29.1.08

Dobro informirani insider

Otkrivanje velikog gubitka u Societe Generale i dovođenje tog gubitka u konetkst računalne prijevare, najveći je događaj u informacijskoj sigurnosti u ovoj godini (a s obzirom da je vezan za događaje u 2007. možemo ga naknadno uključiti u inventuru značajnih događaja za 2007.). Societe Generale, druga po veličini francuska banka, otkrila je prije desetak dana gubitke na jednom segmentu poslovanja dionicama u visini od 4.9 milijardi Eura. Gubici su ostvareni tokom 2007. i 2008. godine. Prema prvim izvještajima, krivac za ove gubitke je Jerome Kerviel, zaposlenik odjela banke koje je poslovalo na tržištu dionoica. Banka je 27.01.2007. objavila prvi detaljniji prikaz tijeka prijevare.


Prema tumačenju banke, nekoliko je faktora utjecalo na izvedbu scenarija prijevare.


Prvo, Kerviel je bio dobro informirani insider. Ne samo da je poznavao detalje poslovnog procesa u kojem je sudjelovao, nego je bio veoma upućen u kontrolne aktivnosti kojima se taj proces nadzire. Naime, do 2005. godine Kerviel je proveo pet godina u sektoru koji je bi nadležan za nadzor "tradera" i, bez obzira na sofisticiranost sustava upravljanja rizicima koji je u slučaju Societe Generale često istican kao vrhunski, upoznao je slabe točke tog nadzora.


Svoje znanje je iskoristio 2007. godine, tada već nekoliko godina zaposlen kao "trader" specifičnim instrumentima dioničkog tržišta, a drugi ključan faktor je Kervielovo poznavanje pristupnih ovlasti zaposlenika iz "back-office" odjela svoje službe. Otkrivanje i korištenje ovih ovlasti – nedvojbeno nedozvoljena aktivnost – preduvjet je trećeg faktora scenarija prijevare.


Kerviel je, koristeći tuđe ovlasti, prijavljivao nepostojeće, "pozitivne", transakcije čime je stvorio protutežu svojim neuspješnim poslovima, a sustav praćenja rizika nije takve izvještaje prepoznavao kao krivotvorinu. Time je krug zatvoren. Banka se, očigledno, pouzdala u sustav praćenja rizika koji je, vjerujem, veoma dobro predviđao sve vanjske – tržišne – komponente rizika, no nije predvidio mogućnost da netko iznutra potkopa njegovu stabilnost. Nadalje, dinamika procesa provjere aplikativnih kontrola i unutarnje revizije poslovanja prekasno je odgovorila na nastale događaje.


Čitajući prekjučerašnji izvještaj banke posebno upada u oči jednostavnost kojom se opisuje zloupotreba korisničkih ovlasti. Tek u dijelu jednog odlomka teksta nabraja se, među ostalim, i zloupotreba tuđih pristupnih prava, gotovo kao da se radi o uobičajenoj i razumljivoj praksi. Ovaj slučaj još jednom pokazuje da je kompleksna problematika upravljanja pristupnim pravima jedan od najvažnijih mehanizama kojim se štiti od insiderskih prijetnji. Ja li banka mogla što napraviti? Kerviel je, po svemu sudeći, do tuđih pristupnih prava došao na nedopušten način (sve opcije su moguće: od kopanja po ladicama svojih kolega pa do instalacije keylogger programa ili uređaja). Banka je trebala, prije svega, na vrijeme prepoznati potencijalne posljedice i u spomenuti segment poslovanja ugraditi mehanizme jake autentikacije koji bi jamčili fizičku prisutnost "prave" osobe koja provodi transakcije u "back-office" sustavu. Nadalje, ako je točno da je Kerviel intenzivno boravio u uredu (nakon radnog vremena, preko vikenda i praznika), sustav praćenja događaja je trebao zabilježiti takve indikatore i potaknuti dodatnu pravovremenu istragu. Sve spomenute mjere podrazumijevaju dodatni proračun i dodatne napore kod primjene, no dobra procjena rizika je trebala pokazati na opravdanost takvih mjera.


U ovom se slučaju ističe i činjenica da Kerviel nije ostvario financijsku dobit, što je možda sasvim točno. No, insiderski napadi nisu uvijek motivirani financijskom dobiti (iako najčešće jesu). Potencijalni motiv može biti želja za dokazivanjem, a s obzirom de se transakcije koje je Kerviel obavljao ponegdje nazivaju i klađenjem ("At some point last year, bank executives say, Mr. Kerviel started using futures on the European stock indexes to place huge bets that European markets would continue to rise", Wall Street Journal) ne bi me začudilo da se ovisnost o klađenju identificira kao ključni motiv.


Slučaj Societe Generale nam je na jedan plastičan način ukazao na činjenicu da su informacijske tehnologije srasle s poslovnim procesima. Osim pozitivnih perspektiva i potencijalnih dobitaka, informacijske tehnologije uz sebe vežu i brojne rizike. U ovom će slučaju posljedice svakako osjetiti Societe Generale i njihovi dioničari (morali su obaviti dokapitalizaciju kako bi pokrili gubitke, postali su, kako se čini, ranjivija meta za preuzimanje, a posljedice po reputaciju su očite). No, prema nekim analizama, paničan pokušaj spašavanja onog što se spasiti može utjecao je i na prošlotjedni pad vrijednosti dionica na svjetskim burzama (što je iz Societe Generale demantirano). Ako se potvrdi točnost takvog razvoja događaja, prvi put će se pokazati da informacijski propusti u jednoj kompaniji mogu djelovati na šire okruženje, a ne samo na vlasnike ili dioničare same kompanije. Zbog ovisnosti o klađenju?

Nema komentara: