Administratori su najčešća prijetnja i čine čak 45 posto prevarava, motivi su im osveta ili sabotaža. Netehničke osobe koje imaju legalan pristup čine 44 posto, a motiv je uvijek novac. Pronevjeru rade dugo i teško se otkrivaju. Rukovoditelji sektora, marketinški stručnjaci, programeri i znanstvenici čine 11 posto. Primjeri su različiti – od krađe baze kupaca pri odlasku iz tvrtke do krađe intelektualnog vlasništva.
Kontrolom prolaza, ispravno propisanim i implementiranim pravima pristupa informacijama, definiranim načinima sigurnog upravljanja i sigurne uporabe informacija i informacijskih sustava itd. U doba recesije, ističe IT stručnjak u tvrtki Infigo IS Bojan Ždrnja, kada i brojni zaposlenici dobivaju otkaze katkad je čak i lakše naći osobu koja je voljna ukrasti podatke ili napraviti štetu, a još ima pristup sustavu (npr. zaposlenik koji za mjesečna prestaje raditi). No ovdje bih možda istaknuo da se danas čak i češće putem sigurnosnih ranjivosti kompromitira računalo zaposlenika na internom računalnom mreži tvrtke pa da se računalo rabi kao ‘odskočna daska’ za daljnje upade. Primjer takvog napada je onaj na Google potkraj prošle godine. Takvo kompromitiranje može se postići putem interneta, ali i napadima socijalnog inženjeringa kada napadači na kompaniju njezinim zaposlenicima daju USB medij koji oni svojevoljno spajaju na opremu tvrtke – kaže Ždrnja i dodaje da se prema njegovu iskustvu u Hrvatskoj tvrtke još više štite od vanjskih napadača, no nerijetko zanemaruju interne prijetnje koje su katkad i veće.
Pristup internom računalnom mreži, nastavlja, danas se obično ostvaruje tako da se na računalo zaposlenika instalira nekakav trojanski konj ili program koji omogućava udaljeno upravljanje putem interneta. Ako su kontrole neadekvatne, to nije velik problem za napadača, bilo da to radi u suradnji s insajderom ili ne. Druga je stvar interna računalna mreža. Ovdje insajder može pomoći napadaču jer zna kako funkcionira mreža i gdje su traženi podaci. Iako i napadač sam može doći do tih podataka, suradnja s insajderom je brža, pa često omogućava krađu kritičnih podataka u kratkom vremenu jer napadač ne mora lutati u potrazi – objašnjava Ždrnja. Tako napadač često nastaje doći do bilo kakvih podataka koji se mogu poslije unovčiti na ovaj ili onaj način. Npr. podaci o budućoj akviziciji tvrtke mogu im pomoći u kupnji/prodaji dionica ili podaci o npr. prodajnim cijenama određenih proizvoda nekim klijentima mogu im pomoći u pregovaranju s drugim stranama. Napokon, nekad napadači mogu napraviti štetu bez ikakvog razloga – najčešće je ovdje riječ o reputacijskoj šteti kada se npr. ukradu neki interni podaci (npr. elektronička pošta direktora) i objave na internetu. Detektiv Blažek objašnjava da dobro organizirana tvrtka s procedurama pruža znatno manju mogućnost djelovanja insajderima. Prema iskustvu kriminalista i proučavanju kriminologa, kaže, postoje kompanije koje su češće mete grabežljivaca. To su one sklonije riziku i ‘halapljivosti’ za zaradom pa se na neki način nekontrolirano brzo šire manje ulazući u sigurnost. Takve kompanije angažiraju kadar ne gubeći previše vremena u provjeravanju referenci, rezultata prošlog rada ili općenito njihove kvalitete. U takvom nekontroliranom rastu nastaju nužne pogreške. Primjerice, u rastu kompanije može doći do reorganizacije i zaposlenik shvati da se u novoj konstelaciji ne primjećuju pogreške jer nije predviđena procedura pa nastaju krađe. Dobar je primjer Pevec za razliku od Bauhausa u kojem postoje sigurnosne procedure, što se očituje u znatno manjoj šteti – kaže Blažek.
