Quis custodiet ipsos custodes?

Disclaimer

Disclaimer
Все мысли, изложенные на данном блоге, являются исключительно плодом воображения автора и отражают его личную точку зрения. Точка зрения автора никак не взаимосвязана с точкой зрения других физических и юридических лиц, за исключением тех случаев, когда это особо указано в тексте.

четверг, 3 февраля 2011 г.

Сокращение операционных затрат как источник убытков

Последний год банки начинает захлестывать волна внутренних мошенничеств. То там то тут просачивается информация о хищении достаточно крупной суммы денег. В результате увольняют виноватых инсайдеров и разгоняют службы информационной безопасности. Но могла информационная безопасность предотвратить инцидент?
Последний кризис больно ударил по банкам. В результате сокращение затрат, в том числе и операционных, стало для большинства банков приоритетом номер один. И там, где грамотные управленцы оптимизировали процессы, менее грамотные опытные сокращали персонал. В результате контроль "четырех глаз"  (один сотрудник создает платеж / выдает кредит / и т.д., а другой его верифицирует) работал в поголовном большинстве банков по следующим вариантам:
  1. Сотрудник создает платеж и он же его верифицирует.
  2. Сотрудник по одной учетной записью создает платеж, а затем под другой учетной записью его верифицирует. Отличие первого варианта от второго в том, что нарушение разделения прав очень тяжело выявить.
Создаются прекрасные предпосылки для мошеннической операции.
Возьмем проверенный временем треугольник мошенничества, который отражает факторы способствующие возникновению мошенничества:

  • Возможность – обычно слабость системы внутреннего контроля или возможность ее обойти. В нашем примере контроль (четыре глаза) перестал работать вместе с уходом уволенного сотрудника. Про функцию информационной безопасности отдельно ниже.
  • Давление – факторы, заставляющие идти на злоупотребление (например, финансовая нужда). Ни что так не создает финансовую нужду как финансовый кризис.
  • Оправдание – способность оправдать совершение противоправных действий (например, «все воруют – чем я хуже?»). Имея возможность и находясь под давлением внешних факторов, найти оправдание своим действиям очень легко.
Вернемся к вопросу "могла информационная безопасность предотвратить инцидент?".  В поголовном большинстве банков на текущий момент информационная безопасность, исходя из численности, зрелости процессов и используемых средств автоматизации, может:
  1. Выполнять роль статистов, составляя отчеты об инцидентах и предоставляя их руководству.
  2. Выполнять функцию "найти и наказать". Которая удается с очень переменным успехом, поскольку многие инциденты выявляются через значительные промежутки времени.
Предотвратить мошенническую операцию возможности практически нет, по следующим причинам. Контроли разделения прав, которые требуются Национальным банком существуют только на бумаге (политика ИБ, должностные инструкции и т.д.). Регулярной проверки прав пользователей не предмет соответствия их должностным обязанностям и соблюдения требований по разграничению прав никто не делает. Если проверка и выполняется, результат может быть следующим:
  • Нарушения не выявляются, поскольку по документам все нормально, а про то, что сотрудник знает пароли от нескольких учетных записей, знают только он и его начальник, которым нет резона раскрывать эту информацию.
  • Нарушения выявляются, но руководство закрывает глаза на выявленные несоответствия. 
Потому, что нужно экономить деньги, а дополнительный исполнитель - это дополнительные затраты.

Комментариев нет:

Отправить комментарий