помощью внешней компании.
История Жерома Кервьеля, трейдера французского банка Societe Generale, будоражит умы мировой общественности с начала нынешнего года. Напомним, что 31-летний трейдер умудрился разорить своего работодателя на астрономическую сумму в 5 млрд евро.
Как показало следствие, свою противозаконную деятельность трейдер начал в июле 2005 г. после громкого террористического акта в Лондоне. Кервьель вовремя среагировал на ситуацию, угадав серьезное падение акций страховой компании Allianz, благодаря чему банк заработал 500 тыс. евро. В течение двух лет Жером продолжал наращивать объемы оборачиваемых им средств, и к середине 2007 года под его управлением крутились уже миллиарды евро.
На вопрос, каким образом обычный трейдер получил доступ к стратегическим активам крупнейшего банка, не могут ответить даже представители Societe Generale. Очевидно, что в банке существует служба безопасности, призванная отслеживать случаи несанкционированного доступа к миллиардным счетам. По словам самого Кервьеля, он подглядывал пароли и подделывал документы, однако вряд ли он сумел бы скрывать свою деятельность в течение двух лет. Сегодня уже почти очевидно, что о действиях Кервьеля знало руководство Societe Generale, а сам трейдер является всего лишь исполнителем грандиозной аферы. Остается только гадать, кто в конечном итоге должен нести ответственность за потери Societe Generale.
Случаи несанкционированного доступа к конфиденциальной информации происходят с завидной регулярностью во многих современных финансовых организациях. Самый свежий пример - действия сотрудника банка LGT Хайнриха Кибера, который продал всю клиентскую базу своего работодателя немецким спецслужбам, поставив банковскую систему Лихтенштейна перед угрозой краха.
Масштаб большинства инцидентов, конечно, не дотягивает до "дел Кервьеля и Кибера", и вряд ли эти инциденты способны привлечь широкое внимание прессы. Зачастую преступления просто замалчиваются, чтобы не нанести большого ущерба репутации компании.
Самое печальное в осознании того факта, что главная опасность исходит изнутри компании. В отличие от материального производства, где ущерб от одной вынесенной детали ничтожен, действия преступников, связанные с утечками информации, может обернуться компании в весьма кругленькую сумму. Инсайд и воровство корпоративных активов давно являются одной из основных проблем инвесторов. С развитием информационных технологий, их головная боль только усилилась.
По данным отчета "Global Economic Crime Survey 2007" компании PricewaterhouseCoopers (PwC), российский рынок лидирует по количеству внутренних экономических преступлений. Более половины (59%) отечественных компаний хотя бы раз столкнулись с инсайдерами за последние два года. В половине случаев мошенниками оказывались топ-менеджеры, а средний ущерб от одного инсайдера составил 12,8 млн долларов.
Количество компаний, испытавших хотя бы один инсайдерский инцидент за последние два года в России
Источники: PwC, Perimetrix, 2007
Количество внутренних экономических преступлений в России выросло на 10% по сравнению с показателями двухлетней давности. Отметим, что "российские" 59% значительно выше европейских и общемировых показателей, составивших 50% и 43% соответственно.
Почему количество преступлений растет? По мнению специалистов "Метробанка", за последние годы заметно увеличилась прозрачность российского бизнеса. Как следствие, растет количество выявленных преступлений, все большее число компаний решаются на их огласку.
"Данная тенденция особенно хорошо просматривается в кредитных организациях, - говорит Павел Гениевский, исполнительный директор "Метробанка", - и этому есть несколько объяснений. К банкам предъявляются достаточно жесткие требования со стороны регулятора. Кроме того, акционеры не хотят терпеть огромные убытки из-за ошибок и злоупотреблений персонала. Выявлением и предотвращением нарушений занимаются служба внутреннего контроля (СВК) и служба информационной безопасности (ИБ).
Благодаря этим подразделениям общее количество инцидентов значительно меньше, чем могло бы быть. Многие потенциальные преступления, и не только в области ИБ, удается обнаружить и исключить уже на стадии зарождения".
Таким образом, с дальнейшим ростом прозрачности компаний будет расти и количество зафиксированных преступлений. Однако даже нынешние показатели выглядят устрашающе – ведь средний ущерб от одного инцидента измеряется в десятках миллионов долларов. Эта сумма складывается из прямых убытков, а также из так называемых "косвенных" потерь. Среди них - падение репутации, затраты на выявление мошенников, судебные разбирательства с собственными сотрудниками и клиентами. По информации PwC, около 67% российских компаний, пострадавших от инсайдерских преступлений, понесли не только прямой, но и косвенный ущерб. Добавим, что большинство мер, которые предпринимаются в отношении мошенников, носят несоизмеримый с ущербом характер.
В каких компаниях чаще всего наблюдаются преступления? Логично предположить, что их количество напрямую зависит от масштаба предприятия. Значительная доля организаций, сообщивших о мошенничестве внутри, имеет в своем штате более 5 тыс. сотрудников. Однако это, конечно, не означает, что малые компании не подвержены риску внутреннего мошенничества.
Зависимость количества внутренних преступлений от штата компании
Источники: PwC, Perimetrix, 2007
Существует сразу несколько причин такого распределения. Чем больше сотрудников работает в компании - тем больше вероятность того, что кто-то из них окажется недобросовестным. При увеличении количества персонала развивается и ИТ-инфраструктура компании, в которой автоматически появляются лазейки. Третий фактор – крупная компания обладает большими активами, нежели средняя и малая, а значит - у сотрудников есть больший соблазн заполучить часть из них.
У полученного распределения преступлений имеется и отраслевая специфика. По данным аналитического центра компании Perimetrix, чаще всего инциденты происходят в финансовой сфере, поскольку именно финансовые компании работают непосредственно с денежными потоками. Кроме того, банки имеют сложную ИТ-инфраструктуру, в которой, с одной стороны, всегда можно найти "дыру", а с другой – эта "дыра" вполне может остаться незамеченной.
Впрочем, экономические преступления можно увидеть и в организациях других отраслей. Особенно хорошо это заметно в российских регионах – во многих региональных компаниях руководители воруют "по умолчанию".
Согласно данным опроса, почти половина всех внутренних экономических преступлений произошли по инициативе топ-менеджеров компаний, а заказчиками, как правило, выступали прямые конкуренты. Очевидно, что именно руководитель знает узкие места в структуре организации и имеет доступ к самой секретной документации. В руках топ-менеджеров имеются все инструменты, позволяющие замаскировать действия таким образом, чтобы подозрение падало совсем на других лиц. Как правило, на рядовых исполнителей.
По информации PwC, 41% преступников являются руководителями высшего звена. Подобная картина наблюдается и в странах Восточной Европы, где количество инсайдерских преступлений со стороны топ-менеджеров составляет 38%.
Зависимость количества преступлений от занимаемой должности
Источники: PwC, Perimetrix, 2007
"Большое количество финансовых преступлений, приписываемых высшему руководству, следует объяснить не собственно нарушениями, а потенциальной возможностью совершить злодеяние, - считает Павел Гениевский. - Обычно человек из Правления вхож всюду или имеет доступ ко всем конфиденциальным документам, ко всем функциям автоматизированной банковской системы. Однако это неправильный подход. Завладев паролем руководителя, недоброжелатель действительно способен совершить ряд преступлений под чужой учетной записью. Задача ИТ и ИБ-специалистов заключается в том, чтобы грамотно настроить права менеджеров и не выдавать не нужные привилегии".
В дальнейшем специалисты PwC привели портрет наиболее типичного инсайдера. Им оказался мужчина, в возрасте от 30 до 40 лет, имеющий высшее образование и занимающий руководящую должность более двух лет. Согласитесь, под данное описание хорошо подходит и уже упомянутый Жером Кервьель. Конечно, Кервьель не являлся топ-менеджером, однако, скорее всего, без "помощи" руководителей банка здесь дело не обошлось.
Согласно данным опроса, наиболее частым преступлением является присвоение активов компании – 43% случаев попадают именно в эту категорию. Такое положение вещей вполне объяснимо, поскольку именно этот тип преступлений направлен на личное обогащение мошенника. Воровство по-прежнему остается главной проблемой российского бизнеса, и эта проблема вряд ли исчезнет в будущем.
Типы инсайдерских преступлений
Источники: PwC, Perimetrix, 2007
Другими популярными видами незаконных деяний являются нарушения прав интеллектуальной собственности (читай – инсайдерский слив информации), а также искажение данных отчетности (28% и 18% соответственно). По оценкам экспертов Perimetrix, компании теряют около 2% своего оборота из-за этих видов внутренних преступлений.
В остальных странах наблюдается практически аналогичное распределение по типам инцидентов. Основное отличие состоит в количестве – в России происходит значительно больше преступлений.
Как же бороться с уже случившимися и готовящимися преступлениями внутри компании? Для начала их необходимо выявить. Как показывает практика, существует три основных способа обнаружить инсайдера: случайно, благодаря внутреннему аудиту, либо с помощью внешней компании.
Легко увидеть, что современные компании предпочитают искать инсайдеров самостоятельно, с помощью аудиторских проверок (20%), либо корпоративной службы безопасности (28%). По сравнению с 2005 годом, популярность механизмов внутреннего контроля выросла практически в 5 (!) раз - с 9% до 48%. А вот популярность внешнего аудита, напротив, неуклонно падает.
По-видимому, данная тенденция объясняется растущим вниманием компаний к проблеме внутренних экономических преступлений. Организации усиливают службу безопасности, внедряют информационные системы защиты, регулярно проводят внутренний аудит. Как следствие, количество случайно выявленных преступлений значительно упало – теперь их доля составляет 21%. Два года назад случайно "всплывали" 35% случаев мошенничества.
Методы выявления фактов мошенничества
Источники: PwC, Perimetrix, 2007
Отметим, что большинство мер защиты по-прежнему имеют "реактивный" характер. Служба безопасности стремится обнаружить инсайдера, а не предотвратить ее появление заранее. Профилактическая работа, как правило, ведется лишь задним числом – заявляя о громких инсайдерских случаях, СБ пугает недобросовестных сотрудников.
Эксперты Perimetrix полагают, что в будущем будет расти популярность "проактивных" мер. Организациям надоело полагаться на авось и ждать, пока грянет инсайдерский гром, - считают они. – Проще перекреститься заранее. Благо, сегодня существуют достаточно качественные продукты, которые снижают вероятность утечки проприетарных данных и прочих инсайдерских преступлений".
Сергей Ершов