Fraud Management Nuovi minacce per la sicurezza aziendale Paolo Chieregatti Security Specialist paolo.chieregatti@attachmate.com +39 3485650716
Agenda Insider Crime & Insider Threats : un fenomeno purtroppo in crescita Un approccio innovativo Conclusione 2
Fraud Management - questions E possibile efficientare il costo delle frodi interne? E possibile ridurre il rischio aziendale correlato alle frodi? E possibile eliminare la fuga di informazioni riservate? E possibile attivare una politica di prevention detection & investigation per contrastare gli «insiders»? 3
Alcuni dati 5% Stima impatto delle frodi sul fatturato annuo 1.000.000 18 Valore in $ del danno medio causato da una frode su 5 Mesi di tempo medio trascorso prima che una frode sia scoperta (*) Dati tratti da Report to the Nations on Occupational Fraud and Abuse 2012, ACFE 2012 Global Fraud Study 4
Alcuni dati. 43,3% 1% 0% 1,1% soffiate confessioni confessioni in Europa controlli IT (*) Dati tratti da Report to the Nations on Occupational Fraud and Abuse 2012, ACFE 2012 Global Fraud Study 5
Come vengono attualmente scoperte le Frodi (*) Percent of Cases IT Controls Confession Notified by Police Surveillance/Monitoring External Audit Document Examination Percent of Cases Account Reconciliation By Accident Internal Audit Management Review Tip 0.0% 5.0% 10.0% 15.0% 20.0% 25.0% 30.0% 35.0% 40.0% 45.0% (*) Dati tratti da Report to the Nations on Occupational Fraud and Abuse 2012, ACFE 2012 Global Fraud Study 6
Triangolo della frode Il triangolo di Donald Cressey Pressione finanziarie Pressione professionale Vizi / stili di vita eccessivi E per una giusta causa In fondo non danneggio nessuno Sono stato obbligato Opportunità Mancanza di controlli Assenza di rischi Connivenza con attori esterni 7
Tipologie di insiders Unaware insiders Low profile Basso rischio Rischio Medio High profile ALTISSIMO rischio 8
Evoluzione della frode Fase Attività corporate Possibili azioni Raccolta informazioni Nessuna visibilità Prevention : attraverso il meccanismo dei red flag Azione Nessuna visibilità Detection : Segnalazione di un attività sospetta Reazione Azioni interne di acquisizione di tutte le evidenze ed i documenti Investigation : verifica puntuale dell attività fraudolenta 9
Alcuni casi eclatanti : data leakage According to the Daily Telegraph, the tax authorities have obtained details of every British client of HSBC in Jersey based on information provided by a whistleblower. It is reported that the 4,000 offshore account holders 10
Alcuni casi eclatanti : Italia Banca Akros - Il Sole 24 Ore 24/3/2012 Danno economico a 6 zeri Rapporto esclusivo del cliente con il banker Frode dal 2005 al 2010 Bonifici falsi verso c/c offshore Nessun controllo interno alla banca 11
Fraud & Compliance AML Risk Manager - PEP FACTA FFI : Foreign Financial Institution Garante 2 FATF recomandation 12
Agenda Insider Crime & Insider Threats : un fenomeno purtroppo in crescita Un approccio innovativo Conclusione 14
Un approccio innovativo.. Basato sulla user experience Con un motore di correlazione di user behaviour 15
e-mail DLP Router/Switch 100% Record & Playback Real-time Alerts Multi-factor Rules Complete Audit Trail Encrypted Digitally signed Forensically sound Admissible evidence ~25%? Mainframe iseries UNIX Unisys WWW HTTP(S) Database SQL Xxxxxxxxxxxxx Xxxxxxxxxxxxxx Xxxxxxxxxxxxxxxx xxxxx Xxx ---- xxxxxx Xxxxxxxxx xx xxx xxx Xx X Xxxxxxxxxxxxxx xxxxxxxxxxx Xxxxx xxx x Xxxxxxx Xxxxxxxxxxxxx Xxxxxxxxxxxx Xxxxxxxxxxxxx xxxxxxxx Xx Xxxxxx x xxxxx Xxxxxx Xxxxxxxxxxxxxxxx x xxxxxxxxxxxxx xxxx x x x xxxxxxxx: Xxxxxxxxxxxxxx Xxxxxxxxxxxxxxxx Xxxx xxxxx xxx xxxxxx xxxxxxxx 16
Enterprise Fraud Management Insider Threat Employees Partners Customers Record & Playback Real-time Alerts Multi-factor Rules Complete Audit Trail Investigation Center See it Record it Analyse it. Luminet catching the bad guys and beating insider threat Encrypted Digitally signed Forensically sound Admissible evidence Mainframes Log files Application Servers Log files Web Servers Log files Database Servers Log files 17
Fraud Solution L ambiente da monitorare Network Switch Sorgenti esistenti per i dati Mainframe Log Files Utenti esterni ebusiness clienti Utenti interni Utenti Business Utenti IT privilegiati Web Server AS 400 Client/ Server Database Server Databases Tabelle di riferimento 18
Fraud Solution Auditor Responsabili Compliance Investigatori di Frodi Visual replay Ricerche in stile Google Reports Ricerche in stile Google Alllarmi Casi Profili Gli utenti L ambiente da monitorare Network Switch Sorgenti esistenti per i dati Mainframe Log Files Utenti esterni ebusiness clienti Utenti interni Utenti Business Utenti IT privilegiati Web Server AS 400 Client/ Server Database Server Databases Tabelle di riferimento 19
Fraud Solution Gli utenti di Luminet Auditor Responsabili Compliance Investigatori di Frodi Visual replay Ricerche in stile Google Reports Ricerche in stile Google Alllarmi Casi Profili LUMINET Search Engine Analytic Engine Investigation Center & Case Manager Visual Audit Trail Analyzed Data Data Collector & Consolidator Ambiente da monitorare Network Switch Sorgenti esistenti per i dati Mainframe Log Files Utenti esterni ebusiness clienti Utenti interni Utenti Business Utenti IT privilegiati Web Server AS 400 Client/ Server Database Server Databases Tabelle di riferimento 20
Verifiche a posteriori È possibile effettuare ricerche Google-like di qualsiasi testo nel contenuto delle sessioni 21
Funzionalità di Alert 22
Red Flag High Profile Insiders 23
Use cases : samples rules Accesso anomalo in inquiry ad account VIP Accesso fraudolento ad account per ottenere/alterare dati dopo l orario di lavoro Accesso da IP address diversi con utilizzo dello stesso User Accesso dallo stesso IP address con User differenti Attività sospetta su c/c dormienti (banche) Anomali trasferimenti nell arco di 1-3 mesi con cifre significative non su conti correnti in white list 24
Use cases sui diversi mercati Utenti che si loggano con privileged users per disabilitare controlli applicativi e cambiare informazioni sensibili. Per poi ripristinare la situazione iniziale Utenti che utilizzano user di altri per bypassare la separation of duties ed accedere ad informazioni riservate Utenti che modificano posizioni debitorie/creditorie nei confronti della pubblica amministrazione Accesso a informazioni di utenti VIP per monitorare comportamenti di gioco (in ambito gaming) Accesso ad informazioni riservate su progetti di ricerca particolarmente strategici e segreti (sector pharma e heathcare) 25
Transforma l attività di monitoring in azione intelligente Vede l attività in real-time Registra la user experience per poterla anche rivedere in modalità play-back Analizza pattern sospetti per un azione rapida in near real-time Prevention Detection Investigation 26
Quali strutture vanno a beneficiare di una soluzione di Enterprise Fraud Management? 27
Agenda Insider Crime & Insider Threats : un fenomeno purtroppo in crescita Un approccio innovativo Conclusione 28
Benefici Pro-active prevention Riduzione del costo legato alle frodi con ROI quantificabile Risk Mitigation Detection-Investigation : quantificabile in termini di ore/giorni 29
30
Thank You Grazie 2008 Finsphere Corporation August 31, 2008