Защита бизнеса от мошенничества

ИБ-аутсорсинг
на базе DLP-системы

СёрчИнформ КИБ
30 дней для тестирования ИБ-аутсорсинга ОФОРМИТЬ ЗАЯВКУ
Время чтения
Шрифт

Работа предпринимателя сопряжена с многочисленными рисками, особенно в информационном поле. Среди этих рисков – конкуренты, злоумышленники, которые намерены похитить ценные сведения, недобросовестные клиенты. Защититься от рисков можно, ориентируясь в моделях угроз, особенностях различных видов мошенничества и современных средствах безопасности.

Модель угроз

Большинство руководителей компаний оказываются в ситуации, когда рынок не готов предложить готовый пакет мероприятий по защите от большинства угроз. Можно рассчитывать на технические средства, защищающие от утечек данных. Но чтобы оградиться от большинства неприятностей, систему защиты приходится выстраивать самостоятельно, опираясь на службу безопасности. 

Среди наиболее типичных проблем, с которыми сталкивается владелец бизнеса:

1. Недобросовестность рядовых сотрудников. Она может выражаться в использовании служебного положения в личных целях, в кражах имущества и воровстве данных, в работе на конкурентов. Большинство случаев такой недобросовестности может квалифицироваться как один из видов мошенничества.

2. Конфликт с наемным управляющим. Очень часто собственник, чуть снизивший уровень контроля, теряет бизнес в результате действий генерального директора или другого топ-менеджера. Такой менеджер способен создать фиктивную задолженность или продать основные активы за минимальные средства, пользуясь полномочиями, указанными в уставе. Точно так же финансовый директор, размещающий свободные ресурсы и отвечающий за инвестиционную политику, способен использовать средства акционеров в своих целях.

3. Работа конкурентов. Они часто используют недобросовестные методы усиления своего положения на рынке, готовы похитить исключительные права на продукцию или базу клиентов, подкупить сотрудника.

4. Деятельность рейдеров. Мало кто из владельцев бизнеса может быть уверен, что его система защиты от захвата выстроена верно. И очень часто поглотители компаний начинают свою работу с хищения ценных сведений, необходимых им для выстраивания схемы нападения.

5. Конфликты акционеров. Часто один из участников бизнеса, недовольный политикой других, он прибегает к изощренным схемам мошенничества, направленным на усиление своей позиции.

6. Нечестность поставщиков, подрядчиков, заказчиков. Нередко именно ее относят к классическим видам мошенничества, когда партнер своевременно не осуществляет платеж или не поставляет товар, а предложенное им юридическое лицо оказывается фирмой-однодневкой, которая не в состоянии отвечать по возникшим обязательствам.

7. Действия профессиональных мошенников. Если компания не находится по своему юридическому адресу, а директор не погружен в ее интересы, средства с расчетного счета могут быть списаны по исполнительному документу, причем, не получив уведомление из суда, компания даже не узнает о наличии инсценированного спора. Иногда эта технология модифицируется в списание средств со счета на основе удостоверения комиссии по трудовым спорам, которая фактически не создавалась на предприятии. Иногда именно эта методика получения незаконного решения суда используется для намеренного банкротства.

Эти схемы часто реализуются вместе. И борьбу с ними нужно выстраивать, начиная с создания релевантной модели угроз. Понимая, откуда ждать нападения, и выстроив систему мониторинга отклонений в поведении партнеров или персонала, говорящих о вероятном намерении совершить хищение, можно быстро отреагировать на угрозу и предотвратить действия мошенников как самостоятельно, так и с привлечением правоохранителей.  

Организационные меры защиты бизнеса от мошенничества

Большинство владельцев бизнеса опираются на мнение, что тщательно отработанной системы организационных мер достаточно, чтобы избежать мошенничества со стороны сотрудников. 

Обычно она выстраивается на следующих уровнях:

  1. Создание системы внутренних положений, регламентирующих доступ к данным, выстраивающих систему учета, предлагающую меры дисциплинарного воздействия за нарушение этих регламентов.
  2. Регулярное проведение аудиторских проверок и ревизий, призванных исключить риски мошенничества. В этом же русле лежит создание службы внутреннего контроля. 
  3. Выстраивание системы подбора контрагентов как методом изучения их документов, так и проведением тендеров на поставку услуг или товаров, исключающих риск мошенничества. В этой работе могут помочь специализированные базы данных, предлагающие бизнесмену доступную информацию о контрагентах – от налоговых задолженностей до судебных исков.
  4. Снижение ценности бизнеса для потенциального захватчика различными методами – от выходных пособий для ключевого персонала до подготовки такой редакции учредительных документов, которая исключает продажу имущества или преднамеренное банкротство, вызванное действиями директора, например, созданием фиктивной задолженности.

Ни один из этих механизмов не работает, если руководитель имеет дело с опытным мошенником, способным внести незаметные исправления в систему учета. Ни аудиторы, ни ревизоры иногда годами не могут обнаружить хищения. 

Меры защиты бизнеса от угроз, связанных с действиями инсайдера, который разбирается в тонкостях работы служб IТ, бухгалтерии и безопасности, должны основываться на пяти факторах:

  • тотальное протоколирование всех действий пользователей в сети, позволяющее выявить любые неконтролируемые попытки доступа к конфиденциальной информации и ее изменения;
  • осторожный подход к подбору сотрудников с учетом всех новейших тенденций его оценки – от профайлинга до ассессмента (метод комплексной оценки персонала в бизнесе);
  • построение эффективной системы мотивации персонала, при которой честность становится более выгодной, чем хищение или мошенничество;
  • контроль исполнения договоров, отслеживание возникновения даже краткосрочных задолженностей;
  • внедрение таких способов и средств защиты информации, которые не дадут возможности мошенникам использовать недочеты системы безопасности в личных целях.

Система безопасности организации должна быть достаточной, но не избыточной. Часто службы безопасности сами становятся виновниками мошенничества, вводя собственника в заблуждение и пользуясь ресурсами компании, расходуя значительные суммы на заведомо не оказанные услуги. Точно так же не стоит полностью опираться на мнение службы безопасности при подборе персонала, часто консультации опытного психолога или HR-специалиста помогают решить задачу подбора и расстановки персонала наилучшим образом.

13.11.2019

ПОДПИШИТЕСЬ НА ПОЛЕЗНЫЕ СТАТЬИ

Рассказываем о тенденциях отрасли, утечках и способах борьбы с ними