Отчет о конференции «Эффективная борьба с мошенничеством и ИТ-безопасность бизнеса»

23 октября 2015 года портал CFO-Russia.ru, при поддержке Клуба финансовых директоров, провел конференцию «Эффективная борьба с мошенничеством и ИТ-безопасность бизнеса». На мероприятии выступили более 15 руководителей служб безопасности крупнейших отечественных и международных компаний. Серебряным партером форума стала компания «Полиматика».

Модератором конференции стал Николай Николенко, председатель совета директоров СК »Росинкор Резерв».

Первым выступил Дмитрий Гинкулов, заместитель генерального директора по экономике и финансам «Артпласт», с докладом «Как внедрить действенный внутренний контроль коммерческой деятельности и материального учета». Спикер рассказал о роли и месте контролёра в структуре организации; показал контур движения товаров и денежных средств; презентовал способы эффективного использования других активов и пассивов и подчеркнул важность роли автоматизации бизнес-процессов.

«Принимая решение в пользу внедрения системы внутреннего контроля, необходимо понять и решить следующие задачи и ответить на такие вопросы:

• Внутренний контроль стоит денег. Сколько нужно и можно потратить?
• Описать бизнес-процессы «как есть», выписать и проранжировать риски.
• Описать бизнес-процессы «как должно быть».
• Какие риски хотим закрыть, какими средствами и как быстро окупятся затраты?
• Можно ли процесс автоматизировать? Убрать человеческий фактор?
• Готов ли собственник к расходам? Заручиться его поддержкой.
• Кого назначить ответственным и как мотивировать их?
• Внедрить контроль на системном уровне».

Доклад «Коррупция в торговых сетях. Антикоррупционные мероприятия» представил Сергей Матвеев, директор по безопасности в компании «Пятёрочка» (входит в состав X5 Retail Group). Спикер рассказал об антикоррупционном документообороте в компании; презентовал основные направления бизнеса, пораженные «коррупционной болезнью»; показал мероприятия по выявлению коррупции в компании и дальнейшие действия по реагированию.

«Мы можем провести следующие мероприятия по контролю партнеров:

• мониторинг рыночных цен и периодическая сверка с действующими;
• дифференцированный подход к проверке партнеров:
  • выделение риск-ориентированных  типов партнеров для детального изучения (аффилированность, цены, надежность, необходимость);
    
  • выездные проверки;
• использование аппаратных инструментов для анализа партнеров (со списками сотрудников компании, между собой);
• фродмониторинг партнеров;
• организация каналов связи партнеров с ответственными лицами компании, по фактам препятствующим нормальной совместной работе:
  • внешний сайт
  • корпоративный сайт
  • выступления на профильных конференциях и форумах».

Следующим выступил Дмитрий Курганов, руководитель внутреннего контроля Kellogg Company, с докладом «Особенности мошенничества на крупных производственных предприятиях». Он показал зоны риска мошенничества; детально рассказал об основных рисках мошенничества в производственной организации (сговор между продавцом и сотрудником компании; сговор между покупателем и сотрудником отдела продаж). Спикер пояснил причины возникновения сговора («отсутствие документального контроля за деятельностью офисов продаж; отсутствие обратной связи с клиентом; некорректно и непрозрачно прописанные договоры с клиентами») и способах борьбы с ними. Он рассказал о возможных мошеннических действиях сотрудников бухгалтерии, казначейства, отдела кадров, ИТ департамента, сотрудников организации в части документооборота; и предложил пути предотвращения этих действий.

Следующей выступила Гузаль Махмудова, руководитель отдела внутреннего контроля Евразийского региона Sanofi, с докладом «Предотвращение мошенничества и контрольная среда компании». Она пояснила, почему мошенничество становится возможным, и как система внутреннего контроля может помешать этому; а также привела примеры контрольных мероприятий.

«Система предотвращения мошенничества в пострадавших компаниях включает в себя налаживание регулярного мониторинга процессов и подпроцессов. Расскажу вам о своем опыте, а точнее о некоторых кейсах, выявленных в результате мониторинга. В компании существовал запрет на дарение подарков третьим лицам сотрудниками, не являющимися менеджерами с подчиненными. Такие сотрудники обходили запрет путем отражения подарков в виде представительских расходов (встречи с бизнес-партнерами); а лимит на заправку по топливным картам они обходили путем отчета за дополнительное топливо через авансовые отчеты».

Николай Николенко выступил с докладом «Управление рисками мошенничества в страховой компании». Спикер рассказал об основных тенденциях в мошеннических схемах и борьбы с ними; представил карту типичных схем мошенничества страховой компании; и привел практические примеры системы верификации клиентов.

«Верификация клиента — это процедура выявления в деятельности клиента факторов, свидетельствующих о высоком риске неисполнения обязательств по договору страхования, о высоком риске мошенничества или о высоком риске наступления страхового случая.

Верификация проводится на первичном этапе контакта с клиентом.

Верификация состоит из кабинетной (30–60 минут на одного клиента) и выездной проверок (в случае необходимости).

Также, в случае необходимости, для полного закрытия fraud-рисков, верификация требует её дополнения на последующих этапах заключения договора страхования следующей функцией: выездом сотрудников Компании с проверкой состояния объекта страхования, проводится детальное фотографирование объекта.

Результат проверки страхователя действителен один месяц с даты вынесения решения верификатором».

Спикер показал риск-факторную модель верификации и детально описал каждую группу факторов; представил перечень документов клиента для проведения верификации и рассказал о ее процедуре.

Роман Раевский, генеральный директор «Полиматика Рус», выступил с докладом «Анализ данных без посредников». Он доказал, что «то, что Вы лично выявите в Ваших данных, будет важнее для Вашего бизнеса, чем выводы других людей»; показал, что «основа предотвращения мошенничества — выявление аномалий „на лету“, импровизируя и проверяя гипотезы, в обход фиксированных правил ETL». Спикер рассказал, что ETL — набор процессов (обычно дорогостоящих), приводящий к фиксированной структуре Data Warehouse и наборам dashboards; и показал, как работать с фиксированными наборами dashboards; а также показал, как можно использовать dashboard в сфере безопасности. Он отметил, что главное «ограничение подхода „ETL + интерактивная отчетность“: Вы не можете самостоятельно и произвольно изменить срезы данных и их детализацию!», а «подхода „Продвинутая аналитика“: Вы не можете пользоваться этими продуктами самостоятельно и вынуждены полностью доверять посредникам — аналитикам!». Также спикер показал недостатки варианта OLAP; и пояснил, как объединить плюсы всех типов в новом продукте — Полиматика.

«Все эти ситуационные панели, как мы их называем, создаются пользователями самостоятельно. Благодаря тому, что кубы могут обрабатывать миллиарды записей за секунду, можно не беспокоиться о группировке и сжатии данных — вы их анализируете в сыром, исходном виде. Как следствие, внедрение как таковое отсутствует. Оно сводится к 1-дневному обучению пользователей, да и то не у каждого клиента».

Со спец-докладом «Как контролировать отдел снабжения (и закупок)" выступил Вячеслав Михайловский, руководитель службы безопасности METRO Cash and Carry. Он рассказал, как грамотно планировать закупки, чтобы минимизировать недобросовестную работу менеджера; предложил способы избегания сговора поставщика с менеджером своей компании; и пояснил, как грамотно контролировать закупки при больших объемах.

„В настоящий момент можно выделить массу отрицательных особенностей мошенничества в закупках:

• практика взяток и «откатов» как условие получения договора – со стороны нечестных поставщиков и со стороны коррумпированных сотрудников;
• завышение стоимости как следствие коррупционности схемы и источник снижения конкурентоспособности сети;
• децентрализация закупок ведет к снижению цены, переходу на местный рынок но, как следствие, снижению контроля и повышению коррупционной емкости;
• использование политик компании в целях повышения отгрузок;
• участие в тендере аффилированных структур, монопольный сговор;
• безнаказанность как элемент ротации коррупционеров в микрокосме ритейла». 

Следующей выступила Олеся Костенко, внутренний аудитор Банка „Финансовая корпорация Открытие“, с докладом „Аудит мошеннических схем в сфере кредитования“. Она рассказала об экономической сущности искажений бухгалтерской и финансовой отчетности; показала индикаторы этих искажений; описала способы искажения данных бухгалтерской (финансовой) отчетности; рассказала о нормативно-правовом регулировании. Спикер поделилась опытом аудита мошеннических схем в сфере кредитования и показала квалифицирующие признаки
ст.159.1 „Мошенничество в сфере кредитования“, а также рассказала о практическом значении полученных результатов.

„Наличие практических инструментов способствующих выявлению искажений в бухгалтерской (финансовой) отчетности минимизирует риски инвесторов, а также сохраняет инвестированные средства, акцентирующих внимание на уголовной ответственности, а значит повышающих ответственность собственников экономического субъекта в части распоряжения и управления заимствованными активами.

Исследуя индикаторы искажений бухгалтерской (финансовой) отчетности, были выявлены:

• основные показатели подвергающиеся искажению;
• способы искажений данных бухгалтерской (финансовой) отчетности;
• предпосылки и причины искажений отчетности;
• раскрыты квалифицирующие признаки статьи 159.1 УК РФ, акцентирующие внимание на уголовной ответственности за хищение активов“.

После выступления спикеров состоялась панельная дискуссия „Комплексная безопасность бизнеса в новых реалиях“, в которой приняли участие Николай Николенко; Игорь Поспелов, директор по финансовым расследованиям в »Вымпелкоме»; Антон Левиков, ИТ-директор компании «Новард»; и Алексей Плешков, начальник Управления режима информационной безопасности «Газпромбанка». В ходе дискуссии обсуждались следующие вопросы:

• Какие угрозы и риски безопасности бизнеса наиболее актуальны в условиях кризиса?
• Что нужно незамедлительно предпринять для минимизации рисков мошенничества?
• Тренды современных ИТ-угроз. Какие технологии защиты от угроз будут наиболее актуальны в ближайшем будущем?
• Работа с облачными сервисами: достижима ли защищенность данных?

Третью секцию открыл Владимир Клеев, исполнительный директор дирекции информационного обеспечения департамента противодействия мошенничеству САО «ВСК». Он представил доклад «Кадровый вопрос: как предотвратить случаи мошенничества сотрудников». Спикер описал задачи по предотвращению случаев мошенничества сотрудников (Кого проверять? Как проверять?); рассказал о трех основных уровнях проверки кандидата на работу; поднял важный вопрос: «Полностью ли схожи функции информационной безопасности и службы безопасности?». Он рассказал о DLP программах; поделился опытом развития лояльности сотрудников и выявлении фактов внутреннего мошенничества. Также спикер рассказал что такое SIEM и для чего она нужна. «SIEM способна выявлять:

• сетевые атаки во внутреннем и внешнем периметрах;
• вирусные эпидемии или отдельные вирусные заражения, неудаленные вирусы, бэкдоры и трояны;
• попытки несанкционированного доступа к конфиденциальной информации;
• мошенничество;
• ошибки и сбои в работе информационных систем;
• уязвимости;
• ошибки конфигураций в средствах защиты и информационных системах».

Следующим выступил Юрий Евтин, руководитель отдела безопасности «Экстра-М», с докладом «Организация эффективного взаимодействия Службы безопасности и иных контрольных подразделений коммерческих структур в борьбе с хищениями и корпоративным мошенничеством». В ходе своего доклада спикер ответил на вопросы:

1. Как с позиции руководителя СБ организовать работу с позиции контрольного подразделения, с тем, чтобы своевременно получать информацию в упреждающем режиме?
2. Какие службы входят в службу внутреннего контроля?
3. Каковы их функции и задачи?
4. На каких принципах должно строиться взаимодействие контрольных подразделений в том числе СБ?
5. В чем сущность контроля, как с позиции аудита, так и финансовых контролеров?
6. В чем слабости и ограничения этих контрольных служб и как сделать так, чтобы сильные и слабые стороны этих контрольных подразделений взаимно перекрывали друг друга? А вы как руководитель СБ получали максимум эффективной информации.
7. В каких практических рамках это реализовать?

«Как только мы организовали нужную работу, мы своевременно получаем информацию от всех контрольных подразделений. Как организовать — это второй вопрос. Если руководитель службы безопасности — хороший опер, он всегда найдет общий язык с руководителями контрольных подразделений. Помня о том, что „нашего брата“ никто не любит, конечно, приходится применять разные способы воздействия. Но люди всегда должны работать в интересах эффективной борьбы с мошенничеством».

Следующим выступил Андрей Ерин, директор департамента информационной безопасности CARCADE Лизинг, с докладом «Опыт борьбы с инсайдерами (технические и юридические аспекты контроля сотрудников)». Он описал системный подход в защите информации; обратил внимание на основные группы рисков информационной безопасности в ООО «Каркаде»; рассказал о том, как наладить максимальную защиту при минимальной цене. Спикер представил основные группы рисков информационной безопасности в ООО «Каркаде»; презентовал составные части мероприятий по информационной безопасности. Он показал DLP — инструмент предотвращения утечек информации по каналам связи; поделился опытом работы с регламентами по защите информации ограниченного доступа (ИОД); и уделил особое внимание культуре безопасности.

«Объединение понятий „культура“ и „безопасность“ впервые было выполнено Международной консультативной группой по ядерной безопасности в „Итоговом докладе о совещании по рассмотрению причин и последствий аварии в Чернобыле“ в 1986 году. Согласно этому документу, „культура безопасности — квалификационная и психологическая подготовленность всех лиц, при которой обеспечение безопасности является приоритетной целью и внутренней потребностью, приводящей к самосознанию ответственности и к самоконтролю при выполнении всех работ, влияющих на безопасность“».

С докладом «Борьба с мошенничеством в микрофинансовой организации» выступил Антон Грунтов, директор департамента безопасности компании «Быстроденьги». Он показал инструменты, используемые мошенниками; рассказал о способах выявления их действий; презентовал признаки внутреннего мошенничества; а также осветил проблемы и перспективы борьбы с мошенничеством в микрофинансовых организациях.

«Когда создали наше подразделения, первое, что я сделал, — подчинил всех сотрудников, отвечающих за безопасность, непосредственно себе. Я считаю необоснованной работу по матричной системе. Работник по безопасности, находясь в филиале, подчиняется директору филиала административно, а функционально „замыкается“ на директоре по безопасности, который находится в Москве. При таком порядке, часто возникают разногласия между сотрудниками безопасности и руководителями филиала, где определить виноватого крайне трудно. Чтобы избежать таких ситуаций, я сразу сказал, что сотрудники СБ, которые находятся на местах будут „замыкаться“ на мне и административно, и функционально. Больше никому они не подчиняются. Таким образом, мы исключили лишние трения, так как территориальные директора никаким образом не могут повлиять на работников по безопасности. Это также позволяет избежать появления „местных царьков“, которые сосредотачивают в своих руках слишком много полномочий».

Со спец-докладом «Экономический аспект ИТ-безопасности бизнеса» выступил Александр Хрусталев, директора департамента информационной безопасности ОАО «МГТС». Он раскрыл проблемы экономического планирования в сфере информационной безопасности; рассказал, как рассчитать предполагаемый средний экономический ущерб от угроз информационной безопасности. Спикер показал, как доказать эффективность внедрения, и как рассчитать показатели эффективности внедрения ИТ-решений в сфере безопасности.

«При планировании затрат на информационную безопасность неэффективны:

• использование для каждой информационной системы свой комплекс ИБ (надежно, но дорого и экономически нецелесообразно);
• фокус только на одном направлении защиты (например, применение технических мер защиты).

Вместо этого нужно построить комплексную систему ИБ на основе анализа актуальных угроз и рисков».

Следующим выступил Алексей Плешков, начальник отдела защиты информационных технологий, Газпромбанка, с докладом «Современные способы противодействия высоко-технологическому мошенничеству. Он открыл взгляд на картину со стороны банка; представил «портреты» мошенников; поделился примерами из жизни; рассказал об основных видах современного мошенничества (фишинг («phishing»), фарминг («pharming»), вишинг («vishing»), скимминг («skimming»), шифровальщики («cryptors»), CNP («card not present»), подмена SIM-карты клиента).

«Следующая тема — скимминг. Она жива и будет жить. Скиммиры постоянно совершенствуют свои способы атак и технологии. Они используют разные способы и необычные методы работы. Антискимминговые устройства часто не работают, потому что уже сегодня существует масса решений, позволяющих их обойти. Поэтому стопроцентной гарантии не дает ни одно, имеющееся на рынке, средство антискимминговой защиты».

Отдельно спикер рассказал о методах защиты от мошенничества (межсетевое экранирование на периметре, сегментация внутренних локальных сетей, применение антивирусов внутри компании, внедрение решений класса «AntiFraud», внедрение систем класса «Песочница», внедрение решений класса «SIEM», непрерывный мониторинг событий ИБ, расследование каждого выявленного подозрения, регулярное обучение персонала/клиентов, совместная работа с «коллегами по несчастью», обращение в правоохранительные органы).

С завершающим докладом «Third party assurance» выступил Александр Тарасенко, глобальный ИТ-аудит старший менеджер в компании «Вымпелком». Спикер рассказал о передачи процессов на аутсорсинг (рисках, обеспечении безопасности информации, видах мошенничества, способах его предотвращения, проблемах с внешним аудитом, и об обучении персонала).

«Есть такие „страшные“ слова SOC1, SOC2, SOC3, ISAE3402 и т. д. Это так называемые отчеты о внутреннем контроле и сервисе организаций. В чем суть? Суть в том, что к компании-аутсорсеру, которому вы отдаете все свои данные, приходит специально обученный человек и смотрит, что там творится. Он описывает культуру информационной безопасности, контроль, которые они применяют к вашим данным, и на выходе дают отчет, в котором можно увидеть, что там работает, что не работает, что можно было бы улучшить и т. д. Получив этот отчет, вы видите такую же картинку, как внутри своей компании. Он может удовлетворить аудиторов, при этом не требует затрат с вашей стороны. То есть вы — читатели, а писатели этого отчета — сами сервисные организации. То есть, если они хотят привлекать клиентов со стороны, им выгодно показывать, как именно они обеспечивают защищенность вручаемых им данных».

Чтобы приобрести материалы конференции, звоните по телефону +7 (495) 971-92-18 или пишите по электронной почте events@cfo-russia.ru

Фотоотчет

Текст: Ирина Экзархо

Фото: Тэодолус Сунарджая

Комментарии