Kennis van Zaken

Hieronder volgt een overzicht van signalen van ICT-fraude die, zeker in combinatie met elkaar, op het bestaan van fraude kunnen wijzen. U kunt zich een hoop ellende besparen door te monitoren op deze indicatoren. Deze zijn overigens pas signalen van fraude als ze afwijken van het normale patroon. Wat een normaal patroon is, is voor iedere organisatie verschillend.

Organisatorisch

• Vertrouwelijke informatie die niet algemeen bekend kan zijn, duikt op in de organisatie.
• Vertrouwelijke informatie komt via derden bij de organisatie terug, bijvoorbeeld via de media of geluiden uit de markt.
• Vertrouwelijke informatie is bekend bij concurrenten, OR of vakbond.
• De systeembeheerder is op de hoogte van vertrouwelijke informatie.
   
  

Medewerkers

• Medewerkers reageren schichtig bij binnenkomst van derden in hun werkkamer.
• Schermen die snel weggeklikt of geminimaliseerd worden.
• De systeembeheerder is buitensporig betrokken bij het werkproces (of vervult een sleutelpositie). Als deze medewerker verantwoordelijkheden naar zich toe trekt die niet direct met zijn verantwoordelijkheden te maken hebben, kan dit erop wijzen dat hij fraude pleegt.
• Het systeembeheer laat geen controle toe.
• Het ontbreken van bewustzijn of normbesef bij de systeembeheerder over zijn eigen functie.
• De systeembeheerder neemt geen vakantie. Dit kan er op wijzen dat hij zijn werk niet wil overdragen omdat zijn fraude dan aan het licht kan komen.
• Contacten met concurrenten via e-mailberichten.

 
Procesmatig

• Het niet handhaven van functiescheiding op de afdeling Automatisering.
• Ongecontroleerde wijzigingen van stam- of factuurgegevens in het boekhoudsysteem.
• Ongeoorloofd gebruik (tegen de vastgelegde procedures in) van USB-sticks.
• Gebruik van niet-gelicenseerde software, tegen het protocol in.
• Gebruik van wipingsoftware (‘opschoonsoftware') tegen het protocol in.
• De systeembeheerder wil de wachtwoorden van alle gebruikers in één document vastleggen.
• Het afwijken van vastgelegde procedures in geval van een spoedeisende situatie in de informatiebeveiliging. Het risico hiervan is dat bepaalde controle-mechanismen mogelijk terzijde worden geschoven.
• Het niet opvolgen van controlemechanismen.
• Het bestaan van alternatieve informatiestromen, zoals webmail en het gebruik van chatprogramma’s. Dit zijn kanalen waarbij vaak informatie uitgewisseld wordt, buiten het zicht van de organisatie.
• Verzoeken om nieuwe autorisaties op het netwerk als die niet voor het vervullen van de functie nodig zijn.
• Geen of onvoldoende beschikbaarheid van logbestanden. Hierdoor kan in geval van incidenten niet worden vastgesteld wie wat gedaan heeft, en op welk moment.
  

 
Documenten

• Afwezigheid van documenten of administratiestukken.
• Afwezigheid van originele documenten, alleen gescande documenten zijn voorhanden. Gescande documenten zijn namelijk makkelijker te manipuleren.
• Ongewone vorm, lay-out en/of opmerkelijke datering van documenten.
• De aanwezigheid van facturen op computers of servers buiten de reguliere administratiepakketten om. Dit kan namelijk wijzen op vervalsing van documenten.
  

 
Patronen

• Afwijkende patronen of waardes in logbestanden. Het komt voor dat hackers computersystemen een dermate grote hoeveelheid opdrachten geven, dat deze hun normale functies niet meer kunnen uitvoeren.
• Het tegelijkertijd inloggen op verschillende werkstations onder dezelfde gebruikersnaam. Dit kan wijzen op misbruik van wachtwoorden.
• Het inloggen in verschillende mailboxen vanaf hetzelfde IP-adres. Dit kan wijzen op onrechtmatig raadplegen van mailboxen van andere medewerkers.
• Ongebruikelijke tijdstippen waarop verbindingen met het netwerk tot stand worden gebracht van buitenaf. Of ongebruikelijke tijdstippen waarop verbindingen tot stand worden gebracht op het werk.
• Afwijkend patroon in hoeveelheid internetverkeer. Dit kan betekenen dat de werknemer in zijn werktijd bovenmatig voor privédoeleinden gebruikmaakt van het internet.
• Medewerkers die gebruikmaken van een type internetverkeer dat ze voor hun werk niet nodig hebben (protocollen als FTP, Telnet en IRC).
• Afwijkend patroon in hoeveelheid verstuurde dan wel ontvangen e-mailberichten. Dit kan wijzen op spamaanvallen of virussen.
• Veelvuldig e-mailen van zakelijke mailboxen naar privémailboxen van medewerkers. Dit kan duiden op het doorsturen van vertrouwelijke informatie.
• Afwijkende hoeveelheden en bestelfrequenties van hardware en software door ICT-afdeling. Dit kan op fraude of diefstal wijzen.
   
  

Technisch

• Virusuitbraken, kwaadwillenden kunnen dit initiëren om de continuïteit en beschikbaarheid van het netwerk te verstoren.
• Trage internetverbindingen kunnen duiden op misbruik van het netwerk.
• Nieuwe installatieverzoeken voor computers of installatie van een computersysteem door medewerkers zelf. Fraudeurs kunnen op deze manier hun sporen (deels) uitwissen.
• Toename in spamberichten. Dit kan wijzen op aanvallen op het netwerk om zodoende de beschikbaarheid van het netwerk te beperken.
• E-mailberichten komen niet binnen. Dit kan duiden op het onderscheppen of onrechtmatig raadplegen ervan.
• Mail verdwijnt om onverklaarbare redenen uit mailboxen of mail verandert van status ‘ongelezen’ naar de status ‘gelezen’. Dit kan er op wijzen dat een derde de mailbox bekijkt of manipuleert.
• De aanwezigheid van onbekende modems of onbekende draadloze netwerken. Dit kan wijzen op ongecontroleerde verbindingen met het internet.