Marko Rakar: Cyber kriminalci često su u sustavu tjednima prije nego "zaključaju" sve što imate

Infobip ❤️ Netokracijašto akvizicija znači za vas - i nas?

Marko Rakar: Cyber kriminalci često su u sustavu tjednima prije nego “zaključaju” sve što imate

Koje su ono stereotipne tvrdnje za Hrvatsku? Obožavamo nogomet i kavu, imamo predivnu obalu... što je još ostalo? Tako je! Zaboravili smo našu sklonost korupciji, a koliko je ta skonost jaka pokazalo je opširno istraživanje. Na Dan cybersigurnosti komentiramo podatke s glavnim čovjekom iza istraživanja - Markom Rakarom.

Kako krademo? prvo je sveobuhvatno istraživanje o prijevarama u Hrvatskoj, njime su obuhvaćene prošle dvije pandemijske godine. Provelo ga je Udruženje ovlaštenih istražitelja prijevara Hrvatska koje je zapravo lokalni ogranak ACFE-a (Association of Certified Fraud Examiners). Definirane su vrste i načini prijevara u hrvatskom gospodarskom okruženju, a obuhvaćeno je 124 slučajeva prijevare iz 16 različitih sektora gospodarstva u 2020. i 2021.

Cijelo istraživanje za Netokraciju komentirao je i Marko Rakar, jedan od osnivača hrvatskog ogranka ACFE-a čiji je ujedno i tajnik. Također, kako danas obilježavamo Dan cybersigurnosti, tako smo iskoristili priliku s Markom komentirati treći najčešći oblik prijevare, a to su računalne i kibernetičke prijevare.

Ukupni financijski gubici, kao i procjena postotka godišnjih prihoda koji su izgubljeni uslijed tih prevara vjerojatno su puno veći od otkrivenih rezultata, ali nisu samo takve brojke zanimljive. Imamo manjak kontrolnih mehanizama i samo 22% slučajeva otkrivenih dojavom dok na globalnoj razini dojave predstavljaju najčešći način otkrivanja, a kontrole prijevara su uobičajene i dio korporativne higijene.

Ovo samo dodatno pokazuje kako je percepcija korupcije u Hrvatskoj loša. Kada se sjetimo kako je hrvatski corruption perceptions index u 2021. godini bio “visoko” rangiran uz države poput Namibije, Kine i Kube, osobno mi pada mrak na oči kao mladoj osobi koja želi nešto postići u životu. Probat ću se oraspoložiti s jedinom pozitivnijim pogledom na ovu situaciju. Prvo što mi pada na pamet je: Croatia – a snitch free country 🙃

Marko nije iznenađen rezultatima jer smo ipak poznati po sklonosti ne samo korupciji, nego i zaobilaženju pravila, ali i tome da imamo vrlo fleksibilna shvaćanja vlasništva, osobito onoga koje je javno:

Najviše me u biti zanimalo da pokušamo identificirati ključne točke u kojima se naši rezultati razlikuju od svjetskih i nekako se može zaključiti da uglavnom pratimo sve bitne svjetske trendove iako ima nekoliko polja u kojima bitno odudaramo.

Pa krenimo….

5 najčešćih prijevara u Hrvatskoj

Koliko god počinitelji postali kreativni, prijevare najčešće spadaju u jednu ili više temeljnih kategorija. Istraživanje je pokazalo kako u Hrvatskoj dominira:

  1. Protupravno prisvajanje imovine (52%)
  2. Mito i korupcija (31%)
  3. Računalne i kibernetičke prijevare (22%)
  4. Oblici prevara prilikom nabave (22%)
  5. Prevare koje čine potrošači (20%)

U kategoriji mita i korupcije najzastupljenija prijevara je primanje ili davanje mita u obliku novca ili poklona (79%), a drugi čest oblik korupcije je preusmjeravanje poslovne prilike (kupnje ili prodaje) prema drugim organizacijama u kojima je počinitelj imao skriveni ekonomski ili osobno interes neovisno o tome radi li se o tajnom vlasničkom udjelu ili indirektno preko povezanih osoba (62%)

Mito i korupcija u svim oblicima dominiraju u domaćim organizacijama, ali prema ovom istraživanju, Hrvatska je bolja od svjetskog prosjeka.

Prevaranti nisu nužno ograničeni na jednu metodu krađe zbog čega je istraživanje pokazalo kako je 35% prijevara uključivalo više od jedne kategorije prijevara. Tako se protupravno prisvajanje imovine najčešće događa u kombinaciji s mitom i korupcijom.

Koliko god se trudile, organizacije ne mogu spriječiti sve prijevare, navedeno je u istraživanju. Ako je organizacija dovoljno dugo operativna, sigurno će neki zaposlenik počiniti prijevaru. Srednje trajanje prijevare, odnosno vrijeme između početka i otkrivanje prijevare, u prosjeku traje 8 mjeseci.

Bronca za računalne prijevare 🥉

Od konkretnih metoda računalnih prijevara, gotovo svi smo izloženi phishing kampanjama koje ponekad korisnici ne uspiju identificirati pa kliknu na link ili podijele neki od kritičnih podataka, navodi Marko:

Ako govorimo o organizacijama i o phishingu u njima, phishing obično bude samo prva faza koja služi za prikupljanje informacija (korisnička imena, password i slično), a potom se ti podaci koriste kako bi se stekla kontrola ili ostvario pristup nekom sustavu (lokalnoj mreži, serverima i slično) pa kada se stekne takav pristup dođe do zloupotrebe sustava.

Dva tipična oblika zloupotrebe su preuzimanje kontrole nad raznim financijskim aplikacijama osobito bankovnim aplikacijama čiji je cilj isprazniti nečije račune, dok je druga vrlo česta taktika korištenje ransomware ili CryptoLockera, ističe Marko:

Ako je riječ o proboju u veću organizaciju, kriminalne organizacije koje su odlučile gurnuti CryptoLocker na računalni sustav svoje žrtve, često su na lokalnoj mreži prisutne tjednima a ponekad i mjesecima prije nego što je ransomware proširen mrežom.

Ako prijevaru nismo dojavili, onda smo ju otkrili slučajno 🙃

Prepoznavanje prijevara izrazito je bitno jer može imati značajan utjecaj na visinu financijskih gubitaka, a učinkovito prepoznavanje prijevara zahtjeva poznavanje najčešćih metoda kojima ih možemo otkriti. Koliko god metode bile sofisticirane, najčešći način kako su Hrvati otkrili prijevaru je dojava.

Više od 20% slučajeva u Hrvatskoj otkriveno je dojavom što znači kako bi procesi za prikupljanje i procjenu dojava trebali biti prioritet za zaposlenike koji se bore protiv njih. A trebali bi biti prioritet i poslodavcima… U travnju ove godine hrvatski je Sabor usvojio Zakon o zaštiti prijavitelja nepravilnosti, koji između ostalog predviđa obveznu uspostavu sigurnog sustava unutarnjeg prijavljivanja nepravilnosti za sve poslodavce s najmanje 50 radnika. Upravo je to bio poticaj da se na našem tržištu nedavno pojavi i softver danskih osnivača – Whistleblower, kojemu je cilj pomoći zviždačima. Ispitali smo i je li to zbilja olakšava stvar…

Činjenica što je slučajno otkrivanje prijevare na drugom mjestu, za Marka je šokantna jer to znači kako bitno podbacujemo u formalnim procedurama koje bi inače morale dovesti do otkrivanja nepravilnosti. U svijetu su to dojave, unutarnje revizije i kontrole, odnosno otkriće prijevare od strane rukovodstva.

Ipak, po nečemu se razlikujemo od svjetskog prosjeka. Iako su nam dojave najčešći način otkrivanja prijevara, uspoređujući Hrvatsku sa svijetom, značajno smo ispod prosjeka. Potrebno je naglasiti da proaktivne metode brže detektiraju prijevare, a pasivna detekcija rezultira povećanom financijskom štetom.

Kada govorimo o načinima skrivanja prijevara, zanimljivo je kako prva tri mjesta zauzimaju metode koje uključuju manipulaciju fizičkim dokumentima. Nakon toga slijedi manipulacija elektroničkim dokumentima. Ovo je prilika za otkrivanje prijevara proaktivnim metodama jer će se prijevare moći lako dokazati kroz provjeru vjerodostojnosti dokumentacije.

Mito i korupcija prevladava u javnom, no najviše prijevara napravljeno je u privatnom sektoru

Najviše prijevara prijavljeno je u privatnom sektoru (74%). Privatna dionička društva doživjela su najviše prijevara (39%) i zatim slijede društva s ograničenom odgovornošću (32%), a oko 25% oštećenih organizacija odnosi se na javni sektor. Naravno, protupravno prisvajanje imovine je na vodećem mjestu u svim vrstama organizacija.

Također, potvrđena je i visoka pojavnost mita i korupcije u organizacijama javnog sektora gdje je po učestalosti ovo druga vrsta prijevare, a zanimljivo je istaknuti kako dijeli mjesto s prijevarama s potporama/poticajima. Treće mjesto u javnom sektoru zauzima prijevare u nabavi i kibernetičke prijevare.

Istaknuta je zabrinjavajuća visina prijavljenih gubitaka. Svako treće oštećeno dioničko društvo i svako peto oštećeno društvo s ograničenom odgovornošću prijavilo je gubitke veće od 5 milijuna kuna.

Ovako visoka oštećenja manje su prisutna u javnim institucijama, ali je njih 44% prijavilo gubitke u visini od 1 do 5 milijuna kuna što znači kako je 56% oštećenih javnih institucija prijavilo gubitke veće od milijun kuna. Kada javni sektor analiziramo prema hijerarhijskoj vlasti, najviše je oštećena državna vlast (69%) dok se ostatak odnosi na lokalne vlasti (31%).

Zatim, prijevarama su izložene organizacije svih veličina, ali pokazalo se kako su veće organizacije češće mete prijevara. Zanimljivo je istaknuti kako se vrste prijevara mijenjaju s veličinom organizacije (mjereno veličinom prihoda). Manje organizacije trpe kibernetičke napade i prijevare u nabavi dok su kod većih prisutniji mito i korupcija te prijevare koje rade sami potrošači.

Činjenica da mito i korupcija rastu s veličinom organizacije potvrđena je i na globalnoj razini, ali zabrinjavajuće je što veće nisu organizacije nisu više svjesne svoje ranjivosti, a imaju sredstva za ulaganje u bolju zaštitu.

Idemo konkretnije u sektore…

Najviše je prijavljeno prijevara u sektoru financijskih usluga (32%). Drugo mjesto zauzimaju državna i javna uprava (10%) dok su na trećem mjestu stručne, znanstvene i tehničke usluge (8%). Sličan udio ima i sektor energetike, telekomunikacija i medija te proizvodni sektor (7%). Po ovome pitanju, Hrvatska je u skladu s globalnom prosjekom.

Zanimljivo je kako se protupravno prisvajanje imovine pojavljuje u svim sektorima i zatim slijede mito i korupcija te kibernetičke prijevare. Neke su prijevare karakteristične za pojedini sektor pa tako prijevare koje rade potrošači iznose 69% u sektoru osiguranja.

Također, sektor prijevoza i skladištenja doživio je najviše različitih vrsta prijevara, a nakon njega slijedi državna i javna uprava, veleprodaja i informacije (izdavaštvo, mediji i telekomunikacije). Najveći prosječni financijskicgubitak bilježi ugostiteljstvo, veleprodaja, financijske usluge, državna i javna uprava te poljoprivreda, šumarstvo, ribolov i lov.

Kontrole za sprečavanje prijevara?

Implementacija učinkovitih kontrola za sprječavanje prijevara uvelike može pomoći u borbi protiv istih. U istraživanju je ispitano koje od 18 uobičajenih kontrola protiv prijevare se koriste, a ispostavilo se kako Hrvatska značajno zaostaje u implementaciji kontrolnih mehanizama.

Kod nas se najčešće koriste menadžerski kontrolni mehanizmi (49%) poput interne kontrole, provjera računa i sl. Na drugom mjestu je odjel za internu reviziju (42%), a slijede neovisne revizije financijskih izvješća od strane vanjskih revizora (36%).

Važno je naglasiti kako niti jedna od uobičajenih kontrola za sprečavanje prijevara nije zastupljena u više od polovice ispitanika pa tako ni menadžerski kontrolni mehanizmi nisu implementirani u više od polovice hrvatskih oštećenih organizacija.

Također, zabrinjavajuće je što formalni mehanizam procjene rizika od prijevara ima otprilike svaka deseta organizacija, a još manje ih ima telefon ili drugi formalni mehanizam prijavljivanja nepravilnosti.

Prosječni počinitelji prijevara su visokoobrazovani muškarci i rade u organizaciji 10 godina

Unutarnji počinitelj bio je prisutan u 44% slučajeva, a kada unutarnji ima pomoć vanjskog, onda se ta učestalost penje na 77%. Vanjskog počinitelja identificiralo je 19% ispitanika.

Počinitelji su najčešće muškarci u petom ili šestom desetljeću života s dugim stažem u oštećenoj organizaciji. Podaci pokazuju da što osoba duže radi za organizaciju to su bolji u prijevari. U čak 56% slučajeva počinitelj je bio dio organizacije više od 10 godina.

Kada govorimo o pozicijama, čak 47% počinitelja čine izvršni direktori, članovi uprave i šefovi računovodstva, dok su vlasnici kao počinitelji identificirani u 11% slučajeva. U kontekstu vanjskih počinitelja, 20% njih su hakeri, 16% kupci, a treći su dobavljači u iznosu od 16%. Zanimljivo je istaknuti kako su unutarnji počinitelji obično više ili visokoobrazovani.

Kada govorimo o sumnjivim aktivnostima, ono što je najčešće budilo sumnju je bliska povezanost s dobavljačem ili klijentom (28%). Drugi najčešći indikator je nedavna rastava ili problemi u obitelji što može dovesti do financijskih problema (22%). Ipak, možda najviše zabrinjava što je 33% ispitanika nije moglo prepoznati znakove upozorenja u ponašanju.

Kada govorimo o znakovima upozorenja koji su povezani s radnim odnosom, prijevare su često potaknute negativnim događajem vezanim uz plaću ili poziciju unutar organizacije. Ipak, u 80% slučajeva nisu prepoznati znakovi upozorenja.

Zašto je teško dati otkaz osobi koja je javnu ili privatnu tvrtku oštetila za milijune?

Prvo što organizacije pokušavaju napraviti je raskinuti radni odnos kako bi se osobu isključilo iz organizacije, a s obzirom na hrvatsko zakonodavstvo, to nije jednostavno. Kada Marko dobije istražiteljski zadatak, osim što je važno otkriti krivce i način prijevare, prioritet je uvijek zaustaviti prijevarni proces i onemogućiti daljnju štetu:

Bez obzira je li prijevaru otkrilo osoblje trgovačkog društva ili neke državne institucije ili eksterni istražitelj, to jednostavno na našim sudovima nije dovoljna osnova za raskidanje radnog odnosa i takvi ljudi se često kasnije od strane suda vraćaju na radna mjesta neovisno o tome koliko je neprijeporna njihova prevara, mito, korupcija.

Poseban je problem dati otkaz osobama u javnim ustanovama trgovačkim društvima u vlasništvu državne ili niže razine što angažiranje istražitelja nije izuzeto iz javne nabave, pa tako morate objaviti oglas o namjeri sklapanja ugovora s istražiteljem:

U tom oglasu morate specificirati što točno taj istražitelj mora napraviti i praktički osumnjičenima dati do znanja na iznimno javni način da im se netko približava. To je jednostavno kontraproduktivno i velikim dijelom objašnjava zašto prijevara u javnom sektoru traje pet puta duže nego u privatnom.

Kada govorimo o sudskim postupcima, organizacije se susreću s reputacijskim rizikom što znači kako nije rijetko da organizacije nikad ne prijavljuju nelegalne radnje. U 45% situacija slučaj je upućen nadležnim vlastima, a ostatak se odnosi na 34% neprijavljenih slučajeva i 20% na one koji ne znaju je li išta poduzeto.

“Zakašnjela pravda nije pravda.”

Zašto imamo tako lošu percepciju korupcije u Hrvatskoj, Marko jednim dijelom vidi u socijalističkom mentalitetu koji je dobrim dijelom odgovoran što nemamo poštovanja prema privatnom i javnom vlasništvu:

To se manifestira na svim razinama, od toga da uzmemo bunt papira ili pisaći pribor kući za naše školarce, privatni račun od restorana pokušamo progurati kao reprezentaciju na račun tvrtke, “zaokruženih” kilometara ili prijavljenih satnica, pa sve do raznih oblika mita i korupcije gdje pogodujemo (u kupnji ili prodaji) članovima rodbine, prijateljima ili prikriveno povezanim trgovačkim društvima.

Ima puno načina kako utjecati na prijevarne procese, ali Marko smatra kako bitka protiv korupcije počinje tako da sam nisi korumpiran (kod nas u korupciji aktivno participiraju političari, ljudi imenovani na različite funkcije, vlasnici i manageri trgovačkih društava). Dakle moramo promijeniti način na koji odabiremo ljude koji upravljaju javnim novcem ili privatnim kompanijama, zaključuje Marko:

Moramo pojednostaviti i omogućiti da se ljudi koji su ulovljeni u nekom obliku prijevare mogu brzo i lagano odstraniti iz oštećene organizacije te, naravno, moramo pravosuđe posložiti tako da pravda bude izvršena brzo i efikasno. Zakašnjela pravda nije pravda.

Sukladno članku 94. Zakona o elektroničkim medijima, komentiranje članaka na Netokraciji dopušteno je samo korisnicima koji ostave svoje ime i prezime te mail adresu i prihvate pravila ponašanja.

Pravila ponašanja

Na Netokraciji za vas stvaramo kvalitetan, autorski potpisan sadržaj i zaista se veselimo vašim kvalitetnim, kontruktivnim komentarima. Poštujmo stoga jedni druge prilikom komentiranja, kao i Zakon, držeći se sljedećih pravila ponašanja:

  • Ne budite 💩: Nema vrijeđanja, diskriminiranja, ni psovanja (osim ako nije osobni izričaj, ali onda neka psovka bude općenita, a ne usmjerena prema nekome). Također, upoznajte se sa stavkom 2. članka 94. Zakona o elektroničkim medijima prije no što ostavite komentar.
  • Samo kvalitetna rasprava, manje trolanja: Ne morate se ni sa kim slagati, ali budite konstruktivni i doprinesite raspravi! Svako trolanje, flameanje, koliko god "plesalo" na granici, leti van.
  • Imenom i prezimenom, nismo Anonymous 👤: Autor sadržaja stoji iza svog sadržaja, stoga stojite i vi iza svog komentara. Koristimo ime i prezime te pravu email adresu.

Kako koristimo podatke koje ostavljate? Bacite oko na našu izjavu o privatnosti.

Sve ostale komentare ćemo s guštom spaliti, jer ne zaslužuju svoje mjesto na internetu.

Odgovori

Tvoja e-mail adresa neće biti objavljena.

Popularno

Programiranje

Gdje je mobile development danas? “Skoro sve se promijenilo…”

Da je itekako moguće profesionalno rasti radeći samo u jednoj tvrtki, ako imaš dobre uvjete, pokazuje karijera Dine Sulića, koji je prije 9 godina kao student došao u Endavu (nekadašnji Five). S Dinom smo popričali o njegovu profesionalnom putu, dinamičnom svijetu mobile developmenta te kako kroz NowInMobile meetupe planiraju dijeliti znanje u široj mobile zajednici.

Startupi

Sportening je imao skoro milijun korisnika. Unatoč tomu, nisam prikupio investiciju i morali smo pivotirati

Znanje i iskustvo koje je Ivan Klarić stekao građenjem Score Alarma (koji je akvizicijom postao Superology i dio Superbet grupe), a posebno njegovih društvenih funkcionalnosti, planirao je iskoristiti da stvori globalnu društvenu mrežu koja okuplja obožavatelje sporta. Za Netokraciju je ekskluzivno i iskreno opisao što je na tom putu napravio dobro, u čemu misli da je pogriješio, što je naučio u godinu dana koliko je živio u San Francisku gdje je razgovarao s više od 200 investitora te što slijedi za Sportening kao tvrtku i tim.

Tvrtke i poslovanje

Kupujmo hrvatsko: Domaći developerski alati

Zašto domaći osnivači razvijaju sve više proizvoda iz niše developerskih alata - toliko da se predviđa da bi jedan od njih mogao biti sljedeći hrvatski jednorog, i kakve veze s tim imaju - lopate?

Što ste propustili

Gaming

Što se “džemalo” na Game Jamovima u Hrvatskoj?

Global Game Jam (GGJ) u Hrvatskoj poprimio je veće razmjere nego ikad dosad, na tri lokacije okupilo se više od 200 natjecatelja, a pobjedničke videoigre iako su imale zajedničku temu na različite su je načine interpretirale.

Društvene mreže

Gotov recept za dobar TikTok ne postoji, ali slovenski Dunking Devils Studio ima par savjeta

San svakog marketingaša je ostvariti milijunske preglede na TikToku i to organski, ali možemo li uopće utjecati na popularnost TikTokova koje objavljujemo? Slovenski Dunking Devils Studio podijelio je par dobrih taktika.

Zabava i zanimljivosti

Kako Domagoj Pavlešić zarađuje na besplatnoj aplikaciji za ugašenu platformu?

Vrlo je ugodno iznenađenje kada ti sjednu prihodi od aplikacije koju si napravio prije 8 godina, ali kako je to moguće kada platforma za koju je aplikacija napravljena ne postoji već 3 godine?

Intervju

Dan sigurnijeg interneta uz hrvatski CERT: AI čini napade sofisticiranijima, ali će i pomagati u obrani

Obilježavamo Dan sigurnijeg interneta, no sudeći prema podacima hrvatskog CERT-a, Internet je sve osim siguran. U razgovoru s glavnim nacionalnim tijelom za prevenciju i zaštitu od računalnih ugroza otkrili smo kako širenje uporabe AI modela utječe na sigurnost, koje vrste prevara su se povećale za 600% prošle godine te kako dijeljenjem podataka pomažemo napadačima.

Tvrtke i poslovanje

Proglašeni su pobjednici LAQOthona – natjecanja posvećenom održivom razvoju

Nakon više od 250 pristiglih prijava na nagradni natječaj idejnih tech rješenja na temu održivosti, u sklopu Bug Future Showa proglašeni su pobjednički projekti.

Startupi

Sportening je imao skoro milijun korisnika. Unatoč tomu, nisam prikupio investiciju i morali smo pivotirati

Znanje i iskustvo koje je Ivan Klarić stekao građenjem Score Alarma (koji je akvizicijom postao Superology i dio Superbet grupe), a posebno njegovih društvenih funkcionalnosti, planirao je iskoristiti da stvori globalnu društvenu mrežu koja okuplja obožavatelje sporta. Za Netokraciju je ekskluzivno i iskreno opisao što je na tom putu napravio dobro, u čemu misli da je pogriješio, što je naučio u godinu dana koliko je živio u San Francisku gdje je razgovarao s više od 200 investitora te što slijedi za Sportening kao tvrtku i tim.