闭门造车：增强抵御内部欺诈的能力：作者：Joris Lochy

在金融机构，内部威胁和内部欺诈是严重的问题。在全球范围内，注册舞弊审查师协会估计，舞弊给组织造成的损失约为 年收入的 5%，达到了惊人的程度 每年 5 万亿美元。

内幕欺诈 据信占 40% 这些费用大约 每年 2 万亿美元。每个事件的平均成本为 $412,000，使得这种类型的欺诈不仅普遍存在，而且危害性极大。

内部欺诈被定义为“为了个人利益而故意滥用或挪用用人组织的资源或资产。“这是由恶意内部人员（例如现任或前任员工、承包商或合作伙伴）实施的，他们利用其授权访问权限来破坏敏感系统或数据。这些行为对机密性、完整性和信任构成严重风险。

金融机构 尤其是 易受伤害的 由于

• 高交易量，让恶意行为隐藏在噪音中
• 敏感的金融操作
• 复杂的应用场景
• 压力 保持合规性 和 避免名誉受损

更广泛地说， 内部威胁 有多种形式：

• 疏忽行为，即员工无意中使机构面临风险，例如重复使用密码、写下密码、使用不安全的设备、陷入网络钓鱼诈骗……​。
• 受操纵的员工，即员工无意中被欺骗，认为他们正在帮助公司，例如首席执行官欺诈或授权推送付款诈骗。
• 恶意内部人士，即员工故意实施欺诈，例如出售数据、更改联系方式、发起未经授权的付款、串通批准贷款……​

本博客重点讨论第三类： 故意内部欺诈。

尽管许多机构声称内部欺诈已得到控制或不存在，但现实是大多数机构在某个时候都会面临这种情况。后果很严重：

• 高额财务损失
• 全部责任，客户通常没有过错
• 复杂检测 由于内部知识和绕过控制的能力
• 名誉受损，破坏信任和信誉
• 文化危害，影响士气和利益相关者的信心

此类诈骗也 非常普遍，尤其是在几乎没有物理痕迹的数字环境中。其范围从轻微的违法行为到全面的犯罪活动。

的例子 较小但有问题的违规行为 是

• 为朋友或家人提供更优惠的贷款利率
• 出于个人原因使用办公用品
• 出于好奇而访问机密数据

的例子 中层内部人员欺诈 包括

• 内幕交易
• 批准边界贷款申请
• 多付保险理赔
• 掩盖不良交易或决策

的例子 严重的犯罪活动 包括

• 协助洗钱
• 窃取资金
• 出售敏感数据
• 勒索
• 促进网络攻击或勒索软件

防止内部威胁具有挑战性。太多的控制会损害员工的自主权和效率，太少的控制会导致灾难性的欺诈，甚至破产。

因此一个 三步法 是必须的。

第 1 步：预防 – 识别和预防危险行为

此阶段的重点是通过培训、支持、筛查和监控来防止内部欺诈。它通常涉及人力资源、IT、审计和其他部门。
这里重要的是让员工意识到这些措施的存在，作为强有力的威慑。

关键要素 包括：

• 员工筛选 雇用前和雇用后
• 员工行为监控，例如社交媒体活动、绩效、情绪变化、员工生活水平不切实际的迹象。
• 支持员工财务福祉，因为财务压力和困难可能导致欺诈合理化。公司可以通过提供财务健康支持来降低这种风险，包括保密咨询、财务教育、预支工资机制和其他旨在改善财务健康的工具。
• 监控成瘾情况，例如酒精、毒品或赌博。研究表明，赌博成瘾是导致内部欺诈的一个主要原因。
• 提升员工幸福感，因为裁员、薪酬不佳或职业停滞会增加内部欺诈的风险。因此，公司应确保公平的薪酬、有意义的职业发展计划、定期评估和辅导以及有效的福利计划。
• 强制休假政策，例如要求员工每年至少连续休息两周，以帮助揭露违规行为。
• 风险与安全意识培训 应该是强制性的，通过现实世界的测试来跟踪出勤情况并验证结果。
• 强大的系统安全性，包括所有应用程序的多因素身份验证、敏感流程的四眼甚至六眼原则（具有足够的批准者轮换），以及所有系统活动的完整日志记录和审计跟踪。
• 保护所有工作站 使用磁盘加密、反恶意软件和防病毒保护、网站限制和数据提取监控。
• 监控员工活动 通过记录操作、跟踪行为指标（例如鼠标移动、文件复制、屏幕记录）以及检测异常访问模式（例如非工作时间建筑物进入、异常工作站访问、工作站跳跃）。
• 应用严格的访问控制 将特权限制在有效工作所需的最低限度。定期审查访问权限，以防止由于项目转移、部门变化或角色变化而随着时间的推移而积累特权。

第二步：检测

及早发现内部欺诈模式对于最大程度地减少潜在影响至关重要。

检测应重点关注：

• 员工行为的异常模式，例如突然的行为变化、权限修改、与类似角色的同事相比的行为差异、两个用户之间的重复协作（例如，员工不断地一起工作以获取输入和批准）、登录异常（例如访问不同的工作站、从不寻常的位置登录或在异常时间）、访问交易的异常频率或类型（例如查看不熟悉的客户群或支付类型）、搜索活动突然增加……​
• 数据丢失检测：监控通过电子邮件、USB、文件传输或下载进行的大量或未经授权的数据传输。危险信号包括短时间内异常高的下载量或下载机密/敏感数据。
• 不寻常的交易模式：分析员工引入的交易以及扣款客户的典型付款行为。寻找异常的交易量或价值、可疑的交易对手、向他们通常不服务的客户发起付款的员工、代表多个客户向同一交易对手（债权人）重复付款、在截止时间之前提交的交易、绕过预期控制的付款
• 监控高风险账户活动：监控帐户，例如休眠、沉默或被阻止的帐户、属于已故个人的帐户或参考数据最近被修改的帐户。这些帐户通常缺乏客户的直接监督，使它们更容易受到利用。
• 完整性和数据沿袭检查：通过跟踪每个事务的生命周期，确保事务在其生命周期内不被更改、抑制或注入。验证交易链中的每一步是否一致、逻辑结构合理且按时间顺序可追溯。

为了支持以上所有内容，必须构建 行为基线
和 触发实时警报 当出现偏差或可疑模式时。

此外，进行 定期内部审计 将统计控制与有针对性的抽查相结合。这些不仅有助于发现异常情况，还能对内部欺诈起到强有力的威慑作用。

步骤 3. 调查与解决

金融机构必须承诺：

• 彻底调查 所有内部欺诈嫌疑
• 实施事件响应计划，仅与经过培训的团队成员共享
• 从过去的事件中吸取教训 不断改进欺诈预防策略
• 挽回损失 并最大限度地减少正在发生的案件中的进一步暴露

内部威胁构成重大风险 给金融机构带来潜在的毁灭性后果。在员工授权和强有力的控制之间取得适当的平衡至关重要。

降低这种风险需要采取整体方法，跨越预防、文化意识、技术监测和快速反应。通过制定正确的策略，金融机构可以减少内部欺诈的威胁并保护其最有价值的资产： 信任和声誉。