Информационная безопасность как сервис

Внутренние мошенничества

15.06.2015

«Величайший враг спрячется там, где вы меньше всего будете искать его»
Юлий Цезарь, 75 г. до н. э.

Внутреннее мошенничество есть в каждой компании – это аксиома.

Размер фрода (англ. fraud –мошенничество, обман) может быть разным по объемам в зависимости от размера компании и качества выстроенных внутренних процессов.

Какие бы ни были условия работы в компании, если выстроенные процессы порождают возможности безнаказанного осуществления мошеннических действий, всегда найдутся сотрудники, которые их будут использовать. В основном эксплуатируется человеческий фактор (взять, что плохо лежит) и чувство безнаказанности (отсутствие средств контроля и способов сбора доказательной базы при выявлении подобных случаев). Мошеннические действия могут распространяться как на материальные ценности, так и на информационные активы компании. Первая часть составляет отдельную специфику и решается посредством организации эффективной физической защиты. Что касается информационных активов компании и конфиденциальной информации, то это направление наиболее уязвимо и требует особого внимания.

Ситуации, предшествующие мошенническим действиям, могут быть различны. Сотрудника может побудить обычная обида на своего начальника или желание поживиться за счет работодателя. В конце концов, сотрудник может просто стать жертвой социальной инженерии и совершить действия в интересах третьей стороны.

По причине того, что большинство сотрудников компании обычно имеют доступ к критичной для бизнеса информации, а некоторые даже могут совершать финансовые операции от имени своего работодателя, существует правило «четырех глаз» - совершение критичной операции одним сотрудником не может быть осуществлено без контроля со стороны другого сотрудника. Рекомендации по использованию данного правила приведены в различных международных стандартах по информационной безопасности (в том числе серия ISO 27000). К сожалению, невозможно отследить и проконтролировать все критичные операции, иначе компании пришлось бы держать в штате почти в два раза больше специалистов. К тому же есть операции, которые являются обычными для сотрудников с точки зрения их должностных обязанностей, но при этом порождают определенные риски для компании (репутационные, косвенно финансовые).

У работодателя должны быть легитимные инструменты контроля и мониторинга за действиями своих сотрудников, иначе работодатель может нарушить закон. Логично, что нужны средства автоматизации, которые бы позволяли собирать информацию с максимально возможного количества источников. При этом доступ к данной информации должен предоставляться только сотрудникам безопасности в случае совершения противоправных действий.

На рынке представлено множество DLP (Data loss Prevention) и DLD (Data leakage detection) систем, каждая из которых в той или иной степени решает поставленные задачи. Важными критериями при выборе системы являются охват возможных каналов утечки и смысловая нагрузка (информативность) собираемой информации.

К сожалению, даже самая эффективная, полнофункциональная система на сегодняшний день не сможет помочь в предотвращении и расследовании случаев внутреннего мошенничества, если лица, использующие её, имеют недостаточные компетенции и опыт.

Мало просто детектировать подозрительную сработку на консоли средства защиты, недостаточным будет и просмотр сообщений из разных дополнительных систем. Нужна кропотливая и качественная работа для проведения аналитики, выявления закономерностей и причинно-следственных связей. К тому же с точки зрения классификации событий информационной безопасности, различаются инциденты и преступления. Когда мы говорим про мошеннические действия, то в основном речь идет именно о преступлениях, подпадающих под диспозицию Уголовного кодекса РФ. По этой причине для того чтобы доказательная база была легитимной и могла иметь вес в суде, её нужно правильно собрать и подготовить.

Если резюмировать, то компания, которая заботится о безопасности своих финансовых и информационных активов, должна иметь не только зрелые внутренние процессы с корректной внедренной системой DLP/DLD, но и иметь в штате высококвалифицированных специалистов. Такой комплексный подход – это большая редкость по причине его высокой стоимости. Обычно компании ограничиваются либо организационными мероприятиями, выстраивая четкие и прозрачные процессы внутри, либо техническими, внедряя DLP/DLD и привлекая, в случае сработок, экспертов из сторонних организаций. Естественно, эффективность при этом снижается, и компании несут огромные убытки от действий внутренних мошенников.

Оптимальным выбором «цены/качества» может являться аутсорсинг процессов по обеспечению мониторинга, выявлению и расследованию инцидентов информационной безопасности. В этом случае привлекается компания, которая предлагает свой опыт, компетенции и целевые системы (в качестве инструментария) для того, чтобы:

  • выстроить «правильные» сопровождающие процессы внутри компании;

  • внедрить средства мониторинга и защиты информационных активов;

  • организовать систему мониторинга и реагирования на инциденты информационной безопасности (в том числе и расследование).

Преимущества использования аутсорсинговой компании:
Объективность
  • Подчинение непосредственно руководителю Заказчика.

  • Беспристрастное выполнение служебных обязанностей сотрудниками компании-аутсорсера. Например, сотрудники ГК Инфосекьюрити регулярно проходят комплексное тестирование на лояльность (в том числе полиграф).

  • Аутсорсер – внешнее подразделение, поэтому возможность сговора с сотрудниками внутри компании сводится к минимуму.

Эффективность работы
  • По причине того, что поставщик услуг имеет большой опыт и навыки, он с легкостью адаптируется под любую инфраструктуру и любые задачи.

  • По причине того, что поставщик услуг имеет долгую историю оказания услуг, он имеет отточенные процессы обеспечения ИБ, которые эффективны в большинстве финансовых организаций без корректировки.

Легитимность действий
  • Поставщик услуг защищает права сотрудника и права работодателя-заказчика, проводя тонкую грань между конституционными правами и правами собственника на защиту своих активов.

  • Поставщик услуг может предоставить информацию и аргументировать свою позицию регуляторам или третьей (проверяющей) стороне.

Какой выбрать подход – самостоятельное решение каждой компании, которое будет зависеть от ее целей и приоритетов.

Отправить заявку
Вы не представились
некорректный адрес
поле не заполнено