28. listopada 2015.

1

mspremic@efzg.hr

www.efzg.hr/mspremic

28. listopada 2015. 2

Ekonomski fakultet - Zagreb, Katedra za informatiku › Redoviti profesor (www.efzg.hr/mspremic) › Obrazovanje: dipl. inž, PMF - Matematika, mr.sc. PDS IM,

Dr.sc. EFZG › Gostujući profesor: EF Lj, FER, FOI, EFSA, WU Beč, FKPV Celje

1995 - 2001. Ledo d.d., Agrokor d.d. (programer, sistem analitičar, sistem inženjer, voditelj projekata)

10 knjiga, preko 150 znanstv. i stručnih članaka Član prog. odbora i stalni recenzent radova na 20-ak međunarodnih

znanstvenih konferencija i 10-ak znanstvenih časopisa Voditelj CIO Akademije (www.efzg.hr/cio) Revizor informacijskih sustava (50-ak provedenih revizija IS-a) Voditelj niza većih projekata u raznim industrijama Konzultant (HR, SLO) – IT Governance, IT Strategy, IS Audit, …. ISACA member (CGEIT certifikat), IIA member

28. listopada 2015.

2

Nova (digitalna) ekonomija – krovni pojam za označavanje novih proizvoda, usluga, tržišta i brzorastućih sektora, posebice onih temeljenih na informacijskoj (internetskoj) tehnologiji kao osnovnoj infrastrukturi poslovanja

Integracija (prožimanje) tehnologija (Internet of Things – IoE, web 2.0, cloud, big data, mobilne tehnologije = lokacijske usluge, mobilne aplikacije, 3D print, BYOD …. robotika, nosive tehnologije, …)

Integracija progresivnih koncepcija i poslovnih modela (start-up, korporativno poduzetništvo, ‘disruptive innovation’, ‘design thinking’, ‘agile’, ‘custom’, consumer oriented’)

Integracija koncepcija poslovanja (održiva ekonomija, ‘sharing’ ekonomija)

4

Kako je nastao pojam ‘bug’

Zrakoplov iz 1989. koji je zbog pogreške računala pri utvrđivanju preletnih

koordinata udario u planinu na Antarktici

Slom australskog sustava socijalnog osiguranja 1992. (zbog pogreške u IS

odobrena su neka prava osiguranicima što je porezne obveznike stajalo 126

milijuna australskih dolara)

Britanski umirovljenici su bili godinama prikraćivani za 300 GBP mjesečno radi

pogreške u projektiranju IS

Slom burze tehnoloških dionica iz 1995.

služba socijalnog osiguranja SAD-a isplatila više od 60 milijuna $ na račune oko

8.000 pokojnika u toku 15 godina

Giant Food Inc. – umjesto 25 centi, dioničarima isplaćena dividenda od 2,5 $ -

ukupno više isplaćeno 11 milijuna “nepostojećih” dolara

Stanley Mark Rifkin “provalio” u EFT (Electronic Funds Transfer) sustav velike

banke i napravio transfer 10,2 milijuna $ na račun u Švicarskoj, te kupio 250.000

dijamanata – kazna 8 godina strogog zatvora.

28. listopada 2015.

3

5

• Hakerska pljačka bankomata (.doc)

• DARPA uspješno hakirala automobil (.doc)

• Stuxnet Iran, napad na Estoniju, prodori u kritičnu nacionalnu infrastrukturu -

energetska ili vodoopskrba mreža, nuklearke)

• NATO centar za cyberobranu u Tallinnu

• USA - cyberprostor je 5. vojna domena - kopno, zrak, more i svemir

6 6

Ukupne štete od krađe banaka u SAD-u 100 milijuna USD godišnje – cca 600 milijuna USD se potroši na sprječavanje tih događaja (Italija u 2006. – 65 milijuna USD troškovi krađe banaka, 649 milijuna USD sprječavanje)

(McAfee, 2013) trošak cyber kriminala 1000 milijardi USD (0,2 - 0,4% svjetskog GDP-a, 7% GDP SAD-a)

(Washington Post, 2014) trošak zaštitnih mjera od cyber kriminala – 67 milijardi USD (štete cca 200-njak milijardi USD)

(ISACA, 2015) 97% cyber napada se moglo izbjeći da su kompanije imale učinkovite sustave zaštite www.isaca.org/cobit5info-sec

(ISACA, 2015) 95% kompromitiranih resursa sadržavalo je povjerljive podatke

(ISACA, 2015) šteta od krađa podataka - 174 milijuna USD, 1 krađa podataka košta 5,5 milijuna USD; razlozi krađe - 58% ‘haktivisti’, 39% nemar zaposlenih

(ISACA, 2015) 28 milijardi spam poruka svaki dan

(UK Government, 2014) UK cyber crime loss 27 billion GPB, prevention costs 650 million GPB

(BBC, 2006) ‘most people would disclose their computer password for a chocolate bar’

28. listopada 2015.

4

7 7

1. Cyberkriminal (krađe i kloniranja podataka s kreditnih kartica,

gubitak digitalnog identiteta - phishing, virusi, scareware,

digitalne ucjene, ...) - razina pojedinca

2. Kibernetička (računalna) industrijska špijunaža (stuxnet,

wikileaks, ...) - razina korporacije i institucije

3. CyberWar - kibernetičko (računalno) ratovanje (obrambeno

i napadačko kibernetičko oružje osmišljeno od strane države)

8 8

28. listopada 2015.

5

9 9

10 10

Tradicionalno, središnje kontrolirano i upravljano IT okruženje vs otvoreno okruženje uporabe mnogostrukih (mobilnih) uređaja (BYOD = ‘blurred business and private domains’)

Priroda sigurnosnih incidenata se promijenila – od izdvojenih napada od strane pojedinaca do ciljanih, organiziranih kriminalnih aktivnosti, često i na nacionalnim razinama

‘Cybersecurity is faced with a skills crisis’

Ljudi su najčešća meta cyber napada (malware, phishing, hacking, socijalni inženjering, …)

Najveća prijetnja cyber-sigurnosti – izostanak svijesti i vještina obrane

Nitko nije izuzet od napada i zloporaba (SMEs, ‘neatraktivne’ djelatnosti, …)

Modeli procjene rizika više ne barataju s pojmom ‘vjerojatnost da prijetnja iskoristi ranjivost i …’. Ti su događaji ‘izvjesni’, odnosno ‘neizbježni’ (KADA se dogode, a ne AKO se dogode)

28. listopada 2015.

6

11 11

Pojam cyber-sigurnost se odnosi na holistički model ovladavanja, upravljanja i

osiguravanja funkcioniranja modernog informatičkog okruženja koji uključuje

tehnološke, organizacijske, društvene i ostale aspekte, u odnosu na klasične

procedure informacijske sigurnosti koje su mahom tehnološke orijentirane.

Cyber-sigurnost je pojam koji se fokusira na specifične, visoko sofisticirane metode

napada i pokriva organizacijske, tehnološke i socijalne (društvene) aspekte napada.

Cyber-sigurnost predstavlja sve mjere kontrole i zaštite koje pojedince i kompanije štite

od namjernih informatičkih napada, krađe podataka i incidenata.

Organizacije (i revizori) trebaju prioritetno prevladati razlike pojmovima informacijska

sigurnost i cyber-sigurnost: upravljanje prvim pojmom najčešće ovisi o budžetu,

procjenama i raznim ograničenjima, dok se drugi pojam suočava ne s procijenjenim, ne

s vjerojatnim, nego sa stvarnim prijetnjama vrlo inteligentnih napadača koji imaju

alate, vrhunske tehnološke i ostale vještine, ali i motive i prilike napadati informatičku

infrastrukturu modernog poslovanja s ciljem počinjenja zloporaba.

Kontrola je sustav, što znači da obuhvaća skup uzajamno povezanih (interagirajućih) komponenata koje, djelujući jedinstveno i usklađeno, potpomažu ostvarivanje utvrđenih ciljeva informacijskog sustava.

Kontrola se usmjerava na neželjene događaje ili procese u informacijskom sustavu. Neželjeni događaj može nastati, a proces biti aktiviran zbog neovlaštenih, netočnih, nepotpunih, redundantnih, nedjelotvornih ili neučinkovitih ulaza u sustav.

Kontrole se primjenjuju zato da bi se spriječili (prevenirali), otkrili (detektirali) ili ispravili (korigirali) neželjeni događaji i/ili procesi.

28. listopada 2015.

7

13

Informatičke kontrole razvrstavamo prema sljedećim kriterijima:

• obzirom na način primjene razlikujemo:

– automatske kontrole,

– ručne kontrole,

• obzirom na svrhu zbog koje se poduzimaju razlikujemo:

– preventivne kontrole,

– detektivne kontrole,

– korektivne kontrole,

• obzirom na hijerarhijsku razinu njihova djelovanja razlikujemo:

– korporativne kontrole,

– upravljačke kontrole i funkcijske (procesne) kontrole,

– operativne kontrole,

• obzirom na način funkcioniranja razlikujemo:

– organizacijske,

– tehnološke i

– fizičke.

14

Svaki IS, naravno, obiluje brojnim kontrolama koje su u njega ugrađene, a koje se primjenjuju kako bi se ostvarili ciljevi njegova funkcioniranja i kako bi se njime učinkovito upravljalo

Što su kontrole učinkovitije i dobro oblikovane, manje je vjerojatno da će informacijski sustav biti izložen nekoj prijetnji i da će se neželjeni događaj 'razviti' u rizik za poslovanje

Revizijama IS-a provjeravamo postoji li neka informatička kontrola i u kojoj je mjeri učinkovita

Revizijama IS-a se testiraju razine učinkovitosti informatičkih kontrola, prikupljaju argumenti i dokazi pomoću kojih je moguće procijeniti rizike za poslovanje i dati preporuke za njihovo smanjenje.

28. listopada 2015.

8

15 15

• COBIT 5 – krovni okvir revizije IS-a

• Prema područjima revizije – Upravljanje razvojem IS-a (CMMI, TickIT,...)

– Upravljanje informatičkim uslugama (ITIL)

– Upravljanje ulaganjima u informatiku (Val IT)

– Informatička arhitektura (TOGAF)

– Sigurnost IS-a (ISO 27000, NIST, SANS, IS3, MEHARI, PCI DSS)

– Upravljanje projektima (Prince 2, PMBOK)

– Upravljanje kontinuitetom poslovanja (BS 25999)

• Prema djelatnosti – Bankarstvo (Basel II, PCI DSS – Payment Card Industry Data Security Standard)

– Osiguranje (Solvency I i II)

– Telekomunikacije (eTom, …)

– Sarbanes-Oxley act 404

16 16

• ISACA Security Publications (CobiT 5 = 37 kontrolnih područja - KP, ENISA)

• ISO 27001:2013 (Annex A, 14 KP, 35 KC, 133 SKM) (.pdf)

• US National Institute of Standards and Technology (NIST) Cybersecurity Framework (5 KP, 25 KC) http://www.nist.gov/cyberframework/ (.pdf)

• SANS Institute Critical Controls (4 KP, 20 KC)

• (http://www.sans.org/critical-security-controls (.pdf)

28. listopada 2015.

9

17 17

18 18

1. Ovladavanje (governance) primjenom informatike (IT-a) u

poslovanju:

• procjena, usmjeravanje, nadzor (engl. Evaluating, Direction,

Monitoring, EDM).

2. Upravljanje (management) primjenom informatike (IT-a) u

poslovanju:

• Usklađivanje, planiranje i organiziranje (engl. Align, Plan and

Organize, APO),

• Nadzor, provjera i procjena (engl. Monitor, Evaluate and

Assess, MEA),

• Isporuka, usluga i podrška (engl. Delivery, Service and Support,

DSS),

• Izgradnja, stjecanje i primjenjivanje (engl. Build, Acquire and

Implement, BAI).

28. listopada 2015.

10

19 19

Procjena, usmjeravanje, nadzor (engl. Evaluating,

Direction, Monitoring, EDM)

EDM 1: osiguravanje i održavanje okvira vladanja informatikom,

EDM 2: osiguravanje koristi za poslovanje,

EDM 3: osiguravanje optimizacije rizika,

EDM 4: osiguravanje optimizacije resursa,

EDM 5: osiguravanje transparentnosti.

20 20

Usklađivanje, planiranje i organiziranje (engl. Align, Plan and

Organize, APO),

APO 1: upravljanje radnim okvirom IT menadžmenta,

APO 2: definiranje strateškog IT plana,

APO 3: definiranje informacijske arhitekture,

APO 4: upravljanje inovacijama,

APO 5: upravljanje portfeljem,

APO 6: upravljanje budžetom i troškovima,

APO 7: upravljanje ljudskim resursima,

APO 8: upravljanje odnosima,

APO 9: upravljanje uslugama,

APO 10: upravljanje dobavljačima,

APO 11: upravljanje kvalitetom,

APO 12: upravljanje rizikom i

APO 13: upravljanje sigurnošću.

28. listopada 2015.

11

21 21

Nadzor, provjera i procjena (engl. Monitor, Evaluate and

Assess, MEA):

MEA 1: nadzor, procjena i ocjena performansi i

sukladnosti,

MEA 2: nadzor, procjena i ocjena sustava internog

nadzora,

MEA 3: nadzor, procjena i ocjena vanjskih zahtjeva.

Isporuka, usluga i podrška (engl. Delivery, Service and

Support, DSS): DSS 1: upravljanje operacijama,

DSS 2: upravljanje zahtjevima usluga i incidentima,

DSS 3: upravljanje problemima,

DSS 4: upravljanje kontinuitetom,

DSS 5: upravljanje uslugama sigurnosti i

DSS 6: upravljanje provjerama poslovnog procesa.

22 22

Izgradnja, stjecanje i primjenjivanje (engl. Build, Acquire and

Implement, BAI)

BAI 1: upravljanje programima i projektima,

BAI 2: upravljanje definiranim zahtjevima,

BAI 3: upravljanje pronalaženjem rješenja i izgradnjom,

BAI 4: upravljanje dostupnošću i kapacitetom,

BAI 5 :upravljanje mogućnostima mijenjanja organizacije,

BAI 6: upravljanje promjenama,

BAI 7: upravljanje prijelazima i prihvaćanjem promjena,

BAI 8: upravljanje znanjem,

BAI 9: upravljanje imovinom i

BAI 10: upravljanje konfiguracijom.

28. listopada 2015.

12

24

1. Revizija pristupa informacijskom sustavu

2. Revizija pohranjenih podataka i sigurnosti podataka u

prijenosu

3. Revizija provedenih transakcija

28. listopada 2015.

13

25

Rizici za poslovanje? › Neovlaštena osoba će imati pravo pristupa sustavu

› Pojedinac će dobiti prekomjerna prava pristupa sustavu (podacima, aplikacijama, izvještajima, aktivnostima, ….)

Organizacijske i tehničke kontrole koje treba testirati: › Procedura dodjele prava pristupa (zahtjev –autorizacija –dodjela prava)

› Procedure stalnog nadzora korisničkog pristupa

› Korisnici (vanjski, generički, ‘dormant accounts’, ‘outsourceri’, …)

› Mijenjanje prava pristupa, brisanje/onemogućavanje prava pristupa

› Postavke lozinki

› Procedure kod pogrešne prijave (‘account lockout’)

› ‘role’ dodijeljene korisnicima

› Moguće zloporabe identiteta korisnika

26

1. Logičke mjere pristupa IS-u › Osigurati postojanje primjerenih logičkih kontrola pristupa

› Identifikacija vs autorizacija korisnika

› Osigurati logičke kontrole pristupa informatičkoj opremi koja je privremeno bez nadzora

› Dodjelu, izmjenu i ukidanje korisničkih računa i prava pristupa provoditi na temelju dokumentirane poslovne potrebe

› Dodjelu korisničkih računa i prava pristupa provoditi temeljem minimalnih potrebnih prava za obavljanje radnih zadataka.

› Provoditi periodičku provjeru usklađenosti dodijeljenih korisničkih računa i prava pristupa s poslovnim potrebama.

› Svakom korisniku IS dodijeliti poseban korisnički račun

› Identificirati i primijeniti minimalne standarde svojstava lozinki za pristup pojedinim resursima IS

› Čuvati tajnost lozinke. Lozinku bi trebala znati isključivo osoba koja njome potvrđuje svoj identitet.

› Lozinke pamtiti, nikad ih zapisivati na papir ili u elektroničke datoteke.

› Izmijeniti lozinke na resursima IS koje su inicijalno postavljene od administratora sustava ili proizvođača opreme.

› Osigurati da su lozinke u sustavima pohranjene u nečitljivom obliku (kriptiranje)

28. listopada 2015.

14

27

1. Logičke mjere pristupa IS-u

› Identifikacija vs autorizacija korisnika

› Fizička identifikacija: onim što imaš (predmet, biološka osobina

- biometrija)

› Logička identifikacija: onim što znaš (ID, PIN, korisničko ime,

lozinka)

› Autorizacija: ‘role’ koje korisnici imaju u sustavu

› Kontrole i zaštita – upravljanje lozinkama, složenost i duljina

lozinke, ponavljajuće lozinke, neuspješne prijave, …

› Zaštita prenesenog povjerljivog sadržaja mrežom (FTP, SCP,

secure FTP, S-HTTP, SSL, IPsec, ..)

› FTP vs SCP http://www.hypexr.org/linux_scp_help.php

› HTTP vs S-HTTP https://www.instantssl.com/ssl-certificate-

products/https.html

› TLS (Transport Layer Security) i SSL

https://www.instantssl.com/ssl.html

28

Rizici za poslovanje? › Predstavljaju li pohranjeni podaci stvarne poslovne događaje?

› Postoji li mogućnost da su neki podaci ‘nasilno’ umetnuti, uz zaobilaženje ili neučinkovitost kontrolnih mehanizama?

› Jesu li podaci u prijenosu sigurni i ‘otporni’ na zloporabu?

› Predstavljaju li sigurnosne postavke opreme i računalne mreže rizik za poslovanje?

Organizacijske i tehničke kontrole koje treba testirati: › Pregled sigurnosnog okruženja pohrane podataka (sigurnosne postavke baze

podataka – DBMS-a)

› Pregled kontrolnih mehanizama koji se koriste pri prijenosu podataka (računalnim mrežama) – kriptografski protokoli, scp, tls, https, ssl, itd.

› Pregled sigurnosnog okruženja računalne mreže (logička sigurnost i pristup ključnoj opremi kroz koju ‘prolaze’ podaci, kontrole pristupa mreži izvana, kontrola ulaza u mrežu, fizička i logička razdvojenost ključnih dijelova računalne mreže)

› Zaštita pohranjenih podataka koji se odnose na ranije transakcije (pristup bazi podataka, kriptografija, itd.

28. listopada 2015.

15

29

Nadzor rada na sustavu

› Rizici za poslovanje?

Neželjeni događaj nećemo otkriti

Organizacijske i tehničke kontrole koje treba testirati:

› Organizacijski akti kojim je uređeno ovo područje (raspodjela

dužnosti i odgovornosti)

› Pregled ‘log datoteka’ (‘audit vault’)

› Sadržaj syslog datoteka

› Pregled otvorenih portova mreže

› Procedure stalnog nadzora mrežnog prometa i svih aktivnosti

› Sigurnosne procedure (‘okidači’ neželjenog događaja)

› Izvještavanje

30

2. Sigurnost računalnih mreža › Ograničiti pristup konfiguracijskim sučeljima mrežnih

uređaja, poput preklopnika i usmjerivača, na isključivo za to ovlaštene osobe

› Voditi računa o konfiguraciji ključnih uređaja i sigurnosnih protokola

na njima (DMZ, particija mreže, VPN, tuneliranje, FTP server, DB server)

› Primjereno zaštititi računala i poslužiteljske servise subjekta kojima je

omogućen pristup putem javnih mreža, zaštititi poslužitelj internetske

stranice primjenom vatrozida ili sustava za detekciju neovlaštenog

pristupa (IDS) + sustava za prevenciju neovlaštenog pristupa (IPS)

› Računala i poslužiteljske servise kojima je omogućen pristup putem javnih mreža izdvojiti u mrežni segment odvojen od LAN-a

› Primjereno zaštititi podatke u prijenosu između udaljene lokacije i točke pristupa računalnoj mreži subjekta (TLS - SSL, IPsec)

› Osigurati izradu operativnih i sistemskih zapisa o aktivnostima korisnika

udaljenog pristupa (syslog, log management)

› Udaljeni pristup mreži (remote access)

› Pristupne liste za VLAN-ove (VLAN access list) (.pdf)

28. listopada 2015.

16

31

• Računalni virusi (malware) – zlonamjerni računalni programi, napisani i

distribuirani s namjerom da naprave štetu nad računalnim resursima

• phage, macro, trojanski konji, logičke bombe, crvi

• rogue adware - zlonamjerni oglašivački program, ransomware

• 'off-the-shelf' malware - prodaja virusa, trojanaca i crva koje su razviti sami

hakeri; primjer je iznajmljivanje botneta za upotrebu u DDoS

• Botnets (command and control centers C&C) = mreža tisuća ili milijuna

računala (uređaja) pod kontrolom napadača koja se koriste kao sredstvo

zloporabe

• Botnets = metoda napada na računalne resurse koja se koristi za točno

određenu vrstu napada (slanje spam poruka, online oglašavačke zloporabe,

pokretanje i izvođenje DoS napada, podržavanje phishing napada,

anonimiziranje mrežnog prometa napadača, itd.)

• Reactor Mailer botnet – 220.000 zaraženih računala pod kontrolom napadača

slalo 180 milijardi spam poruka dnevno (60% spama u svijetu, 2009)

• Zeus botnet – key logger softver koji krade pristupne podatke (3,6 milijuna

računala)

32

Prisluškivanje, njuškanje, presretanje, napadi radi izmjene sadržaja, onemogućavanje

rada - DoS, DDoS, ‘back door’, lažno predstavljanje – ‘spoofing’, ‘phishing’, man-in-the-

middle, napadi pogađanjem lozinki - brute force attack, dictionary attack

DDoS napad: slanje velikog broja zahtjeva za radom prema računalnim resursima

(poslužiteljima) koji uzrokuje pad njihova rada

Moguće metode zaštite: parovi IP i MAC adresa, praćenje mrežnog prometa, IDS,

anomaly detection IDS, aktivni IDS – promjena mrežne konfiguracije uslijed napada,

zabrana IP adrese s koje dolazi napad, host-based IDS, audit vault, pregled logova,

pregled aktivnih portova (TCP i UDP portova) TCP napadi, incident management,

problem management

Zaštita - sigurnosno ojačavanje uređaja, OS-a, konfiguracija mrežnih protokola i uređaja

(routeri, gatewayi, ftp serveri, DB serveri, DNS serveri, AD), poboljšanje zaštite aplikacija i

baza podataka, fizičke barijere pristupa opremi, particije mreže, penetration testing

Kontinuirani nadzor mrežnog prometa (audit vault, log management)

Kriptografski standardi - PKIX, SSL, TLS, CMP, s/mime, SET, SSH, PGP, HTTPS, s-

HTTP, IPsec; digitalni ključevi - životni ciklus

28. listopada 2015.

17

33

• Online krađa identiteta – skimming, phishing attack, keystroke loggers

• Vrijednost ukradenih podataka na crnom tržištu - 0,40-20 USD za brojeve kartica, 10-

100 USD za brojeve računa

• http://www.bankinfosecurity.com/articles.php?art_id=1732

• Prijevara 419 (419 Nigerian scam)

• ‘Phishing’ napad: slanje (e-mailom) lažnih poruka koje vrlo slične pouzdanim izvorima, a

koje imaju cilj krađu identiteta, odnosno pristup osjetljivim podacima u svrhu zloporabe

• Industrijska špijunaža

• Zaštita kritične infrastrukture (SCADA - supervisory control and data acquisition)

• Napadi na podatke i aplikacije - socijalni napadi – ‘phishing’, pristup podacima, zaštita

podataka, klasifikacija podataka, kontrola pristupa podacima

• SQL injection attack

• SELECT UserId, Name, Password FROM Users WHERE UserId = 105 or 1=1

• SELECT * FROM Users WHERE Name ="" or ""="" AND Pass ="" or ""="„

34

Jesu li podaci korektno obrađeni i korišteni (prijenos salda-konti – glavna knjiga)?

Jesu li su u transakcijskim bazama vidljivi učinci provedbe transakcija (promjene

nastale izvršavanjem aplikacija – poslovnih procesa)?

Ima li duplih transakcija (duplih faktura, duplih kupaca i ostalih matičnih podataka)?

Ima li praznina među evidencijama podataka?

Prati li klijent neuobičajene transakcije? Može(te) li otkriti zloporabu?

Kada ste posljednji put provjerili rade li određeni algoritmi pomoću kojih se

automatizmom provode poslovne transakcije točno i pouzdano?

Postoji li mogućnost da netko neovlašten prati/mijenja/unosi podatke i programe?

Je li moguće da uređajima i ostaloj IT-i može pristupiti netko neovlašten, mijenjati

konfiguracije i ugroziti prijenos podataka?

Je li prijenos podataka među za poslovanje važnim aplikacijama siguran (koriste li se

sigurnosni protokoli, može li netko presresti i promijeniti podatke)?

28. listopada 2015.

18

35

Otkrivanje višestrukih pojava – npr. isti račun plaćen dva puta, isti redni broj transakcije…

Pronalaženje dva ili više plaćanja s istim brojem računa i dobavljačem a različitim djelatnikom koji izvršava plaćanje

Pronalaženje duplikata - duplih faktura, duplih matičnih podataka dobavljača, ….

Pregled događaja po vremenskom kriteriju – knjiženja nakon određenih datuma, knjiženja na datum 31.12., evidencija događaji nakon radnog vremena, …..

‘Gap detection’ – pronalaženje praznina radi brisanja transakcija

Spajanje datoteka - Prodavač koji nije ispostavio niti jedan račun

ali ima realizaciju

Pronalaženje prijevara – zaobilaženje poslovnih pravila (Benfordov

zakon)

Traženje nasilno umetnutnih transakcija – Benfordov zakon

› Alati ispitivanja: ‘data mining’, slojevitost, stratifikacija, traženje iznimki

(praznina, duplikata, ..), uzorkovanje, ..

› Potvrđivanje ispravnosti i cjelovitosti podataka

36

Brojevi se trebaju odnositi na isti ili sličan uzorak Brojevi ne smiju imati unaprijed određena minimalna ili

maksimalna ograničenja Brojevi bi trebali nastati prirodnim slijedom, odnosno

ne bi trebali biti dodjeljivani prema nekom algoritmu (‘assigned numbers’)

Zakon se ne odnosi na brojeve nastale pod psihološkim utjecajem

Raznovrsne brojčane vrijednosti u skupu › kompletnost uzorka

Minimalni utjecaj psiholoških činitelja › npr. iznosi isplata na bankomatima, cijene u

supermarketima, prodajne cijene dionica – NE! › iznosi računa u supermarketima, ukupan dnevni

promet na burzi, platne transakcije u platnom prometu – ovisno o tipu(?) – DA!

28. listopada 2015.

19

37

Dijagramski prikaz rezultata – usporedba s Benfordovom distribucijom

očekivana vrijednost (expected) stvarna vrijednost (actual)

38

Zašto ima “viškova” znamenki 1,2 i 5???

Da li su limiti na autorizaciju od strane višeg menadžmenta postavljeni na iznose isplata preko npr. 3.000 i/ili preko 6.000???

– da li djelatnici izbjegavaju poslovna pravila? Da li isplaćuju

iznose bez pokrića (iznosi manji od 3.000)? Kome? Kolegi iz

smjene?

– da li su “viškovi” rezultat psihologije (isplate zaokružene na

100 ili 500) – npr. isplate na bankomatima?

– da li su “viškovi” rezultat “normalnog” poslovnog procesa?

Npr. možda se promatrane isplate odnose samo na

određene klijente koji imaju određene kupovne navike (npr.

umirovljenici, studenti... – češće isplate iznosa 100, 200, 500,

1000 kuna)?

– odgovor: BZ First Two/Three Digit testovi i ostale analize (tko,

ponavljajuće vrijednosti – npr. 2.900)

28. listopada 2015.

20

39

Benfordov zakon - primjer

Primjer 2: First Two Digits Test

Višak znamenki 27, 28 i 29, manjak znamenki 30, 31, 32

40

Pranje novca/money laundry

› npr. identificiranjem računa s velikim prosječnim vrij. transakcija/prometa - često mali broj transakcija u kratkom vremenskom razdoblju

› sumiranje/totals u tablici prometa - duplicate key detection (broj računa) + suma (iznos transakcije)

28. listopada 2015.

21

41

Pranje novca/money laundry

› traženje velikih transakcija sa zaokruženim iznosima (npr. za zaokružene na 1000 => WHERE iznos_transakcije%1000=0) - ostatak dijeljenja/modul

› identifikacija velikih uplata - pomoću selekcije (WHERE) i raslojavanja (stratification) podataka

› identifikacija više platnih računa za istu osobu - duplicate key->exclusion

42

Copyright © dr. Mario Spremić

mspremic@efzg.hr

www.efzg.hr/mspremic

Hvala na pozornosti

Pitanja, komentari, prijedlozi, sugestije