Rośnie zagrożenie cyberprzestępczością w polskich firmach

W ciągu ostatnich 12 miesięcy aż 39% organizacji w Polsce padło ofiarą przestępstw gospodarczych - wynika z raportu firmy doradczej PwC (wcześniej PricewaterhouseCoopers) „Global Economic Crime Survey 2011”. Najczęstszym przestępstwem była kradzież aktywów wskazywana przez 61% respondentów. Na drugim miejscu znalazła się cyberprzestępczość (26% wskazań), a na kolejnych pozycjach korupcja i przekupstwo (również 26%). Zaraz za nimi uplasowały się naruszenia prawa własności intelektualnej (23%) oraz manipulacje księgowe (kolejne 23%).

„Polska zbliża się pod względem profilu przestępczości gospodarczej do świata, natomiast oddala od Europy Środkowo-Wschodniej. Wyjątkiem jest naruszenie praw własności intelektualnej i nadużycia podatkowe, których występowanie jest u nas wciąż dużo częstsze niż w innych krajach. W obu przypadkach przyczyn należy upatrywać m.in. w społecznym przyzwoleniu dla takich zachowań oraz braku świadomości społecznej, że np. wykorzystywanie mienia służbowego do celów prywatnych czy piractwo są naruszeniem” – podkreśla Dariusz Cypcer, Dyrektor w zespole Usług Forensic PwC. „Ciekawym przypadkiem jest także korupcja, która pod względem zarówno wykrywalności jak i percepcji społecznej na temat skali tego zjawiska, również w ostatnich dwóch latach zbliżyła nas do tendencji światowych”.

13% respondentów w Polsce i prawie 10% na świecie ocenia poniesione straty mierzalne na ponad 5 mln USD. Warto podkreślić fakt, że w Polsce wielkość strat z tytułu przestępstw uległa w porównaniu z 2009 r. „przesunięciu” w kierunku strat o niższych wartościach - podobnie jak w krajach Europy Środkowo-Wschodniej i na świecie.  

Oprócz mierzalnych strat przedsiębiorcy ponoszą również koszty, których wartość trudno oszacować. Jako najbardziej dotkliwe polscy respondenci wskazują: negatywny wpływ na morale pracowników (36% wskazań respondentów), na reputację i markę (19%) oraz na relacje biznesowe (16%).

Kim są sprawcy nadużyć?

Jak wynika z badania PwC, w przypadku aż 42% przestępstw - wskazanych przez respondentów w tegorocznej ankiecie - popełniły osoby pochodzące z wewnątrz firmy, co jest znaczącą zmianą w porównaniu z 26% w 2009 r. W 2011 r. byli to najczęściej przedstawiciele kadry kierowniczej średniego i wyższego szczebla (69% nadużyć wewnętrznych). Jako sprawców nadużyć z zewnątrz organizacji firmy najczęściej wskazywały: klientów (47%), agentów lub pośredników (18%) oraz dostawców (12%).

W związku z rosnącą skalą przestępstw wewnętrznych polskie firmy w 2011 r. zaostrzyły sankcje wobec pracowników będących sprawcami nadużyć. Aż 77% poszkodowanych organizacji podjęło decyzję o zwolnieniu pracownika, który popełnił nadużycie (w 2009 r. jedynie 48% firm podjęło taką decyzję). Natomiast ponad połowa firm zdecydowała się na kroki prawne poprzez: wszczęcie sądowego postępowania cywilnego wraz z egzekucją lub zawiadomienie organów ścigania (w 2009 r. 42% firm podjęło taką decyzję).

Przestępstwa popełnione przez sprawców z zewnątrz organizacji spotykały się z mniej surowymi konsekwencjami niż w przypadku sprawców wewnętrznych. W 2011 r. aż 6% organizacji, które ucierpiały w wyniku nadużycia ze strony sprawcy zewnętrznego nie wyciągnęło wobec niego żadnych konsekwencji, podczas gdy w 2009 r. wszystkie poszkodowane organizacje podjęły działania wobec sprawców z poza firmy. Ponadto w 2011 r. przedsiębiorstwa rzadziej niż dwa lata wcześniej rezygnowały z współpracy z nieuczciwym partnerem - w 2009 r. krok ten podjęło 68% organizacji dotkniętych nadużyciem, a w 2011 r. już tylko 53%.

W których branżach odnotowano najwięcej przestępstw?

Branże, w których w ciągu ostatnich 12 miesięcy najczęściej rejestrowano przestępstwa gospodarcze to w ujęciu globalnym: telekomunikacja (48%), ubezpieczenia (48%), sektor usług publicznych i rządowych (46%), turystyka i wypoczynek (45%), usługi finansowe (44%) oraz handel detaliczny i FMCG (42%). W powyższych branżach sprawcami były najczęściej osoby z wewnątrz organizacji, jedynie w sektorze ubezpieczeń oraz finansowym dominowali sprawcy z zewnątrz.

Jak polskie organizacje wykrywają nieprawidłowości?

Jak wynika z badania PwC, aż 16% firm - czyli dwukrotnie więcej niż na świecie – dowiedziało się o popełnieniu przestępstwa przypadkowo. 52% nadużyć wykryto za pomocą mechanizmów kontroli funkcjonujących w spółkach, a 3% dzięki osobom pozostającym poza strukturami przedsiębiorstwa, ale mającymi kontakt z firmą np. dostawcom, klientom. Najbardziej skutecznymi metodami wykrywania nieprawidłowości zarówno w Polsce jak i na świecie okazały się elementy kontroli wewnętrznych spółki – systemy raportowania o podejrzanych transakcjach (wykryto w ten sposób 19% nadużyć w Polsce, 18% na świecie) oraz audyt wewnętrzny (odpowiednio - 16% w Polsce, 14% na świecie). Ze wszystkich badanych organizacji, które doświadczyły nadużyć, jedynie 3% odkryło je poprzez systemy zarządzania ryzykiem nadużyć (Fraud Risk Management) oraz kolejne 3% za pomocą formalnego systemu poufnego informowania (systemy whistleblowingu). Na świecie obie metody odpowiadają łącznie za 15% wykrytych przestępstw. 

„To, co istotnie odróżnia Polskę od trendów światowych, to niska efektywność narzędzi stosowanych do zapobiegania i wykrywania przestępstw gospodarczych. Identyfikacja, a następnie pomiar nadużyć coraz częściej staje się dziełem przypadku, a nie efektem świadomie podejmowanych działań kontrolnych w organizacji. Tendencja ta jest szczególnie niepokojąca w okresie spowolnienia gospodarczego, kiedy poziom przestępczości gospodarczej zwyczajowo rośnie. Brak odpowiednich narzędzi kontroli oznacza również brak możliwości oszacowania finansowych i pozafinansowych skutków nadużyć” – podkreśla Dariusz Cypcer.

Coraz groźniejsza cyberprzestępczość

W Polsce cyberprzestępczość odnotowano w 26% organizacji biorących udział w badaniu - było to więcej niż w Europie Środkowo – Wschodniej (18%) oraz na świecie (23%). W 2011 r. zarówno w Polsce jak i globalnie cyberprzestępstwa (typowymi przykładami są rozpowszechnianie wirusów, nielegalne pobieranie plików, phishing i pharming oraz kradzież danych osobowych np. danych dotyczących kont bankowych i kart kredytowych) znalazły się w grupie czterech najczęściej raportowanych przez firmy przestępstw.

37% polskich firm zauważyło wzrost ryzyka cyberprzestępczości w ciągu ostatniego roku, podczas gdy tylko 10% dostrzega tendencję odwrotną. Percepcja w zakresie zagrożenia cyberprzestępczością zmieniła się także w ciągu ostatnich dwóch lat na świecie i w Europie Środkowo-Wschodniej - odpowiednio 40% i 30% organizacji jest obecnie przekonanych o większym zagrożeniu przestępczością komputerową. Co gorsza firmy przewidują, że w ciągu następnych 12 miesięcy to ryzyko jeszcze wzrośnie – aż 34% polskich organizacji ocenia, iż w tym czasie może stać się ofiarą cyberprzestępstwa.

Dla 40% organizacji na świecie największym zagrożeniem związanym z cyberprzestępczością jest ryzyko utraty reputacji. „Organizacja będąca przedmiotem cyberprzestępstwa, postrzegana jest przez partnerów biznesowych jako mniej bezpieczna, a odbudowa nadszarpniętej reputacji jest działaniem żmudnym i nie zawsze kończy się sukcesem. Dlatego też firmy starają się dbać o bezpieczeństwo swoich interesariuszy np. ochronę danych swoich klientów, tak aby budować swoją przewagę konkurencyjną. Przypadki cyberprzestępczości mogłyby wpłynąć na utratę zaufania klientów, a także kontrahentów firmy” – wskazuje Dariusz Cypcer.

Dla porównania polskie organizacje w związku z cyberprzestępczości najbardziej obawiają się: kradzieży własności intelektualnej, w tym kradzieży danych (33%), kradzieży lub utraty danych osobowych (32%), przerw w świadczeniu usług (29%), dopiero na czwartym miejscu - utraty reputacji (28%), na kolejnym - strat finansowych (19%).

Kim są cyberprzestępcy i jak organizacje się przed nimi bronią?

Jak wynika z badania niespełna połowa organizacji na świecie postrzega cyberprzestępców jako osoby pochodzące z zewnątrz organizacji, a 42% z wewnątrz firmy. Jako źródło zagrożeń wewnętrznych najwięcej respondentów wskazało dział IT (po 53% wskazań zarówno w Polsce jak i na świecie).

„Nie jest to zaskakujące, zważywszy, iż firmy mają świadomość tego, że pracownicy IT posiadają zarówno odpowiednie umiejętności, jak również możliwość dostępu do technologii i narzędzi IT. W szczególności mogą oni posiadać szersze prawa dostępu do systemów finansowo-księgowych w organizacji oraz szereg umiejętności ułatwiających im zatarcie śladów w systemach popełnionych przez siebie nieprawidłowości” – podkreśla Dariusz Cypcer.

Ponad 1/3 globalnych organizacji nie posiada żadnych mechanizmów zapobiegania cyberprzestępczości, a 2/3 firm mechanizmów wykrywania tego rodzaju przestępstw. Co więcej, odpowiednio 42% i 40% przedsiębiorstw w Polsce i na świecie, w ogóle nie informowało pracowników o ryzyku cyberprzestępczości, natomiast w 33% polskich i 40% globalnych firm informowanie sprowadzało się jedynie do formy ogłoszeń lub e-maili. Jedynie 15% polskich organizacji przeprowadziło szkolenia komputerowe w tym zakresie, podczas gdy na świecie robi to ponad 1/3 badanych.

Choć portale społecznościowe takie jak Facebook, Twitter lub LinkedIn nie są bezpośrednim źródłem cybeprzestępczości, to mogą one jednak zwiększać jej zasięg lub efektywność. Dla przykładu, strony portali społecznościowych mogą zostać wykorzystane do zbierania informacji o konkretnych osobach (metoda określana jako „spear phishing”), do wyszukiwania informacji o pracownikach lub w celu zainstalowania złośliwego oprogramowania na komputerze użytkownika. W odpowiedzi na powyższe ryzyka 1/3 polskich organizacji prowadzi monitoring używania przez pracowników portali społecznościowych takich jak Facebook czy Twitter, które mogą stanowić zagrożenie dla organizacji. Na świecie takie działania podjęło już 40% organizacji.

Informacje o badaniu

Szóstą edycję badania przestępczości gospodarczej „Global Economic Crime Survey 2011” przeprowadzono między lipcem a listopadem 2011 r. Na kwestionariusz internetowy odpowiedziało 3877 respondentów z 72 krajów na świecie, w tym także 79 respondentów z Polski. Uczestników poproszono o udzielenie odpowiedzi na pytania dotyczące własnej organizacji oraz kraju, w którym prowadzą działalność.

Grupy usług ds. przestępczości gospodarczej (Usług Forensic) globalnej sieci firm PwC odgrywają wiodącą rolę w rozwiązywaniu problemów w całym cyklu życia przestępstwa i w dziedzinie innych możliwych do uniknięcia strat, oferując usługi śledcze po popełnieniu przestępstwa oraz prewencyjne usługi naprawcze i z zakresu compliance klientom w sektorze publicznym i prywatnym.