Современные Сизифы

В современном мире жертвами махинаций часто становятся не отдельные лица, а целые организации. Подобное мошенничество ввиду характерных особенностей реализации подразделяется на внутреннее, внешнее и клиентское. Иными словами, злоумышленниками могут оказаться действующие сотрудники организации-жертвы, третьи лица, не имеющие явных связей с компанией, и непосредственно клиенты или контрагенты, использующие ее ресурсы или продукты.

Такое разнообразие подходов превращает выявление наиболее частых источников мошеннических угроз в объективно трудоемкий процесс, требующий привлечения дополнительных ресурсов и квалифицированных специалистов. Но, как говорил классик, ситуация остается все той же: «Воруют всё, что плохо лежит». Зарубежные аналитические агентства оценивают ежегодные потери от внутреннего мошенничества в размере более 100 млн долл. для финансовых организаций, более 50 млн долл. прямых убытков – для компаний телекоммуникационной сферы (при этом недополученная прибыль и вовсе исчисляется суммами в 10–15 раз больше). Ритейлеры, производственные и промышленные организации, по оценкам аналитиков, теряют порядка 3–6% от своего оборота.

Долгое время ценность монет была эквивалентна содержащемуся в них количеству металла. В связи с этим существовала проблема: мошенники срезали небольшие кусочки металла с краёв, чтобы делать из них новые монеты. Ее решение предложил Исаак Ньютон, который был по совместительству сотрудником Британского Королевского монетного двора. Его идея была очень простой – прорезать в краях монеты маленькие линии, из-за которых стёсанные края были бы сразу заметны. Эта часть на монетах оформляется таким образом по сей день и носит название гурт.

Почему воруют деньги? Потому что их всегда не хватает. Почему похищают информацию? Потому что иногда она дороже денег. Такой нематериальный ресурс, как репутация, для большинства компаний имеет огромное значение, так как напрямую влияет на стоимость организации и получаемый ею доход. А в условиях жесткой рыночной конкурении репутация становится предметом купли-продажи, обладающим вполне осязаемой стоимостью (вернее, цену имеет её изменение в выгодную для «покупателя» сторону). Так чем это не цель для мстительного сотрудника, которого обидели, не оценили или два года подряд оставляли на дежурство в новогоднюю ночь?

В то же время мы привыкли доверять тем, кто нас окружает. И даже если мы им не доверяем, то это часто менее выражено по отношению к постоянному окружению, нежели к абсолютно постороннему человеку. Но ведь именно ближний круг обычно обладает знаниями и возможностями для причинения максимального ущерба организации. А значит, благополучие каждой отдельно взятой компании зависит от исхода противостояния между лояльностью участников ближнего круга и их мотивацией к совершению мошеннических действий.

Таких историй великое множество, и подробности самых значимых из них не составит труда найти в открытых источниках. Так, например, у многих на слуху случай с Жеромом Кервьелем, трейдером банка Societe Generale, который с 2005 года стал торговать без ведома своего начальства. По словам Кервьеля, он начал незаконную торговлю для того, чтобы добиться лучших результатов и затем представить их руководству, намереваясь получить причитающиеся ему бонусы. По версии банка, трейдер за период такой несанкционированной торговли нанес ему ущерб в размере 8 млрд долларов США. В итоге сотруднику было предъявлено обвинение по четырем статьям, среди которых значились злоупотребление доверием и мошенничество.

Телекоммуникационная сфера располагает не менее обширными вариантами для мошеннической деятельности. Например, наиболее весомым риском для кармана оператора является сговор топ-менеджера компании с партнерами (руководящим составом или владельцем другого оператора либо партнером, обеспечивающим подключение новых клиентов – физических или юридических лиц). Сговор может заключаться в предоставлении эксклюзивных и более выгодных условий работы для партнера, нацеленных на получение необоснованно завышенного вознаграждения за подключение новых клиентов. Подобные манипуляции могут оформляться в дополнительном соглашении между сторонами или под видом отдельной маркетинговой акции. Как следствие, оператор выплачивает чрезмерно завышенное вознаграждение отдельному партнеру, а тот, в свою очередь, «не обижает» и дружественного ему топ-менеджера. 
Показательный инцидент произошел у одного из крупных мобильных операторов Западной Европы. Один из его топ-менеджеров обеспечил партнера более выгодными тарифными предложениями, не распространенными на массовом рынке, и с более высоким вознаграждением, не выгодным оператору. Как следствие, количество подключений резко выросло, но операционный доход телекоммуникационной компании от них в лучшем случае был равен 0. Такой сговор топ-менеджера с партнером лишил оператора прибыли более чем на 1 млн долл. Мошенничество обнаружили благодаря внедрению нового DLP-решения с установленными алгоритмами выявления случаев распространения конфиденциальной информации. Подобный пример далеко не единственный, более того, в условиях расширения бизнеса операторов, появления новых партнеров и других взаимодействующих организаций случаи сговора, наносящие не только экономический, но и имиджевый ущерб, увеличиваются в геометрической прогрессии.

А будет ли камень?

Получается, что проблема не нова. Это означает, что человечество уже изобрело множество разнообразных способов ее решения: нормы противодействия мошенничеству существуют в уголовном кодексе, а большинство организаций уже приняли те или иные меры контроля сотрудников. Они могут быть организационными, заградительными, техническими и информационными, а могут и комбинировать различные системы и подходы. У всех на слуху такие понятия, как «Двойной контроль» и «Разделение знания». Опять вспоминается случай с Жеромом Кервьелем: оба этих принципа здесь были нарушены. Поскольку он был одновременно трейдером и администратором системы учета торгов, это позволило ему получить доступ к фондам и длительное время скрывать убытки в тестовых учетных записях торговой системы. В нормальной ситуации, при правильно организованных процессах, подобное не случается. Отлично, мы теперь это понимаем, прочитали в книгах и записали в регламентах, внедрили и контролируем в нашей компании. Но сократилось ли количество приступлений, а если да, то уменьшился ли объем мошенничества? На проверку оказывается, что нет. Получается, для того чтобы свести фрод к нулю, существуют два способа. Первый – отменить деньги и товарно-денежные отношения в принципе, что, согласитесь, весьма утопично. Второй – обеспечить такой уровень защищенности, который будет опережать намерения злоумышленника, не ставя под угрозу основные бизнес-процессы компании.

Теория большого взрыва

Что же следует делать? Кроме осуществления деятельности, непосредственно приносящей доход, владельцу нужно увеличивать штат квалифицированных сотрудников безопасности? Просто для того, чтобы снизить вероятность неприятностей, связанных с нечистоплотностью сотрудников? А если увеличивать, то насколько? А кто же будет следить за чистотой рук самих контролеров? Чтобы отследить проблемы в более-менее крупном бизнесе, приходится контролировать очень много показателей – перемещение денег, товаров, временные задержки, активность внутренних сотрудников, и это не предел.

Главная проблема контроля в современной ситуации – это лавинообразное увеличение объема данных для анализа. Знакомый многим термин Big Data не в полной мере отражает, насколько это много данных. Его стоит записывать BIG DATA, не меньше. Наибольшую сложность в этом случае представляет задача поиска среди этих данных тех событий, которые идентифицируют мошенническую активность. Например, у вас в компании 40 продавцов на смену, и каждый в среднем обрабатывает 300 клиентов за день. Только кассовых транзакций будет около 84 000 в неделю, не считая отказов и возвратов. Анализировать эти данные вручную не хватит никаких сил, а главное – такой объем просто не поместится в голове аналитика. Если начать анализировать больше разных фактов, например, не только кассовые события, но и склад, счета и другие совершенно привычные активности, наступит то, что математики называют комбинаторным взрывом – с увеличением количества отслеживаемых фактов разного типа стоимость их совместного анализа возрастает в геометрической прогрессии.

Безопасность напрямую не приносит прибыли. Почти все успехи службы ИБ – это спасение ожидаемых доходов от исчезновения. Построение работающего подразделения безопасности – вещь, не дешевая во всех отношениях. ИБ бизнес-процесов и ИТ-систем, как правило, строится после того, как все остальное заработало нормально и приносит деньги. А в нашей действительности о безопасности вспоминают, когда жареный петух уже клюнет, когда вдруг кто-то что-то заметил, когда схемы отвода средств из компании не только появились, но и принесли злоумышленникам доход, а владельцам бизнеса – проблемы.

Как по сценарию

На что же обычно стоит обращать внимание, какие основные сценарии мошенничества мы наблюдаем в реальной жизни? Как только мы организовали что-то большее, чем индивидуальное предпринимательство, у нас будут наемные работники и управляющие. Кто-то будет копать, кто-то – контролировать тех, кто копает.

Привилегированные пользователи, администраторы, ключевые специалисты делают важные дела каждый день, принося компании доход. Часто они мотивированны, амбициозны. Если такой сотрудник немножечко поработает на себя, заметить это достаточно тяжело. И ссориться с ним накладно: хорошего работника тяжело найти, а поиск ключевых сотрудников – чрезвычайно долгое дело. Приходится изменять порядок жизни в компании, чтобы пресекать такую деятельность заранее, а также проводить дополнительные проверки, применять разные средства, чтобы отслеживать развитие дел. Один из регулярно встречающихся сценариев с такими сотрудниками – «свечной заводик», «микробизнес», когда человек использует рабочее время или другие ресурсы компании для личного обогащения.

Так как мало кто закладывает контроль безопасности заранее, в процессе роста или других изменений в компании могут образовываться не самые оптимальные с точки зрения прозрачности работы места. Пожалуй, это одна из самых сложных ситуаций – разобраться в работающей системе: действительно ли в ней все функционирует так, как задумано. Особенно если заранее не подготовиться. Как уже говорилось выше, нарушение принципов least to know (разделение знаний) и separation of duties (разделение полномочий) обычно провоцирует проблемы. Эти же принципы приходится проводить в жизнь, если мы хотим увеличить безопасность процессов. Есть специалисты, которые просто хорошо знают устройство «мира», текущие уязвимости, и удержать их от неправомочных действий приказом достаточно сложно. Это касается и ИТ-службы, и юристов, и руководителей продаж, и специалистов по логистике, и финансовых служащих – всех, чья рабочая «кухня» сложна, многогранна и связана с финансами или доступом к критичной для бизнеса информации. На практике приходится сталкиваться и со сговором персонала, и с объединением ключевых ответственностей разных ролей в одном сотруднике. Даже если он в этой ситуации не делает ничего предосудительного, кто знает, что будет завтра, и не пострадает ли сам сотрудник, если на него надавят третьи лица (сценарий «шантаж» существует в жизни и не так уж редко встречается).

В то же время компании часто обращаются к внешним техническим специалистам за теми или иными услугами. Часто в таких случаях инженеры не понимают ценности той гайки, которую крутят, и делают это как удобно, а не как правильно. Привлечение сторонних специалистов может приносить проблемы, особенно если ими руководит сотрудник компании, нечистный на руку. Есть примеры, когда в рамках обслуживания финансовых систем по заданию таких «Сизифов» специалисты вендора открывали дополнительные привилегии. Или сервисные инженеры получали доступ к закрытой информации бесконтрольно, например, при выполнении операций резервного копирования или разбора отказов приложений. И это приводило к совершенно конкретным финансовым и репутационным проблемам для бизнеса.

Вообще стремление компаний к развитию клиентоориентированного подхода является палкой о двух концах, т.к. зачастую для достижения этой цели происходит ослабление защиты внутренних процессов, регламентов и процедур, а также расширение прав доступа и полномочий сотрудников. Нам известен случай, когда для обеспечения оперативного и дистанционного обслуживания клиентов по финансовым вопросам сотрудникам front-line был открыт доступ как на ввод, так и на аннулирование/сторнирование платежей и перенесенных средств (аналогичные права предоставляются не только сотрудникам call-центров, подобными привилегиями обладают менеджеры ритейлеров, старшие кассиры, начальники смен). Как следствие, сотрудники стали выводить ничем не подкрепленные платежи на заранее заготовленные счета, средства с которых расходовали на оплату товаров и услуг, или просто обналичивали. Видимая часть этой манипуляции – работа сотрудника исключительно в рамках полномочий, однако отсутствие эффективного контроля позволяет ему осуществлять операции, убыток от которых может достигать миллионов рублей. Мошеннические действия удалось выявить и пресечь благодаря специализированным алгоритмам внедренного антифрод-решения, нацеленным на углубленный анализ операций ручного ввода реквизитов платежа и контроль доступных источников информации о его назначении. Кроме того, была проведена интеграция решения с механизмами дополнительной аутентификации клиентов, осуществляемой без участия оператора. В результате компания обеспечила автоматизированный контроль возможного внутреннего мошенничества, рост удовлетворенности своих клиентов и повышение доверия к себе.

Владельцы свечных заводов – под контролем

Как мы говорили выше, объемы данных, которые необходимо анализировать, – велики. Для их анализа существуют коробочные или настраиваемые под конкретную задачу автоматизированные средства. Подобные решения есть и для внесения дополнительных контролей в бизнес-процессы – они обеспечивают разделение полномочий. Какие же основные задачи призваны решать средства автоматического контроля?

• • • Выявление факта аномального поведения и определение источника проблем.
    • Обеспечение подробного мониторинга важных для безопасности событий для проведения онлайн- и исторического анализа, а также аудита при необходимости.
    • Фиксация событий, подходящая для расследований и обращения в суд.
    • Приведение доказательств, что проблема лежит вне зоны ответственности исполнителя (в случае с клиентскими сценариями).
    • Обеспечение дополнительных средств контроля, повышающих точность и гибкость в части ограничений, аудита, автоматизированной реакции на аномалии.

Решения для контроля финансовых событий и привилегированных пользователей могут быть самыми разными. С точки зрения как специализации на какой-то одной или нескольких задачах, так и стоимости.

Чтобы обеспечить сохранность денег, репутации или иного объекта мошенничества, так или иначе необходимы финансовые вливания в безопасность. И в данном случае мы не имеем ввиду расширение штата службы ИБ. Речь идет об анализе существующих и перспективных рисков, о подробном аудите текущей ситуации на должном уровне, чтобы честно представлять масштаб проблем. Необходимо либо самостоятельно находить варианты контроля, средств аудита и автоматизировать реакции на проблемы, либо воспользоваться каким-то готовым решением, либо заказать доводку мощного комплекса под индивидуальные потребности организации. Удачным решением является комплекс, состоящий из нескольких продуктов, увеличивающий удобство, скорость работы, глубину анализа и т.п.

Для контроля администраторов, в свою очередь, можно использовать встроенные системные средства аудита и управления правами. Они в той или иной мере применяются всеми, но требуют значительного уровня подготовки собственной команды и времени на разработку и доводку, в идеале же все задачи могут быть решены на достаточном уровне. Для предотвращения несанкционированного доступа к системам и информации существуют системы-надстройки, обеспечивающие дополнительный ролевой доступ и безопасное хранение данных. Примером здесь является комплекс средств от Cyber-Ark.

Часто бывает достаточно отслеживать активность и изменения в части ключевых информационных систем. Особенно в связи с тем, что для их обслуживания привлекаются внешние по отношению к организации специалисты компаний-партнеров или системных интеграторов, в том числе удаленно. Для обеспечения комфортного уровня безопасности в таких сценариях встроенных средств недостаточно и необходимо освоение систем класса «шлюзы доступа администраторов». Они, как правило, коробочные, достаточно легко внедряются и обеспечивают дополнительные средства контроля, ориентированные именно на сценарии работы администраторов и доступа к ключевым системам. В качестве примера можно вспомнить средства Wallix Admin Bastion или Balabit.

Если говорить о действительно регулярном контроле привилегий, нужно внедрять и использовать средства, которые описывают их в терминах бизнес-процессов и ролей. Характерными примерами являются системы IdM, которые обеспечивают, в том числе, контроль существующих привилегий пользователей, позволяют соотнести привилегии в информационных системах и должностные обязанности, а также в фоновом режиме поддерживать уровень доступа в соответствии с бизнес-процессами.

Как правило, одним средством решить все сценарии возникновения проблем не получится. Жизнь многогранна, и конкретные задачи отдельно взятого предприятия могут выходить за рамки фантазий любого разработчика средств защиты. Сложность современных бизнес-отношений также приводит к тому, что для обеспечения целостной защиты потребуется применение комплексных решений, связывающих в единое целое несколько разных средств, каждое из которых закрывает только часть рисков. В качестве таких примеров можно привести интеграцию средств DLP и средств удаленной работы, шлюзов доступа администраторов и средств защиты баз данных (например, от Imperva). В зависимости от актуального профиля рисков набор решений может быть разный, и придется осилить технические сложности их совместного использования.

Почти у каждой задачи есть несколько решений: одно – эффективнее, второе – проще, третье – дешевле. При этом стоит понимать, что создать универсальный инструмент выявления мошенничества, так сказать, для любой проблемы, почти невозможно. В связи с этим выбор решения стоит осуществлять исходя из глубокой проработки самой проблемы, а не пытаться «прикрутить» понравившийся продукт к любой задаче. В зависимости от задач и целей контроля при выборе стоит опираться на следующие функциональные характеристики: технологические принципы решения (многопоточность, скорость, средства интеграции с источниками данных и существующими системами) и аналитические возможности. Что касается технологических особенностей: продукты могут функционировать в режимах online, real-time и offline. При этом необходимая скорость обработки зависит от существующих бизнес-процессов: для одних характерны чрезвычайно высокие риски при совершении функционального действия, другие не требовательны в плане скорости как анализа, так и реагирования. Например, для контроля операций ДБО необходимы решения, позволяющие проводить анализ на лету, за доли секунды, а в случае выявления фактора риска приостанавливать подозрительную операцию или понижать платежную активность клиента. Для контроля тарификации и целостности данных в телекоммуникационной отрасли необходим инструмент анализа первичных данных об используемых абонентом сервисах и услугах в сравнении с итоговым биллингом. В этих случаях достаточно offline-режима, где реагирование на инцидент можно осуществлять силами сотрудников после выявления фактов расхождений. 
Аналитические же возможности решений выступают в виде центра моделирования логики выявления мошенничества: в одних случаях это простые проверки, в других – сложные математические модели. Требования к таким возможностям зависят от схемы контролируемого бизнес-процесса и характера рисков при его реализации.