Computer Forensic támogatás a csalásfelderítési eseteknél 2012. október 2.
Alapvetés Amit ma jogszerűen lehet Megelőzés: Szerződési biztosíték kérése Biztosítás Adatellenőrzés KHR GIRinfO Szemle Jogérvényesítés 2 Ügyfelek felé: Feljelentés Behajtás Végrehajtás Eszköz visszaszerzés Cégen belül Belső csalásvizsgálat Munkaügyi / polgári per és amit jogszerűen nem Megelőzés: Feketelisták állítása Ügyfelek prejudikálása és diszkriminálása személyes és különleges adat alapján Ügyfelek adatainak megosztása az adatvédelmi előírásokkal ellentétes módon Gazdasági verseny korlátozása Titoksértés (üzleti-, bank-) Jogérvényesítés - Önbíráskodás - Ügyfelek jogérvényesítéssel kapcsolatos adatainak megosztása jogszabályi előírásokkal ellentétes módon
Alkalmazási terület Lízingbe vevők (külső) Lízingcégen belül (belső) Felderítés és megelőzés: computer forensic és IT audit segítségével Vállalaton belüli információs csatornák vizsgálata Finanszírozási folyamatba épített belső kontrollok auditja Hiányzó belső kontrollok felderítése és beépítése a folyamatokba Belső csalásfelderítés Logelemzés E-Discovery Report on factual findings Scoring rendszer kiépítése / felülvizsgálata Scoring rendszer auditja Adathelyesség kontrollok beépítése a folyamatba E-Discovery Report on factual findings Chain of custody Szakértőként való részvétel az eljárásban 4 Preventív Szolgáltatás iránya Detektív
A belső megelőzés módszertana és eszközei Belső ellenőrzés működtetése Szervezeti: rendszeres belső auditok Technikai: logok rögzítése, figyelemmel kísérése Data analytics Rendszertelenségek kiszűrése, vizsgálata Whistle blowing hotline Anonim bejelentővonal korrupció, visszaélés esetére Háttérellenőrzés új munkavállalók esetében Beosztástól függően hatósági erkölcsi bizonyítvány kérése Korábbi referenciák ellenőrzése Rokonsági kapcsolatok feltárása Jóváhagyási folyamatok transzparenciájának biztosítása Jóváhagyási kontrollpontok kiépítése Jóváhagyási folyamatok bevonása a belső audit folyamatokba 5
A külső megelőzés módszertana elkövetési minták Elkövetők Eszközök Magánszemély Valós / stróman Fiktív Cég Valós Működő / Csődeljárás közelében, alatt / Tulajdonosváltás alatt Fiktív Hamis / lopott adatokkal alapított valós cég / Nem létező cég Gépkocsi Lopott Fiktív Túlárazott Bérelt Alkatrész Totálkáros v. törött Egyéb eszköz Lopott Fiktív Túlárazott Többszörösen finanszírozott Jutalék v. kontroll Önrész Adatellenőrzés Adatszolgáltatás Eszköz Monitoring A finanszírozási csalás a finanszírozási folyamat elemeire épül Forrás: Kriminalisztikai kutatás a finanszírozási csalások során alkalmazott módszerek megismerése érdekében (készítették: Balogh Éva, Kollár Zsolt; CORDI Kft; Budapest, 2007. december 6
A külső megelőzés főbb eszközei Scoring, KHR és Data Analytics Elvárások a scoring rendszerrel kapcsolatban Jogszerűség Ne sértsen adatvédelmi-, versenyjogi-, fogyasztóvédelmi-, titoksértési korlátozásokat, tilalmakat Időszerűség A kockázatok a kockázat azonosításától elérhetőek legyenek a használók számára Megbízhatóság Az adatok megbízhatóak és kellően homogének legyenek Erősségek Karbantartott, hiteles adatbázis Jogszabályi háttere biztos Jelentős volumenű adatok KHR SWOT Gyengeségek Lassú Merev Általános Szocio-demográfiai adatok Jövedelmi adatok Fedezettel kapcsolatos adatok Kockázati scorecard Különös Elkövetők, elkövetési helyszín Finanszírozott eszközök Kockázati pontok (folyamathoz kapcsoltan) Jogszabályi háttere stabil Működő és ismert alkalmazás Lehetőségek Data Analytics Elkövetési minták rögzítése, elemzése Adatszolgáltatás hónapokkal késik, nem időszerűek az adatok Nincs visszatartó ereje finanszírozási csalások esetén Veszélyek 7
A belső felderítés módszertana és eszközei Belső ellenőrzés működtetése Szervezeti: rendszeres belső auditok végzése Technikai: logok ellenőrzése Bejelentővonalon jelentett esetek kivizsgálása Whistleblowing hotline Esettanulmányok és lessons learned becsatornázás a megelőzésbe 8
A külső felderítés módszertana és eszközei Felderítés E-discovery Computer forensic támogatás Report on factual findings Chain of custody Szakértőként való részvétel az eljárásban Rendőrség / hatósági nyomozás segítése feljelentés adatszolgáltatás bizonyíték szolgáltatás 9
Megfontolásra ajánljuk: A finanszírozási folyamat és scoring rendszer auditja: scoring szoros kötése a folyamathoz scoring rések azonosítása kezeletlen kockázati pontok feltárása és a kezelésük a scoring rendszerben Azon jogszabályi feltételeknek a megvizsgálása, ami alapján (ld. ábra) hashekkel kockázati besorolások párosítása történhetne a finanszírozó cégek között egy köztes szerv beiktatásával, ill. homogén scoring rendszer lenne alkalmazható (meglévő mellett/helyett): adatvédelem titokvédelem versenyjogi tilalmak fogyasztóvédelem Törvénymódosítási javaslat kidolgozása annak érdekében, hogy a KHR naprakészebb, és a finanszírozási csalások megakadályozása kapcsán támogatóbb legyen. 10
Adatpárosítás hashekkel - ábra 11
Felhasznált irodalom Kriminalisztikai kutatás a finanszírozási csalások során alkalmazott módszerek megismerése érdekében (készítették: Balogh Éva, Kollár Zsolt; CORDI Kft; Budapest, 2007. december) Pénzügyi Szervezetek Állami Felügyeletének Tájékoztatója magánszemélyek részére a Központi Hitelinformációs Rendszerről Éves Tájékoztató a Központi Hitelinformációs Rendszerről 2011 (Készítette: BISZ Zrt.; 2012. május) BISZ Központi Hitelinformációs Zártkörűen Működő Részvénytársaság Központi Hitelinformációs Rendszer (KHR) ÜZLETSZABÁLYZAT KIVONAT KÉRELMEZŐK RÉSZÉRE (Hatályos: 2012. január 1-től) 2011. évi CXXII. törvény a központi hitelinformációs rendszerről 2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról 1996. évi CXII. törvény a hitelintézetekről és a pénzügyi vállalkozásokról 1996. évi LVII. törvény a tisztességtelen piaci magatartás és a versenykorlátozás tilalmáról 12
Kapcsolat Antal Lajos Partner Informatikai biztonság és adatvédelem, Deloitte Zrt. Tel: +36 (1) 428-6402 Email: lantal@deloittece.com Dr. Erdélyi Katalin Szenior tanácsadó Informatikai biztonság és adatvédelem, Deloitte Zrt. Tel: +36 (1) 428-6779 Email: kerdelyi@deloittece.com 13
A Deloitte név az Egyesült Királyságban company limited by guarantee formában alapított Deloitte Touche Tohmatsu Limited társaságra és tagvállalatainak hálózatára utal, amelyek mindegyike önálló, egymástól elkülönülő jogi személy. A Deloitte Touche Tohmatsu Limited és tagvállalatai jogi struktúrájának részletes bemutatását a következő link alatt találja: www.deloitte.hu/magunkrol.