Taloudellisiin väärinkäytöksiin syyllistyvät arvostetut kollegat,
kyberuhat tulevat ulkopuolelta
KPMG analysoi Global
profiles of the fraudster -tutkimuksessa lähes 600 taloudellisesta
väärinkäytöstapausta ja väärinkäytösten tekijää 78 maassa ympäri maailmaa,
mukaan lukien Suomessa. Tutkimuksen mukaan tyypillistä väärinkäytöksille
on:
- tekijän ikä on 36−45 vuotta
- teko kohdistuu omaan työnantajaorganisaatioon
- tekijä toimii johtavassa asemassa
- tekijä on ollut organisaation palveluksessa yli kuusi vuotta
- tekijä toimii yhteistyössä yhden tai useamman henkilön kanssa
- tekijä nauttii kollegoidensa arvostusta.
Tekijöistä 61 prosenttia on sen organisaation
palveluksessa, johon väärinkäytös kohdistuu. Näistä 41 prosenttia on ollut
kyseisen organisaation palveluksessa yli kuusi vuotta. Useamman tekijän
yhteistyössä toteuttamien väärinkäytösten määrä on noussut jatkuvasti ja niitä
oli 70 prosenttia tutkituista tapauksista (vuoden 2011 tutkimuksessa vastaava
luku oli 61 prosenttia ja vuoden 2007 tutkimuksessa ainoastaan 32 prosenttia).
Näistä 43 prosentissa oli mukana tekijöitä sekä organisaation sisältä että sen
ulkopuolelta.
Vahvat sisäiset kontrollitkaan eivät estä väärinkäytöksiä
Tutkimuksen mukaan peräti 93 prosentissa tapauksista teko
sisälsi useita yksittäisiä transaktioita. Väärinkäytökset jatkuvat monesti
useita vuosia ja niiden havaitsemiseen saattaa mennä 3−5 vuotta. Heikko
sisäinen kontrolli mahdollisti 54 prosenttia väärinkäytöksistä.
− Sisäisten kontrollien toimivuutta onkin syytä arvioida
uudelleen muuttuvassa ympäristössä: eilisen kontrollit eivät vastaa tämän
päivän eivätkä etenkään huomisen kyberriskeihin, toteaa Suomessa KPMG:n
Forensic-palveluita vetävä Jyri
Tarvainen.
− Toisaalta vahvatkaan kontrollit eivät estä
väärinkäytöksiä – peräti 20 prosenttia tekijöistä toimi uhkarohkeasti
kontrolleista piittaamatta, jatkaa Tarvainen.
Kyberväärinkäytösten osuus kasvaa
Tutkimuksen mukaan erilaiset kyberväärinkäytökset, kuten
haittaohjelmien tai väärennettyjä www-sivujen avulla tehtävät rikokset tulevat
todennäköisesti kasvamaan. Samalla huipputeknologian rooli väärinkäytöksissä
voi lisääntyä merkittävästi. Taloudelliset väärinkäytökset ja perinteiset
petokset, joiden tekijä tulee usein organisaation sisältä, poikkeavat jossain
määrin kyberrikollisuudesta, jossa uhka tulee tyypillisesti ulkoa.
− Uhrina on yleensä ensiksi organisaation työntekijä,
joka tietämättään tai ajattelemattomuuttaan joutuu osaksi hyökkäystä antamalla
yritykseen liittyviä tietoja puhelimessa tai klikkaamalla sähköpostin linkkiä
tai liitetiedostoa, kertoo Suomen KPMG:n tietoturvapalveluista vastaava Mika Laaksonen.
− Kun organisaation sisäisiin järjestelmiin on päästy,
hyökkääjä etsii haluamiaan tietoja esimerkiksi patenteista, hinnoittelusta tai
muista liikesalaisuuksista, joilla on merkitystä sekä hyökkääjälle että
organisaatiolle itselleen, jatkaa Laaksonen.
Perinteiset petokset ja sisäiset väärinkäytökset eivät
ole kadonneet mutta kyberuhat ovat tulleet niiden rinnalle. Yritysten on
panostettava myös kyberväärinkäytösten ehkäisemiseen ja niiden havaitsemiseen.
− Selvää on, että organisaatioiden kyky havaita ja siten
puuttua ulkoisiin ja sisäisiin uhkiin ja väärinkäytöksiin on niin KPMG
tutkimuksen kuin julkisuuteen tulleiden tapaustenkin valossa aivan riittämätön,
jatkaa Laaksonen.
Taustaa tutkimuksesta
KPMG:n Global profiles of the fraudster
-tutkimus on jatkoa vuosina 2007 ja 2011 toteutetuille tutkimuksille.
Tutkimuksen kohteena on valkokaulusrikollisuus. Tutkimus pureutuu tyypillisen
taloudellisen väärinkäytöksen tekijän profiiliin sekä tunnusmerkkien,
motivaatiotekijöiden ja ympäristötekijöiden suhteeseen. Vuoden 2013
tutkimuksessa analysoitiin 596 väärinkäytöksen tekijää ja väärinkäytöstapausta
78 maassa ympäri maailmaa. Tutkimus perustuu tapauksiin, joita KPMG tutki
elokuun 2011 ja helmikuun 2013 välisenä aikana.
Tutkimus on luettavissa osoitteessa: