В рубрику "Оборудование и технологии" | К списку рубрик | К списку авторов | К списку публикаций
Вопрос защиты от мошенничества всегда был актуален для корпоративных компаний. Но в последние несколько лет ряд громких публикаций заставил владельцев бизнеса уделить этому вопросу повышенное внимание, поскольку стало очевидно, что мошенничество - это не только финансовые, но и репутационные потери. Поэтому задача внедрения систем защиты стала актуальной для всех организаций с большим объемом бизнеса, обработки информации и транзакций. Дополнительным толчком к росту спроса на решения защиты от мошенничества стал кризис, увеличивший количество недовольных сотрудников и, как следствие, число инсайдерских преступлений.
Создание системы защиты от мошенничества - это комплексная задача, которая затрагивает работу всех сотрудников компании и включает в себя технические и организационные меры, а также меры, направленные на повышение лояльности персонала. Первые относятся к задачам подразделения управления рисками (риск-менеджмента) совместно со службой по борьбе с экономическими преступлениями и/или департамента информационной безопасности. Зачастую именно риск-менеджмент становится инициатором проекта по созданию комплексной системы защиты от мошенничества. Наряду с задачами контроля и выявления мошенничества крайне важны и работы, касающиеся предотвращения самого риска преступления. Этому способствует создание благоприятного климата для сотрудников компании, что является приоритетной задачей службы персонала компании.
Стоит отметить, что практически для каждой отрасли есть свои возможности борьбы с мошенничеством. Например, в сложных финансовых системах контроль действий "привилегированных пользователей" (операторов call-центров, различных бизнес-приложений, системных администраторов и т.д.) осуществляется на предмет различного рода запросов, которые потенциально могут быть квалифицированы как мошенничество или соотноситься с ним. Использование различного рода аналитических систем позволяет по уже существующим действиям проверять подозрительные активности, например, списания средств со счетов в нерабочее время. Используются и решения, напрямую сокращающие риск различного мошенничества. Например, системы многофакторной аутентификации в случае защиты Интернет-банкинга, которые позволяют снизить риск преступлений неавторизованных пользователей.
Помимо технических средств прописывается комплекс организационных мер, направленный на разделение прав доступа. Например, чтобы один человек не мог создать заявку и себе же ее подтвердить.
Таким образом, алгоритм реализации проекта по созданию системы защиты от мошенничества в финансовых структурах предполагает проведение анализа бизнес-процессов организации и выработку на его основе списка возможных мошенничеств: где они могут произойти и на какие бизнес-приложения могут быть направлены. Как правило, существует ряд данных по возможным мошенничествам, например, работа со "спящими" счетами, просмотр различных VIP-счетов, активности по списанию средств в не-
рабочее время. Также анализируются процессы работы операторов бизнес-приложений и работа операционистов, которые находятся в отделениях банка. Далее начинается проектирование необходимых систем контроля действия тех или иных операторов на основе существующих бизнес-правил. После внедрения происходит "тюннинг" системы, которую риск-менеджмент будет использовать ежедневно. В среднем на реализацию проекта требуется не более полугода.
Далее проект может получить развитие в более детальной проработке организационных мер, так как зачастую возникает вопрос, что делать с обнаружением внутреннего мошенничества (например, если система показывает, что сотрудник делает что-то неправильное, но при этом не прописаны те меры, которые можно к нему применить).
Поэтому зачастую продолжением или дополнением проекта по созданию систем по защите от мошенничества становится разработка механизмов контроля для того, чтобы система могла нести некую "боевую" направленность.
Опубликовано: Журнал "Information Security/ Информационная безопасность" #1, 2010