sobota 9. listopadu 2013

U nás se přece nekrade

S finanční krizí, která začala v roce 2008 a stále není jasné, jestli už vlastně skončila, se začaly objevovat v médiích články o obrovském nárůstu interních fraudů. Statistiky ale hovoří jinak – míra páchaných nepravostí se nemění, zůstává prakticky konstantní. Mění se jen způsoby, jakými k nim dochází, a také to, jak moc se o nich píše. Fraudy se nevyhýbají nikomu, finanční instituce nevyjímaje.

Americká organizace ACFE (Association of Certified Fraud Examiners), která sdružuje přes sedmdesát tisíc profesionálů z celého světa, používá pro objasnění příčin podvodného jednání takzvaný fraud triangle. Sestává se ze tří částí – potřeby peněz, příležitosti a racionalizace. Pokud jsou tyto předpoklady splněny, můžeme čekat problémy. Dokážete si představit pokladníka v bance, který je gambler?
I proto firmy stále častěji přistupují k tzv. pre-employee screeningu, kterým důkladněji prověřují kandidáty. Není třeba předložený občanský průkaz neplatný? Opravdu zaměstnanec pracoval na pozici, kterou v životopise uvádí? Když jsem nastupoval před několika lety do firmy, nechtěli po mě vysokoškolský diplom ani výpis z trestního rejstříku. Panovala absolutní důvěra. Stačila jedna špatná zkušenost a vše je jinak. Na trhu jsou ale stále i firmy, které přijmou zaměstnance, který byl před několika lety ze stejné firmy propuštěn pro krádež.
Vezmeme-li si statistiky, kterých na téma fraud najdeme skutečně mnoho, dozvíme se zajímavé informace. Občas v nadsázce říkám, že těmto průzkumům chybí už jen fotografie. Vyjdeme-li z materiálů ACFE a velké čtyřky konzultační firem, dozvíme se, že:

  • ročně firmu podvody zaměstnanců stojí pět procent objemu příjmů,
  • polovina případů stojí do dvou set tisíc dolarů,
  • průměrná doba trvání je jeden až dva roky, dle typu podvodu,
  • polovina případů je detekována tipem či náhodou,
  • zavedení whistleblowingu výrazně snižuje ztráty.

Následně lze zjistit pravděpodobnost, jakého pohlaví, věku, vzdělání a pozice útočník bude, průzkumy bývají dělány typicky zhruba mezi patnácti sty respondenty z celého světa.
Pesimistická je statistika detekce. Automatizované systémy detekují jen okolo deseti procent případů, interní audit je na tom jen o něco málo lépe. Nejlepším detekčním mechanismem je dlouhodobě všímavý kolega či soused, jemuž neujde nový bazén na zahradě, Porsche 911 v garáži, nebo nové hodinky Breitling.

„Polovina podvodů je detekována tipem či náhodou.“


S jídlem roste hlad a klesá pozornost

Existuje trend, podle kterého se postupně zvyšuje objem zpronevěřených prostředků. Čím déle zpronevěra trvá, tím klesá pozornost a opatrnost. Čím dříve tedy dojde k odhalení, tím lépe. Přirozeně. Ve většině případů si však zasažená společnost může gratulovat, pokud se jí podaří získat zpět víc, než deset procent ztracených prostředků.
Co tedy lze udělat pro změnu atmosféry ve firmě? Normální je přece nekrást. Jedno ze základních doporučení zní poměrně jednoduše: dejte důrazně najevo, že krádež nebudete tolerovat. Mnohé společnosti se bojí poškození pověsti a případy tutlají. Mnohem účinnější je ale důrazné zveřejnění, pronásledování a potrestání viníků. Dalším osvědčeným opatřením je zavedení anonymního oznamovacího kanálu, kterým kdokoli a kdykoli může ohlásit podezření na podvodné jednání. Pojem whistleblowing už není ani v našich končinách neznámý, mimo jiné díky patrně nejznámějšímu českému whistleblowerovi Liboru Michálkovi. Ve světě se dokonce vypisují podíly z uchráněné hodnoty, ale to se v dlouhodobém horizontu ukázalo jako kontraproduktivní.

Detekční systémy

Další cestou ochrany, jak ochránit firmu před fraudem, jsou detekční systémy. Jistě se teď ptáte, proč bychom měli utrácet peníze za IT detekční systém? Vždyť najde jen deset procent případů, a to se přece nevyplatí. Když si ale spočítáte, o kolik jde, pokud se jedná třeba jen o půl procenta ročních tržeb, možná svůj postoj změníte.
Obrovský nárůst výkonu počítačů v posledních letech nabízí dříve netušené možnosti. Kontrolovat, jestli klient v žádosti o úvěr nebydlí na adrese věznice, jestli neplatí kartou na dvou vzdálených místech, jestli zaměstnanec nenahlíží na zůstatky nic netušících klientů, jestli nepracuje, ač má dovolenou, to vše a mnohem více není pro dnešní výkonné počítače problém, vše často v reálném čase. Před několika lety byste na tyto úkoly potřebovali oddělení plné detektivů.
Terminologií ACFE se výše zmíněným příznakům říká red flags, červené vlaječky. Každá může mít jinou váhu a závažnost, přidávají se na hromadu a až dojde k překročení nastavené hranice, začíná šetření. Tyto příznaky bývají důvěrně chráněny, protože pokud je útočník zná, pozbývají účinnosti. Znalý útočník bude vždy bezpečně pod hranicí, která znamená problém. Pokud jsou vlaječky navrhovány lidmi, kteří mají velkou znalost prostředí, vědí, jak věci fungují, pak mají hodně vysokou účinnost a nízkou míru false-positive hlášení.

Profily

Další sofistikovanější způsob je profilování. Sledujete-li činnost člověka dostatečně dlouhou dobu, začne jeho chování vykazovat podobné znaky. Pracuje na stejném místě, chodí na oběd do stejných restaurací ve stejných lokalitách, nakupuje ve stále stejných obchodech a peníze z bankomatů vybírá většinou také tam, kde to dobře zná. Do internetového bankovnictví se hlásí ze svého počítače ve svém bytě ze stejného internetového připojení v podobnou dobu. Stejně jako poznáte člověka podle otisků prstů či psaní na klávesnici, tak ho poznáte podle chování v interních systémech. Výjimky samozřejmě potvrzují pravidlo.
Profilování je proces, během kterého se napočítávají znaky chování v krátkodobém, střednědobém i dlouhodobém horizontu. Pro lepší představu – například kdy zaměstnanec přichází do práce, kolik klientů obsluhuje, s jakými objemy peněz pracuje, jaké počítače nejčastěji používá – všechny tyto údaje není problém v systémech institucí zjistit, a pokud dojde k jejich výrazné změně, může to být podezřelé. Počítáním přes různě dlouhé časové intervaly snižujeme možnost falešného hlášení.

„Stejně jako poznáte člověka podle otisků prstů, poznáte ho také podle chování v interních systémech.“


Umělá inteligence a data mining

Předchozí dvě metody vycházejí z lidských znalostí, pochopení problému. Co když ale máme ke zpracování tolik dat, že není v lidských silách podezřelé vzorce nalézt? Co když chceme najít závislosti mezi akcemi v několika různých nezávislých systémech? Nastává čas využít pokročilejší metody – data mining a umělou inteligenci.
Před aplikací je vždy příprava dat do vhodného formátu, případně jejich čištění a transformace. Počítač si obtížně poradí s výrazem „sobota“, pokud mu ale výraz přeložíme, tak s označením „6“ nemá problém.
Následuje průzkum dat spojený s přípravou modelů pro nasazení do provozu. V dnešní době fungují velice úspěšné modely detekující krádež karty, krádež hesla do internetového bankovnictví či třeba padělaná razítka. Bez pravidelného zásahu odborníků ale tyto modely stárnou, jejich přesnost se zhoršuje, až jsou téměř k ničemu.

Velký bratr?

Celé to nápadně připomíná Velkého bratra. Představte si ale, že máte jen pár vteřin na to, abyste se rozhodli, jestli platbu kartou schválíte, nebo ne. Pokud mlčíte, platba je akceptována, peníze jsou nenávratně pryč. To vědomí, že existuje tajemný systém, který může podvod odhalit dříve, než se od kolegova počítače vrátíte zpět na své místo, mnoho lidí odradí. Navíc pracuje ve dne v noci a nikdy si neodskočí na kávu.
Doba se zrychluje, mezibankovní převody jsou rychlejší, limity v internetových bankovnictvích vyšší. Banky jsou si tohoto rizika vědomi, a proto se snaží bránit a zjistit o klientovi či zaměstnanci co nejvíce, aby pochopili jeho záměr. Poznat zákazníka a zaměstnance je důležité nejen pro nabízení nových produktů, ale i pro detekci podvodů.
Klienti nechtějí složité metody autentizace. Chtějí kliknout, pípnout, zaplatit, odejít. Pokud ale budou okradeni, spolehněte se na to, že budou hlasitě křičet první ve frontě: banko, vrať nám peníze! Jsem jeden z nich a jsem smířen s tím, že banka zná mou oblíbenou pumpu, koloniál, oděvní značku a typ mobilního telefonu. Beru to jako daň za pokrok.

Článek napsán pro časopis IT systems 11/2013.