Подсчитываем ущерб
Для крупных компаний издержки, связанные с мошенничеством, неавторизованными платежами и некорректными закупками, разные аналитики оценивают по-разному. По всему миру в среднем их объем составляет от 1,2 до 5% от общего оборота. Казалось бы, не так уж и много. Тем более, что максимальные оценки дают специалисты в области безопасности или компании, предлагающие решения для защиты от фрода. Они объективно заинтересованы в том, чтобы сгущать краски, соответственно и относиться к такому источнику надо с определённой осторожностью.
Но это показатели из разряда «средней температуры по больнице». В разных мировых регионах, в разных отраслях и на предприятиях разного масштаба объемы ущерба существенно различаются. Так, возможностей для злоупотреблений в сфере телекома в разы, если не на порядок, больше, чем, например, в машиностроении. В мире потери телекоммуникационной отрасли составляют, по минимальным оценкам, 7% от оборота. Играет свою роль и объем бизнеса — просто в силу того, что бизнес-процессы в крупной и в небольшой компании часто построены по-разному, что закрывает одни пути для краж, зато открывает другие.
И наконец, чем менее развит рынок, тем больше потери. Например, для России, которая относится к развивающимся рынкам, минимальная оценка потерь от мошенничества составляет 1,9% против среднемирового показателя в 1,2%. В 2014 году более 60% российских компаний заявили о том, что в течение последних двух лет они стали жертвами экономических преступлений. И чем ликвиднее продукция, тем больше ущерб от мошенничества. Скажем, руководитель внутреннего контроля Kellogg Company Дмитрий Курганов на конференции «Эффективная борьба с мошенничеством и ИТ-безопасность бизнеса», проведенной Клубом финансовых директоров, оценил средний уровень потерь в сфере производства продовольственных товаров и предметов повседневного спроса в 10–14%.
Участники этой же конференции констатировали, что проблема злоупотреблений и краж начала проявляться и там, где раньше ее практически не существовало. На это сетовали, например, заместитель генерального директора по экономике и финансам компании «Артпласт» Дмитрий Гинкулов и руководитель отдела безопасности типографского комплекса «Экстра-М» Юрий Евтин.
В результате потери даже на минимальную величину измеряются миллиардами в твердой валюте. Если аналитики из Smart Cube и Checkpoint Systems оценивают ущерб от фрода и краж в российской рознице в 1% от оборота, то эта величина эквивалентна 6 млрд долл. Причем на кражи со стороны посетителей приходится лишь треть данной суммы. И это при том, что средняя маржинальность в российской рознице не превышает 7% от оборота. Так что сокращение такого рода издержек способно существенно поднять доходность бизнеса.
При этом некоторые участники рынка называют и большую величину потерь. В частности, генеральный директор группы компаний «Интер Айс» Сергей Куранов оценивает потери от краж в 2–3% от оборота. Впрочем, данная группа компаний объединяет мелкорозничные торговые точки, где возможностей для всяческого рода злоупотреблений существенно больше, чем в обычном магазине. Да и в целом в продовольственном сегменте ущерб от краж превышает средние показатели по отрасли. В зоне повышенного риска находятся и такие товарные группы, как модные аксессуары, электроинструменты, мобильные телефоны (см.: Полина Смертина. На такие правонарушения даже полиция редко выезжает//КоммерсантЪ, 12 ноября 2015).
А для некоторых сегментов, например для микрофинансового бизнеса, фрод и вовсе является основным источником издержек. Так, в своем выступлении на конференции «Эффективная борьба с мошенничеством и ИТ-безопасность бизнеса» директор департамента безопасности компании «Быстроденьги» Антон Грунтов отметил, что в одной из российских областей ущерб от деятельности некой мошенницы, продолжавшейся всего два месяца, превысил потери от посягательств традиционного криминала за целый год.
Портрет типичного мошенника, или О проблемных кадрах
Как показывает практика, 10% работников не будет воровать ни при каких условиях. Столько же, наоборот, будет это делать при всяком удобном случае. Остальные же действуют по обстоятельствам, в зависимости от ситуации в коллективе.
Естественно, в зону риска попадают те, кто имеет доступ к финансовым и ликвидным материальным ресурсам в больших объемах. Сюда относятся сотрудники подразделений, занятых закупками или сбытом. Как правило, это руководители среднего звена со стажем работы не менее трех лет. Именно за такой срок удается найти «дыры» в бизнес-процессах компании, с одной стороны, и обрасти нужными связями — с другой. Кроме того, не секрет, что новички всегда находятся под более плотным контролем, чем те, кто работает уже давно и приобрел устойчивую положительную репутацию. И, естественно, это специалисты довольно высокой квалификации. Другие не смогут успешно проводить мошеннические или коррупционные схемы, оставаясь при этом незамеченными.
Однако воруют и работники более низкого уровня, и топ-менеджеры. Так, например, значительная часть в потерях той же розничной торговли, особенно если речь идет о продовольственных товарах или о предметах повседневного спроса, приходится на мелкие хищения, которые совершают грузчики и продавцы. Однако погоду они все же не делают, ограничиваясь буквально пачкой пельменей или батоном. Так что если открыть недорогую столовую, то количество таких краж быстро сократится.
Это косвенно подтверждается и тем, что в непродовольственной рознице ущерб как минимум не ниже, чем там, где украденное можно банально съесть или выпить не отходя от рабочего места. Зато возможностей для манипуляций с программами лояльности, которыми часто пользуются недобросовестные кассиры, куда больше. А тут нередки случаи, когда дорогой товар, например крупная бытовая техника или мебельный гарнитур, покупался за 4% его реальной стоимости. Если прямые кражи такого рода товара — большая редкость, то махинации кассиров выявляются регулярно.
Отдельной категорией являются те, кто попал в сложную жизненную ситуацию. В кризис количество таких людей растет, и есть тенденция к тому, что дальше оно будет расти еще больше. Прежде всего за счет тех, кто испытывает трудности с возвратом кредитов. Причем люди часто берут все новые и новые кредиты для того, чтобы отдать прежние. Для этого используются и микрофинансовые компании, где ставка по кредитам чрезвычайно высока (обычно 2% в день) и сумма долгов растет, как снежный ком.
Бывает и так, что сотрудники идут на крупные хищения, если кто-то из членов их семьи оказался в должниках у серьезного криминала. Традиционная организованная преступность всегда занималась ростовщичеством и не оставляет этот высокодоходный бизнес, а при взыскании долгов бандиты ничем себя не ограничивают. Или просто этим самым членом семьи является наркоман, который задолжал своему драгдилеру. В этой среде взыскание долгов также работает чрезвычайно жестко. Впрочем, такого рода ситуации хоть и сильно участились в последнее время, все же не слишком распространены. Тем более, что о сокрытии следов виновники думают в последнюю очередь, так что выявляются эти посягательства практически со 100%-ной вероятностью.
Крайне проблемной категорией являются также любители азартных игр. Они скорее рано, чем поздно, залезают в долги и для того, чтобы их покрыть, пытаются поднять свои доходы всеми возможными способами, включая кражу и мошенничество. Впрочем, они действуют грубо и неаккуратно, теряя осторожность, так что выявляют их довольно быстро.
О посягательствах извне
В последнее время компании все чаще сталкиваются с деятельностью не только внутренних, но и внешних злоумышленников. Причем ущерб от таргетированных атак извне (APT в английской аббревиатуре) может превышать издержки от внутренних краж и мошенничества.
Как правило, предметом внешних посягательств являются денежные средства или информация, которую легко монетизировать (например, реквизиты платежных карт) или которую можно использовать для кражи личности (в частности, паспортные данные чрезвычайно востребованы при кредитных мошенничествах). В результате по данным глобального опроса, проводимого консалтинговой и аудиторской компанией PricewaterhouseCoopers, риски, связанные с атаками, с 2012 года устойчиво входят в первую пятерку. Подобного рода угрозы называются даже в качестве одного из основных препятствий для роста бизнеса, так как службы безопасности часто не позволяют внедрять новые ИТ-системы, опасаясь их уязвимости перед атаками.
При этом если еще в 2012 году потенциальными жертвами атак были исключительно крупные компании, то сейчас не могут считать себя в безопасности и средние, а порой и мелкие. Впрочем, эти последние являются для хакеров своего рода трамплином при атаках на их более крупных контрагентов или банки, где такие небольшие фирмы обслуживаются.
Сценарий такой атаки, как правило, состоит в том, чтобы занести в корпоративную сеть специальным образом подготовленную вредоносную программу. Обычно всё сводится к адаптации уже имеющихся зловредов, которые, тем не менее, не обнаруживаются тиражным антивирусным ПО в течение довольно длительного времени. Как показывает практика, в среднем от момента внедрения до обнаружения такого вредоноса может пройти полгода и даже больше.
Но это далеко не единственный возможный сценарий. Часто хакеры просто вторгаются в сеть, используя незакрытые уязвимости, которые можно найти практически в любой системе. Как показывают данные аудиторских компаний, успехом завершается до 90% тестов на проникновение. Причем в половине случаев для этого не требуется высокая квалификация исполнителя.
Бывает и так, что злоумышленником становится сотрудник внешнего подрядчика. Например, по итогам 2014 года жертвой такого рода мошенников оказались покупатели одной из российских розничных сетей, где в кассовую систему были внесены изменения, из-за которых на счет аферистов переводились небольшие суммы со случайных покупок. В итоге их «улов» измерялся девятизначным числом. И он мог быть еще больше, если бы не случайное разоблачение.
Как сократить ущерб
К сожалению, «волшебной таблетки», которая позволила бы решить проблему краж и мошенничества раз и навсегда, не существует. Но есть приемы, благодаря которым можно сократить ущерб от такого рода посягательств, причем многократно. И далеко не все из них требуют внедрения технических средств.
Впрочем, это не делает их простыми. Так, выше уже говорилось, что персонал в продовольственной рознице зачастую идёт на кражи из-за банального голода, и появление недорогой столовой сразу снижает ущерб от краж. Но организация этой самой столовой требует времени и материальных ресурсов. Хорошую помощь может оказать также система видеонаблюдения. Естественно, при условии быстрой реакции сотрудников службы безопасности на каждую попытку кражи. Но опять же установка такой системы, которая охватывала бы самые укромные уголки, дело затратное.
Многого можно достичь, если отсечь потенциально проблемные кадры на стадии отбора. Но эта задача весьма непроста. Ее решение невозможно без активного обмена информацией между HR-службами в разных компаниях. Ведь не секрет, что «по статье» увольняют далеко не всех, кто попался на краже и прочих злоупотреблениях, ну а для того, чтобы быть привлеченным к уголовной ответственности за всякого рода темные делишки, пусть и с условным сроком, и вовсе надо очень сильно постараться.
Тем не менее проверка аффилированности — задача вполне решаемая. И одна только эта мера позволит предупредить проблемы, связанные с коммерческим подкупом или с решением чьих-то бизнес-интересов за счет компании. Выявление любителей азартных игр несколько сложнее, но также возможно. Правда, для этого придется приложить чуть больше усилий или прибегнуть к услугам специалистов.
Невозможно обойтись и без повышения квалификации сотрудников служб безопасности. Расследование экономических преступлений, особенно совершаемых с помощью высокотехнологичных инструментов, всегда было делом весьма непростым. Так что нужно находить время и ресурсы для того, чтобы соответствующий персонал, что называется, не отставал от жизни.
Тем не менее для предотвращения внешних атак без использования технических средств не обойтись. Сейчас средства борьбы с APT-атаками достигли достаточного уровня зрелости, не требующего тщательной и сложной настройки, для проведения которой нужен квалифицированный персонал или помощь внешних специалистов. Причем объективно лучшими решениями являются облачные сервисы, когда капитальные затраты на приобретение лицензий отсутствуют в принципе, а время на внедрение минимально.
С другой стороны, крупным компаниям, прежде всего территориально распределенным, сложно будет обойтись без внедрения полноценной системы мониторинга и корреляции событий, а то и ее расширенного варианта в виде ситуационного центра по информационной безопасности (Security Operation Center — SOC). И тому есть удачные примеры. Так, SOC Газпромбанка, существующий с 2010 года, выявляет до полусотни инцидентов в день, в том числе десять уникальных. В среднем же, по данным исследования Ponemon Institute, проведенного осенью 2014 года в ряде стран, включая Россию, компании, которые внедрили решения SIEM, за год сэкономили по 5,3 млн долл. за счет того, что повысили эффективность реагирования на инциденты.
Неплохие результаты дает и внедрение систем предотвращения утечек данных (DLP). Системы DLP последнего поколения, которые базируются на аналитике больших данных, позволяют выявлять практически любые отклонения от типичной картины, за которыми с очень большой вероятностью скрываются нарушения. Кроме того, с помощью таких решений можно определять людей, принадлежащих к потенциально проблемным категориям, в частности тех же игроков, которые попадаются на специфической лексике. Такие системы служат также действенным инструментом для выявления той же аффилированности.
И наконец, на рынок выходят технические средства, ориентированные на выявление и предотвращение фрода и мошенничества. Да, такого рода инструменты существуют довольно давно, но они были дороги, сложны во внедрении и ограничены рамками одной отрасли, например телекоммуникационной. Но начинают появляться и более доступные решения. Важно отметить, что некоторые из таких инструментов разработаны в содружестве с аудиторскими компаниями и аналитиками-криминологами, например SAP Fraud Management. Ведь именно аудиторы и аналитики в области экономических преступлений способны обнаружить те самые дыры в бизнес-процессах и схемах хищений, которыми пользуются злоумышленники.
И уже имеющаяся статистика результатов внедрения такого ПО выглядит обнадеживающе. Потери от краж, злоупотреблений и просто из-за ошибок в ходе закупок и неавторизованных платежей удалось сократить в среднем вдвое. Причем затраты на внедрение SAP Fraud Management были как минимум на два порядка ниже, чем потери от всяческого рода махинаций, даже если брать в расчет минимальные оценки ущерба от краж и мошенничества.