Внутренняя угроза
Секретная служба Министерства национальной безопасности США (раньше была подразделением Минфина) представила результаты первого в своем роде исследования о вреде, который финансовым институтам наносят их сотрудники. Вместе с Carnegie Mellon University Секретная служба проанализировала 23 случая мошенничества (хищение, растрата, мошенничество с бухгалтерской отчетностью, с кредитными картами и др.), совершенных 26 сотрудниками в 1996–2002 гг. В большинстве случаев финансовые компании не приняли самых основных мер по защите от недобросовестных сотрудников, таких как проверка их прошлой деятельности перед приемом на работу. Например, 27% мошенников в прошлом привлекались к уголовной ответственности – обычно за преступления схожие с теми, что они совершили в финансовых компаниях.
В подавляющем большинстве случаев преступления сотрудников не требуют глубоких технических знаний и навыков. Их действия представляют существенную угрозу “благодаря тем знаниям, которыми они располагают, и доступу к корпоративным системам и/или базам данных, а также их способности обходить законными способами имеющиеся физические и электронные барьеры, обеспечивающие безопасность”, говорится в докладе. Использование мошенниками все более совершенных технологий “не вытесняет так называемые низкотехнологичные преступления”, а добавляется к ним, и защищаться нужно от обоих видов преступлений, говорит Брюс Таунсенд, помощник директора по расследованиям Секретной службы.
Среди основных выводов исследователей: в 70% случаев преступления совершались в рабочее время; более четверти сотрудников в прошлом уже привлекались к ответственности, в основном за аналогичные преступления; подавляющее большинство преступлений совершалось с использованием простых и законных способов проникновения в системы и базы данных, порой сотрудники просто пользовались своими паролями.
Самым масштабным из упомянутых случаев мошенничества стали действия валютного трейдера в одном из инвестиционных банков. Он использовал различные способы, включая подтасовку данных в нескольких торговых системах, чтобы его операции выглядели высокодоходными. На самом деле за пять лет он потерял $691 млн, но получил тысячи долларов вознаграждения за свои дутые результаты. Авторы доклада не назвали этот банк, но описание соответствует случаю в Allfirst Financial, американском подразделении ирландского Allied Irish Banks. Трейдер Джон Раснак, скрывавший убытки в $691 млн по валютным операциям, в 2003 г. был приговорен к 7,5 годам тюрьмы.
В 85% случаев кто-то из коллег мошенника имел представление о его деятельности, но не сообщил о ней. Авторы доклада советуют проводить тренинги для сотрудников, чтобы они могли определять подозрительные действия, и создать механизмы, помогающие им сообщать об этом начальству. Также исследователи советуют менять время проведения проверок и аудита. Один из мошенников знал, что проверки результатов деятельности обычно проводятся в конце месяца, квартала и года, и “так планировал свои незаконные действия, чтобы избегать их”.
(WSJ, 25.08.2004, Михаил Оверченко)