Zpráva se zaměřuje na interní účetní kontroly u devíti emitentů z různých sektorů, „kteří se stali oběťmi jednoho ze dvou scénářů zahrnujících i podvodné nebo napadené elektronické zprávy od osob vydávajících se za představitele společností nebo prodejce“, jež se běžně označují jako tzv. BEC útoky (business e-mail compromise). Podle zprávy Komise SEC utrpěl každý z devíti emitentů ztráty ve výši minimálně 1 mil. USD, přičemž ztráty u dvou z nich dosáhly dokonce částky 30 milionů USD. Pachatelé celkem připravili těchto devět emitentů o částku dosahující téměř 100 mil. USD, jejíž převážnou část se nikdy nepodařilo získat zpět.

Co jsou BEC útoky?
Jak uvádí zpráva Komise SEC, o BEC útocích hovoříme v případě, kdy útočníci využívají napadnuté nebo podvodné emailové adresy, aby v rámci společností oslovili konkrétní zaměstnance a vyzvali je k provedení zdánlivě legitimních transakcí, změn klíčových platebních dat nebo informací o dodavatelích.

Toto podvodné jednání typicky zahrnuje nabourání se do emailového účtu určité osoby (hacking), který se následně využívá pro odesílání emailových zpráv ostatním osobám v dané společnosti nebo i mimo ni (např. zákazníkům). K tomu často dochází v rámci hostovaných emailových řešení, která nejsou chráněna pomocí MFA ověření (multi-factor authentication), nebo v situacích, kdy jsou hackeři schopni nastavit pravidla pro přeposílání a vymazávání emailových zpráv s cílem monitorovat a odstraňovat komunikace, které by mohly vést k odhalení neoprávněného užívání emailové adresy. Podvodné nebo falešné emailové zprávy jsou zpravidla podobné nebo nesou názvy domény, jež jsou podobné jako u legitimní korespondence.

Revize interních účetních kontrol ze strany Komise SEC
Komise SEC zkoumala, zda společnosti, jež se staly obětí BEC útoků, splňovaly požadavky §3(b)(2)(B)(i) a (iii) zákona o cenných papírech z roku 1934, podle kterého jsou určití emitenti povinni „vyvinout a udržovat systém interních účetních kontrol, jenž bude poskytovat přiměřenou míru jistoty, že transakce jsou prováděny nebo že přístup k aktivům společnosti je pouze povolen na základě obecného nebo konkrétního oprávnění uděleného vedením“. Zpráva dále zdůrazňuje, že „kybernetické hrozby, kterým jsou aktiva emitentů vystavena, jsou sice relativně nové, avšak očekávání, že emitenti budou mít zavedeny dostatečné interní kontroly, jež budou revidovány a aktualizovány v návaznosti na měnící se okolnosti, nikoliv“.

Kompletní zpráva Komise SEC týkající se vyšetřování je k dispozici zde.

Více informací o BEC útocích naleznete v publikaci Heads Up (ročník 25, číslo 18) vydané společností Deloitte dne 30. října 2018. Článek se detailně věnuje následujícím tématům:

Jak dochází k BEC útokům?
Jak lze BEC útoky identifikovat a vyhnout se jim?
Jak mohou kontroly pomoci společnostem předcházet tomuto druhu kyberkriminality a odhalovat ji?
Zaměření Komise SEC na kybernetickou bezpečnost

Oblast kybernetické bezpečnosti se i nadále vyvíjí. K situacím popsaným ve zprávě SEC dochází stále častěji v souvislosti s tím, jak se stále více ekonomických činností odehrává prostřednictvím digitálních technologií a elektronické komunikace. Popsané příklady BEC útoků zdůrazňují, jak je důležité mít zaveden systém interních účetních kontrol pro řešení tohoto typu kybernetických podvodů a udržovat ho. Školení a povědomí týkající se bezpečnosti uživatelů hrají klíčovou roli při implementaci i provozování efektivních kontrol.

Zdroje: Zpráva o setření podle § 21(a) zákona o cenných papírech z roku 1934 týkající se jistých kybernetických podvodů spáchaných na veřejných obchodních společnostech a souvisejících požadavků na interní účetní kontroly

Heads Up — Zohlednění kybernetických rizik týkajících se implementace interních účetních kontrol 

Článek je součástí zpravodaje dReport – prosinec 2018, Účetní novinky.