Egyszer volt egy álmom IT-auditorként. Az informatikai rendszerek ellenőrzésére kialakított COBIT (Control Objectives for Information and Related Technology) szabvány által meghatározott 34 informatikai folyamatból egyet a következőképpen értékeltem: „Az audit funkció képes gyorsan, folyamatosan és a szervezet egészét érintő módon reagálni a vezetésnek az üzleti folyamatok és az informatikai kontroll kockázataival kapcsolatos aggályaira…”
z álombéli szöveg hasonló pozitív megállapításokkal folytatódott, rózsaszín köd lengte be a cég IT helyiségeit, s a szférák zenéje szólt. A valóságban azonban nagyon ritkán fordul elő az informatikai folyamatok fölött gyakorolt kontrollokra vonatkozó „érettségi modelleknek” ilyen tökéletes, 5-ös szintje. Általában már jó, s a gyakorlatban elfogadható a számítógépes bűncselekmények lehetőségeit minimalizáló olyan kontroll környezet (a COBIT érettségi modell skálában 3,0-3,5), amelyben a vezetés meg tudja válaszolni a következő kérdést: „Milyen mértékű kontrollra van szükségem az informatika felett, hogy ez a szervezeti egység támogassa vállalkozásom céljainak megvalósítását?”
Az úgynevezett COSO tanulmány készítői még 1990-ben vizsgáltak 200, valamilyen tekintetben hamis pénzügyi beszámolót készítő vállalatot. A felső vezetők 72 százalékban, a pénzügyi vezetők 43 százalékban voltak érintettek. E magas arányok felvetik annak lehetőségét, hogy a vezetőknek alkalmuk nyílt a kontrollok megkerülésére. Ugyanezen elemzés másik fontos megállapítása, hogy az elkövetők belső alkalmazottak voltak, vagy szoros munkakapcsolatban álltak a céggel. Mégis, a csalás elleni jelenlegi védelmi rendszerek általában a külvilágtól, s nem saját dolgozóktól védenek.
Amikor a vállalati csalások megelőzéséről esik szó, a legtöbb embernek a nagy mérleghamisítási botrányok, s az azokat követő szabályozási, ellenőrzési szigorítások jutnak az eszébe. Pedig ennél jóval szerteágazóbb a kérdés. A pénzügyi jelentések meghamisítása mellett csalás például a korrupció, a csúszópénz fizetése, az álcégeknek történő utalás, a rokonok, barátok alkalmazása, de még a cég rossz hírének keltése is, vagyis minden, ami kárt okoz a vállalatnak. Ennek megfelelően a megelőzésnek is sokrétűnek kell lennie, a körültekintő emberi erőforrás-gazdálkodástól kezdve az informatikán át az ellenőrzésig. Mellékletünkben e témát vizsgáljuk meg több szempontból szakértő szerzőink segítségével – egy külföldi példa, a Financial Timesban megjelent hasonló összeállítás mintájára.
A szerk.
Don Parker még 3-5 milliárd dollárra becsülte a számítógépes bűnözés által okozott kárt az Egyesült Államokban, ma egy Microsoft-tanulmány több százmilliárd dollárra teszi ugyanezt, megállapítva: évente a szervezetek 10 százalékában fordul elő IT bűnözés. Egy másik felmérés szerint a brit cégek 19 százaléka vált már a számítógépes bűnözés áldozatává. Ugyancsak megdöbbentő állítás, hogy a tőzsdei cégek piaci értékét 8-13 százalékkal csökkentik a számítógépes bűncselekmények.
A jelentős szakmai szervezetek tanácsadó testületeket állítanak fel, amelyek tájékoztatókkal segítik tagjaikat a csalás jeleinek azonosításában (red flags), és abban, hogy miként előzzük meg és fedezzük fel a csalást kis- és közepes vállalatoknál is. Nagy-Britanniában a kereskedelmi és ipari tárca weboldalt tart fenn az új esetek bejelentésére és tanácsadásra. Az Egyesült Államokban a szövetségi kereskedelmi hatóság (FTC) 2005-ben 685 ezer IT esetet rögzített (csalások, illetve személyi azonosítóval való visszaélések). A fogyasztókat mindez esetenként átlagosan 1000 dollárral – azaz összesen 685 millió dollárral! – károsította meg.
NEMZETKÖZI VÉDELEM. Hazánkban a Pénzügyi Szervezetek Állami Felügyelete folyamatosan ajánlásokat fogalmaz meg a bankoknak, hogyan kell átalakítani elektronikus védelmi rendszereiket. Suba Ferenc, a CERT Hungary Központ vezetője szerint több támadás érte a hazai hitelintézeteket is, de két órán belül le tudnak állítani egy internetes oldalt vagy az azt működtető szervert bárhol a világban, mert a magyar központ a nemzetközi CERT (Computer Emergency Response Team) akkreditált tagja.
Borda József, a Budapesti Gazdasági Főiskola tanára
A központi erőfeszítések persze nem elegendőek, helyben is cselekedni kell. Az alkalmazásoknak, vagyis a felhasználói programoknak rendelkezniük kell olyan kontrollokkal, amelyek biztosítják az integritást, az IT szolgáltatások folyamatosságát, a törzsadatok, a gazdasági események biztonságát. Az alkalmazási rendszereknél a kockázatok feltárásához ismerni kell azokat a biztonsági megoldásokat, amelyeket az IT környezetébe építenek be. A vezetők felelősek a kontrolloknak az üzleti folyamatokba történő beépítéséért, értékeléséért, hatékonyságának figyeléséért. A nem megfelelő kontrollok növelik a csalás és a rendszer használatával való szándékos visszaélések kockázatát.
A csalások megelőzését és felderítését segíti a hozzáférést felügyelő szoftverek használata. Ezzel rekonstruálható, hogy ki, mikor és hogyan fért hozzá a rendszerhez. Fontos, hogy többféle eszközt alkalmazunk. Ilyen például a behatolás védelmi rendszer (IDS), a tűzfal, jelszó kérése, s a csipkártya a távoli hozzáférések hitelesítésére.
Köztudott, hogy a szervezetek egyre nagyobb mértékben függnek az informatikától, nő a sebezhetőség, a világhálón megjelenő veszélyek miatt általánosan alkalmazható kontroll modelleket kell alkalmazni. Ilyen módszertan a cikk elején említett COBIT, amely segíti a vezetést, hogy felmérhesse az informatikai környezetet, dönthessen a technológia feletti kontrollok megvalósítása és fejlesztése felől. Azt sugallja, hogy a reagáló attitűd (a bűnözéstől való félelem kultúrája) helyett a proaktív, a tudatosan kialakított kontrollrendszer működtetése lehet sikeres.
Behatolók
A számítógépes csalás olyan szándékosan elkövetett bűncselekmény, amely mások tulajdonában veszteséget okoz a számítógépes adatokban, input módosítás és törlés segítségével. Ennek tekinthető bármilyen beavatkozás a rendszerbe vagy a programba, amelynek a célja saját vagy mások számára történő előnyszerzés.
A mellékletet szerkesztette Vrannai Katalin