Шахрай у банку українські практики
У банках працюють живі люди, зі своїми достоїнствами, талантами та, на жаль, особливостями. Останні змушують їх робити неприємні вчинки, про які — у разі успіху — із задоволенням пишуть ЗМІ. Але більшість історій все ж таки залишається за кадром.
«Захист ваших технологій – це захист фінансів. Комп'ютер, який приймає рішення, треба убезпечити», - заявив Артем Сичов, заступник начальника головного управління безпеки та захисту інформації Банку України у своєму виступі на третій щорічній конференції-консиліумі «ІТ-бюджет банку - 2017». На тлі недавніх новин про те, що іноземні спецслужби «руками» хакерів збираються дестабілізувати фінансову систему України, попередження Артема Сичова виглядає більш ніж обґрунтованим. Однак, як ми бачимо з власного досвіду та досліджень у цій галузі, як і раніше, високий ризик виходить не так від зовнішніх зловмисників, як від щоденної «непомітної» роботи внутрішніх шахраїв.
«Продам персональні дані. Недорого»
Один із українських банків зіткнувся з проблемою відтоку клієнтів без видимих причин. Служба безпеки посилила контроль, і невдовзі DLP-система виявила підозрілий лист співробітника.
З тексту було зрозуміло, що керівництво відділу роботи з юрособами передає межі банку персональні дані клієнтів. Службове розслідування підтвердило підозру: інформація витікала до конкурентів, які забирали позичальників, пропонуючи їм вигідніші умови. Банк підрахував, що щорічно втрачав близько 108,5 млн рублів через догляд клієнтів. Крім того, злив інформації загрожував штрафом 500 тис. рублів.
«Я помщу. І помста моя страшна! »
Іншим досвідом поділився один із найбільшихпо капіталу банків ближнього зарубіжжя, співробітник якого діяв над корисливих цілях, та якщо з бажання помститися. Не отримавши керівну посаду, службовець вирішив «злити» інформацію про кількість цінних паперів у розпорядженні акціонерів.
Причому дані розкривали розподіл часток аж до другого знака після коми. Співробітник планував передати їх у пресу, що підірвало б репутацію банку та пішло на руку конкурентам. Проте служба ІБ вчасно виявила проблему та запобігла інциденту. За підрахунками експертів банку, якби витік стався, за рік організація могла б втратити понад 72,1 млн. рублів.
«Піду на все. За відкат»
Згідно з дослідженням аналітичного центру «Серчінформ», з 2014 року кількість співробітників, спійманих на відкатах, зросла майже в 1,5 рази. При цьому 30% респондентів відзначили, що суми відкатів стали більшими. І фінансові установи не виняток: тут люди найчастіше готові небезоплатно «сприяти» щодо кредитування.
Викрив подібну схему і наш клієнт із фінансового сектору. Офіцер безпеки зафіксував факт звернення одного із співробітників до особистої пошти у робочий час. Серед останніх листів DLP-система виявила листування з клієнтом банку. Що цікаво, досьє цього клієнта, як потенційного позичальника, розглядалося на останньому засіданні кредитного комітету. І згаданий вище службовець захищав претендента як сумлінного, аби запропонувати індивідуальні умови кредитування. За фактом інциденту служба безпеки провела розслідування та з'ясувала, що співробітник «намагався за відкат». Зрозуміло, його було звільнено, не отримавши «подяки».
До речі, досвід роботи з такими інцидентами в банках показує, що найчастіше у відкатних схемах беруть участь фінансові директори.аудитори, головні бухгалтери та керівники відділів фінансового контролю. До групи ризику потрапляють і керівники інших напрямів, які відповідають за бюджет (IT-директор, директор з адміністративно-господарської роботи тощо).
І прецеденти з'являються у пресі. Взяти хоча б свіжу історію з екс-головою правління Рента-банку Людмилою Лепко. Посібниками у справі виступали службовці організацій, які обслуговувалися в банку раніше, що зняло підозри спочатку. Співучасники готували пакети підроблених документів для отримання кредитів від імені директорів цих фірм, які нічого не підозрювали. А екс-голова, використовуючи службове становище, давала вказівку співробітникам банку підготувати акти про перевірку наявності у фірм товарів у обороті, оцінку рівня кредитного ризику за позикою та протоколи засідання кредитного комітету. Попередньо Лепко запевняла підлеглих у тому, що кандидати вже пройшли перевірку та задовольняють усі умови. Виділені гроші перенаправлялися до фірм-одноденків, як тільки надходили на рахунки позичальників. Так шахраям вдалося викрасти понад 70 млн. рублів.
Хто будь-що
Зрозуміло, що навести розгорнутий та закінчений огляд схем шахрайства в банках неможливо: у бажанні збагатитися чи досягти справедливості люди звертаються до вже побитих прийомів чи йдуть на нові хитрощі.
Одні співробітники виводять гроші з рахунків клієнтів (як трапилося в АТ «Український міжнародний банк», працівник якого підозрюється у розкраданні 155 млн. рублів). Інші службовці зламують банківські осередки (як сталося в Газпромбанку, чиї клієнти втратили загалом €1,5 млн). Треті публікують у мережі номери рахунків із іменами власників, щоб залучити покупців на повну базу персональних даних (як було з американським банкомMorgan Stanley).
А буває, рядові співробітники фінустанов просто піддаються спокусі підзаробити, коли пропозиції надходять ззовні. Таким кейсом поділився наш клієнт з небанківської сфери: їхні співробітники, маючи дані чужих карт, шукали можливість перевести в готівку рахунки через банк, «який не ставитиме запитань». Служба безпеки перехопила розмову службовців у Skype, з якої випливало, що виконавця знайдено: «…турецький банк. отримаємо бабки без запитань, якщо поділимося 10%». По суті, банк від такої операції нічого не втрачав, але репутація могла б постраждати, якби потрапив інцидент у пресу.
Якщо вірити Агентству зі страхування вкладів (АСВ), за дев'ять місяців 2016 року співробітники українських банків намагалися викрасти близько 51 млрд. рублів з рахунків 57 тисяч вкладників.
У ході підготовки та проведення страхових виплат АСВ стикалося з «подвійною бухгалтерією», фактами розкрадання коштів з рахунків вкладників та знищення електронних баз даних та первинних документів з метою приховання виведення активів. У звіті також йдеться про випадки формування фіктивної позикової заборгованості перед фізичними особами.
Захист як китайська стіна
З дотриманням цих рекомендацій головного болю у банків стане менше, але ми зі свого боку бачимо ще одну проблему: незважаючи на те, що фінустанови найбільше займаються питаннями безпеки, схеми шахрайств удосконалюються і витоки інформації все одно відбуваються. Отже, банкам потрібно працювати на випередження: передбачати нові загрози і знаходити ефективні засоби захисту. Робити це поодинці просто неможливо, тому ринок потребує створення закритої спільноти, де співробітники служб безпеки могли б обмінюватися досвідом, відкрито обговорювати проблеми та шукати рішення. прикладомтакого майданчика вже став уральський форум «Інформаційна безпека фінансової галузі». Свій внесок у консолідацію вносимо і ми щороку проводячи Road Show для фахівців з безпеки. Інцидентів у банківській сфері поменшає, якщо тенденція закріпиться, а засоби контролю та захисту постійно вдосконалюватимуться.