Kompra | Всё о безопасности
785 subscribers
965 photos
167 videos
25 files
1.25K links
Канал о новостях в сфере корпоративной безопасности. Разбираем кейсы мошенничества, коррупции и рисков работы с ненадежными компаниями.

Аналитика от команды Kompra.kz.

Задать вопрос о сервисе: hello@kompra.kz.
Download Telegram
Руководители больше волнуются о прибыли, чем о кибербезопасности

Только 40% директоров ставят во главе поддержку управления и состояния кибербезопасности компании. Специалисты Snow Software выявили такую закономерность, опросив более 400 IT-руководителей организаций.

Этот показатель говорит о том, что предприятия уделяют куда большее внимание конкуренции, нежели защите компьютерных систем.

При этом для большинства директоров гибридный формат работы в пандемию понес убытки. И часть из них связана именно с информационной безопасностью и утечками. Рекомендуем обратиться к выводам исследования.

#новости #иб #информационная_безопасность
Рейтинг веб-ресурсов банков Казахстана по уровню безопасности

ЦАРКА оценили уровень защищенности веб-ресурсов банков второго уровня в Казахстане. И на основе данных составили рейтинг веб-безопасности, который указывает на обнаруженные уязвимости. Ни один из банков не продемонстрировал максимальный уровень защищенности.

Также чаще всего на ресурсах встречалась такая проблема, как отсутствие security.txt, а именно контактов отдела ИБ, которые позволят пользователям на прямую обращаться в отдел ИБ банка в случае выявления нарушений в работе веб-ресурса.

ЦАРКА отмечает, что подобный анализ поможет отделам информационной безопасности банков обратить внимание на выявленные уязвимости. Ведь их потенциально могут использовать злоумышленники.
Оптимизация кадрового состава

В сети обсуждают пермскую компанию Xsolla, которая уволила 150 сотрудников на основе Big Data-анализа их активности в рабочих сервисах.

Гендиректор Xsolla объяснил, что темпы роста компании упали ниже 40% — поэтому они решили уволить сотрудников, которые «отсиживались». Такие меры являются частью процесса реструктуризации и оптимизация кадрового состава.

Анализ активности сотрудников проходил через внутренние инструменты. Под проверку попали только данные, которые располагаются на общем сервере. Это не нарушает приватности ни одного из сотрудников. По факту «утечки» информации из писем-уведомлений уже началось внутреннее расследование.

#новости #иб #информационная_безопасность #DLP
Новый способ мошенников оформить кредит

В России обнаружили новую мошенническую схему, когда злоумышленники оформляют и переводят микрокредиты без ведома заемщика.

Эксперты ответили, что делать в таком случае. Для начала необходимо зафиксировать этот факт в своем банке и написать заявление об ошибочном платеже. Далее нужно запросить у банка информацию, кто именно перечислил деньги.

Если это окажется микрофинансовая организация, обращайтесь с жалобой и указывайте, что никаких договоров с компанией вы не заключали.

#мошенничество #новости
Мифы о корпоративной кибербезопасности

На выходных зафиксировали новую утечку персональных данных казахстанцев – сканы документов попали в открытый доступ из-за взлома систем Oriflame хакерами. 700 тыс. документов опубликованы в даркнете и могут стать еще одним инструментом для мошенников.

Компании призывают проверить свои системы и внутренние корпоративные данные. Но зачастую стремление обезопасить себя со всех сторон приводит к противоположному результату. Эксперты поделились 5 мифами о корпоративной кибербезопасности, на которые стоит обратить внимание:

Миф 1: Моя компания никогда не сталкивалась с кибератаками, а значит, наша система безопасности отлично работает.

Миф 2: Киберпреступники нацелены только на крупные компании, а малый и средний бизнес их не интересует.

Миф 3: Наши сотрудники слишком заняты, чтобы отвлекать их от важных дел и рассказывать о рисках. За безопасность должны отвечать профессионалы или ИБ-департамент.

Миф 4: На каждом устройстве в нашей компании установлен антивирус — этого вполне достаточно.

Миф 5: Большинство наших сотрудников на удаленке и используют личные устройства по принципу BYOD — это безопаснее.

Полный анализ и разбор каждого из мифов можно прочитать здесь.

#новости #иб #информационная_безопасность #мошенничество
Что делать, если вы стали жертвой финансовой пирамиды

На фоне участившихся случаев появления финансовых пирамид, сообщество юристов назвало законные способы вернуть свои средства. «Вытащить» вклады можно, но только на первых этапах жизни пирамиды. Получить вложенные в такие структуры средства можно до тех пор, пока пирамида кажется благонадежной.

Но что делать, если вы уже стали жертвой? Современные пирамиды имеют очень короткий срок жизни, поэтому действовать надо быстро. Обращаем ваше внимание на несколько шагов:

Напишите претензию
Если пирамида еще действует, составьте письмо в адрес компании. Требуйте вернуть деньги и сообщите, что обратитесь в полицию.

Подготовьте доказательства
Соберите документы, которые доказывают, что вы перечислили деньги мошенникам.

Обратитесь в правоохранительные органы
Напишите заявление с требованием провести расследование. Приложите подготовленные документы. Постарайтесь найти других пострадавших.

Вернут ли деньги?
Возврат вложений через суд можно гарантировать не всегда, но стоит попытаться. Бывают ситуации, когда компанию объявляют банкротом, распродают ее активы и возмещают деньги обманутым вкладчикам.

#новости #мошенничество #финансовые_пирамиды
Риски новых сервисов для бизнеса

Аналитики Fitch предупредили компании о набирающих популярность сервисах «покупай сейчас, плати потом» (buy now, pay later). Работа с ними сопряжена с финансовыми рисками.

Объясняют это тем, что большинство участников рынка не уделяют внимания оценке кредитоспособности пользователей. Вся отчетность по долгам недостаточно прозрачна.

В результате BNPL-сервисами часто пользуются клиенты финансовых организаций с долгами, уровень платежеспособности которых не соответствует ожиданиям участников рынка.

При этом BNPL-направление продолжает активно предлагать бизнесу рассрочку.

#новости #риски
Подход «нулевого доверия» для бизнеса

Microsoft опубликовала результаты своего отчета в области кибербезопасности за 2021 год. Они рассмотрели отношение организаций к подходу Zero Trust («нулевого доверия»). В итоге 96% респондентов подтвердили, что он является критически важным для успеха их бизнеса.

Что подразумевает собой эта модель? Любая информация может быть скомпрометирована, и предполагает тщательную проверку безопасности учетных записей, конечных точек, сети и других ресурсов на основе всех доступных сигналов и данных.

Подход опирается на ситуативное применение политик в режиме реального времени, а также дает минимальный привилегированный доступ к информации.

Подробнее о применении этого метода читайте в исследовании.

#новости #иб #информационная_безопасность #мошенничество
Еще одна финансовая пирамида

Пока в России разбираются с руководством Finiko, обрушилась еще одна «пирамида» Frendex. Как и в первом случае, компания привлекали деньги вкладчиков без юрлица и лицензии регулятора. Теперь «пострадавшие» остались без денег и с кредитами.

Например, по оценкам МВД, ущерб от деятельности Finiko составляет не менее чем 80 млн рублей. Источник The Bell рассказал, что сумма может быть почти в десять раз больше.

Эксперты говорят, что ликвидировать такие пирамиды можно только одним способом – заблокировать на территории страны или внести в список запрещенных компаний. Но пока это произойдет, пострадают сотни людей.

Почему «выстрелила» Finiko и смогут ли вкладчики вернуть деньги, читайте в расследовании журналистов.

#новости #мошенничество #финансовые_пирамиды
Может ли компания следить за действиями сотрудников?

В последнее время активно обсуждается вопрос ПО для мониторинга за действиями сотрудника на работе. Но не все компании тщательно изучают закон, чтобы правильно его внедрить и использовать. Ведь основная цель такого инструмента – повысить эффективность и вовлеченность.

В чем принцип действия?
На ПК устанавливается программа, которая собирает информацию о действиях пользователя. Затем на основе собранных данных руководитель может понять, как работают наемные сотрудники и чем они заняты в рабочее время. При этом каждая программа собирает разный объем и вид информации.

На чьей стороне закон?
Отслеживать цифровой след человека запрещено. Но работодатель вправе собирать такую информацию, при соблюдении определенных условий:

1. работник должен дать письменное согласие на обработку персональных данных.
2. содержание и объем обрабатываемых данных должны соответствовать заявленным целям.
3. если сотрудник работает через личный компьютер, то необходимо обеспечить сохранность сведений о частной жизни – при утечке это попадет под уголовное наказание.

#новости #иб #информационная_безопасность #DLP
Нашему сервису исполняется 4 года, и мы хотели бы поблагодарить вас за сотрудничество, разделить с вами наши достижения и подарить подарки.

Пройдите наш тест и получите бонусы и другие приятные призы, которые мы зачислим на баланс вашего аккаунта. Комплаенс-офицеры могут проверить свои знания в сфере корпоративного мошенничества и коррупции, а специалисты по экономической безопасности узнать, насколько хорошо они владеют инструментами по проверке компаний.

Подробнее об акции и условиях читайте здесь.

#kompra #новости #акция
Популярные «фразы» мошенников

Эксперты-юристы проанализировали звонки и активность мошенников и поделились фразами, которые не стоит использовать во время беседы с незнакомыми людьми.

Если мошенник узнает от вас конфиденциальные данные, то запись разговора можно использовать при звонке в банк или другую организацию, где автоответчик способен распознать голос.

Нельзя озвучивать: сроки действия карты и защитный код на обратной стороне. Если ее номер и можно узнать, например, из утерянных документов, а имя владельца подобрать, зная, как вас зовут, то период действия карты и cvc- или pin-код злоумышленники могут выманить только у вас лично.

Самая «популярная» разновидность телефонного мошенничества – это звонки из службы безопасности или технического отдела банка с информацией о том, что с вашей карты пытались списать денежные средства.

#новости #мошенничество #сб #банки
Отмывание средств: что поможет в расследовании

Делимся интересным исследованием SAS, KPMG и ACAMS. Эксперты выявили, что за прошлый год финансовые компании организации стали ускорять внедрение искусственного интеллекта и машинного обучения для борьбы с отмыванием денег.

Так, 39% профессионалов в области комплаенса заявили, что их компании не отказываются от своих планов по внедрению AML-решений и продолжат воплощать их в жизнь, несмотря на сложности, связанные с пандемией.

Отмывание средств – серьезная проблема глобального уровня. Ежегодные потери от нее оцениваются в диапазоне от 2 до 5% мирового ВВП, или от 8 млрд. до 2 трлн. долларов. Поэтому специалисты по комплаенсу обращают все более пристальное внимание на новые технологии, которые помогают им оптимизировать процессы и повысить эффективность борьбы с финансовыми преступлениями. Также автоматизация повышает качество расследований.

#новости #сб #комплаенс
Новый фейковый брокер в Казахстане

Сегодня Telegram-канал @FINANCEkaz сообщил о сайте компании Kaspi Capital, которые якобы являются частью корпорации и имеют торговый оборот в 7,5 млрд тенге. Сайт и сама компания не вызывают доверие и подозреваются в мошенничестве, так как маскируют свой продукт под проект Kaspi.

Всего несколько шагов, о которых мы регулярно рассказываем на наших вебинарах, помогут удостовериться в том, мошенники ли перед вами.

На примере фейкового брокера Kaspi Capital можно увидеть, что для начала их официальный сайт не предоставляет ни одного документа или лицензии в открытом доступе, нет официальных реквизитов. Компанию невозможно проверить ни в одном из реестров – ее просто не существует.

• На их сайте указано, что в 2020 году агентство Moody’s присвоило Kaspi Capital рейтинг Aa (P-1) с прогнозом получения Aaa (P-1) в 2021 году. Открываем рейтинг из открытого доступа – такой компании не существует.
• Также не существует и фейкового генерального директора – фотография некого Байбека Токаева заменена на фотографию Булата Утемуратова.
• Если проверить сам сайт, то он был создан зимой 2021 году, информация о владельце домена заполнена просто перебором клавиш и никакой компании Kaspi Capital нет.
• Дальше мы проходим на официальный сайт Kaspi.kz, где среди продуктов нет похожего инструмента. Также для получения точной информации вы можете отправить запрос в банк.
• Обратите внимание на описание компании с сайта, где в условиях пользования прописано, что вложение ваших средств подвержено риску. А в форме обратной связи указан адрес, по которому этой компании не существует.

Мы еще раз напоминаем казахстанцам, что каждую компанию перед вложением своих средств или перед сотрудничеством необходимо проверять, проявляя должную осмотрительность.

#новости #мошенничество #сб #банки