Информационные войны

11. Социальные сети как угроза информационной безопасности. Применение программ типа DLP

Сегодня СС являются неотъемлемой частью личной жизни многих людей, о чем свидетельствуют цифры статистики:

Facebook насчитывает более 5 млн. пользователей в России и 700 млн. профайлов по всему миру;

Ежедневная аудитория самой популярной у россиян социальной сети "ВКонтакте" насчитывает 12 млн. человек; "Одноклассники" - 7,2 млн.; 5,3 млн. - сеть "Мой мир, Facebook с 1,2 млн. посетителями из России в день

Аналитики говорят, что россиянин в среднем проводит почти 10 часов в месяц в социальных сетях. Этот показатель является самым высоким в мире и превышает среднемировое значение в 2 раза. За Россией следует Израиль (9,2 ч) и Турция (7,6 ч).

Очень часто, если работодатель этого не запрещает, пользователи просматривают социальные сети прямо на рабочем месте.

С точки зрения преступников, СС - удачное место для распространения вредоносных программ. Конечная цель преступлений - получить доступ в корпоративную сеть.

Пути проникновения:

1. Размещение ссылок на «стене». Под видом интересных видео или милых фотографий преступник закладывает мину мгновенного действия. В конечном счете, вместо фото или видео пользователь открывает странные сайты, на которых его ожидают вирусы попутной загрузки (они загружаются на компьютер во время перехода на другой сайт), которые ориентированы на кражу определенной информации. По статистке каждый 4-й открывает ссылки, в независимости от того, знаком или нет ее отправитель;

2. Использование методов социальной инженерии. Преступники нередко прибегают к созданию фейковых (поддельных) профилей, с помощью которых они связываются с заранее выбранной жертвой и пытаются добыть конфиденциальную информацию. И не всегда таинственных "друзей" интересует только цвет глаз пользователя, иногда они задают вопросы о его месте работы, о корпоративной культуре, о руководстве, что также может стать причиной серьезной утечки для компании;

3. Фишинг. Например, пользователь на рабочем месте получает сообщение от Facebook, которое графически весьма похоже на реальное сообщение (а по сути, является качественно выполненной подделкой) и которое просит подтвердить личные данные. Ни о чем не подозревающий пользователь вводит логин и пароль, которые уже отправляются к мошеннику. А потом по старой отработанной схеме - в корпоративную сеть.

4. Сбор личных данных. Когда игра или какой-либо другой сервис запрашивает разрешение на доступ к вашим личным данным, то, скорее всего, это приложение занимается сбором информации, чтобы в дальнейшем предложить вам контекстную рекламу;

5. Скаммер-технологии. Это взлом и похищение профайлов для распространения информации среди большого круга пользователей. Этот тип мошенничества основан на доверии к друзьям.

Около 25% компаний имели дело хотя бы с одним случаем сетевой атаки, средний ущерб которой составляет от 50 тыс. до 125 тыс. долларов в месяц.

Большое бедствие таит в себе привычка использовать одни и те же имена пользователей и пароли в корпоративной сети и во внешних социальных ресурсах. В результате взлом такой пользовательской записи СС значительно повышает риск проникновения к корпоративным ресурсам от имени одного из сотрудников компании.

Запрещать выход в СС работодателям бессмысленно. Во-первых, это вызовет недовольство. Во-вторых, работник всегда найдет возможность выйти с СС анонимно. Существует масса программ-анонимайзеров, пропускающих трафик по шифрованному каналу через прокси-сервер. Кроме того, работник может использовать свой собственный планшетник или смартфон.

Кто активно использует СС в своих, часто корыстных целях:

СС сети активно используют коллекторы для поиска неплательщиков. Причем коллекторы чаще заводят женские профайлы, что повышает эффективность «знакомства».

Также СС используют рекрутеры, для проверки потенциальных соискателей.

Гадалки, которые получают информацию из СС и затем предоставляют ее «клиенту» за деньги.

Меры предосторожности при работе в СС:

1. Меняйте свой пароль хотя бы раз в месяц, при этом желательно его усложнять.

2. Не выходите из сети, просто закрыв страницу - всегда делайте logout.

3. Будьте осторожны с видеофайлами, особенно, если вы не знаете того человека, который это видео разместил.

4. Обращайте внимание на подозрительные сообщения, особенно если они призывают вас перейти по какой-то ссылке.

5. Делайте закрытый доступ к своей странице и фотографиям;

6. Не помещайте конфиденциальной информации на «стену», ни домашнего адреса, ни телефона;

7. Избегайте «дружеского» стиля общения в СС, добавляя в друзья незнакомых.

Уже существуют адекватные средства защиты, позволяющие снизить риск использования соцсетей в бизнесе до приемлемого уровня. Для защиты от внешних угроз подходят современные межсетевые экраны, антивирусы, средства обнаружения и предотвращения атак.

Для защиты от утечек можно использовать современные DLP-системы (англ. Data Loss Prevention).

DLP-система - программный, либо программно-аппаратный комплекс, предотвращающий утечку конфиденциальных данных.

Защита конфиденциальной информации осуществляется DLP-системой при помощи использования следующих основных функций:

1. Фильтрация трафика по всем каналам передачи данных;

2. Глубокий анализ трафика на уровне контента и контекста.

Наиболее распространены два способа определения конфиденциальности документа: путём анализа специальных маркеров документа и путём анализа содержимого документа. В настоящее время более распространен второй вариант, поскольку он устойчив перед модификациями, вносимыми в документ перед его отправкой, а также позволяет легко расширять число конфиденциальных документов, с которыми может работать система.

Защита конфиденциальной информации в DLP-системе осуществляется на трех уровнях: Data-in-Motion, Data-at-Rest, Data-in-Use.

Data-in-Motion - данные, передаваемые по сетевым каналам:

1. Web (HTTP/HTTPS протоколы);

2. Интернет - мессенджеры (ICQ, QIP, Skype, MSN и т.д.);

3. Корпоративная и личная почта(POP, SMTP, IMAP и т.д.);

4. Беспроводные системы (WiFi, Bluetooth, 3G и т.д.);

5. FTP - соединения.

Data-at-Rest - данные, статично хранящиеся на:

1. Серверах;

2. Рабочих станциях;

3. Ноутбуках;

4. Системах хранения данных (СХД).

Data-in-Use - данные, используемые на рабочих станциях.

Защита конфиденциальной информации включает в себя организационные меры по поиску и классификации имеющихся в компании данных. В процессе классификации данные разделяются на 4 категории:

· Секретная информация;

· Конфиденциальная информация;

· Информация для служебного пользования;

· Общедоступная информация.

Современные DLP-системы основаны на анализе потоков данных, пересекающих периметр защищаемой информационной системы. При выявлении в потоке конфиденциальной информации срабатывает защита, и передача сообщения (пакета, потока, сессии) блокируется или отслеживается.

В настоящий момент на нашем рынке представлено около двух десятков отечественных и зарубежных продуктов, обладающих некоторыми свойствами DLP-cистем. Вот некоторые из них:

1. DLP 9.0

2. Code Green

3. Monitorium;

4. Дозор-Джет;

5. DeviceLock.

Основная проблема западных разработчиков на рынке DLP - это языковая проблема.

Помимо своей основной задачи, DLP-системы также хорошо подходят для решения ряда других задач, связанных с контролем действий персонала, а именно:

1. Контроль использования рабочего времени и рабочих ресурсов сотрудниками;

2. Мониторинг общения сотрудников с целью выявления «подковерной» борьбы, которая может навредить организации;

3. Контроль правомерности действий сотрудников (предотвращение печати поддельных документов и пр.);

4. Выявление сотрудников, рассылающих резюме, для оперативного поиска специалистов на освободившуюся должность.

12. Компьютерный терроризм

Уже сегодня, по заявлениям некоторых иностранных экспертов, отключение компьютерных систем приведет к разорению 20% средних компаний в течение нескольких часов, 48% потерпят крах в течение нескольких суток. Около 33% банков будут разорены спустя несколько часов после такой катастрофы, а 50% из них разорятся спустя несколько суток.

Слово происходит от лат. «terror» - страх, ужас. Терроризму свойственны:

ь культ насилия и отказ от диалога с оппонентами;

ь целенаправленно организованный характер террористических актов; закрытый подпольный характер деятельности;

ь идеологизированная мотивация совершаемых террористических актов.

Террористы, в отличие от прежних завоевателей, стремятся "оккупировать" не территорию, а волю, сознание людей, подавить их сопротивление.

Сам термин «кибертерроризм» появился предположительно в 1997 году. Специальный агент ФБР Марк Поллитт определил этот вид терроризма как «преднамеренные политически мотивированные атаки на информационные, компьютерные системы, компьютерные программы и данные, выраженные в применении насилия по отношению к гражданским целям со стороны субнациональных групп или тайных агентов».

Можно выделить два вида кибертерроризма:

ь совершение с помощью компьютеров и компьютерных сетей террористических действий (условно назовем это терроризмом в «чистом виде»);

ь использование киберпространства в целях террористических групп, но не для непосредственного совершения терактов.

Способы использования террористами сети Интернет разнообразны:

1. Сбор с помощью Интернета подробной информации о предполагаемых целях, их местонахождении и характеристике.

2. Сбор денег для поддержки террористических движений. Так, например, сайт о Чеченской республике (amino.com) представляет номер счета банка в Калифорнии, на который можно перечислить средства для поддержки чеченских террористов.

3. Создание сайтов с подробной информацией о террористических движениях, их целях и задачах, публикация на этих сайтах данных о времени и встрече людей, заинтересованных в поддержке террористов.

4. Вымогательство денег у финансовых институтов с тем, чтобы те могли избежать актов кибертерроризма и не потерять свою репутацию.

5. Использование Интернета для обращения к массовой аудитории для сообщения о будущих и уже спланированных действиях на страницах сайтов или рассылка подобных сообщений по электронной почте, а также предание

6. террористами с помощью Интернета широкой гласности своей ответственности за совершение террористических актов.

7. Использование Интернета для информационно-психологического воздействия, в том числе инициация «психологического терроризма». С помощью Интернета можно посеять панику, ввести в заблуждение, привести к разрушению чего-либо. Всемирная сеть - благодатная почва для распространения различных слухов, в том числе и тревожных, и эти возможности сети также используются террористическими организациями.

19 декабря 1997 года по национальному телевидению Японии демонстрировался анимационный фильм, содержащий контаминацию цветовой гаммы, мигания визуальной информации, от просмотра которого десятки людей получили психофизические расстройства различной тяжести

8. Вовлечение в террористические сети ничего не подозревающих соучастников - например, хакеров, которым неизвестно, к какой конечной цели приведут их действия. Кроме того, если раньше сеть террористов обычно

9. представляла разветвленную структуру с сильным центром, то теперь это сети, где не просматривается четких командных пунктов - такую возможность предоставляет Интернет.

По оценкам экспертов министерства обороны США, скоординированная атака 30 «хакеров», расположенных в различных точках земного шара, может привести к отключению электроэнергии по всей стране и парализации авиационно-диспетчерских линий.

Агентство информационных систем министерства обороны США в целях проверки провело 38 тысяч «атак» по собственным компьютерным сетям - только 4% персонала, отвечающего за них, поняли, что производится «атака», и лишь каждый 150-й сообщил в вышестоящую инстанцию о «вторжении».

Методы кибертеррористов:

1. "Логические бомбы" - программные закладные устройства, которые заранее внедряют в информационно-управляющие центры, которые по определенному сигналу или в установленное время приходят в действие, уничтожая или искажая информацию, прекращая доступ к тем или иным важным фрагментам управляемого информационного ресурса;

2. На вооружение приняты и обычные компьютерные вирусы.

Например, вирус №666, по мнению медиков, вообще способен негативно воздействовать на психофизиологическое состояние оператора ПК, вплоть до его смерти. Принцип действия состоит в следующем: он выбирает на экране специально подобранную цветовую комбинацию, погружающую человека в гипнотический транс. Происходит резкое изменение деятельности сердечно-сосудистой системы и человек может погибнуть.

3. DoS-атаки, атаки вызывающие эффект, так называемого, отказа в обслуживании.

4. Средства радиоэлектронного подавления, не являются оружием, поражающим цели, но в условиях современной войны именно их применение предшествует началу боевых операций. Это малогабаритные устройства, способные генерировать электромагнитный импульс высокой мощности, обеспечивающий вывод из строя радиоэлектронной аппаратуры, а также другие средства подавления информационного обмена в телекоммуникационных сетях.

Совсем недавно был отмечен такой специфический вид терроризма, как «ядерный шантаж».

В начале 1999 года по электронной почте в адрес правительств более чем 20 стран (США, Великобритании, Израиля, Австрии и др.) были направлены сообщения от имени офицеров российской воинской части, расположенной в городе Козельске Калужской области и имеющей на вооружении стратегические ракеты шахтного базирования. В этих письмах информировалось, что командный состав части недоволен «унизительным положением России», и содержалась угроза «самовольно произвести пуски ракет по целям, расположенным в столицах и промышленных центрах западных стран». Кроме того, анонимы традиционно требовали выплаты крупной денежной суммы. В этой связи правительства ряда ведущих стран выразили МИД России серьезную обеспокоенность случившимся и попросили оказать содействие в розыске вымогателей. В результате проведенной ФСБ России расследования преступники были задержаны. Ими оказались два жителя Калуги, не являющиеся военнослужащими.

«Кибертерроризм», предполагает проникновение в компьютерные системы, а космический терроризм - через создание помех для искусственных спутников Земли и их уничтожение, захват космических аппаратов; пиратские нападения на морские суда и т.н.

Примером кибертерроризма может служить занесение в сентябре 2010 г. «червя» в локальную компьютерную систему атомной электростанции в Ирана в г. Бушер, передающего информацию о состоянии станции.

Первоочередными мероприятиями в борьбе с кибертерроризмом являются:

1. объединение усилий государств - членов международного сообщества в области обеспечения информационной безопасности, закрепление совпадающих интересов и совместное проведение мероприятий по их защите преимущественно на основе двухсторонних и многосторонних договоров;

2. создание базового понятийного аппарата - необходимо договориться о единой трактовке терминов, используемых в данной области. Необходимо стремиться к гармонизации национальных законодательств в части борьбы с информационным терроризмом. Эта проблема существенно затрагивает национальные интересы (например, в США законодательно ограничен обмен информацией между частными корпорациями о компьютерных атаках, что не позволяет использовать опыт друг друга);

3. использование потенциала хакерского сообщества, т.е. людей с ярко выраженным увлечением к познанию в области информационных технологий, выходящим за рамки познавательной и учебной деятельности, в антитеррористических целях;

4. разработка системы мер по мониторингу и контролю за распространением знаний и технологий, критичных с точки зрения информационной безопасности. Один из основных ресурсов, требующих мониторинга - это высококвалифицированные специалисты, обладающие знаниями в области высоконадежных методов защиты информации. Именно они являются объектом интереса международных террористических организаций;

5. содействие каждого пользователя (организации всех секторов экономики, образовательные учреждения, граждане - пользователи Интернет и др.) обеспечению информационной безопасности на том участке киберпространства, которым он владеет или пользуется.

13. Биометрические методы идентификации

Основная задача биометрии - дать ответ на вопрос «кто?». Кто открывает дверь? Кто снимает деньги с карты в банкомате?

Биометрические методы основаны на одном - все люди обладают какими-либо уникальными особенностями.

Примеры уникальных особенностей:

1. папиллярные линии на ладонях;

2. радужная оболочка;

3. сетчатка глаза;

4. черты лица - расстояние между глазами, от губ до носа. Они остаются неизменными, даже если человек худеет или толстеет. Эти пропорции не способна изменить даже пластическая операция;

5. узор вен на ладонях;

6. пропорции руки;

7. содержимое ДНК.

Это все физиологические уникальные черты. Существуют также поведенческие особенности:

Манера печати на клавиатуре - темп печати, задержки между буквами или словами; предпочтения некоторых клавиш, число задействованных пальцев.

Еще телеграфисты XIX века заметили, что даже «точки-тире» каждый человек отбивает в своей неповторимой манере. Во время Второй мировой радиоразведчики, слушавшие морзянку в эфире, умело пользовались возможностью распознавать радистов противника по индивидуальному стилю работы на ключе.

Готовые комплексы биометрической идентификации выпускают многие производители, среди которых и российские, и зарубежные, и новички, и опытные производители. Самые известные: Iridian Tech, Sarnoff, Cyber Sign, Ringdale, Keytronic, Artemis. Над биометрией сегодня работают тысячи стартапов и все без исключения крупные ИТ-вендоры -- Apple, Microsoft, Google.

Мировой рынок биометрических технологий является быстрорастущим. Если в 2009 году он был равен 3,4 млрд. $, то в 2013 г - 7,8, по прогнозам 2014 - 9,4.

Идентификация по физическим признакам имеет ряд недостатков:

1. Недоверие со стороны пользователей;

2. Недостаток точности;

3. Высокая цена (издержки выше, чем, например, при использовании паролей);

4. Угроза конфиденциальности. Биометрические технологии подразумевают сбор информации личного характера.

Ведущие производители сканеров для отпечатков пальцев: BioLink, Boiscrypt, DigitalPersona, Identix.

Ведущие производители сенсоров (считывающие элементы сканирующих устройств): Atmel, AuthenTec, Veridicom.

Распознавание по форме руки. Распознает геометрию кисти руки. Получают трехмерный образ кисти, сканируя форму нескольких пальцев.

Ведущие производители: Recognition systems, BioMet Partners.

Распознавание по радужной оболочке глаза. Для реализации способа необходима камера, позволяющая получить изображение глаза человека с достаточным разрешением и специальное ПО, которое выделяет из полученного изображения рисунок радужной оболочки, по которому строиться цифровой код.

Ведущие производители: Iridian - крупнейший производитель в данной области. На их рении базируются разработки других крупных производителей - LG, Panasonic и др.

Распознавание по форме лица. С помощью камеры строится трехмерный образ лица, выделяются контуры бровей, глаз, носа, губ и т.д.

Ведущие производители: AcSys Biometrics, A4Vision, Identix.

Распознавание по рукописному почерку. Как правило используют подпись человека или кодовое слово.

Ведущие производители: CIC, SOFTPRO, Valyd.

Распознавание по голосу. Ведущие производители: Nuance, Persay, Voicevault.

В настоящее время структура мирового рынка биометрии выглядит следующим образом:

1. Верификация голоса - 11%;

2. Сканирование лица - 15%;

3. Сканирование радужной оболочки глаза - 34%;

4. Сканирование отпечатков пальцев - 34%

5. Геометрия руки - 25%

6. Верификация подписи - 3%.

Любой такой программный продукт можно оценить по трем параметрам:

1. Процент ложных срабатываний (сканер примет одного за другого);

2. Процент неоправданных отказов (сканер не узнает человека);

3. Скорость сканирования. Например, идентификация по отпечатку пальца занимает доли секунды, но по первым двум параметрам дает слабые результаты. Анализ сетчатки глаза занимает больше времени, но дает меньше сбоев.

Вследствие вышесказанного, популярность различных методов биометрии на различных предприятиях разная.

Папиллярная хорошо работает на малых и средних предприятиях, где цена ошибки при распознавании личности невелика.

Гораздо меньше на рынке решений, использующих сканирование лица, радужку и рисунок вен.

Программы, где используются методы поведенческой геометрии, еще в стадии лабораторных испытаний.

Проблемы технологии

Абсолютно стойкого к обману биометрического метода не было, нет, и вряд ли когда-нибудь таковой появится.

Свежий скандал, непосредственно связанный с темой биометрии, разразился в одной из крупных клиник Сан-Паулу (Бразилия), которая использует систему биометрической идентификации по отпечатку пальца -- в том числе для того, чтобы фиксировать время прихода и ухода сотрудников. Детали мошенничества пока расследуются, но картина у бразильского следствия складывается такая. Около трех лет назад кто-то из врачей наловчился отливать из кремнийорганического желе (в простонародье именуемого «силиконом») слепки пальцев -- и в первое время использовал свою находку, чтобы прикрывать прогулы друзей, поскольку глупый автомат, как выяснилось, не может отличить живой палец от силиконового. Дальше -- больше: группа мошенников, сложившаяся в клинике, стала принимать на работу несуществующих сотрудников, которые исправно «ходили» на службу, что подтверждали отметки о приходе и уходе. Вскрылась афера случайно, когда проверка выявила, что одного из работников, три года регулярно получавшего зарплату, никто никогда в глаза не видел. У следователей есть подозрение, что таких «мертвых душ» в клинике «работало» чуть ли не три сотни.

Ключом решения проблем биометрии - многофакторная (или мультимодальная) биометрия, т.е. проверять не один, а сразу несколько разнотипных биоидентификаторов, например, радужку, отпечатки пальцев и фото.

Именно так построена, в частности, самая масштабная в истории человечества программа биометризации населения, проводимая сейчас в Индии: больше миллиарда человек должны пройти процедуру снятия указанных параметров, что позволит государству знать каждого своего гражданина буквально в лицо.

Еще одной проблемой биометрии является проблема кражи баз данных. Биометрические идентификаторы (например, отпечатки пальцев), как и пароли, необходимо где-то хранить. И если такая база попадет в чужие руки, злоумышленники смогут причинить записанным в ней людям вред. Применить идентификатор сложно, но похититель теоретически сможет узнать многое о владельце такого идентификатора: пол, возраст, национальность.

Решить эту проблему можно, если хранить в базе данных не сами биоидентификаторы, а их обработанные версии.

Существует и совершенно уникальная проблема кражи персональных физиологических свойств. Представьте, например, что некий злоумышленник сумел каким-то образом снять ваши отпечатки пальцев (например, отсканировал их со стакана в офисе), после чего изготовил по ним силиконовый слепок. Укради он у вас пароль -- вы могли бы просто поменять его на новый -- и проблема была бы решена. Но как поменять отпечатки пальцев? Радужку или сетчатку глаза? Теперь вор сможет выдавать себя за вас всегда, до конца ваших дней!

Теоретическое решение этой проблемы, впрочем, тоже уже предложено (так называемая отменяемая биометрия, суть которой сводится к тому, чтобы, если кража произошла, переключиться на проверку новых контрольных точек), но фактически идея все еще пребывает в лабораторной стадии.

14. Коммерческий подкуп

По уровню коррупции среди 180 стран мира Россия прочно занимает 147-е место, располагаясь между Кенией и Бангладеш. На первом месте находится Дания - там подобных вещей нет вообще. США, например, занимает 18-ю позицию.

Коммерческий подкуп (откат, взятка) - это любое подношение, полученное в каком бы то ни было виде. Лично или через посредника. Откат получают за выполнение действий, которые входят в круг должностных обязанностей получателя в интересах дающей стороны.

За рубежом существует другой термин, обозначающий откат - kickback (обратный пинок).

Откаты есть, как небольших, так и крупных фирмах. Разница лишь в размерах. Для небольших фирм - 10-20%, для крупных 0,-0,2 % от сделки. Процент отката при гос.заказе может достигать 50-60%.

Виды откатов:

1. Классический (наличные/безналичные средства).

2. Альтернативный (любые материальные ценности);

3. Нематериальный (моральные или физические блага).

Природа отката: предоставление избранному контрагенту необоснованных привилегий по сравнению с другими. Это, в конечном счете, приводит к изменению условий сделки в ущерб экономическим интересам фирмы.

Конечно, платит поставщик, а не компания. Но компания несет убытки за закупку ненадлежащего товара или ненадлежащего количества этого товара. Менеджер лично может и не ворует, но его деятельность, организованная таким образом, не позволяет оптимизировать ассортимент, так как оттягивает на себя оборотные средства всей компании.

Статистика: 2012 г опрос 120 торговых компаний. Платите л вы откаты? 78% ответили утвердительно.

Откаты могут быть как разовые - за решение какой-то конкретной проблемы, так и регулярные.

Если говорить о разовых выплатах, то это могут быть:

1. плата за вход - оплачивается фиксированная сумма за начало работы, либо за ввод новых товарных позиций в ассортимент ритейлера;

2. плата за улучшение условий поставки - в этом случае оплачивается переход на более выгодную для поставщика схему работы. Например, раньше отгружали товар с отсрочкой платежа, теперь будем работать по предоплате;

3. плата за добросовестное выполнение должностных обязанностей - откаты (чаще всего исполнителям) за включение информации о вашей организации в список потенциальных участников тендера, своевременную передачу конкурсной заявки и т.д. В ряде случаев это является единственным способом продвинуться дальше. Известны случаи, когда чиновники разных уровней просто тормозят рассмотрение различных обращений до тех пор, пока их не "промотивируют" взяткой;

4. вопрос о плате за организацию встречи с нужным сотрудником и предоставление нужной вам информации в комментариях не нуждается;

5. плата за закупку неликвида - в этом случае оплачивается закупка неходового товара, либо товара с заканчивающимся сроком годности;

6. плата за лояльность - выплата личного бонуса закупщику без предварительной договоренности об откате просто за то, что он закупал у этого поставщика продукцию в прошлом. Выглядит это обычно следующим образом. Продавец привозит закупщику конверт с деньгами и сообщает: "А это вам личный бонус за лояльность. Надеемся на дальнейшее продуктивное сотрудничество".

Схема преступных действий:

1. На уровне компании принимается решение о выборе поставщика. Окончательное решение будет принимать руководство, но выбор поставщиков поручат функциональному менеджменту. У менеджера может быть свой интерес и он внесет в список только тех поставщиков, которые готовы предоставить ему «бонус»;

2. Руководитель высшего звена создает подставную фирму на первое попавшееся лицо, которое не вызовет подозрений и связи в качестве учредителя с действующим руководством фирмы. Созданная фирма получает все преференции - отсрочки платежа, немыслимо низкие цены, и, само собой, все ресурсы материнской компании, выступающей в данном случае в качестве донора. Продукция отписывается на подставную фирму, а далее возможно два варианта.

Вариант первый - продукция отписывается конечному клиенту по рыночным ценам, а затем прибыль на счет трансформируется в наличные деньги, распределяемые между заинтересованными лицами.

Вариант второй, не менее распространенный - продукция отписывается по низкой цене, а затем фирма-клиент возвращает часть маржи до рыночного уровня цен руководящим лицам компании-поставщика. Возникает феномен «обратного» отката.

Выделяют три основные формулы, определяющие источник появления денег на откат:

1. "Скидка" - оптимальный вариант для обеих сторон. Откат дается в виде скидки с общей суммы сделки, которую организация и так могла бы получить в ходе переговоров с поставщиком. При этом в случае проверки служба безопасности или руководство закупщика получает прайс с ценами, по которым и прошла сделка. Главным плюсом здесь является полная безопасность для обеих сторон.

2. "Надбавка сверх цены в прайсе". Закупщик иногда просит накинуть рубль на литр, или 30 копеек на килограмм (в зависимости от объема сделки и аппетитов откатополучателя). Это конечно наиболее выгодная схема для поставщика и более опасная - для закупщика. Хорошо работает при закупке товаров со сложно сравнимыми с конкурентными товарами свойствами (например, сложное технологическое оборудование), а также при заказе услуг (например, маркетинговые исследования).

3. "Скидка и надбавка". Любимая схема матерых закупщиков: сначала "отжать" поставщика на скидки, а затем еще накинуть надбавку сверх прайса. И получить в откате "два в одном" (и выторгованные скидки и полученные надбавки). Чаще всего эта формула отката применяется при разовых сделках - практика показала ее нежизнеспособность.

Информация об откатах может приходить из разных источников, например, на телефон «горячей линии» компании, на эл.почту службы безопасности. Наиболее точную информацию о получении откатов может дать «свой человек», включенный в бизнес-процесс. По такой информации всегда можно начинать проверку в компании.

Откат всегда оставляет следы в финансово-хозяйственной деятельности компании, которые будут показывать на сотрудника, получившего откат.

Доказать факт отката можно при наличии:

1. Свидетельских показаний;

2. Документального или технического подтверждения о дачи или получении отката (расписка, переписка и т.д.)

Алгоритм действий, если получена информация об откате:

1. Установить источник информации, выяснить все нюансы;

2. Дать профессиональную и личностную оценку сотруднику, которые подозревается в получении отката;

3. Проанализировать бизнес-процесс на предмет нарушения требований нормативных документов;

4. Проанализировать существенность суммы возможного материального ущерба компании (из расчета, что откат может составлять от 20 до 40% от суммы ущерба);

5. Проанализировать аналогичные бизнес-процесс, в которых участвовал сотрудник за последние 2-3 года и возможные суммы ущерба;

6. Проанализировать материальное благосостояние сотрудника и его близких родственников в сопоставлении с доходом, получаемым в организации. (Наличие и стоимость движимого и недвижимого имущества, периодичность и места проведения отдыха и т.д.);

При наличии материального ущерба необходимо установить круг лиц, участвующих в бизнес-процессе, а также лиц, имеющих контакты с сотрудником, с целью установления аффилированности (взаимосвязи) с контрагентом.

Следующий этап называется «поймать за руку». Цель - убедиться в причастности работника к откату или подтвердить его невиновность.

Средства:

1. Провокация - создание условий, при которых на контакт с сотрудником выходит «свой» контрагент и предлагает ему откат;

2. Лояльный сотрудник - поиск человека, в окружении работника, который может предоставить информацию о получении или неполучении отката;

3. Лояльный контрагент …

Последний этап - использование полиграфа. Следует учитывать, что проверка полиграфом проводится только с согласия сотрудника и может содержать погрешности.

Борьба с откатами должна строиться не на их выявлении, а на предупреждении:

1. Качественный подбор и контроль персонала;

2. Создание базы данных «черный список сотрудников»;

3. Тщательная проверка договоров;

4. Тщательно проверять цены, указанные в коммерческом предложении;

5. Тщательно проверять контрагентов (если фирма создана в марте, а сделка в апреле, то наверняка фирма создана специально);

6. Принимать решение по тендеру не индивидуально, а коллегиально;

Особенность: Доказать факт получения отката в прошлом практически невозможно.

Как законную альтернативу откаты можно назвать профессиональные бонусы, которые предоставляет контрагент. Они предоставляются на условиях двусторонней договоренности непосредственно в бюджет компании.

Откат квалифицируется по статье 204-й Уголовного кодекса РФ. Подпадает это преступление и под статью 290 - «получение взятки». Однако раскрываются подобные дела все-таки редко, потому что обе стороны заинтересованы друг в друге и, соответственно, молчат.

15. Кадровая безопасность предприятия

Любой успешный бизнес, как известно, можно описать простой формулой:

Бизнес = Деньги + Средства Производства + Кадры.



Если деньги и средства производства - величины, обусловленные лишь мастерством топ-менеджмента, то кадры, помимо прочего, субъективно влияют на деятельность компании.

Кадровая безопасность является одной из составляющих экономической безопасности. Наряду с кадровой безопасностью в понятие экономической безопасности компании входят:

1. финансовая безопасность рассматривает и регулирует вопросы финансово-экономической состоятельности предприятия, устойчивости к банкротству, определяет параметры платежеспособности и другие «денежные» характеристики;

2. силовая безопасность занимается режимами, физической охраной объектов и личной охраной руководства, противодействием криминалу, взаимодействием с правоохранительными и другими государственными органами;

3. информационная безопасность основана не только на защите собственной информации, в том числе конфиденциальной, но и проводит деловую разведку, информационно-аналитическую работу с внешними и внутренними субъектами и т.д.;

4. технико-технологическая безопасность предполагает создание и использование такой технической базы, оборудования и основных средств производства и таких технологий и бизнес-процессов, которые усиливают конкурентоспособность предприятия;

5. правовая безопасность подразумевает всестороннее юридическое обеспечение деятельности предприятия, грамотную правовую работу с контрагентами и властью, решение иных правовых вопросов.

Кадровая безопасность - это процесс предотвращения негативных воздействий на экономическую безопасность предприятия за счет рисков и угроз, связанных с персоналом, его интеллектуальным потенциалом и трудовыми отношениями в целом.

Можно выделить следующие угрозы в области кадровой безопасности:

Угрозы, связанные с личностью сотрудника:

1. угроза жизни и здоровью владельцев предприятий и ключевых сотрудников;

2. деструктивные конфликты с участием ключевых сотрудников;

3. дискредитация системы управления;

4. внезапное увольнение ключевого сотрудника;

5. причинение вреда репутации компании;

6. разглашение информации по неосторожности;

7. хищение.

Угрозы, обусловленные особенностями коллектива:

1. сопротивление нормам, ценностям и требованиям компании;

2. имитация профессионального поведения;

3. забастовка;

4. массовые увольнения;

5. саботаж;

6. неподчинение.

Служба персонала -- более важный субъект в кадровой безопасности, чем служба безопасности. Вся деятельность служб персонала может быть разложена на этапы (поиск, отбор, прием, адаптация и т.д. вплоть до увольнения и далее). Любое действие менеджера по персоналу на любом этапе -- это либо усиление, либо ослабление безопасности компании.

Статистика:

Около 80% ущерба материальным активам компаний наносится их собственным персоналом. Только 20% попыток взлома сетей и получения несанкционированного доступа к компьютерной информации приходит извне. Остальные 80% случаев спровоцированы с участием персонала компаний.

Еще немного американской статистики.

Динамика стоимости преступлений, совершенных должностными лицами и работниками американских компаний, в 1980 году составила $50 млрд., в 1990 -- $250 млрд., в 1998 -- $400 млрд., в 2002 -- $600 млрд. Кстати, последняя цифра означает, что каждый работник каждой американской организации (в исследовании участвуют частные и государственные учреждения и предприятия), крадет у своего работодателя больше 12 долларов в день круглый год.

Мошенничество сотрудников стало основной причиной вынужденного закрытия около 100 американских банков за последние 20 лет. 95% ущерба, понесенного в банковской сфере США, образуется при непосредственном участии персонала банков и только 5% -- за счет действий клиентов и иных лиц. И это при их хваленой передовой системе safety & security и средствах, выделяемых на защиту активов!

В среднем, все эти заграничные и подобные им отечественные проблемы стоят от 6 до 9% прибыли.

Специалисты кадровых служб имеют возможность почти на 60% снизить убытки компании, связанные с персоналом и трудовыми отношениями в целом.

Для этого необходимо проводить постоянную работу по предотвращению угроз, вызывающих эти убытки.

Следует различать внешние и внутренние угрозы. Внешние негативные воздействия -- это действия, явления или процессы, не зависящие от воли и сознания работников предприятия и влекущие нанесение ущерба. В свою очередь, к внутренним негативным воздействиям относятся действия (умышленные или неосторожные) сотрудников предприятия, также влекущие нанесение ущерба.

Например, внутренние опасности таковы:

1. несоответствие квалификации сотрудников предъявляемым к ним требованиям (это ли не опасность, ведущая к убыткам?);

2. недостаточная квалификация сотрудников (это ли не проблема, решить которую обязаны кадровики?);

3. слабая организация системы управления персоналом;

4. слабая организация системы обучения;

5. неэффективная система мотивации (это ли не разрушение лояльности и, следовательно, увеличение ущерба от бездействия, саботажа и т.п.?);

6. ошибки в планировании ресурсов персонала;

7. снижение количества рационализаторских предложений и инициатив;

8. уход квалифицированных сотрудников;

9. сотрудники ориентированы на решение внутренних тактических задач;

10. сотрудники ориентированы на соблюдение интересов подразделения;

11. отсутствие или «слабая» корпоративная политика;

12. некачественные проверки кандидатов при приеме на работу.

Добавим примеры внешних опасностей:

1. условия мотивации у конкурентов лучше (нетрудно при таком раскладе спрогнозировать уход специалистов к конкурентам -- это ли не угроза, влияние на которую имеет HR-менеджер?);

2. установка конкурентов на переманивание;

3. давление на сотрудников извне;

4. попадание сотрудников в различные виды зависимости;

5. инфляционные процессы (невозможно не учитывать при расчете заработной платы и прогнозировании ее динамики).

От чего, от каких основных факторов зависит эта самая кадровая безопасность любой компании? Она зависит от трех основных факторов.

1. Найм. Под этим кратким словом понимается целый комплекс мер безопасности при приеме на работу и прогнозирования благонадежности. Здесь работает незатейливая формула -- «как примете на работу, такие люди у вас и будут работать» или «скажите мне, как вы принимаете на работу, и я скажу, какие у вас проблемы». Это действительно так! В условное наименование первого фактора «найм» входит рассмотрение вопросов безопасности компании на таких этапах в работе менеджера по персоналу, как поиск кандидатов, процедура отбора, документальное и юридическое обеспечение приема на работу, испытательный срок и даже адаптация. Добавим также процедуры безопасности в деятельности кадровиков при подготовке аттестации, при планировании обучения.

2. Лояльность. Опять же, в одном слове -- комплекс мер по установлению позитивных отношений работников к вам, работодателям. Зависит ли от этого глубина ваших проблем? Конечно! От того, кем ощущает себя сотрудник предприятия, -- мусором или частью общего дела, заменимым «винтиком » или уважаемым передовиком производства -- действительно, зависят и проблемы предприятия. В эту составляющую работы по предотвращению угроз безопасности традиционно вкладывается мало средств. Однако экономя на этом, предприятие вынуждено будет затратить еще больше ресурсов на мероприятия следующего, третьего блока.

3. Контроль. Он представляет собой комплекс мер из установленных для персонала, в том числе для администрации, регламентов, ограничений, режимов, технологических процессов, оценочных, контрольных и других операций, процедур безопасности. Этот комплекс уже непосредственно нацелен на ликвидацию возможностей причинения ущерба и отрабатывается, как правило, службой безопасности или другими подразделениями, но в меньшей степени службой персонала.

При этом надо отметить, что работает принцип «компенсации недостаточности внимания» к отдельным факторам. Не сделали прием на работу частью системы безопасности, не заботитесь об укреплении лояльности персонала -- серьезные ресурсы потратите на контроль, выявление и расследование убытков.

Одна из самых распространенных опасностей, связанных с персоналом - это воровство на работе.

Тащить то, что плохо лежит, -- традиция, которую славянские народы пронесли сквозь тысячелетия. Не так давно с советских заводов уносили практически все -- от спирта в грелках и пакетов с мукой до тракторов и станков. Потом в ход пошли и сами заводы. Впрочем, и грелки со спиртом тоже никуда не делись.

Сегодня среди «несунов» замечены и менеджеры, берущие откат, и бухгалтеры, торгующие финансовыми тайнами родной фирмы и многие другие.

По сведениям социологических служб, всего треть сотрудников частных фирм не будут действовать ради собственной выгоды во вред своему предприятию. Остальные в разной степени готовы к преступлению -- все зависит от тяжести возможного наказания.

Топ-менеджмент

Управленцы высшего звена реже других грабят своего работодателя, что можно легко объяснить, нежеланием терять стабильный и порой достаточно высокий доход. Топ-менеджер имеет доступ к конфиденциальной информации и как никто другой знает все особенности ведения дел. Как правило, бывший топ-менеджер не брезгует копированием информационных баз и уводом лучших клиентов, особенно тех, с которыми приходилось работать ему лично.

Секретариат

Интересно, что симпатичная и безобидная секретарь-референт шефа при определенном раскладе может причинить компании вред не меньший. Не стоит забывать о том, что секретари и офис-менеджеры -- талантливые организаторы, а порой и хитрые махинаторы. «Прелесть» положения секретаря состоит в том, что через этого человека проходят все информационные и денежные потоки, завязанные непосредственно на руководителе. Именно этим некоторые и пользуются, например, приторговывая коммерческими тайнами компании и личными секретами начальника. При наличии определенных навыков секретарь может подделать подпись босса.

Бухгалтерия

Особенно распространены бухгалтерские преступления в крупных организациях с многомиллионным оборотом, где работают сотни сотрудников. В таких компаниях перед нечистым на руку бухгалтером раскрываются неограниченные возможности для самореализации в сфере хищения продукции и денег. К примеру, он может продавать товар налево и за наличные, а нехватку оформлять как дебиторскую задолженность подставной конторы.

Крупные злоупотребления связаны и с фальсификацией транспортных накладных, когда через подставную фирму бухгалтер обналичивает деньги, уплаченные за якобы предоставленные услуги.

Едва ли не самый распространенный способ бухгалтерских махинаций -- начисление зарплаты «мертвым душам» (уволившимся или несуществующим сотрудникам).

Рядовые сотрудники

Директора, их секретари, главбухи и прочие представители корпоративной верхушки воруют редко, но, как говорится, метко. А вот рабочие производственных цехов и особенно торговый персонал растаскивают имущество компании по мелочам, но делают это систематически.

По данным статистики штат торгового предприятия из-за хищений в течение года может обновиться на 30%.

Убытки магазина от противозаконных действий персонала иногда вдвое превышают ущерб, наносимый покупателями. Одна из главных причин потерь в розничной торговле -- хищения, осуществляемые работниками магазина. В зависимости от размера магазина и вида реализуемого товара такие потери составляют обычно от 30 до 50% общей недостачи товара.

Причины мошенничества

Существует т.н. «воровской треугольник». Для того чтобы кто-то что-то украл, должны существовать три фактора:

1. мотивация или давление внешних обстоятельств;

2. самооправдание;

3. возможность.

Первый фактор в «воровском треугольнике» -- мотивация или давление внешних обстоятельств-- вы не можете контролировать. Это то, что в той или иной степени присуще каждому человеку.

Второй фактор -- самооправдание. Работники считают, что хозяин магазина, в котором они трудятся, достаточно богат и может себе позволить закрывать глаза на выносимый ими товар или кражу наличных. Они даже могут считать, что компания «должна» им что-то за то, что они по собственному желанию проработали на несколько часов дольше обычного или не ушли на обеденный перерыв. Какова бы ни была причина, ваш подчиненный считает, что он имеет право на нечто большее. Эту часть проблемы также очень трудно контролировать.

Третья сторона треугольника -- наличие возможности для хищения. Если эта возможность существует одновременно с сильным влиянием двух первых факторов, то треугольник замыкается и происходит кража.

Поскольку воздействовать на первые две стороны не в наших силах, то для сокращения потерь от действий своих сотрудников мы должны воздействовать хотя бы на третью сторону треугольника.

Размещено на Allbest.ru