Drastičan rast prijevara u svijetu

Prema istraživanjima Američke udruge za istraživanje slučajeva prijevara, samo se u SAD-u zbog prijevara i korupcije unutar kompanija proteklih godina procjenjuju prosječni gubici na 600-tinjak milijardi dolara.

Prema izvješćima PricewaterhouseCoopersa, gubici zbog prijevara u svijetu su od 2003. porasli za više od 50 posto. Zbliženi slučajevi mita i korupcije porasli su više od 70 posto, pranje novca 133 posto, a krivotvorenje podataka u financijskim izvješćima za više od 140 posto – kaže Igor Gregurec, savjetnik u Sektoru savjetodavnih usluga KING ICT-a.

Istraživanje KPMG-a u Velikoj Britaniji za prošlu godinu pokazalo je kako je iznos otkri- venih prijevara bio 1,3 milijarde funti. U toj je zemlji prošle godine zabilježen i znatan porast u gospodarskom kriminalu javnog sektora.

Nedavno istraživanje tvrtke Symantec Corp otkrilo je kako je, kada je riječ o cyber kriminalu, u kojem je najpopularnije trgovanje podacima o kreditnim karticama i bankovnim računima, vrijednost samo onih podataka koji su javno oglašeni putem web-foruma i stranica pretazi 276 milijuna dolara. Cjelokupno svjetsko crno tržište podacima kreditnih kartica od srpnja 2007. do lipnja 2008. procijenjeno je na 5,3 milijarde dolara – kaže Gregurec.

Cijena ukradenih podataka po pojedinoj kreditnoj kartici na crnom tržištu plaća se od 10 centi do 25 dolara, s popustom pri kupnji veće količine podataka. Kako kaže Gregurec, s obzirom na situaciju na svjetskoj razini nije dvojbeno zašto je administracija Baracka Obame u ovoj godini za 50 posto povećala proračun za sprečavanje i oporavak od korupcije i prijevara.

Rezultat kriminala menadžmenta i službenika jest gubitak imovine, gubitak povjerenja partnera i investitora te nepouzdanost financijskih informacija. Motiv uvijek ostaje novac. Pronevjeru rade dugo i teško se otkrivaju. Ostatak od 11 posto jesu rukovoditelji sektora (npr. kroa customer baze za odlaska iz tvrtke), marketinški suradnici, programeri, znanstvenici (kroa intelektualnog vlasništva).

Mjere koje se implementiraju radi umanjenja rizika za kritične informacije moraju biti poslovno isplative, tj. njihov trošak implementacije ne bi smio biti veći od vrijednosti same informacije koja se štiti. Njihovo preventivno djelovanje sa stajališta potencijalnih napadača mora ponovno imati učinak da njima učini neisplativim pokušaje napada – kaže savjetnik u Sektoru savjetodavnih usluga King ICT-a Igor Gregurec i dodaje da često menadžment kompanija pri ulaganju u informacijsku sigurnost ne obraća dovoljno pozornosti na činjenicu da je sustav zaštite kritične informacije snažan koliko i najslabija karika u istom.

Primjerice, osobe odgovorne za informacijsku sigurnost najčešće se uspostavljaju unutar IT sektora, a ne na razini korporacije, pa se u skladu s time i najviše tehničkih mjera ulaže u zaštitu pojedine aplikacije ili pojedinog sektora kompanije. No čim informacija pređe u drugi sektor, tu prestaju i mjere zaštite.

Informacije su danas najvažnija imovina svake kompanije koju insajderi mogu zlorabiti. Zbog toga bi mogao biti ozbiljno narušen neki od tri osnovna parametra informacijske sigurnosti – povjerljivost, integritet ili raspoloživost, što bi stvorilo znatne gubitke u poslovanju, kompanija bi bila izložena sudskim tužbama, odnosno u krajnjim slučajevima, kao kod Enrona, doživjela bi krah.

Neki tipični primjeri kritičnih informacija koje mogu biti meta zlonamjernih napada jesu stavke pojedinih ugovora, povjerljivi podaci o klijentima, podaci vezani uz istraživanja u koja su ulagana velika sredstva, podaci o financijskom poslovanju i drugi vezani uz specifično područje djelatnosti kompanija – kaže Gregurec.

Njegov kolega iz KING ICT-a Marko Jertec, takođe savjetnik, navodi nekoliko primjera poput Société Généralea koji je pretrpio gubitak od 4,9 milijardi eura zbog provođenja nelegalnih transakcija njihova zaposlenika koji je ujedno imao duboka tehnička znanja o implementiranim kontrolnim procedurama jer je prethodno radio na takvom radnom mjestu unutar te banke.

Drugi zanimljiv primjer jest banka RBS koja je u studenom 2008. pretrpjela gubitak od devet milijuna dolara, i to zbog toga što je zaposlenik te banke nakon inicijalnog kontakta te ‘probnog’ razdoblja, tijekom kojeg se zaposlenik morao potvrditi kao pouzdan, dostavio podatke kriminalnoj skupini iz Rusije koja je elektroničkim putem nakon toga mogla prebaciti tuđi novac na bankovne račune pod njihovim nadzorom i podignuti novac. Zaposlenik je to učinio zbog provizije – kaže Jertec, a Gregurec dodaje da zato nije slučajna odluka administracije Baracka Obame što je u 2010. za 50 posto povećala proračun za sprječavanje i oporavak od korupcije i prijevara.

Radeći s hrvatskim kompanijama Gregurec je primijetio tri rizika informacijske sigurnosti koji ostavljaju znatan prostor za zlonamjerne aktivnosti. Jedan je curenje povjerljivih informacija kompanije prema dobavljačima i trećim stranama odgovornima za održavanje kritičnih poslovnih aplikacija zbog njihovih prekomjernih ovlasti na tim sustavima te nekontroliranog pristupa povjerljivim informacijama. U takvoj situaciji kompanija može i ne znajući postati predmet napada konkurencije koja je kupila povjerljive informacije od dotičnog dobavljača te iste iskoristila za preotimanje određenoga tržišnog udjela.

Također je česta situacija izostanak adekvatnog upravljanja sistemskim zapisima, odnosno zapisima aplikacija te i bilo kakvo drugo bilježenje provođenja pojedinih kritičnih aktivnosti ili poslovnih događaja, čime se ostavlja mogućnost da potencijalni napadač počini zlonamjerne aktivnosti i pritom ne otkrije svoj identitet. I rizik od krađe kritičnih prijenosnih računala ili prijenosnih medija za pohranu podataka, primjerice od predsjednika uprave, može isto tako imati štetan utjecaj na poslovanje.