Upload File

otkrivanje internih prijevara analizom obrazaca ponašanja ......otkrivanje internih prijevara...

  • Home
  • Documents
  • Otkrivanje internih prijevara analizom obrazaca ponašanja ......Otkrivanje internih prijevara analizom obrazaca ponašanja korisnika IT sustava Rovinj, 18.-22.10.2011. Nevenko Bartolinčić
50
Otkrivanje internih prijevara analizom obrazaca ponašanja korisnika IT sustava Rovinj, 18.-22.10.2011. Nevenko Bartolinčić HROUG

Upload: others

Post on 30-Jan-2021

4 views

Category:

Documents


2 download

Report

TRANSCRIPT

  • Otkrivanje internih prijevara analizom obrazaca ponašanja

    korisnika IT sustava

    Rovinj, 18.-22.10.2011. Nevenko Bartolinčić

    HROUG

  • • Postavljanje scene• Zaplet• Vrhunac• Rasplet• Kava

    Raspored

    2

  • Scena 1: Očigledno

    3

  • Scena 2: Malo manje očiglednoIndex je jedini objavio njegovu policu osiguranja iz kojeg je vidljivo da je stajao više od četiri milijuna kuna.

    4

  • Scena 3: Veliki igrači

    5

  • Detekcijom “posuđivanja” koleginog korisničkog računa

    • Isti User-ID istovremeno prijavljen s dvije različite IPadrese

    • Nekoliko User-ID prijavljeno jedan za drugim s iste IP adrese

    • Korisnik se prijavio u sustav, a nije se na ulazu u zgradu prijavio svojom identifikacijskom karticom da je ušao u zgradu

    • Netipične aktivnosti poslije kraja radnog vremena

    Kako se to moglo primjetiti?

    6

  • Kako interni korisnici vrše zloupotrebu?

    Preuzimaju tuđi račun

    •Kradu korisnički identitet manipulirajući podatke o računu

    •Otvaraju račune za posrednike prenos novca ili za skrivanje traga prenosa novca

    •Otvaraju račune za nepostojeće ili neodgovarajuće korisnike kako bi ostvarili kvotu ili proviziju

    Kradu novac

    •Kradu novac od korisnika preko:•gotovine•čekova•kartica•transferom između računa•nalozima za plaćanje

    •Kradu novac s internih računa preko:•gotovina•transferom između računa•nalozima za plaćanje

    Ostali načini

    •Osobni troškovi na teret korporacijskih kreditnih karica

    •Obavljanje transakcija za sebe, obitelj, prijatelje

    •Krađa korisničkih podata za prodaju ili zloupotrebu

    •Obavljanje neovlaštenih potraživanja, popusta, povrata

    •Iskorištavanje starijih i nemoćnih osoba

    •Udruživanje više djelatnika •Kršenje pravila / namjerne

    greške•Pokušavanje izbjegavanje

    detekcije

    7

  • 1 Ako su novci otišli možda je već prekasno2 Vaši logovi ne sadrže cijelu priču3 Koliko vaših pronevjera počinje s

    kršenjem kontrola?4 Izbjegnuti gubitak vremena5 Efikasno dobivanje konsolidiranih

    podataka

    5 STVARI ZA RAZMISLITI8

    PresenterPresentation Notes How well are you aware of what your employees are doing?

  • …osim od pristupa ovlaštenih osoba

    LAN

    Application Server Database Server Mainframe

    Web Server FTP Server Mail Server

    DMZ

    Internal User Internal User Internal User

    WEB

    Firewall

    VPN Gateway

    Remote User

    Svaki element je zaštičen…

    Postojeća sigurnosna rješenja

    9

    PresenterPresentation NotesIn most enterprises you find that nearly all of the IT infrastructure components are secured in one way or another:1. You have security tools to protect the mainframe, database or application server.2. You have anti-spam, anti-virus and other tools to protect your mail server, web server, and FTP server.3. You have the firewall, intrusion detection, VPN and other tools to protect your network from external hacking.4. You have tools to protect your LAN and desktops..5. Yet, the one domain which is not protected is what your internal and external users are doing with their authorized access to the corporate business applications. You don’t have any way of knowing if any one of them is misusing or abusing his or her authorized access.

  • • osnovan 2005. u Izraelu

    • preko 100 korisnika širom svijeta

    • 3 od 10 vodećih banaka u SAD koristi Intellinx

    • Gartner report 2010 o Enterprise Fraud Managementu:

    – Intellinx pozicioniran kao #1 za Internal Fraud detection.

    – Intellinx pozicioniran kao #1 za Deployment and Support Simplicity

    Ukratko o Intellinxu

    10

  • Banke i financijske ustanove Osiguravajuća društva

    Državna uprava Zdravstvo i Maloprodaja

    Korisnici Intellinxa

    11

    http://www.unicreditbank.hu/index.html�https://www.bankinter.com/www/en-es/cgi/ebk+home�http://en.groupama.com/�http://images.google.com/imgres?imgurl=http://www.nahb.org/assets/images/GEMoney_Blue_HorizontalLock.jpg&imgrefurl=http://www.nahb.org/generic.aspx?genericContentID=7880&h=1122&w=2740&sz=149&hl=en&start=1&tbnid=WjaaauXllNGyaM:&tbnh=61&tbnw=150&prev=/images?q=GE+MONEY+LOGO&gbv=2&svnum=100&hl=en�http://www.policecredit.com.au/Default.aspx�http://www.tcfexpress.com/index.jsp�https://www.unionbank.com/�http://en.wikipedia.org/wiki/File:Comerica.jpg�http://www.google.com/url?url=http://theyeshivaworld.com/news/General+News/81297/NYPD-Will-Protect-'Freedom-Tower'-With-Army-Of-Cops.html&rct=j&sa=X&ei=YA83TbKfLdC7hAec7YCuAw&sqi=2&ved=0CFQQpwIwAw&q=nypd&usg=AFQjCNEtx1e5oT_cbvWfKscnwK6oXCV_hg�

  • Data Capture & Collection• Network sniffing: transactions, screens, intra-application messages, database access• Log files and databases• Reference Data

    Forensic Visual Audit Trail• Replay user activity screen by screen• “Google like” search on captured data, e.g. Who accessed a specific customer account in a

    specific timeframe?• Captured data is encrypted and digitally signed - potentially admissible in court when needed

    Fraud Analytics• Dynamic Profiling and scoring of various entities• Customizable business rules• Real-time alerts• New rules may be applied after-the-fact

    Investigation Workbench and Case Management• Manage Cases, Alerts and Incidents• Flexible Reporting • Control parameters of rules, profiles and scoring

    Intellinx – prevencija internih zloupotreba

    12

  • • Različito ponašanja od sličnih korisnika– Homogene grupe korisnika sa sličnim poslovima

    • Odstupanje od uobičajnog oblika ponašanja– Profiliranje korisnika, računa, klijenta i drugih

    • Neubičajena povezanost korisnika i pojedinog klijenta / računa

    – U Call Centrima uočajeno je slučajni redosljed poziva

    • Određeni sumnjivi scenariji– Promjena adrese nakon čega slijedi reizdavanje kartice

    • Korelacija kadrovskih podataka s identitetom korisnika – Slična adresa korisnika i klijenta

    • Korelacija aktivnosti korisnika s poznatim slučajevima vanjske zloupotrebe

    – Povećan broj aktivnosti korisnika prema vanjskim slučajevima zloupotrebe ili kreditnim karticama prije nego što je detektirana zloupotreba

    • Aplikativni Honey Pot– Dostupne prividne prevelike ovlasti za sumnjive korisnike i praćenje njihove

    Intellinx – metode detekcije

    13

  • Monitored Environment

    Mainframe

    Network Switch Existing Data Sources

    • Databases

    • Reference

    • Log Files

    Web Server

    Client/ Server

    AS 400

    External UserseBusinesscustomers

    Internal Users

    Database Server•Business User•Privileged IT User

    tables

    IntellinxFunctions Search Engine

    Investigation Center & Case Manager

    Data Collector & Consolidator

    Visual Audit Trail Analyzed Data

    Analytic Engine

    IntellinxUsers

    •Visualreplay

    •Googlelikesearch

    •Reports

    •Googlelikesearch

    •Alerts•Cases•Profiles

    Auditors Compliance Officers Fraud Investigators

    Arhitektura

    14

  • • Agent-less network traffic sniffing • No Impact on performance• Highly scalable architecture• Very short installation process (several hours), with no risk to normal IT operations• Recordings stored in extremely condensed format• Recording data is encrypted and digitally signed – potentially admissible in court

    when needed

    Monitored Platforms: IBM Mainframe: 3270, MQ, LU0, LU6.2IBM System i: 5250, MPTNUNISYS T27Web: HTTP/ HTTPSClient/Server: TCP/IP, MQ Series, MSMQ, SMBTelnet, VT100, SSHOracle (SQLNET), DB/2 (DRDA), MS SQL(TDS)SWIFT, FIX, ISO8583 (ATM), others

    Patentirana tehnologija

    15

  • • Dynamic definition of profiles for any entity:– End-Users – Accounts– Customers– Any other Entity

    • Time Dimension: Hour, Day, Week, Month

    • Sample Behavior Attributes:– Working hours– Number of transactions per day– Total amounts of transfers per day– Total amounts of deposits per day– Number of dormant accounts accessed per day– Number of changes to dormant accounts per day– Number of account address changes per day– Number of beneficiary changes per day– Number of VIP queries per day– Number of changes to account statement mailing frequency per week– Number of credit limit changes per day

    Dinamičko profiliranje

    16

  • • What? > Access of a specific account> Access an account included in a White list/ Black list> Access any account more than x times in an hour/day

    • How? > Search for accounts according to customer name more than x times in an hour/ day

    • When? > All the above – after hours

    • Where from? > All the above from which department

    • Time correlation > Same user-id login from different terminals in the same time> Access customer sensitive data without customer call in the call centre at the same

    time

    • Data correlation > Add same address/ beneficiary to different accounts by the same user

    • Aggregation > Sum of transfers of an account/ user exceeds x

    • Scenario > Add beneficiary then transfer/withdraw money then delete beneficiary - all in 48 hours> Change address then transfer/withdraw money then delete address - all in 48 hours

    > Increase credit limit then transfer/withdraw money then decrease credit limit - all in 48 hours

    Primjeri pravila

    17

  • • Više od 300 pravila za detekciju vazličitih vrsta zloupotreba– Bankarstvo– Osiguranje– Informacijska sigurnost

    • Pravila izradili stručnjaci iz podrčja detekcije internih zloupotreba (bivši zaposlenici KPMG i službenici bankarskih anti Fraud odjela)

    • Bazirana na prikupljenom iskustvu drugih Intellinx korisnika customers

    • Nazirana na opčim poslovnim pravilima no može se modificirati za potrebe korisnika i njihovih specifičnih aplikacija ili poslovnog procesa

    • Bankarstvo: zloupotrebe zaposlenika, curenje informacija, IT sabotaže, zloupotrebe transfera novca, zloupotrebe aplikacija, bankomata, kredinih kartica, čekova, e-bankinga Cards, Check Kiting, AML, eBanking

    • Osiguranje:upravljanje korisnicima, uprvljanje policama, obrada zahtjeva, rad s agentima

    Knjižnica gotovih pravila

    18

  • 19

    A few examples of common rule types:• Count suspicious transactions• Value of suspicious transactions• Sudden increase in count or value (by % or standard deviation)• Count or value different from peer group (by % or standard deviation)• Decision table (e.g., if personal customer, 1x, if corporate customer, 2x)• White lists (e.g., if customer on list, suppress alerts)• Hot lists / black lists (e.g., if customer on list, immediately trigger alert)• Any of the above over time (e.g., count over a week, increase over a

    month)

    Sva pravila korisnik može modificirati prema svojim potrebama

  • Zaštita privatnosti zaposlenika i korisnika

    • Intellinx ne snima ni jednu aktivnost na korisničkom računalu već samo pristup do poslovnih aplikacija

    • Samo ovlaštene osobe mogu pristupiti Intellinx sustavu

    • Sustav se može podesiti da nadizre samo određenu aplikaciju ili određenog korisnika, ostale informacije se filtriraju i odbacuju

    • Pojedina polja i ekrani koji sadrže vrlo osjetljive informacije se mogu zasjeniti tako da revizori koji koriste sustav ih ne mogu vidjeti

    • Svaki pristup do sustava i svaka izvršena akcija se bilježe što omogućuje uvid koje aktivnosti je izvršio pojedini korisnik Intellinx sustava

    • Polja koja omogućuju osobnu identifikaciju korisnika (npr. user-id or terminal-id) je moguće zasjeniti za vrijeme pregledavanje snimke sadržaja korisničkog ekrana

    20

  • Studija slučaja: Credit Card Company X

    Security officers start calling on suspects

    First employee is laid off

    Rule implemented

    1 2 3 4 5 6 7 8 9 10

    100

    Weeks

    Aler

    t# p

    er W

    eek

    80

    60

    40

    20

    0

    Alerts on Celebrity Accounts Snooping

    Kontinuirana kontrola kao prevencija

    21

  • • Osiguranje individualne odgovornosti korisnika:– Vizualni dokaz aktivnsoti korisnika uključujući read upite korisnika

    • Osiguranje proaktivnosti u smanjenju internih zloupotreba pomoću:– Profiliranje korisnika na temelju analize stvarnog ponašanja korisnika – Alarmi u stvarnom vremenu

    • Provođenje forenzičnih istraga:– Primjena novih pravila na već snimljenim podacima

    • Osiguranje usklađenosti sa zahtjevima regulatora• Out-of-box value

    – Potpuno snimanje i pretraživanje neovisno o korištenoj platformi

    ► No Agents ► No Overhead ► No Risk

    Prednosti Intellinxa

    Zaključak

    22

  • Hvala!

    RECRO-NET d.o.o. http://www.recro-net.hr

    Av. V. Holjevca 40 Tel: +385 1 3030 600

    10010 Zagreb Fax: +385 1 6699 500

    [email protected]

    Pitanja ???

  • Dodatni slajdovi

  • Type of Rule Example

    Peer group analysis • Tellers inquiring on more accounts than other tellers• Employees accessing more dormant accounts than

    other tellersHistorical analysis • Tellers that suddenly increase the number of inquiries

    they perform on out-of-state accountsTransactional link analysis • Call center agent servicing specific accounts repeatedlySuspicious scenarios • Real-time: suspicious callers in call center

    • Address change then card reissue then address change• Employees performing a high rate of transactions

    against general ledger accountsAccount link analysis • Customer account with same address as employee

    Case management link analysis

    • Employee accessed accounts that led to fraud at a higher rate than other employees

    Vrste pravila – Real-Time / Batch

  • How can we Automatically detect the Red Flags and avoid false alerts?

    Case #1 Demo: Stealing from Dormant Accounts

  • Case: Profiling of Call Centre Agents

    Mainframe – Sensitive

    Web Application

    Call Center Representatives

    Customer Information

    Call-Center

    Normal Behavior: Call-Centre Representative receives customer call; accesses customer data on mainframe

    Intellinx Detects Suspicious Behavior: Call-Centre Representative accesses customer data on mainframe without prior receipt of a call

  • Slide Number 1Slide Number 2Scena 1: OčiglednoScena 2: Malo manje očiglednoScena 3: Veliki igračiKako se to moglo primjetiti?Kako interni korisnici vrše zloupotrebu?Slide Number 8Postojeća sigurnosna rješenjaUkratko o IntellinxuSlide Number 11Slide Number 12Slide Number 13Slide Number 14Slide Number 15Slide Number 16Slide Number 17Slide Number 18Sva pravila korisnik može modificirati prema svojim potrebamaZaštita privatnosti zaposlenika i korisnikaSlide Number 21Slide Number 22Hvala!Slide Number 24Slide Number 25Slide Number 26Slide Number 27Slide Number 28Slide Number 29Slide Number 30Slide Number 31Slide Number 32Slide Number 33Slide Number 34Slide Number 35Case #1 Demo: �Stealing from Dormant Accounts Slide Number 37Slide Number 38Slide Number 39Slide Number 40Slide Number 41Slide Number 42Slide Number 43Slide Number 44Slide Number 45Slide Number 46Slide Number 47Slide Number 48Case: Profiling of Call Centre AgentsSlide Number 50


računovodstvene i revizijske implikacije prijevara temeljenih na

Sustav za ispunjavanje i slanje elektroničkih obrazaca

Harmonija Sa Harmonskom Analizom 2 Dio

Komplet Obrazaca Za Zavrni Rad-V2 1

Kulturna uslovljenost obrazaca tekstualizacije

COSCG - Zbirka obrazaca izvršnog prava

zbirka obrazaca tuzbe

Otkrivanje Znanja Dubinskom Analizom Podataka

Nepravilnosti i mjere borbe protiv prijevara · • Uspostavljanje procedura za sustav kontrole provedbe Programa • Pravila i preporuke u vezi s politikom borbe protiv prijevara

Politika suzbijanja prijevara - European Investment Bank · Europska investicijska banka Politika suzbijanja prijevara . IV. DEFINICIJE . 10. U smislu provedbe ove Politike, nedopušteno

UPUTSTVA ZA POPUNJAVANJE ZDRAVSTVENO-STATISTIČKIH OBRAZACA

PRIJEDLOG UPUTA I OBRAZACA ZA POSTUPAK …

Uloga revizije u otkrivanju prijevara

FARMAKOGNOZIJA...-mikroskopskom analizom (lupa, svetlosni mikroskop, SEM, pregled histoloških preseka)-hemijskom analizom (hemijske reakcije i primena TLC) ISPITIVANE ISPRAVNOSTI

ANALIZA OBRAZACA PONAŠANJA KORISNIKA KROZ …

Zbirka obrazaca u izvršnom postupku

Izveštaj evaluacije zdravih obrazaca ponašanja kod učenika

Aplikacija za popunjavanje obrazaca

obrazaca za podnošenje izvješća

otkrivanje prijevara i pogrešaka u reviziji financijskih izvještaja

Uloga interne revizije u sprječavanju pogrešaka i prijevara

Politika suzbijanja prijevara

Uputstvo Za Popunjavanje Obrazaca Zavrsni 2010 Sindikat

Genotipizacija virusa Epstein-Barr analizom sekvencije

forenzično računovodstvo (i revizija) u funkciji sprječavanja prijevara

Redoslijed popunjavanja popisnih obrazaca

ANALIZA INFORMACIJSKIH OBRAZACA PROCESNIH SIGNALA …

model plošnog generatora toplinskih obrazaca

Zbirka obrazaca po zakonu o parničnom postupku

Mala crna knjižica prijevara - ACCC

popis isprava i službenih obrazaca

Primeri Obrazaca Za Podnosenje

Harmonija Sa Harmonskom Analizom

3 13 Uputstvo Za Popunjavanje Obrazaca 02.10.2013

ZBIRKA OBRAZACA PO ZAKONU O PARNIČNOM …sudovi.me/podaci/cenp/dokumenta/1082.pdf · ZBIRKA OBRAZACA PO ZAKONU O PARNI ... obrazaca za praktičnu primjenu Zakona o parničnom postupku,