Нет, мы конечно верим в честных людей и преданных делу сотрудников. Но ситуации, когда к финансовому ущербу компании причастен (а то и непосредственно организовал) нанятый топ-менеджер или, например, главный бухгалтер – они сплошь и рядом. То зеркальных фирм наделают и давай контракты переводить или закупки втридорога у родственников организовывать. То платеж сами куда-то не туда отправят, а вину на мифических хакеров с вирусами этими зловредными сваливают. В общем, не редкость это. Особенно во времена кризисных хаосов, в надежде «а вдруг не заметят». Но нет, замечают. Где-то сам собственник вопросы начинает задавать, где-то внешний аудит показал странное, а где-то есть специальные служба внутри бизнеса – комплаенс или даже служба экономической безопасности. Хотя это уже конечно для совсем больших.
Кому подчинить эту самую службу контрразведки комплаенса (и реже ЭБ), чтобы была максимальная эффективность? Скорее всего непосредственно СЕО. А если тот и сам нанятый менеджер, которого тоже неплохо было бы контролировать, то Совету директоров во главе с собственником.
Чтобы свои обязанности достойно исполнять, у комплаенс офицеров (их почему-то так принято называть) ожидаемо должны быть компетенции в проверяемо-контролируемой сфере. То есть они должны уметь в финаудит, бухгалтерию. Аффилированность проверить, связи построить – это базовый осинт плюс умение пользоваться специализированными базами и софтом. Навыки выявления и раскручивания как минимум базовых мошеннических схем тоже нужно. Еще несколько пунктов добавить и все, получился отличный спец. Ни одна мышь не проскочит. Или нет?
Вот выясняется, что давно уже нет. Ведь в этом списке мастхэв навыков нет IT. Ну кроме пользования аналитическим софтом (на самом деле чаще Контуром или аналогами). А когда все проводки-схемы-взаимосвязи находятся в информационных системах чуть менее, чем полностью – как без этих компетенций-то? Вы тут скажете «минуточку, не надо тут смешивать, есть же специально обученные люди на это». Да, вы правы. Но не совсем. ИТ-подразделения, конечно, есть. Почти у всех. У многих. У некоторых даже ИБ есть. Где-то ИБ это отдельная структура с подчинением СЕО, но где-то – это часть IT-подразделения с подчинением СТО.
При этом нередко ИБ – это в основном про борьбу с внешними угрозами в виде безликих хакеров и в основном в ключе анти-DDoS активностей. А из внутреннего – это отлов инсайдеров и похитителей баз данных с клиентами фирмы, где все сводится к правильной настройке DLP и прочего. И к общему комплаенсу эти специалисты особого отношения не имеют и во многих случаях пересекаются только на корпоративах.
Это мы все к чему. Тут в одном «крупном инвестиционном банке» системный администратор чуть не поломал все на корню, пока ловил инопланетян. А когда дело это начало всплывать, он, чтобы предотвратить массовую панику, «незамедлительно запустил код отключения на всем оборудовании и исключил возможность повторного запуска, а также удалил весь софт из сети». И «в результате работа системы была восстановлена, а руководство посчитало, что это была аномалия». Так все у них просто. Сразу как бы все улеглось и волшебные единорожки поскакали дальше по радуге. Но так бывает не всегда.
Вывод из столь странного примера мы делаем следующий: сейчас внутренний фрод или другое посягательство на активы компании маловероятно не только без следов в IT-системах, но и без участия людей, в этих IT-системах разбирающихся. Потому как в каждой более-менее крупной компании уже столько внедрено решений по выявлению нарушений, что простая топорная махинация скорее всего будет выловлена еще «на подлете». И для успешной акции нужен либо гениальный исполнитель на все руки, с познаниями и в финансах, и в процессах, и в системах. Либо группа специалистов разного профиля, что более реалистично.
А дальше в случае фрода получается вот что. Произошедший инцидент рано или поздно все-таки выявляется. К ситуации подключается СБ, ЭБ и/или комплаенс (тут у кого что есть, вариаций масса). Они независимо изучают все с финансовой стороны, выявляют. Причем тут они исходят из того, что априори нельзя доверять ничему, что дала бухгалтерия (финдир, комдир и прочие), пока это не будет независимо перепроверено. Выглядит логично.
Но вот в том, что касается IT – они обращаются за помощью, например, в ИБ. Которая является частью IT-подразделения и подчиняется СТО. И им оттуда выдают данные, которым они доверяют на 100%. Внимание, вопрос: в чем тут разница? Финансовым данным без независимой проверки доверять нельзя, так как предоставившие их лица могут быть причастны к инциденту, а технологическим можно? Есть гарантия непричастности? Или просто нет возможности перепроверить и убедиться в достоверности этих данных?
Так вот, в одной российской компании комплаенс решил, что нет, нельзя доверять. И решил перепроверить, что же там такого в рамках внутреннего расследования обнаружили их коллеги из IT/ИБ. Все ли нашли и все ли из найденного описали в отчетах. И позвали для этой задачи независимых специалистов. Как бы аудиторов, но не тех, что про «вот тут поправьте и вот там довнедрите, и тогда у вас не будет инцидентов», а тех, что разберутся и объяснят, как все на самом деле произошло и кто в этом поучаствовал.
И выясняется по итогам такой работы, что конкретные технические специалисты хотя и не были участниками мошеннической схемы, но вполне могли ее вовремя выявить и активы компании сохранить. Такие вот дела.
Кому подчинить эту самую службу контрразведки комплаенса (и реже ЭБ), чтобы была максимальная эффективность? Скорее всего непосредственно СЕО. А если тот и сам нанятый менеджер, которого тоже неплохо было бы контролировать, то Совету директоров во главе с собственником.
Чтобы свои обязанности достойно исполнять, у комплаенс офицеров (их почему-то так принято называть) ожидаемо должны быть компетенции в проверяемо-контролируемой сфере. То есть они должны уметь в финаудит, бухгалтерию. Аффилированность проверить, связи построить – это базовый осинт плюс умение пользоваться специализированными базами и софтом. Навыки выявления и раскручивания как минимум базовых мошеннических схем тоже нужно. Еще несколько пунктов добавить и все, получился отличный спец. Ни одна мышь не проскочит. Или нет?
Вот выясняется, что давно уже нет. Ведь в этом списке мастхэв навыков нет IT. Ну кроме пользования аналитическим софтом (на самом деле чаще Контуром или аналогами). А когда все проводки-схемы-взаимосвязи находятся в информационных системах чуть менее, чем полностью – как без этих компетенций-то? Вы тут скажете «минуточку, не надо тут смешивать, есть же специально обученные люди на это». Да, вы правы. Но не совсем. ИТ-подразделения, конечно, есть. Почти у всех. У многих. У некоторых даже ИБ есть. Где-то ИБ это отдельная структура с подчинением СЕО, но где-то – это часть IT-подразделения с подчинением СТО.
При этом нередко ИБ – это в основном про борьбу с внешними угрозами в виде безликих хакеров и в основном в ключе анти-DDoS активностей. А из внутреннего – это отлов инсайдеров и похитителей баз данных с клиентами фирмы, где все сводится к правильной настройке DLP и прочего. И к общему комплаенсу эти специалисты особого отношения не имеют и во многих случаях пересекаются только на корпоративах.
Это мы все к чему. Тут в одном «крупном инвестиционном банке» системный администратор чуть не поломал все на корню, пока ловил инопланетян. А когда дело это начало всплывать, он, чтобы предотвратить массовую панику, «незамедлительно запустил код отключения на всем оборудовании и исключил возможность повторного запуска, а также удалил весь софт из сети». И «в результате работа системы была восстановлена, а руководство посчитало, что это была аномалия». Так все у них просто. Сразу как бы все улеглось и волшебные единорожки поскакали дальше по радуге. Но так бывает не всегда.
Вывод из столь странного примера мы делаем следующий: сейчас внутренний фрод или другое посягательство на активы компании маловероятно не только без следов в IT-системах, но и без участия людей, в этих IT-системах разбирающихся. Потому как в каждой более-менее крупной компании уже столько внедрено решений по выявлению нарушений, что простая топорная махинация скорее всего будет выловлена еще «на подлете». И для успешной акции нужен либо гениальный исполнитель на все руки, с познаниями и в финансах, и в процессах, и в системах. Либо группа специалистов разного профиля, что более реалистично.
А дальше в случае фрода получается вот что. Произошедший инцидент рано или поздно все-таки выявляется. К ситуации подключается СБ, ЭБ и/или комплаенс (тут у кого что есть, вариаций масса). Они независимо изучают все с финансовой стороны, выявляют. Причем тут они исходят из того, что априори нельзя доверять ничему, что дала бухгалтерия (финдир, комдир и прочие), пока это не будет независимо перепроверено. Выглядит логично.
Но вот в том, что касается IT – они обращаются за помощью, например, в ИБ. Которая является частью IT-подразделения и подчиняется СТО. И им оттуда выдают данные, которым они доверяют на 100%. Внимание, вопрос: в чем тут разница? Финансовым данным без независимой проверки доверять нельзя, так как предоставившие их лица могут быть причастны к инциденту, а технологическим можно? Есть гарантия непричастности? Или просто нет возможности перепроверить и убедиться в достоверности этих данных?
Так вот, в одной российской компании комплаенс решил, что нет, нельзя доверять. И решил перепроверить, что же там такого в рамках внутреннего расследования обнаружили их коллеги из IT/ИБ. Все ли нашли и все ли из найденного описали в отчетах. И позвали для этой задачи независимых специалистов. Как бы аудиторов, но не тех, что про «вот тут поправьте и вот там довнедрите, и тогда у вас не будет инцидентов», а тех, что разберутся и объяснят, как все на самом деле произошло и кто в этом поучаствовал.
И выясняется по итогам такой работы, что конкретные технические специалисты хотя и не были участниками мошеннической схемы, но вполне могли ее вовремя выявить и активы компании сохранить. Такие вот дела.
Следите за новыми постами в telegram, а также на нашем сайте, где мы рассказываем об арбитражной форензике и компьютерной экспертизе.