Upload
jetinformationsecurity
View
156
Download
0
Embed Size (px)
DESCRIPTION
Безопасность бизнеса: основные схемы мошенничества.
Citation preview
Алексей Сизов,
руководитель группы разработки решений
по борьбе с мошенничеством
Центра информационной безопасности
компании «Инфосистемы Джет»
Если вы не видите фрода,
это не значит, что его нет
4 июня 2014 г.
© 2013 Инфосистемы Джет Больше чем безопасность
Обзор
• Тенденции и причины мошенничества
• Актуальные примеры хищений и
контрольных процедур
• Необходимость и достаточность для
достижения эффективности
2 © 2014 Инфосистемы Джет
© 2013 Инфосистемы Джет Больше чем безопасность
© 2014 Инфосистемы Джет
Защита от мошенничества
© 2013 Инфосистемы Джет Больше чем безопасность
Мошенничество: объективная реальность
4
Прямые хищения:
• прямые убытки от хищений,
выявляемые при инвентаризациях
или закрытии отчетных периодов;
• убытки в результате сговора
сотрудников и партнеров.
Гарантирование доходов:
• действия сотрудников, приводящие к
снижению прибыльности продаж;
• злоупотребления должностными
полномочиями, приводящие к
неэффективности бизнес-процессов.
© 2014 Инфосистемы Джет
© 2013 Инфосистемы Джет Больше чем безопасность
Мошенничество: независимые оценки
5 © 2014 Инфосистемы Джет
© 2013 Инфосистемы Джет Больше чем безопасность
Мошенничество: оценки потерь
6
Оценки потерь по некоторым
направлениям:
• использование программ
лояльности, акций и скидок – 14,5
млн руб. в квартал;
• подконтрольные хищения при
приемках, логистике – 19 млн руб.
в квартал;
• инвентаризации, инкассации,
взаимодействия с партнерами – 12
млн руб. в квартал.
© 2014 Инфосистемы Джет
© 2013 Инфосистемы Джет Больше чем безопасность
Инфраструктура мошенничества
7
Десятки основных систем Тысячи сотрудников Сотни тысяч учетных
операций
© 2014 Инфосистемы Джет
© 2013 Инфосистемы Джет Больше чем безопасность
Обзор
• Тенденции и причины мошенничества
• Актуальные примеры хищений
контрольных процедур
• Необходимость и достаточность для
достижения эффективности
8 © 2014 Инфосистемы Джет
© 2013 Инфосистемы Джет Больше чем безопасность
Критичные точки
9
• Известные уязвимости / способы
хищений
• Привилегированные операции в
учетных системах
• Планы подразделений и бизнес-единиц
• Контроль комплексного бизнес-
процесса
© 2014 Инфосистемы Джет
© 2013 Инфосистемы Джет Больше чем безопасность
10
Пример: перекрестные возвраты
Продажа
Iphone 5 = 35 000
© 2014 Инфосистемы Джет
© 2013 Инфосистемы Джет Больше чем безопасность
11
Пример: перекрестные возвраты
Возврат*
Iphone 5 = 35 000
Продажа*
Iphone 5 = 30 000
Убыток 5 000 руб.
© 2014 Инфосистемы Джет
© 2013 Инфосистемы Джет Больше чем безопасность
Мошенничество с использованием
бонусных карт сотрудниками
12 © 2013 Инфосистемы Джет
Номер карты
Кол-
во
чеков
Кол-во
чеков на
одного
кассира
Кол-во дней
совершения
операций Кол-во
магазинов
Потрачено
(сумма в
руб.)
…00008 141 124 30 1 303 550
…00006 111 89 25 4 209 047
…00011 122 93 24 3 296 933
Пример:
• Кол-во бонусных карт ~ 0,5%
• Сумма начисленных баллов > 600 000 руб.
• Сумма списанных баллов > 500 000 руб.
© 2014 Инфосистемы Джет
© 2013 Инфосистемы Джет Больше чем безопасность
Большой процент начислений бонусных
баллов от суммы чека за покупку
13 © 2013 Инфосистемы Джет
• Кол-во магазинов ~ 10%
• Сумма чеков > 3 500 000 руб.
• Сумма начисленных баллов > 700 000 руб.
Дата/Время Чек Магазин Сумма чека
в руб. Сумма начисленных
баллов в руб.
8 июня 2013 17:00:41 1…7 0009 608 500
9 июня 2013 20:09:27 1…4 0007 4 577 859
28 июня 2013 9:51:17 1…8 0009 3 707 853
Пример:
© 2014 Инфосистемы Джет
© 2013 Инфосистемы Джет Больше чем безопасность
Овердрафт карты лояльности
14 © 2013 Инфосистемы Джет
Отрицательный остаток
• Кол-во карт > 100
• Сумма остатка > - 600 000 руб.
Номер карты Дата баланса Остаток Сумма операций
…00023 09 октября 2013 - 4 004 30 041,00
…00056 12 октября 2013 -7 511 10 004,20
…00017 21 октября 2013 -11 091 114 162,80
Пример:
© 2014 Инфосистемы Джет
© 2013 Инфосистемы Джет Больше чем безопасность
Возвраты финансовых услуг
15 © 2013 Инфосистемы Джет
Возврат услуг
• Кол-во карт > 1800
• Сумма остатка > 2 60 000 руб.
Пример: 1 магазин, 1 кассир
Существование
продажи
Отсутствие
продажи
Существование
продажи по
чеку
Всего продаж
кассира
Кол-во Сумма Кол-во
Сумма Кол-во Сумма Кол-во Сумма
Итого
кол-во
Итого
сумма
65
102
038 26 43 099 1 300 20 7 520 92
145
437
© 2014 Инфосистемы Джет
© 2013 Инфосистемы Джет Больше чем безопасность
Обзор
• Коротко о главном. Мошенничество как
оно есть
• Актуальные примеры хищений
контрольных процедур
• Необходимость и достаточность для
достижения эффективности
16 © 2014 Инфосистемы Джет
© 2013 Инфосистемы Джет Больше чем безопасность
Эволюция процесса контроля
17
• Единый интерфейс анализа данных
из разнородных ИТ-систем
• Формирование инцидента в момент
совершения хищения
• Централизация процессов
управления и контроля
риск-менеджмента (от закупки
до реализации)
• Снижение времени
проводимых проверок
• Возможность организации
проактивных мер
защиты
• Уменьшение влияния
человеческого фактора
© 2014 Инфосистемы Джет
© 2013 Инфосистемы Джет Больше чем безопасность
Автоматизация и скорость анализа
18
Контроль известных рисков хищений в в режиме 24/7
Построение единой корпоративной модели оценки рисков
Внедрение аналитической модели контроля аномалий
Построение бизнес-модели реагирования, контроля и ответственности
© 2014 Инфосистемы Джет
© 2013 Инфосистемы Джет Больше чем безопасность
Комплексность контроля
19
Подразделения
Иная
деятельность Продажи Логистика
• Контроль
денежных
потоков
• Текущие оценки
эффективности
• Операции
возвратов и
сторно
• Бонусные карты
• Целостность
акционных цен
Объекты
контроля
• Оплата закупок
• Планы
подразделений
• Маркетинг
• Кассовые
операции
• Программы
лояльности
• Маркетинговые
акции
• Работа агентов
• Прием товаров
• Уровень складов
и состояние
закупок
• Работа
сервисных
центров
Бизнес-
процессы
• Расхождение по
приемке
• Уровень
отбраковки
• Списание
товаров
© 2014 Инфосистемы Джет
© 2013 Инфосистемы Джет Больше чем безопасность
Проведение расследования
+ лишение премий / бонусов
© 2014 Инфосистемы Джет 20
© 2013 Инфосистемы Джет Больше чем безопасность
Выгоды от внедрения
21
Бизнес
• Возможность вернуть недополученную прибыль в размере 2% от выручки компании
СБ
• Организовать все человеческие ресурсы в единый эффективный механизм
• Снизить влияние человеческого фактора
ИТ
• Снизить трудоемкость сбора и предоставления информации
© 2014 Инфосистемы Джет
Контакты: Алексей Сизов,
руководитель группы разработки решений
по борьбе с мошенничеством
Центра информационной безопасности
компании «Инфосистемы Джет»
+7 (495) 411-76-01