Сегодня в очередной раз обсуждали с коллегами, какими темпами развиваются новые технологии.

И пока компании придумывают "антифрод-барьеры" мошенники вырываются вперёд.

Хорошая статья о дипфейках простыми словами от регулятора.
Я поделилась со своими родными - и вам рекомендую.

Предлагаю начать неделю с этой важной темы. Поддержите?

Может есть в закладках хорошие материалы на эту тему, поделитесь, пожалуйста 🙌 (в комментариях здесь же или приходите в чат)

#полезное #статья #кибербезопасность #мошенничество #дипфейк

Неэкспертное мнение: дипфейки в компаниях

Точно не могу отнести себя (пока?) к экспертам по дипфейкам, а значит, попрошу не судить строго.
Пока мы думаем, что прогресс до нас дойдет не скоро, предлагаю начать готовиться.

Дипфейк - это прежде всего инструмент, который мошенники используют для получения выгоды. Вне зависимости от сценария, конечная цель, чаще всего - деньги. (Нельзя исключать "заказ" конкурентов, рейдерство, месть креативных работников и т.д.).

🖇С чего начать? Что могут порекомендовать аудиторы?
1. Ищем выгоду. Нужно определить в каких операциях / областях / на каких этапах можно так или иначе получить доступ к средствам в компании или запустить какие-то важные решения с финансовым эффектом.
⚡Особое внимание на онлайн формат. Какие "финансовые" вопросы у вас можно решить без личного присутствия?
2. Определить список людей / должностей, которые находятся в зоне риска воздействия на них с использованием дипфейков.
3. Собрать и изучить информацию об уже реализованных кейсах в мире.
4. С учетом п.1 и 2 устроить мозговой штурм экспертов компании и набросать сценарии для вашей компании.
5. Для каждого сценария зафиксировать признаки / сигналы / ключевые слова - "тревожные звоночки".
6. Разработать скрипты / памятки в случае срабатывания этих звоночков:
- кому звонить / кого подключать к вопросу;
- что и с чем сверять, что должно / может быть предпринято дополнительно;
- будут ли какие-то спец.процедуры для особо крупных сумм / категорий / статусов клиентов или работников. Например, если поступают указания от имени CEO, фин.директора, VIP клиента;
- нужны ли уже сейчас изменения в какие-то процессы, отмены "упрощенных" процедур согласования (если по ним высокая вероятность применения дипфейков?).

Отработать все варианты с ответственными. Включая менеджмент. Периодически повторять (кто-то должен быть ответственным за это).

При появлении на рынке новых кейсов обсуждать - по какой схеме они произошли, вносить изменения в свои сценарии и скрипты.
7. Закрепить всё, что придумано в пунктах выше.
8. Организовать обучение всего коллектива (с примерами) и регулярное освещение на внутренних ресурсах / в рассылке кейсов, которые фиксируются в других компаниях, включая международные.

❓Что думаете насчет этого плана? Дополнения и обратная связь приветствуются.

Это прям совсем простые шаги, не требующие больших вложений и технологических решений. Какой из пунктов интереснее или сложнее всего для вашей сферы?

Продолжение следует...

🖇Начала собирать интересные материалы на эту тему, обязательно попозже поделюсь. Кому интересно - давайте погружаться вместе.

#дипфейк #мошенничество

🖇 Дипфейки: подборка                  
1. Базовые понятия о дипфейках простым языком от прайваси-экспертов.
2. Запись интересного вебинара от RPPA с описанием технологий, примерами удачных (и не очень) дипфейков. Лайфхаки по их распознаванию.
3. Дипфейки как средство взлома систем биометрической идентификации.
4. Отчет КПМГ о дипфейках от 2023г.
5. Ведомости о дипфейках, схеме fake boss и обсуждение ответственности.
6. Известия: цифры и схемы обмана с помощью технологии дипфейк.
7. Новость о групповом дипфейке, на заметку финансистам и не только.
8. Почти лонгрид о дипфейках от казахстанского регулятора.
9. План-инструкция с простыми первыми шагами.
10. Новый инструмент искусственного интеллекта от Microsoft — кошмарная машина для дипфейков.

✏Планирую дальше сюда же закидывать новости, статьи и новые кейсы на эту тему.

#дипфейк #мошенничество
#подборки

Поддержать канал донатом

Нравится контент? Можно поддержать автора донатом

#мероприятия
#комплаенс

Друзья, в эту субботу в г.Алматы состоится интересное событие в честь Международного Женского Дня по теме: "Impact the Future".

Соорганизаторами выступают наши коллеги из комплаенс, инициатива направлена на поддержку и продвижение женщин в ИТ и комплаенс.

Дата: 16.03.2024 г.
Время: 9:30-16:00
Место: Almaty Management University
Участие: бесплатно

Регистрация по ссылке*
https://gdg.community.dev/events/details/google-gdg-almaty-presents-international-womens-day-2024-almaty-kazakhstan/
*у меня сработало только при вводе в браузер, не по прямому переходу

Детали по докладам сессии комплаенс здесь

Если у кого получится прийти - буду рада встретиться.

Они другие: почему молодежь не мечтает о профессии вн.аудитора?

Мнение моё, субъективное в ответ на вопрос:

Катерина, почему "не пойдут"? Что их пугивает во ВА и привлекает в других сферах (IT, я полагаю)?

Возможно это не очень "патриотично", но давайте честно.

Нашей профессии сейчас конкурировать за горящие глаза и юные сердца совсем не просто. Мы их "не тянем" сейчас:
• по энергетике;
• по уровню гибкости и свободы (в т.ч.на свои проекты);
• по деньгам;
• по возможностям роста и ожиданиям;
• по балансу между важной рутиной и новизной;
• по яркости впечатлений и "интересности" задач (конечно и наши проекты могут быть интересны для молодых специалистов, но точно никто не гарантирует работу только над интересными).

Ну и в целом, не хватает позитивного пиара профессии, потенциальных ролевых моделей (слабо представляю молодых ребят, мечтающих быть похожими на текущих гуру вн.аудита из LinkedIn).

При этом, мы "лидеры" в отношении требований:
• к скорости работы и предоставления результатов;
• к качеству / точности / глубине погружения в процесс;
• к дисциплине (в большинстве компаний, хотя есть исключения);
• к постоянному самообразованию и самоотдаче;
• к загруженности (не представляю новичка в профессии, который сможет параллельно запустить что-то своё).

Плюс чаще всего это сложная работа со сложными людьми. Не зря же мы нередко обсуждаем темы о корпоративных психопатах и токсичные коммуникации - всё из жизни.

Чаще всего в компаниях нет ассистентских позиций. А раз берут на основную позицию сразу, то все эти требования включаются тоже сразу. Очень редко где дадут достаточный срок для адаптации. Она 99% будет параллельной с каким-то заданием.

⚖Итого: мало нужных им плюшек (которые есть в ИТ / в других профессиях с приставкой - диджитал) и много требований.

Давно писала пост о поколении Z (в качестве проверяемой стороны), но и в этом случае многие пункты подходят.

Что с этим делать?
Уверена, на уровне отдельных компаний (не сферы полностью) с развитыми hr процессами и современной культурой, бюджетом можно пробовать внедрять элементы из первого списка.

Быть более открытыми и представленными в информационном поле. Делиться успешными историями.

Что делать со списком 2? Предлагайте варианты - помогайте избежать старения профессии))

#карьера

Коллеги из Клуба корпоративной безопасности проводят опрос о горячей линии.
Среди респондентов точно будет СБ и комплаенс.
Давайте поучаствуем, чтоб было мнение и от нас.

Как крадут миллиарды: VIP-менеджер банка воровала миллионы со счетов VIP-клиентов

Коллеги в чате поделились новостью

А я вспомнила давний кейс, за которым наблюдала. Очень "яркая" история была. Для любителей почитать в обед:
Часть 1
Часть 2
Часть 3
Часть 4
Часть 5
Для тех кому лень проваливаться по ссылочкам (но там прям интересно) - в своё время писала об этом пост:

1,6 млрд.тг. (около 5 млн.💲) было похищено со счетов VIP клиентов Банка Астана за 4 года.
В г.Алматы идет процесс над бывшей начальницей VIP отделения и ее братом.

Как оказалось, до трудоустройства в Банк Астаны, У. была уволена из другого банка по отрицательным мотивам, что не помешало ей в будущем занять руководящую позицию и работать с премьер-сегментом.

Все началось с проблем у ее брата, для которого она и сняла со счета клиента первые 10 950💲.

Далее деньги снимаются со счетов крупных клиентов, опустошаются банковские ячейки.

Бывшая работница Банка рассказывает, что ее служебные обязанности  позволяли ей иметь свободный доступ к счетам и ячейкам.

Суммы в 80 000$ в показаниях она  называет мелочью. В рассказе обвиняемой появляются новые фигуранты. Она заявляет о шантаже по телефону якобы работников Нацбанка, которым стало известно о ее махинациях.

Аппетиты участников растут. Она сотнями тысяч долларов передает деньги на зарубежные поездки, на лечение заграницей отца шантажиста, который умирает в Израиле и нужны деньги на возврат тела на родину.

Из банковской ячейки одного из крупнейших клиентов она забирает 300 000 долларов для участия в новой задумке брата и шантажиста - добыча золота в Жамбылской области. Но денег не хватило,  она отдает брату  еще 500 000 долларов....

Какие контроли не сработали или их и не было?
‼проверка персонала;
‼принцип 4х глаз;
‼доступ к депозитарию;
‼повышенный уровень доверия, бесконтрольность и отсутствие процедур выявления несанкционированных операций.

#новости #хищения #мошенничество

Друзья, от души поздравляю всех с весенним праздником Наурыз!

Весеннего настроения, изобилия, обновления, ярких эмоций и тёплых встреч!

Привет из Казахстана 👋

🍿Интересный кейс, будем наблюдать?
#внешний_аудит

Новый Enron скандал или что-то еще?! 😅

Власти Китая тщательно изучают PricewaterhouseCoopers LLP (PwC) за ее роль в аудите China Evergrande Group на фоне обвинений в мошенничестве в размере 78 миллиардов долларов США с участием Evergrande.

Этот контроль происходит после того, как основная дочерняя компания Evergrande, Hengda Real Estate Group, была обвинена китайским регулятором ценных бумаг в преждевременном признании продаж и значительном завышении выручки в 2019 и 2020 годах.

Расследование распространяется на практику аудита PwC, при этом должностные лица контактировали с бывшими аудиторами PwC, которые провели аудит Evergrande. Штрафы для PwC еще не объявлены, так как расследования в отношении основателя Evergrande, Хуэй Ка Яня, продолжаются.

PwC, столкнувшись с глобальным контролем из-за различных скандалов, более десяти лет проводила аудит Evergrande, уйдя в отставку в январе 2023 года из-за разногласий в аудите. Обвинения в неправильной финансовой отчетности Evergrande включают в себя завышение прибыли на 91,9 миллиарда юаней (12,7 миллиарда долларов) и принятие агрессивной тактики признания доходов, которая искажает обязательства компании.

Эта практика способствовала продаже облигаций Evergrande, но способствовала дефолту в 2021 году, поставив под угрозу многочисленные предпродажные проекты квартир.

Процедура ликвидации Evergrande в Гонконге может привести к искам против PwC о компенсации, что еще больше нагрузит финансовое положение аудитора. Этот случай отражает более широкие вопросы в секторе аудита, подчеркнутые значительными штрафами и операционными приостановками, наложенными на другие крупные бухгалтерские фирмы за пропущенные проверки в Китае. Расследование PwC не только угрожает ее репутации, но и поднимает вопросы об эффективности стандартов и практики аудита, особенно в секторе недвижимости, где аналогичная тактика признания доходов, возможно, использовалась другими застройщиками.

🚩 Мошенничество на рабочем месте: исследование ACFE - 2023.

Отчет составлен на основе информации о реальных кейсах. Эксперты ответили на  86 вопросов о подробностях раскрытых дел, преступниках, организациях - жертвах, используемых методах мошенничества.

Несколько тезисов из отчета:
🚩Более 50%  случаев мошенничества
произошло из-за отсутствия внутреннего контроля или 
обхода существующего внутреннего контроля.

🚩Чем дольше мошенник успел поработать в организации, тем выше сумма потерь от совершенного мошенничества.

🚩Мошенничества, совершенные тремя или более лицами нанесли ущерб более, чем
4 раза больше, чем те, кто действовал в одиночку.

🚩В 84% случаев у мошенников проявлялся, как минимум, один поведенческий red flag.

🚩43% мошенничества были раскрыты благодаря сообщениям осведомителей. Из них больше 50%  - это  сотрудники.

🚩В 29% информаторы сообщали о мошенничестве непосредственному руководителю (это max в тех случаях, где не использовалась горячая линия).

Скачать

#исследования #мошенничество

🥁Анонсы ближайших мероприятий, которые могут быть интересны вам или вашим коллегам

🗓26 марта: вебинар (бесплатно, онлайн) от эксперта информационной безопасности Алексея Лукацкого на острую тему: "Что делать, если вас взломали?"
Ссылка для регистрации

🗓28 марта: вебинар на площадке ИВА РФ "Построение общих ИТ-контролей" (бесплатно, онлайн, доступен только членам).
Регистрация

🗓3 апреля: Бизнес-завтрак в Московском офисе KEPT (бесплатно), на котором планируется обсудить актуальные вопросы управления дебиторской задолженностью и оценки кредитного рейтинга контрагентов.
Регистрация

#вебинары
#полезное

Бренд работодателя  - прошлый век. Мыслите глобальнее: как лично вы влияете на "бренд профессии"? )))

не #пятничное