Ing. Zdeněk Blažek, CSc. CISM. COMMERZBANK AG Jh. Katedra počítačových systémů Fakulta informačních technologiíí České vysoké učení technické v Praze Zdeněk Blažek, 2011 Kybernalita ZS 2011/12, Předn. 5 https://edux.fit.cvut.cz/mi-kyb-1 Evropský sociální fond Praha & EU: Investujeme do vaší budoucnosti Ing. Zdeněk Blažek, CSc. CISM. Korupce jako jeden z příkladů Přednáška 4/13, 2011
Agenda Korupce jako součást řízení rizik IT projektů IT prostředí bez korupce? Příklady míst, kde se korupce projevuje Smlouvy Krycí projekty (pravý účel je skryt) Nepotřebné projekty Zmanipulované soutěže Pronikání do institucí Přímé uplácení Důvody snadného korumpování v IT Korupční schenata Zákony, etika a jejich role při korupci v IT
IT Projekt Vyhodnocení. Co je předmětem projektu? Hrozba korupce Zranitelnost. Jaké je zranitelnost projektu v rámci firmy/společnosti/ instituce? Odstranění zranitelnosti Co jsme udělali pro její odstranění Dopad Finanční i nefinanční ztráty pro Společnost/firmu/instituci Pravděpodobnost Možnost, že projekt bude zmanipulován Riziko Riziko = dopad x pravděpodobnost
Původ korupce v IT prostředí Podíl IT na nákladech veřejného i soukromého sektoru stále roste Vzrůstá závislost na IT IT paradox: Máme více tzv. IT odborníků, kteří mají mizivé znalosti reálného IT (CIO jsou velice často vzděláni pouze ekonomicky nebo jako MBA) a tak nejsou schopni pochopit technickou stránku věci SW/HW náklady. ) Nižší úroveň znalostí znamená, že vedení firmy není schopno rozpoznat korupci Strach z kolapsu IT ve firmě velice často je to právě IT, kdo řídí firmu Nižší úroveň znalostí u policie a vyšetřovatelů vede u útočníků k pocitu nezranitelnosti viz dále. How to handle? Lze důvodně předpokládat, že většina IT projektů je ovlivněna kriminálními praktikami. Dle Gartnerů až 70% projektů je neúspěšných. Find somewhere a real expert who will be able to
Jak se postavit k IT projektům Nalezněte někoho, kdo opravdu IT rozumí a to nejen z hlediska odborného, ale i finančního. Musí být schopen rozpoznat, že je něco shnilého. Je nutno vzít do úvahy, že CIO není expert je to manažer a tudíž je také s největší pravděpodobností do záležitosti zapleten. Nesmí se věřit hezkým slovům typu: zvýší to naši konkurenceschopnost,.. přinese nový obchod atd. Obvykle je za tím pouze hezká PowerPointová prezentace. Nelze spoléhat na policii a soudy viz výše. V prvéřadě je nutno předcházet problémů
Situace Téměř všichni dodavatelé IT jsou tak či onak zapleteni do korupce. Je často velice těžké odlišit korupci od budování tzv. dobrých vztahů se zákazníkem. IT dnes základ všech finančních institucí, průmyslu, armády, správy země Pouze minimum případů korupce v IT je stíháno a publikováno
Hrozby: Finanční přímé (finanční ztráty zaviněné špatným projektem, předražení, prodloužení atd., 70% projektů neúspěšných z důvodů korupce nebo neschopného vedení) nepřímé (finanční ztráty způsobené např. zavlečením škodlivého kódu do programu atd.) Informační (díky korupci a neschopnosti je v praxi využíváno cca. 10% dat ztráta kontroly nad daty) Bezpečnostní (zkorumpovaný manažer nebo IT pracovník může být snadno přinucen k dalším kriminálním aktivitám krádež dat ) Reputační (pokud je firma či instituce zapletena do korupční aféry, odrazí se to na její pověsti )
Firma ADS Software vyhrála skvělou zakázku - za informační systém pro státní agenturu CzechInvest dostala 275 milionů. O jednadvacet dní později dává firma do pohybu přes sedm milionů korun a ty končí u rodiny vysokého státního úředníka, jenž měl CzechInvest na starosti. Zakázku na informační systém pro státní agenturu CzechInvest za 275 milionů provází velmi podezřelé okolnosti. Hospodářské noviny zjistily, že firma ADS Software, která tendr před dvěma lety vyhrála, vzápětí spustila transakce, na jejichž konci se přesunulo 7,1 milionů korun na účet poradenské firmy, již založil XY, úředník s přímou vazbou na CzechInverst. Trestní oznámení na XY, který byl v inkriminované době ředitelem sekce evropských fondů na ministerstvu průmyslu, pod nějž CzechInvest spadá, podala loni v srpnu protikorupční organizace Transparency International. Jak nyní vyšlo najevo, policisté toto trestní oznámení odložili. Firma ADS Software dala zmíněných sedm milionů do pohybu hned jednadvacet dní poté, co obří zakázku vyhrála. Peníze skončily u rodiny vysokého státního úředníka XY. Ten tehdy pracoval jako ředitel sekce evropských fondů na ministerstvu průmyslu, pod nějž CzechInvest spadá. Společnost ADS Software poslala miliony nejprve firmě E-institut, která se živí poskytováním školení přes internet. Odtud pak odešly na účet poradenské firmy ITS 42, která je pro celý příběh důležitá založil ji totiž právě XY a v roce 2007, kdy nastoupil na ministerstvo, ji převedl na svého otce. (červen 2011)
Kde lze nalézt kriminální jednání Smlouvy V zásadě je mnoho možností, jak skrýt korupci ve smlouvách. Nejnebezpečnější jsou služby a zejména tzv. outsourcing (často ke nazýván přímo tunelem) Příklad: velká nadnárodní společnost (ne výrobce) před několika lety dodávala velké tuzemské společnosti síťové vybavení. V souladu s tehdy platným zákonem, nebyla stanovena záruční doba. Přesto původní výrobce poskytoval automaticky 90 denní záruku na dodané zboží. Při kontrole se zjistilo, že tzv. servisní podpora byla sjednána tak, že začala běžet ihned po převzetí zboží a tak byla také účtována. Během tohoto jediného kontraktu přišla firma o cca. 26 mil. CZK, které zaplatila zbytečně. IT personál o situaci věděl. Krycí projekty (pravý účel je skryt) Je využito situace, kdy vedení není schopno rozeznat, že určité věci již byly udělány a není nutno je dělat znovu v rámci jiného projektu. Příklad: Velká společnost v ČR již provozovala internetové služby, vše bylo instalováno, ale v rozpočtu se náhle objevila položka DMZ. Cena cca. 12 mil. CZK. Problém byl v tom, že DMZ již byla v rámci původního internetového projektu vybudována. Rozpočet byl připraven IT oddělením a schválen vedením. Peníze byly určeny pro jinou IT firmu na tzv. konzultačníčinnosti.
Nepotřebné projekty Většina IT projektů je ve své podstatě nepotřebná a když se nezdaří, tak se nic tak hrozného nestane.lze je nalézt téměř všude: spotřebovávají čas, nervy a peníze Příklad: mýtný systém. Data, které sbírá, v zásadě již stát má k dispozici v jiné formě: daňové přiznání, tachometry, tachografy Úřady nejsou schopny tato data zpracovat a tak se kromě jiných důvodů rozhodly pro mýtný systém situace se stává nejasnou, nikdy řádně vyřešenou a nevyšetřenou Opencard 880 milionů CZK. Předchozí systém papírová tramvajenka. Nebylo potřeba databází, speciálních kiosků, portálů, ale i baterií do čteček, čteček atd. Z pohledu občana to mnoho nového nepřineslo. V současné době opět vyšetřováno. Policie obvinila bývalého CIO magistrátu, nyní CIO v ČTV 24. VIII. 2011) Řidičské průkazy a trestné body. Opět bylo dříve bez IT systémů, v zásadě vložka do ŘP. Nebylo třeba vzdálených přístupů do databází. Sčítání lidu 2011 stálo asi 2,5 miliardy CZK. Stát v zásadě tato data již měl a navíc se to dalo dělat obdobně jako v SRN, totiž použít statistický vzorek populace. Viz historie Pochybnosti se vyskytují téměř ve všech obdobných projektech. Policie obvykle nevyšetří mnoho pro nedostatek důkazů. Problémem je nedostatek odborníků, kteří by byli schopni rozpoznat rozdíl mezi reálnými náklady a účtovanou skutečností.
Outsourcing Jedna z největších hrozeb SLA pomůže v boji s korupcí? NE, je příliš mnoho zákoutí a všude se dá skrýt podvodné jednání. V zásadě to přímo ohrožuje IT prostředí, protože negativně působí na stabilitu tohoto prostředí i na jeho bezpečnost. Je oblíbeno právě pro možnost krytí. Život se nedá schovat za jednou smlouvou. Outsourcing totiž může i zlikvidovat IT prostor. Příklad: Ve smlouvě bylo uvedeno, že kontrakt může být vypovězen s půlroční výpovědní lhůtou, jestliže poskytovatel nebude, ale v jiné části bylo uvedeno, že všechna PC budou prodána poskytovateli služeb, což v případě podniku s několika desítkami tisíc zaměstnanců může vést k tomu, že bude bez PC, jestliže kontrakt zruší.tato skutečnost byla oznámena vedení firmy, ale to nereagovalo proč? Situace ve firmách je po uskutečnění outsourcingu horší než před ním. Možnosti korupce jsou větší než obvykle Faktury jsou zavádějící a poskytují zkreslené informace. Není jasné za co se platí. Služby dávají nepřeberné množství možností jak navýšit fakturu. Nejsou nastaveny jasné vztahy mezi účastníky Často nemožnost vypovězení kontraktu ohrožuje kyberprostor více než počítačová kriminalita.
Metody korupce Přímá Hotovost Tnejjednodušší, ale i nejnebezpečnější Dárky (notebooky, mobily, spotřební elektronika...). Často dodáváno jako součást objednávky pod jiným názvem!! Nepřímá Je použita třetí strana (společnost, osoba ). Existuje mnoho zákonů proti korupci, akle ty jsou obcházeny. Záleží na zemi, kde je akce prováděna. (FCPA Foreign Corrupt Practices Act, UK Anti Bribery Act.) pro obcházení zákonů jsou použity malé firmy, agentury, které oficiálně zprostředkovávají kontrakt. Získávají až 15% z ceny zakázky. Tyto agentury jsou obvykle napojeny na správné lidi na straně objednavatele. Používají strategie Man In the Middle na straně zákazníka. Peníze jsou poskytovány formou služeb, jiného zboží nebo požitky, poskytovanými jiným subjektem. Rodinní příslušníci mají svůj podnik nebo jsou napojeni na zejména právnické a konzultační firmy.
Schemata Kupující 1-x MIM/ Agentura 1 2 3, 6 4 Prodávající 1 1 žádost o nabídku 2 nabídka konzultována s MIM 3 vnitřní test nabídky 4 porovnání s ostatními nabídkami, korektury 5 konečná nabídka 6 nabídka je oficiálně zpracována? odměna pro MIM 5 1 1 Prodávající 2 Prodávající 3? Nevinní?
Prodávající IT fa. Použito ve velkých Projektech relativně bezpečné Externí společnost Právní/konzultační fa.... Fiktivní Nesmí být z IT!!! objednávka Formální Vztah? MIM Obědnávka domu... Platba hypotéky Hypotéka Developer Banka Platba Výhoda-dlouhodobý vztah a závazek
Schemata Prodávající 1 Cena x + d Objednány fiktivní služby Cena x/4 Lze několikrát opakovat Cena (x/4) + d1 Externí fa. Obvykle právní kancelář /konzultační fa.... Nesmí být z IT!! Autobazar 1 Cena x MIM Autobazar 2 Objednávka Dovozce aut (např. z USA) Cena x Neformální dohoda + Kompenzace pro Autobazar 2 Cena x d2 d - kompenzace
Schemata Kupující MIM Osoba odpovědná za nákup IT... Prodávající Není tolik bezpečné, ale používá se u menších projektů a méně důležitých MIM Obvykle dodáno v rámci balíku. Není na fakturách.
Indikátory korupce Náhle se objeví nápad jak zvýšit obrat, ale je třeba pořídit nový IT systém. Obvykle velice drahý. Obvykle tento systém nepřinese velký efekt-spíše ztráty. Proti: ptát se PROČ IT přichází s novými nutnými bezpečnostními opatřeními, protože organizaci hrozí velké nebezpečí. Argumentuje se články z různých počítačových mateřídoušek, tisku apod. Proti: kde je detailní analýza risik Nový projekt je připravován s mnoha podivnými požadavky (souběh certifikátů apod.). To většinou znamená, že vše je ušito na míru vybrané firmě. Proti: ptát se PROČ IT projekt je nezbytný pro zvýšení konkurenceschopnosti. Takovéčasto podivné požadavky velmi často spletou vedené, které odsouhlasí projekt, který je ve skutečnosti zcela zbytečný. Proti: ptát se PROČ a JAK IT projekt je nezbytný pro splnění např. legislativních požadavků a musí být co nejrychleji realizován. Proti: ptát se, zda nejde požadavek splnit jiným způsobem Přátelské vztahy mezi personálem firmy a dodavatele jsou často velice významným indikátorem, společné aktivity (golf, výlety atd.) také.
Role zákonů a nařízení V zásadě negativní, příliš mnoho zákonů a nařízení vytváří džungli, ve které se slušný člověk nedokáže orientovat a zloduchové je snadno obcházejí. Všechny firmy mají firemní kulturu, etická pravidla apod. Ničemu to nepomůže, pokud chybí jasné morální zásady akceptované drtivou většinou společnosti. Průnik do instituce/firmy Podivné změny místa, zdánlivě nevýhodné Nalezení správných lidí ve firmě a jejich podchycení Důsledkem je MIM.
Děkuji za pozornost Otázky