Korupce jako jeden z příkladů útoků v kyberprostředí Ing. Zdeněk Blažek, CSc. CISM. COMMERZBANK AG Jh. Katedra počítačových systémů Fakulta informačních technologiíí České vysoké učení technické v Praze © Zdeněk Blažek, 2011
Kybernalita ZS 2011/12, Předn. 5 https://edux.fit.cvut.cz/MI-KYB-1
Evropský sociální fond Praha & EU: Investujeme do vaší budoucnosti
Ing. Zdeněk Blažek, CSc. CISM.
Korupce jako jeden z příkladů…
Přednáška 4/13, 2011
Korupce jako jeden z příkladů útoků v kyberprostředí
Agenda • Korupce jako součást řízení rizik IT projektů • IT – prostředí bez korupce? • Příklady míst, kde se korupce projevuje – – – – – –
Smlouvy Krycí projekty (pravý účel je skryt) Nepotřebné projekty Zmanipulované soutěže Pronikání do institucí Přímé uplácení
• Důvody snadného korumpování v IT • Korupční schenata • Zákony, etika a jejich role při korupci v IT
Korupce jako jeden z příkladů útoků v kyberprostředí
IT Projekt Vyhodnocení. Co je předmětem projektu?
Hrozba korupce
Zranitelnost. Jaké je zranitelnost projektu v rámci firmy/společnosti/ instituce?
Dopad Finanční i nefinanční ztráty pro Společnost/firmu/instituci
Odstranění zranitelnosti Co jsme udělali pro její odstranění
Pravděpodobnost Možnost, že projekt bude zmanipulován
Riziko
Riziko = dopad x pravděpodobnost
Korupce jako jeden z příkladů útoků v kyberprostředí
• Původ korupce v IT prostředí – Podíl IT na nákladech veřejného i soukromého sektoru stále roste – Vzrůstá závislost na IT – IT paradox: • Máme více tzv. „IT odborníků“, kteří mají mizivé znalosti reálného IT (CIO jsou velice často vzděláni pouze ekonomicky nebo jako MBA) a tak nejsou schopni pochopit technickou stránku věci – SW/HW náklady. ) • Nižší úroveň znalostí znamená, že vedení firmy není schopno rozpoznat korupci • Strach z kolapsu IT ve firmě – velice často je to právě IT, kdo řídí firmu • Nižší úroveň znalostí u policie a vyšetřovatelů vede u útočníků k pocitu nezranitelnosti viz dále. How to handle?
– Lze důvodně předpokládat, že většina IT projektů je ovlivněna kriminálními praktikami. Dle Gartnerů až 70% projektů je neúspěšných. – Find somewhere a real expert who will be able to
Korupce jako jeden z příkladů útoků v kyberprostředí
• Jak se postavit k IT projektům – Nalezněte někoho, kdo opravdu IT rozumí a to nejen z hlediska odborného, ale i finančního. Musí být schopen rozpoznat, že je něco shnilého. – Je nutno vzít do úvahy, že CIO není expert – je to manažer a tudíž je také s největší pravděpodobností do záležitosti zapleten. – Nesmí se věřit hezkým slovům typu: „zvýší to naši konkurenceschopnost…“, „.. přinese nový obchod …“ atd. Obvykle je za tím pouze hezká PowerPointová prezentace. – Nelze spoléhat na policii a soudy…viz výše. – V prvé řadě je nutno předcházet problémů
Korupce jako jeden z příkladů útoků v kyberprostředí
Situace • Téměř všichni dodavatelé IT jsou tak či onak zapleteni do korupce. – Je často velice těžké odlišit korupci od budování tzv. dobrých vztahů se zákazníkem. • IT dnes – základ všech finančních institucí, průmyslu, armády, správy země… • Pouze minimum případů korupce v IT je stíháno a publikováno
Korupce jako jeden z příkladů útoků v kyberprostředí
• Hrozby: – Finanční • přímé (finanční ztráty zaviněné špatným projektem, předražení, prodloužení atd., 70% projektů neúspěšných z důvodů korupce nebo neschopného vedení) • nepřímé (finanční ztráty způsobené např. zavlečením škodlivého kódu do programu atd.)
– Informační (díky korupci a neschopnosti je v praxi využíváno cca. 10% dat – ztráta kontroly nad daty) – Bezpečnostní (zkorumpovaný manažer nebo IT pracovník může být snadno přinucen k dalším kriminálním aktivitám – krádež dat …) – Reputační (pokud je firma či instituce zapletena do korupční aféry, odrazí se to na její pověsti…)
Korupce jako jeden z příkladů útoků v kyberprostředí Firma ADS Software vyhrála skvělou zakázku - za informační systém pro státní agenturu CzechInvest dostala 275 milionů. O jednadvacet dní později dává firma do pohybu přes sedm milionů korun a ty končí u rodiny vysokého státního úředníka, jenž měl CzechInvest na starosti. Zakázku na informační systém pro státní agenturu CzechInvest za 275 milionů provází velmi podezřelé okolnosti. Hospodářské noviny zjistily, že firma ADS Software, která tendr před dvěma lety vyhrála, vzápětí spustila transakce, na jejichž konci se přesunulo 7,1 milionů korun na účet poradenské firmy, již založil XY, úředník s přímou vazbou na CzechInverst. Trestní oznámení na XY, který byl v inkriminované době ředitelem sekce evropských fondů na ministerstvu průmyslu, pod nějž CzechInvest spadá, podala loni v srpnu protikorupční organizace Transparency International. Jak nyní vyšlo najevo, policisté toto trestní oznámení odložili. Firma ADS Software dala zmíněných sedm milionů do pohybu hned jednadvacet dní poté, co obří zakázku vyhrála. Peníze skončily u rodiny vysokého státního úředníka XY. Ten tehdy pracoval jako ředitel sekce evropských fondů na ministerstvu průmyslu, pod nějž CzechInvest spadá. Společnost ADS Software poslala miliony nejprve firmě E-institut, která se živí poskytováním školení přes internet. Odtud pak odešly na účet poradenské firmy ITS 42, která je pro celý příběh důležitá – založil ji totiž právě XY a v roce 2007, kdy nastoupil na ministerstvo, ji převedl na svého otce. (červen 2011)
Korupce jako jeden z příkladů útoků v kyberprostředí
Kde lze nalézt kriminální jednání • Smlouvy – V zásadě je mnoho možností, jak skrýt korupci ve smlouvách. Nejnebezpečnější jsou služby a zejména tzv. outsourcing (často ke nazýván přímo tunelem) – Příklad: velká nadnárodní společnost (ne výrobce) před několika lety dodávala velké tuzemské společnosti síťové vybavení. V souladu s tehdy platným zákonem, nebyla stanovena záruční doba. Přesto původní výrobce poskytoval automaticky 90 denní záruku na dodané zboží. Při kontrole se zjistilo, že tzv. servisní podpora byla sjednána tak, že začala běžet ihned po převzetí zboží a tak byla také účtována. Během tohoto jediného kontraktu přišla firma o cca. 26 mil. CZK, které zaplatila zbytečně. IT personál o situaci věděl.
• Krycí projekty (pravý účel je skryt) – Je využito situace, kdy vedení není schopno rozeznat, že určité věci již byly udělány a není nutno je dělat znovu v rámci jiného projektu. – Příklad: Velká společnost v ČR již provozovala internetové služby, vše bylo instalováno, ale v rozpočtu se náhle objevila položka DMZ. Cena cca. 12 mil. CZK. Problém byl v tom, že DMZ již byla v rámci původního internetového projektu vybudována. Rozpočet byl připraven IT oddělením a schválen vedením. Peníze byly určeny pro jinou IT firmu na tzv. konzultační činnosti.
Korupce jako jeden z příkladů útoků v kyberprostředí
• Nepotřebné projekty – Většina IT projektů je ve své podstatě nepotřebná a když se nezdaří, tak se nic tak hrozného nestane.Lze je nalézt téměř všude: spotřebovávají čas, nervy a peníze – Příklad: • mýtný systém. Data, které sbírá, v zásadě již stát má k dispozici v jiné formě: daňové přiznání, tachometry, tachografy … Úřady nejsou schopny tato data zpracovat a tak se kromě jiných důvodů rozhodly pro mýtný systém… situace se stává nejasnou, nikdy řádně vyřešenou a nevyšetřenou … • Opencard – 880 milionů CZK. Předchozí systém – papírová tramvajenka. Nebylo potřeba databází, speciálních kiosků, portálů, ale i baterií do čteček, čteček atd. Z pohledu občana to mnoho nového nepřineslo. V současné době opět vyšetřováno. Policie obvinila bývalého CIO magistrátu, nyní CIO v ČTV – 24. VIII. 2011) • Řidičské průkazy a trestné body. Opět bylo dříve bez IT systémů, v zásadě vložka do ŘP. Nebylo třeba vzdálených přístupů do databází …. • Sčítání lidu 2011 – stálo asi 2,5 miliardy CZK. Stát v zásadě tato data již měl a navíc se to dalo dělat obdobně jako v SRN, totiž použít statistický vzorek populace. Viz historie … Pochybnosti se vyskytují téměř ve všech obdobných projektech. Policie obvykle nevyšetří mnoho pro nedostatek důkazů. Problémem je nedostatek odborníků, kteří by byli schopni rozpoznat rozdíl mezi reálnými náklady a účtovanou skutečností.
Korupce jako jeden z příkladů útoků v kyberprostředí • Outsourcing – Jedna z největších hrozeb – SLA pomůže v boji s korupcí? NE, je příliš mnoho zákoutí a všude se dá skrýt podvodné jednání. V zásadě to přímo ohrožuje IT prostředí, protože negativně působí na stabilitu tohoto prostředí i na jeho bezpečnost. Je oblíbeno právě pro možnost krytí. Život se nedá schovat za jednou smlouvou. Outsourcing totiž může i zlikvidovat IT prostor. – Příklad: • Ve smlouvě bylo uvedeno, že kontrakt může být vypovězen s půlroční výpovědní lhůtou, jestliže poskytovatel nebude … , ale v jiné části bylo uvedeno, že všechna PC budou prodána poskytovateli služeb, což v případě podniku s několika desítkami tisíc zaměstnanců může vést k tomu, že bude bez PC, jestliže kontrakt zruší.Tato skutečnost byla oznámena vedení firmy, ale to nereagovalo – proč? Situace ve firmách je po uskutečnění outsourcingu horší než před ním. • Možnosti korupce jsou větší než obvykle • Faktury jsou zavádějící a poskytují zkreslené informace. Není jasné za co se platí. • Služby dávají nepřeberné množství možností jak navýšit fakturu. • Nejsou nastaveny jasné vztahy mezi účastníky • Často nemožnost vypovězení kontraktu – ohrožuje kyberprostor více než počítačová kriminalita.
Korupce jako jeden z příkladů útoků v kyberprostředí Metody korupce • Přímá – Hotovost –Tnejjednodušší, ale i nejnebezpečnější – „Dárky“ (notebooky, mobily, spotřební elektronika ...). Často dodáváno jako součást objednávky pod jiným názvem!!
• Nepřímá – Je použita třetí strana (společnost, osoba …). Existuje mnoho zákonů proti korupci, akle ty jsou obcházeny. Záleží na zemi, kde je akce prováděna. (FCPA – Foreign Corrupt Practices Act, UK Anti Bribery Act….) – pro obcházení zákonů jsou použity malé firmy, agentury, které oficiálně zprostředkovávají kontrakt. Získávají až 15% z ceny zakázky. Tyto agentury jsou obvykle napojeny na správné lidi na straně objednavatele. Používají strategie Man In the Middle na straně zákazníka. – Peníze jsou poskytovány formou služeb, jiného zboží nebo požitky, poskytovanými jiným subjektem. – Rodinní příslušníci mají svůj podnik nebo jsou napojeni na zejména právnické a konzultační firmy.
Korupce jako jeden z příkladů útoků v kyberprostředí
Schemata Kupující
1-x
MIM/ Agentura
1
Prodávající 1
2 3, 6
4 5
1 ?
1 – žádost o nabídku 2 – nabídka konzultována s MIM 3 – vnitřní test nabídky 4 – porovnání s ostatními nabídkami, korektury 5 – konečná nabídka 6 – nabídka je oficiálně zpracována ? – odměna pro MIM Nevinní?
1
Prodávající 2
Prodávající 3
Korupce jako jeden z příkladů útoků v kyberprostředí
Externí společnost Právní/konzultační fa. ... Nesmí být z IT…!!!
Prodávající IT fa.
Developer
Fiktivní objednávka
Platba
Obědnávka domu...
Formální Vztah?
Platba hypotéky Použito ve velkých Projektech – relativně bezpečné
Banka
MIM Hypotéka
Výhoda-dlouhodobý vztah a závazek
Korupce jako jeden z příkladů útoků v kyberprostředí Schemata
Cena x + d Prodávající 1
Objednávka Externí fa. Dovozce aut Obvykle právní kancelář (např. z USA) /konzultační fa. ... Nesmí být z IT !!
Objednány fiktivní služby Cena x/4
Autobazar 1 Cena (x/4) + d1
Cena x Neformální dohoda + Kompenzace pro Autobazar 2
Cena x MIM Lze několikrát opakovat
Autobazar 2 Cena x – d2
d - kompenzace
Korupce jako jeden z příkladů útoků v kyberprostředí Schemata
MIM Osoba odpovědná za nákup IT ...
Kupující
Není tolik bezpečné, ale používá se u menších projektů a méně důležitých MIM
Obvykle dodáno v rámci balíku. Není na fakturách.
Prodávající
Korupce jako jeden z příkladů útoků v kyberprostředí Indikátory korupce •
•
•
•
• •
Náhle se objeví „nápad“ jak zvýšit obrat, ale je třeba pořídit nový IT systém. Obvykle velice drahý. Obvykle tento systém nepřinese velký efekt-spíše ztráty. – Proti: ptát se PROČ IT přichází s novými „nutnými“ bezpečnostními opatřeními, protože organizaci hrozí velké nebezpečí. Argumentuje se články z různých počítačových mateřídoušek, tisku apod. – Proti: kde je detailní analýza risik Nový projekt je připravován s mnoha podivnými požadavky (souběh certifikátů apod.). To většinou znamená, že vše je ušito na míru vybrané firmě. – Proti: ptát se PROČ IT projekt je „nezbytný“ pro zvýšení konkurenceschopnosti. Takové často podivné požadavky velmi často spletou vedené, které odsouhlasí projekt, který je ve skutečnosti zcela zbytečný. – Proti: ptát se PROČ a JAK IT projekt je „nezbytný“ pro splnění např. legislativních požadavků a musí být co nejrychleji realizován. – Proti: ptát se, zda nejde požadavek splnit jiným způsobem … Přátelské vztahy mezi personálem firmy a dodavatele jsou často velice významným indikátorem, společné aktivity (golf, výlety atd.) také.
Korupce jako jeden z příkladů útoků v kyberprostředí
• Role zákonů a nařízení – V zásadě negativní, příliš mnoho zákonů a nařízení vytváří džungli, ve které se slušný člověk nedokáže orientovat a zloduchové je snadno obcházejí. Všechny firmy mají firemní kulturu, etická pravidla apod. Ničemu to nepomůže, pokud chybí jasné morální zásady akceptované drtivou většinou společnosti.
• Průnik do instituce/firmy – Podivné změny místa, zdánlivě nevýhodné – Nalezení „správných“ lidí ve firmě a jejich podchycení – Důsledkem je MIM ….
Korupce jako jeden z příkladů útoků v kyberprostředí
• Děkuji za pozornost • Otázky