/ Řízení bezpečnostních rizik

Stále častější on-line útoky na firmy

V poslední době se v praxi množí případy jednoduše vypadajících, ale přitom velmi nebezpečných on-line útoků na firmy. Jedná se o různé druhy fakturačních podvodů, kdy se pachatelé vydávají za oprávněné příjemce plateb. Mnohdy jde až o desítky milionů korun. Díky neustálému rozvoji moderních technologií a veřejné dostupnosti potřebných informací lze přitom očekávat jejich stále častější výskyt.

Z nejznámějších případů lze uvést zejména ty aktuální z počátku letošního roku, kdy se cílem podvodníků staly státní České dráhy a Správa železničních dopravních cest (SŽDC). Za řadu jiných útoků na soukromé firmy pak možno zmínit dva loňské příklady. Konkrétně jde o stovky podvodných výzev k úhradě domén hned několika správcovských firem či falešné zálohové faktury s hlavičkou největší české stavební firmy Metrostav v řádech milionů korun rozeslané více než třiceti stavebním společnostem.

Většinou se dosud naštěstí jedná o podvody, které byly ještě před vyplacením příslušných finančních částek včas odhaleny. O to hůře však dopadl případ ataku na SŽDC: Té přišel dopis o změně bankovního účtu pro platbu faktur napsaný výbornou češtinou a obsahující veškeré náležitosti včetně správných podpisů, hlavičky i čísel faktur oficiálního dodavatele. Po zběžném a povrchním ověření SŽDC následně odeslala na falešný účet desítky milionů korun, které obratem odešly do zahraničí...

Všechny uvedené případy spojuje hned několik společných rysů. Vždy působí velmi reálně a sofistikovaně. Vše na první pohled vypadá jako pravé s téměř všemi náležitostmi. Pachatelé jsou většinou počítačově zruční a zjevně musejí disponovat dobrými informacemi „zevnitř". Tyto si obstarali buď dnes již často velmi jednoduše z veřejně dostupných zdrojů nebo se rekrutují přímo z dotčených subjektů či v rámci nich s někým spolupracují.

Těmto a obdobným situacím zřejmě nelze vždy stoprocentně zabránit, ale s určitostí je lze minimalizovat, lépe se na ně připravit a pokusit se jim proaktivně předejít. A to jak bezpečnostními opatřeními v oblasti ochrany dat, tak zejména různými nástroji při personální práci se zaměstnanci. Začíná to již fází náboru konkrétního uchazeče a pokračuje to následným průběžným monitorováním činnosti a zejména podezřelých aktivit u vytipovaných pracovníků „rizikových“.

Vždy je bezpodmínečně nutné mít nastaveny takové interní postupy a kontrolní mechanismy, které zabezpečí jednoznačné prověření oprávněnosti a správnosti jakékoliv, obzvlášť větší platby. Nejlépe oficiálními cestami u skutečného, nikoliv pouze domnělého, dodavatele, jako se stalo ve smutném případě SŽDC... Platí základní pravidlo: Do doby prokazatelného ověření rozhodně nic neplatit!

Odkazy na články k tématu naleznete zde a zde.

Zpět na výpis

NOVĚ jsme pro Vás připravili dotazník sebehodnocení Compliance a protikorupční připravenosti Vaší organizace dle ISO 37301 a ISO 37001. Již za 10 minut budete mít základní představu, jak si stojíte.

Vyplnit dotazník