Риск хищений в бизнесе есть всегда. В любой компании найдется некоторый процент людей, которые осмелятся что-то украсть. В России это зачастую усугубляется еще и отсутствием системной работы по предотвращению мошенничества — мало кто комплексно анализирует эти риски и закрывает их конкретными превентивными мерами. В этой статье мы собрали примеры нередких схем мошенничества. Обратите внимание на эти кейсы — возможно, что-то из этого процветает и на вашем предприятии.
Завышение показателей брака. Высокие показатели брака продукции в 99,9% случаев являются прямым индикатором наличия нерешенных технологических проблем и зачастую хищений — важно только понять, каким образом оно происходит.
На одном заводе по производству светотехнического оборудования начальник цеха сообщил мне в рамках проверки, что показатель брака по лампочкам у него достигает 18%. Вдумайтесь, почти пятая часть всей продукции — под списание, и никто годами не пытается разобраться в причинах и исправить это.
Воровство в бизнесе! Как контролировать сотрудников?
Оборудование, мол, такое — что поделать. Смотрим вместе на производственную линию: действительно, довольно большая часть заготовок — цоколей со стеклянными рогатками на поворотах просто срывается и разбивается еще до установки нити накаливания. Работники цеха собирают битые заготовки и ссыпают их в короб. На прямой вопрос о попытках решить проблему они говорят, что это требует изменений, да и не было такой задачи.
Однако при более внимательном осмотре оборудования выяснилось, что лампы на поворотах падают не сами по себе — их периодически выталкивает с линии пневмопривод, длина которого избыточна, но это, очевидно, помогает поддерживать легенду о больших неминуемых потерях. Размер заявляемого брака сильно преувеличивался, и не сложно догадаться, что эта разница на самом деле реализовывалась начальником цеха и другими участниками сговора по серым схемам.
«Шантаж» поставщиков. Коррупцией в закупках никого не удивить. Тендеры с требованиями под конкретного поставщика, дискриминация тех, кто не готов «договариваться», заблаговременное заведение компании в каталог поставщиков для дальнейших коррупционных закупок, выбор неизвестного поставщика при минимальной разнице в цене с признанными игроками рынка — всё это уже как будто бы стало нормой на российских предприятиях. Но, оказывается, можно пойти еще дальше и начать шантажировать поставщика. Я столкнулся с этим случаем на мебельном производстве пару месяцев назад.
Один из этапов производства мебели — это ее обшивка тканью. Ткань вырезается по специальным раскройкам, которые утверждаются начальником производства. Как вы понимаете, 1 метр ткани можно раскроить так, что останется 9 см обрезков, а можно так, что их будет 17 см. Очевидно, что второй сценарий выгоден поставщику, ведь тогда ткани придется закупать больше.
Поняв это, начальник производства пришел к поставщику и стал угрожать ему, что снизит его оборот, утвердив максимально эффективную раскройку, но может и передумать в пользу больших обрезков, если его простимулируют. Естественно, поставщик стал регулярно «радовать» начальника производства, чтобы не рисковать объемами заказов.
Бизнес страдает от воровства сотрудников? Продавцы воруют из кассы? Серия — продуктовый магазин.
Манипуляции объемом и качеством сырья. Неучтенные излишки продукции — один из самых эффективных инструментов для мошенника, ведь их можно продать, не снижая показателей по объемам и не привлекая к себе лишнего внимания. Такая история встречается в нефтедобыче, когда манипулируют показателем обводненности скважин, или в нефтепереработке.
В химических производствах есть соблазн закупать за счет предприятия высококалорийный газ, не афишируя его характеристики, — на таком сырье выше фактический выход продуктов. На этом легко можно заработать. Учитывая налаженность процесса, устоявшиеся контракты и схемы закупок, на это обычно никто не обращает внимания, и так на складе образуется излишек продукции, который системно реализуется по серым схемам. По сути — похищается.
На одном химическом производстве мне показали огромный конус — насыпь продукции. Объем продукции измеряют маркшейдеры, при этом оформлялся акт с указанной погрешностью плюс-минус 15%. При общем весе продукции более 900 тонн такой разброс открывал простор для манипуляций.
Однако по результатам ежегодной инвентаризации все цифры сходились, учет и документы на продукцию были в полном порядке. Казалось бы, и придраться не к чему. Только это вовсе не значило, что излишков нет, — просто воровали с умом: мошенники синхронизировали свои отгрузки продукции с учетными мероприятиями, и два раза в год, когда согласно данным учета склад полностью освобождался, он по факту пустым и оказывался. Сложный разговор с главбухом и дополнительные инспекции подтвердили мою гипотезу.
Полезный лайфхак, который помогает проверить, действительно ли воруют на предприятии, когда по бумагам все вроде сходится, — проверить в интернете объявления о продаже продукции предприятия в регионе. В этом случае, помимо мешкотары с продукцией завода, я увидел еще и объявления о гибких схемах поставки как автомобилями, так и по железной дороге. На этом же заводе часть продукции хранилась вне складов, прямо на земле в мешках.
Прием некачественного товара. Простор для манипуляций есть не только, когда товар от поставщика выше качеством, но и когда его качество оставляет желать лучшего. Приемка от поставщиков уже подпорченного товара за взятку — вполне распространенная схема мошенничества в распределительных центрах ритейлеров, ведь там существует рутинный процесс списания некондиционного товара, продвигаемого со складов в торговые точки. Директора магазинов, которых встраивают в преступную цепочку, конечно, жертвуют своими показателями эффективности из-за завышенных списаний порченного товара, но та компенсация, которую они получают, участвуя в мошеннических схемах, покрывает все эти неудобства. Иногда высокий процент списаний начинает привлекать внимание топ-менеджеров и даже представителей акционеров, но зачастую им тут же приводят массу доводов, оправдывающих текущее положение дел.
Представьте себе, распределительный центр крупной розничной сети. В этот огромный ангар непрерывно подъезжают на разгрузку фуры с различным товаром. Потом товар сортируется, делится на мелкие партии, маршрутизируется и направляется в магазины. У каждого дока стоит приемщик, который должен определять качество товара.
Поставить дублирующий персонал, который будет осматривать каждую паллету с товаром, — дорого, да и как убедиться, что этого человека тоже не коррумпируют в процессе? Поэтому в одной крупной сети служба безопасности привлекла полицию и просто без предупреждения нагрянула в распределительный центр в разгар рабочего дня, остановила работу и с участием полиции проверила мобильные телефоны приемщиков. Все без исключения приемщики, отвечающие за входящий контроль качества, были уличены в бесперебойном получении крупных безналичных платежей на сотни тысяч рублей в этот самый день — взяток от поставщиков.
Манипуляция с неснижаемым запасом. Еще одна частотная история — это вынос электротехники, инструментов и потребительских товаров со складов. Воруют то, что можно быстро продать: шины, бытовую технику, дрели, чайники и прочее. Как это происходит? На каждом складе есть свой уровень неснижаемого остатка для продукции каждого вида.
Этот уровень остатка искусственно раздувают —например, увеличивают в 2 раза, потом избыточную часть выносят или вывозят любыми доступными способами и продают. По учетным данным товар по-прежнему числится на складе.
Почему же этот факт не всплывает во время инвентаризаций, которые регулярно проводятся на любом предприятии? Чтобы ответить на этот вопрос, достаточно вспомнить, как обычно проходят эти инвентаризации: на склад мобилизуют бухгалтерию, финансистов, самих сотрудников склада и инструктируют эту сборную команду, как правильно за один день все пересчитать. Разворовываемые позиции запасов мошенники загодя локализуют на нескольких конкретных стеллажах и во время инвентаризации просто ставят на их пересчет своего человека. Распределение участников по секторам склада и рядам ни у кого вопросов не вызовет, а если и вызовет, то будет найдена масса увесистых доводов в пользу того, что говорит начальник склада.
Расходы на «инновации». На волне технологического хайпа каждая крупная компания сегодня хочет иметь у себя в портфеле «инновационный центр». Часто люди, которые утверждают финансирование этих решений, мало что понимают в новых технологиях. В результате вокруг них появляются профессиональные «торговцы обещаниями», которые убеждают инвесторов, что, вложив деньги в конкретную технологию или стартап, они за 5 лет окупят вложения, а за 10 лет вырастят компанию-«единорога» с миллиардной капитализацией. Начинается бурная инвестиционная активность, мошенники получают откаты за покупку вовсе не привлекательных игроков, а инвестор — множество не связанных между собой технологических и ИТ-компаний с сомнительными перспективами.
Еще один забавный случай, который можно с сарказмом отнести к расходам на «инновации», был у меня пару лет назад на одном энергетическом объекте. Я заметил по документам в закупках, что для серверных закуплены дополнительные кондиционеры. Отчего же на относительно новом заводе в серверной стало жарче? Оказалось, что ребята, вдохновившись курсом криптовалюты, развернули в серверной майнинговую ферму. Пришлось свернуть это инновационное производство, тем более что и цена криптовалюты уверенно пошла вниз.
Источник: dzen.ru
Сотрудники магазина крадут. Как предотвратить?
Рената Рыжакова Автор Контур.Маркета
Как и почему крадут сотрудники
По данным исследований ECR Loss Prevention Group и CPMG в России и странах СНГ, почти половина краж товаров и денег из кассы приходится на внутреннее мошенничество — в 47 % случаев. По другим данным, сотрудники совершают еще чаще — 8 случаев хищений из 10 (Retail.ru).
Согласно отчету Российского союза промышленников и предпринимателей, сотрудники не просто выносят товар со склада или торгового зала, но и совершают другие незаконные действия:
- присваивают деньги, полученные от продажи товаров, а также из кассы магазина;
- оформляют фиктивные возвраты товаров, чтобы получить деньги от магазина;
- крадут товары в процессе их доставки на склад или в торговую точку;
- планируют кражу вместе с покупателями;
- продают товар дороже и присваивают разницу в цене.
Чаще всего в России сотрудники крадут продовольственные товары, напитки, косметику, одежду, обувь.
Сотрудники знают, как устроен магазин, каковы слабые места в обеспечении сохранности товаров, где расположены слепые зоны системы видеонаблюдения. И, конечно, они могут использовать эту информацию в корыстных интересах.
При этом причин для воровства у работников больше, чем у обычного покупателя или шоплифтера (от англ. shoplifter — «магазинный воришка»). Помимо соблазна получить дополнительную прибыль, обычной жадности, желания сэкономить к краже подталкивают:
- низкая зарплата;
- желание отомстить начальству за решения, которые сотрудник считает несправедливыми;
- финансовые проблемы в семье, кредиты, долги;
- страх увольнения, особенно в нестабильный для экономики период;
- нежелание отличаться от коллег, которые воруют регулярно.
Любой из этих пунктов может стать причиной воровства, если есть три обязательных условия: повод, возможность для кражи и самооправдание сотрудника. Чтобы снизить число краж в розничном магазине, нужно устранить хотя бы один из этих трех факторов. Но для начала необходимо убедиться, точно ли крадут сотрудники.
Почему важно следить за воровством в магазине
Розница старается увеличить прибыль и сократить затраты: автоматизирует бизнес-процессы, снижает количество ручного труда и нанимаемых сотрудников, устанавливает кассы самообслуживания. Однако все эти шаги на пути к снижению расходов не принесут целевых результатов, пока посетители и сотрудники вольны взять товар, не заплатив.
Кражи снижают прибыль магазина. Но тратить ресурсы на борьбу с хищениями нужно не только для того, чтобы уменьшить убытки. Если предпринимателю удастся снизить число краж, то вместе с тем он сможет решить еще несколько задач.
Повысить выручку. Не все покупатели хотят посещать магазин, зная, что в нем часто происходят кражи. Если же магазин активно борется с воровством и принимает меры, чтобы предотвратить хищения, он повышает лояльность клиентов, а это может привести к увеличению общей выручки.
Повысить безопасность персонала и покупателей. Воришки могут стать угрозой для здоровья персонала и покупателей. Например, когда используют насилие, чтобы избежать задержания. Чем хуже условия для промысла злоумышленников, тем безопаснее в торговом зале.
Улучшить репутацию. Магазины, которые активно борются с воровством, могут получать более высокие оценки от покупателей. Такие предприятия привлекательнее для инвесторов и потенциальных партнеров.
Как определить, что товар крадут сотрудники
Провести инвентаризацию. Если фактическое количество товара на складе меньше, чем показывает учетная система — это один из признаков воровства. Если вы обнаружили недостачу, избыток или пересортицу товара, есть вероятность, что работники намеренно вносят неверную информацию в программу учета, чтобы извлечь дополнительную выгоду.
Например, кассир пробивает товар, который похож на тот, что выбрал покупатель, но значительно дешевле. Далее он принял оплату наличными, а разницу в цене положил в карман.
Учетная система помогает находить расхождения данных в сервисе с фактическими остатками и устанавливать их причину. Инвентаризация доступна в любое время дня, для нее не придется закрываться на учет. Можно инвентаризировать товары по отдельности, по группам или сразу весь ассортимент.
Обратить внимание на изменение поведения сотрудника. К примеру, если сотрудник становится скрытным или вдруг начинает тратить больше денег, чем обычно, это может быть признаком того, что он крадет товары.
Еще вызывают подозрения сотрудники, которые постоянно работают в одиночку или проводят много времени в хранилище товаров без веских причин. Например, хитрый сотрудник может договориться с поставщиком о получении скоропортящегося продукта с дефектами. Часть товара он сразу списывает и реализует по своим каналам, лишая магазин части выручки.
Провести опрос среди персонала. Поговорите с работниками магазина. Возможно, кто-то из них видел момент кражи, но боялся или забыл рассказать об этом руководству. Если даже внутреннее расследование не поможет вам узнать имя воришки, то хотя бы насторожит его: руководство магазина знает о факте кражи и ищет виновного. В таких условиях он, скорее всего, станет осторожнее и прекратит воровать.
Например, кто-то из сотрудников заметил, что у кассира часто случаются проблемы с кассой: то кассовая лента заканчивается не вовремя, то покупатель долго ждет чек, то кассовая программа зависает. Можно заподозрить такого кассира в том, что он не выдает чеки покупателям, аннулирует чек или удаляет из чека товары и забирает деньги себе.
Прочитать отзывы и комментарии о работе магазина. Покупатели могут жаловаться на обвешивание, ошибки в чеках, неправильную сдачу. Если количество таких жалоб резко возросло, установите, когда происходили неприятные случаи с покупателями и сопоставьте даты со сменами сотрудников. Возможно, один из них оказался недобросовестным человеком.
Как и посетители, сотрудники чаще совершают кражи, когда видят возможность и ощущают соблазн стащить то, что плохо лежит. А значит, количество хищений в розничных магазинах можно снизить с помощью профилактики и установки систем контроля.
Как снизить число хищений
Первые шаги к выявлению краж уже способствуют тому, чтобы потери из-за воровства снизились. Заметив особенное внимание руководства к учету товаров и порядку в торговом зале, сотрудники становятся более осторожными и дважды думают, прежде чем стащить очередную шоколадку или дважды пробить товар в чеке. Но есть более эффективные способы снизить количество краж сотрудниками.
Подключить систему видеонаблюдения. Это доступный и универсальный способ выявить, отследить и снизить количество краж. Наличие камер отпугнет потенциальных воров-сотрудников, которые знают, что будут записаны на видео. Видеонаблюдение позволяет вовремя заметить подозрительное поведение и быстро на него реагировать.
Если кража всё же произошла, система видеонаблюдения помогает описать преступника, выявить его или предоставить полезную информацию для расследования.
А еще записи с камер можно показывать во время обучения сотрудников тому, какие действия правильны, а какие недопустимы. Анализ видеозаписей помогает выявить слабые места в системе безопасности, что позволяет улучшить ее, выявлять кражи быстрее и снизить их вероятность.
Даже если бизнес маленький и нет бюджета на умную систему видеонаблюдения, на рынке есть доступные решения с минимальным набором функций, а еще камеры-обманки, которые внешне ничем не отличаются от настоящих. Появление даже таких камер снизит вероятность хищений не только сотрудниками, но и посетителями.
Установить правила. Разработайте правила и процедуры для сотрудников, чтобы они поняли, что кражи в вашей компании недопустимы, а за нарушение правил последует наказание.
Пригласите сотрудников на встречу, организуйте сессию вопросов и ответов, чтобы они полностью понимали смысл этих правил. Раздайте памятки, расклейте предупреждения по рабочим помещениям.
Регулярно проводить инвентаризации. Определите график проверок и расклейте в местах, где его увидят все сотрудники. Утвердите состав комиссии по пересчету товара — важно, чтобы в нее не входило материально ответственное лицо.
Обучить сотрудников выявлять кражи. Добросовестный персонал способен помочь выявлять обманщиков — сотрудников и посетителей магазина. Вы можете организовать коллективный тренинг, чтобы работники научились обращать внимание на подозрительное поведение, которое может привести к краже.
Подключить товароучетную систему и кассовую программу. Чем больше автоматизации, тем меньше лазеек для злоумышленников, даже среди сотрудников. У сотрудника практически не будет шанса воровать товар безнаказанно, если:
- все поставки товаров проводятся по накладным от поставщика;
- после каждой продажи касса отправляет данные в систему учета, где обновляются остатки;
- товар регулярно ивентаризуют по выгрузкам из учетной программы.
Система учета позволит понять, в какой день и с действий какого сотрудника началось расхождение с фактическим количеством позиций в торговом зале и на складе.
Создать доверительную атмосферу. Теплые отношения между владельцем магазина и сотрудниками также помогают сократить число краж.
Если вы развиваете корпоративную культуру, транслируете общие ценности, регулярно общаетесь с сотрудниками, интересуетесь их проблемами и показываете свое одобрение, то их лояльность повышается — а лояльный работник не стремится умышленно принести компании убытки.
Проверять сотрудников при приеме на работу. Позвоните в предыдущее место работы, спросите о причинах увольнения, запросите у соискателя рекомендации. Так вы выявите кандидатов, которые могут иметь склонность к кражам.
Кражи в розничных магазинах могут серьезно навредить бизнесу, поэтому очень важно принимать меры по их выявлению и предотвращению. Ключевыми факторами, которые могут помочь в этом, являются установка систем видеонаблюдения, программы для учета товаров и контроля кассовых операций, обучение сотрудников.
Каждый случай кражи уникален и требует особого подхода. Но, следуя основным принципам, можно снизить вероятность совершения краж сотрудниками и уменьшить убытки магазина.
Источник: kontur.ru
Как воруют в бизнесе
Киберугрозы стали частью повседневных рисков для любого бизнеса – так же, как и падение спроса или происки конкурентов, их нужно принимать во внимание всем компаниям без исключения.
Действия хакеров в 2017 году в мире в среднем обошлись каждой крупной корпорации в $1,3 миллиона, а субъектам малого и среднего бизнеса – в $117 тысяч. Этот год должен стать рекордным: общемировые потери, согласно прогнозам, достигнут $1 триллиона.
Рассмотрим наиболее популярные векторы атак и способы минимизации рисков.
Трояны-шифровальщики
Прошлый год был богат на кибератаки с использованием троянов-шифровальщиков – вредоносных программ, которые, попадая на корпоративные компьютеры, зашифровывали их содержимое и требовали выкуп за восстановление данных. Больше всего нашумели WannaCry и вариации вируса Petya, которые поразили множество корпораций по всему миру, включая российские «Мегафон» и «Роснефть», а также Mars, NIVEA, правительственные компьютеры и торговые сети Украины. Глобальный ущерб от первого составил 8 миллиардов долларов, второго – 850 миллионов долларов.
RB.RU готовит большое обновление — и мы хотим учесть пожелания и интересы вас, наших читателей. Если вы готовы поделиться своим мнением об RB.RU, переходите по ссылке, чтобы заполнить короткую анкету.
Шифровальщики попадают в систему различными способами. Вирус Petya использовал разные векторы атак, в том числе ту же уязвимость в Windows, что и WannaCry (закрыта в обновлении безопасности от 14 марта 2017), которая позволяла подключаться к системе удаленно.
Другие пользуются стандартными методами – попадают в компьютер через электронную почту или маскируются под уведомление системы об обновлениях. Именно так поступил BadRabbit, когда в прошлом году атаковал российские СМИ, включая «Интерфакс» и «Фонтанку», а также киевское метро и одесский аэропорт. Вирус проник в систему под видом обновления одного из продуктов Adobe, который устанавливали сами сотрудники.
Несмотря на то, что создатели всех шифровальщиков требовали выкуп в биткоинах, в большинстве случаев выплата оного не приводила к желаемому результату. Так, разбор вирусов Petya/ExPetr/NotPetya показал, что дешифровка данных была изначально невозможна, то есть вирус запускался чисто с деструктивными намерениями (или, по одной из версий – влияния на курс биткоина с целью его повышения).
Как бороться?
Бороться с шифровальщиком после того, как он попал в систему, практически невозможно, можно только постараться предотвратить заражение корпоративной сети. Самая очевидная мера – это использование надежных антивирусов на корпоративных компьютерах, своевременная установка всех выпускаемых обновлений ПО и настройки корпоративных устройств, уменьшающие влияние человеческого фактора. К неочевидным, но очень важным, относится обучение сотрудников, в частности, на предмет того, как распознавать признаки кибератак. Тактика действий персонала при этом должна быть отработана соответствующими тренингами или даже сознательными провокациями.
И конечно же, нужно обеспечивать своевременное резервное копирование данных, а в некоторых случаях уместно использование надежных облачных сервисов. Также в некоторых случаях не будет лишним ограничить доступ в интернет компьютеров с бухгалтерией и другими критичными корпоративными системами.
Кейлоггеры и другие трояны
Кейлоггеры – особый вид троянов, которые считывают информацию, вводимую с клавиатуры. Кейлоггер способен украсть пароли, данные банковских карт, конфиденциальные сведения, относящиеся к коммерческой тайне и другую важную информацию.
Заражение этим видом вируса, как впрочем и любым трояном, происходит через почту, торренты, мессенджеры, уязвимости операционной системы или программ – любые каналы, посредством которых сотрудник компании может запустить спрятанный вредоносный код, а также через внешний накопитель.
Кстати, именно таким образом одиозный вирус Stuxnet, созданный, вероятнее всего, спецслужбами США и Израиля, добрался до адресата – Иранской ядерной станции, заразив по пути сотни тысяч компьютеров и став оружием для шпионажа во многих странах мира. Этот троян вошел в историю благодаря новому принципу действия – физическому разрушению инфраструктуры. В Иране вирус повредил тысячу центрифуг для обогащения урана, нанеся колоссальный ущерб Иранской ядерной программе.
Как бороться?
Поскольку трояны проникают в систему различными путями, меры безопасности должны быть комплексными: антивирусные программы, сетевые фильтры, обучение сотрудников и в целом проработанная и последовательная политика безопасности, которая включает в себя использование адаптированных для работы в корпоративной среде программных и аппаратных продуктов (специальных мессенджеров, лицензированных операционных систем, сетевого оборудования).
В каждой организации конфигурация систем безопасности должна создаваться, исходя из ее профиля и сферы деятельности. Приведу пример из личного опыта. Мне довелось работать в одной из структур Роскосмоса – ФГУП НПЦАП им. Пилюгина, которая занимается разработкой автономных систем управления для ракетно-космической техники.
С учетом особых требований безопасности в нашем отделе были установлены только сертифицированные компьютеры российской сборки без единого USB-порта. Таким образом, сотрудники были лишены возможности принести на работу и присоединить к ПК зараженную флешку.
И хотя в эти компьютеры было возможно поставить дисковый накопитель, автозапуск программ, через который обычно и происходит заражение, был отключен.
Подобным же образом каждая организация, будь то корпорация или государственная структура, должна проанализировать свои потоки данных, найти в них «слабые звенья» и исключить атаки на них.
Кража корпоративных данных с облака
С принятием нового закона в США, который получил известность как CLOUD Act, американские спецслужбы имеют прямой доступ (без ордера) к пользовательским данным популярных сервисов таких компаний, как Microsoft, Apple, Google вне зависимости от того, где физически расположены данные (ранее, например, в Microsoft хранили данные пользователей в Ирландии, что позволяло не раскрывать их американским спецслужбам).
Принятие акта означает, что о сохранности коммерческих данных на Google Drive, iCloud и OneDrive, Dropbox речи не идет.
Более того, лидеры рынка не просто поддержали новый закон, но и оставили за собой право делиться пользовательскими данными со спецслужбами других стран, что фактически означает неопределенный круг лиц и ведомств. Речь уже идет не просто о доверии монополистам и спецслужбам одной конкретной страны.
Существует еще одна уязвимость, о которой долгое время не было известно широкой общественности. Буквально на днях Bloomberg опубликовал статью, где говорится о серьезном упущении в системах безопасности ведущих ИТ-гигантов. Выяснилось, что в микросхемах для облачной инфраструктуры, выпускаемых компанией-монополистом Supermicro, интегрирован шпионский микрочип.
Устройство размером с рисовое зернышко позволяет получать доступ к данным любой системы, где использована микросхема, включая, по некоторым данным, сервера Apple и Amazon. К слову, Amazon обнаружил «шпиона» еще три года назад. Все это время устройство изучалось и тестировалось спецслужбами, и только на днях результаты были обнародованы. Выяснилось, что микрочип был произведен в Китае.
Как бороться?
Иными словами, бизнес сегодня должен осторожнее относиться к хранению данных на облачных сервисах и тщательно выбирать IT-продукты. Какие есть варианты? Использовать облачные сервисы вроде Box, которые позволяют хранить в облаке данные, защищенные сквозным шифрованием, но систему генерации ключей размещают на инфраструктуре, контролируемой клиентом. Кому-то нужно автономное решение: например, специально разработанный под корпоративные нужды мессенджер dialog, размещаемый на инфраструктуре компании, а не в облаке, исключая таким образом вопрос доверия к облачному провайдеру в принципе – данные находятся под контролем компании и никого больше.
Утечка данных через сотрудников
Кража корпоративных данных может произойти и с физического носителя – например, устройства на базе Android одного из сотрудников. Все, что нужно – это вытащить внутренний накопитель памяти и скопировать из него все файлы, которые были посланы, к примеру, через вроде бы защищенный сквозным шифрованием мессенджер. Во многих случаях для копирования памяти достаточно и просто подключить телефон к компьютеру по USB и запустить специальный сервис. .
Один из самых опасных векторов атаки на личные устройства сотрудников корпораций – перехват авторизации с помощью пресловутой уязвимости SS7. Она позволяет злоумышленнику перехватить SMS с кодом авторизации и захватить контроль над аккаунтом, например, в мессенджере или банк-клиенте. В последнее время участились кибератаки на банковские аккаунты, когда логин и пароль к личному кабинету хакеры выясняли с помощью фишинга, а затем перехватывали SMS c одноразовым кодом для входа в систему. Специалисты компании Positive Technologies доказали всему миру, что любая авторизация, использующая передачу кодов или паролей по SMS, является крайне ненадежной, демонстративно хакнув биткоин-кошелек произвольного пользователя.
К слову, о фишинге. Этот тип кибератаки заключается в маскировке под реальные сайты и приложения, где предлагается ввести конфиденциальные данные. Очень часто ссылки на фальшивые страницы (якобы от банков или соцсетей) с просьбой авторизоваться приходят на email или в мессенджеры.
Еще один возможный канал утечки данных через личные девайсы сотрудников – популярные мессенджеры Они совсем не безопасны, несмотря на декларируемое сквозное шифрование. Архив сообщений того же WhatsApp, например, хранится в iCloud или Google Drive в открытом виде, что, согласно Cloud act, делает их доступным для широкого круга лиц. Да и само шифрование имеет смысл только тогда, когда пользователя в режиме реального времени уведомляют о смене ключа собеседника (что является симптомом атаки “man in the middle”), а эта функция выключена в WhatsApp по умолчанию (проверьте: настройки-профиль-безопасность). И это далеко не последняя уязвимость: к примеру, протокол групповых чатов в мессенджере устроен так, что сервер WhatsApp может добавить нового участника по своей инициативе. А совсем недавно было объявлено об уязвимости, которая позволяет получить полный контроль над приложением простым видеозвонком со специально сформированным пакетом в видеопотоке.
WhatsApp – не единственный мессенджер, который не может гарантировать приватность. Например, Telegram только на днях закрыл уязвимость, которая давала возможность Apple (при том, что обновления от Apple позволяли сделать это гораздо раньше) и связанным с ней спецслужбам получать доступ к сообщениям пользователей в процессе доставки push-уведомлений на iPhone.
Помимо всего прочего, не стоит забывать, что абсолютно любой массовый мессенджер может быть легко использован для элементарного обмана: подставному лицу, чтобы выдать себя за коллегу сотрудника какой-либо компании, достаточно зарегистрировать аккаунт с соответствующими ФИО и фотографией.
Как бороться?
Что можно сделать? Некоторые поступают радикально – запрещают мессенджеры и смс на корпоративных устройствах, как это сделал Deutsche Bank. Исследование ProcessOne говорит о том, что три четверти компаний UK готовы пойти по этому пути. Но далеко не каждая компания может позволить себе закупать и обслуживать корпоративные мобильные устройства для каждого сотрудника.
В качестве альтернативы можно использовать решение, подобное AirWatch Container – оно запускает приложения в защищенном «контейнере», который изолирует приложения от недоверенного окружения и шифрует хранилище вне зависимости от настроек операционной системы. Поддержка этого решения имеется у зрелых корпоративных решений, и dialog – не исключение.
Существует также универсальный совет для всех и каждого, который применим и в корпоративных коммуникациях – использовать в мессенджерах двухфакторную авторизацию. Это несколько снизит риски, но не исключит их полностью.
Именно поэтому мы пошли дальше, разрабатывая дополнительные факторы авторизации, – биометрические, по голосу и лицу.
Что касается утечки учетных данных через фишинг, то в борьбе с ним по-прежнему актуальны антивирусы и корпоративные фильтры, но прежде всего – обучение сотрудников кибергигиене. Конечно, современные почтовые клиенты умеют распознавать подозрительную активность, но надеяться на этот механизм не стоит, профессиональные хакеры всегда находят способы их обойти.
В качестве заключения хотелось бы донести один малоприятный, но зато объективный факт: абсолютной кибербезопасности не существует. Рисков много, и все, что мы можем и должны сделать, – это минимизировать их. Основа борьбы с любыми атаками – это не только надежное регулярно обновляемое ПО, защищенные корпоративные сети политики безопасности, но и последовательная работа по повышению компьютерной грамотности сотрудников.
Источник: rb.ru