Największe zagrożenie dla firmy to zatrudnieni w niej ludzie
Nielojalni pracownicy, oszuści, cyberprzestępcy, pospolici złodzieje i wandale… Firmy mają wiele powodów do strachu.
Ryzyko, na jakie są narażone firmy, można podzielić na trzy grupy.
— Pierwsza — to zagrożenie naturalne, wynikające z działania sił natury, na przykład powodzie, upały, mrozy, opady śniegu itp. Drugie — zagrożenia określane jako ogólne, czyli akty wandalizmu i zakłócenia porządku publicznego, włamania, pożary, napady, sabotaże. I wreszcie — zagrożenia charakterystyczne dla danego typu działalności, specyfiki firmy czy obiektu — są to kradzieże, szpiegostwo przemysłowe, terroryzm — wymienia Krzysztof Bartuszek, dyrektor ds. rozwoju w firmie ochroniarskiej Securitas Polska.
Dodaje, że coraz częstsze są próby kradzieży know-how, a poważnym problemem staje się zorganizowana przestępczość w zakładach pracy.
— Przykładem wzrostu zagrożenia z ostatnich miesięcy może być ryzyko zakłócenia porządku publicznego, wandalizmu czy nawet sabotażu, które nasilają się w okresie kryzysu, gdy sfrustrowani utratą zatrudnienia pracownicy próbują w różny sposób wyładować negatywne emocje i posuwają się do czynów niezgodnych z prawem — dodaje Krzysztof Bartuszek.
Groźby wewnętrzne
Czyżby to zatem pracownicy byli największym zagrożenie dla bezpieczeństwa firmy? Podziela taki pogląd Bartłomiej Kowalczyk, menedżer w dziale zarządzania ryzykiem nadużyć w ErnstYoung.
— Rozwój technologii i rynków finansowych spowodował, że nawet jeden pracownik może doprowadzić na skraj bankructwa ogromny międzynarodowy koncern. Nadużycia pracowników to nie tylko ryzyko strat finansowych, to również narażenia na szwank reputacji firmy. To także możliwość reperkusji ze strony rządów czy regulatorów rynku, np. kar finansowych czy zakazu działalności — mówi Bartłomiej Kowalczyk.
Przykładem może być zdarzenie w jednej z firm, w której zginęło kilka tysięcy ton węgla. Nagrania z kilkunastu kamer przemysłowych i rozmowy z pracownikami i ochroną nie pomogły w rozwiązaniu zagadki, jak węgiel wywieziono z firmy. Dlaczego?
— Bo węgiel zginął, zanim wjechał na teren firmy. Firma miała tylko dowody dostawy i faktury, za które zapłaciła dzięki manipulacjom kilku obrotnych pracowników — opowiada Kowalczyk.
Takie oszustwa to wcale nie rzadkość.
— Odnotowano już pierwsze przypadki umieszczania przez przestępców swoich przedstawicieli w instytucjach, by w odpowiednim momencie wykorzystać ich do defraudacji lub kradzieży — czy to aktywów, czy informacji, które są czasami cenniejsze od pieniędzy. Znane są również przestępstwa, w których pracownik firmy pomagał bandytom w oszustwie, bo był szantażowany groźbą skrzywdzenia rodziny — ostrzega Mariusz Witalis, partner w dziale zarządzania ryzykiem nadużyć w ErnstYoung.
Cenne dane
Jak pokazują statystyki, nawet 90 proc. informacji w firmie tworzy się w formie elektronicznej. I często są to dane dla firmy kluczowe.
— Mimo to wiele firm wciąż nie inwestuje w systemy i procedury bezpieczeństwa IT. Sytuacja ta staje się jeszcze groźniejsza w czasie kryzysu, gdy zmieniają się struktury przedsiębiorstw, zwalnia się wiele osób i zwiększa się ryzyko nieetycznych zachowań pracowników — wskazuje Paweł Odor, główny specjalista polskiego oddziału Kroll Ontrack, firmy zajmującej się m.in. informatyką śledczą.
Wykorzystanie urządzeń USB, komunikatorów internetowych czy zwykłej poczty elektronicznej do kradzieży firmowych danych często jest dziecinnie proste. A w ekstremalnych przypadkach może osłabić rynkową pozycję firmy albo nawet doprowadzić do jej upadku.
— W firmach nie ma reguł korzystania z pamięci i urządzeń przenośnych czy komunikatorów ani polityki tworzenia kopii zapasowych. Często brakuje również procedur związanych z bezpieczeństwem magazynowania danych firmowych na prywatnych komputerach pracowników oraz wiedzy o tym, kto w firmie ma prawo dostępu do strategicznych danych — zauważa Paweł Odor.
Zagrożenia w sieci
Jakby tego było mało, zagrożenie może przyjść także z zewnątrz. Cyberprzestępcy nie śpią, tylko pracowicie piszą kolejne linie szkodliwych kodów.
— W internecie są teraz dwa miliony niebezpiecznych aplikacji. Liczba zagrożeń rośnie lawinowo. Najbardziej niepokoi ogromna liczba mutacji groźnych kodów. Po ciemnej stronie internetu popularność zdobywa malware as a service, co można przetłumaczyć: "wirus jako usługa". Polega to na udostępnianiu niejako kodu źródłowego wirusa i jednocześnie prostej aplikacji, która pozwala tworzyć jego liczne mutacje. Dzięki temu niemal co chwilę mogą powstawać nieznane wcześniej rodzaje zagrożenia — ostrzega Michał Iwan, dyrektor zarządzający w F-Secure w Polsce.
Powstaje też coraz więcej wirusów przeznaczonych na urządzenia PDA i telefony komórkowe. Przechowywane tam dane są bowiem cenne także dla cyberprzestępców.
— Sieją spustoszenie również zagrożenia, które bazują na znanych już metodach ataku, np. wykorzystywaniu braku odpowiednich aktualizacji systemu Windows. Tak się stało w przypadku ostatniej dużej epidemii robaka sieciowego zwanego Downadup lub Crockfinger (blokuje zabezpieczenia komputera, ściąga złośliwe oprogramowania i umożliwia przejęcie kontroli nad komputerem — przyp. red.), który zaatakował ponad 10 tysięcy komputerów na świecie. Ofiarami były firmy, które — jak mogłoby się wydawać — powinny być szczególnie wyczulone na tak podstawowe zabiegi jak pobieranie aktualizacji — opowiada Michał Iwan.
Okiem Eksperta
Piotr Krajewski
prezes Association of Certified Fraud Examiners Polska (ACFE Polska)
Podejrzenia trzeba wyjaśnić
Duże przedsiębiorstwa na całym świecie zatrudniają specjalistów do wykrywania i zapobiegania nadużyciom. Są to byli pracownicy organów ścigania lub organów kontrolnych, audytorzy wewnętrzni z dużym doświadczeniem w tego typu pracach, biegli rewidenci albo byli pracownicy instytucji odpowiedzialnych za bezpieczeństwo państwa. Taki "korporacyjny policjant" potrafi skutecznie przeprowadzić postępowanie wyjaśniające, ustalić fakty, zebrać dowody, oszacować straty, wskazać podejrzanych i przygotować raport dla zarządu. Osoby te bardzo często blisko współpracują z działami prawnymi, bezpieczeństwa i kadr, a także z organami ścigania. Dzięki swoim umiejętnościom mogą przyśpieszyć wyrównanie strat od ubezpieczyciela lub sprawcy. Potrafią zarekomendować taki przebieg procesu, by wszelkie próby nadużyć
były utrudnione, a zdarzające się przypadki szybko ujawnione. Skutecznie wypełniają lukę pomiędzy wewnętrznymi komórkami kontroli i audytu, a zewnętrznymi organami ścigania oraz przyczyniają się do obniżenia występowania nadużyć w firmach.
Wojciech Chmielarz