;

Příběh o dvou insiderech

6. 9. 2010
Doba čtení: 5 minut

Sdílet

V roce 1992 jedna z britských bank vyslala svého zaměstnance do Singapuru, aby zde spustil a následně i řídil její obchodní operace. Zaměstnanec se začal zaobírat obchodováním se spekulativními deriváty, které se v té době zdály být stabilní.

Naneštěstí pro něj však zemětřesení v Kobe, k němuž došlo v roce 1995, vneslo na tento trh značnou nejistotu a volatilitu. Následovala katastrofa...

Riskantní operace tohoto pracovníka ve finále vedly k celkové ztrátě ve výši 1 miliardy amerických dolarů. Onen zmiňovaný zaměstnanec se jmenoval Nick Leeson a jím prováděné obchody dospěly až tak daleko, že jeho mateřská instituce, proslulá Baring Bank, byla pohlcena holandskou ING za symbolickou 1 libru.

V čem spočíval celý problém? Leeson plnil současně role manažera, obchodníka a IT pracovníka, což mu umožnilo po dlouhou dobu skrývat svoje ztráty ve starých opravných účtech a vyhnout se tak odhalení.

Nyní se rychle přesouváme do roku 2005. Jeden z pracovníků francouzské banky přechází ze středního managementu oddělení kontroly na pozici obchodníka. V roce 2007 začíná používat systém dvojitých účtů, aby zakryl svoje silně rizikové obchody, které mnohonásobně překročily jeho obchodní limit. V roce 2008 banka konečně celý problém odhaluje, ale už ve fázi, kdy nakumulované ztráty překračují hranici 7 miliard dolarů.

Pracovníkem francouzské banky nebyl nikdo jiný než nechvalně známý Jerome Kerviel a poškozenou bankou Societe Generale, mimochodem společnost, která se v roce 2008 umístila na 43. místě v renomovaném žebříčku Fortune 500. Kerviel k zakrývání svých aktivit používal finty, které zahrnovaly například provádění vysokého počtu objemově malých transakcí, o nichž věděl, že proklouznou pod radary kontrolních mechanizmů. Hlavní problém se však velmi podobá situaci v Baring Bank.

Kerviel měl totiž ze své předchozí pozice ve středním managementu plný přístup ke kontrolním mechanizmům, jejichž fungování navíc dokonale znal. Podobné informace a přístupy k potřebným účtům by na pozici běžného obchodníka nikdy nemohl získat.

Oba příběhy jsou šity jednou nití, a sice selháním interních mechanizmů, které by měly vést k dělbě pracovních povinností, a přístupů k nástrojům. A právě tato opomíjená oblast bývá často zdrojem vnitřního rizika. V dané souvislosti bývá často vyslovováno přání „v logu byla spousta různých signálů, kéž by si jich někdo všimnul“. Ale signály a nápovědy v praxi bohužel obvykle nestačí. V této souvislosti se přímo nabízejí čtyři problémové oblasti, na něž je vhodné se zaměřit.

1. Chybějící kontext

Logy z routeru mohly jasně ukázat, že Jerome Kerviel ze svého počítače přistupoval jak do obchodního, tak i do kontrolního prostředí. Takové chování by mělo být z principu zakázáno.

2. Provázanost činností s uživateli

Jakožto IT manažer měl Nick Leeson přímý přístup k serverům. Z pozice obchodníka mohl přistupovat k potřebným účtům. Kombinace těchto přístupů mu dovolila vytvářet dvojí systém účtů a ukrývat tak své zakázané obchody. V tomto případě by přístup k logům nabídnul pouze drobné náznaky toho, co se ve skutečnosti dělo, neboť nebylo možné dané činnosti vztáhnout ke konkrétním osobám. Pokud nedokážete spojit aktivitu z logů s jednotlivými uživateli, mnoho vnitřních rizik zůstane neodhaleno.

3. Informovanost o rolích a privilegiích

Logy pravděpodobně zaznamenaly Kervielův přístup ke starým kontrolním účtům, které nebyly nikdy uzavřeny ani poté, co se přidal ke skupině obchodníků. Avšak aby byl úspěšně odhalen pokus o porušení zásad neslučitelnosti těchto dvou přístupů, muselo by řešení pro analýzu logů identifikovat Kervielovy přístupy do kontrolních nástrojů v kontextu s jeho soudobou pozicí obchodníka. Řešení pro sledování logů z toho důvodu musejí být integrována s vedením identit jednotlivých pracovníků ve společnosti.

4. Nekonečně mnoho rizikových scénářů

ICTS24

Někteří odborníci tvrdí, že těmto hrozbám může být zamezeno prostřednictvím zlepšení kvality procesů a investicí do vzdělávání zaměstnanců spíše než pouhým technologickým řešením. Avšak je nutné si uvědomit, že lidé, procesy a řešení pro analýzu logů (což je relevantní technologie pro tyto případy) mají pouze omezenou schopnost čelit neznámým hrozbám. Realita je taková, že pro každé vnitřní riziko existuje nekonečně mnoho variací. Aby mohly být tyto limity překonány, analýza logů potřebuje přejít z pouhého hromadění logů na systém aktivní analýzy vycházející z určitých vzorců chování.

Pokud právě zvažujete řešení, které vám pomůže proměnit náznaky z logů do podoby, jejímž prostřednictvím se dokážete vypořádat s vnitřními riziky, měli byste se ujistit, že dokáže vztahovat jednotlivé záznamy ke konkrétním uživatelům, jejich pozicím a úkolům. Řešení, které si s těmito problémy dokáže poradit, přičemž vám navíc nabídne pohled na typické aktivity jednotlivých uživatelů a případné odchylky od nich, vám může pomoci předejít velkým vnitřním hrozbám.