JaSipos IT biztonsági és audit Kft +36 70 931-3439 info@jasipos.com
Hacker

Visszaélés kivizsgálás, felderítés

“A 2015-ös Ethical Hacking konferencia egyik fő előadása a felhasználók jelentette kockázatról, a felhasználói tudatosság fontosságáról és ezekkel kapcsolatban a Social Engineering (emberek megtévesztésén alapuló támadás) témáról szólt.

Látszólag különböző, de valójában igen hasonló terület a visszaélések vizsgálata – mindjárt meglátjuk, miért is…

Felidézve az általunk vizsgált visszaéléseket, azoknak több, mint 90 százaléka többé-kevésbé belső “félrelépésekre” volt visszavezethető, azokkal kezdődött.

Jellemző elkövetési minta volt, hogy az egyik, egyébként az átlagnál szorgalmasabb, ambiciózusabb munkatárs véletlenül elkövetett egy hibát – aztán telt-múlt az idő és nem történt “semmi”. A hibát nem fedezték fel, senkinek sem “tűnt fel”, hogy valami nem megfelelő történt.

A hibát elkövető munkatárs eleinte szorongott, majd egyre inkább megnyugodott és később – elkezdett gondolkodni. Azon tűnődött, mi lehetett az oka, hogy az egyébként jól működő szervezetben senki sem észlelte a hibát, senki sem vette észre, mi történt.

A tűnődés során a munkatárs rendszerint kiszámolta, mekkora kárt okozott szándékolatlanul a vállalatnak, majd következő lépésként felmerült benne, mi történt a veszteséggel, ki “járt jól” vele – és innen már csak egy lépés, hogy az is eszébe jusson, akár ő is lehetne a veszteség haszonélvezője. A gondolatot tett követte: elkövette a “hibát” ismét, kis értékre, felkészülve, hogy meg tudja magyarázni, mit nézett el, mit tévesztett – de nem kellett magyarázkodnia, senki sem vette észre ezt sem… és a következőt sem … és az azt követő “hibát” sem…

A “hibák” egyre gyakoribbak lettek, egyre nagyobb értékben “fordultak elő”… és a korábbi szorgalmas munkatárs még többet dolgozott, hiszen egyre több “hiba” nyomát kellett eltakarnia, egyre több szálra kellett figyelnie, míg egyszer csak valakinek feltűnt, hogy … de ez már egy másik történet lesz.

A Social Engineeringtől indultunk, az emberek megtévesztésén alapuló támadásokról. A kapcsolatot a Social Engineering és a belső visszaélések között a következő blogbejegyzésben megválaszolom, ígérem – most viszont foglalkozzunk egy Önnek talán érdekesebb kérdéssel: gondolt Ön már arra, hogy mekkora kára származhat vállalatának egy-egy munkatársi tévedésből? S gondolt már arra, hogy mekkora kára származhatna egy-egy szándékos “tévedésből”?

S gondolt már arra, mennyibe kerülne Önöknek meggyőződnie arról, történt-e valami, amiért aggódni kellene? Elárulom: a lehetséges kárérték töredékébe…

Konkrét példa: az általunk kezelt legutóbbi visszaélés kivizsgálás, felderítés ügyben a díjazásunkhoz viszonyított kb. húszszoros értékű visszaélést, vállalatnak kárt okozó tevékenységet azonosítottunk (őszintén kívánom, inkább érezte volna kidobott pénznek a javadalmazásunkat az ügyfél…). Ha egy évvel korábban kezdtük volna a vizsgálódást (egy évvel korábban vette volna fel velünk a kapcsolatot ügyfelünk), a történet “megállt volna” a végső kárérték kb. ötödénél…

Ön bízik a munkatársaiban – ez jó, ez így helyes! A legtöbb keményen dolgozó, szorgalmas munkatárs becsületes, a vállalat érdekeit tisztelő, támogató kolléga!

Adjon megbízást nekünk (ahogyan a példában szereplő ügyfelünk is tette) a folyamatok áttekintésére, a belső kontrollok azonosítására, értékelésére. Mi átnézzük belső folyamataikat, nyilvántartásaikat, az alkalmazott kontrollokat, összevetjük az iparágban szokásos eljárásokkal és az egyéb elvárásokkal, mintát veszünk a tranzakcióikból és számos további módon értékeljük a belső kontroll rendszerüket, hatékonyságukat, miközben Önnel folyamatosan konzultálunk az eredményekről. Amennyiben további vizsgálatra érdemes tényeket találunk, Ön eldöntheti, megnézzük-e az esetet részletesebben (természetesen továbbra is diszkréten, mint hatékonyság-növelési tanácsadók) vagy lépjünk tovább.

Legjobb esetben átadunk Önnek egy összesítést a belső folyamataikról, kontroll rendszerük hatékonyságáról, amellyel Ön bármely további auditnál, ellenőrzésnél igazolni tudja, hogy a belső kontroll rendszerük hatékonyan működik és Ön erről külső, független szakértők által is meggyőződött.

Legrosszabb esetben … nos, ez nem fordulhat elő, mivel a legrosszabb az lenne, ha a “munkatárs” által elkezdett “hibasorozat” zavartalanul folytatódna… viszont mi azért dolgozunk, hogy ez ne fordulhasson elő.

REFERENCIÁINK KAPCSOLATFELVÉTEL

Sipos János

CISA, CISM, CGEIT, CRISC, CFE, ITIL-F, ISO27001 Lead Auditor, Data privacy expert, CISO, CIO, engineer, economist

A bejegyzés egy hozzászólást tartalmaz

  1. A visszaélés valóban egy folyamat vége – a legtöbb visszaélő nem úgy áll munkába, hogy “Na, itt még év vége előtt X összeget…” hanem ráébred a kontrollhiányosságokra és…

Vélemény, hozzászólás?

Az email címet nem tesszük közzé. A kötelező mezőket * karakterrel jelöltük

Ez a weboldal az Akismet szolgáltatását használja a spam kiszűrésére. Tudjunk meg többet arról, hogyan dolgozzák fel a hozzászólásunk adatait..