Prije nekoliko dana hrvatska podružnica svjetske organizacije ovlaštenih istražitelja prijevara objavila je istraživanje o prijevarama kojima se koriste ljudi kako bi oštetili tvrtke i organizacije. Profil prosječnog prevaranta kaže da je riječ o muškarcu u dobi oko 50 godina koji u tvrtki radi desetak godina, poznaje njezin sustav i način poslovanja, a tvrtku vara mjesecima prije nego što ga otkriju. I to slučajno. O tome kako krademo razgovaralo se u Čajanci. I ovoga puta je to bilo u Laubi, kući za ljude i umjetnost, a o prijevarama su govorili Ivana Rapić, potpredsjednica hrvatskog ogranka svjetske organizacije ovlaštenih istražitelja prijevara, Marko Rakar, IT-ekspert i istražitelj prijevara, te Renato Grgurić, voditelj službe kibernetičke sigurnosti Ravnateljstva policije.
Vlašić: Kako izgleda Hrvat koji vara svoju firmu?
Rakar: Profil koji je izašao iz istraživanja kaže da je to najčešće muškarac, u dobi oko 50 godina, u organizaciji koja je pokradena radi deset i više godina, u 80 posto situacija ima nekog sudionika koji mu je pomagao u tome i – otkrili smo ga slučajno.
Vlašić: Zašto slučajno?
Grgurić: Za početak se netko mora osjećati kao oštećenik, a da bi se osjetio oštećenikom, mora biti svjestan da je pokraden. Meni se čini da se često događa da firme i ne znaju da se dogodila ozbiljna krađa ili pronevjera dok se ne napravi ili neka revizija ili godišnja inventura. Nama kao policiji su, zapravo, puno veći problem one prijevare koje dolaze izvana, gdje također za vrlo velike iznose oštećuju trgovačka društva. Mislim na razne vrste internetskih prijevara, tzv. CEO prijevara.
Vlašić: Postoji li način kako Hrvati rade prijevare?
Rapić: Prema našem istraživanju, a slično je i s globalnim istraživanjem, na prvom mjestu načina na koji naši počinitelji oštećuju organizacije jest protupravno prisvajanje imovine. To su više otuđenja sredstava s transakcijskog računa ili korištenja kompanijskih kreditnih kartica za privatne svrhe, traženja naknade nekih fiktivnih troškova ili čak privatnih troškova, prodaja bez izdavanja računa ili evidentiranja prodaja u nekim manjim iznosima. To su učestalije vrste prijevara u kontekstu tog protupravnog prisvajanja imovine od samog otuđenja fizičke imovine, nekakvih zaliha. To nam je na prvom mjestu, ali u tome smo dosta slični u odnosu na globalno istraživanje. U globalnom istraživanju je to prvi oblik prijevara, a tako je već dulji niz godina. Na drugom mjestu nam je mito i korupcija. To nije pretjerano neočekivano i osim onoga što nam svima pada na pamet, da se daje novac ili nekakvi neprimjereni pokloni, dosta često se događa da se poslovne prilike usmjeravaju u kompanije u kojima počinitelji imaju skrivene interese. Ili čak direktne interese.
Rakar: Ako odlučuješ o nekakvoj nabavi ili prodaji, taj biznis preusmjeriš prema nekoj firmi koja je u vlasništvu sina, kćeri, bratića, rođaka. Ili kupuješ nešto po cijeni koja je veća od tržišne ili prodaješ nešto po cijeni koja je ispod tržišne, pa ta druga firma ostvari zaradu.
Vlašić: Nisu li provizije dosta česte?
Rakar: Provizija je legalna i legitimna, ali ako se drugi eventualni prodavači ne mogu ni natjecati zbog toga što ću ja namjerno usmjeriti to na tvrtku koja je u vlasništvu moje supruge, sina, kćeri ili nekoga kome sam ja tajni partner, s namjerom da izvučem neku korist iz firme u kojoj radim, onda je to ilegalno.
Vlašić: Dozna li se za prijevare uistinu slučajno?
Rapić: Prema našem istraživanju ispada da se 13 posto tih prijevara otkrilo sasvim slučajno.
Vlašić: Obratili ste se na 3500 adresa…
Rapić: Tako je. Dobili smo odgovore od 124 ispitanika i te odgovore smo analizirali i izdali izvještaj prateći metodologiju globalne organizacije koja svake dvije godine provodi ovakvu vrstu istraživanja.
Vlašić: Što govori činjenica da manji broj ljudi odgovori na ovakvo ispitivanje?
Rapić: To je očekivano, ljudi nisu voljni govoriti o ovakvoj temi.
Rakar: Treba znati da veliki dio prevara koji se desi nikada i ne završi u pravosudnom sustavu. Ljudi prijevaru smatraju sramotom, internom pogreškom, pokušavaju to riješiti interno na razne načine. Ili se nagode s osobom koja je izvršila prijevaru pa nekako refundiraju, ili daju toj osobi otkaz ili sporazumno raskinu ugovorni odnos. Smatraju da eventualnim sudskim postupkom neće ništa postići za svoju organizaciju. Po istraživanju, više od pola svih slučajeva nije nikada vidjelo policiju ili državno odvjetništvo. Ljudi jednostavno ne žele govoriti o takvim štetama.
Vlašić: Spominjali ste da se prijevare naprave običnom kompanijskom karticom. Koja je šteta?
Rapić: Mjerili smo medijan štete cijele te kategorije protupravnog prisvajanja imovine i medijan je iznosio tri milijuna kuna po oštećenoj organizaciji.
Rakar: To je vrlo velik iznos i tipično trajanje prijevare prije nego što je otkrivena je oko osam mjeseci. Osam mjeseci je trajala krađa prije nego što je bila otkrivena. S time da u različitim industrijama ili različitim segmentima negdje traje duže, negdje kraće.
Vlašić: Kako nastaje kriminalac?
Grgurić: Prilika čini lopova. Meni se čini da se nije puno promijenilo od nastanka te poslovice. Odnosno, tamo gdje nadzorni sustav postoji, ako je strukturiran i višeslojan, manje je šanse da će doći do prijevare. Naime, ako je izvjesno da ćete biti otkriveni i dobiti otkaz, vjerojatno je manja šansa da ćete se uopće odlučiti počiniti kazneno djelo. Mi na stolu imamo jagode, ali i dvije kamere. Da nas nitko ne snima, možda bi netko ukrao ove jagode.
Vlašić: Ali, slobodno ih uzmete, ponuđene su. (svi se smiju)
Grgurić: Dobar je primjer sustav koji u Hrvatskoj postoji vezan uz fondove EU. Čitamo u medijima da se razne zloporabe i krađe događaju. Zapravo zaboravljamo jedno: da ne postoji sustav nadzora i kontrole, ne bismo ni znali da se te zlouporabe događaju jer ih nitko ne bi ni otkrio. Sustav kontrole fondova EU je dosta dobro organiziran jer država ne bi ni mogla dobivati novac iz tih fondova da ne može dokazati Europskoj komisiji da ima nadzorni mehanizam koji sprečava krađu tog novca.
Vlašić: Super, kako ide predmet “vjetroelektrane”?
Grgurić: Ja se bavim u većoj mjeri internetskim prijevarama. Policijska statistika kaže da imamo otprilike 2500 predmeta svake godine. No, policijska statistika je zapravo statistika naših radnih procesa. To je broj obrađenih prijava koje je netko prijavio policiji. Vidite i sami iz ovog istraživanja da građani i tvrtke nisu baš voljni prijavljivati takve događaje policiji iz različitih razloga. Ili ih rješavaju interno ili smatraju da šteta možda nije takva da zaslužuje reakciju pravosudnog aparata. Internetske prijevare, za razliku od ovih internih prijevara, dolaze eksterno, izvana. U najvećem broju slučajeva imaju transnacionalni karakter, što znači – ako su oštećene hrvatske firme, gotovo u pravilu će počinitelji biti izvan Republike Hrvatske. Takvim internetskim prijevarama pogoduje, u principu, nesavjesno ponašanje djelatnika u tvrtkama. To često otkrijemo kod tzv. CEO prijevara. Da su se ovlaštene osobe, one koje raspolažu novcem u nekoj tvrtki, samo držale računovodstvenih standarda, čak ne ni zakona, nego naprosto međunarodnih računovodstvenih standarda, do njih ne bi nikada ni došlo. Što su CEO prijevare? To su one prijevare u kojima se nepoznate osobe iz inozemstva elektroničkom poštom obraćaju ljudima koji rade u računovodstvu ili mogu raspolagati novcem, pritom krivotvore ono “from” polje u mailu tako da izgleda da mail dolazi od direktora društva. Zato se te prijevare i zovu CEO prijevare, od Chief Executive Officer, i obično taj mail glasi: “Moramo brzo prebaciti 20.000,00 eura na račun tvrtke u Hong Kongu jer tamo imamo akviziciju.” U potpisu je direktor firme. E sada, da se držite međunarodnih standarda, onda bi svaki djelatnik računovodstva znao da ne može prebacivati novac ili plaćati neke usluge bez dokumentacije, odnosno vjerodostojne isprave. Često to ljudi zaborave, pogotovo kada opravdano vjeruju da im je taj nalog dao šef, odnosno direktor društva. I često će to napraviti. Danas internetskim bankarstvom relativno brzo možete novac s jednog računa u Hrvatskoj prebaciti na neki račun u inozemstvo i tako firma ostane bez, primjerice, 20 tisuća eura.
Vlašić: Koliko često se to događa?
Grgurić: Događa se relativno često. Policija redovito upozorava, imamo i različite letke na našem YouTube kanalu. No, ja razumijem da ljudi češće gledaju druge stvari na YouTube nego policijske kanale ili na Twitteru prate nekog drugog, a ne policiju. Nekakav tračak nade daje da ljudi u većoj mjeri shvaćaju da je riječ o prijevari i takve prijevare češće ostanu na razini pokušaja, a nisu izvršene. To znači da se razvila određena svijest među hrvatskim firmama da se takvo što može dogoditi i da postoje napredni interni mehanizmi koji sprečavaju da do toga dođe.
Vlašić: Što je s prijevarama pri internet-šopingu, koliko su česte? Kako izgledaju?
Grgurić: Da, ima toga. Često se događa na lažno kreiranim stranicama koje po vrlo niskim cijenama prodaju ili brendiranu robu, odjeću, obuću, pa čak i automobile. Imate ih i na provjerenim stranicama kao što je njemački autoscout. Imate odlične ponude za relativno jeftine automobile i ljudi koji su lakovjerni ponekad neće uspjeti odoljeti takvoj ponudi. To se dogodi kad imate čovjeka koji ima novac i želi auto, pa vjeruje da će nakon uplate taj automobil stići iz Njemačke, Austrije ili neke druge zemlje, a lako je moguće da će se dogoditi prijevara. Jedan moj kolega kaže da kod takvih internetskih prijevara kriminalci imaju iskustvo, a vi novac, a na kraju, kada se prijevara završi, vama ostaje iskustvo, a kriminalci novac.
Rakar: Vrlo alanfordovska formulacija (svi se smiju). U našem istraživanju cyber-kriminal je treći najčešće zastupljeni oblik prijevara kojem su izloženi gospodarski subjekti. Uz ovo što je izloženo, sve češće se pojavljuju slučajevi ransomwarea, cryptolockera i drugih načina na koji kriminalci zaključaju vrijedne podatke koje tvrtka ima i onda tvrtka mora platiti neku vrijednost u bitcoinima ili nekom drugom sredstvu plaćanja ne bi li te podatke mogli vratiti. Jednako kao i u drugim primjerima prijevara, takvi složeni oblici prijevara, osobito u velikim sustavima, mogu trajati mjesecima. Nekakav haker ili grupa hakera uđe u računalnu mrežu neke organizacije i mjesecima prije nego što aktivira svoj mehanizam.
Vlašić: Ako se dobro sjećam, prije nekih godinu dana jedna je naftna kompanija koja radi na području Hrvatske bila žrtvom nečeg sličnog. Bili su hakirani…
Grgurić: To se desilo u veljači 2019.
Rakar: Bila je i tvrtka iz pekarske industrije. Hakeri su vrlo organizirani, kreativni i spremni čekati pravi trenutak u kojem će napasti računalnu mrežu tvrtke.
Vlašić: Kako se zaštititi od toga?
Rakar: Ja bih se složio s kolegom iz MUP-a i rekao: edukacija, edukacija i edukacija. Postoje razni računalni alati, procesi i procedure koje treba slijediti, ali bez educiranih ljudi u tvrtki ni jedna se tvrtka neće dobro zaštititi.
Grgurić: Ja bih dodao i: kopija, kopija i kopija. Pogotovo kod cryptolockera i ransomwarea, kibernetički napadi koji zaključavaju poslovne podatke tvrtki i, zapravo, ili potpuno onemogućavaju poslovanje ili ga jako usporavaju. Zamislite da u vašim novinama ne radi sustav, da nemate pristup arhivi ili podacima, pitanje je bi li novine izašle sutra.
Vlašić: Ne mogu vam odgovoriti na ovo pitanje, ali ću vam reći da se mi ničega ne bojimo.
Grgurić: I to je dobro, ali treba biti oprezan. Doista razina i antivirusne zaštite i podešavanje firewallova mora biti na toj razini da zapravo onemogući ulazak malwarea i zaključavanje tih podataka. Jedna je od strategija da postoji kopija svih podataka off line na drugom mjestu pa kada se dogodi situacija da je poslovanje tvrtke afektirano na ovakav način, onda se ti podaci s kojima tvrtka radi i koje koristi mogu brzo vratiti. Policija ima i web-domenu No more ransome.org, Nema više otkupnine.org, na kojoj su savjeti i podaci o povijesti takvih napada. Postoji i besplatan alat, zove se cryptosheriff koji omogućuje da, ako se desi situacija da su podaci zaključani, preko Europola surađujemo s vodećim antivirusnim kompanijama. Kriptirane datoteke mogu se besplatno uploadati na toj stranici i dobiti informaciju, dobiti ključ kojima se ti podaci mogu otključati bez plaćanja otkupnine, tako da No more ransome.org može biti rješenje.