Palvelupetos

Yritysturvallisuus > Compliance

Palvelupetos

Palvelupetokset tapahtuvat ennalta suunnitellusti vastapuolen yleisiin psykologisiin heikkouksiin kohdistuvan hyökkäyksen (social engineering) voimalla.

Hälytyskellojen tulee soida riittävän ajoissa. Ennen päätöksentekoa on suositeltavaa ottaa "aikalisä", tehdä tarkistuksia, keskustella asiasta muiden henkilöiden kanssa ja olla tarttumasta "syötteihin".

Sähköpostiviestien käyttö palvelupetosten toteutuksissa on saanut vankan jalansijan kansainvälisen rikollisuuden piirissä. Vuonna 2009 sähköpostiliikenteestä noin 80 % oli roskapostia, joista noin 30 prosenttia liittyi tavalla tai toisella rikolliseen toimintaan kuten taloudellisiin petoksiin ja huijauksiin.

Tehtävälista

Laadi ja julkaise petosten torjuntaohjeistus

Määrittele, mitä palvelupetos tarkoittaa (esim. ylihinnoittelu, laskutus olemattomasta työstä, sopimusvilppi).
Sitoudu nollatoleranssiin ja ilmoita seuraukset.

Tunnista ja arvioi riskialueet

Tunnista prosessit ja toiminnot, joissa riski on korkea, kuten palveluostot, ulkoistukset, konsulttisopimukset, projektihankinnat.
Tee säännöllinen petosriskiarviointi.

Selkeytä vastuut ja hyväksymiskäytännöt

Rakenna toimiva valvontaketju.
Määritä kynnysarvot eri hyväksyjille.
Vältä yksittäisten henkilöiden päätäntävaltaa suurissa hankinnoissa.

Tarkista ja dokumentoi toimittajat huolellisesti

Varmista palveluntarjoajien olemassaolo ja taustat (y-tunnus, referenssit, omistus).
Vältä tekaistuja yrityksiä, hylättyjä YTJ-rekistereitä ja bulvaaneja.
Kirjaa sopimuksiin selkeät toimitusehdot ja suoritusperusteet.

Seuraa laskutusta ja maksuliikennettä aktiivisesti

Vertaile laskuja sopimuksiin, tarjouksiin ja työn todelliseen toteutukseen.
Kiinnitä huomiota pyöristettyihin summiin, epätyypillisiin maksuehtoihin ja yllättäviin alihankkijoihin.
Rajoita käteismaksuja ja ulkomaanmaksuja tuntemattomille tileille.

Kehitä raportointijärjestelmää ja läpinäkyvyyttä

Pidä ostot ja maksut näkyvissä sisäisesti (esim. raportit, BI-järjestelmät).
Vaadi läpinäkyviä tuntiraportteja ja työselitteitä ennen maksua.

Perusta sisäinen ilmoituskanava ("whistleblower")

Mahdollista nimettömien epäilyjen ilmoittaminen turvallisesti.
Käsittele ilmoitukset puolueettomasti ja luottamuksellisesti.

Kouluta henkilöstöä ja johdon edustajia

Kouluta erityisesti hankinta, taloushallinto, projektijohto ja johto.
Anna konkreettisia esimerkkejä yleisistä palvelupetoksista.
Lisää tietoturvaan ja huijausviesteihin liittyvä koulutus.

Auditoi ja tarkasta riskiprosesseja säännöllisesti

Tee pistokokeita ja systemaattisia tarkastuksia kodistetusti erityisesti suuriin ja poikkeaviin maksuihin ja pitkiin sopimusketjuihin.
Käytä tarvittaessa ulkoista tarkastajaa.

Päivitä käytäntöjä ja reagoi rikkomuksiin

Päivitä ohjeistusta, sopimusmalleja ja valvontaa kokemusten mukaan.
Sanktioi väärinkäytökset johdonmukaisesti (esim. varoitus, irtisanominen, rikosilmoitus).
Raportoi tapaukset johdolle ja tarvittaessa viranomaisille.

Asia Tapauksia

Palvelupetos tarkoittaa rikosta, jossa joku henkilö, käyttää hyväkseen asemaansa tai luottamusta omaksi hyödykseen. Henkilö, joka esiintyy vilpillisesti jonkin palveluntarjoajan nimissä ja käyttää hyväkseen asiakassuhteeseen liittyvää luottamusta saadakseen taloudellista hyötyä, syyllistyy rikokseen. Teko voi sisältää esimerkiksi henkilöltä perittäviä maksuja tai palveluita, joita ei aiota toteuttaa.

Palvelupetokseen liittyy yleensä petollinen suunniteltuun legendaan perustuva yhteydenotto, jonka tarkoituksena on tahallisesti pettää henkilöä tai yritystä. Tämä voi ilmetä esimerkiksi seuraavilla tavoilla:

Henkilö lupaa jotain, mutta lupausta ei ole ollut aikomusta täyttää sovitun mukaisesti tai myy palvelua tai tuotetta, jota ei ole olemassa.
Henkilö antaa tarkoituksellisesti väärää tietoa tuotteista tai palveluista saadakseen asiakkaan maksamaan enemmän.
Henkilö kertoo tunteisiin vetoavan legendan, jolla ei ole totuuspohjaa.

Palvelupetoksen vaiheet

Petoksen toteutuksen suunnittelu. Millä menetelmällä rahallisen hyöty voidaan saada.
Luottamuksen hankkiminen. Millä menettelyllä petoksen kohteen luottamus voidaan saavuttaa.
Petoksen toteuttaminen. Miten suunniteltuja petollisia käytäntöjä toteutetaan.
Hyödyn siirtäminen. miten taloudellinen hyöty siirretään petoksen tekijälle..
Rikoksen peittely. Miten estetään petoksen ja petoksen tekijöiden paljastuminen.

Palvelupetoksen havaitseminen ja paljastaminen

Ole epäileväinen. Suhtaudu epäilyttävään tietoon tai tarjouksiin varauksella, erityisesti jos ne vaikuttavat liian hyviltä ollakseen totta.
Älä päätä heti mitään, vaan pyydä ottamaan myöhemmin yhteyttä uudelleen.
Tarkista lähteet ennen päätöstä. Varmista, että tiedot tai tarjoukset tulevat luotettavilta lähteiltä. Tarkista yritysten verkkosivut ja arvostelut.
Älä luovuta henkilökohtaisia tietoja. Älä jaa koskaan pankkitietoja tai salasanoja. Varmista aina kenen kanssa asioit.
Käytä sähköpostitileillä kaksivaiheista tunnistautumista.
Kouluta itseäsi ja perheenjäseniäsi niin, että hekin osaavat varoa huijauksia.
Käytä turvallisia maksutapoja, jotka tarjoavat suojaa huijauksilta, kuten luottokortteja tai maksupalveluja, jotka tarjoavat ostosuojan.
Jätä vastaamatta puhelimitse suoritettaviin kyselytutkimuksiin.