Злоупотребление полномочиями

Злоупотребление полномочиями — общая проблема всех компаний и организаций, и современная информационная сфера не стала исключением. Имея доступ к внутренним сетям и коммуникационному оборудованию, сотрудники могут легко осуществлять традиционные варианты злоупотребления или придумывать новые, специфичные именно для ИТ-отрасли.

Ресурсы и возможности крупных компаний многократно превышают то, чем может владеть отдельный сотрудник, а слабый контроль возбуждает желание использовать небольшую часть корпоративных активов для личного блага.

Классификация и способы злоупотребления

Большинство способов внутреннего злоупотребления можно отнести к одной из трех больших категорий: извлечение финансовой выгоды, получение доступа к информации и ее распространение, нанесение ущерба компании.

Финансовая выгода всегда была и будет главным мотиватором для мошенников. Одним из самых распространенных сценариев для IT-сферы является завышение показателей. Во многих компаниях отрасли оплата труда складывается из умеренного оклада и внушительных премиальных за хорошие результаты работы. Их можно улучшать как упорным трудом, так и банальной подделкой отчетов. Последнее гораздо быстрее и проще, а потому некоторые лица идут именно таким путем.

Злоупотребления

Следующий распространенный вид злоупотреблений — выдача корпоративных номеров и подключение к соответствующим тарифам посторонних. Многие компании оплачивают своим сотрудникам деловые переговоры по мобильному телефону, так что можно избавить друзей или родственников от оплаты счетов, добавив их номера к списку. Утрата или повреждение SIM-карты честным пользователем также открывают большие возможности для мошенников. Имея доступ к заказу и выдаче дубликатов, сотрудники организуют выпуск незаконных клонов, используемых как для бесплатных звонков, так и для кражи денег со счетов, если номер привязан к мобильному банку. Нередки случаи использования корпоративных лицензий на платное программное обеспечение (например, антивирусы) для домашних компьютеров сотрудников.

Сконцентрированная в ИТ-сфере информация также является объектом пристального внимания мошенников. Те, кто имеет доступ к базам телефонов, электронной почты, домашних адресов и паспортных данных клиентов, могут выгодно их продать, а те, у кого такого доступа нет, пытаются его получить — например, внедрить через внутреннюю сеть троянскую программу-кейлогер. Иногда используют и аппаратные перехватчики; для их подключения хватит одной минуты, и если компьютер обращен задней стороной к стене, его владелец вряд ли заметит чужое устройство. Получив таким образом логин и пароль более высокого уровня, можно украсть базы данных или от чужого лица переводить деньги со счетов клиентов на собственные.

Доступ к корпоративной сети и почте позволяет заражать компьютеры не только коллег, но и клиентов. Для этого может быть организована рассылка от имени компании со ссылкой на фишинговый или содержащий вредоносные программы сайт. Многие уже приучились не доверять письмам с незнакомых адресов, однако если такое сообщение придет с сайта мобильного оператора или банка, то его с гораздо большей вероятностью откроют и прочитают, а затем перейдут по ссылке. Сервисы и оборудование сотовых операторов и провайдеров могут использоваться также для массы других нелегальных рекламных спам-рассылок.

Наконец, немалую долю составляют злоупотребления без прямой выгоды для злоумышленника, предпринимаемые исключительно с целью нанести компании ущерб. Сотрудник может полагать, что ему недостаточно платят, не дают заслуженного повышения, несправедливо наложили взыскание или даже уволили. Имея доступ ко внутренним сетям и оборудованию, он может внедрить бекдор, вирус или другой вредоносный код, который будет время от времени выводить информационную систему из строя, вносить ошибки в настройки серверов и другого оборудования. В результате ущерб может достигать огромных сумм.

Объекты злоупотреблений

Объектами злоупотреблений могут стать:

  • внутренние документы (подготовка фальшивых отчетов с завышением результатов, необоснованная выписка завышенных премий, трудоустройство «мертвых душ», завышение командировочных расходов и т.д.),
  • корпоративные ресурсы — тарифные планы, лицензионные компьютерные программы для сотрудников,
  • информационные активы — базы данных, номера и PIN-коды телефонных счетов и банковских карт, адреса, паспортные и другие данные клиентов,
  • техническое оборудование и программное обеспечение. Злоумышленники способны внедрять вредоносные программы во внутренние сети, использовать ресурсы компании для рассылки нежелательных сообщений, изменять важные настройки как с целью извлечения выгоды, так и желая навредить.

Источник угрозы

В основе любого злоупотребления — люди, сотрудники компании: обладатели сомнительного и даже криминального прошлого, с откровенным пренебрежением относящиеся к трудовой дисциплине и внутрикорпоративным правилам, интересам работодателя и клиентов, воспринимающие всех и вся лишь как источник личных доходов. Разумеется, эгоизм — не повод для увольнения, однако дополнительная проверка всех (или хотя бы совершаемых с деньгами и важной информацией) операций таких сотрудников весьма желательна. К подозрительным лицам стоит отнести и тех, кто демонстрирует резко отличающиеся от средних показатели: это может быть результатом откровенных приписок.

Система, где работают люди, является другим важным источником угроз. Слабоверифицируемое движение денег, открытый доступ к базам данных и другой информации, отсутствие проверок и вышестоящего контроля способны подтолкнуть к злоупотреблениям даже тех, кто изначально к ним не склонен.

Наконец, существенную угрозу создает мягкое отношение самой компании к злоупотреблениям. Большинство  предпочитает закрывать глаза на мелкие нарушения, а иногда даже и крупные старается решать внутренними силами, без привлечения правоохранительных органов: ведь огласка повредит репутации, оттолкнет клиентов. В результате мошенникам грозит в худшем случае увольнение, но никак не реальный срок. 

Анализ риска

Наиболее высокий риск злоупотребления своим положением и полномочиями наблюдается там, где низкая трудовая культура и дисциплина сочетается с плохой организацией бизнес-процессов, единоличными решениями без вышестоящего контроля и внешнего аудита. Когда отчеты принимаются на веру без подтверждения, а руководитель может выписывать крупные премии по собственному желанию, ничто не помешает сотрудникам рапортовать о несуществующих успехах и получать за них внушительные бонусы.

Отношение к клиентам также серьезно влияет на вероятность внутреннего мошенничества. Не секрет, что многие компании используют для получения денег все возможные способы, навязывая дополнительные, зачастую ненужные услуги. Однако, регулярно обманывая клиентов, сотрудники со временем начинают негативно воспринимать и работодателя. Собственно, а почему нельзя обмануть его? Некоторые даже рассматривают это как своего рода справедливость. Для минимизации внутренних злоупотреблений необходимы регулярные проверки, контроль результатов работы и финансовых потоков вкупе с повышением корпоративной культуры, а также честное отношение к клиентам.

Другое направление — использование современных информационных систем по предотвращению внутреннего фрода. Благодаря комплексному анализу как проводимых компанией транзакций, так и поведения отдельных сотрудников (резкое изменение их показателей работы, наличие дружеских связей с клиентами, траты много больше зарплаты, сомнительное прошлое) такие системы позволяют выявить подозрительных работников, в отношении которых можно осуществить более серьезные проверки. Само наличие подобных антифрод-систем и высокий риск разоблачения служат серьезным предупреждением для потенциальных мошенников, подавляя в зародыше саму мысль о незаконной прибыли за счет компании.