© 1995-2021 Компания «Инфосистемы Джет»
Как обнаружить и избежать фрода на предприятии с помощью АСУ ТП
Информационная безопасность

Противодействие мошенничеству как часть защиты критически важных объектов АСУ ТП

Информационная безопасность Тема номера

«Воруют-с, тащут-с или прут-с?.. Вопрос не в термине, а в вашем отношении…»

12.12.2016

Посетителей: 36

Просмотров: 42

Время просмотра: 0

Противодействие мошенничеству к АСУ ТП относится косвенно, но почему мы сегодня об этом говорим? Любая атака, любое противоправное действие, в том числе через информационные системы всегда имеет под собой некую основу. И главный вопрос – какую цель преследует злоумышленник? Сегодня мы чаще смотрим на защиту АСУ ТП с точки зрения защиты критически важного объекта от атак, провоцирующих техногенную катастрофу. С другой стороны, АСУ ТП интересна злоумышленнику с точки зрения реализации хищений или сокрытия противоправных действий.

 

 

Что такое «фрод»?

 

Последние 2-3 года мы часто задаем один и тот же вопрос нашим заказчикам: «Что значит «фрод» для вашей компании?». Компании разные, и для всех векторы угроз с точки зрения хищений и потери средств различны. Но, как показывает наш опыт, менеджмент не представляет объем убытков. И очень многие компании стараются скрыть масштаб проблемы, а она катастрофическая. Суммы потерь от противоправных действий исчисляются не долями, а целыми процентами. Что скажет вице-президент по развитию, когда ему расскажут и покажут, что 2% прибыли компании «выносят через запасной выход»?

Цель антифрода

 

В чем же цели построения методологии систем противодействия мошенничеству? Во-первых, сократить убытки компании от прямых хищений, во-вторых, повысить прибыльность компании, прекратив противоправные действия сотрудников или третьих лиц. Но для достижения этих целей нужно решить первичную задачу – видеть потери, которые рано или поздно случаются, чтобы в дальнейшем их минимизировать. Ведь как часто бывает: компании ловят сотрудников и заводят на них уголовные дела, но понесенные бизнесом убытки, исчисляемые миллионами рублей, на самом деле не возмещаются. Лишь в редких случаях можно рассчитывать на компенсацию от представителей топ-менеджмента. В основном дебиторская задолженность сотрудников ложится мертвым грузом на компанию. При этом категории рисков совершенно разные. Убытки компании могут быть вызваны и простой халатностью: кризисом кадров, невнимательностью сотрудников, контролирующих различные процессы, или производственными ошибками, которые больно бьют по сегментам бизнеса. Но зачастую это намеренные действия сотрудников из различных подразделений, существенно влияющие на прибыль компании.

 

Приведу несколько примеров из своей практики.

 

Пример 1

В одной добывающей компании, производящей металл высокого качества, работает стандартный транспортер руды из забоя, на который попадает первичная выработка. Старые модели транспортеров имеют определенные конструктивные особенности: часть руды падает мимо и по бокам образуются отвалы. Большинство компаний считает это браком и утилизирует такую продукцию. А предприимчивые сотрудники могут собрать отвалы, вывезти их за территорию завода и в итоге получить солидные бонусы к стандартной оплате труда. Схема перевода качественной продукции в брак является проблемой для любого производства, там, где брак не фиксируется комиссионно по каждому факту.

 

Косвенные, а не прямые потери

 

В чем проблема, которую мы видим на протяжении всех наших проектов? Большое количество потерь компании являются не прямыми, а косвенными. Приведу простой пример: если у компании украли лист железа напрямую, бизнес это считает своей фактической потерей. Деньги могут быть взысканы, а виновные наказаны. Но больше половины случаев мошенничества не приводят к прямому хищению товарной продукции. Сотрудники компании используют схемы махинаций, которые не приносят потери, а снижают маржинальность продаж товаров, либо эти хищения попадают в естественную «усушку, утряску, брак», которого могло и не быть. Иначе говоря, компания могла бы получить за продажу листа железа 10 рублей, а из-за мошеннических действий продала его за 8 рублей или вообще его не продала. Фактически компания получила прибыль, но получила на 2 рубля меньше. Если эти 2-3% «раскатать» на все предприятие, 2% недополученной руководством прибыли выльются в баснословную сумму. Понимая эту цифру, вопросы окупаемости внедрения любых технологий, позволяющих сократить убытки компании в среднем на 50-70%, решаются за несколько дней в положительную сторону. При этом мошенничество можно найти в любом сегменте: производственных линиях, продажах товарной продукции, программах лояльности, логистике.

 

Пример 2

Этот кейс мы обнаружили на предприятии нефтегазового сектора, он распространен на многих производственных предприятиях, отгружающих ресурсы или продукцию производства. В выявленной нами схеме участвовали сотрудник весовой эстакады, взвешивающий автотранспорт, и водитель бензовоза. Пустая машина при въезде на нефтебазу проходит весовой контроль и только после этого проезжает на территорию предприятия. На обратном пути автоцистерну уже с нефтепродуктами взвешивают повторно. Разница между первым и вторым взвешиванием и есть потенциальная масса нефтепродукта, залитого в бензовоз. На полученный бензин выписывается товарно-транспортная накладная и рассчитывается стоимость потенциальной отгрузки. 

Мошенническая схема крайне проста. У любой нефтебазы стоит вереница из нескольких десятков бензовозов в ожидании топлива. Водитель-злоумышленник 8-тонника занимает свою очередь сразу за тягачом большего веса, например, за 10-тонником. Первый в очереди бензовоз (10 т) въезжает на весовую эстакаду, где оператор взвешивает его по документам (вес пустого автотранспортного средства вводится в товарно-транспортную накладную в электронном виде). Пока водитель садится в машину, оператор повторно взвешивает машину, но по документам уже въехавшего следом (передаются оператору по sms). В итоге в автоматизированной системе 8-тонник фиксируется как 10-тонник. Все машины заезжают на территорию предприятия, заливаются «под горлышко», выезжают и взвешиваются уже по всем правилам. И в итоге машина весом 8 т взвешена как 10 т. Получается, что две тонны нефтепродуктов исчезли, но в системах это никак не отражено. Нехватку 2-4 тонн топлива заметят только через 1-2 недели, когда опустеет резервуар или будет проводиться его инвентаризация. Но найти мошенническую цепочку на предприятии будет уже затруднительно.

 

 

 

Как с этим бороться?

 

Рассмотрим простой подход для предотвращения мошеннических схем. На высокоавтоматизированных предприятиях с большим количеством источников данных и квалифицированным персоналом можно контролировать почти все, что происходит. Причем контролировать не с точки зрения безопасности и реализации технологического процесса, а следить за отклонениями, которые потенциально есть. К сожалению, на многих предприятиях проблемы обнаруживаются слишком поздно. Стандартный случай, который мы видим у многих наших заказчиков, когда физическая безопасность хорошо развита, но она не интегрирована с информационными системами. Будущее за объединением всех систем – это позволит сделать все процессы предприятия для бизнеса максимально прозрачными и поможет предотвращать потенциальные инциденты.

 

Общие принципы работы систем просты: сквозной учет в производственных цепочках независимо от типа предприятия. Среди заказчиков сегодня наиболее востребованы схемы онлайн-реагирования на инциденты. Для компании намного проще интегрировать систему рисков с теми же воротам, которые выпускают автотранспорт с предприятия, чем отлавливать и пытаться взыскать средства постфактум.

 

Как показывает практика, существуют две ветки контроля событий, которые используются на предприятии. Компания понимает, что и как у нее воруют, но контроль правонарушений осуществляется в «ручном» режиме силами двух-трех аналитиков. Сотрудники сидят с «кипами» excel, распечатками технологических систем и с помощью агрегации всех данных пытаются понять, что произошло. Конечно, это неэффективно. Сегодня достаточно просто контролировать все системы в автоматизированном режиме.

 

На предприятиях высокой автоматизации, где действительно есть АСУ ТП и стандартизированы все процессы, можно создать модель эталонной последовательности действий. И контролируя отклонения от этого процесса, вы практически всегда сможете найти нарушения. Эти нарушения будут или фродом, или отказом оборудования, или ошибкой оператора. К сожалению, этой методологией сегодня крайне редко пользуются.

 

***

Классическая информационная безопасность АСУ ТП и противодействие мошенничеству в ней подразумевают множество аналогичных работ: анализ производственных процессов, интеграцию с источниками данных, выстраивание методик работы с инцидентами. Возможно, есть смысл реализовывать систему безопасности предприятия одним блоком, чтобы оптимизировать затраты и получить максимальный результат?

 

Антифрод-система способна решать дополнительный класс проблем: кроме фактических и потенциальных выявлений хищений, злоупотреблений, нарушений регламентов, система позволяет контролировать совокупную доходность технологического процесса или компании в целом, т.е. глобально управлять рисками и оптимизировать бизнес-процессы, исходя из постоянной аналитики, которая дает актуальную информацию о том, что происходит. Ведь, как показывает практика, окупаемость таких решений редко превышает 1-1,5 года, а в некоторых случаях достигается всего за несколько месяцев.

Уведомления об обновлении тем – в вашей почте

Компания «Инфосистемы Джет» оценила годовые потери российского бизнеса от мошенничества

Компания «Инфосистемы Джет» подготовила экспертную оценку годовых потерь от мошенничества для трех сфер отечественного бизнеса – телеком-операторов, кредитно-финансовых и ритейловых компаний. Расчеты выполнены в рублях с распределением по ключевым категориям рисков и позволяют сравнить показатели 2014–15 гг.

Особенности внедрения и использования антифрод-систем в ритейле

Для борьбы с потерями большинство ритейл-компаний применяют исторически хорошо зарекомендовавшие себя традиционные методы: инвентаризации, видеонаблюдение, контрольные закупки/поставки, выборочные сверки отчетности, выборочный аудит транзакций и т.п.

Защита систем дистанционного банковского обслуживания на базе решения Oracle Adaptive Access Manager

Информатизация практически всех банковских услуг и консолидация управления счетами в одном бизнес-приложении, доступ к которому осуществляется через интернет, определили рост объемов операций, совершаемых через сервисы удаленного обслуживания. При этом критичным фактором защищенности операций ДБО стал показатель безопасности среды выполнения платежных транзакций.

Мошенничество в программах лояльности

Почему мошенников привлекают программы лояльности? Как похищают бонусные баллы? Этапы создания защищенного онлайн-сервиса?

Поймай меня, если сможешь

В одних компаниях мошенничество легко поддается оценке, выбрать способы защиты тоже не составляет труда

Антифрод-система заставляет сотрудников четко следовать бизнес-процессам

По каким законам развивается фрод у ритейлеров и что может противопоставить ему безопасность – об этом мы обстоятельно поговорили с Алексеем Овчинниковым, начальником Управления информационной безопасности X5 Retail Group.

Воровство SIM-карт ради мошенничества?

Не так давно эксперты стали отмечать участившиеся случаи мошенничества, основанного на замене злоумышленниками sim-карт реальных абонентов по поддельным документам для получения доступа к интернет-банкингу.

Внутреннее мошенничество и каналы ДБО созданы друг для друга?

Мошенничество в каналах дистанционного банковского обслуживания (ДБО) как юридических, так и физических лиц актуально последние 6–7 лет

Аудит функции Fraud Management & Revenue Assurance

На современном этапе развития телекоммуникационных операторов уже не подвергается сомнению тезис о необходимости особого контроля собираемой ими выручки. Функция контроля выручки у операторов связи реализуется в виде Fraud Management & Revenue Assurance (далее, FM&RA).

Спасибо!
Вы подписались на обновления наших статей
Предложить
авторский материал





    Спасибо!
    Вы подписались на обновления наших статей
    Подписаться
    на тему







      Спасибо!
      Вы подписались на обновления наших статей
      Оформить
      подписку на журнал







        Спасибо!
        Вы подписались на обновления наших статей
        Оформить
        подписку на новости







          Спасибо!
          Вы подписались на обновления наших статей
          Задать вопрос
          редактору








            Оставить заявку

            Мы всегда рады ответить на любые Ваши вопросы

            * Обязательные поля для заполнения

            Спасибо!

            Благодарим за обращение. Ваша заявка принята

            Наш специалист свяжется с Вами в течение рабочего дня