Kosztowny brak kontroli

Straty poniesione przez Société Générale na skutek miliardowych transakcji jednego z maklerów ponownie zwracają uwagę na problem organizacji procesów nadzoru i kontroli działań podejmowanych przez pracowników firm (IT Compliance).

Straty poniesione przez Société Générale na skutek miliardowych transakcji jednego z maklerów ponownie zwracają uwagę na problem organizacji procesów nadzoru i kontroli działań podejmowanych przez pracowników firm (IT Compliance).

Od końca stycznia br. trwa prześwietlanie życiorysu Jerome'a Kerviela, maklera Société Générale, którego transakcje na rynku kontraktów terminowych spowodowały sięgające 5 mld euro straty. Media prześcigają się w domysłach na temat przyczyn nadużyć. Niedawno usłyszeliśmy, że dokonanie tak ryzykownych operacji było możliwe dzięki włamaniu do systemu. Dociekliwi dziennikarze odkryli, że Jerome Kerviel nie tylko znał Visual Basic, ale brał udział w specyfikacji niektórych funkcji platformy bankowej ClickOptions oraz w projektach automatyzacji procesów bankowych.

Próba odświeżenia mitu o genialnym komputerowcu-hakerze to jedynie "zasłona dymna", której celem jest odwrócenie uwagi od realnych przyczyn nadużyć, spychających na skraj bankructwa, trzeci pod względem wielkości, bank francuski. Szczegóły udostępniane nam przez światowe media pozwalają przypuszczać, że prawdopodobnie powodem monstrualnych strat był przede wszystkim brak nadzoru i klarownych zasad podziału obowiązków (segregation of duties) w Société Générale.

Nikt nie jest bez winy

Problem ten wciąż dotyczy sporej części największych światowych korporacji. Jak wynika z opublikowanego w połowie ubiegłego roku raportu IT Policy Compliance Group, kłopot z zapewnieniem zgodności organizacji z regulacjami zapobiegającymi nadużyciom i wyciekom informacji ma ponad 90% z 475 badanych światowych firm. Jedna trzecia z nich w ciągu roku od zakończenia badań odnotowała co najmniej sześć poważnych incydentów związanych z utratą lub kradzieżą informacji.

Nawet jeśli większość z tych firm zainwestowała już w specjalne rozwiązania do nadzoru i kontroli, wciąż nie zlikwidowano luk w używanych do tej pory systemach. "Uprawnienia dostępu do systemów nadal są konstruowane z perspektywy funkcjonalnej, a nie biznesowej. Bierze się pod uwagę to, czego użytkownik będzie być może potrzebował w przyszłości, a nie to, co jest mu faktycznie potrzebne" - mówi Aleksander Poniewierski, partnet w firmie Advisory.

"Przy wdrożeniach systemów priorytetem jest prawidłowe i sprawne działanie procesów, a dopiero potem myśli o wykorzystaniu adekwatnych mechanizmów kontrolnych" - wtóruje mu Kazimierz Klonecki, dyrektor w zespole doradztwa informatycznego . "Kiedyś typowy model zarządzania dostępem do aplikacji był oparty na pojedynczych funkcjach lub zbioriach funkcji systemu lub pojedynczych składowych uprawnień. Teraz bierze się pod uwagę role biznesowe, a więc funkcje, jakie każdy użytkownik pełni w organizacji. Przestawienie się z jednego modelu na drugi nie jest proste" - dodaje. Zwłaszcza jeśli weźmiemy pod uwagę stopień komplikacji nowoczesnych systemów. W ramach jednego profilu ten sam użytkownik może dokonać dziesiątek różnych operacji, z których część może pozostawać w konflikcie ról, a w rezultacie umożliwiać nadużycie.

Często firmy zapominają, że nawet najlepszy system informatyczny musi być jeszcze odpowiednio monitorowany i podlegać okresowej kontroli. "Część użytkowników, zwłaszcza tych z rozszerzonymi uprawnieniami, dochodzi do wniosku, że sami nie muszą podlegać tym ograniczeniom. Okresowa kontrola pozwala wykryć takie sytuacje" - doradza Kazimierz Klonecki.

Ryzykanci

Wiele firm wciąż jeszcze godzi się z tego typu ryzykiem biznesowym. Dlaczego? Często decydują o tym względy operacyjne, takie jak chociażby brak odpowiednich kadr. W niewielkich oddziałach firm ten sam pracownik musi pełnić co najmniej kilka różnych funkcji i dokonywać wynikających z nich operacji w systemach. "Działy IT są w tej sytuacji pod silnym ostrzałem. Albo przyjmą restrykcyjne reguły, które sprawią, że zaleje ich fala telefonów od użytkowników, którzy nie są w stanie czegoś zrobić, albo pozostawią użytkownikom dużą swobodę, co może się jednak źle skończyć" - twierdzi Paweł Pomarański, konsultant ds. rozwiązania SAP GRC (Governance, Risk and Compliance) w firmie SAP.

Konfliktom sprzyja także struktura macierzowa dzisiejszych organizacji. Jedna osoba musi pełnić wiele różnych ról. W związku z tym otrzymuje stosunkowo szerokie uprawnienia, o których odebraniu się potem zapomina, często w imię obopólnej wygody. W dużych przedsiębiorstwach liczba ról sięga kilkuset. Oczywiście, każdy użytkownik pełni równocześnie po kilka ról. Im ich więcej, tym wyższe ryzyko nadużyć.

Jest to także wynik wielu operacji związanych z fuzjami, przejęciami, podziałami przedsiębiorstw oraz wydzielaniem w ich strukturach specjalizowanych centrów obsługi. Następstwem tych zmian jest namnożenie funkcji, podczas gdy liczba pracowników pozostaje ta sama lub wręcz ulega zmniejszeniu. Fuzje i przejęcia to także konieczność integracji systemów. Dołączenie każdej nowej aplikacji sprawia, że ryzyko konfliktu w dostępie do różnych systemów rośnie w sposób wykładniczy.

Poważnym wyzwaniem przy tego typu operacjach jest stworzenie spójnego "konceptu autoryzacyjnego", a więc planu autoryzacji i uwierzytelniania użytkowników w systemach. "W przypadku fuzji i przejęć można spróbować integrować różne koncepcje w ramach jednego rozwiązania, stworzyć zupełnie nowy koncept lub utrzymać dotychczasowy stan, godząc się na to, że wraz z postępującą integracją firm konflikt ról może narastać" - mówi Paweł Pomarański, konsultant ds. rozwiązania SAP GRC (Governance, Risk & Compliance) w firmie SAP.

Wiele konfliktów ról i uprawnień jest następstwem archaicznej architektury. "Producenci systemów ERP dostrzegli ten problem już kilka lat temu, stąd fala rozwiązań do nadzoru i kontroli, dostarczanych przez SAP, Oracle lub inne specjalistyczne firmy. Problemem jest duża liczba specjalizowanych aplikacji, np. bankowych, w których ten problem nie został rozwiązany" - wyjaśnia Aleksander Poniewierski. To wyzwanie także dla dotychczasowych modeli udostępniania systemów, które by w pełni uwzględnić złożony problem dostępu do systemów i uczynić go opłacalnym, musiałyby być jeszcze bardziej złożone i skomplikowane.


TOP 200