Jakab Péterrel, az MKB Bank bankbiztonságért felelős ügyvezető igazgatójával és a Magyar Bankszövetség Bankbiztonsági Bizottságának vezetőjével beszélgettünk a pénzintézeti csalások természetrajzáról, illetve az ellenük való védekezés lehetőségeiről.
Az első részben a pénzintézeti csalás meghatározásáról volt szó, majd megtörtént csalási esetekről volt szó, most a védekezés lehetőségeiről beszélgetünk.
Ezzel már át is tértünk a pénzintézeti csalások elleni védekezésre. Ahogy a csalások nagyon sokrétűek lehetnek, gondolom, a védekezésnek is több területre kell kiterjednie?
Ez egy igen komplex dolog, amelyhez hozzátartozik a fizikai biztonság, a humán tényező -- beleértve a dolgozók és az ügyfelek biztonságtudatossági oktatást --, az informatika, a jog, a folyamatszervezés, a fejlesztés és üzemeltetés szabályozása.
Az egyik legfontosabb a megfelelő folyamatok kialakítása és a szükséges kontrollok beiktatása. Ezek körébe az egészen triviálisak is beletartoznak, például a megbízható személyazonosítás (úgy a fizikai, mint az elektronikus környezetben). Kényes dolog persze a helyes egyensúly megtalálása: olyan megoldás kell, ami még nem lehetetleníti el a folyamatot sem az ügyfél, sem az alkalmazott számára, de mégis megfelelő biztonságot nyújt.
Ezeket a folyamatokat meg kell támogatni informatikával: például a rendszer ismerje fel, hogy ugyanazt a biztosítékot most ajánlják fel harmadszor egy teljesen más ügy kapcsán, vagy a tendenciák elemzésével hívja fel a figyelmet, hogy egy héten belül már a huszadik hitelkérelem érkezik be az ország legkülönbözőbb pontjairól ugyannak a kis munkáltatónak az igazolásával. Mivel az informatika nem tud mindennel megbirkózni, igen fontosnak találom a képzést, az oktatást is, vagyis hogy az ügyintéző ismerje fel a hamisított aláírást, a hamis okmányokat.
Arra viszont megtanított bennünket az élet, hogy amit lehet, azt automatizálni kell, és a lehető legkevesebbet bízzuk az emberre, aki végső soron a leggyengébb láncszem a teljes ellenőrzési folyamatban. Vegyünk egy egyszerű példát: BAR-listás személy jön hitelkérelemmel. Megtehetnénk, hogy belső előírás alapján az ügyintézőre bízzuk, nézzen utána, rajta van-e a listán a kérelmező, de nyilvánvaló, hogy ebben mennyi hibalehetőség van. Viszont ha az elektronikus folyamat úgy van kialakítva, hogy nem tudja kihagyni az ellenőrző lépést, és az azonosító adatok alapján egyből felugrik neki a figyelmeztetés, hogy az illető rajta van a BAR-listán, majd így nem tudja folytatni a kérelem feldolgozását, máris csökkentettük a hibázás esélyét és ezzel a kockázatokat.
Ha az ember a leggyengébb láncszem, milyen eljárásokat alkalmaztok a lehető legerősebb láncszemek megtalálására? Ellenőrzitek-e a munkatársakat felvétel előtt?
Nem titok, ezt mindegyik bank csinálja. Bármilyen munkakörbe is jelentkezik valaki, a felvételi procedúrának fontos része a bankbiztonsági ellenőrzés, ami persze bizonyos állásoknál lehet fokozottabb is.
A szokatlan megközelítés varázsa Ha meg kellene neveznem egy szakembert, akivel szívesen beszélnék személyesen is, akkor elsősorban Bruce Schneier jut eszembe (bár nem vagyok az a típus, aki példaképeket jelöl ki magának). Mostanában sokat forgatom a magyarul nemrég megjelent könyvét (Schneier a biztonságról). Nagyon nagyra tartom a gondolkodásmódját, és különösen az tetszik, ahogyan megközelíti és megragadja a problémákat, ahogy nem ismer tabukat, és megmutatja, hogy ezen a területen minden és annak az ellenkezője is elképzelhető. Jó lenne, ha ezt a könyvet minél több döntéshozó (vagy akár átlagember) is elolvasná, mert a legtöbbjük gondolkodásmódja sajnos nagyon messze van attól a szellemiségtől, amit a könyv is képvisel. Sokan bedőlnek annak az egyébként általános emberi gondolkodásmódnak, hogy a fenyegetettségek, kockázatok, támadási lehetőségek jó részét valamilyen távoli veszélynek hiszik, ami bárkivel előfordulhat, de velük aztán nem. A pályafutásom alatt azonban én megtanultam, hogy nagyon kevéssé valószínű dolgok is bármikor előfordulhatnak. De hogy egy példát is mondjak. Volt olyan csalásunk, ahol az elkövetéshez felhasznált aláírásmintát egy teljesen véletlenül bekövetkezett autóbaleset során kicserélt betétlapon szereplő aláírásról szedték. Gondoljunk csak bele: mekkora annak valószínűsége, hogy koccanunk valakivel (a saját hibánkból!), és az illető később banki csaláshoz használja fel az aláírásunkat? |
Mit kerestek, mik lehetnek a gyanús pontok, és hogyan igyekeztek ezek nyomára bukkanni?
Gyanús, ha belső ellentmondások, lyukak vannak az önéletrajzban vagy a felvételi során kitöltött kérdőívben: nem tud "elszámolni" néhány évvel, vagy eltitkol valamit, például a banki állással összeférhetetlen gazdasági érdekeltségét (mondjuk van egy pénzügyi tanácsadással foglalkozó cége). De egy adott informatikusi állásnál az alul- és a túlképzett pályázó is kockázatot jelent. A call centerbe nem kell Unix-guru, mert egy, a munkaköréhez képest túlképzett ember soha nem lesz elégedett, többre tartja magát, és ebből nagyon sok minden következhet. De érthető módon kockázatosnak értékeljük azt is, akinek jelentős tartozása van, esetleg BAR-listás.
De a szokatlan életút is felvethet kérdéseket. Miért akar sokadik beosztott lenni a bankban valaki, aki eddig a saját cégét vezette, még ha annak a cégnek az utóbbi időben nehézségei is voltak? Ennek is lehet ésszerű magyarázata, de nem tipikus attitűd, hogy valaki önként és dalolva elfogad egy sokkal kisebb presztízsű és alacsonyabb jövedelemmel járó állást.
A jelentkező által közölt információknak természetesen minden nyilvános forrásban igyekszünk utánanézni. (A jelentkezéskor ehhez kérjük az álláskereső beleegyezését is.) Az összeférhetetlen üzleti érdekeltségek kiderülhetnek a cégnyilvántartásból, és persze mindenki használja a közösségi oldalakat is. Azokból is kiderülhetnek olyan információk, amelyek alapján kockázatosnak ítélhető valaki: mondjuk szívesen tesz közzé magáról erotikus fotókat és igen aktív a szexpartner-kereső oldalakon. Félreértés ne essék, mi senkinek nem akarunk foglakozni a szexuális életével, de azt tudomásul kell venni, hogy ez egy konzervatív bank, és elvárhatjuk, hogy a bankot képviselő alkalmazottaknak legyen némi önkontrolljuk, vagy legalább annyi sütnivalójuk, hogy ne felismerhető módon legyenek jelen ezeken az oldalakon. Ez már önmagában is reputációs kockázat, és akkor még nem beszéltünk az esetleges zsarolásból következő kockázatokról.
Hétfőn folytatjuk az informatikai védekezéssel.