Распечатать

Безопасность бизнеса сегодня: угроза мошенничества

Ibusiness

Комментарии Владимира Дрожжина, директора дивизиона систем безопасности «Энвижн Груп» в статье «Безопасность бизнеса сегодня: угроза мошенничества»

29 ноября 2013


Обеспечение безопасности бизнеса является неотъемлемой частью деятельности компании. Состояние безопасности представляет собой умение и способность компании надежно противостоять любым попыткам нанести ущерб её законным интересам. Объекты обеспечения безопасности – это бизнес-процессы; руководство и персонал; финансовые средства; материальные ценности; технологии; информационные ресурсы; репутация компании и иные объекты.

«Действительно, уязвимости в информационной безопасности (ИБ) могут привести к серьезным потерям, и с точки зрения финансов, и с точки зрения репутации, — говорит Михаил Башлыков, руководитель направления информационной безопасности компании КРОК. — Понимание этого на российском рынке растет, а вместе с ним растет и спрос на ИБ решения. Например, в КРОК за 2012 год направление информационной безопасности выросло почти на 40%.

Но далеко не все организации осознают, что наибольшую угрозу несут именно инсайдерские действия, например, за утечку конфиденциальной информации по аналитическим данным в 70% случаев ответственны именно внутренние пользователи.

Поэтому чтобы обезопасить себя со всех сторон, важно комплексно подойти к этой задаче — провести аудит инфраструктуры, выявить активы, которые нужно защищать в первую очередь, создать карту рисков. И, исходя из результатов аудита, уже внедрять те или иные решения, будь то системы управления мобильными устройствами, DLP или IRM».

Любая организация может стать жертвой мошенничества.

Отсутствие контроля за рисками может привести компанию к потери финансов, репутации, остановке деятельности.

«Главный принцип состоит в том, что если информация потенциально может быть конвертирована в деньги, ее попытаются украсть, — говорит Всеволод Иванов, исполнительный директор компании InfoWatch, — поэтому она нуждается в защите. Внутреннее мошенничество в банках, как правило, связано с кражей клиентских данных. Аналитический центр InfoWatch провел исследование, согласно которому 92% опрошенных сотрудников отделов продаж и менеджеров по работе с клиентами считают базу данных клиентов компании своей личной собственностью. Это означает, что если такого сотрудника увольняют или он сам решил сменить работу, то он заберет с собой эту базу. Зная условия кредитования того или иного клиента, переманить его в другой банк, предложив чуть лучшие условия, уже не составляет труда. Эта схема работает как в отношении физических лиц, так и в отношении корпоративных клиентов. Так утечка базы данных конвертируется в прямые финансовые убытки для банка».

По данным «Коммерсанта», более 25% всех мошеннических операций по картам приходится на «дружеский фрод» — когда клиент банка совершает покупку через Интернет за счет собственной карты, а затем требует возмещения от банка. Кстати, в прошлом году Россия вышла на первое место в Европе по темпам роста мошеннических операций с банковскими картами. По сравнению с предыдущим периодом рост составил 35 процентов (по данным компании FICO).

Согласно исследованию компании PayU, пятерку самых привлекательных для мошенников сайтов возглавляют сервисы по продаже авиабилетов. Следующее место занимают системы электронных денег, далее находятся сервисы для пополнения счетов мобильных телефонов, платные онлайн-игры, а также сайты компаний, предоставляющих хостинговые услуги.

Подтверждают это результаты опроса жертв банковского онлайн-мошенничества, проведенного «Лабораторией Касперского». 33% сообщили, что деньги были похищены через платежные системы, 17% сказали, что мошенники украли деньги через интернет-банкинг, а 13% заявили, что их денежные средства были похищены через интернет-магазины. Характерно, что порядка 42% опрошенных уверены, что банки должны бесплатно предоставлять инструменты, позволяющие обезопасить счет клиента. Также в отчете отмечают, что из-за отсутствия резервных копий данных потеря информации обойдется клиенту в 418 долларов. Китайские и российские пользователи реже остальных делают резервное копирование, а информация, хранящаяся на их компьютерах, оценивается в 800 долларов и выше.

Операторы сотовой связи по всему миру несут ежегодные потери на сумму около $25 млрд., а согласно отчетам МГТС, только в Москве ущерб от мошенничества сфере связи составляет около $100 – 200 тыс. в год, и это с учетом того, что многие такой информации не раскрывают.

Существует пять основных принципов построения эффективной системы защиты от мошенничества, по мнению независимого эксперта Дмитрия Кострова:

Принцип 1. В системе управления организацией должна быть разработана программа управления уровнем мошенничества, включающая в себя специальную политику (документ), отражающую требования совета директоров и высших топ-менеджеров в части снижения уровня фрода.

Принцип 2. В каждой компании риск фрода должен периодически проверяться (оцениваться) для идентификации специальных потенциальных схем и событий с целью его снижения до приемлемого уровня.

Принцип 3. Технические приемы предотвращения (снижения) риска мошенничества должны быть внедрены, где это возможно.

Принцип 4. Технические приемы выявления риска мошенничества должны быть внедрены для нахождения новых схем (методик) фрода, когда превентивные меры не оправдывают себя или когда выявлен риск мошенничества, уровень которого нельзя снизить.

Принцип 5. Процесс подготовки периодических отчетов должен быть включен в карту бизнес-процессов организации для оценки уровня существующего фрода. Отчетность помогает координировать методы расследования и корректирующие действия с целью снижения уровня риска фрода должным образом в соответствующее время.

«Среди наиболее подверженных фроду организаций — финансовые, страховые, телекоммуникационные и ритейловые компании. В их операционной деятельности ИТ играют большую роль, — комментирует Михаил Башлыков. — Например, для борьбы с фродом в банковской деятельности важно предусмотреть технологии электронной цифровой подписи в системах денежных переводов, а также вести постоянный сбор и анализ сведений о клиентах и их транзакциях. В мобильном банкинге также важны дополнительная аутентификация с помощью одноразовых паролей, оценка типичности запроса на снятие/перевод средств и осуществление запроса дополнительного подтверждения транзакции, например, по телефону».

В соответствии с 161-ым Федеральным Законом (Федеральный закон Российской Федерации от 27 июня 2011 г. N 161-ФЗ «О национальной платежной системе») банки обязаны отправлять в Банк России информацию о произошедших инцидентах связанных с защитой информации. Данная норма действует с начала лета 2012-го года.

«Проанализировав эти сведения, можно рассчитать «дно» рынка «антифрода» в России. В месяц происходит от 1500 до 2000 инцидентов в сфере защиты информации. До правоохранительных органов доходит порядка 14% от этого количества – случаи, в которых деньги не удалось вернуть. Средняя «цена» одного инцидента составляет 250 000 рублей. Итого мы получаем сумму, равную 52 миллионам 500 тысячам рублей в месяц. Именно столько составляют сегодня потери клиентов банков. Да, они не равны пока потерям самим банков, но после вступления в силу всех положений 161-го ФЗ эти цифры станут тождественны — банки будут обязаны возвращать деньги клиентам», — комментирует Владимир Дрожжин, директор дивизиона систем безопасности «Энвижн Груп».

Так в Национальном банке «ТРАСТ» на базе решения Trend Micro Deep Security была создана система всесторонней защиты сетевой инфраструктуры и физических серверов, а также обеспечена защитаот уязвимостей ОС и приложений.

В Альфа-Банке используют антифрод-решение, позволяющее отслеживать и блокировать мошеннические транзакций в режиме реального времени. Например, появилась информация, что в некоем городе были скомпрометированы российские карты, но при этом неизвестен период этой компрометации и/или конкретное устройство, на котором она произошла. Исходя из этой скупой информации, можно оперативно заложить в систему данные конкретного города либо определенного эквайера, после чего история транзакций по данному городу и данному эквайеру будет анализироваться и учитываться в последующей активности карт. И если будут зафиксированы какие-либо подозрительные операции по картам, ранее используемым в данном городе, система автоматически пошлет соответствующее предупреждение оператору, который на его основе сможет принять решение об оперативной блокировке карты и предотвратить мошенническую операцию.

Банк Хоум Кредит внедрил у себя биометрическую систему проверки потенциальных заемщиков. При оформлении заявки на кредит клиента фотографируют, что является распространенной практикой на банковском рынке. Но только Банк Хоум Кредит сопоставляет биометрические данные со своей базой. В том случае, если впоследствии клиент обратится к ним снова, и его фотография совпадет с той, что уже есть в базе, а другие данные, например, имя, нет (или наоборот), то у банка появятся подозрения в мошенничестве. Это позволяет сократить риски оформления кредита по поддельным документам, т.к. бывает, что их опознать очень сложно.

«Ключевую роль в снижении рисков мошенничества играют специализированные программные решения – системы защиты от фрода (fraud management system, FMS), — комментирует Владимир Дрожжин. Очевидно, что они не могут быть «коробочными продуктами». Их внедрение заключается в применении «программного конструктора» к особенностям существующих бизнес-процессов и ИТ-инфраструктуры заказчика.

Успех такого проекта зависит от того, насколько удастся формализовать средства контроля рисков и реализовать их в виде настроек антифрод-системы.

Однако надо понимать, — продолжает Владимир, — что «антифрод» — это лишь часть комплексной защиты бизнеса. Например, в банковском секторе такие системы входят как в состав защиты процессинга и защиты ДБО, так и могут выступать в качестве самостоятельного решения, например, при борьбе с внутренним мошенничеством. Аналогичная ситуация складывается и в практике обеспечения ИБ операторов связи».

Для МТС компания «Энвижн» совместно с департаментом информационной безопасности оператора внедрила уникальный по своим масштабам и функциональности корпоративный центр управления ИБ (Security Operation Center, SOC) на базе HP ArcSight. В настоящее время SOC обеспечивает постоянный мониторинг состояния безопасности более 45 тысяч АРМ сотрудников, 30 тысяч серверов, 5000 сетевых устройств, 100 ключевых прикладных систем. С его помощью собираются и обрабатываются сведения о состоянии информационной безопасности всех элементов корпоративной системы: сетевого оборудования, межсетевых экранов, систем предотвращения вторжений, средств защиты доступа в интернет, антивирусного ПО и т.д. Кроме того, при возникновении инцидентов безопасности система оповещения отправляет соответствующим сотрудникам уведомления в форме SMS и электронных сообщений. Реализованные возможности снижают правовые и финансовые риски, связанные с инцидентами ИБ, и тем самым обеспечивают более полное соответствие требованиям регуляторов.

В рамках инициативы по противодействию мошенничеству и внедрению автоматизированной системы «Антиспам» был более чем в 20 раз снижен объем мошеннических SMS-рассылок и спама внутри сети МТС. В третьем квартале 2013 года объем входящего рекламно-информационного трафика МТС с коротких и буквенно-символьных находился на стабильном уровне, составляя в среднем по два миллиарда SMS в месяц, из которых порядка 1,5 миллиарда SMS приходились на информационные рассылки от банков, остальные 500 миллионов – на рекламно-информационные сообщения. Однако в октябре совокупный рекламно-информационный трафик из сетей других операторов внезапно вырос до 2,4 миллиарда, что свидетельствует об активизации недобросовестных распространителей рекламы. Прирост рекламных рассылок за месяц составил около 300 миллионов, что и вынудило усилить фильтрацию трафика.

Одна из известных телекоммуникационных компаний использует решение по выявлению отклонений в телефонном трафике. Был разработан и реализован собственный алгоритм анализа, предназначенный для автоматического контроля трафика и его стоимости в режиме реального времени. Теперь система позволяет анализировать и оповещать обслуживающий персонал об опасных отклонениях.

Большинство компаний имеют разработанные политики и/или процедуры противодействия мошенничеству. Однако не у всех есть сжатые и лаконичные руководства, которые реально помогают снижать риски фрода. Конечно, данные документы могут быть не похожи друг на друга – все зависит от проведенного анализа рисков, от подтвержденного на высшем уровне аппетита рисков.

«Вероятность мошеннических действий сотрудников существует везде, — полагает Дмитрий Кандыбович, директор ООО «Атом Безопасность», — где за счет знания нюансов бизнес-процессов можно извлечь личную выгоду во вред компании, клиенту или партнеру. Раскрытый обман бьет по репутации организации, лишая ее значительной части контрагентов. Если вся деятельность компании не построена на мошенничестве, а риски достаточно велики, руководству стоит ставить вопрос о внедрении систем контроля, а также организации отдела безопасности.

ИТ-рынок насыщен программными решениями, позволяющими осуществлять слежение за рабочими станциями сотрудников. Отчеты, предоставляемые подобными продуктами, позволяют не только найти виновного в конкретной ситуации, но и в целом предотвратить случаи мошенничества. К примеру, наш проект StaffCop Standard уже не раз применялся при расследовании инцидентов.

Организации внедряют подобные системы в целях исключить риск мошеннических действий и ухода данных, а также решения проблемы нецелевого использования рабочих ресурсов и времени».

Процессы распознавания и предотвращения фрода связаны между собой, но имеют существенные различия. Предотвращение связано с политиками, процедурами и иными работами по недопущению фрода, в случае же распознавания фокус смещается в сторону работ и технологий, которые вовремя определяют мошеннические действия, при этом мошенничество уже произошло или происходит. Необходимо отметить, что пока технологии предотвращения фрода не могут со 100%-ной вероятностью обеспечивать безопасность, но они являются первой линией защиты от мошенничества. Комбинация превентивного и детективного контроля, усиленная эффективной программой антимошенничества, в настоящее время является основным методом противодействия мошенничеству.

«Компании все больше беспокоят вопросы, связанные с выявлением и противодействием мошенничеству, — считает Елизавета Спасенных, менеджер по развитию бизнеса компании «Информзащита». — Для бизнеса мошенничество – это не только прямые финансовые потери (недополучение прибыли, компенсации клиентам и др.), но также и значительные репутационные риски.

По данным российского отделения ACFE (Association of Certified Fraud Examiners, Ассоциация специалистов по расследованию хищений) за 2011-й год компании ТЭК проявляли наибольшую обеспокоенность вопросами выявления фактов мошенничества в системах учета. Со вступлением в силу 161-ФЗ «О национальной платежной системе» большую заинтересованность к данной теме стали проявлять банки. Согласно оценкам аналитиков в Российской Федерации за 2012-й год уровень хищений в системах ДБО составил порядка $450 млн. Также стабильный интерес к выявлению фрода проявляют операторы связи и провайдеры. По данным ACFE за 2011-й год уровень их потерь составил порядка $680 млн.

Средств выявления и предотвращения мошенничества на рынке представлено огромное количество: для каждой отрасли, для каждого отдельно взятого вида мошенничества существует свое решение. При выборе решения компании обычно руководствуются принципом экономической целесообразности, т.е. если стоимость внедрения и поддержки решения сопоставима с потерями от данного вида мошенничества. Также компании отдают предпочтение тем технологическим платформам, которые позволяют выявлять более чем один вид мошенничества».

В настоящее время не существует систем противодействия фроду, которые могут со 100%-ной уверенностью защитить организацию. В этом случае руководство организации должно инициировать создание системы противодействия фроду, определив собственную роль в процессе защиты от мошенничества.

Процесс противодействия мошенничеству, как часть всего процесса управления предприятием, должен начинаться с разработки политики противодействия фроду (как документ), где четко прописывается роль руководства.

«Борьба с мошенничеством – одна из наиболее сложных задач, ибо это противостояние, прежде всего, с людьми, — говорит Андрей Зеренков, эксперт по информационной безопасности Symantec Corporation. — Аппаратно-программные средства сами по себе не так уж опасны и сложны, но вот человеческий фактор… Поэтому при решении этой задачи требуется учитывать не только организационно-технические аспекты защиты и противодействия, но и в не меньшей степени психологическую составляющую. Создать такого рода искусственный интеллект (который бы полностью просчитывал поведение человека в различных ситуациях) пока не смогли, и поэтому противодействие мошенничеству может обеспечить лишь человек (скорее, группа), использующий передовые разработки в области ИБ и очень хорошо разбирающийся в бизнес-процессах компании. Насколько талантлив будет руководитель группы противодействия мошенничеству, настолько эффективной будет эта деятельность. Созданные людьми инструменты могут лишь помочь специалисту, но никак не заменить его. Поэтому основная головная боль для руководителя – поиск и приём на работу талантливого эксперта. И вряд ли здесь имеет смысл экономить».

Статья на сайте Ibusiness