Мудрый Юрист

Киберпреступления в корпоративной среде: риски, оценка и меры предупреждения

Трунцевский Юрий Владимирович, доктор юридических наук, профессор Академии управления МВД России, Финансовый университет при Правительстве Российской Федерации.

Киберпреступления являются наиболее распространенными экономическими преступлениями в корпоративной сфере, и обеспечение безопасности в информационной сфере требует постоянного поиска новых механизмов противодействия киберпреступности. На основе анализа данных Pricewaterhouse Coopers в статье представлены причины современной киберпреступности, риски и угрозы внутреннего и внешнего кибермошенничества, составлен типичный портрет корпоративного кибермошенника, показаны формы совершения данного вида преступлений: "кибервзлом", "киберподлог", "киберразглашение" и "киберзапугивание", отражены меры, предпринимаемые организациями для защиты от кибератак.

Ключевые слова: киберпреступление, мошенничество, риски, управление, предупреждение.

Cybercrime in corporate sphere: risks, evaluation and measures of prevention

Y.V. Truntsevskij

Truntsevskij Yurij Vladimirovich, professor of the Academy of Management of the Ministry of Internal Affairs of Russia, Financial University under the Government of the Russian Federation, doctor of juridical sciences.

Cybercrimes are the most widespread economic crimes in corporate sphere and ensuring security in information sphere requires a constant search for new mechanisms of fighting cybercrime. On the basis of analysis of data of "PricewaterhouseCoopers" the author presents grounds for contemporary cybercrime, risks and threats of internal and external cyber fraud; paints a typical portrait of a corporate cyber swindler, shows forms of committing this type of crimes "cyber - break-in, cyber-forgery, cyber - public disclosure and cyber-stalking", reflects the measures undertaken by organizations for protection against cyber attacks.

Key words: cybercrime, fraud, risk management, prevention.

В Концепции долгосрочного социально-экономического развития Российской Федерации на период до 2020 г., утвержденной распоряжением Правительства РФ от 17.11.2008 N 1662-р <1>, определены приоритеты в сфере противодействия преступности, свидетельствующие о тенденции декриминализации отечественной экономики как приоритетного направления уголовной политики.

<1> Собрание законодательства РФ. N 47. 24.11.2008. Ст. 5489.

Если высокорегулируемые отрасли промышленности, например финансовые услуги, как правило, сообщают о большем количестве экономических преступлений и их процедуры и системы требуют больших уровней прозрачности, увеличивающих вероятность обнаружения мошенничества, то такая отрасль промышленности, как например, строительство, испытывает меньшее давление регуляторов и поэтому более подвержена экономическим преступлениям. Некоторые отрасли промышленности могут воспринимать мошенничество как неизбежные потери и поэтому пренебрегают рисками.

Если до 2011 г., по данным специалистов, наиболее распространенными экономическими преступлениями в корпоративной сфере были незаконное присвоение активов, бухгалтерское мошенничество, антиконкурентное поведение, взяточничество и коррупция <2>, то с 2011 г. в этот перечень вошли киберпреступления.

<2> См.: Карпович О.Г., Трунцевский Ю.В. Серьезные экономические преступления XXI в.: опыт противодействия им в Великобритании, России и США: монография. М.: ЮНИТИ ДАНА, Закон и право, 2013.

С новыми способами ведения бизнеса, новыми технологиями и изменениями конкурентной среды появляются новые риски и новые способы совершения мошенничества. Организации должны знать об этих изменениях и приспосабливать свои механизмы и методы обнаружения. В большей степени это касается новых технологий. Смартфоны и планшеты, социальные сети и СМИ, облачные технологии - все эти привлекательные средства, рассчитанные для деловых решений и возможностей, также могут быть ящиком Пандоры рисков и опасностей <3>.

<3> Пятого сентября 2014 г. на Совете МВД стран - участниц СНГ министр внутренних дел РФ Владимир Колокольцев заявил о том, что обеспечение безопасности в информационной сфере требует постоянного поиска новых механизмов противодействия киберпреступности // РИА "Новости". URL: http://ria.ru/technology/20140905/1022849750.html#ixzz3CRWn735d.

Несмотря на эффективность развертываемых систем управления рисками, всегда есть лица или группы людей, которые в состоянии обойти данные средства управления. Это особенно справедливо, когда дело доходит до кибербезопасности.

В настоящих условиях широкого распространения интернет-технологий в сфере экономической деятельности сетевая преступность представляет угрозу экономической безопасности потребителей, государства, общества и, в особенности, бизнеса. "Вопросы кибербезопасности сейчас возглавляют список рисков, на голову опережая риски, связанные с оружием массового уничтожения и безопасностью ресурсов" <4>.

<4> World Economic Forum Global Risks 2011 report.

Киберпреступление - это вид экономического преступления, непосредственно связанный с использованием компьютерных технологий и сети Интернет, включающий в себя распространение вирусов, нелегальную загрузку файлов, кражу персональной информации, например информацию по банковским счетам. Киберпреступлениями считаются только те преступления, в которых ведущую роль играют компьютер или компьютерная сеть.

По данным консалтинговой компании Price-waterhouseCoopers (PwC) <5>, из тех бизнесменов, которые столкнулись с какой-либо формой экономического преступления, каждый четвертый за прошедшие двенадцать месяцев столкнулся с одним или несколькими фактами киберпреступления. Один из десяти, кто сообщил о мошенничестве, понес убытки в размере больше чем 5 млн. долл. США. 48% из тех, кто сталкивался с экономической преступностью за указанный период, заявили, что они заметили рост рисков киберпреступности. При этом только 4% указали на снижение темпов данных рисков, а оставшаяся часть респондентов вообще не заметила изменений. Высшие руководители организации составили почти половину респондентов, которые не знали, перенесла ли их организация мошенничество. 56% ответчиков сказали, что самое серьезное мошенничество было связано с инсайдом.

<5> Global Economic Crime Survey November 2011. URL: www.pwc.com/crimesurvey.

Причинами киберпреступности в настоящее время являются следующие явления:

По сравнению с другими экономическими преступлениями киберпреступление для нарушителя несет наименьшие риски, чем обычные преступления.

Например, это такое киберпреступление, когда "внешний" мошенник взламывает банковскую систему удаленно, с целью хищения денег или личной информации.

В данном случае можно наблюдать меньшее количество рисков по сравнению с физической кражей:

Часто преступник расположен в различной юрисдикции. Это усложняет процесс идентификации личности, ареста и судебного преследования традиционными средствами. Действующие законы недостаточно зрелы, чтобы преследовать киберпреступников по суду. Учитывая эти особенности, преступник может возвращаться на место преступления с минимальным страхом быть пойманным.

Киберпреступник может находиться как в собственной стране потерпевшей компании, так и за границей. Чаще всего это такие страны, как Гонконг, Китай, Индия, Нигерия, Россия и США.

Считается, что страны с более опытным IT-населением и развитыми системами онлайн-покупок обладают более высоким риском кибермошенничества. В действительности киберпреступление - это реальная глобальная угроза, которая может прибыть из любой точки мира. Так, например, нельзя считать, что лишь Нигерия - это центр высокотехнологичных преступлений, "нигерийские письма" могут прийти из любой юрисдикции.

Организации в своей деятельности могут использовать профилактические меры, чтобы снизить риск таких традиционных экономических преступлений, как например, незаконное присвоение активов, бухгалтерское мошенничество или взяточничество и коррупция, однако с киберпреступлениями этот процесс технологически гораздо сложнее.

По данным PwC, в 40% случаях корпоративное мошенничество совершает внешний мошенник. В таких секторах, как финансовые услуги и страхование, главным преступником обычно становится бывший сотрудник организации.

По данным специалистов, восприятие киберпреступления изменяется в сторону признания подобного риска как идущего изнутри организации. 53% респондентов (опрос проводился PwC) отметили, что угроза киберпреступления идет от отдела информационных технологий (IT), так как персонал IT имеет необходимые навыки и возможности для совершения подобных преступлений. В частности, у персонала IT могут быть расширенные возможности, дающие им дополнительные административные права на получение доступа к системе и способность удалить контрольные журналы, затрудняя обнаружение подобных деяний.

Также респонденты в совершении кибермошенничества подозревают и другие отделы: операционный отдел (39%), отделы продаж и маркетинга (34%), финансов (32%).

Респонденты считают, что риск киберпреступлений наименее вероятно исходит от юридического (8%) отдела. Вместе с тем руководство организации не должно игнорировать и другие подразделения, где сотрудник может получить доступ к конфиденциальным данным или документам <6>.

<6> См.: Карпович О.Г., Трунцевский Ю.В. Due diligence - правовой аудит хозяйствующих субъектов // Безопасность бизнеса. 2013. N 4. С. 25 - 27.

Можно представить типичный портрет кибермошенника:

Наиболее характерными в рассматриваемых случаях могут быть следующие формы киберпреступлений:

И хотя подобные действия не всегда приводят к прямым денежным убыткам, однако они затрагивают деловую репутацию компании (организации очень обеспокоены потерей репутации, и, если они хотят получить конкурентное преимущество, для них крайне важно показать, что они являются представителями самого безопасного и стабильного бизнеса на рынке), разрушают ее отдельные операции и бизнес-процессы.

Почти половина (40%) респондентов в качестве главных угроз киберпреступлений назвали потерю репутации, затем - риски хищений и потерю личных данных. Так, из тех, кто столкнулся с экономической преступностью, 28% сообщили, что моральный дух сотрудников, репутация/бренд, деловые отношения после этого снизились на 19%.

Вместе с тем, по данным опроса PwC, исследуемые организации к борьбе с киберпреступлениями прилагают мало усилий и продолжают занимать созерцательную позицию:

С мошенничеством чаще сталкиваются наиболее крупные организации, так как они имеют больше сотрудников и большие активы, а также соглашения с большим количеством продавцов, работая в большем количестве стран. Но они же могут быть и более успешными в идентификации мошенничеств, поскольку такие компании расходуют больше ресурсов и привлекают штаты для обнаружения рисков и угроз, а также предотвращения мошенничеств.

В предупреждении киберпреступлений следует помнить, что настоящее молодое поколение растет в условиях функционирования широких социальных сетей и для них стало нормой делиться личной информацией, у молодежи сложилось совсем иное понимание риска относительно действий в сети Интернет. Поэтому организации должны предпринимать меры ознакомления сотрудников компании с информацией о киберпреступлениях, в том числе с использованием социальных сетей.

Представляется правильным, что те компании, которые готовы понять и охватить риски-возможности кибермира, будут вознаграждены особым конкурентным преимуществом в современных технологиях, так изменчивых под влиянием окружающей среды.

Какие же действия должны предпринимать организации для защиты себя от кибератак? К таковым PwC относит:

Однако на практике, если организация обнаруживает преступника, дальнейшие ее действия могут различаться.

При внутреннем мошенничестве в 77% случаев организация увольняла этого человека, в 44% - вызывали полицию. Однако это возможно справедливо только для самого серьезного и крупного мошенничества, поэтому 4% респондентов ответили, что их организация ничего не сделала, в 4% случаев этот человек был переведен в другой отдел организации, в 18% - в отношении преступника было вынесено предупреждение.

Таким образом, в некоторых организациях борьба с мошенничеством ведется весьма осторожно в сторону уклонения от резких движений.

Думается, что организации в своей политике должны показать неприятие к мошенничеству, пользоваться в этом поддержкой государственных и муниципальных органов.

Одна из лучших превентивных мер, которые может принять организация, - это проведение регулярных оценок степени риска мошенничества в целях обнаружения фактов совершения экономического преступления <7>.

<7> См.: Truntsevskii Yu.V., Bogatov A.V. Voluntary disclosure of information regarding the facts of corruption and fraud (foreign experience) // The topical issues of public law. 2013. N 3. С. 74 - 77.

Так, для выявления внутреннего мошенника организации должны улучшить внутренний контроль.

В отношении внешнего преступника информацию собрать довольно тяжело, и наиболее распространенными экономическими преступлениями, совершаемыми неизвестным лицом, являются киберпреступление, незаконное присвоение активов и махинации аудита. Один из лучших способов предотвратить внешнее мошенничество - это знать, с кем организация ведет бизнес, кто ее клиенты, продавцы, агенты. "Мошенничество всегда бежит от солнечного света", поэтому прозрачность ведения бизнеса остается одним из наиболее эффективных профилактических инструментов, доступных организациям в борьбе с мошенничеством.

Литература

  1. Карпович О.Г., Трунцевский Ю.В. Серьезные экономические преступления XXI в.: опыт противодействия им в Великобритании, России и США: монография / О.Г. Карпович, Ю.В. Трунцевский. М.: ЮНИТИ ДАНА, Закон и право, 2013.
  2. Карпович О.Г., Трунцевский Ю.В. Due diligence - правовой аудит хозяйствующих субъектов / О.Г. Карпович, Ю.В. Трунцевский // Безопасность бизнеса. 2013. N 4. С. 25 - 27.
  3. Концепция долгосрочного социально-экономического развития Российской Федерации на период до 2020 г. (утв. распоряжением Правительства РФ от 17.11.2008 N 1662-р // Собрание законодательства РФ. N 47. 24.11.2008. Ст. 5489).
  4. Global Economic Crime Survey November 2011. URL: www.pwc.com/crimesurvey.
  5. Truntsevskii Yu.V., Bogatov A.V. Voluntary disclosure of information regarding the facts of corruption and fraud (foreign experience) // The topical issues of public law. 2013. N 3. C. 74 - 77.
  6. World Economic Forum Global Risks 2011 report. URL: http://reports.weforum.org/global-risks-2011/.