Чем интенсивнее автоматизируются бизнес-процессы, тем большую бдительность нужно проявлять при организации защиты от мошенников...
Чем интенсивнее автоматизируются бизнес-процессы, тем большую бдительность нужно проявлять при организации защиты от мошенников
Фрэнку Эбегнейлу есть что возразить руководителям информационных служб, полагающим, что автоматизация поможет им сэкономить деньги и обезопасит компанию от жуликов. Вдохновивший создателей фильма «Поймай меня, если сможешь» (Catch Me If You Can), Эбегнейл знаменит тем, что водил агентов ФБР за нос на протяжении нескольких десятилетий, сумев за это время похитить миллионы долларов у ничего не подозревавших людей. Сегодня он утверждает, что автоматизация - автоматическое выполнение бизнес-процессов без участия человека - в действительности лишь упрощает преступникам совершение противоправных действий и в долгосрочной перспективе заставляет компании нести дополнительные издержки. «Сейчас мне в тысячи раз проще проделать то, чем я баловался 40 лет назад, будучи подростком, - говорит Эбегнейл. - С каждым днем злоумышленники все сильнее укрепляются в мысли, согласно которой совершать преступления сегодня становится проще, чем вчера, потому что компании вступают в цифровой мир».
«Злоумышленники понимают, что совершать преступления становится проще, потому что компании вступают в цифровой мир». - Фрэнк Эбегнейл |
Но тут возникает резонный вопрос: «Почему мы должны доверять бывшему мошеннику?» Дело в том, что он и другие специалисты по фальсификации предлагают способы, с помощью которых можно обезопасить компьютерные сети от злоумышленников, работающих уже в промышленных масштабах. Эбегнейл, к примеру, пополнил растущую армию консультантов, которые поддерживают контакты с директорами информационных служб крупнейших национальных банков и вместе с ними борются с поднимающейся волной чековых афер. Сегодня банки активно переходят от обработки бумажных чеков к пересылке клиентам и другим банкам их цифровых образов. Потери же из-за фальсификации чеков оцениваются сейчас примерно в 19 млрд. долл. в год.
Федеральный закон о чековых взаиморасчетах в XXI веке (Check Clearing for the 21st Century Act, Check 21), регламентирующий процедуры создания и обработки цифровых образов и заменителей чеков, стал одним из наиболее важных нормативных актов, инициирующих преобразования в сфере автоматизации бизнес-процессов в частном секторе. Предполагается, что эти преобразования помогут представителям банковской отрасли ежегодно экономить около 3 млрд. долл. на оплате труда и транспортных расходах. Ведь каждый год в пределах страны перемещается примерно 42 млрд. чеков. Но со вступлением закона Check 21 в силу опасность мошенничества и риск получения претензий заметно возросли. По мере расширения доступа клиентов к электронным чекам преступникам становится проще получить информацию, необходимую для создания поддельных чеков. Все, что для этого нужно, - регистрационное имя пользователя и его пароль.
Мошеннические операции негативно отражаются не только на состоянии финансовой отрасли, но и на положении дел в других областях. Здравоохранение, транспорт, коммунальные услуги, розничная торговля, государственный сектор, сфера развлечений - везде появляются свои уязвимые места. На самом деле любой бизнес, в котором сетевые технологии используются для обра
ботки паролей, пересылки информации о сотрудниках, договорах или финансовых отчетах, рискует стать жертвой обмана. «Если вы считаете, что с вами такого случиться не может, подумайте еще раз, - предупреждает президент и генеральный директор Ассоциации специалистов по раскрытию экономических преступлений (Association of Certified Fraud Examiners, ACFE) Тоби Бишоп. - Все идет к тому, что положение лишь усугубится. Довольно скоро придется создавать штабы по корректировке боевых действий, в которых технические специалисты, ведущие борьбу с мошенниками, будут дежурить круглосуточно».
По мнению экспертов, плохо то, что полностью исключить вероятность мошенничества невозможно.
К положительным же моментам следует отнести минимизацию потерь за счет разработки директорами информационных служб стратегии противодействия мошенникам на начальной стадии проекта автоматизации и последующего выполнения соответствующих высокоприоритет ных мероприятий в повседневной деятельности. Впрочем, во многих организациях это потребует революционных изменений в сознании и культуре, поскольку большинство руководителей информационных служб не считают, что задачам защиты от мошенников должен присваиваться наивысший приоритет. Гораздо сильнее их беспокоят вопросы окупаемости инвестиций в автоматизацию бизнеса и улучшение качества обслуживания клиентов. Что же касается уязвимых мест, порождаемых внедрением новых электронных процессов, особого внимания на них пока не обращают.
Но не стоит забывать, что сегодня автоматизация на базе новых информационных технологий начинает играть более важную роль в жизнедеятельности организации, а следовательно, сложившиеся подходы нужно пересматривать. «Порой сотрудники информационной службы ограничиваются лишь установкой новых программ, наблюдая за тем, что из этого получится, — заметил вице-президент Wachovia Bank по вопросам стратегической интеграции Марк Тиззард. - Но времена меняются. И люди должны заранее готовиться к этому».
Отрицание очевидного
Большинство директоров информационных служб, мнение которых было выслушано при подготовке данной статьи, не относят профилактику фальсификаций к числу первоочередных задач. Около десятка руководителей ИТ-служб, представляющих сферу розничной торговли, а также инвестиционный и производственный секторы отказались сообщить, какие мероприятия они выполняют для того, чтобы обезопасить себя от мошенников (и занимаются ли этим направлением вообще).
Из тех же, кто согласился поделиться опытом, многие ошибочно полагают, что автоматизация способствует снижению вероятности фальсификаций. Директор информационной службы одной из страховых компаний заметил что когда руководство утверждало развертывание новой электронной системы обработки жалоб, в числе главных аргументов с его стороны наряду с сокращением затрат было сужение поля деятельности для мошенников. При этом совершенно не учитывалось то, что система создает условия для проведения новых, еще более опасных фальсификаций. «Я действительно не уделил данным вопросам должного внимания», — признался директор ИТ-службы.
Многие директора информационных служб ошибаются, пытаясь выявить источник исходящей опасности. К примеру, большинство руководителей склонны считать внешних злоумышленников ответственными за мошенничество, тогда как исследования показывают, что около 85% всех противоправных действий совершаются самими работниками компании. По оценкам специалистов ACFE, сумма убытков, причиненных организациям своими сотрудниками в этом году достигнет 660 млрд. долл. В 2002-м она составляла около 600 млрд. долл. Портрет типичного вредителя таков: он проработал в компании много лет, является авторизованным пользователем, не занимается решением технических вопросов, в его послужном списке нет грубых нарушений. Противоправные действия он совершает, выполняя на компьютере вполне легальные операции. Делается это по большей части в течение рабочего дня.
Таким образом, можно утверждать, что директора информационных служб серьезно недооценивают потенциал той угрозы, которую несет в себе автоматизация.
В обзоре KPMG 2003 указывается, что 43% руководителей информационных служб убеждены в снижении вероятности совершения мошеннических операций в будущем. Для сравнения, только 7% считают, что поток фальсификаций будет нарастать. В результате директора информационных служб оказываются фактически безоружны перед лицом реальной угрозы. Согласно недавнему исследованию, проведенному аналитиками PricewaterhouseCoopers, сегодня лишь около трети компаний могут похвастаться наличием комплексной программы защиты от мошенничества.
В то же время представители более 80% организаций заявляют, что их сети в последнее время подвергаются все большему числу атак, а в сетях 20% опрошенных уже орудуют хакеры. Такие данные приводятся специалистами Computer Security Institute. Настораживает в этой статистике то, что сегодня предприятия автоматизируют процессы, от которых непосредственно зависят их оборот и прибыль. Ранее все внимание концентрировалось на простых, не имеющих критически важного значения процедурах (в частности, на электронных формах, позволяющих вести учет расходов сотрудников и оформлять их отпуска в интерактивном режиме). В настоящее время руководители информационных служб автоматизируют процессы, которым в бизнесе отводится центральная роль. Построение таких систем сулит более высокую окупаемость. Но вместе с тем растет риск фальсификаций и увеличения потока рекламаций. Все это похоже на динамичную игру Whack-a-mole («Ударь крота»), вот только ставки в такой игре довольно велики. Средства автоматизации в руках директоров информационных служб напоминают кувалду. Только им удастся точным ударом вогнать гвоздь и заделать очередную лазейку для жуликов, как в другом месте неожиданно возникают новые бреши.
Автоматизированные системы, особенно внедряемые в масштабах всего предприятия, уязвимы в силу целого ряда причин. Во-первых, они требуют серьезного пересмотра рабочих процессов и сложившейся корпоративной культуры. Сотрудники еще не привыкли к новым процессам, поэтому они не настроены (да и не обучены) распознавать аномалии, сигнализирующие о фальсификации. Кроме того, новые процедуры достаточно сложны, и идентифицировать слабые связи в системе непросто. Именно этим объясняется успешный взлом русскими хакерами персональных учетных записей и получение ими доступа к платежным службам крупнейших американских банков во второй половине 90-х годов. Ведь в то время электронный бизнес делал свои первые шаги.
«Меняя бизнес-процессы, руководители информационных служб недооценивают потенциал мошенников, — заметил Бишоп. — В новой схватке они применяют тактику вчерашних дней, выстраивая защиту по схемам, которые всем уже давно известны».
Аферы с электронными чеками
К примеру, инициатива Check 21. Инвестиции банков обусловлены двумя причинами. Во-первых, это позволяет отрасли сэкономить 2 млрд. долл. в год на обработке бумажных чеков. А во-вторых, руководители банковских информационных служб и их коллеги верят в то, что автоматизация позволит им сберечь 20 млрд. долл., которые банки ежегодно теряют из-за фальсификаций. Обоснования звучат вполне убедительно. Если мошенник предъявляет поддельный чек, банк по прошествии нескольких часов получает его цифровой образ, который пересылается банку-эмитенту. С помощью программных алгоритмов специалисты банка-эмитента анализируют характерные признаки чека - его номер, получателя платежа, подпись и долларовый эквивалент. Таким образом, подлинность ценной бумаги можно определить в самый короткий срок. В случае оборота бумажных чеков банк-эмитент получает подтверждающие документы лишь через несколько дней, а за это время злоумышленник, прихватив деньги, успевает уйти достаточно далеко.
Впрочем, акт Check 21 создает условия и для возникновения новых угроз. Преступникам становится проще похитить информацию из электронной банковской учетной записи клиента и сформировать на ее основе фальшивые чеки, которые будут выглядеть вполне правдоподобно. Для этого нужно лишь узнать регистрационное имя пользователя и его пароль. Сведения подобного рода добываются с помощью различных схем так называемого фишинга (phishing — создание точной копии существующей Web-страницы с целью заставить пользователя ввести свои личные, финансовые данные или пароль). Клиент банка получает электронное письмо официального вида, в котором содержится ссылка на сайт, якобы принадлежащий банку. Пользователю, попавшему на эту Web-страницу, предлагается обновить свое регистрационное имя и пароль. Взломав электронную учетную запись и просмотрев образы чеков клиента, злоумышленники получают доступ к информации, которая имеет гораздо более разрушительный характер, и помогает им обойти традиционные банковские методы обнаружения мошенников. У преступника появляется потенциальная возможность:
- Узнать номера чеков, используемых клиентом (чеки нумеруются последовательно, и появление номера, выходящего далеко за пределы этого ряда, косвенно указывает на то, что чек является фальшивым).
- Получить точную цифровую копию подписи клиента. Эту копию можно загрузить и без труда воспроизвести с помощью обычного компьютерного оборудования и принтеров.
- Подделать общий стиль почерка клиента и выяснить, какой формат даты он использует (например, мм/дд/гггг).
- Узнать имена людей, которым клиент обычно выписывает чеки. Получатели, встречающиеся достаточно часто, — кредитное учреждение или ипотечная компания, жена и другие члены семьи, — как правило, не вызывают подозрений.
- Получить наличными сумму, на которую чаще всего выписываются чеки. В этом случае даже крупный платеж не вызывает тревоги.
Преступники могут также получить доступ к информации о кредитных картах клиента и о его инвестициях в акции и облигации. «Располагая соответствующими сведениями, они фактически становятся обладателями ключей от финансового мира клиента», — отметил Ори Эйсен, генеральный директор и президент компании The 41st Parameter, специализирующейся на предоставлении услуг защиты от мошенников, которые промышляют заказами, сделанными по телефону, почте или Internet.
Представители банков утверждают, что, используя цифровые технологии, блокировать оплату поддельных чеков можно гораздо оперативнее, потому что выпустивший чеки банк получает их образцы быстрее. Но увеличение скорости обработки чеков приводит к тому, что у банковских служащих остается меньше времени на выявление фальшивого чека. Более того, большинство банков уничтожает бумажные чеки после получения их цифровых образцов. В некоторых учреждениях чеки попадают в шредер немедленно, в других же они будут храниться еще в течение нескольких недель или даже месяцев. После уничтожения чека любые улики, не отраженные в его цифровом образе - отпечатки пальцев, водяные знаки и т. д. - окажутся утеряны. Наконец, образ чека создается в черно-белом виде, а, следовательно, здесь нет тех деталей, которые присутствовали бы в бумажном варианте или цветном образе чека. Детали, которые могли бы помочь банковским служащим распознать фальшивку, будут утрачены.
Учитывая все эти скользкие моменты, партнер консультационной группы Unisys Фрэнк Лидди полагает, что банкирам следует тщательно изучить все уязвимые места, которые появятся в их системах после вступления акта Check 21 в силу. «На самом деле их гораздо больше, чем кажется сегодня служащим банка и отдельно взятым банкирам», - предупредил он.
Как перехитрить злоумышленников?
Несмотря на многочисленные недостатки, инициатива Check 21 и другие автоматизированные процессы входят в нашу жизнь. Какие же меры могут предпринять руководители информационных служб? На самом деле в их распоряжении имеется вполне достаточно средств.
Ответ на данный вопрос следует искать скорее не в улучшении технологий распознавания фальсификаций (хотя и им отводится немаловажная роль), а в планировании соответствующих мероприятий на этапе внедрения автоматизированных процедур и последующей подготовке сотрудников компании к грядущим переменам. Необходимо чаще проводить установочные совещания. Директора информационных служб обязаны добиться того, чтобы руководители высшего звена осознавали свою ответственность за обнаружение фальсификаций. Обычно к числу таких руководителей относятся финансовый директор и начальники подразделений, которые играют важную роль в формировании рабочих процедур. Они должны сосредоточить свои усилия на разработке стратегий защиты от мошенничества, без которых невозможно создание эффективных автоматизированных бизнес-процессов.
Решением именно этих вопросов и занимается сегодня Тиззард, претворяющий в жизнь инициативу Check 21 в своем банке.
По его словам, переход к процессам Check 21 осуществляется в его организации в рамках объединения с другим крупным банком. Еще до вступления закона в силу руководство Wachovia вынашивало планы реализации проекта Check 21, который должен быть полностью завершен к концу 2006 года. После того, как законодательная инициатива была утверждена, Тиззард и ряд других руководителей Wachovia отправились в поездку по стране, чтобы собрать отзывы самых разных людей, начиная от генерального директора и руководителей департаментов (особенно интересным представлялось мнение сотрудников групп управления рисками и потерями) и заканчивая представителями информационной службы банка и подразделений, отвечающих за конкретные продукты, и составить объективную картину. «Любой желающий мог высказать свои пожелания, — вспоминал Тиззард. — Мы знали, что, возможно, нам предстоит открыть ящик Пандоры. И на всякий случай решили подстраховаться».
Тиззард вместе с другими руководителями Wachovia объяснял менеджерам, как должны работать автоматизированные процедуры, и что конкретно изменится для служащих и клиентов банка. Особое значение придавалось занятиям, в ходе которых кассирам демонстрировали способы распознавания подлинности чеков-заменителей. «Не всегда нас принимали хорошо, но после начала мероприятия ситуация, как правило, менялась, и зачастую мы задерживались в том или ином подразделении еще на час», — заметил Тиззард.
Марк Тиззард, вице-президент Wachovia Bank по вопросам стратегической интеграции и Брайан Макгинли старший вице-президент и директор Wachovia по управлению убытками придают важное значение занятиям, в ходе которых кассирам демонстрировались способы распознавания подлинности чеков-заменителей |
«Как сообщил Брайан Макгинли, старший вице-президент и директор Wachovia по управлению убытками, за последние два года число зарегистрированных попыток мошенничества в банке увеличилось на 120%. В то же время за указанный период удалось заметно сократить общий объем убытков. Методы, используемые мошенниками, усложняются, усиливается напор и со стороны представителей организованной преступности. По его мнению, мероприятия по борьбе с фальсификациями имеют сегодня как никогда большое значение не только для Wachovia, но и для всей банковской отрасли.
Для того чтобы уменьшить риск, порожденный инициативой Check 21, Макгинли сформировал внутри своего департамента рабочую группу, задача которой заключается в выявлении уязвимых мест, возникающих при внедрении новых процессов, а также в выдаче рекомендаций по применению тех или иных мер (с использованием как автоматизированных процедур, так и действий, выполняемых вручную) для их ликвидации. К примеру, для предотвращения доступа хакеров к образам чеков, по мнению Макгинли, целесообразно было бы задействовать технологии шифрования и другие механизмы обеспечения безопасности, применяемые для защиты учетных записей и персональной информации клиентов.
Однако возникают и другие вопросы. Представители подразделений, занимающихся управлением банковскими потерями, например, не уверены, что система сканирования цифровых чеков, которую планируется развернуть в ближайшее время, позволит добиться должной эффективности. Для проверки подлинности чека система сравнивает биометрические параметры чека, выписанного на небольшую сумму, скажем, энергетической компании, с последними чеками, оформленными пользователем с той же учетной записью. Система сравнивает подписи, а также точность размещения и правильность отображения логотипа Wachovia и проверяет магнитную строку Magnetic Image Character Recognition (MICR) в нижней части чека, на которой отпечатаны маршрутная карта и номера счетов.
Специалисты Wachovia могут запрограммировать систему таким образом, чтобы чеки, вызывающие подозрения, возвращались обратно в очередь неоплаченных и уже там группа аналитиков проверяла их на подлинность. Но клиенты зачастую не соблюдают выданных им предписаний, в частности не следят за нумерацией чеков. А если счет используется совместно несколькими людьми (например, партнерами по бизнесу или мужем и женой), на чеках могут присутствовать надписи, сделанные разным почерком. Отличаются при этом и серии номеров чеков. Все исключения подобного рода усложняют процедуру проверки подлинности. Но вопрос тем не менее остается прежним: какой чувствительностью должна обладать автоматическая система сканирования, регистрирующая отклонения?
«Не думаю, что до запуска процедуры обработки электронных чеков в эксплуатацию нам удастся выявить все лазейки для мошенников, и что они хоть как-то проявят себя». - Уилтон Доллофф, Huntington Bancshares |
Специалистам Wachovia необходимо также продумать порядок взаимодействия сканирующей системы с другими средствами защиты. К примеру, в банке используется приложение, которое регистрирует внезапное увеличение суммы депозита. Это может являться косвенным признаком мошеннической операции. В перспективе приложение анализа депозитов планируется связать с программой сканирования чеков. Если процедура сканирования регистрирует несовпадение подписи, можно поставить этот факт в один ряд с необычным увеличением суммы депозита, выявленным соответствующим приложением, и провести дополнительную проверку.
Исполнительный вице-президент компании Huntington Bancshares по операциям и технологиям Уилтон Доллофф считает, что только при условии тесного сотрудничества банки смогут доверять друг другу процедуры получения образов чеков, их анализа и подтверждения подлинности. Ведь это предполагает передачу другим банкам (возможно, и конкурирующим) информации об обработке чеков, а также подписание соглашений о дальнейших действиях в случае возникновения у кого-то нештатной ситуации.
Доллофф и Тиззард сходятся на том, что все последствия вступления в силу закона Check 21 станут ощутимы не раньше чем через несколько лет. Конечно, для профилактики фальсификаций и сокращения потерь от действий мошенников необходимо предпринимать определенные меры, но нужно понимать, что никакое планирование не сможет полностью избавить от угрозы. «Не думаю, что до полномасштабного запуска процедуры обработки цифровых чеков в эксплуатацию и до проведения глубокого анализа ее последствий нам удастся выявить все лазейки для мошенников и что многие из них хоть как-то проявят себя, — заметил Доллофф. — Сегодня мы просто не знаем, с какими атаками предстоит столкнуться».
Allan Holmes. Invitation To Steal. CIO Magazine, February 1, 2005