Ekonomiskie noziegumi: būt kibernoziedzniekam ir ērti

2012. gada 3.aprīlis

Baiba Apine, PwC konsultāciju nodaļas vadītāja

Jau desmit gadus PricewaterhouseCoopers (PwC) regulāri veic uzņēmēju aptaujas par ekonomiskajiem noziegumiem. 2011.gada aptauja parāda kibernoziegumus kā stabili pieaugošu draudu uzņēmumiem. Šāda tendence ir likumsakarīga, jo informācijas tehnoloģijas arvien vairāk iespaido uzņēmējdarbības modeļus. Pirms desmit gadiem neviens īsti nezināja, kas ir kibernoziegums, tagad tie ieņem stabilu vietu starp tradicionālajiem ekonomisko noziegumu līderiem – uzņēmuma resursu negodīgu izmantošanu, grāmatvedības datu viltošanu, kukuļņemšanu un korupciju. Līdztekus pieaugošajiem kibernoziegumu draudiem, aptauja parāda arī nepieciešamību mainīt uzņēmumu kontroles vidi – veicot regulārus kibernoziegumu risku izvērtējumus, apmācot darbiniekus, uzraugot darbinieku aktivitātes sociālajos tīklos, kā arī uzraugot netipiskas transakcijas uzņēmuma informācijas sistēmās.
Kibernozieguma jēdziens ir jauns visā pasaulē, patlaban tam nav vienas definīcijas. Latvijas Zinātņu akadēmijas izveidotā terminu vārdnīca definē datornoziegumu, kura gaitā dati tiek tīši nepareizi attēloti vai mainīti. Parasti šī procesa mērķis ir kāda finansiāla labuma iegūšana1. Ekonomisko noziegumu kontekstā kibernoziegums var būt2:

1. Datorkrāpšana – parasti labi organizēts un finansēts, mērķtiecīgs uzbrukums uzņēmuma datorsistēmai, lai izmantotu to noziedzīgiem nolūkiem. Parasti šis veids kombinējas ar citiem ekonomisko noziegumu veidiem. Piemēram, darbinieks, kuram pieejami maksājumi uzņēmuma informācijas sistēmā, ievada tajā neesošu piegādātāju un veic regulārus maksājumus, parasti neliela apjoma transakcijās, garākā laika posmā nozogot ievērojamas summas. Katra desmitā aptaujātā uzņēmēja, kura uzņēmums 2011.gadā kļuvis par datorkrāpšanas upuri, zaudējumi pārsniedza 5 miljonus ASV dolāru.  Šis kibernozieguma veids ir visizplatītākais Austrālijā, kur katrs otrais aptaujātais uzņēmējs 2011. gadā cietis no datorkrāpniekiem3.

2. Spiegošana – visbiežāk uzņēmuma intelektuālā īpašuma zādzība. Spiegošanu uzņēmumi parasti nepamana, līdz ierauga rezultāta izmantošanu. Piemēram, pārdošanas vadītājs, pirms pāriešanas darbā pie konkurentiem, nokopē konfidenciālu klientu piedāvājuma informāciju zibatmiņā,  kas vēlāk  parādās līdzīga satura un apjoma tāmēs konkurentu piedāvājumos.

3. Aktīvisms – parasti ideālisma vadīti uzbrukumi uzņēmumu datorsistēmām. Aktīvisms ir visredzamākais ekonomisko kibernoziegumu veids. Piemēram, interneta vietnes “Wikileaks” ASV diplomātiskā dienesta ziņojumu publicēšana, Valsts ieņēmumu dienesta datu publiskošana 2010.gadā, pakalpojumu bloķēšana LETA interneta lapai www.leta.lv 2010.gada 30.septembrī utml.

Patlaban uzņēmēji vairāk intuitīvi atzīst, ka kibernoziegumi ir pieaugošs drauds, tai pat laikā pieļaujot, ka tie pat neatpazīst situācijas, kad kļuvuši par šādu noziegumu upuriem. Tāpēc visā pasaulē reģistrēto ekonomisko kibernoziegumu skaits ir salīdzinoši mazs. Piemēram, Ķīnā 2011.gadā reģistrēti tikai 2,206 datorkrāpšanas gadījumi (pieaugums par 34.3% kopš 2010.gada pēc gadījumu skaita un par 60% pēc izkrāptajām summām)4. Latvijā 2011.gadā ierosinātas 11 krimināllietas par krāpšanu automatizētā datu apstrādes sistēmā (Krimināllikuma 177.1 pants), 2010.gadā ierosināta tikai viena krimināllieta par automatizētas datu apstrādes sistēmas darbības traucēšanu un nelikumīgu rīcību ar šajā sistēmā iekļauto informāciju (Krimināllikuma 243.pants) 5.

Turpmāk kibernoziegumu skaits pieaugs, galvenokārt, trīs faktoru dēļ. Pirmkārt, masu medijiem un regulatoriem pievēršot arvien vairāk uzmanības kibernoziegumiem, attīstīsies uzņēmēju izpratne par tiem. Otrkārt, arvien intensīvāk tiks izmantotas informācijas tehnoloģijas uzņēmējdarbībā, neatkarīgi no tā vai uzņēmēji to vēlas vai nē, palielināsies arī izmantoto tehnoloģiju dažādība. Tādējādi kibernoziegumi tiks identificēti arvien vairāk. Treškārt, ir diezgan ērti būt kibernoziedzniekam - ļaundarim ir mazāki riski pie tā paša ieguvuma. Piemēram, noziedznieks izvēlējies nozagt naudu, izmantojot bankas sistēmu, nevis fiziski zagt naudu bankā:

1. Noziedzniekam nav fiziski jāatrodas bankā, tādējādi ir maza varbūtība tikt pieķertam nozieguma vietā.
2. Tiesībsargiem grūtāk identificēt, kur un kādos apstākļos noziegums veikts. Liela daļa kibernoziegumu tiek fiziski veikti citā valstī, kur ir cita jurisdikcija, kas apgrūtina tiesībsargu darbu.
3. Noziegumu var viegli atkārtot, tam nepieciešama mazāka sagatavošanās, ja iepriekšējais mēģinājums bijis veiksmīgs.

Kopš interneta izmantošanas pirmsākumiem, uzņēmēji tradicionāli uzskata, ka uzbrucēji ir ārēji. Tomēr PwC aptauja parāda, ka 53% uzņēmumu, kas 2011.gadā piedzīvojuši kibernoziegumu, atzīst, ka tas veikts no iekšienes. Lielākais vairums uzskata, ka vislielākās iespējas ir informācijas tehnoloģiju struktūrvienību darbiniekiem dēļ to pieejas tiesībām uzņēmuma sistēmām, tiem seko ražošanas (39%), pārdošanas (34%) un finanšu (32%) struktūrvienību darbinieki. Ja uzbrucēji tiešām ir ārēji, tie, lielākoties, ir ārvalstnieki, bet noziegumi ir lokāli, izmantojot vietējās uzņēmējdarbības īpatnības. Piemēram, Nigērijā nav pārāk daudz datorlietotāju, tomēr tieši šajā valstī, saskaņā ar aptaujas rezultātiem, ir visvairāk ārvalstnieku veiktu datorkrāpšanu, pieprasot priekšapmaksu par precēm un pakalpojumiem, kas ir vietējās uzņēmējdarbības īpatnība. Vai par Vācijas vēsturē lielākās datorkrāpšanas shēmas īstenošanu, ar datorvīrusu inficējot gandrīz 80 000 datoru un no tiem iegūstot lietotāju banku kontu informāciju, nozogot 800 tūkstošus eiro (562 tūkstošus latu) no dažādiem banku kontiem 2009. un 2010.gadā, ir notiesāti četri Igaunijas pilsoņi.
Vairums uzņēmēju kibernoziegumu kontekstā baidās no kaitējuma uzņēmuma reputācijai (skat. attēlu). Uzņēmēji, uzskatot, ka paši vainīgi, ka kļuvuši par kibernoziedznieku upuriem, izvēlas nereģistrēt šos noziegumus. Šāds uzskats jāmaina, jo par upuri var kļūt jebkurš un, ziņojot par noziegumu, iespējams palīdzēt citiem nekļūt par šo uzbrucēju upuriem.  

Uzņēmēju bažas par iespējamo kaitējumu
Palielināt attēlu

Par nepieciešamību mainīt uzņēmēju attieksmi liecina arī aptaujātie uzņēmēji. Populārākais līdzeklis, pieķerot iekšēju uzbrucēju ir darbinieka atlaišana (77%) un ziņošana policijai (44%). Uztraucoši ir tas, ka 4% aptaujāto pieķerto pārvieto uz citu amatu uzņēmumā, savukārt 18% - izsaka brīdinājumu. Katrā ziņā, 61% aptaujāto atzīst, ka vēl joprojām sadarbojas ar pieķerto.
60%uzņēmēju atzīst, ka uzņēmuma iekšienē nav kapacitātes kibernoziegumu atklāšanā un izmeklēšanā, un nav informācijas, kur šādu kompetenci dabūt, un 56% , kļūstot par kibernozieguma upuri, nav komunikācijas plāna darbinieku, klientu un sabiedrības informēšanai, bet 46% nav iekšēju procedūru informācijas tehnoloģiju izmantošanas pārtraukšanai, piemēram, apzinātai datortīkla izslēgšanai. Tāpat aptauja parāda, ka iekšējais audits atklāj arvien mazāk kibernoziegumu (14% - 2011.gadā, 26% - 2005.gadā), un netipisko transakciju uzraudzība uzņēmuma iekšienē tiek uzskatīta par efektīvāku līdzekli (18% - 2011.gadā, 0% - 2005.gadā).
Lai mazinātu risku kļūt par kibernoziedznieka upuri, jāmaina tradicionālā kontroles vide uzņēmumā – jāveic regulāru (vismaz reizi gadā) kibernoziegumu risku izvērtējumu, jāpapildina iekšējo procedūru klāsts, jāapmāca darbiniekus, jāuzrauga netipiskas transakcijas uzņēmuma informācijas sistēmās, kā arī jāuzrauga darbinieku aktivitātes sociālajos tīklos.
Būtiskākais kontroles vides elements ir uzņēmuma vadības un darbinieku sapratne par uzņēmumam specifiskiem kibernoziegumu draudiem. Te vislabāk var palīdzēt mācības. Aptaujātie uzņēmēji par visefektīvākajām uzskata klātienes mācības (60%), e-kursus (27%) un regulāru e-pasta komunikāciju vai plakātu izvietošanu koplietošanas telpās (13%).
Aptauja parāda tipiska kibernoziedznieka portretu – jauns darbinieks vai vidēja līmeņa vadītājs (84%), jaunāks par 40 gadiem (65%), uzņēmumā strādā mazāk kā 5 gadus (51%). Šie cilvēki ir uzauguši, izmantojot sociālos tīklus, personīgās informācijas publicēšana ir normāla, tādējādi arī izpratne par riskiem, ko nodara uzņēmumam, ir citāda, tādēļ mācības ir faktiski visefektīvākais līdzeklis.
Vairums (60%) aptaujāto saka, ka nekontrolē darbinieku aktivitātes sociālajos tīklos. Twitter, Facebook, LinkedIn paši nevar kalpot par uzbrucējiem, tomēr uzbrucēji tās labprāt izmanto sociālajai inženierijai – informācijas iegūšanai par uzņēmumu, ko vēlāk izmanto uzbrukumā. Piemēram, noskaidro darbinieku vārdus, iesūta kaitniecisku programmatūru instalācijai darbinieku datoros. Uzņēmēji, kas atzina, ka seko sociālajiem medijiem, uzrauga iekšējo un ārējo informācijas plūsmu, kontrolē, kur un kādi dokumenti tiek glabāti, un tikai 37% aptaujāto izmanto speciālus mācību kursus.
PwC aptaujā 2011.gadā piedalījās 3,877 respondenti no 78 valstīm. No kopējā respondentu skaita 52% bija augstākā līmeņa vadītāji, 36% pārstāvēja kotētos uzņēmumus, kas nosaka spēcīgāku kontroles vidi un 38% pārstāvēja organizācijas, kurās strādā vairāk kā 1,000 darbinieku. 21% respondentu bija Centrālās un Austrumeiropas uzņēmumi. Latvijas uzņēmēji šajā aptaujā nepiedalījās. Pilns pētījums par aptaujas rezultātiem pieejams http://www.pwc.com/gx/en/economic-crime-survey.

 

 

 

1LZA TK ITTEA terminu datubāze, http://termini.lza.lv, avots meklēts: 21.02.2012.

2PwC pētījums ‘Delusions of Safety?’, http://download.pwc.com/ie/pubs/2011_delusions_of_safety.pdf, avots meklēts: 02.03.2012.

3Firms fear fraud, cybercrime, 01.03.2012., The Australian

4New centre to fight rise in cybercrimes Force will step up efforts against hi-tech criminals after hackers and computer-related scams cost Hong Kong a record HK$149 million last year, 18.01.2012, South China Morning Post

5Avots: Tiesu informatīvā sistēma, 02.03.2012.