Kiedy BYOD = LYPD

Data: 22 stycznia 2014 | Autor: | Brak komentarzy »

Coraz większą popularnością cieszy się możliwość podłączania do firmowych sieci prywatnych urządzeń. Wprawdzie nadal istnieją – całkiem zresztą liczni – puryści, którzy na wszelkie sposoby bronią się przed podłączeniem czegokolwiek do firmowych zasobów (choćby blokując porty USB), ale wiele firm pogodziło się z faktem, że pracownicy w godzinach pracy w jakimś stopniu zajmują się także prywatnymi sprawami i postanowiło im to ułatwić. Na prywatnym sprzęcie – zwykle telefonie lub tablecie mogą oni trzymać służbowe dane, synchronizować go z firmową siecią, odbierać korporacyjną pocztą itd. Stąd określenie BYOD – Bring Your Own Device (przynieś swoje własne urządzenie).

W prasie i na eventach branżowych zazwyczaj szeroko omawia się temat bezpieczeństwa danych firmowych w modelu BYOD. Podnosi się kwestię, że wydając tysiące czy miliony złotych na korporacyjną infrastrukturę bezpieczeństwa, nie można polegać na niefrasobliwych „użyszkodnikach” gotowych zainstalować na swoich terminalach niemal wszystko. Najwięksi czarnowidze wręcz postrzegają BYOD jako furtkę do nieautoryzowanej eksploracji nie tylko zasobów konkretnego urządzenia, ale całej sieci firmowej. Jednocześnie nadal niewiele mówi się o drugiej stronie problemu – o bezpieczeństwie prywatnych danych użytkownika.

Przeczytaj całość wpisu »


Pospolite kradzieże – czy naprawdę niegroźne?

Data: 15 stycznia 2014 | Autor: | Brak komentarzy »

Czy nadużycie korporacyjne zawsze musi oznaczać mniej lub bardziej złożony schemat, poparty jeszcze ukrywanie faktu i efektów przestępczej działalności? Bynajmniej. Powszechnie sądzimy, że najprostszą bezczelną kradzieżą można co najwyżej zabrać z biura ryzę papieru, podprowadzić kilkaset złotych z kasy czy też wynieść z magazynu ilość towaru mieszczącą się za pazuchą. Tego typu wypadki uznawane są powszechnie jako niegroźne i stanowiące nieodłączny niemal element biznesu. Opisywany dziś przypadek przekona nas, że nie jest to regułą. Wprawdzie zastosowane modus operandi stoi formalnie o poziom wyżej od wcześniej przytoczonych przykładów, ale w rzeczywistości sam charakter zdarzenia można śmiało podciągnąć pod najzwyklejszą grabież majątku.

Ofiara: niewielka kasa oszczędnościowo-kredytowa Taupa Lithuanian Credit Union – 1.150 członków i nieco ponad 24 mln USD aktywów. Bohaterowie: John Struna, przedsiębiorca oraz Alex Spirikaitis, szef kasy. Straty: 2,5 mln USD, czyli ponad 10% majątku. Konsekwencje: niewypłacalność kasy i objęcie jej zarządem komisarycznym. Przyczyna: najwyraźniej koleżeńska „przysługa”.

Przeczytaj całość wpisu »


Zarobić da się także na nieoczywistym

Data: 7 stycznia 2014 | Autor: | Brak komentarzy »

Często irytujemy się, że państwo nie ma do nas zaufania, a większość urzędników uważa, że podstawowym pragnieniem obywatela jest nadużycie środków z państwowej kasy. Dywagacje na temat tego problemu zajęłyby zapewne łamy Fraud IQ na następnych kilka miesięcy, ale w dzisiejszym kazusie nie po raz pierwszy chcę po prostu stwierdzić, iż zaufanie do obywatela nie zawsze wychodzi państwu na dobre. Jakiś czas temu wspominałem już o tym, że papier (i większość coraz popularniejszych formatek elektronicznych) zniesie wszystko, przez co niezbędnym elementem każdego procesu dystrybucji środków jest kontrola ich wykorzystania. I mowa tutaj nie tylko o środkach pieniężnych sensu stricto, ale o każdej pomocy materialnej, którą w ten czy inny sposób można zamienić na gotówkę lub wykorzystać do generowania zysku.

Pewien Amerykanin wykazał się doprawdy mrówczą pracą w ramach wymyślonego przez siebie procederu wyłudzania pomocy z federalnego programu wsparcia niezależnego szkolnictwa. Jednym z typów oferowanej przez rząd pomocy jest przekazywanie na rzecz placówek oświatowych sprzętu elektronicznego, głównie komputerowego. Sprzęt ten pochodzi z tzw. nadwyżek zaopatrzeniowych, co nie oznacza jednak, że zawsze są to urządzenia nowe. Nadwyżką jest także sprzęt używany, „zwolniony” przez dotychczasowych użytkowników wskutek reorganizacji, wymiany na nowy itp. Zawsze jednak jest to sprzęt sprawny i w dobrym stanie technicznym, co oznacza, że ma określoną wartość rynkową.

Przeczytaj całość wpisu »


Pamiętajmy o złodzieju

Data: 31 grudnia 2013 | Autor: | Brak komentarzy »

Rok na łamach Fraud IQ kończymy nieco nietypowo – arabską przypowieścią. Po wielu wpisach dotyczących mechanizmów kontroli wewnętrznej wspierających nas w przeciwdziałaniu i wykrywaniu nadużyć, na drugi plan zeszła kluczowa postać takiego incydentu – sprawca. Postać zwykle sprowadzana do roli wykonawcy, której motywy, determinację i kwalifikacje często pomijamy, skupiając się na wyjaśnieniu przyczyn, które umożliwiły wystąpienie nadużycia.

Tymczasem samo modus operandi nie bierze się z niczego – jej autorem jest konkretny człowiek i przy jego konstruowaniu wykorzystuje on własne doświadczenia i umiejętności. Dlatego też o skuteczności mechanizmu kontrolnego decydują tak naprawdę dwa punkty widzenia – osoby, która go zaprojektowała oraz osoby, która chce go obejść lub przełamać. Pamiętajmy, że w danym momencie liczba typów nadużyć, jakie są możliwe do popełnienia w danej firmie jest względnie stała, za to liczba sposobów, jakimi można je popełnić, jest niemal nieskończona. Poświęćmy zatem trochę czasu na próbę przewidzenia (lub ustalenia post factum) profilu potencjalnego sprawcy – pomoże to nam w tworzeniu bardziej skutecznych mechanizmów prewencyjnych i detekcyjnych.

Przeczytaj całość wpisu »


Kryzys niekiedy sprzyja okradaniu pracodawców

Data: 22 grudnia 2013 | Autor: | Brak komentarzy »

Na łamach Fraud IQ wielokrotnie podnosiłem już kwestię właściwego podziału obowiązków jako jednego z najskuteczniejszych elementów zapobiegających nadużyciom. Warto jednak co jakiś czas ją przypominać, obrazując skutki tego zaniechania kazusami z doniesień medialnych. Wprawdzie nie zawsze możliwe jest, zwłaszcza w mniejszych firmach, zastosowanie należytego rozdzielenia obowiązków, ale niewątpliwie w takich przypadkach należy skompensować tę niedoskonałość prowadzeniem niezależnej kontroli obszaru, w którym taki podział nie jest możliwy do wprowadzenia.

Do czego może prowadzić zaniechanie w tym zakresie? Za przykład posłuży nam sprawa niejakiej Jeanalyn Grace, zajmującej się księgowością, kontrolingiem, gospodarką finansową oraz audytem wewnętrznym (tak, to nie pomyłka!) w firmie Wier Construction. Pani Grace była tam zatrudniona przez 6 lat i do jej pracy nigdy nie zgłaszano zastrzeżeń. A jednak zaledwie kilka tygodni po jej odejściu, właściciele zorientowali się, że wyprowadziła ona w tym czasie z firmy ponad 1,4 mln dolarów…

Przeczytaj całość wpisu »