Злоупотребление полномочиями

Злоупотребление полномочиями – общая беда всех компаний и организаций, и современная информационная сфера не стала исключением. Имея доступ к внутренним сетям и коммуникационному оборудованию, ее сотрудники могут легко осуществлять как традиционные варианты злоупотребления, так и придумывать новые, специфичные именно для ИТ-отрасли.

Ресурсы и возможности крупных компаний многократно превышают таковые отдельного сотрудника. А слабый контроль возбуждает у некоторых сотрудников желание использовать небольшую часть корпоративных возможностей для личного блага.

Классификация и способы злоупотреблений

Большинство способов внутреннего злоупотребления можно отнести к одной из трех больших категорий – злоупотребления с целью финансовой выгоды, злоупотребления ради доступа и распространения информации, злоупотребления с целью нанести ущерб компании.

Финансовая выгода всегда была и будет главным мотиватором мошенников. Одним из самых распространенных способов для IT-сферы является завышение показателей. Во многих компаниях отрасли оплата складывается из умеренного оклада и внушительных премиальных за хорошие результаты работы. Их можно улучшать как упорным трудом, так и банальной подделкой отчетов. Последнее гораздо быстрее и проще, а потому некоторые идут именно таким путем.

Злоупотребления

Следующий распространенный вид злоупотреблений – выдача корпоративных номеров и подключение к соответствующим тарифам посторонних. Многие компании оплачивают своим сотрудникам мобильники для деловых переговоров, и, добавив к списку номера друзей или родственников, можно избавить их от оплаты телефонных счетов.

Нередки случаи использования корпоративных лицензий на платное программное обеспечение (антивирусы) для домашних компьютеров сотрудников.

Утрата или повреждение SIM-карты честным пользователем также открывает большие возможности для мошенников. Имея доступ к заказу и выдаче дубликатов, сотрудники организуют выпуск незаконных клонов, используемых как для бесплатных звонков, так и кражи денег со счетов, если карта привязана к мобильному банку.

Руководители и топ-менеджеры информационных компаний могут организовывать вечеринки за счет компаний, устраивать фиктивных сотрудников, оформлять личные поездки как командировки и т.д.

Сконцентрированная в ИТ-сфере информация также является объектом пристального интереса мошенников. Те, кто имеют доступ к базам данных телефонов, электронной почты, а иногда домашних адресов и паспортных данных клиентов, могут выгодно их продать, те, у кого доступа нет, пытаются его заполучить. Например, внедрить через внутреннюю сеть троянец-кейлоггер, либо использовать аппаратный. Для его подключения хватит минуты, и если компьютер обращен задней стороной к стене, его владелец навряд ли заметит чужое устройство. Имея же логин и пароль более высокого уровня, можно как украсть базы данных, так и от чужого лица переводить деньги со счетов клиентов на собственные.

Доступ к корпоративной сети и почте позволяет заражать компьютеры не только коллег, но и клиентов. Для этого может быть организована рассылка от имени компании, со ссылкой на фишинговый или содержащий вредоносные программы сайт. Многие уже приучились не доверять письмам с незнакомых адресов, однако если оно придет с сайта мобильного оператора или банка, шанс, что его откроют и кликнут по ссылке, гораздо выше.

Сервисы и оборудование сотовых операторов и провайдеров могут использоваться также для массы других нелегальных рекламных спам-рассылок.

Наконец, немалую долю составляют злоупотребления без прямой выгоды для злоумышленника, исключительно с целью нанести компании ущерб. Сотрудник может полагать, что ему недостаточно платят, не дают заслуженного повышения, несправедливо наложили взыскание и даже решили уволить. Имея доступ к внутренним сетям и оборудованию, он может внедрить бэкдор для доступа уже после ухода, вредоносные вирусы или код, который будет время от времени обрушивать систему, внести ошибки в настройки серверов и другого оборудования. В результате ущерб компании может достигать огромных сумм.

Объекты злоупотреблений

Объектами злоупотреблений могут стать:

  • Внутренняя документация. Сюда относят липовые отчеты с завышением результатов, необоснованная выписка завышенных премий, трудоустройство «мертвых душ», завышение командировочных расходов и т.д.

  • Корпоративные ресурсы – тарифные планы, лицензионные компьютерные программы для сотрудников.

  • Информация – базы данных, номера и PIN-коды телефонных счетов и банковских карт, адреса, паспортные и другие данные клиентов.

  • Техническое оборудование и программное обеспечение. Злоумышленники способны внедрять зловредное ПО во внутренние сети, использовать для его рассылки ресурсы компании, вносить неправильные настройки в работу оборудования как с целью извлечения выгода, так и желая навредить.

Источник угрозы

В основе любого злоупотребления стоят, разумеется, люди, сотрудники компании. Обладатели сомнительного и даже криминального прошлого, с откровенным пренебрежением относящиеся к трудовой дисциплине и внутрикорпоративным правилам, интересам работодателя и клиентов, воспринимающие всех и вся лишь как источник личных доходов. Разумеется, эгоизм не повод для увольнения, однако дополнительная проверка всех, или хотя бы совершаемых с деньгами и важной информацией операций таких сотрудников весьма желательна.

К подозреваемым стоит отнести и тех, кто демонстрирует резко отличающиеся от средних показатели – они могут быть результатом откровенных приписок.

Система, где работают люди, является другим важным источником угрозы. Слабоверифицируемое движение денег, открытый доступ к базам данных и другой информации, отсутствие проверок и вышестоящего контроля способны подтолкнуть к злоупотреблениям даже тех, кто изначально к ним не склонен.

Наконец, существенную угрозу создает мягкое отношение к злоупотреблениям самой компании. Большинство из них предпочитают закрывать глаза на мелкие нарушения, и даже крупные решать внутренними силами, без привлечения правоохранительных органов, ведь огласка повредит репутации, оттолкнет клиентов. В результате мошенникам грозит в худшем случае увольнение, но никак не реальный срок. А раз так – в придачу к зарплате можно использовать и другие источники дохода.

Анализ риска

Наиболее высокий риск злоупотреблений своим положением и полномочиями наблюдается там, где низкая трудовая культура и дисциплина сочетается с плохой организацией бизнес-процессов, единоличными решениями без вышестоящего контроля и внешнего аудита. Когда отчеты принимаются на веру без подтверждения, а руководитель может выписывать крупные премии по собственному желанию, ничто не помешает сотрудникам рапортовать о фейковых успехах и получать за них внушительные бонусы.

Отношение к клиентам также серьезно влияет на вероятность внутреннего мошенничества. Не секрет, что многие компании используют для получения денег все возможные способы, навязывая дополнительные, зачастую ненужные услуги. Однако, регулярно обманывая клиентов, сотрудники со временем начинают негативно воспринимать и работодателя. Собственно, а почему нельзя обмануть его? Некоторые даже рассматривают это как своего рода справедливость.

Для минимизации внутренних злоупотреблений необходимы регулярные проверки, контроль результатов работы и финансовых потоков вкупе с повышением корпоративной культуры, а также честное отношение к клиентам.

Другое направление – использование современных информационных систем по предотвращению внутреннего фрода. Благодаря комплексному анализу как проводимых компанией транзакций, так и поведению отдельных сотрудников (резкое изменение их показателей работы, наличие дружеских связей с клиентами, траты много больше зарплаты, сомнительное прошлое), такие системы позволяют выявить подозрительных работников, в отношение которых можно осуществить более серьезные проверки.

Наконец, само наличие подобных антифрод-систем и высокий риск разоблачения служат серьезным предупреждением для потенциальных мошенников, подавляя в зародыше саму мысль о незаконной прибыли за счет компании.