SEC США предупредила о небезопасных письмах

После предварительного расследования американская Комиссия по ценным бумагам и биржам представила в этот вторник отчет, в котором обратилась к публичным компаниям с призывом сохранять предельную осторожность в отношении кибермошенничества с использованием подставных электронных писем и соответствующим образом модернизировать свои механизмы внутреннего контроля.

Отчет был написан подразделением контроля SEC в сотрудничестве с департаментом корпоративных финансов и Офисом старшего бухгалтера. Расследование проводилось на примере девяти крупных публичных компаний, которые потеряли миллионы долларов как раз в результате инцидентов неосторожного обращения сотрудников с ненадежными средствами электронных коммуникаций.

Поименно эти девять компаний не назывались, но отмечается, что каждая из них имеет существенные объемы годовой выручки и листинг на американских биржах. Потери каждой – как минимум $1 миллион, а две потеряли больше $30 миллионов. Суммарные потери всех девяти превысили $100 миллионов, и практически ничего из этого вернуть не удалось. Компании работали в разных секторах экономики, включая IT, машиностроение, недвижимость и энергетику, на что представители SEC заметили, что любой тип бизнеса может стать жертвой киберпреступлений.

Представители Комиссии различают два самых распространенных вида писем: письма от подставных руководителей и письма от подставных поставщиков. Если речь идет о подставных руководителях, то здесь мошенники, никак даже не связанные с компанией, пытаются выдать себя за руководство, обычно CEO. Во всех случаях лже-директоры требовали от сотрудников перевести значительные суммы денег на счета иностранных банков.

Что касается пишем от подставных поставщиков, то здесь принцип схожий. SEC отмечает, впрочем, довольно высокий уровень технических знаний, которые демонстрируют мошенники: это уже не просто попытка назваться чужим именем, а фактический взлом корпоративной почты реально существующего поставщика с последующим вложением платежного требования и рассылкой таких писем среди клиентов. Некоторые умудряются “развести” компании на информацию о реальных клиентах и платежных ордерах.

После изучения соответствия систем внутреннего контроля требованиям, изложенным в секциях 13(b)(2)(B)(i) и (iii) Закона о торговле ценными бумагами 1934 г. Комиссия решила не накладывать никаких штрафных санкций и ограничиться предупреждением (а предупреждать эмитентов об угрозах требует секция 21 (а) того же самого Закона).

По материалам: Journal of Accountancy